NIS2 och ny cybersäkerhetslag

Viktiga samhällsfunktioner inom energiförsörjning styrs digitalt vilket har gjort att vårt samhälle har blivit mer sårbart. Om dessa system slås ut under en längre tid kan det få drastiska följder för både enskilda verksamheter, samhället i stort och Sveriges totalförsvar. Därför skärps säkerhetskraven på digitala tjänster i nya cybersäkerhetslagen. Teknikutvecklingen – särskilt genom AI och sammankopplade system – har också gett upphov till nya former av cyberhot. Incidenterna blir fler, mer avancerade och påverkar såväl drift som underhåll av nätverks- och informationssystem märkbart. Konsekvenserna kan bli störningar i verksamheten, ekonomiska förluster, minskat förtroende från kunder samt försämrad motståndskraft i både samhälle och totalförsvar. Av denna anledning är det viktigt att cybersäkerheten prioriteras och stärks.

Nya cybersäkerhetslagen (2025:1506) och cybersäkerhetsförordningen (2025:1507) (NIS2) – För medlemmar i Energiföretagen Sverige

Tidsplan för införandet av cybersäkerhetslagen i Sverige

Vad är NIS2?

Som en följd av utvecklingen sedan EU antog NIS-direktivet (2016/1148) har en uppdatering gjorts, känt som NIS-2 direktivet (2022/2555), för att uppnå gemensamma åtgärder för en hög cybersäkerhetsnivå inom EU. Lagstiftningen omfattar både samhällskritiska och digitala tjänster samt flera nya sektorer, exempelvis fjärrvärme och fjärrkyla inom energisektorn. 

Direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) 

Den nationella utredningen av NIS2-direktivet redovisas i  Nya regler om cybersäkerhet SOU 2024:18 (Statens offentliga utredningar 2024:18) | Sveriges riksdag (riksdagen.se) där en ny lag cybersäkerhetslagen presenteras. Utredningen i sin helhet kan läsas på regeringens webbplats här.

Vem omfattas?

Se Cybersäkerhetslag (2025:1506) | Sveriges riksdag samt Cybersäkerhetsförordning (2025:1507) | Sveriges riksdag. I princip alla energibolag faller in under de som listas som en högkritisk sektor i bilaga 1 i NIS2-direktivet (för energi, el, fjärrvärme och fjärrkyla, olja, gas och vätgas). I Regeringens proposition 2025/26:28 Ett starkt skydd för nätverks- och
informationssystem – en ny cybersäkerhetslag står det att 5 § Lagen gäller också för en verksamhetsutövare som uppfyller kraven i 4 § 1 och 2, om:

1. Verksamhetsutövaren är den enda leverantören av en tjänst i Sverige som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet,
2. En störning av den tjänst som verksamhetsutövaren tillhandahåller kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa eller kan medföra betydande systemrisker,
3. Verksamhetsutövaren har särskild betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst eller för andra sektorer som är beroende av verksamhetsutövaren, eller
4. Verksamhetsutövaren tillhandahåller betrodda tjänster.

Då cybersäkerhetslagen inkluderar säkerhet i leveranskedjan behöver verksamheter även ställa cybersäkerhets krav på leverantörer och underleverantörer som levererar digitala tjänster för att undvika störningar och avbrott i tjänster. 

Krav för att stärka cybersäkerheten  - varför är lagen viktig för dig som medlemsföretag?

1.Du kan omfattas av lagen – även om du är liten

Lagen gäller som huvudregel för företag med minst 50 anställda eller över 10 miljoner euro i omsättning. Men vissa mindre företag kan ändå omfattas om de bedöms som särskilt kritiska för samhället (se ovan). Det innebär att du som medlemsföretag måste själv bedöma om du omfattas och anmäla dig till relevant myndighet, för energisektorn Energimyndigheten.

2. Du måste vidta säkerhetsåtgärder

Lagen kräver att du implementerar tekniska, organisatoriska och operativa åtgärder för att skydda dina nätverks- och informationssystem. Det inkluderar till exempel:

• Strategier för riskanalys och informationssystemens säkerhet.
• Hantering av incidenter.
• Kontinuitet i verksamheten, t.ex. hantering av säkerhetskopiering och katastrofåterställning, samt krishantering.
• Säkerhet i försörjningskedjan, inbegripet säkerhetsrelaterade aspekter som rör förhållandet mellan varje verksamhetsutövare och dess direkta leverantörer eller tjänsteleverantörer.
• Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inklusive hantering och röjande av sårbarheter.
• Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet.
• Grundläggande metoder för it-hygien och utbildning i cybersäkerhet.
• Riktlinjer och förfaranden för användning av kryptografi och, i förekommande fall, kryptering.
• Personalsäkerhet, policyer för åtkomstkontroll och tillgångsförvaltning.
• Användning av lösningar för multifaktorautentisering eller kontinuerlig autentisering, säkrad röst-, video- och textkommunikation samt säkra nödkommunikationssystem inom verksamheten, när så är lämpligt.

3. Du måste rapportera incidenter

Betydande incidenter ska rapporteras till MCF inom 24 timmar (varning), 72 timmar (incidentanmälan) och en slutrapport inom en månad. Innan en ny incidentrapporteringstjänsten har lanserats ska alla incidenter rapporteras genom e-tjänsten IRON eller genom att fylla i en blankett som skickas till MCF.

4. Du kan bli föremål för tillsyn och sanktioner

Om du omfattas av lagen och inte följer kraven kan du bli föremål för tillsyn. Sanktioner kan inkludera böter upp till 10 miljoner euro eller 2 % av omsättningen.

Ytterligare information om cybersäkerhet  

• Informationssäkerhet och cybersäkerhet (mcf.se)
• Informations- och cybersäkerhet (energimyndigheten.se)
• Se även Checklista för cybersäkerhet.pdf