Företag i energibranschen ska kontrollera om den nya cybersäkerhetslagens skyldigheter berör dessa och vid behov anmäla sig till den behöriga tillsynsmyndighetens aktörsförteckning senast den 8 maj 2025.
Den nya cybersäkerhetslagen (NIS2) omfattar ett brett spektrum av branscher. Energibranschens företag måste därför utan dröjsmål bedöma om de faller inom lagens tillämpningsområde.
- Identifiera om företaget omfattas av cybersäkerhetslagen och vilken myndighet som övervakar ert verksamhetsområde. Om flera myndigheter övervakar er verksamhet ska anmälan göras till samtliga aktörsförteckningar.
Utvärdera med hjälp av bedömningsverktyget om företaget måste anmäla sig till Energimyndigheten.
- Anmäl er vid behov till Energimyndighetens aktörsförteckning. Anmälan ska göras senast den 8 maj 2025, eller en månad efter att kriterierna för aktören uppfylls. För anmälan krävs Suomi.fi-fullmakt att agera för företaget.
Se vår instruktionsvideo (på finska) om kriterierna och om hur anmälan görs i Energimyndighetens e-tjänst.
Aktörer som kan anmäla sig till Energimyndigheten
- Nätinnehavare av el och naturgas
- Distributörer av fjärrvärme och fjärrkyla (producenter av fjärrvärme eller fjärrkyla som inte har någon distributionsverksamhet alls faller utanför tillämpningsområdet)
- Operatörer för anläggningar för överföring av vätgas
- Leverantörer av el och naturgas, dvs. säljare, inklusive återförsäljare
- Elproducenter
- Laddningsoperatörer
- Nominerade elmarknadsoperatörer
- Andra parter på elmarknaden som erbjuder aggregering, efterfrågeflexibilitet eller energilagring
Skyldigheterna gäller endast om företaget är tillräckligt stort eller om deras verksamhet annars anses vara kritisk. Om företaget tillhör en koncern eller har andra ägarförbindelser, påverkar dessa företags uppgifter bedömningen av storlekskriterierna.
Anmälan är obligatorisk när kriterierna för cybersäkerhetsaktör uppfylls. Vi uppmanar alla företag att noggrant bedöma kriterierna med stöd av Energimyndighetens anvisning.
Observera: Inom energisektorn övervakar Säkerhets- och kemikalieverket (Tukes) raffinering och distribution av olja, produktion och lagring av vätgas samt produktion, lagring och raffinering av metan. Anvisningar för dessa verksamheter finns på Tukes webbplats.
Riskhantering och incidentrapportering
Cybersäkerhetslagen ålägger företag att upprätthålla en handlingsmodell för hantering för att skydda kommunikationsnät och informationssystem och deras fysiska miljö mot incidenter och deras verkningar. Handlingsmodellen ska vara klar senast den 8 juli 2025.
Dessutom är företag skyldiga att underrätta utan dröjsmål upptäckta betydande cybersäkerhetsincidenter. NIS2-anmälan lämnas till Energimyndigheten via Cybersäkerhetscentrets anmälningsblankett.
Energimyndighetens anvisning om cybersäkerhetsskyldigheter i energibranschen
Tukes anvisning om cybersäkerhetsskyldigheter
Cybersäkerhetscentrets allmänna NIS2-informationspaket
Beställ nyhetsbrevet Cybersäkerhet (på finska)
Mer information:
- Lämna helst förfrågningar per e-post: [email protected].
- Ledande sakkunnig Tarvo Siukola, tfn 029 5050 074 och nätverksingenjör Santeri Vauhkonen, tfn 029 5050 115.
