Klarar ni 24-timmarskravet?

NIS2: varför 24-timmarskravet får organisationer att misslyckas

Många svenska organisationer känner till att NIS2-direktivet påverkar dem, men långt ifrån alla har omsatt kraven i praktiken. Policys uppdateras, workshops planeras och vissa väntar fortfarande på att se hur tillsynen kommer att fungera innan de agerar fullt ut.

Men en fråga avslöjar ofta den största utmaningen:

Hur ser processen ut från att en allvarlig cybersäkerhetsincident upptäcks tills en rapport skickas till MSB?

För många organisationer är svaret oklart. Problemet handlar sällan om teknik – utan om processer, ansvar och samordning.

Vad kräver NIS2 vid incidentrapportering?

Enligt NIS2 måste organisationer rapportera betydande incidenter i tre steg:

  • Tidig varning inom 24 timmar efter att incidenten upptäckts.
  • Incidentrapport inom 72 timmar med mer detaljerad information.
  • Slutrapport inom en månad.

Det är framför allt 24-timmarskravet som ställer till problem. Kravet visar om organisationens säkerhetsarbete, ledning och beslutsvägar faktiskt fungerar tillsammans när en incident inträffar.

Den största utmaningen: att klassificera incidenten

Innan en incident kan rapporteras måste organisationen avgöra om den är rapporteringspliktig enligt NIS2.

Direktivet anger faktorer som:

  • Påverkan på verksamheten
  • Antal drabbade användare
  • Incidentens varaktighet
  • Geografisk omfattning
  • Möjlig gränsöverskridande påverkan

I teorin är detta tydligt. Under en pågående incident, med begränsad information och tidspress, är det betydligt svårare.

Många organisationer saknar ett enkelt beslutsstöd för att snabbt avgöra om en incident ska rapporteras. Resultatet blir ofta förseningar medan flera personer försöker nå samsyn.

När ansvar och säkerhet inte möts

NIS2 lägger ett tydligt ansvar på ledningen. Det innebär att beslutsfattare måste kunna involveras snabbt när en incident kräver rapportering.

I praktiken saknas ofta en testad eskaleringsväg mellan säkerhetsteamet och ledningen. Många incidentplaner innehåller formuleringar som:

"Informera ledningen."

Men vem ska kontaktas? Hur? Och vilken information behövs för att fatta beslut snabbt?

När detta inte är definierat uppstår förvirring istället för handling.

Att rapportera inom 24 timmar är svårare än många tror

MSB förväntar sig inte att all information finns tillgänglig efter 24 timmar. Däremot förväntas organisationen kunna beskriva:

  • Vad som har hänt
  • Vilka system som påverkas
  • Vilka åtgärder som vidtagits
  • Om incidenten kan påverka andra länder eller verksamheter

Att sammanställa korrekt information under tidspress kräver förberedelse. Den första gången organisationen genomför en sådan rapportering bör inte vara under en verklig incident.

Varför underskattas NIS2:s rapporteringskrav?

Många investeringar inom cybersäkerhet fokuserar på att förebygga och upptäcka attacker. Incidentrapportering uppfattas ofta som en administrativ uppgift.

Men enligt NIS2 är brister i rapporteringen en egen regelöverträdelse, oavsett hur väl den tekniska incidenthanteringen fungerade. Tillsynsmyndigheter kan ingripa även mot organisationer med hög teknisk säkerhetsnivå om rapporteringskraven inte följs.

Så kan organisationer förbereda sig för NIS2

För att uppfylla NIS2:s krav på incidentrapportering bör organisationer:

  • Ta fram en separat 24-timmarsplan för incidentrapportering.
  • Definiera tydliga roller, ansvar och beslutsvägar.
  • Skapa enkla kriterier för när en incident ska rapporteras.
  • Genomföra övningar som testar rapporteringsprocessen, inte bara den tekniska hanteringen.
  • Säkerställa att ansvariga personer känner till MSB:s rapporteringsprocess och verktyg.

Slutsats

Den största utmaningen med NIS2:s 24-timmarsregel handlar inte om teknik. Den handlar om organisationens förmåga att samordna människor, processer och beslutsfattande under tidspress.

Organisationer som redan nu testar sina rutiner för incidentrapportering enligt NIS2, tydliggör ansvar och övar sina processer har betydligt bättre förutsättningar att uppfylla kraven när en allvarlig cybersäkerhetsincident inträffar.

Har ni ett projekt vi
borde höra om?

Berätta vad ni jobbar med. Vi återkommer inom en arbetsdag med konkreta nästa steg, inget säljmöte, bara substans.

Boka ett samtal
E-post
info@edument.se
Telefon
040 617 07 20
Edument logotyp med stiliserad grön ruta och text i svart.

Techkonsultbolag specialiserade på komplex
mjukvaruutveckling, arkitektur och kompetensutveckling.
Sedan 2010, från Helsingborg till hela Norden.

© 2026 Edument Group AB
Integritetspolicy
Helsingborg · Malmö · Linköping · Prag