Seadot cybersecurity
SV

Incidentrapportering enligt NIS2, DORA och GDPR – vad gäller?

När en incident inträffar räcker det inte att bara lösa problemet internt, trots att detta arbete är mycket viktigt. Många regelverk ställer krav på att incidenter ska rapporteras till myndigheter inom en viss tid, ibland redan inom 24 timmar. Tre av de viktigaste regelverken i Europa är NIS2, DORA och GDPR. Men vad skiljer dem åt, och vad innebär det för företag i praktiken?

 

Varför är incidentrapportering viktigt?

  • Snabb respons minskar skadan. Myndigheter kan agera, varna andra aktörer och ge stöd.
  • Transparens. Att visa att man hanterar incidenter seriöst stärker förtroendet hos kunder och partners.
  • Lagkrav. Underlåten rapportering kan leda till böter och sanktionsåtgärder.

 

NIS2 – rapportering av incidenter

NIS2-direktivet gäller för samhällsviktiga och viktiga verksamheter inom sektorer som energi, transport, hälso- och sjukvård, vatten, digital infrastruktur och offentlig förvaltning.

Tidskrav för rapportering

  • Initial rapport: inom 24 timmar efter att incidenten upptäckts.
  • Detaljerad rapport: inom 72 timmar.
  • Slutrapport: inom en månad, med full analys och lärdomar.

Innehåll i rapporten

  • Vad som har hänt och när.
  • Vilken påverkan incidenten har haft.
  • Vilka åtgärder som har vidtagits.
  • Bedömning av om fler kan påverkas.

För svenska företag blir det Myndigheten för samhällsskydd och beredskap (MSB) eller sektorspecifika myndigheter som tar emot rapporterna.

 

 

DORA – rapportering inom finanssektorn

DORA (Digital Operational Resilience Act) gäller för banker, försäkringsbolag, betaltjänstleverantörer och andra aktörer inom finanssektorn. Syftet är att stärka den digitala motståndskraften i hela EU:s finanssystem.

Tidskrav för rapportering

Incidenter ska rapporterats snabbt. I praktiken innebär det inom samma tidsramar som NIS2 (24 timmar).

  • Initial rapport: inom 24 timmar efter att incidenten upptäckts.
  • Detaljerad rapport: inom 72 timmar.
  • Slutrapport: inom en månad, med full analys och lärdomar.

Innehåll i rapporten

  • Beskrivning av incidenten.
  • Påverkade tjänster, kunder och system.
  • Orsaksanalys.
  • Åtgärder för att återställa driften och förebygga upprepning.

Rapporteringen sker till den nationella finansmyndigheten, i Sverige Finansinspektionen genom deras system FIDAC.

 

GDPR – rapportering av personuppgiftsincidenter

GDPR reglerar hantering av personuppgifter och gäller alla organisationer inom EU. Om en incident leder till att personuppgifter riskerar att komma i orätta händer gäller särskilda rapporteringskrav.

Tidskrav för rapportering

  • Incidenter ska rapporteras till tillsynsmyndighet (i Sverige Integritetsskyddsmyndigheten, IMY) inom 72 timmar.

Innehåll i rapporten

  • Typ av personuppgifter som drabbats.
  • Antal registrerade personer som påverkats.
  • Konsekvenser för de registrerade.
  • Åtgärder som vidtagits.

Om incidenten kan innebära en hög risk för individers friheter och rättigheter måste de berörda personerna informeras.

 

Vanliga utmaningar

  • Otydliga roller: Vem ansvarar för att skicka rapporten?
  • Otillräcklig dokumentation: Incidenter noteras inte tillräckligt noggrant.
  • Tidsbrist: 24 timmar är kort tid, särskilt vid stora incidenter.
  • Bristande övning: Många har aldrig testat att faktiskt skriva och skicka en rapport inom tidsramen.

 

Hur företag kan förbereda sig

  1. Skapa en rapporteringsplan – med tydliga kontaktvägar och ansvariga.
  2. Använd mallar – så att ni inte börjar från noll under stress.
  3. Samordna mellan regelverk – samma incident kan behöva rapporteras både enligt NIS2, DORA och GDPR.
  4. Träna – genomför övningar där ni simulerar en incident och rapporterar inom 24 timmar.
  5. Dokumentera allt – även incidenter som inte rapporteras externt bör loggas internt.

 

 

Vanliga frågor:

Måste samma incident rapporteras enligt flera regelverk?
Ja, det kan hända. Exempel: en cyberattack mot en bank (DORA) som leder till läckta kunduppgifter (GDPR).

Vad händer om vi inte rapporterar i tid?
Det kan leda till böter, kritik från myndigheter och skadat förtroende.

Hur skiljer sig kraven på innehåll?
NIS2 och DORA fokuserar på system, drift och samhällspåverkan. GDPR fokuserar på individens rättigheter och skydd av personuppgifter.

 

 

Incidentrapportering är inte bara en juridisk formalitet, det är en central del av både informationssäkerhet och compliance.
För att klara NIS2, DORA och GDPR behöver företag etablera en process som täcker alla tre regelverk. Det handlar om att agera snabbt, kommunicera tydligt och dokumentera noggrant.

För att förtydliga: en bra rapporteringsprocess gör inte bara att man följer lagen, den stärker även ens resiliens och trovärdighet på lång sikt.

Seadot cybersecurity

Enhanced digital resilience – when it really matters

Security Areas

Our Services

Contact

Vasagatan 16, 111 20 Stockholm

Sidenvävargatan 17, 753 19 Uppsala

Honnörsgatan 14, 352 36 Växjö

+46 766011510

info@seadot.se

Org.nr 5591983977

Copyright 2025, Seadot. All Rights Reserved.