Skip to content
  • Det finns inga förslag eftersom sökfältet är tomt.

Incidentrapportering och informationsskyldighet i CSL – vad som komma skall

I det andra inlägget i vår serie om Cybersäkerhetslagen (2025:1506) (CSL) tittar vi närmare på en remissutgåva av föreskrifter från Myndigheten för civilt försvar (MCF) som förväntas beslutas och träda i kraft under våren 2026. De föreslagna föreskrifterna rör incidentrapportering och informationsskyldighet för verksamheter som omfattas av CSL.

Del 2 i Knowits bloggserie om cybersäkerhetslagen. 

Föreskrifterna om incidentrapportering och informationsskyldighet från MCF reglerar hur verksamheter ska identifiera it-incidenter och cyberhot och informera myndigheten och andra berörda om dessa. Syftet är att stärka motståndskraften i samhällsviktiga verksamheter genom ökad transparens och snabbare informationsutbyte. Samhällsviktiga verksamheter definieras av MCF som verksamheter, tjänster eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet. Till dessa hör bland annat energiförsörjning, dricksvatten och avlopp, och hälso- och sjukvård.

Även om de sista detaljerna i föreskrifterna inte fastställts ger remissutgåvan redan vägledning om vilka krav som kommer att ställas på berörda verksamheter vilket gör att man kan förbereda sig och börja implementera justeringar.

De föreslagna föreskrifterna förtydligar:

  • vad som utgör en betydande incident
  • rapportering av betydande incidenter, och
  • informationsskyldighet vid betydande incidenter och betydande cyberhot

Vilka omfattas?

De berörda verksamheterna definieras i föreskrifterna som sektorsverksamheter och är verksamhet som det offentliga är skyldig att uföra enligt lag (till exempel avlopps- och dricksvattenverksamhet), eller verksamhet som anges i bilaga 1 eller 2 till Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet) (olika typer av samhällsviktiga verksamheter).

För kritiska branscher– inom energi, transport och hälso- och sjukvård bl. a.– är kraven strängt ställda, medan de inledande bestämmelserna utesluter andra sektorsverksamheter helt, som till exempel inom digital infrastruktur och post- och budtjänster, förutom i förhållande till reglerna om hur betydande incidenter ska rapporteras.

Vad räknas som en ”betydande incident”?

Kärnan i de nya reglerna är nya riktlinjer eller närmare angivelser för när en incident ska anses vara betydande för vissa verksamhetsutövare. Viktigt att påpeka är dock att det idag redan finns specifika kriterier för vilka incidenter som är rapporteringspliktiga för verksamhetsutövare som omfattas av EU:s Genomförandeförordning (2024/2690). Många av dessa verksamhetsutövare faller under Post- och telestyrelsens (PTS) sektorsansvar.

Föreskrifterna i remissutgåvan som är ämne för detta blogginlägg anger att en incident anses vara betydande (och därmed rapporteringspliktig) om händelsen resulterar i någon av följande konsekvenser:

  • Allvarlig driftstörning för den erbjudna tjänsten: Detta innebär att en incident har orsakat allvarliga störningar i en verksamhets tjänster genom att sektorskritiska system blivit otillgängliga eller kraftigt påverkade. Enligt de föreslagna föreskrifterna definieras detta genom tre huvudsakliga kriterier:
    • Verksamheten kan endast bedrivas i begränsad omfattning eller personalen måste arbeta på alternativa sätt under en viss angiven tid;
    • Drabbade system som verksamheten tillhandahåller är viktiga för andra organisationer vilket har lett till påverkan på samhällsviktiga funktioner;
    • Verksamhetens skyddsvärda information (som utgör företagshemligheter enligt lag eller som enligt informationsklassning har bedömts ha behov av utökat skydd) har röjts, ändrats eller förstörts.

  • Ekonomisk skada: Incidenten kostar verksamheten mer än 500 000 euro eller 5% av årsomsättningen. Vid beräkningen ska man inkludera både direkta och indirekta kostnader, med allt från återställningskostnader och juridisk rådgivning till uteblivna intäkter och personalkostnader. Dessa poster specificeras i förslaget till föreskrifterna. Kan beloppen inte fastställas ska verksamhetsutövaren göra en uppskattning av dessa.

  • Påverkan på tredje part: Incidenten har inneburit att information (som utgör företagshemligheter eller har bedömts ha behov av utökat skydd) som behandlas för en annan organisation eller för minst 500 fysiska personer har blivit tillgänglig för obehöriga, har förvanskats eller har förstörts. Denna punkt innefattar även att incidenten lett till personskada, sjukdom eller dödsfall, har orsakat en föroreningsskada enligt miljöbalken eller att incidenten är så pass allvarlig att anmälningsskyldighet inträder enligt patientsäkerhetslagen.

De föreslagna föreskrifterna kräver även att verksamhetsutövare måste rapportera betydande incidenter som kan orsaka driftstörning, ekonomisk skada eller skada för tredje part. Till sådant förstadie av en betydande incident klassas ett betydande cyberhot mot, eller en betydande sårbarhet i verksamhetens system; incidenter vars konsekvenser inte hinner hanteras i tid; samt upprepade mindre incidenter som inträffat minst två gånger inom sex månader, har samma grundorsak och tillsammans överstiger de ekonomiska tröskelvärdena (500 000 euro eller 5 % av omsättningen). Det här innebär ett mer proaktivt cybersäkerhetsarbete där verksamheter måste upptäcka och analysera potentiella risker redan innan de utvecklas till incidenter.

Sektorspecifika kriterier för allvarlig driftstörning

Föreskrifternas största del anger vidare sektorspecifika krav med specifika tröskelvärden. Eftersom olika branscher har olika sårbarheter har vissa sektorer egna, ofta strängare, kriterier för när en incident blir rapporteringspliktig. Exempelvis anses en incident inom energisektorn i förslaget vara betydande om den påverkar minst 2 000 slutanvändare (eller 50 procent av kundbasen) i mer än två timmar. Inom hälso- och sjukvård räcker det med en timmes begränsad omfattning eller att ambulanssjukvård inte kan tillhandahållas för att incidenten ska klassas som betydande. Inom sjö-, luft- och vägtransport går gränsen vid påverkan av 1 000 användare i mer än en timme, eller att ett geografiskt område på minst 10 000 km2 påverkas. För järnväg och kollektivtrafik räknas även inställda avgångar (över 5 %) som ett kriterium.

Rapportering av betydande incidenter

När en incident har identifierats som betydande av en verksamhetsutövare ska den rapporteras till MCF. Fram tills att de föreslagna föreskrifterna träder i kraft har MCF en interimlösning för detta genom ett rapporteringsverktyg som kallas IRON. Mer information om detta finns att läsa på MCF:s hemsida.

I remissutgåvan består rapporteringsprocessen av flera steg och innehåller omfattande krav på vilka uppgifter som ska ingå. Dessa rör bland annat orsaker, konsekvenser, angreppsindikatorer och påverkan på konfidentialitet, riktighet och tillgänglighet av system. Det ställer höga krav på loggning, dokumentation, spårbarhet och förmåga att göra tidiga bedömningar av exempelvis ekonomisk skada eller gränsöverskridande påverkan.

I första hand ska en upplysning skickas in till myndigheten. Det är en anmälan som upprättas med grundläggande information kring incidenten. Vilka uppgifter som ska inkluderas specificeras i de föreslagna föreskrifterna men innefattar bland annat tidpunkt, misstanke om olaglig handling, om incidenten är pågående och om den riskerar att få gränsöverskridande konsekvenser.

I andra hand upprättas och skickas en incidentanmälan in, vilket är en fördjupad rapport som kompletterar och uppdaterar de uppgifter som lämnats i upplysningen. Remissutgåvan specifierar vilken information som ska tas med och läggas till, vilket är bland annat påverkan på konfidentialitet, riktighet och tillgänglighet av system samt exakta siffror på antal drabbade slutanvändare och ekonomisk skada.

Slutligen ska en slutrapport eller en lägesrapport skickas in som återigen ska uppdatera de uppgifter som lämnats in i upplysningen och incidentanmälan. I slutrapporten ska man i tillämpliga fall lägga till en beskrivning av vilka tekniska och organisatoriska åtgärder som vidtagits eller kommer att vidtas för att hantera incidenten, hantera och minimera konsekvenserna av incidenten, och undvika att liknande incidenter inträffar. Lägesrapporten skiljer sig såtillvida att man skickar in en sådan istället för en slutrapport om incidenten fortfarande är pågående, och de föreslagna föreskrifterna specificerar vilka uppgifter som ska ingå i en sådan som liknar de som tas med i en incidentanmälan.

Informationsskyldighet vid betydande incidenter och betydande cyberhot

Remissutgåvan anger slutligen vilka uppgifter verksamhetsutövaren ska lämna vid betydande incidenter och betydande cyberhot till mottagare av dennes tjänster – om det inte bedöms att informationen kan förvärra incidentens konsekvenser eller öka risken för att en incident inträffar.

Uppgifterna innefattar vad incidenten eller cyberhotet består i och – framför allt – vilka åtgärder mottagaren själv bör vidta för att begränsa incidentens konsekvenser, eller minimera risken att cyberhotet resulterar i en incident, samt vad konsekvenserna kan bli om dessa inte genomförs. Vid en betydande incident tillkommer skyldighet för verksamhetsutövaren att informera om hur länge incidenten förväntas pågå, vilka konsekvenser incidenten medför eller riskerar att medföra mottagaren samt vilka åtgärder som verksamhetsutövaren har vidtagit eller planerar att vidta för att begränsa incidentens konsekvenser.

Vid lämnande av information om betydande cyberhot som inte utgör en betydande incident ska mottagaren av verksamhetsutövarens tjänster informeras om vad cyberhotet består i, vilka åtgärder denna behöver vidta för att minimera risken för att cyberhotet resulterar i en incident, och vad konsekvenserna kan bli om dessa inte genomförs.

Har ni det som krävs för att hantera en betydande incident?

MCF:s föreslagna föreskrifter innebär alltså ett informationskrav på proaktiv och tydlig kommunikation med kunder och andra organisationer. Vid betydande incidenter och betydande cyberhot behöver verksamheter informera mottagare om vad som pågår, hur länge det kan pågå, vilka konsekvenser incidenten kan få och vilka åtgärder mottagaren själv behöver vidta för att begränsa konsekvenserna.

För många organisationer innebär detta att befintliga processer behöver ses över i grunden. Om föreskrifterna fastställs, klarar man att snabbt klassificera en incident enligt de sektorsspecifika trösklarna? Har man koll på vilka system som är sektorskritiska? Vet man vilka leverantörer som påverkar rapporteringsplikten – och har avtalen uppdaterats därefter? Och inte minst: finns det kompetens och kapacitet att hantera ökningen i arbetsbelastning som en mer omfattande rapporteringsordning innebär?

Det nya regelverket är inte bara en juridisk fråga. Det är också en organisatorisk mognadsresa.


I nästa del av serien

I nästa del av bloggserien tittar vi på krav på säkerhetsåtgärder CSL ställer och några generella tips för hur ni kan inleda arbetet mot efterlevnad!

Behöver ni stöd i att tolka kraven, utveckla era processer eller säkerställa att ni står redo inför kommande föreskrifter? Tveka inte att höra av er till oss på Knowit – vi hjälper er att navigera rätt och stärka er motståndskraft.

Relaterade inlägg