Den nya cybersäkerhetslagen, som föreslås träda i kraft den 1 januari 2025 och presenterades i mars i år, har nu kommenterats av Energiföretagen i deras svar på delbetänkandet "Nya regler om cybersäkerhet" (SOU 2024:18). Energiföretagen påpekar att syftet med ett harmoniserat regelverk inom EU enligt NIS2-direktivet (2022/2555) inte fullt ut uppnås.
Konsekvensen av den nya lagen blir att föreskrivande och tillsynsansvariga myndigheter får ansvaret att fastställa vilka verksamheter som omfattas och de specifika kraven genom framtida föreskrifter, vägledningar och tillsyn.
- Vi måste aktivt skydda vår digitala information. Cyberattacker kan få förödande konsekvenser för energiföretag och därmed samhället och Sveriges försvarsförmåga. Sverige behöver införa robusta cybersäkerhetsåtgärder för att försvara oss mot cyberhot. Genom att kontinuerligt anpassa och genomföra starka säkerhetsåtgärder minskar vi vår sårbarhet, säger Emma Johannsson, säkerhetsexpert på Energiföretagen.
Hela verksamheten omfattas – inte bara samhällsviktig verksamhet
Kraven på informationssäkerhet föreslås gälla hela verksamheten, även de delar som inte direkt stödjer den samhällsviktiga verksamheten. För att tydliggöra hur säkerhetsåtgärder ska tillämpas på dessa delar behövs mer vägledning från tillsynsmyndigheten, baserat på ett riskbaserat förhållningssätt.
Det behövs tydliga krav för nätverks- och informationssystem som kan orsaka signifikanta incidenter jämfört med övriga system. Energiföretagen anser att det är viktigt att identifiera verksamheter utifrån deras samhällspåverkan. Verksamheter inom sektorn "enheter med liten betydelse", såsom små fjärrvärme- och fjärrkylaverksamheter, bör undantas.
Energiföretagens åsikter i sammanfattning
Eftersom NIS2-direktivet inkluderar säkerhet i leveranskedjan, påverkas inte bara de verksamheter som omfattas utan även deras leverantörer och underleverantörer, vilket ger en bredare effekt än nuvarande NIS-lagstiftning.
För att cybersäkerhetsutvecklingen ska ge tydlig effekt betonar Energiföretagen vikten av att:
- Ha tydliga, enkla och gemensamma regler och säkerhetskrav för utpekade sektorer och deras leveranskedjor, med fokus på ett riskbaserat arbetssätt.
- Harmoniera krav och tillsyn mellan olika sektorer.
- Begränsa informationssammanställningar och sårbarhetsscanningar till specifika behov vid incidenter för att hantera cyberattacker.
- Utveckla lagstiftningen utifrån både företagens organisatoriska struktur och det offentligas förutsättningar för att minska den administrativa bördan och undvika osäkerheter vid tillämpning och tillsyn av hela verksamheten.
- Ta bort kravet på systematiskt informationssäkerhetsarbete som infördes med NIS1, för att harmonisera kraven med andra länder och förenkla för verksamheter med flera tillsynsmyndigheter och internationella verksamheter.
- Genomföra en fördjupad konsekvensanalys av resursmässiga, ekonomiska och kompetensmässiga effekter för de verksamheter och leveranskedjor som omfattas av den nya regleringen.
- Tydliggöra effekterna av överlappande lagstiftning inom digitalisering och säkerhet och beskriva hur dessa kan integreras i beredskapssystemet.
- Undanta verksamheter som pekas ut i Nätkod för cybersäkerhet för att undvika dubbelreglering inom samma område.