Energiföretagen kommenterar ny cybersäkerhetslag

Den nya cybersäkerhetslagen föreslås träda i kraft 1 januari 2025 och presenterades i mars i år. Energiföretagen kommenterar nu delbetänkandet ”Nya regler om cybersäkerhet” (SOU 2024:18). Energiföretagen konstaterar att intentionen med ett harmoniserat regelverk inom EU med NIS2-direktivet (2022/2555) inte helt omhändertas.

Konsekvensen med den nya lagen blir att föreskrivande och tillsynsansvariga myndigheter får lösa mycket – dels vilka som omfattas, dels de faktiska kraven genom kommande föreskrifter, vägledningar och tillsyn.

- Vi måste aktivt vidta åtgärder för att skydda vår digitala information. Cyberattacker kan ha förödande konsekvenser för ett energiföretag och därmed samhället och Sveriges försvarsförmåga. Sverige behöver införa robusta cybersäkerhetsåtgärder för att försvara oss mot cyberhot. Genom att kontinuerligt anpassa oss och genomföra starka säkerhetsåtgärder minskar vi vår sårbarhet, säger Emma Johannsson, säkerhetsexpert Energiföretagen.

Hela verksamheten inbegrips – inte bara samhällsviktig

Kraven på informationssäkerhetsarbete föreslås gälla för hela verksamheten, även de delar som inte direkt stödjer den samhällsviktiga verksamheten. För att tydliggöra hur säkerhetsåtgärder ska appliceras för de delar av verksamheten som inte är av betydelse för den samhällsviktiga verksamheten behövs mer vägledning från tillsynsmyndigheten. Vägledningen kan lämpligen utgå från ett riskbaserat förhållningssätt kring hur verksamheter ska arbeta utifrån begreppet ”hela verksamheten”.

I praktiken behövs tydliga krav mellan de nätverk- och informationssystem som kan orsaka signifikanta incidenter gentemot övriga nätverk- och informationssystem. Energiföretagen anser att det är viktigt att identifiera verksamheter utifrån deras samhällspåverkan. Verksamheter som bör undantas finns i sektorn ”enheter med liten betydelse”, till exempel små verksamheter med fjärrvärme och fjärrkyla.

Energiföretagens åsikter i sammanfattning

Då NIS2-direktivet innefattar säkerhet i leveranskedjan är det inte bara de verksamheter som omfattas som påverkas av den nya cybersäkerhetslagen, utan även deras leverantörer och underleverantörer. Därmed får NIS2 betydligt bredare påverkan än nuvarande NIS-lagstiftning.

För att utvecklingen av cybersäkerhet ska ge tydlig effekt vill Energiföretagen särskilt betona vikten av att:

• Ha tydliga, enkla och gemensamma regler och säkerhetskrav för utpekade sektorer och deras leveranskedjor med fokus på ett riskbaserat arbetssätt.
• Harmonisera olika sektorer vad gäller såväl krav som tillsyn.
• Informationssammanställningar och sårbarhetsscanningar utan tydliga syften bör begränsas och tydligare anpassas vid incidenter till mer specifika behov för att hantera cyberattacker.
• Utveckla lagstiftningen utifrån både företags organisatoriska struktur, och det offentligas förutsättningar, för att minska verksamheters administrativa rapporteringsbörda och undvika osäkerheter vid tillämpning och tillsyn av hela verksamheten.
• Helt ta bort kravet på systematiskt informationssäkerhetsarbete som var ett svenskt påfund när NIS1 infördes. Att ta bort detta krav skulle harmonisera kraven med andra länder och förenkla för verksamheter med flera tillsynsmyndigheter, och verksamheter med säten i flera länder. Risken minskar också att affärskänslig information sprids felaktigt eller feltolkas utan att säkerhetsarbetet och säkerheten i sig skulle förändras.
• Genomföra fördjupad konsekvensanalys avseende resursmässiga, ekonomiska samt kompetensmässiga effekter enligt direktivet för utpekade verksamheter och leveranskedjor som omfattas av den nya regleringen.
• Tydliggöra effekter av mycket och överlappande lagstiftning inom digitaliserings- och säkerhetsområdet som skett på kort tid, samt beskriva hur dessa kan integreras i beredskapssystemet.
• Undanta verksamheter som pekas ut i Nätkod för cybersäkerhet för att undvika dubbelreglering inom samma område.