Cybersäkerhetsskyldigheter inom energibranschen

Företag som omfattas av cybersäkerhetslagen kallas aktörer. Inom energisektorn omfattas aktörer inom el, fjärrvärme och fjärrkyla, gas, olja och väte av lagstiftningen. 

Energimyndigheten och Säkerhets- och kemikalieverket (Tukes) har föreslagits som tillsynsmyndigheter inom energisektorn. Aktörerna ska själva kontrollera om de nya cybersäkerhetsskyldigheterna gäller dem och till vilken myndighet de ska anmäla sig.

Med hjälp av bedömningsverktyget kan företaget utvärdera om det är en aktör som övervakas av Energimyndigheten.

Aktörer som övervakas av Energimyndigheten är: 

• nätinnehavare av el och naturgas
• distributörer av fjärrvärme och fjärrkyla (producenter av fjärrvärme eller fjärrkyla som inte har någon distributionsverksamhet alls faller utanför tillämpningsområdet) 
• operatörer för anläggningar för överföring av vätgas 
•  leverantörer av el och naturgas, dvs. säljare, inklusive återförsäljare 
• elproducenter 
• laddningsoperatörer
• nominerade elmarknadsoperatörer 
• andra företag inom elsektorn som erbjuder aggregering, efterfrågeflexibilitet eller lagring av energi  

Skyldigheterna gäller endast om aktörerna är tillräckligt stora eller om deras verksamhet annars anses vara kritisk:

1. Aktören uppfyller eller överskrider de krav i kommissionens rekommendation 2003/361/EG som gäller medelstora företag och tillhandahåller sina tjänster eller bedriver sin verksamhet inom Europeiska unionen:
   • Kriterierna för ett medelstort företag uppfylls när företaget sysselsätter minst 50 personer eller dess omsättning och balansräkning är över 10 miljoner euro per år. 
   • Kriterierna för ett medelstort företag överskrids när företaget sysselsätter minst 250 personer eller dess omsättning är över 50 miljoner euro och balansräkningen över 43 miljoner euro per år. 
2. Aktören har definierats som en kritisk entitet med stöd av CER-direktivet (EU) 2022/2557. Aktörerna fastställs senast i juli 2026.
3. Aktörer oberoende av storlek
   • aktören tillhandahåller en tjänst som är väsentlig för att upprätthålla kritiska samhälleliga eller ekonomiska funktioner och som inte tillhandahålls av andra aktörer, 
   • en störning av den tjänst som aktören tillhandahåller skulle ha en betydande påverkan på allmän ordning, allmän säkerhet eller folkhälsa, 
   • en störning av den tjänst som aktören tillhandahåller kan medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konsekvenser, eller 
   • aktören är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i en medlemsstat i Europeiska unionen som är beroende av denna aktör.

Observera: Närmare bestämmelser om kriterierna i punkt 3 kan utfärdas genom statsrådets förordning. Statsrådets förordning om närmare bestämmelser har ännu inte utfärdats. Energimyndigheten ger anvisningar om att de aktörer som avses i punkt 3 ska vänta på statsrådets förordning för att säkerställa en enhetlig tolkning av undantagskriterierna. Om aktören på grund av sin storlek omfattas av tillämpningsområdet för cybersäkerhetslagen, ska aktören anmäla sig till Energimyndigheten som en aktör som ska övervakas. När kriterierna för aktörer oberoende av storlek har preciserats genom förordning av statsrådet, ska en aktör som uppfyller kriterierna anmäla sig eller uppdatera sin anmälan i NIS2-aktörsförteckningen.

Aktörerna delas in i viktiga och väsentliga aktörer. Medelstora företag är viktiga aktörer. Väsentliga aktörer är aktörer som överskrider definitionen av ett medelstort företag, alltså stora företag, kritiska aktörer enligt CER-direktivet och andra aktörer som oberoende av storlek definierats som aktörer som omfattas av lagen.

Observera: Skyldigheterna gäller viktiga och väsentliga aktörer lika mycket, men myndigheten övervakar dessa på olika sätt. Tillsynen riktas mot väsentliga aktörer. Tillsynen riktas mot en viktig aktör om myndigheten har en grundad anledning att misstänka att aktören inte har fullgjort sina skyldigheter. 

Kommissionens användarhandledning om definitionen av SMF-företag

Kommissionens rekommendation 2003/361/EY om definitionen av mikroföretag samt små och medelstora företag

Anvisning för aktörer som övervakas av Energimyndigheten om iakttagande av cybersäkerhetslagen (pdf)

De aktörer inom energibranschen som Energimyndigheten övervakar ska anmäla sig till NIS2-aktörsförteckningen.

• Bekanta dig med anvisningen innan du gör anmälan.
• Anmäl dig till aktörsförteckningen i Energimyndighetens tillsynsuppgiftssystem VERTTI en månad efter att kriterierna för aktören uppfylls. Observera: sista anmälningsdagen var 8.5.2025. Har ni ännu inte anmält er, gör det omedelbart.
• Om verksamheten övervakas av flera NIS-myndigheter ska anmälan också göras till de andra myndigheternas aktörsförteckningar.

Anvisning för aktörer som övervakas av Energimyndigheten om iakttagande av cybersäkerhetslagen (pdf)

Anmäl dig till Energimyndighetens aktörsförteckning

En aktör ska identifiera, utvärdera och hantera de risker som hänför sig till säkerheten i de kommunikationsnät och informationssystem som den använder i sin verksamhet eller för att tillhandahålla sina tjänster. Hanteringen av cybersäkerhetsrisker ska förhindra eller minimera incidenternas inverkan på verksamheten, driftskontinuiteten, tjänstemottagarna och andra tjänster.

Aktören ska vidta och riskhanteringsåtgärder som är aktuella, proportionella och tillräckliga i förhållande till riskerna för de kommunikationsnät och informationssystem som används i verksamheten samt kommunikationsnätets eller informationssystemets betydelse med tanke på aktörens verksamhet och tillhandahållande av tjänster.

Handlingsmodell för hantering av cybersäkerhetsrisker

Aktören ska ha en uppdaterad handlingsmodell för hantering av cybersäkerhetsrisker för att skydda kommunikationsnät och informationssystem och deras fysiska miljö mot incidenter och deras verkningar.

I handlingsmodellen ska riskerna för kommunikationsnät, informationssystem och deras fysiska miljö identifieras (med ett tillvägagångssätt som beaktar alla riskfaktorer), och målen, förfarandena, ansvaren samt hanteringsåtgärderna för riskhanteringen ska fastställas och beskrivas.

Handlingsmodellen för riskhantering kan också vara en del av aktörens mer omfattande riskhanteringsplan, som också beaktar andra risker som hänför sig till verksamheten, eller en del av den övriga säkerhetsberedskapen.  
Handlingsmodellen för hantering av cybersäkerhetsrisker ska hållas uppdaterad. Handlingsmodellen ska utarbetas inom tre månader från lagens ikraftträdande (senast 8.7.2025) eller från den tidpunkt då kriterierna för aktören uppfylls.

Aktörerna ska vidta proportionella tekniska, driftsrelaterade eller organisatoriska hanteringsåtgärder i enlighet med handlingsmodellen för hantering av cybersäkerhetsrisker för att hantera sådana risker som hänför sig till säkerheten i kommunikationsnät och informationssystem samt förhindra eller minimera skadliga verkningar. 

I cybersäkerhetslagen finns en förteckning med 12 punkter över delområden som aktören ska beakta vid utformningen av handlingsmodellen för hantering av cybersäkerhetsrisker och vid fastställandet av nödvändiga riskhanteringsåtgärder.

Anvisning för aktörer som övervakas av Energimyndigheten om iakttagande av cybersäkerhetslagen (pdf)

Rekommendation till NIS-tillsynsmyndigheter om åtgärderna för hantering av cybersäkerhetsrisker

Aktören ska utan dröjsmål underrätta Energimyndigheten om en betydande incident. Anmälan görs till Energimyndigheten via Cybersäkerhetscentrets anmälningsblankett vid Transport- och kommunikationsverket Traficom. Uppgifterna i anmälan förmedlas till båda myndigheterna.

Med betydande incident avses en incident som 

1. har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna, 
2. har orsakat eller kan orsaka betydande ekonomiska förluster för den berörda aktören, eller
3. har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada.

Med incident avses en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via kommunikationsnät och informationssystem.

Energimyndigheten rekommenderar för aktörer inom energisektorn att de alltid gör en NIS2-anmälan när en observerad incident kan orsaka en driftsstörning i tjänsterna.

Anmälan görs till Energimyndigheten. Anmälningsskyldigheten består av tre faser:

1. Första anmälan inom 24 timmar från det att den betydande incidenten upptäcktes.
2. Uppföljande anmälan inom 72 timmar från det att den betydande incidenten upptäcktes.
3. Slutrapport om en betydande incident inom en månad från det att den uppföljande anmälan lämnades in eller, om det är fråga om en långvarig incident, inom en månad från det att hanteringen av den avslutades. Om den betydande incidenten är långvarig, ska aktören lämna in en delrapport senast en månad efter lämnandet av den uppföljande anmälan.

Anvisning för aktörer som övervakas av Energimyndigheten om iakttagande av cybersäkerhetslagen (pdf)

Anmäl en informationssäkerhetsincident (NIS2)

• Cybersäkerhetslagen
• NIS2-direktivet
• CER-direktivet
• Kommissionens rekommendation 2003/361/EY om definitionen av mikroföretag samt små och medelstora företag
• Användarhandledning om definitionen av SMF-företag

• Energimyndigheten och Tukes övervakar att skyldigheterna i NIS2-direktivet uppfylls inom energisektorn.
• Transport- och kommunikationsverkets Cybersäkerhetscenter bistår aktörerna i behandlingen av informationssäkerhetsincident er samt upprätthåller lägesbilden av cybersäkerheten. Cybersäkerhetscentret har sammanställt ett allmänt informationspaket om NIS2-direktivet.
• Inrikesministeriet bereder CER-direktivets nationella lagstiftning.

Kontakta oss: [email protected].