Ladda ned bifogat original
(PDF file)

Detta är en HTML-version av en bilaga till begäran om allmän handling 'Beslutade sanktionsavgifter kopplat till NIS-direktivet'.


 
  
BESLUT 
1 (7)  
Datum 
Diarienr 
2024-02-20 2023–12842 
 
  
  
Avdelningen för energiberedskap 
Enheten för tillsyn försörjningstrygghet 
xxx@xxxxxxxxxxxxxxxxx.xx 
 
 
 
Intern informationsklass: K2 
 
 
Beslut om sanktion 
Beslut 
Statens energimyndighet (Energimyndigheten) beslutar att 
 
(Bolaget), ska betala en sanktionsavgift om 3 748 600 kronor.  
Bakgrund 
Tillsyn 2022 
Bolaget har under år 2022 omfattats av Energimyndighetens tillsyn av 
anmälningsskyldigheten enligt NIS-regleringen. Under tillsynen skickades brev 
vid två tillfällen till bolaget med anmodan om att inkomma med svar. Bolaget har 
ännu inte inkommit med svar på utskicken. Utifrån allmänt tillgängliga uppgifter 
hade Energimyndigheten skäl att anta att bolaget borde varit anmält enligt NIS-
regleringen. Energimyndigheten valde därför att ta med bolaget i den planerade 
tillsynen för år 2023.   
Tillsyn 2023 
Den 22 augusti 2023 skickade Energimyndigheten ytterligare ett brev till bolaget 
med information om NIS-regleringen och en uppmaning om att anmäla sig om 
det anser sig uppfylla kraven som leverantör av samhällsviktig tjänst inom 
energisektorn. Bolaget inkom med en anmälan den 25 september 2023. 
Den 17 oktober 2023 skickade Energimyndigheten ett brev till bolaget med 
begäran om att inkomma med bolagets identifiering av nätverk och 
informationssystem enligt 1 kap. 2 §, riskanalys enligt 2 kap 1 § samt åtgärdsplan 
enligt 4 kap. 2 § i Statens energimyndighets föreskrifter och allmänna råd om 
riskanalys och säkerhetsåtgärder för nätverk och informationssystem inom 
energisektorn, STEMFS 2021:3, senast den 7 november 2023. 
Den 10 november 2023, återkom bolaget via mejl med en begäran om förlängd 
svarstid. Energimyndigheten beviljade anstånd till den 17 november 2023. Den 
21 november 2023 inkom bolagets svar till Energimyndigheten. 
      
, 2017-10-30  
5.2
 
1000, v
M
E
Postadress: Box 310 • 631 04 Eskilstuna • Besöksadress Gredbyvägen 10 
Telefon 016-544 20 00 
xxxxxxxxxxx@xxxxxxxxxxxxxxxxx.xx 
www.energimyndigheten.se 
Org.nr 202100-5000 
 
 

 
 
  
2 (7)  
Datum 
 Diarienr 
2024-02-20  
2023–12842 
 
 
Tillämpliga bestämmelser för tillsynen 
Energimyndigheten är tillsynsmyndighet inom energisektorn för lag (2018:1174) 
om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-lagen) 
med tillhörande förordning och föreskrifter (NIS-regleringen). 
NIS-lagen  
23 §   Leverantörer av samhällsviktiga tjänster ska utan dröjsmål anmäla sig till 
tillsynsmyndigheten. Av en anmälan ska det framgå om leverantören 
tillhandahåller en samhällsviktig tjänst i två eller flera medlemsstater inom 
Europeiska unionen. 
 
24 §   Den som står under tillsyn ska på begäran tillhandahålla 
tillsynsmyndigheten den information som behövs för tillsynen. 
 
29 §   Tillsynsmyndigheten ska ta ut en sanktionsavgift av den som underlåter att 
   1. göra en anmälan till tillsynsmyndigheten enligt 23 § eller enligt föreskrifter 
som har meddelats i anslutning till den paragrafen, 
   2. vidta säkerhetsåtgärder enligt någon av 12–16 §§ eller enligt föreskrifter 
som har meddelats i anslutning till de paragraferna, eller 
   3. rapportera incidenter enligt 18 eller 19 § eller enligt föreskrifter som har 
meddelats i anslutning till de paragraferna. 
 
30 §   En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 
000 kronor. 
 
31 §   När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den 
skada eller risk för skada som uppstått till följd av överträdelsen, om 
leverantören tidigare har begått en överträdelse och de kostnader som 
leverantören har undvikit till följd av överträdelsen. 
 
32 §   En sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa 
eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara 
oskäligt att ta ut avgiften. 
 
34 §   En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av 
har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum. 
 
Ett beslut om sanktionsavgift ska delges. 
MSBFS 2021:9 
3 kap. 1 §   Med samhällsviktiga tjänster rörande el där incidenter skulle 
medföra en betydande störning vid tillhandahållandet av tjänsten avses  
4. elproduktion som är direkt, eller via produktionsnät, ansluten till 
transmissions- eller regionnät med undantag för industriellt mottryck eller annan 
elproduktion direkt ansluten till industri, om  
a. installerad effekt i en sammanhållen produktionsanläggning överstiger 30 
MW, eller  
b. avtalet om leverans även omfattar stödtjänster för balansering samt icke-
frekvensrelaterade stödtjänster, eller  

 
 
  
3 (7)  
Datum 
 Diarienr 
2024-02-20  
2023–12842 
 
 
STEMFS 2021:3 
1 kap. 2 §   Dessa föreskrifter avser en leverantörs nätverk och 
informationssystem som leverantören använder för att tillhandahålla 
samhällsviktiga tjänster. 
För att identifiera vilka nätverk och informationssystem som leverantören 
använder för att tillhandahålla samhällsviktiga tjänster ska leverantören 
analysera sina nätverk och informationssystem. Om leverantören anlitar 
underleverantör för att stödja tillhandahållandet av de samhällsviktiga 
tjänsterna ska dessa nätverk och informationssystem omfattas av leverantörens 
analys.  
Leverantören ska dokumentera den analysmetod som används enligt andra 
stycket liksom resultatet av analysen. 
2 kap. 1 §   Enligt 12 § lagen (2018:1174) om informationssäkerhet för 
samhällsviktiga och digitala tjänster ska leverantörer göra en riskanalys som ska 
ligga till grund för val av säkerhetsåtgärder enligt 13 och 14 §§ samma lag. 
Riskanalysen ska omfatta de nätverk och informationssystem som identifierats 
genom den analysen som utförts enligt 1 kap. 2 §. 
 
De risker som leverantören har identifierat i riskanalysen ska värderas utifrån 
riskernas sannolikhet och konsekvens, varvid varje risk ska tilldelas ett riskvärde. 
 
Leverantören ska även bedöma hur de identifierade riskerna kan påverka 
leveransen av den samhällsviktiga tjänsten. 
 
4 kap. 2 §   Enligt 12 § lagen (2018:1174) om informationssäkerhet för 
samhällsviktiga och digitala tjänster ska leverantören göra en riskanalys som ska 
ligga till grund för val av säkerhetsåtgärder. I riskanalysen ska det ingå en 
åtgärdsplan. Åtgärdsplanen ska innehålla följande information avseende varje 
säkerhetsåtgärd som ingår i planen:  
1.  vilken risk säkerhetsåtgärden påverkar,  
2.  vilket nätverk eller informationssystem som säkerhetsåtgärden ska 
införas inom,  
3.  person eller funktion hos leverantören som ansvarar för 
säkerhetsåtgärden,  
4.  planerad tidsram för införande av säkerhetsåtgärden,  
5.  säkerhetsåtgärdens påverkan på riskens sannolikhet eller konsekvens 
enligt den värdering som gjorts enligt 2 kap. 1 §, samt  
6.  riskvärde efter säkerhetsåtgärdens införande. 
 

 
 
  
4 (7)  
Datum 
 Diarienr 
2024-02-20  
2023–12842 
 
 
Motivering till beslut 
Bedömning av anmälningsskyldigheten 
Med stöd av allmänt tillgängliga uppgifter har Energimyndigheten haft skäl att 
anta att bolaget omfattats av NIS-regleringen sedan den trädde i kraft 2018. Detta 
eftersom bolaget bedriver elproduktion enligt 3 kap. 1 § 4 p. i MSBFS 2021:9. 
Bolaget har inkommit med en sen anmälan; först den 25 september 2023, trots 
upprepade påminnelser via brevutskick. 
Bedömning av identifiering 
Bolagets identifiering av nätverk och informationssystem samt åtgärdsplan utgör 
ett allmänt produktblad och är inte uppgifter specifikt för bolaget.  
Det finns ingen specificerad analysmetod angiven eller uppgift om vilka nätverk 
och informationssystem som bolaget anser sig använda för att tillhandahålla den 
samhällsviktiga tjänsten i de inskickade handlingarna. Bolaget har därmed brustit 
i sin skyldighet enligt 1 kap. 2 § STEMFS 2021:3. 
Bedömning av riskanalys 
Bolaget har inte skickat in någon riskanalys och har därmed brustit i sin 
skyldighet enligt 2 kap. 1 § STEMFS 2021:3.  
Bedömning av åtgärdsplan  
Bolaget har inte skickat in någon åtgärdsplan och har således brustit i sin 
skyldighet enligt 4 kap. 2 § STEMFS 2021:3. 
Sanktionsavgiftens storlek 
När storleken på sanktionsavgift ska bestämmas ska hänsyn tas till alla relevanta 
omständigheter i varje enskilt fall.1 Särskild hänsyn ska tas till den skada eller 
risk för skada som uppstått till följd av överträdelsen, om leverantören tidigare 
begått en överträdelse och de kostnader som leverantören undvikit.   
Ytterligare omständigheter som kan vägas in när sanktionsavgiftens storlek 
beslutas är exempelvis hur länge överträdelsen pågått, bestämmelsens betydelse 
för tillsynsområdet och om aktören tidigare gjort sig skyldig till en överträdelse 
kan det vara aktuellt att beakta om överträdelserna är likartade samt den tid som 
gått mellan överträdelserna. Att aktören samarbetat med tillsynsmyndigheten för 
att komma till rätta med överträdelser kan vara en sådan omständighet som ska 
påverka beloppets storlek i mildrande riktning.2 
Energimyndigheten har vid beräkning av sanktionsavgiften för sen anmälan 
beaktat överträdelsens längd. NIS-lagen trädde i kraft den 1 augusti 2018 och 
MSBFS 2021:9 (ursprungligen 2018:7) trädde i kraft den 1 november 2018. 
Energimyndigheten anser att en skälig tid att utreda och anmäla sig som 
 
1 Prop. 2017/18:205 s. 71–72. 
2 Ibid. 

 
 
  
5 (7)  
Datum 
 Diarienr 
2024-02-20  
2023–12842 
 
 
leverantör av samhällsviktig tjänst löpte fram till januari 2020, förutsatt att 
leverantören omfattades sedan föreskriften trädde i kraft. 
Utöver sen anmälan så brister bolaget även i de mest centrala bestämmelserna i 
NIS-regleringen. Överträdelserna innebär en utbredd sårbarhet och risk för skada 
vilket är synnerligen allvarligt.  
Överträdelserna är dessutom förhållandevis långvariga eftersom de pågått sedan 
lagen trädde i kraft. Energimyndigheten har emellertid, när det gäller sanktions-
avgiftens storlek för överträdelserna av bestämmelserna om identifiering av 
nätverk och informationssystem, riskanalys och åtgärdsplan enbart beaktat den 
tid som gått sedan STEMFS 2021:3 trädde i kraft.  
Bolaget har, trots förlängd svarstid, bara inkommit med 
 
 som svar på Energimyndighetens begäran 
om identifiering av nätverk och informationssystem, riskanalys och åtgärdsplan. 
Att bolaget beviljades anstånd men ändå inte ens visat att det försökt ta fram 
sådana uppgifter som redan skulle funnits på plats sedan NIS-regleringen trädde i 
kraft visar på en nonchalans mot bestämmelserna. Att bolaget dessutom 
försummat att svara på flera utskick från Energimyndigheten, begärt anstånd 
efter sista svarsdatum samt inkommit med ett sent svar ger stöd för denna 
uppfattning. Bolaget har i vart fall inte visat på en vilja att underlätta tillsynen 
eller komma till rätta med överträdelserna. 
Bolagets omsättning har i de senaste tre årsredovisningarna varit 
 
 Bolaget har undvikit kostnader genom att 
exempelvis inte ha resurssatt eller anställt kompetens för att ha ansvar för 
bolagets informationssäkerhet. Energimyndigheten anser inte att det föreligger 
några förmildrande omständigheter.  
Sammantaget beslutar energimyndigheten om en sanktion om 3 748 600 svenska 
kronor för överträdelserna i STEMFS 2021:3 och sen anmälan. 
Energimyndigheten finner inte att det finns några skäl till eftergift. 
Upplysningar 
Sanktionsavgiften faktureras av Energimyndigheten när beslutet har vunnit laga 
kraft. 
Hur man överklagar 
Se bilaga, så här gör du för att överklaga beslutet. 
 
Beslut i detta ärende har fattats av avdelningschefen Anders Wallinder. 
Föredragande har varit handläggaren Jasmina Cohodarevic. Utöver har 
enhetscheferna Titti Norlin, Karl Björklund, Anna Karphammar och Anderas 
Hornwall deltagit. Handläggarna Kristin Willamo och Jessica Eriksson har 
deltagit. 

 
 
  
6 (7)  
Datum 
 Diarienr 
2024-02-20  
2023–12842 
 
 
Anders Wallinder  
 
Jasmina Cohodarevic 
Beslutet har undertecknats digitalt och saknar därför namnunderskrifter. 
 
 

 
 
  
7 (7)  
Datum 
 Diarienr 
2024-02-20  
2023–12842 
 
 
Bilaga – Så här gör du för att överklaga beslutet  
Om du inte är nöjd med beslutet kan du överklaga det till Förvaltningsrätten i 
Linköping. Överklagandet ska vara skriftligt. 
Senaste dag för att överklaga 
Inom tre (3) veckor från den dag då du tog emot beslutet måste ditt överklagande 
ha kommit in till Statens energimyndighet (Energimyndigheten). 
I ditt överklagande ska du 
1  Tala om vilket beslut du överklagar genom att ange ärendets diarienummer, 
2  redogöra för vad du tycker är fel i beslutet, varför du vill att beslutet ska 
ändras och på vilket sätt du vill att beslutet ändras, 
3  om du hänvisar till handlingar eller uppgifter behöver du bifoga dessa 
handlingar till ditt överklagande, 
4  uppge dina kontaktuppgifter så att förvaltningsrätten kan nå dig: namn, 
personnummer eller organisationsnummer, postadress, e-postadress och 
telefonnummer. 
Om du anlitar ett ombud ska fullmakt för ombudet bifogas överklagandet. En 
sådan fullmakt ska innehålla uppgift om ombudets namn och kontaktuppgifter 
samt uppdragets omfattning. Om ombudet får sätta någon annan i sitt ställe, ska 
även detta framgå av fullmakten. 
Vem tar emot överklagandet? 
Du ska skriva att du vill överklaga beslutet till Förvaltningsrätten i Linköping, 
men du ska ändå skicka överklagandet till Energimyndigheten. 
E-postadress 
xxxxxxxxxxx@xxxxxxxxxxxxxxxxx.xx 
Postadress 
Statens energimyndighet 
Box 310 
631 04 Eskilstuna 
Vad händer sedan? 
Energimyndigheten prövar först om ditt överklagande har kommit in i rätt tid. 
Om det har kommit in för sent kan överklagandet avvisas. Annars överlämnar 
Energimyndigheten överklagandet och övriga handlingar i ärendet till 
Förvaltningsrätten i Linköping som prövar överklagandet. I vissa fall kan 
Energimyndigheten själv ompröva det överklagade beslutet men överklagandet 
kommer fortfarande att överlämnas till Förvaltningsrätten i Linköping.