Incidentrapportering enligt cybersäkerhetslagen
Organisationer som omfattas av cybersäkerhetslagen ska rapportera in betydande incidenter. På denna sida finns information om vad en betydande incident är, vad som ska rapporteras och hur.
Från 1 juli 2026 ska verksamhetsutövare rapportera in alla betydande incidenter till Nationellt cybersäkerhetscenter (NCSC).
Syftet är att öka förmågan att förebygga och hantera incidenter och minska deras konsekvenser, för att kunna förbättra cybersäkerhetsarbetet i samhället.
Rapporteringen gör det möjligt att skapa en samlad nulägesbild, varna andra och inleda eventuella samordnande insatser.
Föreskrifter om incidentrapportering och informationsskyldighet
Föreskrifterna om incidentrapportering och informationsskyldighet trädde i kraft 1 juli 2026.
Föreskrifterna reglerar:
- rapporteringskriterier och vilka incidenter som är rapporteringspliktiga
- hur rapporteringen av incidenter går till
- vilka uppgifter som ska uppges och när.
Föreskrifterna förklarar rapporteringens olika skeden och vad de syftar till, samt vad informationsskyldighet vid betydande incidenter och betydande cyberhot innebär.
Vägledningen för incidentrapportering och informationsskyldighet stöttar verksamhetsutövare med tillämpningen av föreskriften.
Vägledningen innehåller därför utförliga beskrivningar samt exempel som illustrerar vilka typer av incidenter som ska rapporteras samt hur kraven på informationsskyldighet uppfylls.
Anmäl en incident?
En incident är en inträffad oönskad händelse som påverkar:
- konfidentialitet (till exempel obehörig åtkomst)
- riktighet (till exempel förvanskning eller förlust)
- tillgänglighet (till exempel avbrott).
En incident kan bero på brister i det systematiska cybersäkerhetsarbetet, resursbrist, säkerhetsläget och kriminalitet samt förändringar i klimat och miljö.
En incident kan leda till påverkan på it-miljö, verksamhet och samhälle.
Allmän information om incidenter och incidenthantering finns här:
Webbinarier om cybersäkerhetslagen (Nationellt cybersäkerhetscenters webbplats)
Metodstödet: Incidenthantering (Nationellt cybersäkerhetscenters webbplats)
Vilka typer av incidenter ska rapporteras?
Verksamhetsutövare ska rapportera betydande incidenter.
Följande typer av incidenter anses vara betydande enligt Cybersäkerhetslagen:
- En incident som orsakat eller kan orsaka allvarlig driftsstörning eller ekonomisk skada.
- En incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.
Hur ska rapportering ske?
Den 1 juli 2026 öppnade en första version av verktyget för incidentrapportering.
Rapporteringstjänst (myndigheten för Civilt försvars webbplats)
Verktyget är i utvecklingsfas och fler funktioner kommer att tillkomma.
I vår vägledning för incidentrapportering och informationsskyldighet återfinns stöd i hur frågorna i verktygets formulär ska besvaras.
Incidentrapporteringsverktyget återfinns i cyberportalen.
Mottagare av incidentrapporter är Nationellt cybersäkerhetscenter genom CERT-SE, som är Sveriges nationella CSIRT (Computer Security Incident Response Team).
Incidentrapporterna skickas sedan vidare till Transportstyrelsen som tillsynsmyndighet.