Om cybersäkerhetslagen för verksamhetsutövare

• Leverans av el (elföretag).
• Drift, underhåll och utveckling av ett eldistributionssystem (systemansvariga för distributionssystem).
• Drift, underhåll och utveckling av ett elöverföringssystem (systemansvariga för överföringssystemet).
• Elproduktion (producenter) en fysisk eller juridisk person som framställer el.
  Med producent avses verksamhetsutövare vars huvudsakliga verksamhet är elproduktion. Det är alltså verksamheter vars primära verksamhet är elproduktion som omfattas av cybersäkerhetslagen. Dessa verksamhetsutövare omfattas utan krav på installerad effekt. Övriga verksamhetsutövare som har en elproduktion i mindre omfattning (en installerad effekt under 10 MW) och som i första hand används för eget bruk, exempelvis verksamhetsutövare som har solceller, omfattas inte.
• Nominerade elmarknadsoperatörers tjänster (nominerade elmarknadsoperatörer).
• Marknadsaktörer som tillhandahåller aggregering, efterfrågeflexibilitet eller energilagringstjänster.
• Laddningsoperatörer.
  Laddningsoperatörer är aktörer som har ansvar för förvaltning och drift av en laddningspunkt och som tillhandahåller en laddningstjänst till slutanvändare, även när detta utförs på uppdrag av en leverantör av mobiltjänster och i dess namn. Det som avses är laddningsoperatörer som tillhandahåller publika laddningspunkter inklusive betalningssystem. Regleringen omfattar inte verksamheter som en del i sin personal- eller kundservice tillhandahåller enstaka laddningspunkter.

• Överföring av olja (operatörer av oljeledningar).
• Oljeproduktion (operatörer av anläggningar för oljeproduktion).
• Raffinering och bearbetning av olja (operatörer av raffinaderier och bearbetningsanläggningar för olja).
• Lagring av olja (operatörer av anläggningar för lagring av olja).
• Centrala lagringsenheter (förvaltning av oljelager, inklusive beredskapslager och särskilda oljelager).

Det som avses är storskaliga fjärrvärmesystem som förser flera kunder med värme eller kyla.

Energimyndigheten bedömer inte att enbart produktion av spillvärme utgör distribution av fjärrvärme. Om en värmeproduktionskälla hos en tredje part i form av rest- och spillvärme står för en betydande del av ett fjärrvärmenäts värmeproduktion, behöver fjärrvärmeaktören säkerställa denna leverans och se den som en del av verksamheten (och omfattas därmed av lagstiftningen).  

• Produktion av vätgas (operatörer av produktion av vätgas).
• Lagring av vätgas (operatörer av lagring av vätgas).
• Överföring av vätgas (operatörer av överföring av vätgas).

• Gasleverans eller gashandel (gashandelsföretag eller gashandlare).
• Distribution av gas (systemansvariga för distributionssystemet).
• Överföring av gas (systemansvariga för överföringssystemet).
• Lagring av gas (systemansvariga för lagringssystemet).
• Drift av ett system för flytande naturgas (LNG) (systemansvariga för en LNG‐anläggning)
• Produktion av naturgas (naturgasföretag).
• Inköp av naturgas (naturgasföretag).
• Raffinering och bearbetning av naturgas (operatörer av raffinaderier och bearbetningsanläggningar för naturgas).

Ni som verksamhetsutövare ska själva bedöma om ni omfattas av cybersäkerhetslagen och i så fall göra en anmälan. Anmälan öppnade 2 februari 2026 på Myndigheten för civilt försvars e-tjänsteportal och skulle skickas in inom 14 dagar - alltså senast 16 februari. Om anmälan inte kom in i tid kan tillsynsmyndigheterna komma att vidta åtgärder.

Om ni var anmälda enligt den tidigare NIS-lagen (och även omfattas av nya cybersäkerhetslagen), behöver ni anmäla er på nytt.

Att anmäla en verksamhet enligt NIS2 (mcf.se)

Ni ska vidta lämpliga och proportionella säkerhetsåtgärder. Säkerhetsåtgärderna ska minst avse 

1. strategier för riskanalys och för nätverks- och informationssystemens säkerhet 
2. incidenthantering 
3. kontinuitetshantering och krishantering 
4. säkerhet i leveranskedjan
5. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem
6. strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna
7. grundläggande praxis för cyberhygien och utbildning i cybersäkerhet
8. strategier och förfaranden för användning av kryptografi samt, vid behov, kryptering 
9. personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning 
10. och vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem.

Ledningen ska utbildas inom säkerhetsåtgärder. 

Vid en betydande incident ska verksamhetsutövaren rapportera till Myndigheten för civilt försvar:

• en varning inom 24 timmar
• en incidentanmälan inom 72 timmar
• en slutrapport inom en månad
• en lägesrapport inom en månad om incidenten är pågående. Därefter en slutrapport när incidenten hanterats.

Incidentrapportering enligt cybersäkerhetslagen (mcf.se)