Vad gäller enligt dagens lagstiftning, NIS?
NIS-regelverket innehåller inga specifika krav gällande tid för incidentrapportering. Rapportering ska ske utan onödiga dröjsmål till ansvarig tillsynsmyndighet. Om en incident är anmälningsvärd beror på om den anses ha en betydande påverkan för den samhällsviktiga tjänsten.
I Sverige har vi sedan tidigare tydliga tidskrav och ett system där incidenter ska rapporteras till Myndigheten för samhällsskydd och beredskap (MSB). Incidentrapportering i Sverige går till i tre skeden:
Skede 1. Inom 6 från att en incident har upptäckts ska den anmälas till MSB.
Skede 2. Inom 24 timmar från incidentens upptäck ska en incidentrapport skickas. Denna rapport genomförs i ett verktyg från MSB utformat ifrån skede 1 och 2.
Skede 3. Inom 4 veckor från det första rapporteringstillfället ska en incidentrapport skickas utifrån ett verktyg utformat ifrån skede 3.
Detta hjälper MSB skapa en uppfattning om nuläget, men stödjer även jobbet för hantering och förebyggande av liknande incidenter. MSB rapporterar sedan vidare till relevant tillsynsmyndighet. Beroende på incidentens grad, orsak eller misslyckande att rapportera i tid kan tillsynsmyndigheten utfärda en sanktionsavgift.
Utöver sanktionsavgifter kan misslyckande att rapportera incidenter i tid leda till fler allvarliga konsekvenser för den drabbade verksamheten. Detta inkluderar ryktesskador och kundförtroende.
Mer att läsa gällande incidentrapportering för NIS-leverantörer
Vad kommer att gälla från den 18 oktober 2024 när NIS 2 ska tillämpas?
Då svensk tillämpning av NIS 2 inte har trätt i kraft vet vi inte exakt hur det kommer bli än, men i NIS 2-regelverket ställs ett krav för initial notifiering inom 24 timmar från det att en incident har upptäcks. Denna notifiering bör uppföljas av en incidentanmälan inom 72 timmar från incidentens upptäckt, och en slutrapport bör lämnas in senast en månad efter underrättelse av incidenten.
