Cybersäkerhetslagen träder i kraft den 8.4.2025. Genom lagen verkställs Europeiska unionens cybersäkerhetsdirektiv (NIS2). Den färska lagstiftningen medför nya skyldigheter inom riskhantering och rapportering som gäller cybersäkerheten för ett större antal företag än tidigare. Energiföretagen måste nu själva kontrollera om de nya skyldigheterna gäller dem och vid behov anmäla sig till tillsynsmyndigheten.
Genom cybersäkerhetslagen verkställs Europeiska unionens cybersäkerhetsdirektiv, dvs. NIS2-direktivet. Företag som omfattas av cybersäkerhetslagen kallas aktörer: aktörerna ska anmäla sig till den förteckning över aktörer som den övervakande myndigheten upprätthåller senast den 8.5.2025 eller inom en månad från det att aktörens kriterier uppfylls.
Syftet med NIS2-direktivet är att säkerställa en enhetlig nivå på cybersäkerheten inom kritiska sektorer i hela Europeiska unionen. I och med det nya direktivet och den nu godkända lagen gäller cybersäkerhetsskyldigheterna en större grupp än tidigare och skyldigheterna är mer detaljerade än tidigare.
Cybersäkerhetslagen är en gemensam allmän lag som gäller alla branscher. NIS2-direktivet och den nya lagen ersätter det tidigare direktivet om nät- och informationssäkerhet (NIS1-direktivet), vars tillämpningsområde inom energisektorn i Finland har omfattat elnätsinnehavare och innehavare av överföringsnät för naturgas.
Företagets storlek och hur kritisk verksamheten är fungerar som kriterier
Inom energisektorn omfattas aktörer inom el, fjärrvärme och fjärrkyla, gas, olja och vätgas av den nya lagen om cybersäkerhet. Tillsynsbehörigheten har fördelats mellan Energimyndigheten och Säkerhets- och kemikalieverket (Tukes). Ett företag i energibranschen ska själv kontrollera om det omfattas av lagen och vilka myndighetsförteckningar det ska anmäla sig till.
Aktörer inom energibranschen som övervakas av Energimyndigheten är:
- nätbolag för el och naturgas
- distributörer av fjärrvärme och fjärrkyla (producenter av fjärrvärme eller fjärrkyla som inte har någon distributionsverksamhet alls faller utanför tillämpningsområdet)
- operatörer för anläggningar för överföring av vätgas
- leverantörer av el och naturgas, dvs. säljare, inklusive återförsäljare
- elproducenter
- laddningsoperatörer*
- nominerade elmarknadsoperatörer
- andra företag inom elsektorn som erbjuder aggregering, efterfrågeflexibilitet eller lagring av energi
Skyldigheterna gäller endast om aktörerna är tillräckligt stora eller om deras verksamhet annars anses vara kritisk. En beskrivning av kriterierna finns på Energimyndighetens webbplats.
Vi rekommenderar aktörer att följa anvisningar på Energimyndighetens webbplats och att beställa vårt nyhetsbrev om cybersäkerhet.
Information om cybersäkerhetskyldigheter för aktörer inom energibranschen Beställ nyhetsbrevet Cybersäkerhet (på finska)
Cybersäkerhetscentret vid Traficom har sammanställt ett informationspaket om NIS2-direktivet
Cybersäkerhetslag
Mer information: kontakter helst per e-post: [email protected].
Jurist Minna Koivula, tfn 029 5050 010 och ledande sakkunnig Tarvo Siukola, tfn 029 5050 074.
*uppdaterad 11.4.2025
