NIS2
Publicerat av: Emma Johansson ·
NIS2-direktivet innebär krav på både väsentliga och viktiga sektorer att stärka motståndskraften och förbättra beredskapen inom cybersäkerhet. Direktivet medför olika skyldigheter för verksamheter inom bland annat energisektorn, med syftet att höja nivån på risk- och incidenthantering samt säkerställa effektiv rapportering. Föreslaget är att direktivet träder i kraft i Sverige i en ny lag om cybersäkerhet tillsammans med andra lagändringar den 15 januari 2026.

Den snabba digitala transformationen och sammankopplingen av samhället har lett till nya cyberhot som kräver innovativa åtgärder i alla medlemsstater. Incidenterna blir allt fler, mer komplexa och påverkar driften av nätverks- och informationssystem betydligt. Dessa incidenter kan hindra ekonomisk verksamhet på den inre marknaden, orsaka ekonomisk förlust, minska användarnas förtroende och skada ekonomi och samhälle. Det är därför avgörande att cybersäkerheten stärks för att upprätthålla fungerande inre marknader. Cybersäkerhet är dessutom nödvändigt för att kritiska sektorer som nuvarande och framtida energitjänster ska kunna dra full nytta av digitaliseringens fördelar.
Vad är NIS2?
Som en följd av utvecklingen sedan EU antog NIS-direktivet (2016/1148) har en uppdatering gjorts, känt som NIS-2 direktivet (2022/2555), för att uppnå gemensamma åtgärder för en hög cybersäkerhetsnivå inom EU. Lagstiftningen omfattar både samhällskritiska och digitala tjänster samt flera nya sektorer, exempelvis fjärrvärme och fjärrkyla inom energisektorn. NIS2-direktivet föreslås implementeras genom en ny cybersäkerhetslag (CSL) som träder i kraft 15 januari 2026.
Den nationella utredningen av NIS2-direktivet redovisas i Nya regler om cybersäkerhet SOU 2024:18 (Statens offentliga utredningar 2024:18) | Sveriges riksdag (riksdagen.se) där en ny lag cybersäkerhetslagen presenteras. Utredningen i sin helhet kan läsas på regeringens webbplats här. Lagrådsremiss publicerades under juni 2025 och kan läsas på regeringens hemsida Cybersäkerhetslagen. Även föreskrivande myndighet ska ta fram föreskrifter. För energisektorn föreslås Energimyndigheten som tillsynsmyndighet.
Vem omfattas?
I princip alla energibolag faller in under de som listas som en högkritisk sektor i Bilaga 1 i NIS2-direktivet ( för energi el, fjärrvärme och fjärrkyla, olja, gas och vätgas). I föreslagna lagrådsremissen om cybersäkerhet 4§ pkt 3 finns ett storlekskrav men som sedan överrids av 5§ punkt 1-3:
- Verksamheter som är väsentliga för att upprätthålla kritiska funktioner i samhället och ekonomin.
- Verksamheter där en störning kan ha betydande påverkan på skyddet av liv och hälsa, allmän säkerhet, folkhälsa eller medföra systemrisker, särskilt vid gränsöverskridande konsekvenser.
- Verksamheter som är kritiska på grund av sin särskilda betydelse på nationell eller regional nivå för en viss sektor eller tjänst, eller för andra sektorer som är beroende av denna verksamhet.
Då direktivet inkluderar säkerhet i leveranskedjan behöver verksamheter även ställa cybersäkerhets krav på leverantörer och underleverantörer för att undvika störningar och avbrott i tjänster.
Krav för att stärka cybersäkerheten
Åtgärder att förbereda redan nu kopplat till artikel 21 om riskhanteringsåtgärder för cybersäkerhet i NIS2-direktivet, se nedan. De åtgärder som avses ska baseras på en strategi för alla risker som syftar till att skydda nätverks- och informationssystem och den fysiska miljön i dessa system från incidenter, och ska minst omfatta följande:
- Strategier för riskanalys och informationssystemens säkerhet.
- Hantering av incidenter.
- Kontinuitet i verksamheten, t.ex. hantering av säkerhetskopiering och katastrofåterställning, samt krishantering.
- Säkerhet i försörjningskedjan, inbegripet säkerhetsrelaterade aspekter som rör förhållandet mellan varje verksamhetsutövare och dess direkta leverantörer eller tjänsteleverantörer.
- Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inklusive hantering och röjande av sårbarheter.
- Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet.
- Grundläggande metoder för it-hygien och utbildning i cybersäkerhet.
- Riktlinjer och förfaranden för användning av kryptografi och, i förekommande fall, kryptering.
- Personalsäkerhet, policyer för åtkomstkontroll och tillgångsförvaltning.
- Användning av lösningar för multifaktorautentisering eller kontinuerlig autentisering, säkrad röst-, video- och textkommunikation samt säkra nödkommunikationssystem inom verksamheten, när så är lämpligt.
Ytterligare information om cybersäkerhet
- Det här är NIS2-direktivet (msb.se)
- Informations- och cybersäkerhet (energimyndigheten.se)
- Se även Checklista för cybersäkerhet.pdf
Kontakta mig om du vill veta mer

Emma Johansson
Ansvarig säkerhetsfrågor
Enhet: Energi & Politik
Telefon:
08-677 25 05
E-post: emma.johansson@energiforetagen.se