Risk- och incidenthantering

Publicerat av: Emma Johansson

Riskhantering handlar om att identifiera och bedöma hot samt vidta åtgärder för att hantera dem. Genom att förstå sina risker kan organisationer förebygga eller minska dem.

Incidenthantering inkluderar prevention och hantering av tjänsteavbrott. Med en hög terrorhotnivå i Sverige är det viktigt med bra säkerhetsrutiner för personal, fysiska säkerhet, och informations- och cybersäkerhet.

Svenska kraftnät publicerar regelbundet en öppen hotbild med olika typer av antagonister, omvärldsbevakning och bedömning av terrorhotnivåer samt de hot som Svk anser vara mest relevanta för verksamheter i elförsörjningen. Se öppen antagonistisk hotbild för svensk elförsörjning FINAL (svk.se)

 Den här hotbilden kan användas som stöd för att identifiera hot och risker inom energiförsörjningen. Även höjningen av den nationella terrorhotnivån ska påminna alla samhällsaktörer om vikten av förebyggande arbete för att minska risken för attentat.  Mer information finns att läsa på Säpos webbplats.

 MSB erbjuder vägledningar som stöd i det förebyggande arbetet mot attentat och hot:  Vägledning ”Säkerhet i offentlig miljö, skydd mot antagonistiska hot och terrorism”

För en effektiv verksamhet behöver man kontrollera sina tillgångar, särskilt informationen. Säkra lösningar krävs för att bevara tryggheten och förmågan i organisationen samt för att vara förberedd på det oväntade. Om kontinuitetshantering, från MSB:s webbplats

Detta är incidenthantering

Att snabbt återställa normal drift och minimera negativ påverkan på verksamheten är vitalt. Det kräver standardiserade rutiner för ingripande, analys, dokumentation och rapportering av incidenter, och att anpassa hanteringen efter verksamhetsmål och prioriteringar.

Grundläggande begrepp

  1. Incident: ett oplanerat avbrott i en IT-tjänst eller reduktion i kvaliteten hos en IT-tjänst. Fel i en konfigurationsenhet som ännu inte påverkat tjänsten är också en Incident. 
  2. Allvarlig incident: ofta en separat procedur, längre tidsramar och större angelägenhet. 
  3. Tidsramar: tidsramar måste sättas för de olika stegen i Incidenthanteringsprocessen och tydligt kommuniceras till alla inblandade i supporten. Tidsramar är ofta kopplade till en eventuell eskalering av incidenten konsekvenser och efterföljder.

Incidentutredning – att tänka på

Verksamheter som anmält sin verksamhet enligt cybersäkerhetslagen ska utan dröjsmål rapportera incidenter till Myndigheten för civilt försvar. Nya föreskrifter om incidentrapportering och informationsskyldighet kopplat till nya cybersäkerhetslagen föreslås träda i kraft 1 juli 2026.

Håll Incidenthanteringshandboken lättillgänglig vid incidenter. Om incidenten har brottslig grund, rapportera även till polisen och aktivera krisledning vid behov.

  • Vad har hänt? – Identifiera incidenten!
  • Incidentrapport till vilken myndighet? - Beror på om incidenten träffar säkerhetsskydd, GDPR och/eller CSL
  • Utredningen: – Vilka involveras? – Vilken information används? – Teknisk bevisning? – Polisanmälan? 
  • Arbetsrättsliga åtgärder? – Informera facket?
  • IT-brott och tvångsmedel?
  • Process efteråt vid ev. rättsliga åtgärder?

Ytterligare information om incidenthantering

Anmälan vid säkerhetshotande händelser - Säkerhetspolisen 

Rapportera incident enligt cybersäkerhetslagen (NIS2)

Kontakta MCF/CERT-SE på cert@cert.se eller 010 - 240 40 40

IR-ON (msb.se) rapportering digitalt till CERT- SE