Koll på NIS2 – så påverkar nya cybersäkerhetskrav fastighetsbolagen

Den digitala utvecklingen inom fastighetsbranschen går snabbt, och med den följer även nya krav på cybersäkerhet. EU:s nya NIS2-direktiv kan nu även komma att beröra fastighetsbolag. För vissa kan det innebära omfattande förändringar i säkerhetsarbetet.

NIS2-direktivet är en uppdaterad version av det tidigare NIS-direktivet och syftar till att skapa en enhetlig och hög nivå av cybersäkerhet inom EU. Det riktar sig huvudsakligen till verksamheter inom energi, transporter, hälsovård och digital infrastruktur. Fastighetsbolag omfattas endast om de uppfyller vissa kriterier:

• De mÃ¥ste vara minst medelstora företag (minst 50 anställda eller 10 miljoner euro i omsättning/balansomslutning).
• De mÃ¥ste ha en verksamhet som faller inom direktivets ramar, exempelvis energiproduktion eller tillhandahÃ¥llande av elektroniska tjänster.

– Såsom direktivet är skrivet så klassas du som elproducent från första kilowattimmen. Vi har påpekat orimligheten i detta i vårt remissvar och hoppas att lagstiftaren tar hänsyn till detta. Fastighetsägare måste kunna agera på elmarknaden som aktiv kund med solceller, batterier och laddstolpar utan belastande regelverk, säger Carl Ståhle, Digital specialist på Sveriges Allmännytta

Riskområden för fastighetsbolag
De fastighetsbolag som riskerar att omfattas av NIS2 finns främst inom tre områden

1. Solceller och energiproduktion
   Om fastighetsbolag har solceller och säljer överskottsel till elnätet kan de klassas som elproducenter. Enligt NIS2 finns ingen undre gräns för produktionen – all elproduktion omfattas.
2. Laddstationer för elbilar
   Bolag som driver laddstationer kan omfattas beroende på affärsmodell. Om de tillhandahåller laddtjänsten direkt till kunder kan de räknas som laddningsoperatörer och därmed omfattas av direktivet.
3. Nät och digitala tjänster
   Om fastighetsbolag driver egna fibernät och tillhandahåller internet till hyresgäster kan de räknas som elektroniska kommunikationstjänster och därmed omfattas av NIS2.

Vad innebär NIS2 i praktiken?
Att omfattas av NIS2 innebär striktare krav på cybersäkerhet, riskhantering och incidentrapportering. En stor förändring är att lagstiftaren nu har möjlighet att ställa VD och ledning till ansvar, om säkerhetskraven inte uppfylls.

– NIS2 är den första lagstiftningen som faktiskt ger myndigheter möjlighet att avsätta en VD om bolaget inte efterlever säkerhetskraven. Det visar hur allvarligt cybersäkerhet numera ses, förklarar Carl Ståhle.

För de fastighetsbolag som omfattas av NIS2 betyder detta att de behöver införa omfattande rutiner för att hantera säkerhetsrisker. Detta inkluderar att ha en tydlig plan för hur säkerhetsincidenter hanteras och rapporteras, vilket kan innebära nya investeringar i IT-säkerhet och kompetensutveckling.

Vad bör fastighetsbolag göra nu?
Eftersom reglerna fortfarande förtydligas är det viktigt att fastighetsbolag börjar förbereda sig genom att:

• Kartlägga sin verksamhet: Har bolaget solceller, laddstationer eller digitala nättjänster?
• Analysera risker: Hur säkert är dagens IT-system och datahantering?
• Införa cybersäkerhetsrutiner: Precis som fysisk säkerhet bör cybersäkerhet vara en del av det dagliga arbetet.
• Följa myndigheters vägledning: PTS och andra myndigheter kommer att ge mer information om hur NIS2 ska tillämpas i Sverige.

En utmaning – men även en möjlighet
Det finns en risk att NIS2 upplevs som en börda och att bolag fokuserar på att minimera risk snarare än att innovera. Men Carl Ståhle ser även fördelar:

– NIS2 lagstiftningen kan vara en positiv drivkraft för bolagens digitalisering. Det tvingar bolagen att bli mer strukturerade i sitt säkerhetsarbete samt införa standarder. På sikt kommer det att göra dem mer effektiva och robusta.

Frågan är alltså inte om fastighetsbolagen behöver arbeta med cybersäkerhet – utan hur de ska göra det på bästa sätt. Har ni koll på vad NIS2 kan innebära för er?

Text: Thomas Hallberg
thomas.hallberg@forvaltarforum.se