e-Check.se – digital egenkontroll

Incidentrapportering enligt NIS2

NIS2 ställer krav på att betydande cyberincidenter ska rapporteras till behörig myndighet i en strukturerad följd av steg. I Sverige kopplas detta till cybersäkerhetslagen och MCF:s processer för anmälan. Den här guiden beskriver flödet principiellt – exakta tidsfrister och format ska alltid hämtas från gällande lag, föreskrifter och myndighetsvägledning.

Primär rättskälla till direktivets utformning: NIS2-direktivet (artikel 23 m.m.). Aktuell svensk praktik: MCF – cybersäkerhetslagen och NIS2.

Vad är en "betydande" incident?

Alla störningar ska inte anmälas. Tröskeln för betydelse bygger på konsekvenser för verksamhet, användare eller samhällsfunktioner – till exempel omfattning, varaktighet, känslighet hos information eller påverkan på andra aktörer. MCF och sektorstillsyn publicerar vägledning som hjälper er att tolka när nivån är nådd.

Tips internt: definiera i förväg vem som klassificerar en händelse, vilken information som alltid loggas, och när juridik/kommunikation ska kopplas in.

Tidig varning, incidentrapport och slutrapport

Direktivet bygger på ett flerstegsflöde så att myndigheter får snabb kännedom och successivt bättre underlag:

  1. Tidig information – första besked när ni har skäl att tro att en betydande incident inträffat eller pågår.
  2. Incidentrapport – mer komplett bild när fakta samlats in.
  3. Slutlig rapport – sammanfattning när hanteringen mognat, med lärdomar där det är relevant.

Tidsfrister varierar beroende på händelsens art; följ alltid senaste föreskrift och myndighetsinstruktioner.

MCF:s portal och rätt mottagare

MCF driver den nationella anmälnings- och incidentportalen s att rapporter kan tas emot och vidarebefordras till rätt tillsynsmyndighet. Det minskar risken att organisationer skickar information till fel instans.

Mer om MCF:s roll: MCF och cybersäkerhetslagen.

Sektorsspecifik reglering och DORA

Vissa branscher har parallella eller mer detaljerade skyldigheter. Inom finansiell sektor kan till exempel DORA ge ytterligare processkrav för it-risk och rapportering. Det betyder inte automatiskt att NIS2-fönstret försvinner – ni måste kartlägga vilket regelverk som gäller för vilken entitet.

Läs om NIS2 och DORA.

Koppling till säkerhetsarbetet

Incidentrapportering fungerar bäst om den sitter i ett större ramverk: loggning, eskalering, kommunikation med leverantörer och återställning. Se även NIS2-krav och ledningsansvar.

Incidentberedskap – minimi att ha på plats

  • 24/7-kontaktväg eller tydlig jourkedja för säkerhet och IT.
  • Mall för första anmälan med fält som myndigheter ofta efterfrågar.
  • Process för att bevara bevis och samtidigt återställa drift.
  • Samordning med dataskydd (GDPR) vid personuppgiftsincidenter – separata rutiner kan behövas.
Gör cybersäkerhetstestet

Relaterat