Energiföretagen kommenterar ny cybersäkerhetslag

Publicerat av: Kalle Lindholm ·

Den nya cybersäkerhetslagen föreslås träda i kraft 1 januari 2025 och presenterades i mars i år. Energiföretagen konstaterar att intentionen med ett harmoniserat regelverk inom EU med NIS2-direktivet (2022/2555) inte helt omhändertas. Läs Energiföretagens kommentarer till delbetänkandet ”Nya regler om cybersäkerhet” (SOU 2024:18).

Konsekvensen med den nya lagen blir att föreskrivande och tillsynsansvariga myndigheter får lösa mycket – dels vilka som omfattas, dels de faktiska kraven genom kommande föreskrifter, vägledningar och tillsyn.

Hela verksamheten inbegrips – inte bara samhällsviktig

Kraven på informationssäkerhetsarbete föreslås gälla för hela verksamheten, även de delar som inte direkt stödjer den samhällsviktiga verksamheten. För att tydliggöra hur säkerhetsåtgärder ska appliceras för de delar av verksamheten som inte är av betydelse för den samhällsviktiga verksamheten behövs mer vägledning från tillsynsmyndigheten. Vägledningen kan lämpligen utgå från ett riskbaserat förhållningssätt kring hur verksamheter ska arbeta utifrån begreppet ”hela verksamheten”. 

I praktiken behövs tydliga krav mellan de nätverk- och informationssystem som kan orsaka signifikanta incidenter gentemot övriga nätverk- och informationssystem. Energiföretagen anser att det är viktigt att identifiera verksamheter utifrån deras samhällspåverkan. Verksamheter som bör undantas finns i sektorn ”enheter med liten betydelse”, till exempel små verksamheter med fjärrvärme och fjärrkyla.

Energiföretagens åsikter i sammanfattning

Då NIS2-direktivet innefattar säkerhet i leveranskedjan är det inte bara de verksamheter som omfattas som påverkas av den nya cybersäkerhetslagen, utan även deras leverantörer och underleverantörer. Därmed får NIS2 betydligt bredare påverkan än nuvarande NIS-lagstiftning.

För att utvecklingen av cybersäkerhet ska ge tydlig effekt vill Energiföretagen särskilt betona vikten av att:

  • ha tydliga, enkla och gemensamma regler och säkerhetskrav för utpekade sektorer och deras leveranskedjor med fokus på ett riskbaserat arbetssätt.
  • harmonisera olika sektorer vad gäller såväl krav som tillsyn.
  • informationssammanställningar och sårbarhetsscanningar utan tydliga syften bör begränsas och tydligare anpassas vid incidenter till mer specifika behov för att hantera cyberattacker.
  • utveckla lagstiftningen utifrån både företags organisatoriska struktur, och det offentligas förutsättningar, för att minska verksamheters administrativa rapporteringsbörda och undvika osäkerheter vid tillämpning och tillsyn av hela verksamheten.
  • helt ta bort kravet på systematiskt informationssäkerhetsarbete som var ett svenskt påfund när NIS1 infördes. Att ta bort detta krav skulle harmonisera kraven med andra länder och förenkla för verksamheter med flera tillsynsmyndigheter, och verksamheter med säten i flera länder. Risken minskar också att affärskänslig information sprids felaktigt eller feltolkas utan att säkerhetsarbetet och säkerheten i sig skulle förändras.
  • genomföra fördjupad konsekvensanalys avseende resursmässiga, ekonomiska samt kompetensmässiga effekter enligt direktivet för utpekade verksamheter och leveranskedjor som omfattas av den nya regleringen.
  • tydliggöra effekter av mycket och överlappande lagstiftning inom digitaliserings- och säkerhetsområdet som skett på kort tid, samt beskriva hur dessa kan integreras i beredskapssystemet.
  • undanta verksamheter som pekas ut i Nätkod för cybersäkerhet för att undvika dubbelreglering inom samma område.

Bakgrund: anpassning av svensk lag till två EU-direktiv

Regeringen beslutade i februari 2023 att tillkalla en särskild utredare med uppgift att föreslå nödvändiga anpassningar av svensk rätt för att EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet) och EU:s direktiv om kritiska entiteters motståndskraft (CER-direktivet) ska kunna genomföras.

Det finns två viktiga skillnader mellan gällande lagstiftning och det nya lagförslaget till cybersäkerhetsreglering. Den första är att cybersäkerhetslagen föreslås omfatta betydligt fler aktörer, eftersom antalet sektorer utökas från sju till 18. Den andra viktiga skillnaden är att kraven ska gälla för hela verksamheten, inte bara för samhällsviktiga och digitala tjänster. Energi är en av de sektorer som berörs.

Vidare läsning

Läs Energiföretagens remissvar på Energiföretagens webbplats

Läs ”Nya regler om cybersäkerhet” i delbetänkande på regeringens webbplats

 

Kontakta mig om du vill veta mer

Emma Johansson

Emma Johansson

Ansvarig säkerhetsfrågor
Enhet: Energisystem
Telefon: 08-677 25 05
E-post: emma.johansson@energiforetagen.se