I det andra inlägget i vår serie om Cybersäkerhetslagen (2025:1506) (CSL) tittar vi närmare på en remissutgåva av föreskrifter från Myndigheten för civilt försvar (MCF) som förväntas beslutas och träda i kraft under våren 2026. De föreslagna föreskrifterna rör incidentrapportering och informationsskyldighet för verksamheter som omfattas av CSL.
Del 2 i Knowits bloggserie om cybersäkerhetslagen.
Föreskrifterna om incidentrapportering och informationsskyldighet från MCF reglerar hur verksamheter ska identifiera it-incidenter och cyberhot och informera myndigheten och andra berörda om dessa. Syftet är att stärka motståndskraften i samhällsviktiga verksamheter genom ökad transparens och snabbare informationsutbyte. Samhällsviktiga verksamheter definieras av MCF som verksamheter, tjänster eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet. Till dessa hör bland annat energiförsörjning, dricksvatten och avlopp, och hälso- och sjukvård.
Även om de sista detaljerna i föreskrifterna inte fastställts ger remissutgåvan redan vägledning om vilka krav som kommer att ställas på berörda verksamheter vilket gör att man kan förbereda sig och börja implementera justeringar.
De föreslagna föreskrifterna förtydligar:
De berörda verksamheterna definieras i föreskrifterna som sektorsverksamheter och är verksamhet som det offentliga är skyldig att uföra enligt lag (till exempel avlopps- och dricksvattenverksamhet), eller verksamhet som anges i bilaga 1 eller 2 till Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet) (olika typer av samhällsviktiga verksamheter).
För kritiska branscher– inom energi, transport och hälso- och sjukvård bl. a.– är kraven strängt ställda, medan de inledande bestämmelserna utesluter andra sektorsverksamheter helt, som till exempel inom digital infrastruktur och post- och budtjänster, förutom i förhållande till reglerna om hur betydande incidenter ska rapporteras.
Kärnan i de nya reglerna är nya riktlinjer eller närmare angivelser för när en incident ska anses vara betydande för vissa verksamhetsutövare. Viktigt att påpeka är dock att det idag redan finns specifika kriterier för vilka incidenter som är rapporteringspliktiga för verksamhetsutövare som omfattas av EU:s Genomförandeförordning (2024/2690). Många av dessa verksamhetsutövare faller under Post- och telestyrelsens (PTS) sektorsansvar.
Föreskrifterna i remissutgåvan som är ämne för detta blogginlägg anger att en incident anses vara betydande (och därmed rapporteringspliktig) om händelsen resulterar i någon av följande konsekvenser:
De föreslagna föreskrifterna kräver även att verksamhetsutövare måste rapportera betydande incidenter som kan orsaka driftstörning, ekonomisk skada eller skada för tredje part. Till sådant förstadie av en betydande incident klassas ett betydande cyberhot mot, eller en betydande sårbarhet i verksamhetens system; incidenter vars konsekvenser inte hinner hanteras i tid; samt upprepade mindre incidenter som inträffat minst två gånger inom sex månader, har samma grundorsak och tillsammans överstiger de ekonomiska tröskelvärdena (500 000 euro eller 5 % av omsättningen). Det här innebär ett mer proaktivt cybersäkerhetsarbete där verksamheter måste upptäcka och analysera potentiella risker redan innan de utvecklas till incidenter.
Föreskrifternas största del anger vidare sektorspecifika krav med specifika tröskelvärden. Eftersom olika branscher har olika sårbarheter har vissa sektorer egna, ofta strängare, kriterier för när en incident blir rapporteringspliktig. Exempelvis anses en incident inom energisektorn i förslaget vara betydande om den påverkar minst 2 000 slutanvändare (eller 50 procent av kundbasen) i mer än två timmar. Inom hälso- och sjukvård räcker det med en timmes begränsad omfattning eller att ambulanssjukvård inte kan tillhandahållas för att incidenten ska klassas som betydande. Inom sjö-, luft- och vägtransport går gränsen vid påverkan av 1 000 användare i mer än en timme, eller att ett geografiskt område på minst 10 000 km2 påverkas. För järnväg och kollektivtrafik räknas även inställda avgångar (över 5 %) som ett kriterium.
När en incident har identifierats som betydande av en verksamhetsutövare ska den rapporteras till MCF. Fram tills att de föreslagna föreskrifterna träder i kraft har MCF en interimlösning för detta genom ett rapporteringsverktyg som kallas IRON. Mer information om detta finns att läsa på MCF:s hemsida.
I remissutgåvan består rapporteringsprocessen av flera steg och innehåller omfattande krav på vilka uppgifter som ska ingå. Dessa rör bland annat orsaker, konsekvenser, angreppsindikatorer och påverkan på konfidentialitet, riktighet och tillgänglighet av system. Det ställer höga krav på loggning, dokumentation, spårbarhet och förmåga att göra tidiga bedömningar av exempelvis ekonomisk skada eller gränsöverskridande påverkan.
I första hand ska en upplysning skickas in till myndigheten. Det är en anmälan som upprättas med grundläggande information kring incidenten. Vilka uppgifter som ska inkluderas specificeras i de föreslagna föreskrifterna men innefattar bland annat tidpunkt, misstanke om olaglig handling, om incidenten är pågående och om den riskerar att få gränsöverskridande konsekvenser.
I andra hand upprättas och skickas en incidentanmälan in, vilket är en fördjupad rapport som kompletterar och uppdaterar de uppgifter som lämnats i upplysningen. Remissutgåvan specifierar vilken information som ska tas med och läggas till, vilket är bland annat påverkan på konfidentialitet, riktighet och tillgänglighet av system samt exakta siffror på antal drabbade slutanvändare och ekonomisk skada.
Slutligen ska en slutrapport eller en lägesrapport skickas in som återigen ska uppdatera de uppgifter som lämnats in i upplysningen och incidentanmälan. I slutrapporten ska man i tillämpliga fall lägga till en beskrivning av vilka tekniska och organisatoriska åtgärder som vidtagits eller kommer att vidtas för att hantera incidenten, hantera och minimera konsekvenserna av incidenten, och undvika att liknande incidenter inträffar. Lägesrapporten skiljer sig såtillvida att man skickar in en sådan istället för en slutrapport om incidenten fortfarande är pågående, och de föreslagna föreskrifterna specificerar vilka uppgifter som ska ingå i en sådan som liknar de som tas med i en incidentanmälan.
Remissutgåvan anger slutligen vilka uppgifter verksamhetsutövaren ska lämna vid betydande incidenter och betydande cyberhot till mottagare av dennes tjänster – om det inte bedöms att informationen kan förvärra incidentens konsekvenser eller öka risken för att en incident inträffar.
Uppgifterna innefattar vad incidenten eller cyberhotet består i och – framför allt – vilka åtgärder mottagaren själv bör vidta för att begränsa incidentens konsekvenser, eller minimera risken att cyberhotet resulterar i en incident, samt vad konsekvenserna kan bli om dessa inte genomförs. Vid en betydande incident tillkommer skyldighet för verksamhetsutövaren att informera om hur länge incidenten förväntas pågå, vilka konsekvenser incidenten medför eller riskerar att medföra mottagaren samt vilka åtgärder som verksamhetsutövaren har vidtagit eller planerar att vidta för att begränsa incidentens konsekvenser.
Vid lämnande av information om betydande cyberhot som inte utgör en betydande incident ska mottagaren av verksamhetsutövarens tjänster informeras om vad cyberhotet består i, vilka åtgärder denna behöver vidta för att minimera risken för att cyberhotet resulterar i en incident, och vad konsekvenserna kan bli om dessa inte genomförs.
MCF:s föreslagna föreskrifter innebär alltså ett informationskrav på proaktiv och tydlig kommunikation med kunder och andra organisationer. Vid betydande incidenter och betydande cyberhot behöver verksamheter informera mottagare om vad som pågår, hur länge det kan pågå, vilka konsekvenser incidenten kan få och vilka åtgärder mottagaren själv behöver vidta för att begränsa konsekvenserna.
För många organisationer innebär detta att befintliga processer behöver ses över i grunden. Om föreskrifterna fastställs, klarar man att snabbt klassificera en incident enligt de sektorsspecifika trösklarna? Har man koll på vilka system som är sektorskritiska? Vet man vilka leverantörer som påverkar rapporteringsplikten – och har avtalen uppdaterats därefter? Och inte minst: finns det kompetens och kapacitet att hantera ökningen i arbetsbelastning som en mer omfattande rapporteringsordning innebär?
Det nya regelverket är inte bara en juridisk fråga. Det är också en organisatorisk mognadsresa.
I nästa del av serien
I nästa del av bloggserien tittar vi på krav på säkerhetsåtgärder CSL ställer och några generella tips för hur ni kan inleda arbetet mot efterlevnad!
Behöver ni stöd i att tolka kraven, utveckla era processer eller säkerställa att ni står redo inför kommande föreskrifter? Tveka inte att höra av er till oss på Knowit – vi hjälper er att navigera rätt och stärka er motståndskraft.