Nya krav på cybersäkerhet för energibolagen

För energisektorn innebär den nya lagen ett tydligt skifte: cybersäkerhet är inte längre enbart en IT-fråga, utan en strategisk och operativ skyldighet som berör hela verksamheten. Foto: Gomero
För energisektorn innebär den nya lagen ett tydligt skifte: cybersäkerhet är inte längre enbart en IT-fråga, utan en strategisk och operativ skyldighet som berör hela verksamheten. Foto: Gomero
Publicerad av
Stina Wickenberg - 24 apr, 2026

Cybersäkerhetslagen trädde i kraft i Sverige den 15 januari 2026 och innebär att EU:s NIS2-direktiv införts i nationell lagstiftning. För energisektorn innebär det att cybersäkerhet omfattar hela verksamheten och inte enbart IT-funktioner. Lagen berör flera energislag och innebär ökade krav på både organisation och drift.

Fler energibolag omfattas av lagen

Energisektorn klassas som väsentlig, vilket innebär omfattande krav och tillsyn. Det gäller el, fjärrvärme, fjärrkyla, gas, olja och vätgas. Samtidigt omfattas fler aktörer än tidigare, eftersom storleksgränserna har sänkts jämfört med tidigare lagstiftning.

Lagen innebär krav på riskhantering, incidentrapportering, leverantörssäkerhet och ledningsansvar. Vid allvarliga incidenter ska en första rapport lämnas inom 24 timmar till ansvarig myndighet. Energibolag ska även säkerställa att leverantörer uppfyller kraven, och ledningen har ett tydligt ansvar för säkerhetsarbetet.

Risk för sanktionsavgifter

Bolag som inte uppfyller kraven riskerar sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av global omsättning. Energimyndigheten har möjlighet att genomföra både planerade och oanmälda kontroller.

Krav på ökad kontroll över infrastrukturen

En central del av regelverket handlar om kontroll över kritisk infrastruktur. Det omfattar både fysisk utrustning och digitala system. Kraven innebär att dessa områden behöver hanteras samlat, med löpande övervakning och underhåll.

Många aktörer har etablerad kontroll över den fysiska infrastrukturen, medan den digitala överblicken i vissa fall är mer begränsad. Regelverket innebär att dessa delar behöver kopplas samman.

Teknikbolaget Gomero uppger att certifiering enligt ISO 27001 används som ett verktyg för att visa att leverantörer uppfyller säkerhetskrav.

– Det vi ser är att energibolag i allt högre grad efterfrågar konkreta bevis på att deras leverantörer håller måttet säkerhetsmässigt. ISO 27001 ger just det – ett oberoende kvitto på att informationssäkerheten är strukturerad och lever upp till internationell standard, säger Malin Giselsson, CTO på Gomero.

Källa: Gomero