Incidentrapportering enligt cybersäkerhetslagen

Verksamhetsutövare ska rapportera in alla betydande incidenter till Myndigheten för civilt försvar. Detta bidrar till att vi kan skapa en samlad nulägesbild, varna andra och inleda eventuella samordnande insatser.

Vad gäller mellan cybersäkerhetslagen träder i kraft och föreskrifter samt incidentrapporteringstjänst finns på plats?

Cybersäkerhetslagen (NIS2-direktivet) trädde i kraft den 15 januari vilket innebär att incidentrapporteringen ska göras i enlighet med den nya lagen istället för det tidigare NIS-direktivet (NIS1).

Under perioden mellan att lagen träder i kraft och föreskrifter ges ut samt en ny incidentrapporteringstjänst finns tillgängligt kommer en interimslösning för incidentrapportering att tillhandahållas.

Interimslösningen kommer att finnas tillgängligt i verktyget IRON och kommer att likna incidentrapporteringen för statliga myndigheter som tidigare gjorts. Incidentrapportering kan även göras skriftligt via formulär, som fylls i och skickas in till Myndighet för civilt försvar.

Föreskrifter om incidentrapportering och informationsskyldighet

Föreskrifterna om incidentrapportering och informationsskyldighet träder i kraft 1 juli 2026.
Föreskrifterna reglerar:

• Rapporteringskriterier och vilka incidenter är rapporteringspliktiga.
• Hur rapporteringen av incidenter går till.
• Vilka uppgifter som ska uppges och när.

Föreskrifterna förklarar olika skeden för rapportering och dess syfte. Föreskrifterna förklarar även vad informationsskyldighet vid betydande incidenter och betydande cyberhot innebär.

MCFFS 2026:8 Föreskrifter om incidentrapportering och informationsskyldighet för väsentliga och viktiga verksamhetsutövare

Vad är en incident?

En incident är en inträffad oönskad händelse som påverkar:

• Konfidentialitet (till exempel obehörig åtkomst)
• Riktighet (till exempel förvanskning eller förlust)
• Tillgänglighet (till exempel avbrott)

En incident kan bero på brister i det systematiska cybersäkerhetsarbetet, resursbrist, säkerhetsläget och kriminalitet samt förändringar i klimat och miljö. En incident kan leda till påverkan på it-miljö, verksamhet och samhälle.

För att förbereda sig i arbetet med incidenter kan följande hjälpa:

Webbinarium: "När oj blir ett aj" LÄNK SAKNAS

Metodstödet: Incidenthantering

Temarapport 2025: It-incidenters påverkan: Ramverk för bedömning av påverkan på it-miljö, verksamhet och samhälle

Vilka typer av incidenter ska rapporteras?

Verksamhetsutövare ska rapportera betydande incidenter. Följande typer av incidenter anses vara betydande enligt Cybersäkerhetslagen:

1. En incident som orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verksamheten
2. En incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Det finns specifika kriterier för incidentrapportering för de verksamheter som omfattas av Genomförandeförordningen.

Läs mer om Genomförandeförordningen

Hur ska rapportering ske?

Preliminärt under sommaren 2026 kommer en ny portal med ett nytt verktyg för incidentrapportering att lanseras och där incidenthanteringstjänsten kommer att finnas tillgänglig. Denna portal kommer att vidareutvecklas löpande. I portalen kommer det att vara tydligt vart man vänder sig för tekniskt stöd. Mer information om detta kommer under sommaren 2026.

Fram till att den nya incidentrapporteringstjänsten lanseras i den nya portalen kommer incidentrapporteringen att göras via e-tjänsten IRON eller på blankett som fylls i och skickas in till oss.

Rapportera incident

Incidentrapporteringen görs till Myndigheten för civilt försvar, som sedan vidarebefordrar rapporterna till respektive tillsynsmyndighet.

Sektorsspecifika kriterier

Det finns sektorsspecifika kriterier för allvarlig driftstörning i den erbjudna tjänsten, mer information om detta återfinns i föreskrifterna.