Varslingsprosedyrer

Hvem skal varsle?

Alle tilbydere av ekomnett og -tjenester etter ekomloven har plikt til å varsle Nkom.

Når skal det varsles?

Det skal varsles snarest om hendelser som vesentlig kan redusere, eller har redusert, tilgjengeligheten til ekomtjenester. Det skal også varsles om alle hendelser som tilbyder selv kategoriserer til alvorlighetsgrad alvorlig eller kritisk. 

Dette kan være hendelser som påvirker:

  • et betydelig antall sluttkunder
  • samfunnsviktige funksjoner
  • andre tilbyderes tjenestekvalitet

Varsling kan også iverksettes ved andre avvik eller ikke-kritiske hendelser dersom disse avdekker alvorlige sårbarheter i tjenester eller infrastruktur.

Tilbyder plikter også å varsle Nkom straks dersom det foreligger:
 

  • Særlig risiko for brudd på sikkerheten
  • Sikkerhetsbrudd som har krenket personvernet til abonnent eller bruker

Oppdatert varsel underveis

Tilbyder må sende oppdatert varsel dersom det skjer vesentlige endringer underveis i hendelsen, og når hendelsen er normalisert.

Hva skal varselet inneholde?

Varslet skal inneholde følgende informasjon så langt det er kjent:

  • Når hendelsen oppsto
  • Hvilke ekomtjenester som er rammet
  • Kortfattet beskrivelse av omfang, så langt det er kjent, som geografisk omfang, berørte kunder, samfunnsviktige funksjoner og om liv og helse er eller kan være rammet.
  • Varighet før hendelsen er forventet normalisert
  • Årsak
  • Kontaktperson hos tilbyder (telefon og e-post)

Hvordan skal det varsles?

Varselet skal sendes til ekomvarsling@nkom.no

Det er også mulig å kontakte Nkoms beredskapsvakt på telefon 22 33 17 00.

Hva gjør Nkom med varselet?

Nkom har beredskapsvakt 24/7 som mottar og vurderer alle varsler. Ut fra en vurdering av situasjonen vil Nkom enten ta varselet til orientering, eller følge opp hendelsen videre.

Nkom tar kontakt med oppgitt kontaktperson hos tilbyder dersom vi ser behov for å følge opp hendelsen underveis, eller dersom vi i etterkant av hendelsen ønsker å undersøke hendelsen nærmere.

Nkom skal varsles snarest mulig for å kunne koordinere tiltak og styre informasjonsflyten mellom de som er omfattet av hendelsen.

Nærmere om varslingsprosedyrene

Det er tilbyders ansvar å vurdere hendelser og avgjøre når Nkom skal varsles. Tilbyder må sørge for å utarbeide interne rutiner som beskriver når varsling skal iverksettes. Nkom bistår gjerne tilbyder i forbindelse med utarbeidelse av varslingsrutiner.

Varsling skal uansett iverksettes når tilbyder vurderer at hendelsen er av en slik alvorlighetsgrad at den kan påvirke tjenesteleveransen til samfunnsviktige funksjoner eller andre tilbyderes tjenestekvalitet.

Krav om varsling til myndighetene er hjemlet i ekomforskriften § 8-5:
 
”Tilbyder skal varsle Nasjonal kommunikasjonsmyndighet om hendelser som vesentlig kan redusere eller har redusert tilgjengeligheten til elektroniske kommunikasjonstjenester.

Nasjonal kommunikasjonsmyndighet kan fastsette nærmere prosedyrer for varsling.”

Krav om varsling er lovpålagt i ekomloven § 2-7. Vern av kommunikasjon og data:

Tilbyder skal gjennomføre nødvendige sikkerhetstiltak for vern av kommunikasjon og data i egne elektroniske kommunikasjonsnett og -tjenester.

Tilbyder skal uten ugrunnet opphold og senest innen 24 timer varsle abonnent eller bruker dersom det foreligger:

  1. særlig risiko for brudd på sikkerheten
  2. sikkerhetsbrudd som har skadet eller ødelagt data, eller
  3. sikkerhetsbrudd som har krenket personvernet til abonnement eller bruker.


Hendelsesrapporten skal følge mal for hendelsesrapporter og sendes til ekomvarsling@nkom.no innen den angitte tidsfristen.

Hendelsesrapporter

Etter en hendelse kan Nkom kreve utfyllende hendelsesrapporter for å undersøke hendelsen nærmere. Nkom kan også kreve hendelsesrapporter ved hendelser der tilbyder selv ikke vurderte at varsling var nødvendig.

Mal for hendelsesrapport til Nkom

Denne malen skal benyttes når Nkom anmoder om hendelsesrapport for å følge opp en hendelse. Nkom vil gi oppgi tidsfrist for når rapporten skal være Nkom i hende.

Hvordan sendes hendelsesrapporten?

Rapporten oversendes fortrinnsvis via e-post til ekomvarsling@nkom.no.

Eventuelt kan rapporten sendes til postadresse:

Nasjonal kommunikasjonsmyndighet, seksjon SB
Postboks 93
4791 Lillesand

Hva skal hendelsesrapporten inneholde?

Beskrivelse av selve hendelsen og foranledningen til den

  • Hvor skjedde hendelsen?
  • Når skjedde hendelsen?
  • Når ble hendelsen oppdaget?
  • Hvordan ble hendelsen detektert /rapportert?
  • Hva var årsak til hendelsen (eventuelt antatt årsak, og hvilke tiltak som eventuelt er iverksatt for å identifisere årsak)?

Direkte konsekvenser av hendelsen

  • Teknisk skadeomfang, både direkte skader og følgeskader.
  • Svikt i / utfall av tjenesteleveranse til egne sluttkunder og andre tilbydere.
    • Informasjon om hvilke tjenester som er omfattet
    • Beskrivelse av geografisk kundeområde som er berørt
    • Informasjon om samfunnsviktige brukere ble rammet, som eksempelvis sykehus og konkret hvilke institusjoner dette gjelder
    • Informasjon om varighet mellom bortfall av tjeneste og når tjenesten ble regnet som tilgjengelig igjen for sluttkunder og andre tilbydere

Skadeforebyggende tiltak

  • Eventuelle tiltak iverksatt for å forhindre/redusere antallet slike hendelser for senere.
  • Informasjon om mulige reduserte skader og/eller konsekvenser ved denne type tiltak.

Skadereduserende tiltak

  • Tiltak iverksatt for å redusere skadekonsekvensene av hendelsen etter at den var detektert. Beskrivelse av tiltak, tidspunkt for iverksettelse, hvem iverksatte tiltaket, hvilke resultater ga tiltaket.
  • Varsling til myndigheter, egne kunder og andre tilbydere. Når, til hvilken funksjon, informasjon formidlet og type varslingsmedium benyttet.
  • Ble myndighetsregulert utstyr benyttet til å håndtere hendelsen?
  • I tilfelle JA; Gi en kortfattet beskrivelse av hvilket utstyr og geografisk plassering.
    Hva var erfaringen knyttet til bruken av utstyret?

Utbedring/reparasjon

  • Tiltak iverksatt for å utbedre skade(r).
  • Tidsplan for gjennomføring av tiltak.
  • Tidspunkt for normalsituasjon.

Erfaringer og vurderinger

  • Hva kunne vært gjort annerledes i forkant og under håndtering av hendelsen? Vurder dette i forhold til eksisterende/manglende rutiner/tiltak og eventuelt avvik fra rutiner.
  • Hvis skadeforebyggende og skadereduserende tiltak ikke hadde fungert, hvilke konsekvenser ville dette hatt for skadeomfanget (teknisk og svikt/utfall av tjenesteleveranse) ved hendelsen?
  • Hva kan gjøres for å eliminere/redusere faren for gjentagelse av hendelsen?
  • Hva kan gjøres for å eliminere/redusere eventuelle skader (antall/omfang)?

Kontaktperson

  • Kontaktperson hos tilbyder (telefon og e-post) for eventuell oppfølging