Incidentrapportering: vad ska rapporteras inom 24h, 72h och 1 månad?

Vad räknas som en "betydande incident"?

NIS2 Art. 23.3 definierar en betydande incident som en som: 1. Har orsakat eller kan orsaka allvarlig driftstörning av tjänster eller ekonomisk förlust, eller 2. Har påverkat eller kan påverka andra fysiska eller juridiska personer genom väsentlig materiell eller immateriell skada

Ransomware, dataintrång med exfiltration, DDoS som påverkar kritiska tjänster, och större driftstörningar i kritisk infrastruktur är typiska exempel.

Fas 1: Tidig varning (inom 24 timmar)

Lagrum: Cybersäkerhetslagen 2 kap. 5 § / NIS2 Art. 23.4(a)

Innehåll som ska rapporteras: - Att en betydande incident har inträffat - Misstänks brottslig/skadlig handling? (ja/nej/okänt) - Gränsöverskridande påverkan? (ja/nej/okänt) - Kort preliminär beskrivning av vad som har hänt

Syftet med 24-timmarsvarningen är att ge myndigheten möjlighet att varna andra och förbereda stödinsatser. Fullständig detaljinfo förväntas inte — det räcker med det ni vet då.

Fas 2: Incidentanmälan (inom 72 timmar)

Lagrum: Cybersäkerhetslagen 2 kap. 6 § / NIS2 Art. 23.4(b)

Uppdatera med: - Bedömning av allvarlighetsgrad och påverkan (antal drabbade, drift, ekonomi) - Indikatorer på intrång (IoC) — IP-adresser, filhashar, ovanliga loggposter - Vidtagna åtgärder — isolering, återställning, kommunikation - Kända orsaker om de finns

Tips: tjänsteleverantörer av trust services (kvalificerade elektroniska signaturer) har 24 timmar, inte 72. Kolla vilken kategori ni tillhör.

Fas 3: Slutrapport (inom 1 månad)

Lagrum: Cybersäkerhetslagen 2 kap. 8 § / NIS2 Art. 23.4(d)

Detaljerad slutrapport: - Utförlig beskrivning — komplett tidslinje - Grundorsak (root cause) — tekniskt, mänskligt, processuellt - Genomförda och pågående åtgärder - Lärdomar och förbättringsåtgärder för att förhindra upprepning - Gränsöverskridande effekter om det finns

Vem rapporterar ni till?

CERT-SE (eller sektorspecifik tillsynsmyndighet beroende på er sektor — Finansinspektionen för finans, Energimyndigheten för energi, PTS för telekom, osv). MCF (Myndigheten för cybersäkerhet och civilt försvar) är den samordnande tillsynsmyndigheten.

Vad händer om ni missar en deadline?

Sanktionsavgifter. NIS2 tillåter upp till 10 miljoner euro eller 2% av global omsättning för väsentliga entiteter, och 7 miljoner euro eller 1.4% för viktiga entiteter. Försenad rapportering räknas som allvarlig överträdelse.

NIS2Koll:s incidentmodul

I NIS2Koll:s incidentmodul får ni: - Automatiska countdown till varje deadline - Strukturerat formulär för varje fas - MSB-kompatibel PDF-rapport med alla lagreferenser - E-postpåminnelser innan deadline - Audit-logg för varje ändring