Här redovisas de rutiner som ska gälla för rapportering av säkerhetsrelaterade händelser, funktionsfel och övriga störningar för medlemmar i deras tjänster relaterade till Sambi.

Rapportera incident: kontakta Sambis federationsoperatör på info@sambi.se eller +46 8 452 35 00

Definitioner

• Rapporteringspliktig incident: en oönskad och oplanerad händelse som kan påverka användare, medlemmar eller den generella tilltron till Sambi, eller som kan innebära en störning i aktuell medlems förmåga att fullgöra åtaganden enligt regelverket,
• Allvarlig driftstörning: Rapporteringspliktig incident som har påverkan på aktuell medlems förmåga att fullgöra de driftrelaterade åtaganden som följer av regelverket för federationen och som kan innebära en betydande störning för medlem, samt
• Allvarlig säkerhetsincident: Rapporteringspliktig incident med påverkan på säkerhetsskyddet omgärdande hanteringen av tjänster, som kan komma att föranleda omedelbara åtgärder från federationsoperatörens sida.

Kontaktvägar

1. Federationsoperatören ska rapportera till medlemmar.
2. Medlemmar ska rapportera till federationsoperatören.
3. Varje medlem ska:
   1. etablera och upprätthålla kontaktvägar för rapportering till och från federationsoperatören, och
   2. hålla federationsoperatören underrättad om aktuella kontaktvägar och kontaktuppgifter för denna rapportering.
4. Rapportering och återkoppling ska ske med elektroniska medel.

Medlems incidentrapportering

1. Medlem ska utan dröjsmål rapportera allvarliga driftstörningar och allvarliga säkerhetsincidenter.
2. Så länge en rapporterad händelse är pågående ska rapporteringsskyldig medlem hålla rapportmottagare uppdaterad om händelsen.
3. Incidentrapport ska omfatta:
   1. den rapporterande medlemmens namn (rapportör),
   2. kort beskrivande benämning på händelsen (namn),
   3. unik referens för händelsen (referens),
   4. status på händelsen (status),
   5. kategorisering av händelsen (kategorisering),
   6. när händelsen inträffade eller den uppskattade tidpunkten för den (tidpunkt),
   7. när medlemmen upptäckte händelsen (upptäckt),
   8. en översiktlig beskrivning av händelsen (beskrivning), och
   9. bedömning av händelsens omfattning och konsekvenser samt annan information som kan vara av värde för övriga medlemmar (analys).
      Rapporten ska, såvitt avser struktur och format, utformas enligt federationsoperatörens vid var tid skäligen lämnande instruktioner. Om rapporteringsskyldig medlem inte har fullständiga uppgifter i alla delar för rapporten vid rapporteringsögonblicket kan rapporten kompletteras vid senare tillfälle. I vissa fall kan det vara lämpligt eller nödvändigt att lämna begränsat med information i incidentrapporten. Det kan till exempel gälla om händelsen polisanmäls eller för att inte känslig information ur ett informationssäkerhetsperspektiv ska avslöjas.
4. På begäran av federationsoperatören ska en rapporteringsskyldig medlem komplettera inlämnade uppgifter om en rapporteringspliktig incident med de uppgifter som behövs för att klarlägga hur händelsen kan påverka säkerhetsskyddet omgärdande hanteringen av e- legitimationer.
5. En rapporteringsskyldig medlem, som använder sig av underleverantör för att utföra del av tjänst, ska genom avtal med underleverantören säkerställa att rapporteringspliktiga incidenter kan hanteras och rapporteras på det sätt som framgår av denna bilaga.

Federationsoperatörens återkoppling

1. Återkoppling ska ges regelbundet och i övrigt när det behövs för säkerhetsskyddet inom federationen.

Sekretess

1. Incidentrapportering kan innehålla information om implementeringen av säkerhetsåtgärder, hot, risk, sårbarheter, attackvektorer eller annan information som om den blir offentlig kan öppna för säkerhetsrelaterade risker och därmed kan sannolikt orsaka skada för medlemmarna eller federationsoperatören. Därför behöver incidentrapporter sekretessprövning och få lämplig sekretessklass. Även vid utlämnade av information ska en sekretessprövning ske.