Cybersäkerhetslagens föreskrift: Nya krav på incidentrapportering Go to content
Consulting Services Cybersäkerhetslagens föreskrift: Nya krav på incidentrapportering
Advisory AI Transformation Managed Services
Tech Solutions Cybersäkerhetslagens föreskrift: Nya krav på incidentrapportering
Quantitative Analytics Financial Data Management Risk Management AML Software
Industries
This is Advisense Cybersäkerhetslagens föreskrift: Nya krav på incidentrapportering
Advisense | talks Client Stories News Career Management & Board Sustainability at Advisense Events
Contact
Cybersäkerhetslagens föreskrift: Nya krav på incidentrapportering EN
Consulting Services
Tech Solutions
This is Advisense

Select your region and language

Search

Cybersäkerhetslagens föreskrift: Nya krav på incidentrapportering News

Cybersäkerhetslagens föreskrift: Nya krav på incidentrapportering

Cybersäkerhetslagens föreskrift om incidentrapportering och informationsskyldighet kompletterar cybersäkerhetslagen genom att precisera när en incident ska anses vara betydande, vilka uppgifter som ska rapporteras och när verksamhetsutövare behöver informera mottagare av sina tjänster vid betydande incidenter eller betydande cyberhot.

Föreskriften träder i kraft den 1 juli 2026 och kompletterar cybersäkerhetslagens krav genom att tydligare beskriva när en incident ska rapporteras, vilka uppgifter som ska lämnas och vilket underlag som behöver finnas för att verksamheten ska kunna bedöma om en incident är betydande. 

Det är också där de praktiska konsekvenserna blir tydliga. 

För när en cyberincident upptäcks finns sällan en färdig bild av vad som faktiskt har hänt. Det kan vara oklart om det handlar om ett tekniskt fel, ett intrång, en leverantörsstörning eller en pågående cyberattack. Samtidigt behöver verksamheten snabbt kunna avgöra om incidenten ska betraktas som betydande. 

Den stora utmaningen är därför sällan själva rapporteringen utan att skapa tillräckligt bra beslutsunderlag medan osäkerheten fortfarande är hög. Förmågan att snabbt bedöma verksamhetspåverkan, fatta beslut och samordna rapportering blir därmed central.  

Incidenthantering börjar tidigare än många organisationer är vana vid 

Cybersäkerhetslagen kräver att verksamhetsutövare vidtar lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska säkerhetsåtgärder. Säkerhetsåtgärderna ska bland annat omfatta incidenthantering, kontinuitetshantering, krishantering och säkerhet i leveranskedjan. 

Föreskriften visar samtidigt hur snabbt verksamheten behöver kunna avgöra om en incident är betydande. 

Den första upplysningen ska lämnas så snart det kan ske, dock senast 24 timmar efter att incidenten identifierats som betydande. Redan då ska verksamheten kunna beskriva hur incidenten påverkar verksamheten, vilka konsekvenser den medför eller riskerar att medföra samt om den verkar vara avsiktligt skadlig eller har sitt ursprung hos en leverantör. 

En förändring jämfört med remissversionen är att rapporteringen inte ska lämnas till Myndigheten för civilt försvar (MCF). I den beslutade regleringen ska upplysningar, incidentanmälningar och slutrapporter i stället lämnas till Försvarets radioanstalt (FRA), som är Sveriges nationella CSIRT-enhet. Rapporteringen bidrar samtidigt till den nationella lägesbilden och ger myndigheterna bättre möjligheter att upptäcka återkommande angrepp, trender och hot mot svenska verksamheter. Nationellt cybersäkerhetscenter har publicerat mer information om incidentrapportering enligt cybersäkerhetslagen på sin webbplats.

Samtidigt bygger den första upplysningen på en preliminär bedömning. I det här skedet är informationen ofta begränsad och lägesbilden kan förändras i takt med att incidenten utreds. Det innebär att bedömningen av incidentens omfattning, konsekvenser och orsaker ofta behöver justeras i efterhand. Utmaningen ligger därför inte i att lämna en perfekt rapport, utan i att kunna göra en tillräckligt väl underbyggd bedömning för att agera i tid. 

För verksamheter är därför den viktigaste förmågan inte att skriva detaljerade rapporter utan att snabbt kunna samla rätt personer, skapa en gemensam lägesbild och fatta beslut om hur incidenten ska hanteras. För att lyckas med det behöver information snabbt samlas in från flera delar av organisationen. Tekniska team analyserar systempåverkan, verksamheten bedömer konsekvenser för tjänster och processer, ekonomiska kontrollfunktioner behöver uppskatta den ekonomiska påverkan medan leverantörer ofta behöver bidra med information om externa beroenden. Först när dessa perspektiv sammanställs går det att bedöma incidentens omfattning och allvar. 

När blir en incident betydande? 

En central del av föreskriften är kriterierna för vad som ska anses vara en betydande incident. 

Föreskriften innehåller tre huvudsakliga kategorier av betydande incidenter: 

  • allvarlig driftstörning för verksamhetsutövaren, 
  • ekonomisk skada för verksamhetsutövaren, och 
  • betydande skada för andra fysiska eller juridiska personer. 

Därutöver finns sektorsspecifika kriterier för bland annat offentlig förvaltning, energi, transporter, hälso- och sjukvård, dricksvatten och avloppsvatten. 

Flera kriterier bygger på att verksamheten kan bedöma hur länge störningar pågår, vilken påverkan incidenten har på verksamheten, vilka konsekvenser den medför för andra aktörer och vilka ekonomiska effekter den kan få. 

För att kunna göra dessa bedömningar behöver organisationen redan ha identifierat vilka system, processer och beroenden som är kritiska för verksamheten. 

Det innebär att verksamheter behöver kunna klassificera incidenter betydligt tidigare än många gör idag. Incidenthantering handlar därför inte enbart om att återställa system utan också om att snabbt kunna bedöma verksamhetspåverkan och fatta beslut om rapportering, eskalering och kommunikation. 

Incidenthantering blir en ledningsfråga 

Organisationen behöver inte bara hantera incidenten operativt utan också bedöma: 

  • om incidenten är betydande, 
  • om ytterligare rapportering behöver ske, 
  • vilka verksamhetsmässiga konsekvenser som kan uppstå, 
  • vilka externa beroenden som påverkas, och 
  • om mottagare av tjänster behöver informeras. 

För många verksamheter handlar nästa steg därför om att säkerställa att incidentprocesser, beslutsvägar och kommunikationsrutiner fungerar även när informationen är ofullständig och tidspressen hög. 

Det kan exempelvis handla om att: 

  • tydliggöra beslutsmandat och eskaleringsvägar, 
  • etablera interna tröskelvärden för när incidenter ska klassificeras som betydande och eskaleras vidare, 
  • stärka samordningen mellan verksamhet, IT, juridik, informationssäkerhet och kommunikation, 
  • etablera kommunikationsplaner för tillsynsmyndigheter, kunder och andra berörda parter, 
  • tydliggöra vem som ansvarar för vilken kommunikation och vilka budskap som behöver kunna förmedlas, och 
  • genomföra praktiska scenarioövningar där organisationen behöver fatta beslut innan hela bilden är klar. 

Den nya föreskriften förändrar inte bara hur incidenter ska rapporteras. Den förändrar när organisationer måste börja fatta beslut. 

Om Advisense

Advisense hjälper organisationer att uppfylla kraven i den svenska cybersäkerhetslagen och stärkt resiliens. Med över 100 experter inom informations- och cybersäkerhet erbjuder vi stöd genom hela processen från analys och implementering till incidenthantering och incidentrapportering. För mer information om Cybersäkerhetslagen och NIS2 besök vår landningsssida här.

Jonas Blomqvist

Director, Cyber & Digital Risk

+46721467350

Ebba Rehnstam

Senior Associate

+46704142622

Get Tailored Advice on NIS2

This field is for validation purposes and should be left unchanged.
Please describe what you are interested in (please refrain from providing sensitive personal information)
Consent(Required)

Let's connect

Cybersäkerhetslagens föreskrift: Nya krav på incidentrapportering Cybersäkerhetslagens föreskrift: Nya krav på incidentrapportering
I want an Advisense expert to contact me about:
Cybersäkerhetslagens föreskrift: Nya krav på incidentrapportering

By submitting, you consent to our privacy policy

Thank you for connecting with us

An error occurred, please try again later

Offices

This is Advisense