Rutin för rapportering inom Auktorisationssystem för elektronisk identifiering

Bakgrund

Enligt förordningen (2023:709) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post har Myndigheten för digital förvaltning (Digg) utsetts till att vara Tillhandahållande myndighet av auktorisationssystem för bland annat elektronisk identifiering.

Av ”Anslutningsavtal för Auktorisationssystem för elektronisk identifiering”, som Tillhandahållande myndighet ingår med Leverantörer (hädanefter ”Anslutningsavtal för Leverantör”) respektive Offentliga aktörer (hädanefter ”Anslutningsavtal för Offentlig aktör”), framgår att Digg ska ta fram en rutin för rapportering av de händelser som definieras i respektive avtal. Rutinen ska tas fram i samråd med Leverantörer och Offentliga aktörer och publiceras på Diggs webbplats.

Definitioner

De ord och begrepp som används i denna rutin har samma innebörd som i ”Anslutningsavtal Auktorisationssystem för elektronisk identifiering”.

Leverantörers rapportering

I enlighet med Anslutningsavtal för Leverantör omfattar denna rutin rapportering av följande händelser:

• Planerade avbrott som beror på underhållsåtgärder som är nödvändiga på grund av utveckling, underhåll eller driftmässiga skäl som medför att Leverantören behöver begränsa tillgängligheten till/och eller nyttjande av Identifierings- och intygsfunktionen och Funktionen för elektroniska underskrifter.
• Oplanerade avbrott som beror på oförutsedda och oplanerade händelser som medför att Leverantören snabbt behöver genomföra ett icke-planerat serviceavbrott.
• Missbruk av tjänster eller andra oönskade och oplanerade händelser som påverkar säkerheten i de tjänster som Leverantören ska tillhandahålla enligt anslutningsavtalet.
• Ändringar i tjänst, såsom nya eller ändrade funktioner i tjänst som kan ha påverkan för Offentlig aktör.

Offentliga aktörers rapportering

I enlighet med Anslutningsavtal för Offentlig aktör omfattar denna rutin rapportering av följande händelser:

• Missbruk av de tjänster som den Offentliga aktören nyttjar enligt Anslutningsavtalet och som upptäcks av den Offentliga aktören.

1. Uppgifter om kontaktvägar

1.1 Leverantörer och Offentliga aktörer ska vid ansökan till Auktorisationssystem för elektronisk identifiering meddela Tillhandahållande myndighet aktuell kontaktväg för mottagandet av rapportering och information i enlighet med denna rutin.

1.2 Kontaktvägarna ska vara aktuella och ändringar ska genast meddelas Tillhandahållande myndighet via myndighetens kontaktvägar enligt avsnitt 2.

2. Kontaktvägar

2.1 Leverantör ska etablera och upprätthålla en informationskanal för att förmedla information om planerade och oplanerade avbrott.

2.2 Offentliga aktörer ansvarar för att relevant funktion inom organisationen prenumerera på information via kanalen, för att ta del av den rapportering som sker via denna informationskanal.

2.3 Tillhandahållande myndighet ska på sin webbplats publicera information om myndighetens kontaktvägar och om hur rapportering och information kan lämnas till myndigheten i enlighet med denna rutin.

2.4 Tillhandahållande myndighet ska på sin webbplats publicera information om Leverantörs informationskanal som har etablerats enligt avsnitt 2.1.

• Kontaktvägar till leverantörer: Leverantörer inom Auktorisationssystem för elektronisk identifiering
• Kontaktväg till tillhandahållande myndighet: e-legitimation@digg.se

3. Rapportering från Leverantör

3.1 Rapportering av planerade och oplanerade avbrott

3.1.1 Leverantörer ska rapportera planerade och oplanerade avbrott enligt 8.13 i anslutningsavtalet.

3.1.2 Rapportering av planerade avbrott

Leverantörer ska rapportera planerade avbrott genom att skicka information via den informationskanal som upprättats enligt avsnitt 2. Rapporteringen ska göras med så god framförhållning att Offentlig aktör kan vidta nödvändiga åtgärder och alltid minst 48 timmar i förväg.

Rapporten ska innehålla information om:

a) Vilken tjänst/funktion som avbrottet gäller.

b) När avbrottet planeras ske.

c) Hur länge avbrottet kommer pågå.

d) Hur avbrottet påverkar användare av tjänsten.

3.1.3 Rapportering av oplanerade avbrott

Leverantörer ska omedelbart rapportera oplanerade avbrott genom att omedelbart skicka information till Tillhandahållande myndighets publicerade kontaktväg samt genom att skicka information till Offentliga aktörer via sin informationskanal.

Rapporten ska innehålla information om:

a) Vilken tjänst/funktion som avbrottet gäller.

b) Tidpunkt för avbrottet.

c) Beräknad tidpunkt för när tjänsten/funktionen bedöms vara återställd.

d) Om tjänsten/funktionen inte är återställd enligt beräknad tid ska ny rapport lämnas med uppgift om ny beräknad tidpunkt för när tjänsten/funktionen bedöms kunna vara återställd.

e) Hur avbrottet påverkar användare av tjänsten.

3.2 Rapportering av missbruk av tjänster eller andra oönskade och oplanerade händelser

3.2.1 Leverantören ska rapportera missbruk av tjänster eller andra oönskade och oplanerade händelser som påverkar säkerheten i de tjänster som Leverantören tillhandahåller, enligt 8.11 anslutningsavtalet.

3.2.2 Leverantör ska omedelbart rapportera sådant missbruk och sådana händelser till Tillhandahållande myndighets funktionsbrevlåda e-legitimation@digg.se.

3.2.3 Leverantör ska omedelbart rapportera sådant missbruk och sådana händelser till Offentlig aktör via den informationskanal som etablerats enligt avsnitt 2.1.

Rapporten ska innehålla information om:

a) Vilken tjänst/funktion som påverkas av händelsen.

b) Tidpunkt för händelsen.

c) Beräknad tidpunkt för när tjänsten/funktionen bedöms vara återställd.

d) Om tjänsten/funktionen inte är återställd enligt beräknad tid ska ny rapport lämnas med uppgift om ny beräknad tidpunkt för när tjänsten/funktionen bedöms kunna vara återställd.

e) Hur avbrottet påverkar användare av tjänsten.

3.2.4 Med missbruk av tjänsten avses en handling eller underlåtenhet som innebär att de tjänster Leverantören ska tillhandahålla, används på ett sätt som strider mot avsedd användning och som kan ge upphov till en rapporteringspliktig säkerhetsincident.

3.3 Rapportering av ändringar i tjänst och andra åtaganden till Offentlig aktör och Tillhandahållande myndighet

3.3.1 Leverantörer ska rapportera ändringar i tjänst och andra åtaganden som påverkar tjänsten enligt 8.12 i Anslutningsavtal för Leverantör. Rapporteringen ska ske minst sex (6) månader före det att ändringen träder i kraft.

3.3.2 Leverantörer ska skicka information till Tillhandahållande myndighets publicerade kontaktväg samt genom att skicka information till berörda Offentliga aktörer via sin informationskanal.

4. Rapportering från Offentlig aktör

4.1 Om Offentlig aktör upptäcker missbruk av de tjänster som den Offentliga aktören nyttjar enligt sitt anslutningsavtal, ska den Offentliga aktören skyndsamt rapportera detta.

4.2 Rapportering av sådan information ska ske till Tillhandahållande myndighets publicerade kontaktväg.

5. Rapportering enligt andra rutiner

5.1 Om en händelse som rapporterats enligt 3.2 i denna rutin även utgör en rapporteringspliktig säkerhetsincident enligt Bilaga 4 till Licensavtal för utfärdare av Svensk e-legitimation, ska Leverantören även rapportera händelsen enligt bestämmelserna i dessa avtal.