Cybersäkerhetsdirektivet (NIS2)
Verkställandet av cybersäkerhetsdirektivet NIS2 bereds som bäst och kommer att införlivas i den nationella lagstiftningen senast den 17 oktober 2024. Bestämmelserna ska tillämpas från och med senast den 18 oktober 2024.
Syftet med NIS2-direktivet är att säkerställa en enhetlig nivå på cybersäkerheten i hela Europeiska unionen. I och med det nya direktivet gäller cybersäkerhetsskyldigheterna en större grupp än tidigare och de är mer detaljerade än tidigare.
En gemensam allmän lag om NIS2-direktivet som ska gälla alla sektorer håller på att beredas. Det nya direktivet ersätter det nu gällande direktivet om nät- och informationssäkerhet (NIS), vars tillämpningsområde inom energisektorn har omfattat elnätsinnehavare och innehavare av överföringsnät för naturgas. De ändringar i elmarknadslagen och naturgasmarknadslagen som gjorts på grund av NIS-direktivet håller på att upphävas.
Den här sidan uppdaterades senast 24.5.2024.
Cybersäkerhetsdirektivet gäller flera olika sektorer i stor utsträckning. Inom energisektorn omfattas aktörer inom el, fjärrvärme och fjärrkyla, gas, olja och väte av lagstiftningen. Energimyndigheten och Säkerhets- och kemikalieverket (Tukes) har föreslagits som tillsynsmyndigheter inom energisektorn.
Enligt förslaget ska följande aktörer övervakas av Energimyndigheten:
- nätinnehavare av el, naturgas och väte
- distributörer av fjärrvärme och fjärrkyla (producenter av fjärrvärme eller fjärrkyla som inte har någon distributionsverksamhet alls har föreslagits falla utanför tillämpningsområdet)
- el- och naturgasleverantörer, dvs. försäljare inklusive återförsäljare
- elproducenter
- operatörer för laddningsstationer för elbilar
- nominerad elmarknadsoperatör
- andra parter på elmarknaden som tillhandahåller aggregering, efterfrågeflexibilitet eller energilagring
Skyldigheterna gäller endast om aktörerna är tillräckligt stora eller om deras verksamhet annars anses vara kritisk:
- Aktören uppfyller eller överskrider förutsättningarna i kommissionens rekommendation 2003/361/EG om medelstora företag
- Kriterierna för ett medelstort företag uppfylls när företaget sysselsätter minst 50 personer eller dess omsättning och balansräkning är över 10 miljoner euro per år.
- Kriterierna för ett medelstort företag överskrids när företaget sysselsätter minst 250 personer eller dess omsättning är över 50 miljoner euro och balansräkningen över 43 miljoner euro per år.
- Aktören är en kritisk aktör enligt CER-direktivet. Aktörerna fastställs senast den 17 juli 2026.
- Aktörer oberoende av storlek om
- aktören tillhandahåller en tjänst som är väsentlig för att upprätthålla kritiska samhälleliga eller ekonomiska funktioner och som inte tillhandahålls av andra aktörer,
- en störning av den tjänst som aktören tillhandahåller skulle ha en betydande påverkan på allmän ordning, allmän säkerhet eller folkhälsa,
- en störning av den tjänst som aktören tillhandahåller kan medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konsekvenser, eller
- aktören är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i en medlemsstat i Europeiska unionen som är beroende av denna aktör.
Dessa kriterier kan preciseras genom statsrådets förordning.
Aktörerna delas in i viktiga och väsentliga aktörer. Medelstora företag är viktiga aktörer. Väsentliga aktörer är aktörer som överskrider definitionen av ett medelstort företag, alltså stora företag, kritiska aktörer enligt CER-direktivet och andra aktörer som oberoende av storlek definierats som väsentliga aktörer.
Observera: Skyldigheterna gäller viktiga och väsentliga aktörer lika mycket, men myndigheten övervakar dessa på olika sätt. De väsentliga aktörerna omfattas av förhandstillsyn.
Aktörerna är skyldiga att
- anmäla sig till Energimyndighetens aktörsförteckning före utgången av 2024
- fullgöra vissa riskhanteringsskyldigheter för cybersäkerheten
- rapportera betydande incident till Energimyndigheten (NIS-anmälan)
Observera: Aktören ska själv identifiera att den omfattas av lagens tillämpningsområde och på eget initiativ anmäla sig till aktörsförteckningen. Vi publicerar anmälningsanvisningen och kanalen under hösten 2024.
Traficoms Cybersäkerhetscenter håller på att utarbeta en rekommendation om riskhanteringsåtgärderna för cybersäkerhet.
De nya kraven på cybersäkerhet preciseras i takt med att beredningen av NIS2-lagstiftningen framskrider. Vi uppdaterar aktuell information som gäller energisektorn på denna sida.
Vi rekommenderar att du följer Energimyndighetens anvisningar på den här webbplatsen och genom att beställa vårt nyhetsbrev om cybersäkerhet.
- Kommunikationsministeriet bereder NIS2-direktivets nationella lagstiftning.
Lagstiftningsberedning - Inrikesministeriet bereder CER-direktivets nationella lagstiftning.
- Traficoms Cybersäkerhetscenter reagerar och bistår aktörerna i behandlingen av informationssäkerhetsincident er samt upprätthåller lägesbilden av cybersäkerheten.
- Energimyndigheten och Tukes övervakar att skyldigheterna i NIS2-direktivet uppfylls inom energisektorn.
Nätföreskrift för cybersäkerhet (NCCS)
Europeiska kommissionen har publicerat EU:s nätföreskrift om cybersäkerhet inom elbranschen (NCCS) 24.5.2024. Nätföreskriften träder i kraft den 13.6.2024, men tillämpas stegvis i takt med att olika metoder och planer utarbetas.
I Finland tillämpas nätföreskriften för cybersäkerhet direkt, alltså stiftas det inte någon separat nationell lag om den.
Nätföreskriften för cybersäkerhet är kommissionens delegerade förordning som kompletterar elmarknadsförordningen (EU 2019/943) genom att fastställa nätföreskriften om sektorsspecifika regler för cybersäkerhetsaspekter av gränsöverskridande elflöden. Nätföreskriften innehåller regler för riskhantering inom cybersäkerhet, gemensamma minimikrav på cybersäkerhet, planering, övervakning, rapportering och krishantering. Nätföreskriften är avsedd att komplettera de allmänna reglerna för nät- och informationssystemens säkerhet som fastställs i NIS2-direktivet.
Utifrån nätföreskriften kommer man att utarbeta villkor, metoder och planer som i hög grad definierar det konkreta innehållet i nätföreskriften. Till nätföreskriftens tillämpningsområde hör bland annat företag inom elsektorn och kritiska leverantörer av informations- och kommunikationsteknik. Nätföreskriftens slutliga aktörsspecifika tillämpningsområde bestäms dock först utifrån kriterier som fastställs senare. Energimyndigheten informerar aktörerna om att de omfattas av nätregelns tillämpningsområde.