Det är en rimlig fråga. Cybersäkerhetslagen ställer specifika krav på tidslinjer som är kortare än vad många organisationer är vana vid. Och det är just den korta tidshorisonten som gör att incidenthantering inte kan vara ett manuellt, ad hoc-baserat arbetsflöde.
Vad räknas som en betydande incident?
Det här är där förvirringen ofta börjar. Inte varje säkerhetsincident utlöser rapporteringsplikten. Cybersäkerhetslagen definierar en betydande incident som en händelse som har orsakat eller kan orsaka allvarlig driftstörning, ekonomisk skada eller påverkan på andra organisationer eller samhällsfunktioner.
I praktiken innebär det att organisationen måste kunna bedöma incidentens potentiella påverkan snabbt, ofta innan den fulla omfattningen är känd. Det är ett bedömningskrav, inte bara ett tekniskt konstaterande.
En vanlig missuppfattning är att rapporteringsplikten bara gäller bekräftade intrång. Det stämmer inte. Även misstänkta incidenter med potentiellt allvarlig påverkan kan utlösa rapporteringsskyldigheten. Det här påverkar direkt hur ett compliance-system behöver vara konfigurerat: detektionslogiken måste flagga potentiella händelser, inte bara bekräftade.
De tre stegen: vad som krävs och när
Cybersäkerhetslagen delar upp rapporteringsskyldigheten i tre distinkta steg.
Tidig varning inom 24 timmar
Så snart organisationen får kännedom om en betydande incident ska en tidig varning skickas till tillsynsmyndigheten. Det krävs inte en fullständig analys, men varningen ska bekräfta att en incident har inträffat och om det finns misstanke om otillåten eller skadlig handling.
Formell anmälan inom 72 timmar
Inom 72 timmar ska en mer fullständig anmälan lämnas in. Här ska incidentens art, initial bedömning av påverkan och vidtagna åtgärder redovisas. Det är i det här steget som brister i dokumentation och interna processer brukar bli synliga.
Slutrapport inom en månad
En slutlig rapport ska lämnas inom 30 dagar. Den ska innehålla en fullständig beskrivning av incidenten, rotorsaksanalys, åtgärder och lärdomar.
Det här är inte tre separata processer. Det är ett sammanhängande flöde som kräver att information samlas in, struktureras och eskaleras i realtid. Organisationer som försöker hantera det här med e-post och kalkylblad kommer att ha svårt att hålla tidslinjerna.
Vem rapporterar till vem?
Sverige använder en decentraliserad tillsynsmodell. Det innebär att tillsynsansvaret inte ligger hos en enda myndighet utan fördelas sektorsvis. Vilken myndighet din organisation rapporterar till beror på vilken sektor du verkar i.
Det här är något som ofta förvånar organisationer som antar att all rapportering går till MSB. MCF samordnar, men den operativa tillsynen sker på sektornivå. Det är viktigt att ha rätt rapporteringskanal inbyggd i sitt compliance-system från start, inte som något man tar reda på när en incident väl inträffar.
Vad det här innebär för systemdesign
Det här är där det operativa arbetet börjar. Incidentrapportering under cybersäkerhetslagen är inte ett kommunikationsproblem, det är ett systemdesignproblem.
Hy5 hanterar det här genom att automatiskt flagga händelser som uppfyller kriterierna för en betydande incident, spåra tidslinjerna för varje rapporteringssteg och säkerställa att rätt dokumentation finns tillgänglig när den behövs. Organisationer som använder Hy5 för incidenthantering behöver inte manuellt bevaka om 24-timmarsgränsen håller på att passeras.
Hanterar ni incidentrapportering manuellt idag?
Hy5 automatiserar detektering och flaggning av NIS2-rapporteringspliktiga händelser och håller koll på alla tidslinjer i realtid. Används av svenska organisationer inom reglerade sektorer för att operationalisera cybersäkerhetslagen utan parallella manuella processer.
Hy5 kan drastiskt öka effektiviteten och precision för compliancearbete.
