Hopp til innhold
Du er her: Forsiden Teknisk Tillitstjenester eIDAS Rapportering av sikkerhetshendelser
Sist oppdatert

Rapportering av sikkerhetshendelser

I henhold til eIDAS-forordningen artikkel 19 i skal både kvalifiserte og ikke-kvalifiserte tilbydere av tillitstjenester rapportere de sikkerhetshendelser eller tap av integritet som i betydelig grad har påvirket tillitstjenesten eller de personopplysninger som inngår i denne tjenesten. Så snart som mulig, og senest innen 24 timer etter at hendelsen ble oppdaget, skal tilbyder melde fra om en slik hendelse.

Hendelsen skal rapporteres til Nkom, og i noen tilfeller skal det også rapporteres til Datatilsynet.

I tillegg skal tilbyderne underrette de fysiske og juridiske personer som hendelsen har hatt negativ innvirkning på.

Dersom man vurderer at sikkerhetshendelsen eller integritetstapet har offentlig interesse skal Nkom informere offentligheten. Nkom kan også kreve at tilbyderen informerer offentligheten om hendelsen.

Nkom skal gi et sammendrag av rapporterte hendelser til EUs Byrå for nettverk og informasjonssikkerhet (ENISA).

Hvilke sikkerhetshendelser skal varsles?

Alle sikkerhetshendelser som tilbyder av tillitstjenester vurderer til å ha betydelig påvirkning på tillitstjenester eller personopplysninger skal varsles/rapporteres. Tilbydere av tillitstjenester skal kun rapportere sikkerhetshendelser som omfatter systemer eller prosesser som er under tilbyderens kontroll. I de tilfeller hvor kjernefunksjonalitet blir ivaretatt av en tredjepart, er tilbyderen av tillitstjenester ansvarlig for å varsle om sikkerhetshendelser som forekommer i tredjeparts systemer eller prosedyrer.

For å vurdere hvorvidt en sikkerhetshendelse har betydelig påvirkning på tillitstjenester eller personopplysninger, brukes skalaen som er vist i tabellen nedenfor. Sikkerhetshendelser som er av alvorlighetsgrad 3 eller høyere, skal varsles.

Alvorlighetsgrad og omfang:

  1. Ingen påvirkning 
  2. Ubetydelig påvirkning: Tilbyders ressurser er berørt men ingen påvirkning på tjenestene 
  3. Betydelig påvirkning: Mindre andel av kunder/tjenester er berørt 
  4. Stor påvirkning: Stor andel av kunder/tjenester er berørt 
  5. Katastrofe: Hele organisasjonen og alle kunder/tjenester er berørt


En sikkerhetshendelse som kun omfatter en enkelt kunde skal i utgangspunktet ikke varsles. Unntakene for dette er som følger:

  • Dersom det oppstår et større antall enkelthendelser med utspring i, eller som kan relateres til samme årsak. 
  • Dersom sikkerhetshendelsen avdekker en sårbarhet som potensielt kan føre til at et større antall kunder kan bli berørt. 
  • Dersom hendelsen omfatter kunder med samfunnskritiske funksjoner eller andre tilbyderes tjenester.

Skjema

Roller i Altinn (e-skjema)

Om du skal søke på vegne av en virksomhet, husk å velge riktig aktør før du fyller ut skjema. Om du ikke har en rolle for din virksomhet, må du få noen som har tilgangsrettighet til å delegere den til deg før du benytter skjemaet. Rollen som benyttes er "Utfyller/innsender".

Les mer om roller og rettigheter: