Rapportering av
Säkerhetsskyddsincidenter
Instruktion
DOKUMENTNAMN/TITEL
DATUM
VERSION
Instruktion –
2016-03-29
0.1
FÖRFATTARE
SEKRETESS
DIARIENR
Petter Elfström
Öppen
2015/593
Rapportering av Säkerhetskyddsincidenter
DOKUMENTNAMN/TITEL
DATUM
VERSION
Instruktion –
2016-03-29
0.1
FÖRFATTARE
SEKRETESS
DIARIENR
Petter Elfström
Öppen
2015/593
Rapportering av Säkerhetskyddsincidenter
Bakgrund
Svenska kraftnät har enligt 45 § säkerhetsskyddsförordningen (1996:633) rätt att
utfärda föreskrifter för enskilda och juridiska personer som bedriver
elförsörjningsverksamhet vilken omfattas av säkerhetsskyddslagen (1996:627). I 4
§, Affärsverket svenska kraftnäts föreskrifter och allmänna råd om säkerhetsskydd,
framgår att Svenska kraftnät ska informeras om incidenter som har eller kan ha
betydelse för säkerhetsskyddet. Säkerhetsskyddschefen hos rapporterande
organisation bör göra en bedömning vid varje enskilt tillfälle om fel och brister är
av sådan karaktär att de ska rapporteras till Svenska kraftnät.
Med säkerhetsskydd avses någon/flera av nedan listade punkter:
1
Skydd mot brott som kan hota rikets säkerhet
2
Skydd av hemliga uppgifter som rör rikets säkerhet
3
Skydd mot terrorism.
Säkerhetsskydd innebär alltså att myndigheter och andra för vilka
säkerhetsskyddslagstiftningen gäller ska vidta förebyggande åtgärder för att skydda
mot brott som kan hota rikets säkerhet, såsom spioneri och sabotage samt mot
terrorism.
Med bakgrund av senare års förändrade geopolitiska omvärldsläge, nya
terroraktörer och trender, samt inte minst avancerade och storskaliga
hackerattacker vill Svenska kraftnät noga följa vilka säkerhetsskydds-incidenter
som inträffar inom elsektorn. Genom att noggrant följa detta möjliggörs att nya
trender och angreppsmetoder kan motverkas tidigt så att onödiga och farliga
skadeeffekter kan undvikas. Rapportering av säkerhetsskyddsincidenter är en
viktig förutsättning för att i tid kunna förebygga skadeeffekter med rätt typer av
preventiva åtgärder.
Syfte & mål
Trots den höga angelägenhetsgraden inkommer endast ett fåtal rapporter om
säkerhetsskyddsincidenter till Svenska kraftnät från elbolag varje år. Med tanke på
att det finns ett stort antal elbolag i Sverige och att incidenter som har eller kan ha
betydelse för säkerhetsskyddet ska rapporteras borde inflödet sannolikt vara större.
Svenska kraftnät vill genom denna instruktion underlätta för elbolagens
säkerhetsskyddschefer att bedöma och rapportera in säkerhetsskyddsincidenter.
Med dessa incidentrapporter som underlag ges Svenska kraftnät bättre möjligheter
att erbjuda stöd och råd för incidenthanteringen och vid efterfrågan även större
möjlighet att förmedla kvalificerat incidentutredningsstöd från expertmyndigheter.
3
DOKUMENTNAMN/TITEL
DATUM
VERSION
Instruktion –
2016-03-29
0.1
FÖRFATTARE
SEKRETESS
DIARIENR
Petter Elfström
Öppen
2015/593
Rapportering av Säkerhetskyddsincidenter
Det huvudsakliga syftet med rapporteringen av säkerhetsskyddsincidenter är att
skapa en bred och samlad bild över vilka typer av säkerhetsskyddsincidenter som
inträffar och i vilken omfattning de inträffar så att rätt förebyggande åtgärder kan
vidtas.
Målet är att kunskapen om säkerhetsskyddsincidenternas natur och omfattning ska
resultera i anpassade och effektiva motåtgärder som i sin tur ökar förmågan att
förebygga, motstå, återhämta och lära av inträffade säkerhetsskyddsincidenter.
Målgrupp
Målgruppen för denna instruktion är primärt säkerhetsskyddschefer i
elnätsföretag, elhandelsföretag och elproduktionsföretag som bedriver
elförsörjningsverksamhet. Instruktionen riktar sig även till chefer och medarbetare
som på något sätt är involverade i företagets incidenthanteringsprocesser.
Vad är en säkerhetsskyddsincident
En säkerhetsskyddsincident är en säkerhetsincident som utgör brott/hot mot rikets
säkerhet (spioneri, sabotage och terrorism). Två delar är särskilt viktiga i
bedömningen om det är en säkerhetsskyddsincident eller inte; aktören respektive
aktörens uppsåt. Bedömningen kan därför göras i två steg.
En säkerhetsskyddsincident grundar sig i misstankar om en antagonistisk
handling. Antagonisten är en eller flera personer som har uppsåt att begå brott mot
rikets säkerhet eller att begå terrorbrott. Om det inträffade uppenbart är en olycka
eller ett mänskligt misstag är det inte fråga om en säkerhetsskyddsincident. Om det
inte kan uteslutas att det ligger en person med sådant brottsligt uppsåt som anges
ovan bakom det inträffade är det viktigt att agera som om det är ett uppsåtligt
angrepp.
Gemensamt för brott mot rikets säkerhet är att de medför allvarliga och negativa
konsekvenser för Sverige och de människor som bor och vistas i Sverige. Genom att
ställa sig följande frågor kan värdering av de negativa effekterna ge vägledning:
1
Påverkas ett större antal människors liv och hälsa?
2
Påverkas ett större geografiskt område? Är denna påverkan långvarig och/eller
inträffar den vid en olämplig tidpunkt?
3
Får händelsen allvarliga sociala, ekonomiska och/eller politiska konsekvenser
för samhället?
4
Påverkas andra samhällsviktiga verksamheter allvarligt?
5
Finns det risk att allvarliga negativa konsekvenser uppstår i framtiden?
4
DOKUMENTNAMN/TITEL
DATUM
VERSION
Instruktion –
2016-03-29
0.1
FÖRFATTARE
SEKRETESS
DIARIENR
Petter Elfström
Öppen
2015/593
Rapportering av Säkerhetskyddsincidenter
Om svaret är ja på en eller flera av dessa frågor är risken stor för att det kan röra sig
om brott mot rikets säkerhet.
Om du bedömer att det finns ett orsakssamband mellan den misstänkta angriparen
och det misstänkta brottet (brott mot rikets säkerhet eller terrorism) ska du
hantera det inträffade som en säkerhetsskydds-incident, dvs. rapportera händelsen
till Svenska kraftnät enligt anvisningarna i denna instruktion. En brottsanmälan till
polisen skall också göras.
Dokumentation
Inrapportering
Den som upptäcker en misstänkt säkerhetsskyddsincident ska genast meddela
säkerhetsskyddschefen om det inträffade. Om säkerhetschefen bedömer att det är,
eller kan röra sig om, en säkerhetsskyddsincident ska en incidentrapport
sammanställas (Rapport - Säkerhetsskyddsincident) och skickas så snart som
möjligt, senast inom 24 timmar efter upptäckt, med rekommenderat brev till:
Svenska kraftnät
Att. Säkerhetsskyddschefen
Box 1200
172 24 Sundbyberg
Med tanke på att en incident kan utveckla sig på olika sätt och ha olika
komplexitetsgrad (speciellt IT-incidenter) finns inte alltid fullständig information
inom 24 timmar. Delrapportering med de grundläggande uppgifterna och
nulägesbild kan därför bli nödvändig. När mer information finns tillgänglig kan
kompletteringar göras.
Notera att denna instruktion avser incidentrapportering och inte
incidenthantering. Hantering av inträffad incident ansvarar företaget själv för.
Svenska kraftnät kan då förutsättningar finns däremot bistå med stöd och råd för
incidenthanteringen samt förmedla kvalificerat incidentutredningsstöd från
expertmyndigheter vid behov.
Rapporthantering
Inkommen incidentrapport till Svenska kraftnät diarieförs utan dröjsmål och
tilldelas ansvarig handläggare. Därmed påbörjas handläggningen av den inkomna
rapporten utifrån de behov som framkommer av incidentrapportens innehåll.
Incidentinformation som är av värde för andra berörda aktörer kommer i den mån
det är lagligt, möjligt och lämpligt att så snart det är möjligt vidarebefordras.
Sekretess-bedömning görs i varje enskilt fall. Inkomna incidentrapporter
sammanställs årligen av SvK. Sammanställningen ligger till grund för en rapport
innehållande analys med slutsatser samt ev. åtgärdsförslag. Denna bereds inom
5
DOKUMENTNAMN/TITEL
DATUM
VERSION
Instruktion –
2016-03-29
0.1
FÖRFATTARE
SEKRETESS
DIARIENR
Petter Elfström
Öppen
2015/593
Rapportering av Säkerhetskyddsincidenter
beslutas av Svenska kraftnät. Lämpliga och öppna delar av denna rapport
kommuniceras med berörda inom elsektorn.
6