NIS2 och ny cybersäkerhetslag

Publicerat av: Emma Johansson ·

Den nya cybersäkerhetslagen (CSL) implementerar NIS2-direktivet i Sverige och syftar till att harmonisera cybersäkerhetskraven inom EU. Lagen träder i kraft den 15 januari 2026 och omfattar både offentliga och privata verksamheter inom 18 sektorer, däribland energisektorn där el, fjärrvärme och fjärrkyla, olja, gas och vätgas ingår. För energisektorn föreslås Energimyndigheten som tillsynsmyndighet. 

 

Den snabba digitala transformationen och sammankopplingen av samhället har lett till nya cyberhot som kräver innovativa åtgärder i alla medlemsstater. Incidenterna blir allt fler, mer komplexa och påverkar driften av nätverks- och informationssystem betydligt. Dessa incidenter kan hindra ekonomisk verksamhet på den inre marknaden, orsaka ekonomisk förlust, minska användarnas förtroende och skada ekonomi och samhälle. Det är därför avgörande att cybersäkerheten stärks för att upprätthålla fungerande inre marknader. Cybersäkerhet är dessutom nödvändigt för att kritiska sektorer som nuvarande och framtida energitjänster ska kunna dra full nytta av digitaliseringens fördelar.

Vad är NIS2?

Som en följd av utvecklingen sedan EU antog NIS-direktivet (2016/1148) har en uppdatering gjorts, känt som NIS-2 direktivet (2022/2555), för att uppnå gemensamma åtgärder för en hög cybersäkerhetsnivå inom EU. Lagstiftningen omfattar både samhällskritiska och digitala tjänster samt flera nya sektorer, exempelvis fjärrvärme och fjärrkyla inom energisektorn. NIS2-direktivet föreslås implementeras genom en ny cybersäkerhetslag (CSL) som träder i kraft 15 januari 2026.

Direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) 

Den nationella utredningen av NIS2-direktivet redovisas i  Nya regler om cybersäkerhet SOU 2024:18 (Statens offentliga utredningar 2024:18) | Sveriges riksdag (riksdagen.se) där en ny lag cybersäkerhetslagen presenteras. Utredningen i sin helhet kan läsas på regeringens webbplats här. Lagrådsremiss publicerades under juni 2025 och kan läsas på regeringens hemsida Cybersäkerhetslagen. Propositionen publicerades under oktober månad och kan läsas på regeringens hemsida Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag - Regeringen.se.

Vem omfattas?

I princip alla energibolag faller in under de som listas som en högkritisk sektor i Bilaga 1 i NIS2-direktivet ( för energi el, fjärrvärme och fjärrkyla, olja, gas och vätgas). I Regeringens proposition 2025/26:28 Ett starkt skydd för nätverks- och
informationssystem – en ny cybersäkerhetslag står det att 5 § Lagen gäller också för en verksamhetsutövare som uppfyller kraven i 4 § 1 och 2, om

  1. verksamhetsutövaren är den enda leverantören av en tjänst i Sverige som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet,
  1. en störning av den tjänst som verksamhetsutövaren tillhandahåller kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa eller kan medföra betydande systemrisker,
  1. verksamhetsutövaren har särskild betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst eller för andra sektorer som är beroende av verksamhetsutövaren, eller
  1. verksamhetsutövaren tillhandahåller betrodda tjänster.

Då cybersäkerhetslagen inkluderar säkerhet i leveranskedjan behöver verksamheter även ställa cybersäkerhets krav  på leverantörer och underleverantörer för att undvika störningar och avbrott i tjänster. 

Krav för att stärka cybersäkerheten  - varför är lagen viktig för dig som medlemsföretag?

1.Du kan omfattas av lagen – även om du är liten

Lagen gäller som huvudregel för företag med minst 50 anställda eller över 10 miljoner euro i omsättning. Men vissa mindre företag kan ändå omfattas om de bedöms som särskilt kritiska för samhället (se ovan). Det innebär att du som medlemsföretag måste själv bedöma om du omfattas och anmäla dig till relevant myndighet, för energisektorn Energimyndigheten.

2. Du måste vidta säkerhetsåtgärder

Lagen kräver att du implementerar tekniska, organisatoriska och operativa åtgärder för att skydda dina nätverks- och informationssystem. Det inkluderar till exempel:

  • Strategier för riskanalys och informationssystemens säkerhet.
  • Hantering av incidenter.
  • Kontinuitet i verksamheten, t.ex. hantering av säkerhetskopiering och katastrofåterställning, samt krishantering.
  • Säkerhet i försörjningskedjan, inbegripet säkerhetsrelaterade aspekter som rör förhållandet mellan varje verksamhetsutövare och dess direkta leverantörer eller tjänsteleverantörer.
  • Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inklusive hantering och röjande av sårbarheter.
  • Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet.
  • Grundläggande metoder för it-hygien och utbildning i cybersäkerhet.
  • Riktlinjer och förfaranden för användning av kryptografi och, i förekommande fall, kryptering.
  • Personalsäkerhet, policyer för åtkomstkontroll och tillgångsförvaltning.
  • Användning av lösningar för multifaktorautentisering eller kontinuerlig autentisering, säkrad röst-, video- och textkommunikation samt säkra nödkommunikationssystem inom verksamheten, när så är lämpligt.

3. Du måste rapportera incidenter

Betydande incidenter ska rapporteras till MSB inom 24 timmar (varning), 72 timmar (incidentanmälan) och en slutrapport inom en månad.

4. Du kan bli föremål för tillsyn och sanktioner

Om du omfattas av lagen och inte följer kraven kan du bli föremål för tillsyn. Sanktioner kan inkludera böter upp till 10 miljoner kronor eller 2 % av omsättningen.

Ytterligare information om cybersäkerhet  

 

 

Kontakta mig om du vill veta mer

Emma Johansson

Emma Johansson

Ansvarig säkerhetsfrågor
Enhet: Energi & Politik
Telefon: 08-677 25 05
E-post: emma.johansson@energiforetagen.se