Vilka incidenter ska rapporteras enligt NIS2 och den kommande cybersäkerhetslagen?
Juristens svar
I den kommande cybersäkerhetslagen finns regler om att vissa incidenter ska rapporteras. Om man är en kommun eller en verksamhetsutövare som omfattas av cybersäkerhetslagen kommer det att finnas en rapporteringsskyldighet för betydande incidenter.
I NIS2-direktivet, och i den kommande cybersäkerhetslagen, framgår vad som är en incident. Där definieras en incident som ”en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom nätverks- och informationssystem”.
Alla incidenter ska inte rapporteras, utan det är de betydande incidenterna som ska rapporteras. Med betydande incident avses:
En incident som har orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verksamhetsutövaren, eller en incident som har har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.
Rapporteringen kommer att ske i flera steg, där man rapporterar en varning inom 24 timmar, en incidentanmälan inom 72 timmar och en slutrapport inom en månad. Syftet med att rapportera i flera steg är att snabbt kunna begränsa spridningen av en incident men även en ingående rapportering där både enskilda verksamhetsutövare och hela sektorer kan dra lärdomar av incidenten.
Information om vilka instanser de betydande incidenterna ska rapporteras till kommer att förtydligas i den kommande propositionen till cybersäkerhetslag.
Publicerad 30 sep 2024
Rådgivare och jurist
JP Infonet vill upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.
