De fyra brister vi ser i incidentprocesser efter NIS2

NIS2 är inte längre något som ligger framför oss. Den är här. Cybersäkerhetslagen är beslutad. MCF har gått från informationsmöten till faktisk tillsyn. Och ändå ser vi samma fyra brister hos nästan varje organisation vi möter, oavsett om det är ett börsbolag, en kommun eller en myndighet. Det är inte tekniken som brister. Det är styrningen. Och det fina är att alla fyra går att åtgärda på bara några veckor om man vet var man ska börja.

Bakgrund

NIS2 artikel 21 kräver processer för upptäckt, hantering och rapportering. Artikel 23 kräver tidig varning till MCF inom 24 timmar, uppföljande rapport inom 72 timmar och slutrapport inom en månad. Artikel 20 lägger ansvaret på ledningen, personligt.

GDPR artikel 33 ger 72 timmar för IMY-anmälan vid personuppgiftsincident. Säkerhetsskyddslagen och OSL adderar lager för offentlig verksamhet. Cybersäkerhetslagen som trädde i kraft i januari 2026 skärper kraven ytterligare. MCF har redan börjat efterfråga bevis på förmåga, inte bara dokumentation.

Här är de fyra bristerna vi ser oftast.

Det vanligaste, och mest ironiska, misstaget är att incidentplanen ligger i Microsoft 365. Vilket råkar vara just den miljö som ransomware angriper först.

När åtkomsten försvinner så gör också planen det. Precis när den behövs som mest.

I privat sektor leder det till att krisen dokumenteras i mobilanteckningar, WhatsApp-trådar och post-it-lappar. I offentlig sektor faller OSL, Arkivlagen och säkerhetsskyddet ihop på några minuter.

En incidentplan utan klassificeringsmodell är bara en samling rutiner. När larmet kommer ska den som tar emot det kunna avgöra inom fem minuter om incidenten är L1, L2, L3 eller L4.

Klassificeringen styr allt:

• eskalering
• kommunikation
• rapporteringsplikt
• dokumentationskrav
• ledningsaktivering

I privat sektor saknas oftast tröskelvärden för när VD och styrelse ska informeras. I offentlig sektor saknas oftast skillnaden mellan IT-incident, säkerhetsincident och känslig säkerhetsincident där need-to-know styr.

Resultatet är detsamma då fel personer får veta vid fel tidpunkt, eller inte alls.

NIS2 kräver MCF-rapport vid 24 och 72 timmar. GDPR kräver IMY-anmälan inom 72 timmar. Kundavtal kräver ofta notifiering inom 24 till 48 timmar. Säkerhetsskyddslagen kräver anmälan till tillsynsmyndighet och ibland även SÄPO. CERT-SE ska ofta informeras parallellt.

Vart och ett av dessa har egna mallar, egna ledtider och egna godkännanden. I de flesta organisationer hanteras de av olika personer, i olika dokument, utan en gemensam tidslinje.

Resultatet blir att samma incident berättas olika i olika rapporter. Det är en av de vanligaste anledningarna till att en tillsyn fördjupas.

För privata bolag är det en kommersiell risk. En kund som upptäcker att den fick veta sist tappar förtroendet, även om hanteringen tekniskt var korrekt.

För offentliga aktörer är det en tillsynsrisk. MCF tittar enligt vår erfarenhet på helhetsbilden och inte på enskilda detaljer. När rapporter inte håller ihop signalerar det bristande styrning, oavsett vad själva incidenten handlade om.

Det här är den viktigaste och mest förbisedda bristen.

Tabletop med ledningen i rummet är den enskilda investering som ger mest tillbaka. Inte en teknisk genomspelning, utan en realistisk simulering där VD, förvaltningschef eller kommundirektör måste fatta de beslut som väntar i en riktig kris:

• ska vi betala lösen
• ska vi gå ut publikt
• ska vi anmäla idag eller imorgon
• ska vi pausa leveranser
• ska vi skicka hem personal
• ska vi polisanmäla, och när

Polisanmälan är inte en ruta i en process

Polisanmälan är ett strategiskt beslut då den har konsekvenser för:

• kommunikationen
• relationen till angriparen
• försäkringsvillkoren
• beviskedjan
• tillsynsmyndigheterna
• media

Det är ett beslut som inte kan delegeras.

I privat sektor är det kommersiellt och varumärkesmässigt. En felaktigt tajmad polisanmälan kan påverka pågående förhandlingar med angriparen, kundrelationer och i värsta fall aktiemarknaden.

I offentlig sektor är det juridiskt och politiskt. En utebliven eller sen polisanmälan kan bli en tillsynsfråga, eller en löpsedel.

Vad tabletop faktiskt avslöjar

En tabletop med ledningen avslöjar inte bara tekniska brister utan även styrningsbrister:

• vem som vågar fatta beslut
• vem som väntar på någon annan
• vem som tror att någon annan äger frågan
• vem som förstår konsekvenserna av att polisanmäla, och av att låta bli

En dag per år räcker för att avslöja nästan allt. Två timmar efteråt räcker för att åtgärda det viktigaste.

Jag har aldrig sett en ledning ångra sin första riktiga tabletop, men jag har sett flera ångra att de väntade så länge.

Vad det här betyder för er

Om ni känner igen er i tre eller fyra av punkterna är ni där svenskt genomsnitt är just nu. Det är inte något att skämmas för men det är inte heller hållbart.

Tillsynen är aktiv, kundkraven hårdnar och incidenterna ökar.

Den som bygger förmåga nu står tryggt vid nästa revision och vid nästa intrång. Den som väntar förklarar.

---

Frågan att ta med till nästa ledningsmöte

Om er organisation drabbas av en allvarlig säkerhetsincident i natt, vet ni då vem som beslutar om isolering, vem som anmäler till IMY och MCF inom 24 timmar, vem som talar med media, vem som öppnar kanal mot CERT-SE, och vem som fattar beslut om polisanmälan?

Är besluten dokumenterade på förhand, eller hoppas ni på att rätt personer är vakna?