Den kommande svenska cybersäkerhetslagen, som implementerar EU:s NIS 2-direktiv, innebär väsentligt större krav på vindkraftsägare och -operatörer i Sverige än vad som gällde under tidigare regelverk. Högre sanktionsnivåer, nya krav på leverantörskedjor och skärpt tillsyn gör att många i branschen nu behöver agera snabbt.
Drift och underhåll handlar inte bara om fysisk översyn och reparationer. Även exempelvis digitala och legala delar av att hålla igång ett vindkraftverk ingår. En viktig programpunkt under Drift- och underhållsdagarna i maj kommer därför att vara den kommande svenska implementeringen av den europeiska så kallade NIS 2-lagstiftningen.
NIS 2-direktivet – där NIS står för ”Network and Information Systems” – ersätter det tidigare NIS 1-direktivet. De nya reglerna skulle egentligen ha varit införda i nationell lagstiftning redan i höstas, i Sverige i form av den planerade cybersäkerhetslagen. Den svenska lagen är dock försenad, och väntas nu träda i kraft först någon gång under 2025.
Ändå är det redan nu hög tid för aktörer inom samhällsviktig infrastruktur att förbereda sig på lagen. Inte minst gäller det vindparksägare.
– Det har aldrig varit viktigare att tänka i de här termerna. Därför skärper också EU regleringarna just kring cybersäkerhet, vilket kommer att påverka vindparksägare i väsentlig mån, säger Moa Svantesson, jurist och expert kring NIS 2 på advokatbyrån MAQS.
Händelserna i omvärlden talar sitt tydliga språk. Ryska vapenhot, den vacklande amerikanska demokratin, utveckling av alltmer avancerade cyber- och AI-verktyg – allt pekar sammantaget på att samhället behöver försvara sig mot oförutsedda angrepp. Denna beredskap saknas dock på många håll.
– Vi märker att det finns många aktörer som inte har vetat om att de omfattas av NIS 1 när de får frågor från Energimyndigheten. Nu kommer NIS 2 med ännu mer omfattande krav, säger Moa Svantesson.
Förutom högre krav på teknisk säkerhet, introducerar NIS 2 ett särskilt ansvar för säkerheten i leverantörskedjan – något som ofta missas.
– Man har ett eget ansvar under lagen att säkerställa att ens direkta leverantörer kan säkerställa adekvata nivåer på cybersäkerhet i sina leveranser och att man har inkluderat krav på god cyberhygien i sina leverantörsavtal.
En annan nyckelfaktor är att det yttersta ansvaret nu ligger på ledningsnivå. Om inte företagsledningen har sett till att NIS 2-direktivet efterlevs internt kan berörda parter drabbas av ledningsförbud.
Ytterligare en stor, konkret förändring är påföljdssystemet. Sanktionsavgifterna höjs dramatiskt från NIS 1 till NIS 2. Per Olofsson, ordförande i Svensk Vindkraft och IT-expert, kommer att tillsammans med Moa Svantesson att leda en fördjupande workshop om NIS 2 under Drift- och underhållsdagarna. Han specificerar hur stora summor det kan komma att handla om.
– Sanktionsavgiften är upp till 10 miljoner euro, eller två procent av årsomsättningen globalt, säger Per Olofsson.
Att många vindkraftsanläggningar saknar intern IT-personal eller dedikerade säkerhetsfunktioner gör implementeringen av NIS 2 särskilt utmanande. För mindre aktörer räcker det inte med ett serviceavtal.
– En vindpark är ju en produktionsanläggning, inte en jättestor organisation. Tyvärr finns det utrymme för egna tolkningar, där ansvariga personer inte har förstått eller missuppfattat lagstiftningen, påpekar Per Olofsson.
Gränsen för vilka vindparker som omfattas är i nuläget 30 MW installerad effekt, men det räcker att flera parker delar anslutningspunkt för att tillsammans passera gränsen.
– Om du har en anläggning på 25 MW och din granne ytterligare en på 25 MW, så har ni 50 MW tillsammans i samma anslutningspunkt. Då omfattas ni båda av NIS-lagen.
Dessutom omfattas anläggningar som levererar stödtjänster för nätbalansering, även om deras effekt ligger under tröskelvärdet.
Det finns många falluckor för den som omfattas av regelverket. Exempelvis räcker det inte att bara skicka in all säkerhetsdokumentation till tillsynsmyndigheten Energimyndigheten, utan dessa måste vara väl underbyggda på ett sådant sätt så att de motsvarar lagstiftningens krav på bland annat systematik.
För att få kontroll på kraven kan man därför med stor fördel söka extern hjälp. Dessutom arbetar Svensk Vindkraft med att ta fram en branschgemensam checklista som stöd.
– Vi kommer att presentera en checklista på aktiviteter som vi på Svensk Vindkraft tillsammans med MAQS bedömer är rimliga att ha koll på. Vi ser det som viktigt att vi försöker samordna oss som bransch, säger Per Olofsson.
Syftet är att minska trösklarna och risken för att varje aktör gör sina egna tolkningar – eller inte agerar alls.
Trots alla krav bör man samtidigt som vindparksägare inte bara se NIS 2 som en börda. Laginitiativet innebär också en möjlighet att bygga en mer motståndskraftig och robust verksamhet.
– Du säkrar produktion av kilowattimmar trots de yttre hot som finns där ute. Det ger dig bra förutsättningar att bygga en resilient anläggning och att kunna agera på ett bra sätt i händelse av en kris, konstaterar Per Olofsson.
Moa Svantesson lägger till att det viktigaste är att man påbörjar cybersäkerhetsarbetet nu.
– Man har en bra grund om man har arbetat utefter NIS 1 sedan tidigare, för att sedan kunna addera de nya kraven under NIS 2 och hålla sig uppdaterad när det gäller tillkommande information på området, säger hon.
Det övergripande ansvaret för hela NIS 2-implementeringen i Sverige har MSB, Myndigheten för samhällsskydd och beredskap. När det gäller de aktörer inom energisystemet som berörs av den kommande lagstiftningen är det Energimyndigheten som är tillsynsmyndighet.
Titti Norlin är enhetschef för tillsyn försörjningstrygghet på avdelningen för energiberedskap vid Energimyndigheten. Hon upprepar de andra intervjupersonernas rekommendation att man som aktör inom vindkraft till att börja med ser till att leva upp till den redan gällande NIS-lagstiftningen.
Även de nya aktörerna som kommer att beröras av NIS 2 kan utgå från NIS 1 när de ser över sin cybersäkerhet.
– Då har man kommit en bra bit på väg. Sedan finns det en hel del vägledning och metodstöd framtaget och tillgängligt på tillsynsmyndigheternas och MSB:s webbplatser, säger Titti Norlin.
Hos Energimyndigheten, liksom andra tillsynsmyndigheter med uppdrag relaterade till den kommande cybersäkerhetslagen, pågår just nu ett intensivt arbete med förberedelser inför NIS 2. När det formella uppdraget väl startar kommer myndigheterna att övervaka och säkerställa efterlevnaden av regelverket och myndighetsbeslut inom respektive område.
– En tillsynsmyndighet ska ge vägledning, får besluta om förelägganden och ska besluta om eventuella sanktionsavgifter, berättar Titti Norlin.
Utifrån detta ansvarar sedan myndigheterna för att ta fram sektorsspecifika föreskrifter avseende riskanalyser och säkerhetsåtgärder, liksom allmänna råd och konsekvensanalyser.
– Till detta så ska vi även se till att rätt aktörer har anmält sig, alltså utföra så kallad anmälningstillsyn.
Titti Norlin konstaterar att vindkraftsbranschen ligger efter något i sin mognad och det systematiska arbetet med NIS.
– Därför planerar vi att genomföra tre kostnadsfria branschforum för vindkraftsbranschen under maj månad i Stockholm, Göteborg respektive Umeå.
