Inte helt lätt att incidentrapportera för att uppfylla NIS-direktivet

NIS-direktivet genomfördes i Sverige 2018, och ställer krav på informationssäkerhet och incidentrapportering för samhällsviktiga tjänster och digitala tjänster, uppdelade i sju sektorer:

  • Energi
  • Transporter
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektorn
  • Leverans och distribution av dricksvatten
  • Digital infrastruktur

Incidentrapporteringen är en viktig del för att lösa problemen med det enorma mörkertalet som idag gäller för cyberincidenter i EU, och skapa bättre insyn i både vilka angripare som verkar mot och inom EU, men också bygga lämpliga strategier för att hantera dessa. I Sverige sker rapportering till MSB. Det är dock inte helt självklart hur denna rapportering skall gå till.

 

Först och främst är de olika skrifter som reglerar NIS många, med mycket korsreferenser, som gör läsningen svår:

  • Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster
  • Förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster
  • Myndigheten för samhällsskydd och beredskaps föreskrifter om rapportering av incidenter för leverantörer av digitala tjänster
  • Myndigheten för samhällsskydd och beredskaps föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster.
  • Myndigheten för samhällsskydd och beredskaps föreskrifter om rapportering av incidenter för leverantörer av samhällsviktiga tjänster
  • Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster

Vill man veta vad som anses utgöra en avsevärd inverkan för digitala tjänster liksom säkerhetskrav på digitala tjänster, får man vända sig till Kommissionens genomförandeförordning (EU) 2018/151 av den 30 januari 2018, och vill man veta vad som anses utgöra störningar som får betydande inverkan på kontinuiteten i den samhällsviktiga tjänster, får man läsa detta per sektor i ”MSBFS 2018:9 föreskrifter och allmänna råd om rapportering av incidenter för leverantörer av samhällsviktiga tjänster”.

 

När en incident väl skall rapporteras, är det olika processer för leverantörer av digitala tjänster jämfört med samhällsviktiga tjänster. För leverantörer av digitala tjänster skall leverantören ansöka om att få ett incidentrapporteringskonto hos MSB – men tjänsten är ej i drift än, och det är oklart hur man förväntas använda tjänsten. Idag måste man rapportera incidenter både per telefon och post i tre skeden:

Skede 1 (inom 6 timmar från det att leverantören har identifierat att en incident är rapporteringspliktig)

  • CERT-SE vid MSB underrättas om incidenten via telefon på 010-240 40 40.
  • Man skall vara beredd att informera om ”skede 1” i incidentrapporteringsformuläret för leverantörer av digitala tjänster.

Skede 2 (inom 24 timmar från det att leverantören har identifierat att en incident är rapporteringspliktig)

  • Skriftlig rapportering om ”skede 1 och 2” i incidentrapporteringsformuläret för leverantörer av digitala tjänster, skickas via rekommenderat brev.

Skede 3 (inom 4 veckor från det första rapporteringstillfället)

  • skriftlig rapportering lämnas utifrån det tredje skedet (skede 3) i incidentrapporteringsformuläret för leverantörer av digitala tjänster.

 

För leverantörer av samhällsviktiga tjänster, fyller man i formulären för ”Incidentrapporteringsformulär leverantörer av samhällsviktiga tjänster” skede 1, 2 och 3.

Efter att ha gått igenom formulären kan jag konstatera att det krävs ordentliga förberedelser för att kunna svara i tid, och det tar mycket (!) med tid. Formuläret för skede 1 och 2 är 41 sidor långt, och formuläret för skede 3 är 16 sidor långt. Man får vara beredd att svara på frågor som:

  • Vilka externa leverantörer som är påverkade?
  • Om gränsöverskridande störning förekommer och i sådana fall i vilka länder i EU som påverkas
  • När inträffade störningen?
  • När blev ni uppmärksammade på störningen?
  • När inleddes hanteringen av störningen?
  • När upphörde störningen?
  • Hur många timmar tror man störningen kommer fortgå?
  • Om störningen gäller Sverige, vilka län kan drabbas?
  • Hur har incidenten påverkat systemens konfidentialitet, riktighet och tillgänglighet?
  • Beskrivning av incidentens orsaker
  • Vilka åtgärder planerar man, och vad är den planerade effekten?
  • Mm mm

 

Min personliga åsikt är att de här formulären är för extensiva. Sannolikheten att väldigt många fält besvaras med ”Okänt” och ”Kan ej bedöma”, vilket besegrar syftet. Jag förstår intentionen som är god, men jag tror det finns en överhängande risk för dåligt indata.

Min rekommendation är att alla organisationer som berörs av NIS-direktivet laddar ner formulären och börjar fylla i dem redan nu, för det kommer krävas förberedelser för att kunna rapportera in effektivt. En bra sak som kan komma ur detta, är om man använder det som ett underlag i kris- och kontinuitetsövningar, och faktiskt börjar identifiera hur stor omfattning störningar i vissa system kan få, och om det saknas viktiga säkerhetsåtgärder.

Posted in Informationssäkerhet, NIS, Security.