Nya lagar om cybersäkerhet och motståndskraft för verksamheter

Publicerat av: Kalle Lindholm ·

Nationella utredningen om NIS2- och CER-direktivet överlämnades den 18 september till regeringen och ministern för civilt försvar Carl-Oscar Bohlin. Den nya lagen om cybersäkerhet och förslag till lag om motståndskraft hos kritiska verksamhetsutövare föreslås träda i kraft den 1 augusti 2025. Dessa nya lagar förändrar flera andra lagar, bland annat säkerhetsskyddslagen, offentlighets- och sekretesslagen samt lagen om brottsregister. Flera satsningar sker på cybersäkerhetsområdet.

Foto: Michael Erhardsson/Mostphotos

Syftet med förslag till lag om motståndskraft hos kritiska verksamhetsutövare är att stärka kritiska verksamhetsutövares motståndskraft och förmåga att tillhandahålla samhällsviktiga tjänster inom bland annat energisektorn. Det innebär ökade krav på fysisk säkerhet och personalsäkerhet. Utredningen i sin helhet kan läsas på regeringens webbplats här.

Identifiering av kritiska verksamhetsutövare som berörs

Senast sommaren 2026 ska tillsynsmyndigheterna identifiera vilka kritiska verksamhetsutövare som anges i CER-direktivets bilaga som ska omfattas av den nya lagen. När en medlemsstat fastställer om en störande effekt är betydande ska den beakta följande kriterier:

  • Antalet användare som är beroende av den samhällsviktiga tjänsten
  • Hur beroende andra sektorer som omfattas av direktivet är av den samhällsviktiga tjänsten
  • Vilken effekt incidenter kan få för ekonomisk och samhällelig verksamhet, miljön, den allmänna säkerheten och tryggheten, eller befolkningens hälsa
  • Verksamhetsutövarens marknadsandel
  • Det geografiska område som skulle kunna påverkas av en incident
  • Verksamhetsutövarens betydelse för upprätthållandet av en tillräcklig nivå på den samhällsviktiga tjänsten

– Det är viktigt att beakta redan nu att om en tillsynsmyndighet pekar ut en verksamhet att omfattas av lag om motståndskraft hos kritiska verksamhetsutövare, så lyder denna verksamhet under den nya cybersäkerhetslagen, som väsentlig verksamhet. Givetvis råder även en anmälningsplikt för dem som själva identifierat att verksamheten omfattas av den nya cybersäkerhetslagen, säger Emma Johansson, säkerhetsansvarig hos Energiföretagen.

Se även tidigare nyhet från Energiföretagen om förslag på ny cybersäkerhetslag.

Sanktionsavgifterna i säkerhetsskyddslagen höjs kraftigt – ytterligare satsningar 

En sanktionsavgift ska bestämmas till lägst 25 000 kronor och som mest till det högsta av 120 miljoner kronor eller två procent av verksamhetsutövarens totala globala årsomsättning under föregående räkenskapsår. Ändringar i säkerhetsskyddslagen (2019:585) föreslås träda i kraft 1 augusti 2025.

Det är också viktigt att bistå verksamhetsutövarna genom stöd och tillsynsåtgärder. Regeringen presenterade därför ytterligare satsningar på cybersäkerhet i budgetpropositionen för år 2025 på 196 miljoner kronor för att stärka informations- och cybersäkerhetsarbetet i samhället. För att säkerställa efterlevnaden av NIS2-direktivets krav tilldelas föreslagna tillsynsmyndigheter att dela på 28 miljoner kronor totalt. Ytterligare förslag i denna historiska satsning på cybersäkerhet finns att läsa på regeringens webbplats här.

Vidare läsning

Läs Energiföretagens remissvar på Energiföretagens webbplats.

Läs ”Nya regler om cybersäkerhet” i delbetänkande på regeringens webbplats.

 

Kontakta mig om du vill veta mer

Emma Johansson

Emma Johansson

Ansvarig säkerhetsfrågor
Enhet: Energisystem
Telefon: 08-677 25 05
E-post: emma.johansson@energiforetagen.se