Varje verksamhetsutövare under cybersäkerhetslagen måste rapportera betydande incidenter till MSB. Dessa rapporter skickas sedan vidare till ansvarig tillsynsmyndighet (till exempel PTS) som granskar dem.  

Som verksamhetsutövare ska du lämna in

  • en upplysning så snart det är möjligt, dock senaste 24 timmar efter upptäckt.
  • en incidentanmälan med inledande bedömning så snart det är möjligt, dock inom 72 timmar efter upptäckt (för tillhandahållare av betrodda tjänster är denna tidsfrist istället 24 timmar).
  • en slutrapport senast inom en månad, där omständigheterna beskrivs närmare med bland annat konsekvenser, sannolik orsak och vilka åtgärder som vidtagits.
  • en eventuell lägesrapport inom en månad i det fall incidenten fortfarande pågår. En slutrapport ska då istället lämnas in en månad efter att incidenten är avslutad.

Detaljerade regler om incidentrapportering 

För vissa verksamhetsutövare finns detaljerade regler om trösklar för vad som är en betydande incident, som tagits fram av EU-kommissionen. Dessa regler finns i artiklarna i EU-kommissionens genomförandeförordning 2024/2690.

Artikel 3-4 innehåller incidentrapporteringströsklar som gäller för samtliga verksamhetsutövare som träffas av genomförandeförordningen, och i artiklarna 5-14 finns särskilda regler för respektive verksamhetsutövare (notera att det finns en felöversättning i rubriken i artikel 5, där det ska stå ”DNS-tjänster” istället för ”molntjänster”). 

De verksamhetsutövare som behöver följa dessa särskilda regler om incidentrapporteringströsklar är

  • leverantörer av DNS-tjänster
  • registreringsenheter för toppdomäner, leverantörer av molntjänster
  • leverantörer av datacentraltjänster
  • leverantörer av nätverk för leverans av innehåll
  • leverantörer av utlokaliserade driftstjänster
  • leverantörer av utlokaliserade säkerhetstjänster
  • leverantörer av marknadsplatser online
  • leverantörer av sökmotorer
  • leverantörer av plattformar för sociala nätverkstjänster
  • tillhandahållare av betrodda tjänster.

För övriga verksamhetsutövare kommer specificerade regler att meddelas via föreskrifter, se mer om detta under PTS tar fram föreskrifter. 

 

Sidan uppdaterades: