NIS2 och energisektorn – vad innebär cybersäkerhetslagen för energibolag?

Den 15 januari 2026 trädde cybersäkerhetslagen i kraft i Sverige och implementerade EU:s NIS2-direktiv i nationell lagstiftning. För energisektorn innebär det ett tydligt skifte: cybersäkerhet är inte längre enbart en IT-fråga, utan en strategisk och operativ skyldighet som berör hela verksamheten.

Energisektorn klassas som högkritisk under NIS2

Energisektorn klassificeras som väsentlig — det vill säga högkritisk — i NIS2-direktivet, vilket innebär de strängaste kraven och den mest aktiva tillsynen. Det gäller brett: el, fjärrvärme, fjärrkyla, gas, olja och vätgas omfattas alla av cybersäkerhetslagen.

En viktig förändring är att lagen nu fångar upp betydligt fler energibolag än tidigare NIS-lagstiftning. Även mindre aktörer kan nu omfattas, eftersom storleksgränsen har sänkts jämfört med tidigare NIS-lagstiftning.

Vad kräver cybersäkerhetslagen av energibolag?

Lagen ställer krav inom fyra områden:

Riskhantering och säkerhetsåtgärder: Energibolag ska ha definierade processer för att identifiera, bedöma och hantera risker i sina nätverks- och informationssystem — och kontinuerligt uppdatera skyddet i takt med att nya hot uppstår.

Incidentrapportering: Vid en allvarlig incident inom energiinfrastrukturen ska en föranmälan skickas till behörig myndighet inom 24 timmar. Det ställer krav på att rutiner och ansvar är på plats i förväg — inte när krisen redan är ett faktum.

Säkerhet i leveranskedjan: Energibolagen får ett tydligt ansvar för att även externa leverantörer av digitala tjänster och system uppfyller säkerhetskraven. En incident hos en leverantör kan snabbt få konsekvenser i den egna kritiska infrastrukturen. Certifieringar blir därmed ett viktigt verktyg för att verifiera att leverantörer lever upp till ställda säkerhetskrav.

Ledningsansvar: En av de mest påtagliga förändringarna i NIS2 är att styrelse och ledning nu bär det yttersta ansvaret för cybersäkerhetsarbetet. Det är inte längre en fråga som kan delegeras enbart till IT-avdelningen.

Kännbara sanktioner för energibolag som inte följer lagen

Energibolag som inte lever upp till kraven i cybersäkerhetslagen riskerar sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av den globala omsättningen. Energimyndigheten har rätt att genomföra både planerade och oanmälda kontroller.

Driftsäkerhet — grunden för NIS2-efterlevnad i energisektorn

En central del i att möta NIS2-kraven handlar om att ha god kontroll på sin kritiska infrastruktur. Energibolag som redan arbetar strukturerat med övervakning, tillståndsanalys och underhåll av sin utrustning — transformatorstationer, ställverk och distributionsnät — har ett bättre utgångsläge, både för att förebygga incidenter och för att kunna agera snabbt när något inträffar.

Många energibolag har god kunskap om sin fysiska infrastruktur, men den digitala bilden är ofta fragmenterad. NIS2 sätter press på att de två behöver hänga ihop — och bolag som tidigt byggt strukturer för kontinuerlig övervakning och datadriven underhållsplanering ser nu att det arbetet betalar sig, både operativt och ur ett efterlevnadsperspektiv.

NIS2 ställer tydliga krav på att energibolag aktivt arbetar med säkerhetsrisker i sin leverantörskedja. Gomero är certifierade enligt ISO 27001, den internationella standarden för informationssäkerhet, vilket innebär att vårt säkerhetsarbete kring data, åtkomstkontroll och cybersäkerhetsrisker är strukturerat och granskat av en oberoende part varje år.

– Det vi ser är att energibolag i allt högre grad efterfrågar konkreta bevis på att deras leverantörer håller måttet säkerhetsmässigt. ISO 27001 ger just det – ett oberoende kvitto på att informationssäkerheten är strukturerad och lever upp till internationell standard, säger Malin Giselsson, CTO på Gomero.