Rapportera en betydande incident enligt cybersäkerhetslagen (NIS2)
Verksamhetsutövare som omfattas av cybersäkerhetslagen ska rapportera betydande incidenter till Nationellt cybersäkerhetscenter. Här finns information om vilka incidenter om ska rapporteras och hur det ska rapporteras. Incidenter som av verksamhetsutövare bedöms utgöra en betydande incident enligt cybersäkerhetslagen bör rapporteras så snart som möjligt.
Vilka incidenter ska rapporteras?
Verksamhetsutövare ska rapportera betydande incidenter. Följande typer av incidenter anses vara betydande enligt cybersäkerhetslagen:
- En incident som orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verksamheten
- En incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.
Vilka typer av incidenter som kan klassas som betydande och ska rapporteras regleras vidare i föreskrifter respektive på EU-nivå. Regleringar som närmare specificerar kriterier och trösklar för rapportering inkluderar:
EU-kommissionens Genomförandeförordning (EU) 2024/2690
I väntan på Post- och telestyrelsens (PTS) kommande föreskrifter om vad som utgör en betydande incident ska verksamhetsutövare inom sektorer som PTS ansvarar för, men som inte omfattas av EU-kommissionens genomförandeförordning, rapportera enligt bestämmelsen i Cybersäkerhetslagen.
Hur ska betydande incidenter rapporteras?
Rapporteringen av betydande incidenter i enlighet med cybersäkerhetslagen utförs i tre steg. Verksamhetsutövare ska vid rapportering av betydande incidenter inkomma med 1) en Upplysning, 2) en ihncidentanmälan och 3) en Slutrapport.
Alla betydande incidenter ska rapporteras till NCSC i enlighet med MCFFS 2026:8 Föreskrifter om incidentrapportering och informationsskyldighet för väsentliga och viktiga verksamhetsutövare.
Det finns även en vägledning för incidentrapportering och informationsskyldighet som stöttar verksamhetsutövare med tillämpningen av föreskriften.
Mer information om incidentrapportering enligt cybersäkerhetslagen.
Incidentrapporteringen ska göras i incidentrapporteringsverktyget som finns i cyberportalen. Mottagare av incidentrapporter är Nationellt cybersäkerhetscenter.
1. Upplysning inom 24 timmar
Så snart som möjligt men senast 24 timmar från det att verksamhetsutövaren identifierat en incident som rapporteringspliktig ska verksamhetsutövaren inkomma med en Upplysning. Den ska bland annat inkludera uppgifter om den betydande incidenten misstänks ha orsakats av olagliga eller avsiktligt skadliga handlingar eller kan ha gränsöverskridande konsekvenser.
I samband med att incidentrapporten skickas in tilldelas rapportören ett incidentID. Det är viktigt att spara denna handling då den gör det möjligt att påbörja nästa steg i rapporteringen.
Notera att statliga myndigheter som rapporterar enligt bererdskapsförordningen har en tidsfrist på 6 timmar för upplysning.
Läs mer på sidan om Rapportera incident enligt beredskapsförordningen
Vid pågående incident
Du kan efterfråga hjälp från CERT-SE.
CERT-SE tillhandahåller rådgivning kring hantering av incidenten och ger stöd till drabbade verksamheter för att lindra påverkan av det inträffade och återställa funktion.
Gör så här vid pågående it-incident:
• Ring CERT-SE på 010-382 80 00, eller
• skicka e-post till cert@cert.se
CERT-SE kan nås dygnet runt, alla dagar på året.
2. Incidentanmälan inom 72 timmar
Så snart som möjligt men senast 72 timmar från att verksamhetsutövaren har identifierat en incident som rapporteringspliktig ska verksamhetsutövaren inkomma med en Incidentanmälan. Incidentanmälan ska uppdatera den information som lämnats i Upplysning samt innehålla en bedömning av den betydande incidenten, dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer.
Observera! Verksamhetsutövare som tillhandahåller betrodda tjänster ska inkomma med incidentanmälan inom 24 timmar.
3. Slutrapport inom en månad
Senast en månad efter inskickad incidentanmälan ska verksamhetsutövaren inkomma med en slutrapport. Slutrapporten ska inkludera:
- en detaljerad beskrivning av incidenten, inbegripet dess allvarlighetsgrad och konsekvenser,
- en beskrivning av den typ av hot eller grundorsak som sannolikt har utlöst incidenten,
- tillämpade och pågående begränsande åtgärder samt,
- i tillämpliga fall, information om gränsöverskridande konsekvenser.
Om incidenten fortfarande är pågående efter en månad ska en lägesrapport lämnas istället.
Reservförfarande – om incidentrapporteringsverktyget inte är tillgängligt
Om cyberportalen är otillgänglig eller om du inte kan logga in, behöver du använda reservförfarandet. Du väljer förfarande efter hur känsligt innehållet är.
Inte säkerhetsskyddsklassificerade uppgifter
För uppgifter som inte rör säkerhetsskydd, ladda ned och fyll i reservformuläret samt ta del av rutinen på webbplatsen för digital inlämning via säker länk. Mejla cslsupport@ncsc.se för mer information!
Om webbplatsen inte är tillgänglig ‑ rapportera genom rekommenderat brev till adressen nedan.
Säkerhetsskyddsklassificerade uppgifter
Alla betydande incidenter är rapporteringspliktiga. Det är dock frivilligt att lämna säkerhetsskyddsklassificerade uppgifter vid ifyllandet av formuläret. Om rapporten innehåller säkerhetsskyddsklassificerade uppgifter ska rapporten skickas som ett rekommenderat brev.
Lägg rapporten i ett eget kuvert inuti försändelsekuvertet. Använd bud eller värdepost om det går fortare. Observera att incidenter i säkerhetsskyddklassad verksamhet inte ska rapporteras enligt cybersäkerhetslagen.
Postadress:
FRA/NCSC
Box 301
161 26 Bromma
Formulär för reservförfarande
Reservförfarande – om incidentrapporteringsverktyget inte är tillgängligt
Om cyberportalen är otillgänglig eller om du inte kan logga in, behöver du använda reservförfarandet. Ladda ned aktuellt formulär för rapportering
Skydd av information
Information som inkommer i samband med incidentrapporter kan vara känsliga ur ett risk- och sårbarhetsperspektiv samt vilka åtgärder som har vidtagits till följd av incidenten. Detta gäller inte bara för de som har drabbats men även för andra som kan ha sina säkerhetsåtgärder eller system konstruerade på liknande sätt.
Det är centralt för myndigheten att den information som lämnas in och genereras i samband med rapporteringen av en it-incident ges ett kvalificerat skydd. I detta avseende är ändamålsenliga rutiner och processer samt system med hög teknisk säkerhet av stor betydelse. De rättsliga aspekterna är även de centrala för hanteringen av information vid it-incidenthantering.
-
Prövning av sekretess
Prövning av sekretessen görs av Myndigheten för civilt försvar då en uppgift begärs utlämnad. Om en uppgift som begärs ut omfattas av sekretess får den inte lämnas ut. Information som inkommer till Myndigheten för civilt försvar i samband med it-incidenthantering kan vara av olika slag men ger i många fall upplysningar om säkerhets- eller bevakningsåtgärder när det gäller en organisations it- eller kommunikationssystem.
Om det kan antas att syftet med säkerhets- eller bevakningsåtgärder motverkas, exempelvis genom att säkerhetsarbetet försvåras, om den typen av information röjs finns det stöd i offentlighets- och sekretesslagen att enligt 18 kap. 8 § p. 3 att sekretessbelägga sådan information. I de fall då ett röjande av informationen inte påverkar syftet med säkerhets- eller bevakningsåtgärden, exempelvis då informationen är allmänt känd, omfattas informationen däremot inte av sekretess enligt offentlighets- och sekretesslagen.
Av 18 kap 8 b OSL följer vidare att sekretess gäller för uppgift i en incidentrapport enligt cybersäkerhetslagen (2025:1506) och för uppgift om vilka åtgärder som en verksamhetsutövare har vidtagit till följd av incidenten, om det inte står klart att uppgiften kan röjas utan att den rapporterande verksamhetsutövarens framtida verksamhet skadas eller syftet med vidtagen åtgärd motverkas.
Detta innebär att den information som inkommer i samband med incidentrapportering kan vara sådan att den kan komma att omfattas av 18 kap. 8 b § OSL, men även andra sekretessgrunder kan komma att bli tillämpliga.
Sekretessbestämmelsen innebär också en tystnadsplikt för myndighetens medarbetare gällande de uppgifter som träffas av sekretessbestämmelsen. Brott mot tystnadsplikten är straffsanktionerat.
Vad gäller när näringsidkare eller organisationer lämnar information till Myndigheten för civilt försvar?
Utöver den information som utgörs av bevaknings- och säkerhetsåtgärder inom en organisation så omfattas även uppgifter om affärs- eller driftförhållande, uppfinningar eller forskningsresultat av sekretess om det kan antas att näringsidkaren lider skada om uppgifterna röjs. Om Myndigheten för civilt försvar genom sin samverkan med näringslivet eller organisationer lämnar stöd eller genomför en utredning för att identifiera och analysera allvarliga sårbarheter, hot och risker i samhället så kommer även denna information omfattas av motsvarande skydd och säkerhetsåtgärder hos Myndigheten för civilt försvar. För uppgifter som rör den som trätt i affärsförbindelse eller liknande med näringsidkaren gäller en absolut sekretess.
Sedan 1 oktober 2022 vidarebefordrar myndigheten inrapporterade incidenter som har sin grund i brottslig handling till Polisen.
Incidenter som att döma av hur de beskrivs (i val av orsak eller i fritext) kan antas ha sin grund i en brottslig handling kommer att vidarebefordras till Polismyndigheten där en polisanmälan kan komma att upprättas. Klicka på rullgardinsrutan nedan för mer detaljer.
-
Fördjupad brottssamverkan mellan oss och Polisen
På regeringens uppdrag vidarebefordrar vi från och med 1 oktober 2022 de notifieringar och ifyllda formulär som rapporteras in till oss, och som innehåller beskrivningar av incidenter som kan antas ha sin grund i en brottslig handling, till Polismyndigheten där en polisanmälan kan komma att upprättas. Syftet är att öka andelen polisanmälda it-brott och öka möjligheten att klara upp fler brott.
Det är endast incidentrapporter där den rapporterande organisationen har angett att incidenten är orsakad av en mänsklig handling i antagonistiskt syfte, eller där den organisationen i fritext har beskrivit att det handlar om ett angrepp, som omfattas av detta.
Notifieringar och ifyllda formulär bedöms var för sig. Om en rapporterande organisation i sin notifiering har angett att incidenten de notifierar om har, eller verkar ha, sin grund i en brottslig handling så kommer informationen att vidarebefordras till Polismyndigheten. Om den rapporterande organisationen därefter skickar ett ifyllt formulär där de anger en annan orsak till incidenten så kommer inte det ifyllda formuläret att vidarebefordras till Polismyndigheten.
På motsvarande sätt gäller också att om en rapporterande organisation vid sin notifiering anger en orsak som inte kan antas vara brottslig så kommer informationen inte att vidarebefordras till Polismyndigheten. Om den organisationen sedan skickar in ett ifyllt formulär där de anger en orsak som kan antas vara brottslig så kommer det ifyllda formuläret att vidarebefordras till Polismyndigheten.
Delningen av information till Polismyndigheten genomförs inom ramen för det nationella cybersäkerhetscentrets (NCSC-SE) verksamhet. Information som delas till Polismyndigheten kan också komma att delas med andra myndigheter inom NCSC-SE:s verksamhet.
När Polismyndigheten mottagit notifieringen eller incidentrapporten bedöms huruvida ett brott som hör under allmänt åtal har förövats, om en polisanmälan ska upprättas och om en förundersökning i så fall ska inledas. Informationen som inkommer till Polismyndigheten, såväl som till andra myndigheter inom NCSC-SE, behandlas utifrån tillämpliga sekretessregler. På detta sätt når de aktörer som rapporterar in incidenter den del av Polismyndigheten som hanterar it-brott på ett nytt sätt.
Myndigheten för civilt försvar kommer även fortsättningsvis att uppmana NIS-leverantörer och statliga myndigheter att göra en polisanmälan om de bedömer att incidenten kan ha orsakats av en brottslig handling eftersom det åligger myndigheten att göra det enligt NIS-regleringen och förordning (2022:524) om statliga myndigheters beredskap.
Inom vissa organisationer sköts incidentrapportering respektive polisanmälan på olika sätt eller av olika delar av organisationen. Det kan vara värt att se över en sådan ordning i ljuset av det ovanstående. Det åligger rapporteringspliktiga organisationer att ha en intern rutin för att samlat hantera rapportering om inträffade incidenter utifrån den samlade kravbilden.
Om incidenten inte längre bedöms vara rapporteringspliktig
I det fall incidenten inte längre bedöms vara rapporteringspliktig ska du meddela detta. Det kan göras oavsett hur många skeden av rapporteringen som redan skickats in, förutsatt att första skedets rapportering är inskickat.
För att meddela att incidenten inte längre är rapporteringspliktig, kontakta cslsupport@ncsc.se