När den nya cybersäkerhetslagen trädde i kraft i januari 2026 skärptes kraven på informations- och cybersäkerhet till att gälla fler verksamheter än tidigare. Lagen bygger på EU-direktiv (NIS2-direktivet) som ska höja cybersäkerhetsnivån för samhällskritisk infrastruktur.
Lagen gäller både offentliga och privata aktörer inom 18 samhällsviktiga sektorer. Fastighetssektorn är inte direkt utpekad. Men i branschen har det funnits en hel del frågetecken om fastighetsägare med solceller och/eller laddningspunkter ska anses vara elproducenter och på så vis omfattas av den nya cybersäkerhetslagen.
[ Annons ]
I veckan presenterade Myndigheten för civilt försvar, MCF, en vägledning med gränsvärden. Det är en interimsversion i väntan på den vägledning med förtydliganden som väntas inom kort.
För de verksamheter som omfattas av den nya lagen kan det innebära ett tämligen omfattande arbete med riskanalyser, incidenthantering, säkerhet kopplad till leverantörskedjan samt krav på dokumenterade rutiner, rapportering och tillsyn.
Kraven gäller om företaget uppfyller ett eller flera av nedanstående krav:
[ Annons ]
- Fler än 50 anställda
- En balansomslutning överstigande 10 miljoner Euro/år
- En omsättning som överstiger 10 miljoner euro/år
För fastighetsbranschens del har det varit oklart om en fastighetsägare som uppfyller storlekskraven ska anses vara en energiproducent i de fall man har solceller eller laddningspunkter. Något som Fastighetsägarna framförde i sitt remissyttrande och i kontakter med Energimyndigheten som är tillsynsmyndighet för sektorn energi.
De verksamheteter som då skulle omfattas är elproduktion med en installerad effekt, exempelvis solceller, över 10 MW och laddningsoperatörer med publika laddningspunkter med betalningssystem, men inte enstaka laddare.
Här finns det en hel del frågor om gränsdragning.
Om man tar en av de största aktörerna Vasakronan som exempel så framgår följande siffror av hållbarhetsredovisningen för 2024
- Totalt 9 496 MWh elenergi från solcellsanläggningarna.
- Sammanlagd installerad effekt 12 MW
- Största enskilda anläggningen 4,4 MW installerad effekt
- Intäkter från försäljning av egenproducerad förnybar energi från solceller uppgick till 1,1 miljoner kronor
Skulle man alltså räkna på sammanlagd egen elproduktion borde bolaget alltså omfattas av cybersäkerhetslagen.
Lagstiftningen ska träffa de vars huvudsakliga verksamhet är elproduktion.
Energimyndigheten, där ger Titti Norlin, chef för tillsyn cybersäkerhet, ger dock ett besked som förmodligen får många i branschen att dra en lättnadens suck.
– Energimyndighetens bedömning är att lagstiftningen ska träffa de vars huvudsakliga verksamhet är elproduktion, inte varje enskild verksamhetsutövare som skulle kunna räknas som elproducent med anledning av att de exempelvis har solceller på sitt tak, säger Titti Norlin i ett mejlsvar.
Hon förtydligar att om man huvudsakligen använder den producerade elen inom den egna verksamheten och endast säljer en liten del är inte syftet med produktionen att verka på marknaden som elproducent.
– Dock kan verksamhetsutövare som producerar el, trots att det inte är den huvudsakliga verksamheten, bedömas vara elproducenter om de enbart tillhandahåller el till elnätet och kommer över ett visst tröskelvärde, det vill säga om de har en total installerad effekt över 10 MW.
Med det borde alla frågetecken ha rätats ut. Om man återigen tar Vasakronan som exempel så drog bolaget 2024 in 9,4 miljarder i hyresintäkt. Intäkterna från solel är i sammanhanget närmast försumbar. Knappast huvudsaklig verksamhet med andra ord. Merparten av elproduktionen används också i den egna verksamheten.
Men i fortsatt kommunikation med myndigheten kommer dock en gardering.
– Energimyndigheten kan inte lämna några förhandsbesked och det är upp till varje företag att avgöra om man omfattas av kraven, säger Titti Norlin.
Hon konstaterar att man nu får många frågor från verksamhetsutövare som funderar på om de omfattas av cybersäkerhetslagen. Hon hänvisar till att förtydliganden kommer att finnas i den vägledning som Myndigheten för civilt försvar kommer att ge ut inom kort. Den kommer att finnas här: Att anmäla en verksamhet enligt cybersäkerhetslagen samt om cybersäkerhetslagen på Energimyndighetens egen webb.
