Incidentrapportering enligt cybersäkerhetslagen

Verksamhetsutövare ska rapportera in alla betydande incidenter till Syftet är att vi ska kunna skapa en samlad nulägesbild, varna andra och inleda eventuella samordnande insatser.

Föreskrifter om incidentrapportering och informationsskyldighet

Föreskrifterna om incidentrapportering och informationsskyldighet träder i kraft 1 juli 2026.
Föreskrifterna reglerar:

• Rapporteringskriterier och vilka incidenter som är rapporteringspliktiga.
• Hur rapporteringen av incidenter går till.
• Vilka uppgifter som ska uppges och när.

Föreskrifterna förklarar rapporteringens olika skeden och vad de syftar till. Föreskrifterna förklarar även vad informationsskyldighet vid betydande incidenter och betydande cyberhot innebär.

MCFFS 2026:8 Föreskrifter om incidentrapportering och informationsskyldighet för väsentliga och viktiga verksamhetsutövare

Vägledningen för incidentrapportering och informationsskyldighet stöttar verksamhetsutövare med tillämpningen av föreskriften. Vägledningen innehåller därför utförliga beskrivningar samt exempel som illustrerar vilka typer av incidenter som ska rapporteras samt hur kraven på informationsskyldighet uppfylls.

Vägledning Incidentrapportering och informationsskyldighet

Vad är en incident?

En incident är en inträffad oönskad händelse som påverkar:

• Konfidentialitet (till exempel obehörig åtkomst)
• Riktighet (till exempel förvanskning eller förlust)
• Tillgänglighet (till exempel avbrott)

En incident kan bero på brister i det systematiska cybersäkerhetsarbetet, resursbrist, säkerhetsläget och kriminalitet samt förändringar i klimat och miljö. En incident kan leda till påverkan på it-miljö, verksamhet och samhälle.

  Allmän information om incidenter och incidenthantering finns här: :

Webbinarium: "När oj blir ett aj"

Metodstödet: Incidenthantering

Temarapport 2025: It-incidenters påverkan: Ramverk för bedömning av påverkan på it-miljö, verksamhet och samhälle

Vilka typer av incidenter ska rapporteras?

Verksamhetsutövare ska rapportera betydande incidenter. Följande typer av incidenter anses vara betydande enligt Cybersäkerhetslagen:

1. En incident som orsakat eller kan orsaka allvarlig driftsstörning eller ekonomisk skada.
2. En incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Specifika kriterier för bedömning av om incidenter är betydande finns i föreskrifterna.

För sektorsverksamhet inom digital infrastruktur, digitala leverantörer, förvaltning av IKT-tjänster (mellan företag), post- och budtjänster samt rymden gäller de kriterier för betydande incidenter som finns i Genomförandeförordningen.

Läs mer om Genomförandeförordningen

Hur ska rapportering ske?

Den 1 juli 2026 öppnar en första version av verktyget för incidentrapportering. Verktyget är i utvecklingsfas och fler funktioner kommer att tillkomma. I vår vägledning för incidentrapportering och informationsskyldighet återfinns stöd i hur frågorna i verktygets formulär ska besvaras.

Incidentrapporteringsverktyget återfinns i cyberportalen. Mottagare av incidentrapporter är Nationellt cybersäkerhetscenter genom CERT-SE, som är Sveriges nationella CSIRT (Computer Security Incident Response Team). Incidentrapporterna skickas sedan vidare till aktuell/a tillsynsmyndighet/er.