Rapportera it-incident som NIS-leverantör

Här finns information om vilka incidenter som ska rapporteras och hur det ska rapporteras i olika skeden enligt NIS1. Observera att denna information gäller enbart för pågående rapportering enligt Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS1) efter den 15 januari 2026.

Information om NIS2

Observera att informationen på denna sida avser den första NIS-regleringen (NIS1).

För rapportering av it-incident enligt Cybersäkerhetslagen (NIS2), se separat sida:

Rapportera it-incident för verksamhetsutövare

Om det har inträffat en it-incident för er som NIS-leverantör ska det rapporteras till Myndigheten för civilt försvar. Här finns information om hur ni går tillväga.   

1. Notifiera oss inom sex timmar (skede 1)

Detta steg är inte möjligt att utföra efter ikraftträdandet av Cybersäkerhetslagen (NIS2) den 15 januari 2026.

Se skede 2.

2. Rapportera inom 24 timmar (skede 2)

Inom 24 timmar från det att leverantören identifierat en incident som är rapporteringspliktig ska rapportering ske skriftligt utifrån det andra skedets rapportering i incidentrapporteringsformuläret för leverantörer av samhällsviktiga tjänster.

Incidentrapporteringsformulär för leverantörer av samhällsviktiga tjänster skede 1 och 2

Vägledning för ifyllande av incidentrapporteringsformulären för samhällsviktiga respektive digitala tjänsterRapporten skickas med rekommenderat brev till:

Myndigheten för civilt försvar

CERT-SE

Box 6081

171 06 Solna

Det är viktigt att Myndigheten för civilt försvar står först i adressen, därefter CERT-SE. Skicka inte med personlig utlämning då vi kan få problem att hämta ut posten.

Lägg rapporten med informationen i ett separat kuvert inuti försändelsekuvertet (kuvert i kuvert). Alternativt kan rapporten lämnas, adresserad till CERT-SE, personligen till vakten i vår reception i Solna på Terminalvägen 14.

3. Skicka en slutrapport till oss inom 4 veckor (skede 3)

Inom fyra veckor från det första rapporteringstillfället ska rapportering lämnas utifrån det tredje skedet (skede 3) i incidentrapporteringsformuläret för leverantörer av samhällsviktiga tjänster i det skriftliga formuläret.

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster

Vägledning om rapportering av incidenter för leverantörer av samhällsviktiga tjänster

Hur du ska skicka in rapporten beror på huruvida den omfattas av sekretess.

Det är den rapporterande aktören som gör bedömningen.

OBS! Ni kan alltid, oavsett sekretess eller inte, lämna in slutrapporten personligen. Det görs till vakten i vår reception i Solna på Terminalvägen 14. Adressera rapporten till CERT-SE.

  • Ej sekretess

    Mejla till rapport@it-incident.se.

    Rekommenderat brev (se adressuppgifter nedan)

    Värdepost (se adressuppgifter nedan)

    Sekretess, men rör inte Sveriges säkerhet:

    Rekommenderat brev

    Rekommenderat brev används för rapporter som omfattas av sekretess enligt 18 kapitel 8 § eller 18 kapitel 13 § i offentlighets- och sekretesslagen, OSL (2009:400) och som inte rör Sveriges säkerhet.

    Rapporten skickas i kuvert i säkerhetspåse som rekommenderat brev till (exakt adress):

    Myndigheten för civilt försvar

    CERT-SE

    Box 6081

    171 06 Solna

  • Sekretess

    Sekretess, men rör inte Sveriges säkerhet

    Rekommenderat brev används för rapporter som omfattas av sekretess enligt 18 kapitel 8 § eller 18 kapitel 13 § i offentlighets- och sekretesslagen, OSL (2009:400) och som inte rör Sveriges säkerhet.

    Rapporten skickas i kuvert i säkerhetspåse som rekommenderat brev till (exakt adress):

    Myndigheten för civilt försvar

    CERT-SE

    Box 6081

    171 06 Solna

     

    Sekretess och berör Sveriges säkerhet

    • Signalskydd: Rapporter som omfattas av sekretess på grund av skydd av Sveriges säkerhet ska i första hand rapporteras via signalskyddssystem (MGS, MGM). Det är system som Försvarsmakten har godkänt för att skydda säkerhetsskyddsklassificerade uppgifter.
    • Värdepost: Om det inte är möjligt skickas rapporten i kuvert i säkerhetspåse som värdepost till (exakt adress):

    Myndigheten för civilt försvar

    CERT-SE

    Terminalvägen 10

    171 73 Solna

    Kompletteringar

    Eftersom it-incidenter kan påverka säkerheten hos statliga myndigheter är det viktigt att informationen är rätt. Det är också viktigt eftersom informationen som lämnas är utgångspunkt för hela samhällets informationssäkerhet.

    Myndigheten för civilt försvar kan komma att kontakta er för en fördjupad analys om det finns misstankar om att de it-incidenter som har rapporterats kan få snabb spridning eller omfattande konsekvenser för samhället.

    Vi kan också begära in kompletterande uppgifter för att avgöra om it-incidenter från olika aktörer har något samband eller om de exempelvis har orsakats av samma anledning. Syftet är att begränsa skada och förebygga liknande it-incidenter i samhället.

    Upptäcker ni som rapporterande myndighet att uppgifter om kategorier, omfattning och konsekvenser varit missvisande eller felaktiga ska ni komplettera eller korrigera rapporten så snart som möjligt.

Skydd av information

Information som inkommer i samband med incidentrapporter kan vara känsliga dels ur ett risk- och sårbarhetsperspektiv samt även gällande vilka åtgärder som har vidtagits till följd av incidenten. Detta gäller inte bara för de som har drabbats men även för andra som kan ha sina säkerhetsåtgärder eller system konstruerade på liknande sätt.

Det är centralt för Myndigheten för civilt försvar att den information som lämnas in och genereras i samband med rapporteringen av en it-incident ges ett kvalificerat skydd. I detta avseende är ändamålsenliga rutiner och processer samt system med hög teknisk säkerhet av stor betydelse. De rättsliga aspekterna är även de centrala för hanteringen av information vid it-incidenthantering.

Myndigheten för civilt försvars hantering av information styrs, liksom andra myndigheter, av reglerna om offentlighet och sekretess. It-incidentrapporter som kommer in till Myndigheten för civilt försvar kommer att utgöra allmän handling varför en central aspekt är Myndigheten för civilt försvars möjligheter att sekretessbelägga inkommen information. Offentlighets- och sekretesslagen (2009:400), OSL, innehåller bestämmelser kring sekretess. Sekretess innebär ett förbud att röja vissa typer av uppgifter, vare sig detta sker muntligen, genom utlämnande av allmän handling eller på något annat sätt.

  • Prövning av sekretress

    Prövning av sekretessen görs av Myndigheten för civilt försvar då en uppgift begärs utlämnad. Om en uppgift som begärs ut omfattas av sekretess får den inte lämnas ut. Information som inkommer till Myndigheten för civilt försvar i samband med it-incidenthantering kan vara av olika slag men ger i många fall upplysningar om säkerhets- eller bevakningsåtgärder när det gäller en organisations it- eller kommunikationssystem.

    Om det kan antas att syftet med säkerhets- eller bevakningsåtgärder motverkas, exempelvis genom att säkerhetsarbetet försvåras, om den typen av information röjs finns det stöd i offentlighets- och sekretesslagen att enligt 18 kap. 8 § p. 3 att sekretessbelägga sådan information. I de fall då ett röjande av informationen inte påverkar syftet med säkerhets- eller bevakningsåtgärden, exempelvis då informationen är allmänt känd, omfattas informationen däremot inte av sekretess enligt offentlighets- och sekretesslagen.

    Av 18 kap 8 b OSL följer vidare att sekretess gäller för uppgift i en incidentrapport enligt cybersäkerhetslagen (2025:1506) och för uppgift om vilka åtgärder som en verksamhetsutövare har vidtagit till följd av incidenten, om det inte står klart att uppgiften kan röjas utan att den rapporterande verksamhetsutövarens framtida verksamhet skadas eller syftet med vidtagen åtgärd motverkas.

    Detta innebär att den information som inkommer i samband med incidentrapportering kan vara sådan att den kan komma att omfattas av 18 kap. 8 b § OSL, men även andra sekretessgrunder kan komma att bli tillämpliga.

    Sekretessbestämmelsen innebär också en tystnadsplikt för myndighetens medarbetare gällande de uppgifter som träffas av sekretessbestämmelsen. Brott mot tystnadsplikten är straffsanktionerat.

    Vad gäller när näringsidkare eller organisationer lämnar information till Myndigheten för civilt försvar?

    Utöver den information som utgörs av bevaknings- och säkerhetsåtgärder inom en organisation så omfattas även uppgifter om affärs- eller driftförhållande, uppfinningar eller forskningsresultat av sekretess om det kan antas att näringsidkaren lider skada om uppgifterna röjs. Om Myndigheten för civilt försvar genom sin samverkan med näringslivet eller organisationer lämnar stöd eller genomför en utredning för att identifiera och analysera allvarliga sårbarheter, hot och risker i samhället så kommer även denna information omfattas av motsvarande skydd och säkerhetsåtgärder hos Myndigheten för civilt försvar. För uppgifter som rör den som trätt i affärsförbindelse eller liknande med näringsidkaren gäller en absolut sekretess.

    Sedan 1 oktober 2022 vidarebefordrar myndigheten inrapporterade incidenter som har sin grund i brottslig handling till Polisen.

    Incidenter som att döma av hur de beskrivs (i val av orsak eller i fritext) kan antas ha sin grund i en brottslig handling kommer att vidarebefordras till Polismyndigheten där en polisanmälan kan komma att upprättas. Klicka på rullgardinsrutan nedan för mer detaljer.

  • Fördjupad it-brottssamverkan mellan oss och Polisen

    På regeringens uppdrag vidarebefordrar vi från och med 1 oktober 2022 de notifieringar och ifyllda formulär som rapporteras in till oss, och som innehåller beskrivningar av incidenter som kan antas ha sin grund i en brottslig handling, till Polismyndigheten där en polisanmälan kan komma att upprättas. Syftet är att öka andelen polisanmälda it-brott och öka möjligheten att klara upp fler brott.

    Det är endast incidentrapporter där den rapporterande organisationen har angett att incidenten är orsakad av en mänsklig handling i antagonistiskt syfte, eller där den organisationen i fritext har beskrivit att det handlar om ett angrepp, som omfattas av detta.

    Notifieringar och ifyllda formulär bedöms var för sig. Om en rapporterande organisation i sin notifiering har angett att incidenten de notifierar om har, eller verkar ha, sin grund i en brottslig handling så kommer informationen att vidarebefordras till Polismyndigheten. Om den rapporterande organisationen därefter skickar ett ifyllt formulär där de anger en annan orsak till incidenten så kommer inte det ifyllda formuläret att vidarebefordras till Polismyndigheten. På motsvarande sätt gäller också att om en rapporterande organisation vid sin notifiering anger en orsak som inte kan antas av vara brottslig så kommer informationen inte att vidarebefordras till Polismyndigheten. Om den organisationen sedan skickar in ett ifyllt formulär där de anger en orsak som kan antas vara brottslig så kommer det ifyllda formuläret att vidarebefordras till Polismyndigheten.

    Delningen av information till Polismyndigheten genomförs inom ramen för det nationella cybersäkerhetscentrets (NCSC-SE) verksamhet. Information som delas till Polismyndigheten kan också komma att delas med andra myndigheter inom NCSC-SE:s verksamhet.

    När Polismyndigheten mottagit notifieringen eller incidentrapporten bedöms huruvida ett brott som hör under allmänt åtal har förövats, om en polisanmälan ska upprättas och om en förundersökning i så fall ska inledas. Informationen som inkommer till Polismyndigheten, såväl som till andra myndigheter inom NCSC-SE, behandlas utifrån tillämpliga sekretessregler. På detta sätt når de aktörer som rapporterar in incidenter den del av Polismyndigheten som hanterar it-brott på ett nytt sätt.

    Myndigheten för civilt försvar kommer även fortsättningsvis att uppmana NIS-leverantörer och statliga myndigheter att göra en polisanmälan om de bedömer att incidenten kan ha orsakats av en brottslig handling eftersom det åligger myndigheten att göra det enligt NIS-regleringen och förordning (2022:524) om statliga myndigheters beredskap.

    Inom vissa organisationer sköts incidentrapportering respektive polisanmälan på olika sätt eller av olika delar av organisationen. Det kan vara värt att se över en sådan ordning i ljuset av det ovanstående. Det åligger rapporteringspliktiga organisationer att ha en intern rutin för att samlat hantera rapportering om inträffade incidenter utifrån den samlade kravbilden.

Återkallande av incidentrapport

I det fall bedömningen av en inrapporterad incident förändras på det sätt att incidenten inte längre bedöms vara rapporteringspliktig är det möjligt att återkalla rapporten. Återkallande eller i annat fall korrigering av felaktiga uppgifter skall meddelas utan onödigt dröjsmål, dock senast inom ett år efter rapportering. Det kan göras oavsett hur många skeden av rapporteringen som redan skickats in, förutsatt att första skedets rapportering är inskickat.

Återkallande av incidentrapport kan ske både genom att kontakta aktuell tillsynsmyndighet alternativt CERT-SE, cert@cert.se.

Relaterade länkar

Senast granskad: 18 november 2025

Till toppen av sidan