Ladda ned bifogat original
(PDF file)

Detta är en HTML-version av en bilaga till begäran om allmän handling 'Beslutade sanktionsavgifter kopplat till NIS-direktivet'.



2 (7)
Datum
Diarienr
2024-06-18
2024-3623, 2023-19628,
2023-24043, 2023-21532
säkerhetsåtgärder för nätverk och informationssystem inom energisektorn, 
STEMFS 2021:3, senast den 3 april 2024.
Den 4 april 2024 svarade bolaget skriftligen att bolaget har beställt ett arbete att 
dokumentera, analysera och riskklassificera sedan de registrerade sig som 
leverantör av samhällsviktig tjänst år 2023.
Tillämpliga bestämmelser för tillsynen
Energimyndigheten är tillsynsmyndighet inom energisektorn för lag (2018:1174) 
om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-lagen) 
med tillhörande förordning och föreskrifter (NIS-regleringen). 
NIS-lagen 
23 §   Leverantörer av samhällsviktiga tjänster ska utan dröjsmål anmäla sig till 
tillsynsmyndigheten. Av en anmälan ska det framgå om leverantören 
tillhandahåller en samhällsviktig tjänst i två eller flera medlemsstater inom 
Europeiska unionen. 
24 §   Den som står under tillsyn ska på begäran tillhandahålla 
tillsynsmyndigheten den information som behövs för tillsynen. 
29 §   Tillsynsmyndigheten ska ta ut en sanktionsavgift av den som underlåter att 
   1. göra en anmälan till tillsynsmyndigheten enligt 23 § eller enligt föreskrifter 
som har meddelats i anslutning till den paragrafen, 
   2. vidta säkerhetsåtgärder enligt någon av 12–16 §§ eller enligt föreskrifter 
som har meddelats i anslutning till de paragraferna, eller 
   3. rapportera incidenter enligt 18 eller 19 § eller enligt föreskrifter som har 
meddelats i anslutning till de paragraferna. 
30 §   En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 
000 kronor. 
31 §   När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den 
skada eller risk för skada som uppstått till följd av överträdelsen, om 
leverantören tidigare har begått en överträdelse och de kostnader som 
leverantören har undvikit till följd av överträdelsen. 
32 §   En sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa 
eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara 
oskäligt att ta ut avgiften.
34 §   En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av 
har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges. 
MSBFS 2024:4 
3 kap. 1 §   Med samhällsviktiga tjänster rörande el där incidenter skulle 
medföra en betydande störning vid tillhandahållandet av tjänsten avses 
4. elproduktion som är direkt, eller via produktionsnät, ansluten till 
transmissions- eller regionnät med undantag för industriellt mottryck eller annan 

3 (7)
Datum
Diarienr
2024-06-18
2024-3623, 2023-19628,
2023-24043, 2023-21532
elproduktion direkt ansluten till industri, om  
a. installerad effekt i en sammanhållen produktionsanläggning överstiger 30 
MW, eller 
b. avtalet om leverans även omfattar stödtjänster för balansering samt icke-
frekvensrelaterade stödtjänster,
STEMFS 2021:3
1 kap. 2 §   Dessa föreskrifter avser en leverantörs nätverk och 
informationssystem som leverantören använder för att tillhandahålla 
samhällsviktiga tjänster. 
För att identifiera vilka nätverk och informationssystem som leverantören 
använder för att tillhandahålla samhällsviktiga tjänster ska leverantören 
analysera sina nätverk och informationssystem. Om leverantören anlitar 
underleverantör för att stödja tillhandahållandet av de samhällsviktiga 
tjänsterna ska dessa nätverk och informationssystem omfattas av leverantörens 
analys.  
Leverantören ska dokumentera den analysmetod som används enligt andra 
stycket liksom resultatet av analysen
2 kap. 1 §   Enligt 12 § lagen (2018:1174) om informationssäkerhet för 
samhällsviktiga och digitala tjänster ska leverantörer göra en riskanalys som ska 
ligga till grund för val av säkerhetsåtgärder enligt 13 och 14 §§ samma lag. 
Riskanalysen ska omfatta de nätverk och informationssystem som identifierats
genom den analysen som utförts enligt 1 kap. 2 §. 
De risker som leverantören har identifierat i riskanalysen ska värderas utifrån
riskernas sannolikhet och konsekvens, varvid varje risk ska tilldelas ett riskvärde.
Leverantören ska även bedöma hur de identifierade riskerna kan påverka 
leveransen av den samhällsviktiga tjänsten. 
4 kap. 2 §   Enligt 12 § lagen (2018:1174) om informationssäkerhet för 
samhällsviktiga och digitala tjänster ska leverantören göra en riskanalys som ska 
ligga till grund för val av säkerhetsåtgärder. I riskanalysen ska det ingå en 
åtgärdsplan. Åtgärdsplanen ska innehålla följande information avseende varje 
säkerhetsåtgärd som ingår i planen: 
1. vilken risk säkerhetsåtgärden påverkar, 
2. vilket nätverk eller informationssystem som säkerhetsåtgärden ska 
införas inom, 
3. person eller funktion hos leverantören som ansvarar för 
säkerhetsåtgärden,  
4. planerad tidsram för införande av säkerhetsåtgärden, 
5. säkerhetsåtgärdens påverkan på riskens sannolikhet eller konsekvens 
enligt den värdering som gjorts enligt 2 kap. 1 §, samt  
6. riskvärde efter säkerhetsåtgärdens införande.

4 (7)
Datum
Diarienr
2024-06-18
2024-3623, 2023-19628,
2023-24043, 2023-21532
Motivering till beslut
Bedömning av anmälningsskyldigheten
Med stöd av allmänt tillgängliga uppgifter har Energimyndigheten haft skäl att 
anta att bolaget omfattats av NIS-regleringen sedan den trädde i kraft 2018. 
Dessa uppgifter har bolaget bekräftat per mejl till Energimyndigheten. Bolaget 
bedriver elproduktion enligt 3 kap. 1 § 4 p. i MSBFS 2024:4. Bolaget har 
inkommit den 11 oktober 2023 med en sen anmälan om att det är leverantör av 
samhällsviktig tjänst. 
Bedömning av identifiering
Bolaget beskriver i dokument att det pågår ett arbete med att dokumentera 
analysera och riskklassificera. Vidare menar de att den dokumenterade process 
som används är en av branschen framtagen modell som i första läget syftar till 
lagefterlevnad för bedriven verksamhet och att man arbetar i två steg. Ett steg är
en gapanalys av verksamhetens nulägesnivå gällande NIS-lagstiftning som ska 
uppfyllas. Det andra steget är bland annat en komplett ”Cybersäkerhetsanalys” 
som bland annat innefattar informationsinsamling av anläggningens 
dokumentation och beskaffenhet, identifiering av åtkomstvägar, riskanalys av 
insamlat material. 
Det finns ingen specificerad analysmetod angiven eller uppgift om vilka nätverk 
och informationssystem som bolaget anser sig använda för att tillhandahålla den 
samhällsviktiga tjänsten i de inskickade handlingarna. Bolaget har därmed brustit 
i sin skyldighet enligt 1 kap. 2 § STEMFS 2021:3. 
Bedömning av riskanalys
Bolaget har inte skickat in någon riskanalys och har därmed brustit i sin 
skyldighet enligt 2 kap. 1 § STEMFS 2021:3. 
Bedömning av åtgärdsplan  
Bolaget har inte skickat in någon åtgärdsplan och har således brustit i sin 
skyldighet enligt 4 kap. 2 § STEMFS 2021:3. 
Sanktionsavgiftens storlek
När storleken på sanktionsavgift ska bestämmas ska hänsyn tas till alla relevanta 
omständigheter i varje enskilt fall.1 Särskild hänsyn ska tas till den skada eller 
risk för skada som uppstått till följd av överträdelsen, om leverantören tidigare 
begått en överträdelse och de kostnader som leverantören undvikit.   
Ytterligare omständigheter som kan vägas in när sanktionsavgiftens storlek
beslutas är exempelvis hur länge överträdelsen pågått, bestämmelsens betydelse 
för tillsynsområdet och om aktören tidigare gjort sig skyldig till en överträdelse 
1 Prop. 2017/18:205 s. 71–72.

5 (7)
Datum
Diarienr
2024-06-18
2024-3623, 2023-19628,
2023-24043, 2023-21532
kan det vara aktuellt att beakta om överträdelserna är likartade samt den tid som 
gått mellan överträdelserna. Att aktören samarbetat med tillsynsmyndigheten för 
att komma till rätta med överträdelser kan vara en sådan omständighet som ska 
påverka beloppets storlek i mildrande riktning.2
Energimyndigheten har vid beräkning av sanktionsavgiften för sen anmälan 
beaktat överträdelsens längd. NIS-lagen trädde i kraft den 1 augusti 2018 och 
MSBFS 2024:4 (ursprungligen 2018:7) trädde i kraft den 1 november 2018. 
Energimyndigheten anser att en skälig tid att utreda och anmäla sig som 
leverantör av samhällsviktig tjänst löpte fram till januari 2020, förutsatt att 
leverantören omfattades sedan föreskriften trädde i kraft. 
Utöver sen anmälan så brister bolaget även i de mest centrala bestämmelserna i 
NIS-regleringen. Överträdelserna innebär en utbredd sårbarhet och risk för skada 
vilket är synnerligen allvarligt.  
Överträdelserna är dessutom förhållandevis långvariga eftersom de pågått sedan 
lagen trädde i kraft. Energimyndigheten har emellertid, när det gäller sanktions-
avgiftens storlek för överträdelserna av bestämmelserna om identifiering av 
nätverk och informationssystem, riskanalys och åtgärdsplan enbart beaktat den 
tid som gått sedan STEMFS 2021:3 trädde i kraft.  
Bolaget har endast inkommit med en beskrivning av vad som pågår i bolaget som 
svar på Energimyndighetens begäran om identifiering av nätverk och 
informationssystem, riskanalys och åtgärdsplan. Uppgifterna som 
Energimyndigheten begär in ska redan finnas på plats och ska ha funnits på plats 
sedan NIS-regleringen trädde i kraft. Att uppgifterna inte finns på plats visar på 
en nonchalans mot bestämmelserna.  
Bolagets omsättning har i de senaste tre årsbokslut varit
  
Sammantaget beslutar Energimyndigheten om en sanktion om 1 415 490 svenska 
kronor för överträdelserna i STEMFS 2021:3 och sen anmälan. 
Energimyndigheten finner inte att det finns några skäl till eftergift. 
Upplysningar
Sanktionsavgiften faktureras av Energimyndigheten när beslutet har vunnit laga 
kraft.
Hur man överklagar
Se bilaga, så här gör du för att överklaga beslutet.
2 Ibid.

6 (7)
Datum
Diarienr
2024-06-18
2024-3623, 2023-19628,
2023-24043, 2023-21532
Beslut i detta ärende har fattats av avdelningschef Anders Wallinder. 
Föredragande har varit handläggaren Jasmina Cohodarevic. Utöver har 
biträdande avdelningschef Anna Lindström, enhetscheferna Titti Norlin, Anna 
Karphammar, Karl Björklund samt handläggarna Kristin Willamo och Jessica 
Eriksson deltagit.
Anders Wallinder  
 
Jasmina Cohodarevic 
Beslutet har undertecknats digitalt och saknar därför namnunderskrifter. 

7 (7)
Datum
Diarienr
Bilaga 
2024-06-18
2024-3623, 2023-19628,
2023-24043, 2023-21532
Så här gör du för att överklaga beslutet 
Om du inte är nöjd med beslutet kan du överklaga det till Förvaltningsrätten i 
Linköping. Överklagandet ska vara skriftligt.
Senaste dag för att överklaga
Inom tre (3) veckor från den dag då du tog emot beslutet måste ditt överklagande 
ha kommit in till Statens energimyndighet (Energimyndigheten).
I ditt överklagande ska du
1
Tala om vilket beslut du överklagar genom att ange ärendets diarienummer, 
2
redogöra för vad du tycker är fel i beslutet, varför du vill att beslutet ska 
ändras och på vilket sätt du vill att beslutet ändras,
3
om du hänvisar till handlingar eller uppgifter behöver du bifoga dessa 
handlingar till ditt överklagande, 
4
uppge dina kontaktuppgifter så att förvaltningsrätten kan nå dig: namn, 
personnummer eller organisationsnummer, postadress, e-postadress och 
telefonnummer.
Om du anlitar ett ombud ska fullmakt för ombudet bifogas överklagandet. En 
sådan fullmakt ska innehålla uppgift om ombudets namn och kontaktuppgifter 
samt uppdragets omfattning. Om ombudet får sätta någon annan i sitt ställe, ska 
även detta framgå av fullmakten.
Vem tar emot överklagandet? 
Du ska skriva att du vill överklaga beslutet till Förvaltningsrätten i Linköping, 
men du ska ändå skicka överklagandet till Energimyndigheten. 
E-postadress
xxxxxxxxxxx@xxxxxxxxxxxxxxxxx.xx
Postadress
Statens energimyndighet
Box 310 
631 04 Eskilstuna 
Vad händer sedan?
Energimyndigheten prövar först om ditt överklagande har kommit in i rätt tid. 
Om det har kommit in för sent kan överklagandet avvisas. Annars överlämnar 
Energimyndigheten överklagandet och övriga handlingar i ärendet till 
Förvaltningsrätten i Linköping som prövar överklagandet. I vissa fall kan 
Energimyndigheten själv ompröva det överklagade beslutet men överklagandet 
kommer fortfarande att överlämnas till Förvaltningsrätten i Linköping.