Vanliga frågor om broschyren beredskap för företag

Här har vi samlat svar på vanliga frågor om broschyren Beredskap för företag: Om krisen eller kriget kommer. Informationen riktar sig särskilt till företag inom energisektorn men kan även hjälpa företag i andra branscher.  

Som sektorsansvarig beredskapsmyndighet för energiförsörjning samordnar Energimyndigheten beredskapsarbetet inom sektorn. Vi stödjer verksamhetsutövare med vägledning och inriktning. Men företagen har fortfarande ansvar för drift, leveranser och kontinuitetsplanering. Den här FAQ:n är ett komplement till broschyren och ett stöd för att underlätta beredskapsarbetet.  

+

Vad innebär det att Energimyndigheten är sektorsansvarig myndighet?

Som sektorsansvarigmyndighet ska Energimyndigheten leda, samordna och stärka energisektorns beredskap. Det spänner brett och syftar till att säkerställa att energiföretagen kan upprätthålla sina funktioner även under kraftigt störda lägen som i värsta fall kan vara i krig.

Vi är navet mellan staten, energibranschen, nätägare, kommuner och regioner samt andra myndigheter. Vi samlar in, strukturerar och delar information, skapar kontaktvägar och leder sektorns arbete i såväl fredstid som vid höjd beredskap.

Vi tar fram vägledningar, rekommendationer, övningspaket och styrande inriktningar inom bland annat områden som:
• energiplanering och robusthetsåtgärder
• prioritering av leveranser vid el- och drivmedelsbrist
• kontinuitetsplanering och krigsplacering
• cybersäkert och riskhantering. 

Det ger energibranschen en bra grund för sitt beredskapsarbete.

+

Innebär broschyren att det finns nya krav eller regler för energiföretag?

Nej, broschyren i sig innebär inga nya lag- eller regelkrav. Den sammanfattar bara:

  • redan gällande ansvar
  • befintlig lagstiftning
  • politikens inriktning för civil beredskap

Däremot gör den förväntningar på företag som bedriver samhällsviktig verksamhet tydligare, särskilt vid krigsfara och krig.

Utbildning och övning

+

Finns det utbildnings- och övningsmaterial som energiföretag kan använda för att höja sin förmåga?

Ja. Energimyndigheten har tagit fram övningspaket för olika energislag. Syftet är att stärka företags förmåga och motståndskraft i händelse av kris eller krig.

Övningspaket för energisektorn

Myndigheten för civilt försvar har tagit fram övningstödet ”Öva enkelt!”. Det gör det möjligt för enskilda aktörer att själva öva med enkla förberedelser, begränsade resurser och utifrån egna behov och förutsättningar utvecklas inom ett antal förmågor.

Öva enkelt! (mcf.se)

Cybersäkerhet

+

Hur ska energiföretag höja förmågan att motverka och hantera cyberattacker?

Energisektorn är ett riskområde där cyberattacker kan få allvarliga konsekvenser. Därför behöver både beredskapen och den övergripande säkerhetsnivån höjas för att förebygga brister och sabotage.

Det bästa sättet att motverka angrepp är att ha ett kontinuerligt säkerhetsarbete för att förebygga och hindra intrång i IT- och OT-miljön. Det ökar också skyddet mot skadan som ett angrepp kan åstadkomma.

Som aktör inom energisektorn förväntas ni ha ordning på:

  • systematiskt riskarbete med riskanalyser och säkerhetspolicys
  • rutiner för incidenthantering, både förebyggande och hanterande
  • kontinuitetsplanering och krishantering
  • säkerhet kopplat till leverantörer, upphandling, utveckling, underhåll och sårbarhetshantering
  • mätning och kontroll av hur effektiva säkerhetsåtgärderna är
  • rutiner för rapportering av hot och sårbarheter även om det inte ledde till skada.

Informations- och cybersäkerhet

+

Regleras cybersäkerhet i lag för energiföretag?

Ja. EU antog 2022 ett direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå inom unionen, det så kallade NIS2-direktivet. NIS2 har implementerats i svensk lagstiftning genom cybersäkerhetslagen och cybersäkerhetsförordningen.

Om cybersäkerhetslagen för verksamhetsutövare

Fysisk säkerhet

+

Regleras fysisk säkerhet för energiföretag i lag?

Ja, i säkerhetsskyddslagen (2018:585).

Genom en säkerhetsskyddsanalys ska ni som bedriver säkerhetskänslig verksamhet identifiera behovet av fysiska säkerhetsskyddsåtgärder. Ni ska även dokumentera åtgärderna.

Fysisk säkerhet

CER-direktivet förväntas träda i kraft under 2026 och fokuserar på motståndskraft hos kritiska verksamhetsutövare och omfattar även fysisk säkerhet och personalsäkerhet.

CER står för Critical Entities Resilience och kompletterar cybersäkerhetslagen. CER handlar om motståndskraft såsom fysisk säkerhet och personalsäkerhet. Det bygger på samma principer som NIS-regleringen:

  • systematiskt riskanalysarbete
  • åtgärdsplanering
  • incidentrapportering

Utredningen har föreslagit en ny lag om motståndskraft hos kritiska verksamhetsutövare med tillhörande förordning och föreskriftsbemyndigande för att implementera CER-direktivet.

Cybersäkerhetslagen och CER – vanliga frågor och svar

Krigsorganisation

+

Finns det stöd för att utveckla krigsorganisationer?

Myndigheten för civilt försvar har tagit fram stöd för att utveckla krigsorganisation.

Krigsorganisation (mcf.se)

Energimyndigheten har tagit fram en vägledning för krigsplacering av personal inom energisektorn. 

Krigsplacering av personal