Rapportera en betydande incident enligt cybersäkerhetslagen (NIS2)

Verksamhetsutövare som omfattas av cybersäkerhetslagen (NIS2) ska rapportera betydande incidenter till Myndigheten för civilt försvar. Här finns information om vilka incidenter om ska rapporteras och hur det ska rapporteras. Incidenter som av verksamhetsutövare bedöms utgöra en betydande incident enligt cybersäkerhetslagen ska rapporteras inom 24 timmar.

Tillfällig rapporteringslösning

Myndigheten för civilt försvar och Post- och telestyrelsen har i uppdrag att förbereda föreskrifter om incidentrapportering i enlighet med cybersäkerhetslagen. Myndigheten för civilt försvars föreskrifter om incidentrapportering och informationsskyldighet förväntas träda ikraft under våren 2026. I samband med det kommer även ett nytt verktyg för incidentrapportering att lanseras.

Under perioden mellan lagens ikraftträdande 15 januari 2026 och lanseringen av det nya rapporteringsverktyget kommer en interimslösning för incidentrapportering att tillhandahållas via Myndighetens för civilt försvars rapporteringsverktyg IRON.

Verktyget IRON

Vilka incidenter ska rapporteras?

Verksamhetsutövare ska rapportera betydande incidenter. Följande typer av incidenter anses vara betydande enligt cybersäkerhetslagen:

  1. En incident som orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verksamheten
  2. En incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Myndigheten för civilt försvar och Post- och telestyrelsen fastställer föreskrifter enligt cybersäkerhetslagen under våren 2026. Tills dess ombeds verksamhetsutövare som inte omfattas av annan reglering använda skrivningen i cybersäkerhetslagen för att avgöra om en incident är rapporteringspliktig.

Det finns redan idag specifika kriterier för vilka incidenter som är rapporteringspliktiga för de verksamhetsutövare som omfattas av EU:s Genomförandeförordning (2024/2690).

  • Verksamhetsutövare som omfattas av genomförandeförordningen
    • leverantörer av DNS-tjänster,
    • registreringsenheter för toppdomäner,
    • leverantörer av molntjänster,
    • leverantörer av datacentraltjänster,
    • leverantörer av nätverk för leverans av innehåll,
    • leverantörer av hanterade tjänster,
    • leverantörer av hanterade säkerhetstjänster samt
    • leverantörer av marknadsplatser online,
    • leverantörer av sökmotorer,
    • leverantörer av plattformar för sociala nätverkstjänster,
    • tillhandahållare av betrodda tjänster.

Läs genomförandeförordningen på EU:s webbplatsHur ska betydande incidenter rapporteras?

Rapporteringen av betydande incidenter i enlighet med cybersäkerhetslagen utförs i tre steg. Verksamhetsutövare ska vid rapportering av betydande incidenter inkomma med 1) en upplysning, 2) incidentanmälan och 3) en slutrapport.

Observera att övergångsperioden till dess att nya föreskrifter och ett nytt rapporteringsverktyg finns på plats så behöver verksamhetsutövare nyttja samma formulär vid rapportering av Incidentanmälan och Slutrapport.

Kan verksamhetsutövaren lämna den information som behöver ingå i Slutrapport inom 72 timmar efter Upplysning, är det tillåtet att lämna Incidentanmälan och Slutrapport vid samma rapporteringstillfälle. Verksamhetsutövaren behöver i dessa fall inte inkomma med en tredje rapport.

1. Upplysning inom 24 timmar

Inom 24 timmar från det att verksamhetsutövaren identifierat en incident som är rapporteringspliktig ska verksamhetsutövaren inkomma med en Upplysning. Den ska redogöra för om den betydande incidenten misstänks ha orsakats av olagliga eller avsiktligt skadliga handlingar eller kan ha gränsöverskridande verkningar.

Upplysningen lämnas i rapporteringsverktyget IRON via formuläret för upplysning i enlighet med cybersäkerhetslagen.

Verksamhetsutövaren bedömer själv vilken information som kan lämnas via rapporteringsverktyget IRON respektive per telefon.

Rapporteringsverktyget IRON

Vid pågående incident

Du kan efterfråga hjälp från CERT-SE.

Vid en inträffad incident kan du efterfråga hjälp från CERT-SE. CERT-SE är Sveriges nationella CSIRT (Computer Security Incident Response Team) med uppgift att stötta samhället i arbetet med att hantera och förebygga it-incidenter.

CERT-SE tillhandahåller rådgivning kring hantering av incidenten och ger stöd till drabbade verksamheter för att lindra påverkan av det inträffade och återställa funktion. CERT-SE är en del av Myndigheten för civilt försvar.

2. Incidentanmälan inom 72 timmar

Inom 24 timmar från att verksamhetsutövaren har identifierat en incident som är rapporteringspliktig ska verksamhetsutövaren inkomma med en Incidentanmälan. Incidentanmälan ska uppdatera den information som lämnats i Upplysning samt innehålla en bedömning av den betydande incidenten, dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer.

Incidentanmälan lämnas i rapporteringsverktyget IRON via formuläret för incidentanmälan och Slutrapport i enlighet med cybersäkerhetslagen. För att rapportera Incidentanmälan behöver du ange det incident ID som tilldelades incidentrapporten i samband med Upplysningen.

3. Slutrapport inom en månad

Inom en månad från det första rapporteringstillfället ska verksamhetsutövaren inkomma med en slutrapport. Slutrapporten ska inkludera:

  • en detaljerad beskrivning av incidenten, inbegripet dess allvarlighetsgrad och konsekvenser,
  • en beskrivning av den typ av hot eller grundorsak som sannolikt har utlöst incidenten,
  • tillämpade och pågående begränsande åtgärder samt,
  • i tillämpliga fall, information om gränsöverskridande verkningar.

Slutrapporten lämnas i rapporteringsverktyget IRON via formuläret för incidentanmälan och slutrapport i enlighet med cybersäkerhetslagen. För att rapportera Slutrapport behöver du ange det incident ID som tilldelades incidentrapporten i samband med Upplysningen.

Kan verksamhetsutövaren lämna den information som behöver ingå i Slutrapport inom 72 timmar efter Upplysning, är det tillåtet att lämna Incidentanmälan och Slutrapport vid samma rapporteringstillfälle. Verksamhetsutövaren behöver i dessa fall inte inkomma med en tredje rapport.

Skicka in skriftlig rapport

Om verktyget IRON inte är tillgängligt - skicka in rapport skriftligt
Incidentrapporteringsformulär för verksamhetsutövare enligt cybersäkerhetslagen.

Formulär att ladda ned

Rapporten skickas med rekommenderat brev till:

Myndigheten för civilt försvar

CERT-SE

Box 6081

171 06 Solna

Det är viktigt att Myndigheten för civilt försvar står först i adressen, därefter CERT-SE. Skicka inte med personlig utlämning då vi kan få problem att hämta ut posten.

Lägg rapporten med informationen i ett separat kuvert inuti försändelsekuvertet (kuvert i kuvert). Alternativt kan rapporten lämnas, adresserad till CERT-SE, personligen till vakten i vår reception i Solna på Terminalvägen 14.

Skydd av information

Information som inkommer i samband med incidentrapporter kan vara känsliga dels ur ett risk- och sårbarhetsperspektiv samt även gällande vilka åtgärder som har vidtagits till följd av incidenten. Detta gäller inte bara för de som har drabbats men även för andra som kan ha sina säkerhetsåtgärder eller system konstruerade på liknande sätt.

Det är centralt för Myndigheten för civilt försvar att den information som lämnas in och genereras i samband med rapporteringen av en it-incident ges ett kvalificerat skydd. I detta avseende är ändamålsenliga rutiner och processer samt system med hög teknisk säkerhet av stor betydelse. De rättsliga aspekterna är även de centrala för hanteringen av information vid it-incidenthantering.

Myndigheten för civilt försvars hantering av information styrs, liksom andra myndigheter, av reglerna om offentlighet och sekretess. It-incidentrapporter som kommer in till Myndigheten för civilt försvar kommer att utgöra allmän handling varför en central aspekt är Myndigheten för civilt försvars möjligheter att sekretessbelägga inkommen information. Offentlighets- och sekretesslagen (2009:400), OSL, innehåller bestämmelser kring sekretess. Sekretess innebär ett förbud att röja vissa typer av uppgifter, vare sig detta sker muntligen, genom utlämnande av allmän handling eller på något annat sätt.

  • Prövning av sekretess

    Prövning av sekretessen görs av Myndigheten för civilt försvar då en uppgift begärs utlämnad. Om en uppgift som begärs ut omfattas av sekretess får den inte lämnas ut. Information som inkommer till Myndigheten för civilt försvar i samband med it-incidenthantering kan vara av olika slag men ger i många fall upplysningar om säkerhets- eller bevakningsåtgärder när det gäller en organisations it- eller kommunikationssystem.

    Om det kan antas att syftet med säkerhets- eller bevakningsåtgärder motverkas, exempelvis genom att säkerhetsarbetet försvåras, om den typen av information röjs finns det stöd i offentlighets- och sekretesslagen att enligt 18 kap. 8 § p. 3 att sekretessbelägga sådan information. I de fall då ett röjande av informationen inte påverkar syftet med säkerhets- eller bevakningsåtgärden, exempelvis då informationen är allmänt känd, omfattas informationen däremot inte av sekretess enligt offentlighets- och sekretesslagen.

    Av 18 kap 8 b OSL följer vidare att sekretess gäller för uppgift i en incidentrapport enligt cybersäkerhetslagen (2025:1506) och för uppgift om vilka åtgärder som en verksamhetsutövare har vidtagit till följd av incidenten, om det inte står klart att uppgiften kan röjas utan att den rapporterande verksamhetsutövarens framtida verksamhet skadas eller syftet med vidtagen åtgärd motverkas.

    Detta innebär att den information som inkommer i samband med incidentrapportering kan vara sådan att den kan komma att omfattas av 18 kap. 8 b § OSL, men även andra sekretessgrunder kan komma att bli tillämpliga.

    Sekretessbestämmelsen innebär också en tystnadsplikt för myndighetens medarbetare gällande de uppgifter som träffas av sekretessbestämmelsen. Brott mot tystnadsplikten är straffsanktionerat.

    Vad gäller när näringsidkare eller organisationer lämnar information till Myndigheten för civilt försvar?

    Utöver den information som utgörs av bevaknings- och säkerhetsåtgärder inom en organisation så omfattas även uppgifter om affärs- eller driftförhållande, uppfinningar eller forskningsresultat av sekretess om det kan antas att näringsidkaren lider skada om uppgifterna röjs. Om Myndigheten för civilt försvar genom sin samverkan med näringslivet eller organisationer lämnar stöd eller genomför en utredning för att identifiera och analysera allvarliga sårbarheter, hot och risker i samhället så kommer även denna information omfattas av motsvarande skydd och säkerhetsåtgärder hos Myndigheten för civilt försvar. För uppgifter som rör den som trätt i affärsförbindelse eller liknande med näringsidkaren gäller en absolut sekretess.

Sedan 1 oktober 2022 vidarebefordrar myndigheten inrapporterade incidenter som har sin grund i brottslig handling till Polisen.

Incidenter som att döma av hur de beskrivs (i val av orsak eller i fritext) kan antas ha sin grund i en brottslig handling kommer att vidarebefordras till Polismyndigheten där en polisanmälan kan komma att upprättas. Klicka på rullgardinsrutan nedan för mer detaljer.

  • Fördjupad it-brottssamverkan mellan oss och Polisen

    På regeringens uppdrag vidarebefordrar vi från och med 1 oktober 2022 de notifieringar och ifyllda formulär som rapporteras in till oss, och som innehåller beskrivningar av incidenter som kan antas ha sin grund i en brottslig handling, till Polismyndigheten där en polisanmälan kan komma att upprättas. Syftet är att öka andelen polisanmälda it-brott och öka möjligheten att klara upp fler brott.

    Det är endast incidentrapporter där den rapporterande organisationen har angett att incidenten är orsakad av en mänsklig handling i antagonistiskt syfte, eller där den organisationen i fritext har beskrivit att det handlar om ett angrepp, som omfattas av detta.

    Notifieringar och ifyllda formulär bedöms var för sig. Om en rapporterande organisation i sin notifiering har angett att incidenten de notifierar om har, eller verkar ha, sin grund i en brottslig handling så kommer informationen att vidarebefordras till Polismyndigheten. Om den rapporterande organisationen därefter skickar ett ifyllt formulär där de anger en annan orsak till incidenten så kommer inte det ifyllda formuläret att vidarebefordras till Polismyndigheten.

    På motsvarande sätt gäller också att om en rapporterande organisation vid sin notifiering anger en orsak som inte kan antas vara brottslig så kommer informationen inte att vidarebefordras till Polismyndigheten. Om den organisationen sedan skickar in ett ifyllt formulär där de anger en orsak som kan antas vara brottslig så kommer det ifyllda formuläret att vidarebefordras till Polismyndigheten.

    Delningen av information till Polismyndigheten genomförs inom ramen för det nationella cybersäkerhetscentrets (NCSC-SE) verksamhet. Information som delas till Polismyndigheten kan också komma att delas med andra myndigheter inom NCSC-SE:s verksamhet.

    När Polismyndigheten mottagit notifieringen eller incidentrapporten bedöms huruvida ett brott som hör under allmänt åtal har förövats, om en polisanmälan ska upprättas och om en förundersökning i så fall ska inledas. Informationen som inkommer till Polismyndigheten, såväl som till andra myndigheter inom NCSC-SE, behandlas utifrån tillämpliga sekretessregler. På detta sätt når de aktörer som rapporterar in incidenter den del av Polismyndigheten som hanterar it-brott på ett nytt sätt.

    Myndigheten för civilt försvar kommer även fortsättningsvis att uppmana NIS-leverantörer och statliga myndigheter att göra en polisanmälan om de bedömer att incidenten kan ha orsakats av en brottslig handling eftersom det åligger myndigheten att göra det enligt NIS-regleringen och krisberedskapsförordningen.

    Inom vissa organisationer sköts incidentrapportering respektive polisanmälan på olika sätt eller av olika delar av organisationen. Det kan vara värt att se över en sådan ordning i ljuset av det ovanstående. Det åligger rapporteringspliktiga organisationer att ha en intern rutin för att samlat hantera rapportering om inträffade incidenter utifrån den samlade kravbilden.

Återkallande av incidentrapport

I det fall bedömningen av en inrapporterad incident förändras på det sätt att incidenten inte längre bedöms vara rapporteringspliktig är det möjligt att återkalla rapporten. Återkallande eller i annat fall korrigering av felaktiga uppgifter skall meddelas utan onödigt dröjsmål, dock senast inom ett år efter rapportering. Det kan göras oavsett hur många skeden av rapporteringen som redan skickats in, förutsatt att första skedets rapportering är inskickat.

Återkallande av incidentrapport kan ske både genom att kontakta aktuell tillsynsmyndighet alternativt CERT-SE, cert@cert.se.

Senast granskad: 16 januari 2026

Till toppen av sidan