Sektorsspecifika regler för cybersäkerhet av gränsöverskridande elflöden (NCCS)

EU-kommissionens förordning NCCS syftar till hög cybersäkerhet i elsektorn och kompletterar Cybersäkerhetslagen när det gäller gränsöverskridande elflöden. Energimyndigheten identifierar och underrättar de verksamhetsutövare som omfattas.

Hanteringen av cybersäkerhetsrisker är mycket viktig för att upprätthålla en trygg elförsörjning. Det europeiska elsystemet är sammanlänkat och en cyberattack i ett medlemsland skulle kunna få påverkan också i andra medlemsländer. NCCS syftar till att säkerställa en hög nivå av cybersäkerhet i elsektorn genom ett gemensamt ramverk med regler för hur man kan förebygga, förbereda sig för och hantera samtidiga elkriser där cybersäkerhet är en grundorsak. NCCS kompletterar direktivet om nätverk och informationssystem (NIS2) i de fall gränsöverskridande elflöden berörs.

Kommissionens förordning (EU) 2024/1366

Genomförande av NCCS

NCCS trädde i kraft den 13 juni 2024 och är direkt gällande i Sverige. Genomförandet av förordningens olika delar sker i stegvis i takt med att metoder och planer utarbetas. Flera delar, så som genomförandet av riskbedömningar, ska sedan återupprepas med vissa tidsintervall.

Vilka verksamhetsutövare omfattas av NCCS?

Som behörig myndighet kommer Energimyndigheten att identifiera och underrätta de verksamhetsutövare som har stor och kritisk påverkan och som därmed omfattas av kraven i förordningen. I artikel 2.1 i NCCS framgår vilka typer av verksamhetsutövare som omfattas.

Identifiering och underrättande av verksamhetsutövare sker i två steg.

Energimyndigheten identifierar och underrättar i ett första steg kandidater till verksamhetsutövare med stor och kritisk påverkan. Dessa verksamhetsutövare kan på frivillig grund börja uppfylla skyldigheterna i förordningen fram till dess att de formella kraven börjar gälla.

ENTSO-E har, i samarbete med DSO Entity, tagit fram vägledningar (eng.) för den preliminära fasen.

Network Code on Cybersecurity (entsoe.eu)

Den slutliga identifieringen av verksamhetsutövare görs när EU:s unionsomfattande bedömning av cybersäkerhetsrisker är färdig och kriterierna för identifiering är fastställda. När den unionsomfattande riskbedömningen är klar ska Energimyndigheten inom nio månader, och senast den 13 juni 2028, underrätta de verksamhetsutövare som har stor eller kritisk påverkan och som omfattas av kraven i förordningen. Det innebär också att fler verksamhetsutövare än de som identifierats i den preliminära fasen kan komma att omfattas av förordningens krav.

Genomförande hos de identifierade verksamhetsutövarna

För de verksamhetsutövare som identifieras som verksamhetsutövare med stor och kritisk påverkan följer ett antal skyldigheter i NCCS. Det handlar bland annat om krav på hantering av cybersäkerhetsrisker, införande av cybersäkerhetskontroller, rapportering av cyberangrepp och cyberhot, övning och informationsdelning.

Energimyndighetens samordnande roll

Regeringen har utsett Energimyndigheten till den nationella behöriga myndigheten för NCCS. Det innebär att Energimyndigheten har en samordnande roll i implementeringen av förordningen i Sverige. 

I rollen som behörig myndighet ska Energimyndigheten bland annat identifiera och underrätta de aktörer med stor eller kritisk påverkan som omfattas av kraven i förordningen. Myndigheten ska även bedöma cybersäkerhetsriskerna på nationell nivå med stöd av de uppgifter som rapporteras in från verksamhetsutövarna. 

Mer information

Energimarknadsinspektionens uppgifter inom NCCS.

NCCS (ei.se)

Acer (Agency for the Cooperation of Energy Regulators) är den europeiska byrån för samarbete mellan energitillsynsmyndigheterna och övervaka genomförandet av NCCS. Du hittar också vägledning om informationsutbyte inom ramen för NCCS och vägledning om insamling av information för Acers övervakning (engelska).

Cybersecurity network code for electricity (acer.europa.eu)

ENTSO-E har tagit fram informationsfilmer om NCCS och vägledande dokument (engelska).