Logga in

Logga in formulär

Ange ditt användarnamn. Ange ditt lösenord. Glömt ditt lösenord?

Vilka incidenter ska rapporteras enligt NIS2 och den kommande cybersäkerhetslagen?

Juristens svar

I den kommande cybersäkerhetslagen finns regler om att vissa incidenter ska rapporteras. Om man är en kommun eller en verksamhetsutövare som omfattas av cybersäkerhetslagen kommer det att finnas en rapporteringsskyldighet för betydande incidenter.

I NIS2-direktivet, och i den kommande cybersäkerhetslagen, framgår vad som är en incident. Där definieras en incident som ”en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom nätverks- och informationssystem”.

Alla incidenter ska inte rapporteras, utan det är de betydande incidenterna som ska rapporteras. Med betydande incident avses:  

En incident som har orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verksamhetsutövaren, eller en incident som har har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Rapporteringen kommer att ske i flera steg, där man rapporterar en varning inom 24 timmar, en incidentanmälan inom 72 timmar och en slutrapport inom en månad. Syftet med att rapportera i flera steg är att snabbt kunna begränsa spridningen av en incident men även en ingående rapportering där både enskilda verksamhetsutövare och hela sektorer kan dra lärdomar av incidenten.

Information om vilka instanser de betydande incidenterna ska rapporteras till kommer att förtydligas i den kommande propositionen till cybersäkerhetslag.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 30 sep 2024

Beata Rosvall

Rådgivare och jurist

JP Infonet vill upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

Nyheter

EU-domstolen har i ett förhandsavgörande redogjort för tolkningen av begreppet berättigat intresse enligt artikel 6.1 första stycket f i dataskyddsförordningen. Vår expert Ranja Bunni har analyserat avgörandet.  

3 dec 2024

Vår dataskyddsjurist Beata Rosvall svarar på frågan. 

2 dec 2024

Vår rådgivare och jurist Beata Rosvall berättar i detta JP play-avsnitt om vad som händer med NIS2 och CER-direktivet.

2 dec 2024