Ny föreskrift: anmälan och identifiering av leverantörer av samhällsviktig tjänst

Den nya föreskriften ersätter MSBFS 2018:7 föreskrifter om anmälan av leverantörer av samhällsviktig tjänst.

Med de positiva möjligheterna av digitalisering följer även ökade hot, risker och sårbarheter som på olika sätt kan påverka verksamheternas möjligheter att utföra sina åtaganden. Ökad IT-relaterad brottslighet och det förändrade samhällsläget skapar ett stort behov av att arbeta systematiskt med informationssäkerhet och att hantera incidenter i kontinuitetsprocessen.

Incidenter kan hindra energileveranser, generera omfattande ekonomiska förluster och undergräva användarnas förtroende för tjänsterna. Det gör att hela samhället och särskilt samhällsviktiga tjänster som energisektorn behöver bli bättre i arbetet med informations- och cybersäkerhet. Därför finns ett behov av en förstärkt styrning och samordning av digitaliseringen – inte minst för att skydda informations- och cyberfysiska system.

Nytt för elsektorn

Med samhällsviktiga tjänster som rör el, där incidenter skulle medföra en betydande störning vid tillhandahållandet av tjänsten, avses:

1) Eldistribution till elanvändare med styrel prioritetsklass 1–5

2) Elhandel som bedrivs av den som åtagit sig balansansvar i enlighet med ellagen (1997:857)

3) Elproduktion som är direkt, eller via produktionsnät, ansluten till stam- eller regionnät med:

• installerad effekt i en sammanhållen produktionsanläggning som överstiger 30 MW
• avtal om leverans som även omfattar produktion med balansrisk eller med stödtjänst för nätstabilitet*

*Undantag här är industrimottryck eller annan elproduktion direkt ansluten till industri.

Vindkrafts- och/eller solelsparker där flera leverantörer har produktionsanläggningar som delar anslutningspunkt mot överliggande nät, räknas som en produktionsanläggning vid beräkning av installerad effekt eller vid produktion med balansrisk eller stödtjänster.

Energiföretagens ståndpunkter

MSB har under hösten skickat ut förslag på ny föreskrift av anmälan och identifiering av NIS-leverantörer på remiss till bland annat Energiföretagen Sverige. Energiföretagens säkerhetsgrupp (ESG) svarade på remissen och föreslog ett tröskelvärde från föreslagna 25 till 30 MW för elproducenter, vilket glädjande hörsammades av tillsynsmyndigheterna.

Energiföretagen håller med utredningen om att funktionalitet bör utgöra grunden i informationssäkerhetsarbetet vid skapandet av en struktur för identifiering och samordning av NIS-leverantörer. Det är viktigt att även små bolag enkelt och konkret kan arbeta med informations- och cybersäkerhet. Energiföretagen anser att de nya föreskrifterna med tydliga gränsnivåer för elsektorn underlättar för leverantörerna att bedöma om deras verksamheter omfattas, vilket har efterfrågats av medlemsföretagen.

Energiföretagen tycker även att det är bra att förnybar vind- och solproduktion nämns specifikt i den nya föreskriften. Förslaget innebär att vindkrafts- och solelsparker där flera leverantörer har produktionsanläggningar som delar anslutningspunkt mot överliggande nät, ska ses som en produktionsanläggning.

Undersök om din organisation är leverantör av samhällsviktiga tjänster

Den som identifierat sig som leverantör av en samhällsviktig tjänst ska utan dröjsmål anmäla detta till berörd tillsynsmyndighet.

Anmäl förändringar till tillsynsmyndigheten

Vid förändringar av kontaktperson, eller om leverantören inte längre uppfyller kriterierna för en leverantör av samhällsviktig tjänst, ska leverantören utan dröjsmål meddela detta.