NIS2 och ny cybersäkerhetslag

Viktiga samhällsfunktioner inom energiförsörjning styrs digitalt vilket har gjort att vårt samhälle har blivit mer sårbart. Om dessa system slås ut under en längre tid kan det få drastiska följder för både enskilda verksamheter, samhället i stort och Sveriges totalförsvar. Därför skärps säkerhetskraven på digitala tjänster i nya cybersäkerhetslagen. Teknikutvecklingen – särskilt genom AI och sammankopplade system – har också gett upphov till nya former av cyberhot. Incidenterna blir fler, mer avancerade och påverkar såväl drift som underhåll av nätverks- och informationssystem märkbart. Konsekvenserna kan bli störningar i verksamheten, ekonomiska förluster, minskat förtroende från kunder samt försämrad motståndskraft i både samhälle och totalförsvar. Av denna anledning är det viktigt att cybersäkerheten prioriteras och stärks.

Nya cybersäkerhetslagen (2025:1506) och cybersäkerhetsförordningen (2025:1507) (NIS2) – För medlemmar i Energiföretagen Sverige

Vägledning för anmälan och identifiering av verksamhetsutövare som omfattas av cybersäkerhetslagen

Tidsplan för införandet av cybersäkerhetslagen i Sverige

Vad är NIS2?

Som en följd av utvecklingen sedan EU antog NIS-direktivet (2016/1148) har en uppdatering gjorts, känt som NIS-2 direktivet (2022/2555), för att uppnå gemensamma åtgärder för en hög cybersäkerhetsnivå inom EU. Lagstiftningen omfattar både samhällskritiska och digitala tjänster samt flera nya sektorer, exempelvis fjärrvärme och fjärrkyla inom energisektorn. 

Direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) 

Den nationella utredningen av NIS2-direktivet redovisas i  Nya regler om cybersäkerhet SOU 2024:18 (Statens offentliga utredningar 2024:18) | Sveriges riksdag (riksdagen.se) där en ny lag cybersäkerhetslagen presenteras. Utredningen i sin helhet kan läsas på regeringens webbplats här.

Vem omfattas?

Se Cybersäkerhetslag (2025:1506) | Sveriges riksdag samt Cybersäkerhetsförordning (2025:1507) | Sveriges riksdag. I princip alla energibolag faller in under de som listas som en högkritisk sektor i bilaga 1 i NIS2-direktivet (för energi, el, fjärrvärme och fjärrkyla, olja, gas och vätgas). I Regeringens proposition 2025/26:28 Ett starkt skydd för nätverks- och
informationssystem – en ny cybersäkerhetslag står det under Lagens tillämpningsområde att 5 § Lagen gäller också för en verksamhetsutövare som uppfyller kraven i 4 § 1 och 2, om:

1. Verksamhetsutövaren är den enda leverantören av en tjänst i Sverige som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet,
2. En störning av den tjänst som verksamhetsutövaren tillhandahåller kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa eller kan medföra betydande systemrisker,
3. Verksamhetsutövaren har särskild betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst eller för andra sektorer som är beroende av verksamhetsutövaren, eller
4. Verksamhetsutövaren tillhandahåller betrodda tjänster.

Då cybersäkerhetslagen inkluderar säkerhet i leveranskedjan behöver verksamheter även ställa cybersäkerhets krav på leverantörer och underleverantörer som levererar digitala tjänster för att undvika störningar och avbrott i tjänster. 

Krav för att stärka cybersäkerheten  - varför är lagen viktig för dig som medlemsföretag?

1.Du kan omfattas av lagen – även om du är liten

Lagen gäller som huvudregel för företag med minst 50 anställda eller över 10 miljoner euro i omsättning. Men vissa mindre företag kan ändå omfattas om de bedöms som särskilt kritiska för samhället (se ovan). Det innebär att du som medlemsföretag måste själv bedöma om du omfattas och anmäla dig till relevant myndighet, för energisektorn Energimyndigheten.

2. Du måste vidta säkerhetsåtgärder

Lagen kräver att du implementerar tekniska, organisatoriska och operativa åtgärder för att skydda dina nätverks- och informationssystem. Det inkluderar till exempel:

• Strategier för riskanalys och informationssystemens säkerhet.
• Hantering av incidenter.
• Kontinuitet i verksamheten, t.ex. hantering av säkerhetskopiering och katastrofåterställning, samt krishantering.
• Säkerhet i försörjningskedjan, inbegripet säkerhetsrelaterade aspekter som rör förhållandet mellan varje verksamhetsutövare och dess direkta leverantörer eller tjänsteleverantörer.
• Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inklusive hantering och röjande av sårbarheter.
• Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet.
• Grundläggande metoder för it-hygien och utbildning i cybersäkerhet.
• Riktlinjer och förfaranden för användning av kryptografi och, i förekommande fall, kryptering.
• Personalsäkerhet, policyer för åtkomstkontroll och tillgångsförvaltning.
• Användning av lösningar för multifaktorautentisering eller kontinuerlig autentisering, säkrad röst-, video- och textkommunikation samt säkra nödkommunikationssystem inom verksamheten, när så är lämpligt.

3. Du måste rapportera incidenter

Betydande incidenter ska rapporteras till MCF inom 24 timmar (varning), 72 timmar (incidentanmälan) och en slutrapport inom en månad. Innan en ny incidentrapporteringstjänsten har lanserats ska alla incidenter rapporteras genom e-tjänsten IRON eller genom att fylla i en blankett som skickas till MCF.

4. Kostnader vid bristande efterlevnad  

Om du omfattas av lagen kan du bli föremål för tillsyn och om en verksamhet  inte följer lagen kan den påföras betydande sanktionsavgifter. Maxbelopp upp till 10 miljoner euro (cirka 110–115 miljoner kronor) eller 2% av den totala globala årsomsättningen.

5. Kostnader för implementering av cybersäkerhetslagen

Kostnaden för att införa den nya svenska cybersäkerhetslagen varierar beroende  på organisationens storlek och nuvarande säkerhetsmognad. Ungefärliga kostnader för införande (inklusive ev. certifiering enligt relevanta standarder, t.ex. ISO27001) uppskattas till 1–5 miljoner kronor. För väsentliga entiteter med komplex IT- och OT-miljöer kan kostnaderna bli betydligt högre, eftersom kraven på tekniska och organisatoriska åtgärder är mer omfattande, inklusive krav kopplade till leveranskedjan.

Faktorer som driver kostnader:

1. Riskhantering och styrande dokument: ta fram och uppdatera dokumentation, policyer och riskanalyser samt införa säkerhetsåtgärder.
2. Incidenthantering: förmåga och verktyg för att upptäcka, hantera och rapportera incidenter till Myndigheten för civilt försvar (MCF).
3. Utbildning: utbilda personal och ledning, där ledningen nu har ett tydligare personligt ansvar.
4. Leverantörssäkerhet: genomlysa leverantörer och ställa tydliga säkerhetskrav på underleverantörer.
5. Uppföljning och utvärdering av säkerhetsåtgärder, kontinuitetshantering och cybersäkerhtesövningar.
6. Ev. certifiering mot standarder som SS-ISO/IEC 27001:2022, SS-ISO/IEC 27002:2022 och ISA/IEC 62443 som verktyg att kunna påvisa och följa upp efterlevnad.

Ytterligare information om cybersäkerhet  

• Informationssäkerhet och cybersäkerhet (mcf.se)
• Informations- och cybersäkerhet (energimyndigheten.se)
• Se även Checklista för cybersäkerhet.pdf