Varför trappstegsmodellen?

NIS2-direktivet introducerade en rapporteringsmodell i tre steg (tidig varning inom 24 timmar, incidentanmälan inom 72 timmar, slutrapport inom en månad efter anmälan) som skiljer sig markant från de tidigare, ofta oprecisa, kraven i det första NIS-direktivet. Den nya modellen syftar till två saker: att ge den nationella CSIRT-funktionen (i Sverige CERT-SE vid MCF) en snabb initial bild av hotläget, och att samtidigt ge den drabbade organisationen tid att genomföra en grundlig utredning innan den slutliga rapporten lämnas.

Trappstegsmodellen är inte unik för NIS2. Liknande modeller finns i GDPR (72 timmar för personuppgiftsincidenter till IMY) och i DORA-förordningen för finanssektorn. Men NIS2 kombinerar den snabbaste initiala rapporteringstiden (24 timmar) med det bredaste tillämpningsområdet. I Sverige implementeras kraven genom 2 kap. 5–8 §§ i Cybersäkerhetslagen (SFS 2025:1506).

Vad är en "betydande incident"?

Rapporteringsplikten gäller inte alla incidenter, bara betydande sådana. Cybersäkerhetslagen definierar en betydande incident som en incident som:

Har orsakat eller kan orsaka allvarlig störning av tjänster eller allvarlig ekonomisk förlust för den berörda entiteten.
Har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada.

I praktiken innebär det att en organisation behöver göra en initial bedömning av incidentens allvar innan rapporteringsplikten triggas. Följande faktorer bör vägas in:

Antal drabbade användare eller kunder. Ju fler desto mer sannolikt att incidenten är betydande.
Varaktighet. En kortvarig störning kan vara betydande om den drabbar kritiska tjänster.
Geografisk spridning. Incidenter som påverkar flera regioner eller länder har en högre allvarlighetsgrad.
Potentiell kaskadeffekt. Om incidenten kan påverka andra organisationer eller sektorer, exempelvis genom leverantörskedjor.
Typ av data som komprometterats. Personuppgifter, affärshemligheter eller systemkritisk information höjer allvarligheten.

MCF (tidigare MSB) har i sin vägledning angett att organisationer bör ha en intern process för allvarlighetsbedömning som kan genomföras inom en timme efter att incidenten upptäckts. Tvivel bör leda till rapportering. Det är bättre att rapportera en incident som visar sig vara mindre allvarlig än att missa rapporteringstiderna.

Steg 1: Tidig varning (inom 24 timmar)

Vad ska rapporten innehålla?

Den tidiga varningen är avsiktligt summarisk. Syftet är att CERT-SE ska kunna bedöma om incidenten utgör ett bredare hot och potentiellt varna andra organisationer. Rapporten ska innehålla:

1.Bekräftelse av att en betydande incident har inträffat eller misstänks ha inträffat.
2.Preliminär klassificering: typ av incident (ransomware, DDoS, dataintrång, leverantörsattack etc.).
3.Bedömning av gränsöverskridande påverkan: kan incidenten påverka andra EU-länder?
4.Misstänkt avsiktligt agerande: finns det indikationer på att incidenten orsakats av en hotaktör med uppsåt?
5.Kontaktuppgifter till organisationens incidentansvarige.

Vad behöver inte ingå?

I det 24-timmarssteget krävs inte:

Detaljerad teknisk analys.
Fullständig konsekvensanalys.
Identifiering av grundorsak.
Information om vidtagna åtgärder (utöver initial begränsning).

Praktiska tips

Förbered mallar i förväg. Ha en ifyllbar mall redo så att incidentansvarige kan rapportera snabbt utan att behöva formulera text under stress.
Definiera eskaleringskedjor. Vem tar beslutet att rapportera? I idealfallet bör CISO eller motsvarande ha mandat att trigga rapporteringen utan att behöva styrelsebeslut.
Öva med simuleringar. Kör tabletop-övningar där teamet övar på att genomföra en 24-timmarsrapportering under tidspress.
Dokumentera tidpunkten. Notera exakt när incidenten upptäcktes, eftersom 24-timmarsklockan börjar ticka från den tidpunkten.

Steg 2: Incidentrapport (inom 72 timmar)

Vad ska rapporten innehålla?

Den uppdaterade incidentrapporten bygger vidare på den tidiga varningen och inkluderar:

1.Uppdaterad bedömning av incidentens allvar. Har konsekvenserna visat sig vara större eller mindre än initialt bedömt?
2.Preliminär konsekvensanalys: vilka system, tjänster och processer har påverkats?
3.Indikatorer på kompromettering (IoC): IP-adresser, domäner, filhashar, e-postadresser eller andra tekniska artefakter som kan hjälpa andra organisationer att identifiera samma hot.
4.Angreppsvektor: hur tog sig hotaktören in? Exploiterad sårbarhet, phishing, komprometterade inloggningsuppgifter?
5.Preliminär grundorsak, om känd vid denna tidpunkt.
6.Vidtagna åtgärder: vad har organisationen gjort för att begränsa och hantera incidenten?
7.Uppdaterad bedömning av gränsöverskridande påverkan.

Skillnad mot 24-timmarsrapporten

72-timmarsrapporten ska ge en substantiellt mer detaljerad bild. CERT-SE förväntar sig att organisationen vid denna tidpunkt har:

Genomfört en initial forensisk analys (eller påbörjat den).
Identifierat vilka system som är drabbade.
Påbörjat begränsningsåtgärder (containment).
Kunnat bedöma incidentens allvarlighet mer precist.

Praktiska tips

Separera incidenthantering från rapportering. Utse en person i incidentteamet med explicit ansvar för att sammanställa 72-timmarsrapporten medan resten av teamet fokuserar på hanteringen.
Samla IoC systematiskt. Använd strukturerade format (STIX/TAXII om möjligt) för att kunna dela information effektivt.
Kommunicera med juridik. 72-timmarsrapporten kan innehålla information som har juridiska implikationer (exempelvis om personuppgifter komprometterats och en GDPR-anmälan också krävs).

Steg 3: Slutrapport (inom en månad)

Vad ska rapporten innehålla?

Slutrapporten är den mest omfattande och den som tillsynsmyndigheten granskar mest noggrant. Den ska innehålla:

1.Fullständig beskrivning av incidenten: kronologisk redogörelse från upptäckt till återhämtning.
2.Grundorsaksanalys (root cause analysis): vad var den underliggande orsaken? Teknisk sårbarhet, mänskligt fel, processbrister?
3.Allvarlighetsgrad: slutgiltig klassificering av incidentens allvar.
4.Konsekvenser: detaljerad redovisning av påverkan på tjänster, system, data, användare och tredje parter.
5.Angreppstyp: om relevant, en klassificering av hotaktören (organiserad brottslighet, statlig aktör, insider etc.).
6.Vidtagna åtgärder: fullständig redovisning av begränsnings- och återhämtningsåtgärder.
7.Lärdomar och förbättringsåtgärder: vad organisationen har gjort eller planerar att göra för att förhindra liknande incidenter i framtiden.
8.Gränsöverskridande påverkan: slutgiltig bedömning.

Kvalitetskrav

Tillsynsmyndigheterna förväntar sig att slutrapporten visar att organisationen har genomfört en seriös utredning. En slutrapport som upprepar 72-timmarsrapportens innehåll utan tilläggsanalys kommer att uppfattas negativt. Specifikt granskas:

Grundorsaksanalysens djup. Har organisationen identifierat den verkliga grundorsaken, eller bara symptomet?
Åtgärdsplanens realism. Är de planerade förbättringsåtgärderna konkreta, tidsatta och resurssatta?
Dokumentationens fullständighet. Kan organisationen visa en spårbar kedja från upptäckt till åtgärd?

Vem rapporterar man till?

CERT-SE (MCF)

Den primära mottagaren av incidentrapporter är CERT-SE, som är Sveriges nationella CSIRT-funktion. Rapportering sker via:

CERT-SE:s webbformulär, den primära rapporteringskanalen.
E-post till cert@cert.se vid behov av krypterad kommunikation (PGP-nycklar finns publicerade).
Telefon för brådskande ärenden utanför kontorstid.

Sektorstillsynsmyndighet

Utöver rapportering till CERT-SE kan den sektorsspecifika tillsynsmyndigheten begära information om incidenter. Det innebär att en organisation inom hälso- och sjukvården kan behöva kommunicera med både CERT-SE och IVO. Organisationen bör ha en tydlig intern process för att koordinera denna dubbla rapportering.

GDPR-parallell

Om incidenten involverar personuppgifter och uppfyller kriterierna för en personuppgiftsincident enligt GDPR, gäller även rapporteringsplikt till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Notera att GDPR:s och NIS2:s rapporteringskrav är separata och man måste uppfylla båda.

Praktiskt workflow: från upptäckt till slutrapport

Nedan följer ett rekommenderat workflow som integrerar rapporteringsplikten med den operativa incidenthanteringen.

Timme 0–1: Upptäckt och initial bedömning

Incidenten detekteras (SIEM, SOC, användare, extern rapportör).
Incidentansvarig aktiveras.
Initial allvarlighetsbedömning genomförs.
Beslut fattas: är detta en betydande incident? Om ja, startar 24-timmarsklockan.
Incidentteam sammankallas.

Timme 1–24: Tidig varning och initial begränsning

Begränsningsåtgärder påbörjas (nätverksisolering, kontoavstängning etc.).
Tidig varning skickas till CERT-SE.
Intern eskalering sker (CISO → VD → styrelseordförande vid behov).
Forensisk datainsamling påbörjas (loggar, minnesavbilder, diskavbilder).

Timme 24–72: Utredning och uppdaterad rapport

Detaljerad forensisk analys genomförs.
Angreppsvektor och IoC identifieras.
Konsekvensanalys genomförs.
72-timmarsrapport skickas till CERT-SE.
Parallella rapporteringar genomförs (IMY om personuppgifter, sektorsmyndighet).

Dag 3–30: Grundorsaksanalys och slutrapport

Fullständig grundorsaksanalys genomförs.
Långsiktiga åtgärder planeras och påbörjas.
Lärdomar dokumenteras.
Slutrapport sammanställs och skickas till CERT-SE.
Intern erfarenhetsgenomgång hålls med berörda team.
Styrelsen informeras om slutrapportens innehåll.

Rapporteringsmallar

CyberKlar tillhandahåller färdiga rapporteringsmallar som följer CERT-SE:s förväntade struktur. Mallarna inkluderar:

Mall: Tidig varning (24 h). En sida, strukturerade fält, minimalt fritext.
Mall: Incidentrapport (72 h). Tre till fem sidor, IoC-sektion, konsekvensmatris.
Mall: Slutrapport (1 mån efter anmälan). Fullständig mall med grundorsaksanalys, åtgärdslogg och förbättringsplan.

Mallarna finns tillgängliga i CyberKlar-plattformen under modulen Incidentrapportering och kan exporteras som PDF för arkivering.

Konsekvenser vid utebliven rapportering

Att inte rapportera, eller rapportera för sent, är i sig en överträdelse av Cybersäkerhetslagen. Konsekvenserna kan inkludera:

Sanktionsavgifter, fristående från eventuella avgifter för själva säkerhetsbristen.
Skärpt tillsyn. Organisationen kan placeras under utökad övervakning.
Negativ påverkan vid den övergripande bedömningen. Om organisationen redan granskas för andra brister signalerar utebliven rapportering en systemisk brist i säkerhetskulturen.

Sammanfattning

Rapporteringsplikten i Cybersäkerhetslagen är tydligt strukturerad: tidig varning till CERT-SE inom 24 timmar, incidentanmälan inom 72 timmar, och slutrapport inom en månad efter incidentanmälan. Organisationer som väntar med att bygga sina rapporteringsprocesser tills en incident inträffar kommer oundvikligen att missa tidskraven. Förberedelse (mallar, eskaleringskedjor, övningar och utsedda ansvariga) är avgörande för att kunna uppfylla lagens krav under den stress som en aktiv incident innebär.

Varför trappstegsmodellen?

Vad är en "betydande incident"?

Rapporteringsplikten gäller inte alla incidenter, bara betydande sådana. Cybersäkerhetslagen definierar en betydande incident som en incident som:

Har orsakat eller kan orsaka allvarlig störning av tjänster eller allvarlig ekonomisk förlust för den berörda entiteten.
Har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada.

I praktiken innebär det att en organisation behöver göra en initial bedömning av incidentens allvar innan rapporteringsplikten triggas. Följande faktorer bör vägas in:

Antal drabbade användare eller kunder. Ju fler desto mer sannolikt att incidenten är betydande.
Varaktighet. En kortvarig störning kan vara betydande om den drabbar kritiska tjänster.
Geografisk spridning. Incidenter som påverkar flera regioner eller länder har en högre allvarlighetsgrad.
Potentiell kaskadeffekt. Om incidenten kan påverka andra organisationer eller sektorer, exempelvis genom leverantörskedjor.
Typ av data som komprometterats. Personuppgifter, affärshemligheter eller systemkritisk information höjer allvarligheten.

Steg 1: Tidig varning (inom 24 timmar)

Vad ska rapporten innehålla?

Den tidiga varningen är avsiktligt summarisk. Syftet är att CERT-SE ska kunna bedöma om incidenten utgör ett bredare hot och potentiellt varna andra organisationer. Rapporten ska innehålla:

1.Bekräftelse av att en betydande incident har inträffat eller misstänks ha inträffat.
2.Preliminär klassificering: typ av incident (ransomware, DDoS, dataintrång, leverantörsattack etc.).
3.Bedömning av gränsöverskridande påverkan: kan incidenten påverka andra EU-länder?
4.Misstänkt avsiktligt agerande: finns det indikationer på att incidenten orsakats av en hotaktör med uppsåt?
5.Kontaktuppgifter till organisationens incidentansvarige.

Vad behöver inte ingå?

I det 24-timmarssteget krävs inte:

Detaljerad teknisk analys.
Fullständig konsekvensanalys.
Identifiering av grundorsak.
Information om vidtagna åtgärder (utöver initial begränsning).

Praktiska tips

Förbered mallar i förväg. Ha en ifyllbar mall redo så att incidentansvarige kan rapportera snabbt utan att behöva formulera text under stress.
Definiera eskaleringskedjor. Vem tar beslutet att rapportera? I idealfallet bör CISO eller motsvarande ha mandat att trigga rapporteringen utan att behöva styrelsebeslut.
Öva med simuleringar. Kör tabletop-övningar där teamet övar på att genomföra en 24-timmarsrapportering under tidspress.
Dokumentera tidpunkten. Notera exakt när incidenten upptäcktes, eftersom 24-timmarsklockan börjar ticka från den tidpunkten.

Steg 2: Incidentrapport (inom 72 timmar)

Vad ska rapporten innehålla?

Den uppdaterade incidentrapporten bygger vidare på den tidiga varningen och inkluderar:

1.Uppdaterad bedömning av incidentens allvar. Har konsekvenserna visat sig vara större eller mindre än initialt bedömt?
2.Preliminär konsekvensanalys: vilka system, tjänster och processer har påverkats?
3.Indikatorer på kompromettering (IoC): IP-adresser, domäner, filhashar, e-postadresser eller andra tekniska artefakter som kan hjälpa andra organisationer att identifiera samma hot.
4.Angreppsvektor: hur tog sig hotaktören in? Exploiterad sårbarhet, phishing, komprometterade inloggningsuppgifter?
5.Preliminär grundorsak, om känd vid denna tidpunkt.
6.Vidtagna åtgärder: vad har organisationen gjort för att begränsa och hantera incidenten?
7.Uppdaterad bedömning av gränsöverskridande påverkan.

Skillnad mot 24-timmarsrapporten

72-timmarsrapporten ska ge en substantiellt mer detaljerad bild. CERT-SE förväntar sig att organisationen vid denna tidpunkt har:

Genomfört en initial forensisk analys (eller påbörjat den).
Identifierat vilka system som är drabbade.
Påbörjat begränsningsåtgärder (containment).
Kunnat bedöma incidentens allvarlighet mer precist.

Praktiska tips

Separera incidenthantering från rapportering. Utse en person i incidentteamet med explicit ansvar för att sammanställa 72-timmarsrapporten medan resten av teamet fokuserar på hanteringen.
Samla IoC systematiskt. Använd strukturerade format (STIX/TAXII om möjligt) för att kunna dela information effektivt.
Kommunicera med juridik. 72-timmarsrapporten kan innehålla information som har juridiska implikationer (exempelvis om personuppgifter komprometterats och en GDPR-anmälan också krävs).

Steg 3: Slutrapport (inom en månad)

Vad ska rapporten innehålla?

Slutrapporten är den mest omfattande och den som tillsynsmyndigheten granskar mest noggrant. Den ska innehålla:

1.Fullständig beskrivning av incidenten: kronologisk redogörelse från upptäckt till återhämtning.
2.Grundorsaksanalys (root cause analysis): vad var den underliggande orsaken? Teknisk sårbarhet, mänskligt fel, processbrister?
3.Allvarlighetsgrad: slutgiltig klassificering av incidentens allvar.
4.Konsekvenser: detaljerad redovisning av påverkan på tjänster, system, data, användare och tredje parter.
5.Angreppstyp: om relevant, en klassificering av hotaktören (organiserad brottslighet, statlig aktör, insider etc.).
6.Vidtagna åtgärder: fullständig redovisning av begränsnings- och återhämtningsåtgärder.
7.Lärdomar och förbättringsåtgärder: vad organisationen har gjort eller planerar att göra för att förhindra liknande incidenter i framtiden.
8.Gränsöverskridande påverkan: slutgiltig bedömning.

Kvalitetskrav

Grundorsaksanalysens djup. Har organisationen identifierat den verkliga grundorsaken, eller bara symptomet?
Åtgärdsplanens realism. Är de planerade förbättringsåtgärderna konkreta, tidsatta och resurssatta?
Dokumentationens fullständighet. Kan organisationen visa en spårbar kedja från upptäckt till åtgärd?

Vem rapporterar man till?

CERT-SE (MCF)

Den primära mottagaren av incidentrapporter är CERT-SE, som är Sveriges nationella CSIRT-funktion. Rapportering sker via:

CERT-SE:s webbformulär, den primära rapporteringskanalen.
E-post till cert@cert.se vid behov av krypterad kommunikation (PGP-nycklar finns publicerade).
Telefon för brådskande ärenden utanför kontorstid.

Sektorstillsynsmyndighet

GDPR-parallell

Praktiskt workflow: från upptäckt till slutrapport

Nedan följer ett rekommenderat workflow som integrerar rapporteringsplikten med den operativa incidenthanteringen.

Timme 0–1: Upptäckt och initial bedömning

Incidenten detekteras (SIEM, SOC, användare, extern rapportör).
Incidentansvarig aktiveras.
Initial allvarlighetsbedömning genomförs.
Beslut fattas: är detta en betydande incident? Om ja, startar 24-timmarsklockan.
Incidentteam sammankallas.

Timme 1–24: Tidig varning och initial begränsning

Begränsningsåtgärder påbörjas (nätverksisolering, kontoavstängning etc.).
Tidig varning skickas till CERT-SE.
Intern eskalering sker (CISO → VD → styrelseordförande vid behov).
Forensisk datainsamling påbörjas (loggar, minnesavbilder, diskavbilder).

Timme 24–72: Utredning och uppdaterad rapport

Detaljerad forensisk analys genomförs.
Angreppsvektor och IoC identifieras.
Konsekvensanalys genomförs.
72-timmarsrapport skickas till CERT-SE.
Parallella rapporteringar genomförs (IMY om personuppgifter, sektorsmyndighet).

Dag 3–30: Grundorsaksanalys och slutrapport

Fullständig grundorsaksanalys genomförs.
Långsiktiga åtgärder planeras och påbörjas.
Lärdomar dokumenteras.
Slutrapport sammanställs och skickas till CERT-SE.
Intern erfarenhetsgenomgång hålls med berörda team.
Styrelsen informeras om slutrapportens innehåll.

Rapporteringsmallar

CyberKlar tillhandahåller färdiga rapporteringsmallar som följer CERT-SE:s förväntade struktur. Mallarna inkluderar:

Mall: Tidig varning (24 h). En sida, strukturerade fält, minimalt fritext.
Mall: Incidentrapport (72 h). Tre till fem sidor, IoC-sektion, konsekvensmatris.
Mall: Slutrapport (1 mån efter anmälan). Fullständig mall med grundorsaksanalys, åtgärdslogg och förbättringsplan.

Mallarna finns tillgängliga i CyberKlar-plattformen under modulen Incidentrapportering och kan exporteras som PDF för arkivering.

Konsekvenser vid utebliven rapportering

Att inte rapportera, eller rapportera för sent, är i sig en överträdelse av Cybersäkerhetslagen. Konsekvenserna kan inkludera:

Sanktionsavgifter, fristående från eventuella avgifter för själva säkerhetsbristen.
Skärpt tillsyn. Organisationen kan placeras under utökad övervakning.
Negativ påverkan vid den övergripande bedömningen. Om organisationen redan granskas för andra brister signalerar utebliven rapportering en systemisk brist i säkerhetskulturen.

Rapporteringsplikten: tidig varning, anmälan, slutrapport

Varför trappstegsmodellen?

Vad är en "betydande incident"?

Steg 1: Tidig varning (inom 24 timmar)

Vad ska rapporten innehålla?

Vad behöver inte ingå?

Praktiska tips

Steg 2: Incidentrapport (inom 72 timmar)

Vad ska rapporten innehålla?

Skillnad mot 24-timmarsrapporten

Praktiska tips

Steg 3: Slutrapport (inom en månad)

Vad ska rapporten innehålla?

Kvalitetskrav

Vem rapporterar man till?

CERT-SE (MCF)

Sektorstillsynsmyndighet

GDPR-parallell

Praktiskt workflow: från upptäckt till slutrapport

Timme 0–1: Upptäckt och initial bedömning

Timme 1–24: Tidig varning och initial begränsning

Timme 24–72: Utredning och uppdaterad rapport

Dag 3–30: Grundorsaksanalys och slutrapport

Rapporteringsmallar

Konsekvenser vid utebliven rapportering

Sammanfattning

Rapporteringsplikten: tidig varning, anmälan, slutrapport

Varför trappstegsmodellen?

Vad är en "betydande incident"?

Steg 1: Tidig varning (inom 24 timmar)

Vad ska rapporten innehålla?

Vad behöver inte ingå?

Praktiska tips

Steg 2: Incidentrapport (inom 72 timmar)

Vad ska rapporten innehålla?

Skillnad mot 24-timmarsrapporten

Praktiska tips

Steg 3: Slutrapport (inom en månad)

Vad ska rapporten innehålla?

Kvalitetskrav

Vem rapporterar man till?

CERT-SE (MCF)

Sektorstillsynsmyndighet

GDPR-parallell

Praktiskt workflow: från upptäckt till slutrapport

Timme 0–1: Upptäckt och initial bedömning

Timme 1–24: Tidig varning och initial begränsning

Timme 24–72: Utredning och uppdaterad rapport

Dag 3–30: Grundorsaksanalys och slutrapport

Rapporteringsmallar

Konsekvenser vid utebliven rapportering

Sammanfattning