Den nya cybersäkerhetslagen innebär skärpta krav för energisektorn, enligt Gomero Nordic AB. Lagen genomför EU:s NIS2-direktiv i svensk rätt och omfattar el, fjärrvärme, fjärrkyla, gas, olja och vätgas.
Fler bolag omfattas av kraven
Enligt bolaget klassas energisektorn som väsentlig, det vill säga högkritisk, och omfattas därför av de strängaste kraven och den mest aktiva tillsynen. En förändring jämfört med tidigare regler är att fler energibolag nu kan omfattas, eftersom storleksgränsen har sänkts.
Lagen ställer krav inom flera områden. Energibolag ska ha processer för att identifiera, bedöma och hantera risker i nätverks- och informationssystem och hålla skyddet uppdaterat när nya hot uppstår. Vid allvarliga incidenter ska en föranmälan skickas till behörig myndighet inom 24 timmar.
Bolagen får också ett tydligt ansvar för att säkerställa att externa leverantörer av digitala tjänster och system lever upp till säkerhetskraven. En incident hos en leverantör kan annars snabbt slå mot den egna infrastrukturen.
En annan förändring är att styrelse och ledning får det yttersta ansvaret för cybersäkerhetsarbetet. Det går inte längre att lägga hela frågan på it-avdelningen.
Riskerar höga sanktionsavgifter
Den som inte följer lagen riskerar sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av den globala omsättningen. Energimyndigheten har samtidigt rätt att genomföra både planerade och oanmälda kontroller.
Gomero Nordic AB lyfter också vikten av att ha god kontroll över den kritiska infrastrukturen. Bolag som redan arbetar strukturerat med övervakning, tillståndsanalys och underhåll av exempelvis transformatorstationer, ställverk och distributionsnät har bättre förutsättningar att förebygga incidenter och agera snabbt när något inträffar.
– Det vi ser är att energibolag i allt högre grad efterfrågar konkreta bevis på att deras leverantörer håller måttet säkerhetsmässigt. ISO 27001 ger just det – ett oberoende kvitto på att informationssäkerheten är strukturerad och lever upp till internationell standard, säger Malin Giselsson, CTO på Gomero.
