News
Nyheter vi tar med oss från 2025
januari 2026
Den 15 januari 2026 trädde cybersäkerhetslagen i kraft i Sverige och implementerade EU:s NIS2-direktiv i nationell lagstiftning. För energisektorn innebär det ett tydligt skifte: cybersäkerhet är inte längre enbart en IT-fråga, utan en strategisk och operativ skyldighet som berör hela verksamheten.
Energisektorn klassificeras som väsentlig — det vill säga högkritisk — i NIS2-direktivet, vilket innebär de strängaste kraven och den mest aktiva tillsynen. Det gäller brett: el, fjärrvärme, fjärrkyla, gas, olja och vätgas omfattas alla av cybersäkerhetslagen.
En viktig förändring är att lagen nu fångar upp betydligt fler energibolag än tidigare NIS-lagstiftning. Även mindre aktörer kan nu omfattas, baserat på verksamhetens kritikalitet för samhället snarare än enbart bolagets storlek.
Lagen ställer konkreta krav inom fyra områden:
Riskhantering och säkerhetsåtgärder Energibolag ska ha definierade processer för att identifiera, bedöma och hantera risker i sina nätverks- och informationssystem — och kontinuerligt uppdatera skyddet i takt med att nya hot uppstår.
Incidentrapportering Vid en allvarlig incident inom energiinfrastrukturen ska en föranmälan skickas till behörig myndighet inom 24 timmar. Det ställer krav på att rutiner och ansvar är på plats i förväg — inte när krisen redan är ett faktum.
Säkerhet i leveranskedjan Energibolagen får ett tydligt ansvar för att även externa leverantörer av digitala tjänster och system uppfyller säkerhetskraven. En incident hos en leverantör kan snabbt få konsekvenser i den egna kritiska infrastrukturen. Certifieringar blir därmed ett viktigt verktyg för att verifiera att leverantörer lever upp till ställda säkerhetskrav.
Ledningsansvar En av de mest påtagliga förändringarna i NIS2 är att styrelse och ledning nu bär det yttersta ansvaret för cybersäkerhetsarbetet. Det är inte längre en fråga som kan delegeras enbart till IT-avdelningen.
Energibolag som inte lever upp till kraven i cybersäkerhetslagen riskerar sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av den globala omsättningen. Tillsynsmyndigheten Energimyndigheten har rätt att genomföra både planerade och oanmälda kontroller.
En central del i att möta NIS2-kraven handlar om att ha god kontroll på sin kritiska infrastruktur. Energibolag som redan arbetar strukturerat med övervakning, tillståndsanalys och underhåll av sin utrustning — transformatorstationer, ställverk och distributionsnät — har ett bättre utgångsläge, både för att förebygga incidenter och för att kunna agera snabbt när något inträffar.
Många energibolag har god kunskap om sin fysiska infrastruktur, men den digitala bilden är ofta fragmenterad. NIS2 sätter press på att de två behöver hänga ihop — och bolag som tidigt byggt strukturer för kontinuerlig övervakning och datadriven underhållsplanering ser nu att det arbetet betalar sig, både operativt och ur ett efterlevnadsperspektiv.
NIS2 ställer tydliga krav på att energibolag aktivt arbetar med säkerhetsrisker i sin leverantörskedja. Gomero är certifierade enligt ISO 27001, den internationella standarden för informationssäkerhet, vilket innebär att vårt säkerhetsarbete kring data, åtkomstkontroll och cybersäkerhetsrisker är strukturerat och granskat av en oberoende part varje år.
– Det vi ser är att energibolag i allt högre grad efterfrågar konkreta bevis på att deras leverantörer håller måttet säkerhetsmässigt. ISO 27001 ger just det – ett oberoende kvitto på att informationssäkerheten är strukturerad och lever upp till internationell standard, säger Malin Giselsson, CTO på Gomero.
Vill du veta mer om hur Gomero arbetar med driftsäkerhet och prediktivt underhåll för energiinfrastruktur — och vad vår ISO 27001-certifiering innebär för dig som kund? Kontakta oss