Incidentrapportering enligt cybersäkerhetslagen

När cybersäkerhetslagen (NIS2-direktivet) träder i kraft den 15 januari 2026 kommer incidentrapporteringen att förändras. Fler verksamheter kommer att behöva incidentrapportera och tidsgränserna för rapportering kommer att förändras. På denna sida finns information om vad en incident är, vad som ska rapporteras och hur.

Övergripande information

Informationen på sidan är övergripande. Exakta kriterier, krav och eventuella tillägg eller undantag vet vi först när den svenska regleringen är färdig. En interimslösning kommer inledningsvis att användas för incidentrapporteringen. Incidentrapporteringen kommer senare att ske via ny portal. Vi uppdaterar innehållet på denna sida löpande.

Observera!

Incidentrapporteringsformuläret som nyttjats av samhällsviktiga tjänster och digitala tjänster enligt NIS1 kommer att stängas den 15 januari då NIS-lagen upphör att gälla. De som inlett rapporteringen av en incident som är rapporteringspliktig enligt NIS1 och inte slutfört denna rapportering förväntas nyttja pdf-filerna som tillhandahålls på webbplatsen för detta.

Verksamhetsutövare ska rapportera in alla betydande incidenter till Myndigheten för civilt försvar. Detta bidrar till att vi kan skapa en samlad nulägesbild, varna andra och inleda eventuella samordnande insatser.

Vad gäller mellan cybersäkerhetslagen träder i kraft och föreskrifter samt incidentrapporteringstjänst finns på plats?

Cybersäkerhetslagen (NIS2-direktivet) träder i kraft den 15 januari vilket innebär att incidentrapporteringen ska göras i enlighet med den nya lagen istället för det tidigare NIS-direktivet (NIS).

Föreskrifterna om incidentrapportering och informationsskyldighet träder i kraft under våren 2026 (preliminärt april) och i samband med det kommer även en ny tjänst för incidentrapportering i en ny portal att öppna.

Under perioden mellan att lagen träder i kraft och föreskrifter ges ut samt en ny incidentrapporteringstjänst finns tillgängligt kommer en interimslösning för incidentrapportering att tillhandahållas.

Interimslösningen kommer att finnas tillgängligt i verktyget IRON och kommer att likna incidentrapporteringen för statliga myndigheter som tidigare gjorts. Incidentrapportering kan även göras skriftligt via formulär, som fylls i och skickas in till oss.

Genomförandeordning

De verksamhetsutövare som berörs av kommissionens Genomförandeförordning (EU) 2024/2690 rapporterar redan incidenter i enlighet med cybersäkerhetslagen (NIS2). Detta kommer efter den 15 januari att fortsätta och rapporteringen ska ske via interimslösningen.

Vad är en incident?

En incident är en inträffad oönskad händelse som påverkar:

  • Konfidentialitet (till exempel obehörig åtkomst)
  • Riktighet (till exempel förvanskning eller förlust)
  • Tillgänglighet (till exempel avbrott)

En incident kan bero på brister i det systematiska cybersäkerhetsarbetet, resursbrist, säkerhetsläget och kriminalitet samt förändringar i klimat och miljö. En incident kan leda till påverkan på it-miljö, verksamhet och samhälle.

För att förbereda sig i arbetet med incidenter kan följande hjälpa:

Webbinarium ” När oj blir ett aj”

Metodstödet: Incidenthantering

Temarapport 2025: It-incidenters påverkan : Ramverk för bedömning av påverkan på it-miljö, verksamhet och samhälle

Vilka typer av incidenter ska rapporteras?

Verksamhetsutövare ska rapportera betydande incidenter. Följande typer av incidenter anses vara betydande enligt Cybersäkerhetslagen:

  1. En incident som orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verksamheten
  2. En incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Det finns specifika kriterier för incidentrapportering för de verksamheter som omfattas av Genomförandeförordningen.

Läs mer om Genomförandeförordningen

Hur ska rapportering ske?

Under våren 2026 kommer en ny portal att lanseras och där kommer både anmälan och incidenthanteringstjänsten att finnas tillgängliga. Denna portal kommer att vidareutvecklas löpande. I portalen kommer det att vara tydligt vart man vänder sig för tekniskt stöd.

Fram till att den nya incidentrapporteringstjänsten lanseras i den nya portalen kommer incidentrapporteringen att göras via e-tjänsten IRON eller på blankett som fylls i och skickas in till oss.

Sektorsspecifika kriterier

Det kommer att finnas sektorsspecifika kriterier för allvarlig driftstörning i den erbjudna tjänsten, mer information om detta kommer med föreskrifterna. Tills föreskrifterna getts ut går detta att läsa i förslaget till föreskrift.

Förslag till nya föreskrifter

Vid pågående incident

Du kan efterfråga hjälp från CERT-SE

Vid en inträffad incident kan du efterfråga hjälp från CERT-SE. CERT-SE är Sveriges nationella CSIRT (Computer Security Incident Response Team) med uppgift att stötta samhället i arbetet med att hantera och förebygga it-incidenter.

CERT-SE tillhandahåller rådgivning kring hantering av incidenten och ger stöd till drabbade verksamheter för att lindra påverkan av det inträffade och återställa funktion. CERT-SE är en del av MSB.

Senast granskad: 19 december 2025

Till toppen av sidan