Vad artikel 23 faktiskt kräver

Artikel 23 gäller väsentliga och viktiga enheter i NIS2. Den kräver att man rapporterar betydande incidenter till relevant myndighet eller datorincidenthanteringsfunktion (Computer Security Incident Response Team, CSIRT). Rapporteringen sker i flera steg: en tidig varning inom 24 timmar, en incidentanmälan inom 72 timmar och en slutrapport inom en månad. (European Union, 2022). 

Poängen är inte att du ska förutse allt. Poängen är att du ska ha en process som gör att du kan säga tre saker i rätt tid: vad som hänt, hur allvarligt det är, och vad du gör åt det. Den stegvisa modellen är smart: den accepterar att du inte vet allt efter två timmar, men kräver att du ändå signalerar tidigt och uppdaterar när bilden klarnar. (European Union, 2022). 

Artikel 23 innehåller också en samordningslogik: en gemensam kontaktpunkt (Single Point of Contact, SPOC) kan behöva vidarebefordra rapporter till andra medlemsstater som påverkas, och lämna aggregerade sammanställningar till Europeiska unionens cybersäkerhetsbyrå (European Union Agency for Cybersecurity, ENISA). (European Union, 2022). 

Svensk tillämpning: det här är inte “EU-teori” längre

I Sverige genomförs NIS2 genom Cybersäkerhetslagen (2025:1506), som trädde i kraft 15 januari 2026, och Cybersäkerhetsförordningen (2025:1507). (Sveriges riksdag, 2025a; Sveriges riksdag, 2025b). 

Myndigheten för civilt försvar (MCF) har dessutom publicerat vägledning om incidentrapportering enligt cybersäkerhetslagen, inklusive att ikraftträdandet innebär förändringar i vem som ska rapportera och hur tidsgränserna ser ut i praktiken. (Myndigheten för civilt försvar, 2026). 

Cybersäkerhetsförordningen slår fast att Myndigheten för civilt försvar är gemensam kontaktpunkt enligt NIS2. (Sveriges riksdag, 2025b). 

Den vanligaste fällan jag ser: att larmkedjan är “någon annans jobb”

Det finns en reflex i många organisationer: incidentrapportering blir en fråga för “säkerhetsfunktionen”. Men artikel 23 bryr sig inte om hur du organiserar dig. Den bryr sig om att någon faktiskt ringer i tid.

Och här kommer den obekväma sanningen: larmkedjan faller nästan aldrig på tekniken. Den faller på vardagslogik.

• Ingen vet vem som får trycka på knappen “det här är en incident”.

• Kontaktlistor är inte uppdaterade.

• Juridik, kommunikation och teknik sitter i olika rum och väntar på varandra.

• Leverantören äger loggarna, så ni kan inte ens beskriva läget utan att be om lov.

Då spelar tidsfristerna ingen roll. Då har du ett brandlarm utan batteri.

Vad som gör artikel 23 modern

Jag tycker artikel 23 är en av de mest “vuxna” delarna i NIS2. Den utgår inte från att livet är perfekt. Den utgår från att incidenter är oklara i början, men att samhällskritiska tjänster måste kunna signalera och samordna ändå.

Det är också därför artikel 23 inte kan stå ensam. Den behöver stöd av det som ligger i artikel 21: riskhantering och åtgärder som gör att du kan upptäcka, isolera och återställa snabbare. ENISA har publicerat teknisk vägledning som hjälper vissa sektorer att tolka hur NIS2-åtgärder kan se ut i praktiken. (ENISA, 2025). 

Min slutsats

Om du vill förstå artikel 23 utan att läsa en enda paragraf till, så tänk så här: det är larmkedjan som ska tåla stress.

När du kan ringa tidigt, uppdatera sakligt och avsluta med en trovärdig slutrapport, då har du något mycket större än “efterlevnad”. Då har du en organisation som kan hantera verkligheten utan att tappa kontrollen.

Och i ett digitalt samhälle är det ofta den mest konkreta formen av trygghet vi har.

Referenser

ENISA. (2025). NIS2 Technical Implementation Guidance. European Union Agency for Cybersecurity. 

European Union. (2022). Directive (EU) 2022/2555 (NIS2). Official Journal of the European Union, L 333. 

Myndigheten för civilt försvar. (2026). Incidentrapportering enligt cybersäkerhetslagen. 

Sveriges riksdag. (2025a). Cybersäkerhetslag (2025:1506). Svensk författningssamling. 

Sveriges riksdag. (2025b). Cybersäkerhetsförordning (2025:1507). Svensk författningssamling.