Hoppa till innehåll

Yttrande avseende incidentrapportering och informationsskyldighet enligt ny cybersäkerhetslag

Tidsramar och informationsskyldighet
SOFF och Teknikföretagen tillstyrker att rapportering ska ske inom 24 timmar efter upptäckt incident. Samtidigt är det avgörande att det tydligt framgår att den första rapporten ofta kommer att vara ofullständig samt att rapporteringen måste kunna ske stegvis med löpande kompletteringar. Detta bör tydliggöras direkt i föreskrifterna för att undvika rättsosäkerhet.

Metod och behörighetsstruktur
I dagsläget råder betydande oklarhet kring var rapportering ska ske, hur rapporteringen tekniskt ska genomföras samt vem inom organisationen som ska vara behörig rapportör.

SOFF och Teknikföretagen anser att MSB bör införa en nationell, säker och användarvänlig rapporteringsportal samt synliggöra autentisering, behörighetsstyrning och sekretesskydd. Rapporteringssystemets utformning är en avgörande förutsättning för faktisk efterlevnad och informationssäkerhet.

Återkoppling och systemnytta
Ett tydligt behov från företag är att rapporteringen inte bör upplevas som ett ”svart hål”. För att systemet ska bli säkerhetshöjande i praktiken bör företagen få återkoppling på inrapporterade incidenter. Det vore även önskvärt om MSB till näringslivet återkommande redovisar hur viss information används och dela analyser samt lärdomar.

Beredskap och proportionalitet
Rapporteringskraven förutsätter i praktiken fungerande ledningssystem och tillgång till dygnet-runt-beredskap. Detta är ej realistiskt för många små och medelstora företag. Föreskrifterna är i stor utsträckning utformade för större organisationer och saknar tillräcklig anpassning för näringslivets mångfald. SOFF och Teknikföretagen efterfrågar därför ett tydligare beaktande av proportionalitetsprincipen även i rapporteringsdelarna.

Underskrift och juridiskt ansvar
Det råder osäkerhet kring vem som rättsligt ska underteckna incidentrapporter samt om detta i praktiken kan innebära krav på styrelsens medverkan i akuta lägen.

Föreningarna anser att incidentrapportering är en operativ funktion och att underskrift och ansvar bör kunna ligga på delegerad befattningshavare inom verksamheten. Vidare bör inte styrelsen behöva sammankallas för att uppfylla rapporteringsplikt.

Sammanfattning
Sammanfattningsvis föreslår SOFF och Teknikföretagen att MSB –

  • Tydliggör att initial rapportering får vara ofullständig
  • Snarast klargör var, hur och via vilken teknisk kanal rapportering ska ske
  • Säkerställer att företagen får återkoppling på rapporterad information
  • Inför tydligare proportionalitetskrav för små och medelstora företag

Klargör att incidentrapportering är ett operativt ansvar, inte ett styrelseansvar.