Skyddet mot cyberangrepp länge sett olika ut mellan EU-länderna, vilket är problematiskt eftersom ett en cyberattack i ett land snabbt kan få konsekvenser i flera andra länder. Det gäller i synnerhet om energisektorn drabbas.
EU tog ett första steg mot ökad cybersäkerhet och ett mer harmoniserat skydd när NIS-direktivet kom 2016. Sedan dess har cyberhoten blivit både fler och mer avancerade, vilket har lett till en mer omfattande lagstiftning i NIS2 som trädde i kraft på EU-nivå 2023.
I Sverige infördes NIS2 och en ny cybersäkerhetslag och förordning den 15 januari i år. Då upphävdes samtidigt den tidigare NIS-lagen. Myndigheternas föreskrifter ska nu visa hur de nya lagkraven ska uppfyllas i praktiken och de förväntas träda i kraft i april i år.
Tre delar är extra viktiga
Emma Johansson, som är ansvarig för säkerhetsfrågor på Energiföretagen, lyfter särskilt fram tre delar i den nya lagstiftningen som är viktiga för energibolag att ha kunskap om. Det handlar om ledningens ökade ansvar, att leverantörskedjan blir en central del av säkerhetsarbetet samt nya krav för incidenthantering.
Dessutom omfattas numera fjärrvärme och fjärrkyla av lagstiftningen, vilket de inte gjorde i NIS. Men just detta är för de flesta energibolag ändå inte det en så stor förändring menar Emma Johansson.
– Många av energibolagen har flera verksamhetsben och har därför redan involverat fjärrvärme och fjärrkyla i sitt arbete med cybersäkerhet när de följt NIS-lagstiftningen. Det gör att många är väl förberedda. Däremot är det andra förändringar som ställer nya krav på energibolagen.
En av de största förändringarna rör ansvaret på ledningsnivå. Tidigare hanterades oftast frågor om cybersäkerhet som en separat it- eller säkerhetsfråga. Det skärpta ansvaret innebär bland annat att ledningen måste genomgå utbildning i cybersäkerhet, att det ska finnas en dokumenterad riskhantering och vid grova brister kan få det få personliga konsekvenser.
200 kontrollpunkter
Myndigheten för civilt försvar (MFC) presenterade i höstas föreskrifter med förslag på säkerhetsåtgärder och utbildning samt incidentrapportering med skall-krav som blir kontrollpunkterna att stämma av internt, vid revision och vid en eventuell tillsyn.
– Här finns en del otydligheter. MFC har över 200 kontrollpunkter. I direktivet fanns förslag på tio områden med säkerhetsåtgärder. Här väljer alltså Sverige att gå mycket längre. Det riskerar att leda till en väldigt stor administrativ börda, säger Emma Johansson och fortsätter:
– Självklart ska verksamheter ha en tydlig struktur hur de arbetar, men det viktigaste är att stärka det operativa cybersäkerhetsarbetet för att förhindra cyberattacker och kunna arbeta med eventuella incidenter.
Energiföretagen har i sitt remissvar, och i ett brev till Myndigheten för civilt försvar, lyft att detta är alldeles för omfattande krav och att de vill se en harmonisering på EU-nivå.
Att det nu finns en ökat riskmedvetenhet kring digitala leverantörer är en styrka. När vi tittar på cyberincidenter har de oftast skett hos just leverantörer av digitala system.
Ökat ansvar för leverantörer
En annan stor förändring i NIS2 handlar om att energibolagen får ett tydligt ansvar för riskhantering av externa leverantörer av digitala tjänster och ska utföra en riskbedömning av dessa företag. Leverantörskedjan ses numera som en central del av cybersäkerheten, medan det i NIS var fokus på den egna verksamheten och kraven på externa leverantörer var begränsade.
– Att det nu finns en ökat riskmedvetenhet kring digitala leverantörer är en styrka. När vi tittar på cyberincidenter har de oftast skett hos just leverantörer av digitala system och det drabbar i sin tur deras kunder som kan vara energibolag, säger Emma Johansson och fortsätter:
– I föreskrifterna föreslås att alla system ska omfattas. Här rekommenderar vi att energibolagen utgår från sin riskbedömning och prioriterar de leverantörer med vilka digitala system är kritiska.
Den tredje större förändringen i den nya lagstiftningen gäller incidentrapportering. De nya föreskrifterna föreslås börja gälla i april, men givetvis ska man redan nu rapportera om det inträffar incidenter. Vid en incident ska energibolag skicka en första varning inom 24 timmar. Det blir en lättnad för tidigare lagstiftning, där varningen skulle skickas inom 12 timmar.
Arbetet ska följas av en fördjupad rapport inom tre dygn och en slutrapport inom en månad. Rapporteringen görs till Myndigheten för civilt försvar, som har det samordnade ansvaret. Därefter skickar MCF vidare ärendet till berörd tillsynsmyndighet och för energisektorn är det Energimyndigheten som har ansvaret.
Kännbara sanktionsbelopp
Vad bör energibolag prioritera i arbetet med den nya lagstiftningen?
– Det första är att göra en bedömning om man omfattas av den nya lagstiftningen eller inte. Direktivet visar tydligt vilka som omfattas och det handlar om medelstora och stora företag med minst 50 anställda eller med omsättning över 10 miljoner euro, men i Sverige ingår även mindre bolag inom bland annat energi.
– Inledningsvis ingick inte de mindre energibolagen, vilket vi var mycket kritiska till. För storleken på bolag säger inget om konsekvenserna av incident. I Sverige har vi många mindre energibolag och det är därför viktigt när vi ska höja cybersäkerhet att de ingår, vilket de nu gör i cybersäkerhetslagen.
Om ett energibolag inte följer de nya lagkraven kan det drabbas av kännbara sanktionsbelopp på upp till 10 miljoner euro eller 2 procent av omsättningen.
– Viten är en del av en större förändring av säkerhetskulturen. Cybersäkerhet går från att vara en teknisk fråga till att bli en strategisk och juridisk skyldighet som kan få stor ekonomiska konsekvenser om det finns tydliga, upprepade brister i efterlevnaden, säger Emma Johansson.
8 punkter att tänka på för energiföretag inför NIS2
– Bedöm om ni omfattas (storlek, sektor, kritikalitet).
– Om ni omfattas ska anmälan skickas till Myndigheten för civilt försvar. Anmälan öppnar den 2 februari 2026.
– Kartlägg era system, tjänster och leverantörer.
– Gör en gap-analys så att ni ser skillnaden mellan nuläget och de cybersäkerhetskrav som gäller, och vilka åtgärder som krävs för att nå dit.
– Ta fram eller uppdatera styrdokument och rutiner.
– Säkerställ att ledningen genomgår obligatorisk utbildning.
– Etablera en struktur för ledningssystem och incidentrapportering.
–Integrera cybersäkerhet i upphandlingar och leverantörsavtall.
Källa: Energiföretagen
Ann-Sofie Borglund
