Bedömningsverktyg för cybersäkerhetslagen

Med Energimyndighetens bedömningsverktyg för cybersäkerhetslagen kan ett företag avgöra om det omfattas av lagen. Bedömningsverktygets svar är vägledande.

Aktörerna måste själva kontrollera om de nya cybersäkerhetsförpliktelserna gäller dem och till vilken tillsynsmyndighet de ska anmäla sig.

Mer information om vilka aktörer som omfattas av cybersäkerhetslagen under Energimyndighetens tillsyn hittar du i anvisningen.

Välj vilken del av branschen företaget är verksamt inom. I listan finns enbart de branschdelar och aktörstyper inom energisektorn som övervakas av Energimyndigheten.


Alla branscher som omfattas av cybersäkerhetslagen samt deras respektive tillsynsmyndigheter hittar du i det allmänna informationspaketet om NIS2-direktivet  på Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficoms webbplats.


Observera: Aktörerna inom energibranschen övervakas antingen av Energimyndigheten eller av Säkerhets- och kemikalieverket (Tukes).

  • Elföretag som bedriver elleverans, dvs. säljare inklusive återförsäljare
  • Distributionsnätsinnehavare
  • Stamnätsinnehavare
  • Elproducenter
  • Nominerade elmarknadsoperatörer
  • De parter på elmarknaden som tillhandahåller aggregering, efterfrågeflexibilitet eller energilagring
  • Laddningsoperatörer som har ansvar för förvaltning och drift av en laddningspunkt och som tillhandahåller en laddningstjänst till slutanvändare, även när detta utförs på uppdrag av en leverantör av mobilitetstjänster och i dess namn

Operatörer av fjärrvärme eller fjärrkyla, dvs. distributörer av fjärrvärme och fjärrkyla. Producenter av fjärrvärme eller fjärrkyla som inte alls bedriver distributionsverksamhet faller utanför tillämpningsområdet.
  • Distributionsnätsinnehavare
  • Överföringsnätsinnehavare
  • Naturgasleverantörer, dvs. säljare inklusive återförsäljare

Operatörer för anläggningar för överföring av vätgas 

Skyldigheterna gäller endast om aktörerna är tillräckligt stora eller om deras verksamhet annars anses vara kritisk. 


Observera: Om företaget tillhör en koncern eller har andra ägarförbindelser, påverkar dessa företags uppgifter bedömningen av storlekskriterierna. Kontrollera definitionen av företagets storleksbedömning enligt kommissionens rekommendation 2003/361/EG.


Dessutom ska företaget  tillhandahåller sina tjänster eller bedriver sin verksamhet inom Europeiska unionen.

Kriterierna för ett medelstort företag uppfylls när företaget sysselsätter minst 50 personer eller dess omsättning och balansräkning är över 10 miljoner euro per år.

Ett stort företag är ett företag som överskrider kriterierna för ett medelstort företag. Kriterierna för ett medelstort företag överskrids när företaget sysselsätter minst 250 personer eller dess omsättning är över 50 miljoner euro och balansräkningen över 43 miljoner euro per år.

Företaget uppfyller inte eller överskrider inte kriterierna för ett medelstort företag.

Skyldigheterna gäller endast om aktörerna är tillräckligt stora eller om deras verksamhet annars anses vara kritisk.

Cybersäkerhetslagen tillämpas på en aktör, oavsett dess storlek, om den bedriver viss verksamhet som anges i bilagorna till lagen eller är en viss aktörstyp, om:
 

  1. aktören tillhandahåller en tjänst som är väsentlig för att upprätthålla kritiska samhälleliga eller ekonomiska funktioner och som inte tillhandahålls av andra aktörer,
  2. en störning av den tjänst som aktören tillhandahåller skulle ha en betydande påverkan på allmän ordning, allmän säkerhet eller folkhälsa,
  3. en störning av den tjänst som aktören tillhandahåller kan medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konsekvenser, eller
  4. aktören är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i en medlemsstat i Europeiska unionen som är beroende av denna aktör.

Observera: Närmare bestämmelser om de ovannämnda kriterierna kan utfärdas genom statsrådets förordning. Statsrådets förordning om närmare bestämmelser har ännu inte utfärdats. Energimyndigheten ger anvisningar om att de aktörer som avses av de ovannämnda kriterierna ska vänta på statsrådets förordning för att säkerställa en enhetlig tolkning av undantagskriterierna. Om aktören på grund av sin storlek omfattas av tillämpningsområdet för cybersäkerhetslagen, ska aktören anmäla sig till Energimyndigheten som en aktör som ska övervakas. När kriterierna för aktörer oberoende av storlek har preciserats genom förordning av statsrådet, ska en aktör som uppfyller kriterierna anmäla sig eller uppdatera sin anmälan i NIS2-aktörsförteckningen.
 

Beskrivning: Välj detta om företaget har fastställts som en kritisk aktör enligt CER-direktivet (EU) 2022/2557.


Observera: CER-direktivets kritiska aktörer har ännu inte fastställts. De kritiska aktörerna kommer att fastställas senast i juli 2026.

Baserat på svaren skulle företaget vara en viktig aktör inom det verksamhetsområde som övervakas av Energimyndigheten.

Ta del av Energimyndighetens anvisning om cybersäkerhetslagen och anmäl dig till Energimyndighetens aktörsförteckning.

Om ditt företag utöver den verksamhet som övervakas av Energimyndigheten bedriver annan verksamhet som övervakas av en annan NIS2-tillsynsmyndighet, ska företag anmäla sig separat till aktörsförteckningarna hos alla tillsynsmyndigheter.

Alla branscher som omfattas av cybersäkerhetslagen samt deras respektive tillsynsmyndigheter hittar du i det allmänna informationspaketet om NIS2-direktivet på Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficoms webbplats.

Baserat på svaren skulle företaget vara en väsentlig aktör inom det verksamhetsområde som övervakas av Energimyndigheten.

Ta del av Energimyndighetens anvisning om cybersäkerhetslagen och anmäl dig till Energimyndighetens aktörsförteckning.

Om ditt företag utöver den verksamhet som övervakas av Energimyndigheten bedriver annan verksamhet som övervakas av en annan NIS2-tillsynsmyndighet, ska företag anmäla sig separat till aktörsförteckningarna hos alla tillsynsmyndigheter. Alla branscher som omfattas av cybersäkerhetslagen samt deras respektive tillsynsmyndigheter hittar du i det allmänna informationspaketet om NIS2-direktivet på Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficoms webbplats.

Baserat på svaren skulle företaget vara en väsentlig aktör inom det verksamhetsområde som övervakas av Energimyndigheten.

Observera: Du har angett antingen att företaget omfattas av lagen oberoende av storlek eller att det är en kritisk aktör enligt CER-direktivet. Beakta ovanstående anvisningstexter i bedömningsverktygets svar och justera vid behov dina val.

Ta del av Energimyndighetens anvisning om cybersäkerhetslagen och anmäl dig till Energimyndighetens aktörsförteckning.

Om ditt företag utöver den verksamhet som övervakas av Energimyndigheten bedriver annan verksamhet som övervakas av en annan NIS2-tillsynsmyndighet, ska företag anmäla sig separat till aktörsförteckningarna hos alla tillsynsmyndigheter. Alla branscher som omfattas av cybersäkerhetslagen samt deras respektive tillsynsmyndigheter hittar du i det allmänna informationspaketet om NIS2-direktivet på Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficoms webbplats.

Baserat på svaren skulle företaget inte omfattas av cybersäkerhetslagen inom det verksamhetsområde som övervakas av Energimyndigheten. Cybersäkerhetslagen gäller endast om företaget är tillräckligt stora eller om deras verksamhet annars anses vara kritisk.

Observera att om företaget tillhör en koncern eller har andra ägarförbindelser, måste även dessa företags uppgifter beaktas vid bedömningen av storlekskriterierna. Kontrollera definitionen av företagets storleksbedömning enligt kommissionens rekommendation 2003/361/EG.

Inga resultat. Kolla ditt svar!

{{ errorText }}

PDF skapas. Det här kan ta ett tag.

Något gick fel. Försök igen!