Remiss: Förslag till nya föreskrifter om incidentrapportering och informationsskyldighet enligt ny cybersäkerhetslag

Genom cybersäkerhetsslagen införs nu NIS2-direktivet. Lagen planeras att börja gälla den 15 januari 2026. MSB har fått i uppdrag av regeringen att vidta vissa åtgärder för att förbereda för att meddela föreskrifter rörande

1. anmälningsskyldighet,
2. kriterier för när en verksamhetsutövare ska omfattas av regelverket med hänvisning till sin särskilda betydelse i samhället och när sådana verksamhetsutövare ska räknas som väsentliga,
3. vad som utgör huvudsakligt etableringsställe,
4. undantag för partnerföretag och anknutna företag,
5. säkerhetsåtgärder,
6. utbildning,
7. rapporteringsskyldigheter,
8. vad som utgör en betydande incident,
9. skyldighet att informera vid betydande incidenter och betydande cyberhot, och
10. säkerhetsrevisioner och säkerhetsskanningar.

PTS har fått i uppdrag av regeringen att förbereda för att meddela föreskrifter om säkerhetsåtgärder, skyldigheten att föra register om domännamn, vad som utgör en betydande incident och skyldighet att informera vid betydande incidenter och betydande cyberhot för följande sektorer: digital infrastruktur, digitala leverantörer, förvaltning av IKT-tjänster (mellan företag), post- och budtjänster och rymden. Dessa omfattas därför inte av MSB:s uppdrag om att förbereda föreskrifter.

Föreskrifter om incidentrapportering och informationsskyldighet

Förslaget till föreskrifter om incidentrapportering och informationsskyldighet syftar till att förtydliga hur och vad en verksamhetsutövare är skyldig att rapportera incidenter enligt 2 kap 5 - 8 §§ cybersäkerhetslagen samt verksamhetsutövares informationsplikt vid betydande incidenter och betydande cyberhot enligt 2 kap 9 - 10 §§ cybersäkerhetslagen.

MSB har påbörjat arbetet med att ta fram systemstöd och vägledning som stöd för verksamhetsutövarnas incidentrapportering och informationsskyldighet.