Rapportering av Säkerhetsskyddsincidenter Instruktion DOKUMENTNAMN/TITEL DATUM VERSION Instruktion – 2016-03-29 0.1 FÖRFATTARE SEKRETESS DIARIENR Petter Elfström Öppen 2015/593 Rapportering av Säkerhetskyddsincidenter DOKUMENTNAMN/TITEL DATUM VERSION Instruktion – 2016-03-29 0.1 FÖRFATTARE SEKRETESS DIARIENR Petter Elfström Öppen 2015/593 Rapportering av Säkerhetskyddsincidenter Bakgrund Svenska kraftnät har enligt 45 § säkerhetsskyddsförordningen (1996:633) rätt att utfärda föreskrifter för enskilda och juridiska personer som bedriver elförsörjningsverksamhet vilken omfattas av säkerhetsskyddslagen (1996:627). I 4 §, Affärsverket svenska kraftnäts föreskrifter och allmänna råd om säkerhetsskydd, framgår att Svenska kraftnät ska informeras om incidenter som har eller kan ha betydelse för säkerhetsskyddet. Säkerhetsskyddschefen hos rapporterande organisation bör göra en bedömning vid varje enskilt tillfälle om fel och brister är av sådan karaktär att de ska rapporteras till Svenska kraftnät. Med säkerhetsskydd avses någon/flera av nedan listade punkter: 1 Skydd mot brott som kan hota rikets säkerhet 2 Skydd av hemliga uppgifter som rör rikets säkerhet 3 Skydd mot terrorism. Säkerhetsskydd innebär alltså att myndigheter och andra för vilka säkerhetsskyddslagstiftningen gäller ska vidta förebyggande åtgärder för att skydda mot brott som kan hota rikets säkerhet, såsom spioneri och sabotage samt mot terrorism. Med bakgrund av senare års förändrade geopolitiska omvärldsläge, nya terroraktörer och trender, samt inte minst avancerade och storskaliga hackerattacker vill Svenska kraftnät noga följa vilka säkerhetsskydds-incidenter som inträffar inom elsektorn. Genom att noggrant följa detta möjliggörs att nya trender och angreppsmetoder kan motverkas tidigt så att onödiga och farliga skadeeffekter kan undvikas. Rapportering av säkerhetsskyddsincidenter är en viktig förutsättning för att i tid kunna förebygga skadeeffekter med rätt typer av preventiva åtgärder. Syfte & mål Trots den höga angelägenhetsgraden inkommer endast ett fåtal rapporter om säkerhetsskyddsincidenter till Svenska kraftnät från elbolag varje år. Med tanke på att det finns ett stort antal elbolag i Sverige och att incidenter som har eller kan ha betydelse för säkerhetsskyddet ska rapporteras borde inflödet sannolikt vara större. Svenska kraftnät vill genom denna instruktion underlätta för elbolagens säkerhetsskyddschefer att bedöma och rapportera in säkerhetsskyddsincidenter. Med dessa incidentrapporter som underlag ges Svenska kraftnät bättre möjligheter att erbjuda stöd och råd för incidenthanteringen och vid efterfrågan även större möjlighet att förmedla kvalificerat incidentutredningsstöd från expertmyndigheter. 3 DOKUMENTNAMN/TITEL DATUM VERSION Instruktion – 2016-03-29 0.1 FÖRFATTARE SEKRETESS DIARIENR Petter Elfström Öppen 2015/593 Rapportering av Säkerhetskyddsincidenter Det huvudsakliga syftet med rapporteringen av säkerhetsskyddsincidenter är att skapa en bred och samlad bild över vilka typer av säkerhetsskyddsincidenter som inträffar och i vilken omfattning de inträffar så att rätt förebyggande åtgärder kan vidtas. Målet är att kunskapen om säkerhetsskyddsincidenternas natur och omfattning ska resultera i anpassade och effektiva motåtgärder som i sin tur ökar förmågan att förebygga, motstå, återhämta och lära av inträffade säkerhetsskyddsincidenter. Målgrupp Målgruppen för denna instruktion är primärt säkerhetsskyddschefer i elnätsföretag, elhandelsföretag och elproduktionsföretag som bedriver elförsörjningsverksamhet. Instruktionen riktar sig även till chefer och medarbetare som på något sätt är involverade i företagets incidenthanteringsprocesser. Vad är en säkerhetsskyddsincident En säkerhetsskyddsincident är en säkerhetsincident som utgör brott/hot mot rikets säkerhet (spioneri, sabotage och terrorism). Två delar är särskilt viktiga i bedömningen om det är en säkerhetsskyddsincident eller inte; aktören respektive aktörens uppsåt. Bedömningen kan därför göras i två steg. En säkerhetsskyddsincident grundar sig i misstankar om en antagonistisk handling. Antagonisten är en eller flera personer som har uppsåt att begå brott mot rikets säkerhet eller att begå terrorbrott. Om det inträffade uppenbart är en olycka eller ett mänskligt misstag är det inte fråga om en säkerhetsskyddsincident. Om det inte kan uteslutas att det ligger en person med sådant brottsligt uppsåt som anges ovan bakom det inträffade är det viktigt att agera som om det är ett uppsåtligt angrepp. Gemensamt för brott mot rikets säkerhet är att de medför allvarliga och negativa konsekvenser för Sverige och de människor som bor och vistas i Sverige. Genom att ställa sig följande frågor kan värdering av de negativa effekterna ge vägledning: 1 Påverkas ett större antal människors liv och hälsa? 2 Påverkas ett större geografiskt område? Är denna påverkan långvarig och/eller inträffar den vid en olämplig tidpunkt? 3 Får händelsen allvarliga sociala, ekonomiska och/eller politiska konsekvenser för samhället? 4 Påverkas andra samhällsviktiga verksamheter allvarligt? 5 Finns det risk att allvarliga negativa konsekvenser uppstår i framtiden? 4 DOKUMENTNAMN/TITEL DATUM VERSION Instruktion – 2016-03-29 0.1 FÖRFATTARE SEKRETESS DIARIENR Petter Elfström Öppen 2015/593 Rapportering av Säkerhetskyddsincidenter Om svaret är ja på en eller flera av dessa frågor är risken stor för att det kan röra sig om brott mot rikets säkerhet. Om du bedömer att det finns ett orsakssamband mellan den misstänkta angriparen och det misstänkta brottet (brott mot rikets säkerhet eller terrorism) ska du hantera det inträffade som en säkerhetsskydds-incident, dvs. rapportera händelsen till Svenska kraftnät enligt anvisningarna i denna instruktion. En brottsanmälan till polisen skall också göras. Dokumentation Inrapportering Den som upptäcker en misstänkt säkerhetsskyddsincident ska genast meddela säkerhetsskyddschefen om det inträffade. Om säkerhetschefen bedömer att det är, eller kan röra sig om, en säkerhetsskyddsincident ska en incidentrapport sammanställas (Rapport - Säkerhetsskyddsincident) och skickas så snart som möjligt, senast inom 24 timmar efter upptäckt, med rekommenderat brev till: Svenska kraftnät Att. Säkerhetsskyddschefen Box 1200 172 24 Sundbyberg Med tanke på att en incident kan utveckla sig på olika sätt och ha olika komplexitetsgrad (speciellt IT-incidenter) finns inte alltid fullständig information inom 24 timmar. Delrapportering med de grundläggande uppgifterna och nulägesbild kan därför bli nödvändig. När mer information finns tillgänglig kan kompletteringar göras. Notera att denna instruktion avser incidentrapportering och inte incidenthantering. Hantering av inträffad incident ansvarar företaget själv för. Svenska kraftnät kan då förutsättningar finns däremot bistå med stöd och råd för incidenthanteringen samt förmedla kvalificerat incidentutredningsstöd från expertmyndigheter vid behov. Rapporthantering Inkommen incidentrapport till Svenska kraftnät diarieförs utan dröjsmål och tilldelas ansvarig handläggare. Därmed påbörjas handläggningen av den inkomna rapporten utifrån de behov som framkommer av incidentrapportens innehåll. Incidentinformation som är av värde för andra berörda aktörer kommer i den mån det är lagligt, möjligt och lämpligt att så snart det är möjligt vidarebefordras. Sekretess-bedömning görs i varje enskilt fall. Inkomna incidentrapporter sammanställs årligen av SvK. Sammanställningen ligger till grund för en rapport innehållande analys med slutsatser samt ev. åtgärdsförslag. Denna bereds inom 5 DOKUMENTNAMN/TITEL DATUM VERSION Instruktion – 2016-03-29 0.1 FÖRFATTARE SEKRETESS DIARIENR Petter Elfström Öppen 2015/593 Rapportering av Säkerhetskyddsincidenter beslutas av Svenska kraftnät. Lämpliga och öppna delar av denna rapport kommuniceras med berörda inom elsektorn. 6