Tillsynsstruktur: vem övervakar vad?

Enligt SOU 2024:18 föreslås en uppdelad tillsynsmodell för energisektorn:

Energimarknadsinspektionens utökade mandat

Ei har historiskt fokuserat på marknadsreglering, nättariffer och koncessioner. Med NIS2 får myndigheten ett uttryckligt cybersäkerhetsmandat. Det innebär:

• Rätt att genomföra proaktiv tillsyn – inspektioner, revisioner och säkerhetsgranskningar utan att invänta en incident.
• Befogenhet att begära information om säkerhetsåtgärder, riskanalyser och incidenthanteringsplaner.
• Förelägganden och sanktionsavgifter – upp till 10 MEUR eller 2 procent av global omsättning för väsentliga entiteter.
• Ledningspåverkan – möjlighet att tillfälligt förbjuda ledningspersoner att utöva sina funktioner vid grova brister.

Det här är en ny verklighet för många energibolag som tidigare haft begränsad myndighetskontakt kring cybersäkerhet. Opsios erfarenhet från molnsäkerhetsprojekt i reglerade sektorer visar att bolag som börjar förbereda sig tidigt – snarare än att vänta på formella krav – klarar tillsynen betydligt bättre.

Svenska Kraftnäts dubbla roll

Svenska Kraftnät befinner sig i en unik position. Som systemansvarig för stamnätet är myndigheten själv en väsentlig entitet under NIS2. Samtidigt har den operativt ansvar för driftsäkerheten i hela det svenska elsystemet.

Den dubbla rollen förstärks av att kraftnätet är en sammankopplad infrastruktur. En sårbarhet hos en enskild distributionsoperatör kan kaskadpåverka stabiliteten i hela systemet. NIS2 kräver därför att systemansvariga beaktar cybersäkerhet i sina driftsäkerhetsbedömningar – och att anslutna aktörer lever upp till kraven.

MSB och CERT-SE

MSB ansvarar för den övergripande samordningen av NIS2-implementeringen i Sverige, medan CERT-SE fungerar som nationellt CSIRT med ansvar för incidentrapportering. All tidig varning ska gå till CERT-SE, och parallell rapportering till Ei kan krävas beroende på incidenttyp.

Varför OT-säkerhet är NIS2:s hårdaste nöt i energisektorn

Operativ teknik (OT) – SCADA-system, PLC:er, RTU:er och DCS:er – styr de fysiska processerna i energiproduktion och distribution. Historiskt har dessa system designats för tillgänglighet och driftsäkerhet, inte för cybersäkerhet. Det skapar en fundamental utmaning.

IT/OT-konvergensens risker

Trenden mot ökad IT/OT-konvergens – där OT-system ansluts till IP-baserade nätverk för fjärrövervakning, prediktivt underhåll och effektivisering – ökar angreppsytan dramatiskt. Enligt Dragos Year in Review-rapporter har antalet aktiva hotgrupper riktade mot industriella styrsystem ökat stadigt, med flera grupper som specifikt fokuserar på energisektorn.

De vanligaste sårbarheterna vi ser i svenska energibolag:

• Platta nätverksarkitekturer utan segmentering mellan IT och OT.
• Föråldrade SCADA-system som kör operativsystem utan säkerhetsuppdateringar (Windows XP och Server 2003 är fortfarande vanliga).
• Bristfällig åtkomsthantering – delade lösenord och avsaknad av multifaktorautentisering för fjärråtkomst.
• Ingen loggning eller övervakning av OT-trafik, vilket gör det omöjligt att upptäcka intrång.

Vad NIS2 kräver för OT-miljöer

NIS2 gör ingen formell åtskillnad mellan IT och OT. Direktivets krav på riskanalys, incidenthantering, driftskontinuitet och leverantörskedjegranskning gäller alla nätverks- och informationssystem som används för att tillhandahålla tjänsten. I praktiken innebär det:

1. Fullständig tillgångsinventering av OT-system – du kan inte skydda det du inte vet att du har.

2. Nätverkssegmentering enligt Purdue-modellen eller motsvarande referensarkitektur.

3. Kontinuerlig övervakning av OT-nätverkstrafik för anomalidetektering.

4. Patchhanteringsstrategi anpassad för OT-livscykler (där patchar inte alltid kan appliceras omedelbart).

5. Incidentresponsplaner som specifikt adresserar OT-scenarier, inklusive fallback till manuell drift.

IEC 62443 är den mest relevanta standarden för industriell cybersäkerhet och fungerar som en praktisk brygga till NIS2:s krav. Bolag som redan arbetar med IEC 62443 har ett signifikant försprång.

Incidentrapportering: tidslinjen som förändrar allt

NIS2:s rapporteringskrav är väsentligt strängare än det ursprungliga NIS-direktivet:

24-timmarskravet är det mest utmanande. Det förutsätter att organisationen har:

• Detektionsförmåga dygnet runt – inte bara under kontorstid.
• Fördefinierade eskaleringsrutiner med tydliga mandat.
• Klassificeringskriterier för vad som utgör en "signifikant incident".
• Kommunikationsmallar redo att använda under press.

Från Opsios managerade SOC/NOC-tjänster vet vi att bolag som saknar 24/7-övervakning konsekvent missar den tidiga varningen. Incidenter upptäcks ofta av tredje part – leverantörer, kunder eller media – vilket adderar timmar eller dagar till rapporteringstiden.

Leverantörskedjegranskning: NIS2:s mest underskattade krav

Artikel 21(2)(d) i NIS2 kräver uttryckligen att organisationer adresserar säkerheten i sin leverantörskedja. För energisektorn är det särskilt komplext:

• Underleverantörer till SCADA-system – ofta internationella bolag med varierande säkerhetsmognad.
• Molntjänsteleverantörer som hanterar driftdata, mätdata eller prediktivt underhåll.
• Konsulter och integratörer med fjärråtkomst till OT-system.
• Telekomoperatörer som tillhandahåller kommunikationsinfrastruktur för driftövervakning.

I praktiken innebär det att energibolag behöver:

1. Kartlägga kritiska leverantörer och deras säkerhetspostur.

2. Ställa kontraktuella cybersäkerhetskrav med mätbara SLA:er.

3. Genomföra regelbundna revisioner av leverantörernas säkerhetsåtgärder.

4. Ha beredskapsplaner för leverantörsrelaterade incidenter.

Cloud FinOps och leverantörsstyrning blir en naturlig del av detta arbete, eftersom kostnads- och säkerhetsstyrning av molntjänster i praktiken hänger ihop.

Praktisk handlingsplan för svenska energibolag

Baserat på vad vi ser fungera i praktiken hos Opsios kunder i reglerade sektorer:

Fas 1: Nulägesanalys (0–3 månader)

• Genomför en gap-analys mot NIS2 Artikel 21 med fokus på både IT och OT.
• Inventera alla OT-tillgångar – inklusive legacy-system som "ingen äger".
• Identifiera kritiska leverantörer och deras tillgång till känsliga system.
• Kartlägg nuvarande incidenthanteringsförmåga mot 24-timmarskravet.

Fas 2: Arkitektur och styrning (3–9 månader)

• Implementera nätverkssegmentering mellan IT och OT.
• Etablera 24/7-övervakningsförmåga – internt eller via managerad SOC-tjänst.
• Utveckla OT-specifika incidentresponsplaner med scenariobaserade övningar.
• Förankra cybersäkerhetsstyrningen på ledningsnivå – NIS2 kräver det.

Fas 3: Mognad och kontinuerlig förbättring (9–18 månader)

• Genomför penetrationstester mot OT-miljöer (med vederbörlig försiktighet).
• Implementera leverantörskedjegranskning med regelbundna revisioner.
• Bygg intern kompetens för OT-säkerhet – marknaden har akut brist på specialister.
• Öva incidentrapportering genom tabletop-övningar med CERT-SE:s rapporteringsformat.

Vanliga frågor

Vilka svenska energibolag omfattas av NIS2?

Praktiskt taget alla relevanta aktörer i den svenska energikedjan: elproducenter, distributionsoperatörer, fjärrvärmeoperatörer, raffinaderier, gasbolag och vätgasproducenter. Storleksgränsen på 50 anställda eller 10 MEUR i omsättning gäller formellt, men den träffar de flesta aktörer. Dessutom kan myndigheter peka ut mindre bolag som väsentliga om de bedöms kritiska för försörjningstryggheten.

Hur snabbt måste energibolag rapportera incidenter under NIS2?

Tidig varning till CERT-SE ska ske inom 24 timmar från det att incidenten upptäcks. En mer detaljerad incidentanmälan krävs inom 72 timmar, och en fullständig slutrapport ska lämnas inom en månad. Det förutsätter detektionsförmåga och eskaleringsrutiner som fungerar dygnet runt.

Vilka sanktioner riskerar energibolag som inte uppfyller NIS2?

Väsentliga entiteter riskerar sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av global årsomsättning, beroende på vilket belopp som är högst. Ei kan också utfärda förelägganden och i allvarliga fall tillfälligt förbjuda ledningspersoner att utöva sina funktioner.

Omfattar NIS2 även OT- och SCADA-system?

Ja, uttryckligen. NIS2 gör ingen åtskillnad mellan IT och OT – kraven gäller alla nätverks- och informationssystem som organisationen använder för att tillhandahålla sin tjänst. SCADA-system, PLC:er och RTU:er ska ingå i riskanalyser, patchhantering och incidentresponsplaner.

Hur förhåller sig NIS2 till befintliga krav från Svenska Kraftnät?

NIS2 kompletterar och förstärker befintliga driftsäkerhetskrav. Svenska Kraftnät ställer redan krav på anslutna aktörer, men NIS2 adderar formella cybersäkerhetskrav med juridisk tyngd, sanktionsmöjligheter och krav på leverantörskedjegranskning. IEC 62443 och ISO 27001 ger ett bra fundament, men NIS2 kräver ytterligare åtgärder – särskilt kring incidentrapportering och ledningsansvar.

For hands-on delivery in India, see managed drift.