Vanliga frågor om broschyren beredskap för företag

Som sektorsansvarigmyndighet ska Energimyndigheten leda, samordna och stärka energisektorns beredskap. Det spänner brett och syftar till att säkerställa att energiföretagen kan upprätthålla sina funktioner även under kraftigt störda lägen som i värsta fall kan vara i krig.

Vi är navet mellan staten, energibranschen, nätägare, kommuner och regioner samt andra myndigheter. Vi samlar in, strukturerar och delar information, skapar kontaktvägar och leder sektorns arbete i såväl fredstid som vid höjd beredskap.

Vi tar fram vägledningar, rekommendationer, övningspaket och styrande inriktningar inom bland annat områden som:
• energiplanering och robusthetsåtgärder
• prioritering av leveranser vid el- och drivmedelsbrist
• kontinuitetsplanering och krigsplacering
• cybersäkert och riskhantering. 

Det ger energibranschen en bra grund för sitt beredskapsarbete.

Nej, broschyren i sig innebär inga nya lag- eller regelkrav. Den sammanfattar bara:

• redan gällande ansvar
• befintlig lagstiftning
• politikens inriktning för civil beredskap

Däremot gör den förväntningar på företag som bedriver samhällsviktig verksamhet tydligare, särskilt vid krigsfara och krig.

Ja. Energimyndigheten har tagit fram övningspaket för olika energislag. Syftet är att stärka företags förmåga och motståndskraft i händelse av kris eller krig.

Övningspaket för energisektorn

Myndigheten för civilt försvar har tagit fram övningstödet ”Öva enkelt!”. Det gör det möjligt för enskilda aktörer att själva öva med enkla förberedelser, begränsade resurser och utifrån egna behov och förutsättningar utvecklas inom ett antal förmågor.

Öva enkelt! (mcf.se)

Energisektorn är ett riskområde där cyberattacker kan få allvarliga konsekvenser. Därför behöver både beredskapen och den övergripande säkerhetsnivån höjas för att förebygga brister och sabotage.

Det bästa sättet att motverka angrepp är att ha ett kontinuerligt säkerhetsarbete för att förebygga och hindra intrång i IT- och OT-miljön. Det ökar också skyddet mot skadan som ett angrepp kan åstadkomma.

Som aktör inom energisektorn förväntas ni ha ordning på:

• systematiskt riskarbete med riskanalyser och säkerhetspolicys
• rutiner för incidenthantering, både förebyggande och hanterande
• kontinuitetsplanering och krishantering
• säkerhet kopplat till leverantörer, upphandling, utveckling, underhåll och sårbarhetshantering
• mätning och kontroll av hur effektiva säkerhetsåtgärderna är
• rutiner för rapportering av hot och sårbarheter även om det inte ledde till skada.

Informations- och cybersäkerhet

Ja. EU antog 2022 ett direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå inom unionen, det så kallade NIS2-direktivet. NIS2 har implementerats i svensk lagstiftning genom cybersäkerhetslagen och cybersäkerhetsförordningen.

Om cybersäkerhetslagen för verksamhetsutövare

Ja, i säkerhetsskyddslagen (2018:585).

Genom en säkerhetsskyddsanalys ska ni som bedriver säkerhetskänslig verksamhet identifiera behovet av fysiska säkerhetsskyddsåtgärder. Ni ska även dokumentera åtgärderna.

Fysisk säkerhet

CER-direktivet förväntas träda i kraft under 2026 och fokuserar på motståndskraft hos kritiska verksamhetsutövare och omfattar även fysisk säkerhet och personalsäkerhet.

CER står för Critical Entities Resilience och kompletterar cybersäkerhetslagen. CER handlar om motståndskraft såsom fysisk säkerhet och personalsäkerhet. Det bygger på samma principer som NIS-regleringen:

• systematiskt riskanalysarbete
• åtgärdsplanering
• incidentrapportering

Utredningen har föreslagit en ny lag om motståndskraft hos kritiska verksamhetsutövare med tillhörande förordning och föreskriftsbemyndigande för att implementera CER-direktivet.

Cybersäkerhetslagen och CER – vanliga frågor och svar

Myndigheten för civilt försvar har tagit fram stöd för att utveckla krigsorganisation.

Krigsorganisation (mcf.se)

Energimyndigheten har tagit fram en vägledning för krigsplacering av personal inom energisektorn. 

Krigsplacering av personal