MSBFS 2026:7
1 § Dessa föreskrifter innehåller bestämmelser om rapportering av itincidenter enligt 14 § förordningen (2022:524) om statliga myndigheters beredskap.
Incidenter som omfattas av rapporteringsskyldighet
2 § Med it-incidenter som omfattas av rapporteringsskyldighet menas en incident som 1. negativt har påverkat säkerheten hos den information som har bedömts ha ett behov av utökat skydd, 2. har inneburit att informationssystem som behandlar information som har bedömts ha behov av utökat skydd inte har kunnat upprätthålla avsedd funktionalitet, 3. negativt har påverkat myndighetens förmåga att utföra sitt uppdrag, eller 4. i övrigt allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller åt en annan organisation.
Med information som är i behov av ett utökat skydd avses information som på grund av externa krav kräver en viss nivå av skydd avseende konfidentialitet, riktighet inklusive autenticitet, eller tillgänglighet, alternativt information som myndigheten vid värdering bedömer ha behov av motsvarande nivå av skydd.
MCFFS
2026:7
Hur rapportering ska ske
3 § När myndigheten har identifierat att en incident omfattas av rapporteringsskyldighet ska uppgifter enligt 4–8 §§ anges på det sätt och lämnas via de kontaktvägar som har anvisats av Försvarets radioanstalt.
4 § Myndigheten ska skyndsamt, dock senast 6 timmar efter det att myndigheten har identifierat att incidenten omfattas av rapporteringsskyldighet, lämna en upplysning innehållande en övergripande beskrivning om vad som har inträffat.
5 § Myndigheten ska skyndsamt, dock senast 72 timmar efter det att myndigheten har identifierat att incidenten omfattas av rapporteringsskyldighet, lämna en incidentanmälan som uppdaterar och kompletterar de uppgifter som har lämnats enligt 4 §.
6 § Myndigheten ska senast en månad efter det att upplysningen har lämnats, eller en månad efter det att incidenten har hanterats, lämna en slutrapport som innehåller en detaljerad beskrivning av incidenten och dess konsekvenser samt uppdaterar uppgifter som har lämnats enligt 4–5 §§ i de fall ny information har tillkommit. I tillämpliga fall ska den även innehålla en beskrivning av vilka tekniska och organisatoriska åtgärder som har vidtagits eller kommer att vidtas för att 1. hantera incidenten, 2. hantera och minimera konsekvenserna av incidenten, och 3. undvika att liknande incidenter inträffar.
7 § Om incidenten fortfarande är pågående en månad efter det att upplysningen har lämnats ska myndigheten istället för en slutrapport lämna en lägesrapport som ska innehålla följande uppgifter: 1. varför incidenten fortfarande är pågående, 2. en uppskattning av hur länge incidenten förväntas pågå, och 3. om incidenten fortfarande påverkar eller riskerar att påverka myndighetens verksamhet.
8 § Innan en slutrapport enligt 6 § lämnas ska myndigheten på begäran av Försvarets radioanstalt lämna relevanta statusuppdateringar för incidenten.
MCFFS
2026:7
______________
1. Dessa föreskrifter träder i kraft den 1 juli 2026. 2. Genom föreskrifterna upphör Myndigheten för samhällsskydd och beredskaps föreskrifter (MSBFS 2020:8) om rapportering av itincidenter för statliga myndigheter att gälla. 3. De upphävda föreskrifterna gäller dock fortfarande för en incident som har identifierats och bedömts som rapporteringspliktig före ikraftträdandet.
Myndigheten för civilt försvar
ANNA STARBRINK
Josefin Andersson Avdelningen för cybersäkerhet och samhällsviktiga kommunikationer
Beställningsadress:
Norstedts Juridik, 106 47 Stockholm Telefon: 08-657 95 00 E-post: order@forlagssystem.se Webbadress: www.nj.se/offentligapublikationer Beställningsnummer: 19126-07