Incidentrapportering enligt cybersäkerhetslagen

Organisationer som omfattas av cybersäkerhetslagen ska rapportera in betydande incidenter. På denna sida finns information om vad en betydande incident är, vad som ska rapporteras och hur.

Från 1 juli 2026 ska verksamhetsutövare rapportera in alla betydande incidenter till Nationellt cybersäkerhetscenter (NCSC).

Syftet är att öka förmågan att förebygga och hantera incidenter och minska deras konsekvenser, för att kunna förbättra cybersäkerhetsarbetet i samhället.

Rapporteringen gör det möjligt att skapa en samlad nulägesbild, varna andra och inleda eventuella samordnande insatser.

Föreskrifter om incidentrapportering och informationsskyldighet

Föreskrifterna om incidentrapportering och informationsskyldighet trädde i kraft 1 juli 2026.
Föreskrifterna reglerar:

  • rapporteringskriterier och vilka incidenter som är rapporteringspliktiga
  • hur rapporteringen av incidenter går till
  • vilka uppgifter som ska uppges och när.

Föreskrifterna förklarar rapporteringens olika skeden och vad de syftar till, samt vad informationsskyldighet vid betydande incidenter och betydande cyberhot innebär.

MCFFS 2026:8 Föreskrifter om incidentrapportering och informationsskyldighet för väsentliga och viktiga verksamhetsutövare (Nationellt cybersäkerhetscenters webbplats)

Vägledningen för incidentrapportering och informationsskyldighet stöttar verksamhetsutövare med tillämpningen av föreskriften.

Vägledningen innehåller därför utförliga beskrivningar samt exempel som illustrerar vilka typer av incidenter som ska rapporteras samt hur kraven på informationsskyldighet uppfylls.

Vägledning Incidentrapportering och informationsskyldighet (Nationellt cybersäkerhetscenters webbplats)

Anmäl en incident?

En incident är en inträffad oönskad händelse som påverkar:

  • konfidentialitet (till exempel obehörig åtkomst)
  • riktighet (till exempel förvanskning eller förlust)
  • tillgänglighet (till exempel avbrott). 

En incident kan bero på brister i det systematiska cybersäkerhetsarbetet, resursbrist, säkerhetsläget och kriminalitet samt förändringar i klimat och miljö.

En incident kan leda till påverkan på it-miljö, verksamhet och samhälle.

Allmän information om incidenter och incidenthantering finns här:

Webbinarier om cybersäkerhetslagen (Nationellt cybersäkerhetscenters webbplats)

Metodstödet: Incidenthantering (Nationellt cybersäkerhetscenters webbplats)

Temarapport 2025: It-incidenters påverkan: Ramverk för bedömning av påverkan på it-miljö, verksamhet och samhälle (Nationellt cybersäkerhetscenters webbplats)

Vilka typer av incidenter ska rapporteras?

Verksamhetsutövare ska rapportera betydande incidenter.

Följande typer av incidenter anses vara betydande enligt Cybersäkerhetslagen:

  1. En incident som orsakat eller kan orsaka allvarlig driftsstörning eller ekonomisk skada.
  2. En incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Hur ska rapportering ske?

Den 1 juli 2026 öppnade en första version av verktyget för incidentrapportering.

Rapporteringstjänst (myndigheten för Civilt försvars webbplats)

Verktyget är i utvecklingsfas och fler funktioner kommer att tillkomma.

I vår vägledning för incidentrapportering och informationsskyldighet återfinns stöd i hur frågorna i verktygets formulär ska besvaras.

Incidentrapporteringsverktyget återfinns i cyberportalen.

Mottagare av incidentrapporter är Nationellt cybersäkerhetscenter genom CERT-SE, som är Sveriges nationella CSIRT (Computer Security Incident Response Team).

Incidentrapporterna skickas sedan vidare till Transportstyrelsen som tillsynsmyndighet.  

Rapportera en betydande incident enligt cybersäkerhetslagen (Nationellt cybersäkerhetscenters webbplats)