Energibolag bär dubbel regelbörda. Sektorn pekas ut som samhällsviktig under NIS2-direktivet, och de AI-system ni använder i drift och personalbeslut omfattas samtidigt av AI-förordningen. Många behandlar dessa som två separata projekt. Det är onödigt dyrt – kraven överlappar, och bevisningen kan samlas en gång.
Två regelverk, ett ansvar
NIS2 (direktiv (EU) 2022/2555) ställer krav på riskhantering, incidentrapportering och styrning av cybersäkerhet för samhällsviktiga och viktiga entiteter. Energi – el, gas, fjärrvärme, olja och vätgas – tillhör de sektorer som omfattas direkt.
AI-förordningen (förordning (EU) 2024/1689) reglerar i stället hur ni utvecklar och använder AI-system. För ett energibolag som tillhandahållare (deployer, artikel 3.4) av högrisk-AI handlar det om mänsklig tillsyn, loggning, transparens och dokumentation enligt artikel 26.
Den gemensamma nämnaren är styrning och spårbarhet: båda regelverken kräver att ni kan visa vem som ansvarar, hur risker hanteras och hur incidenter fångas upp.
Var kraven överlappar
- Loggning och spårbarhet – AI-förordningens artikel 26 kräver att ni bevarar systemets loggar; NIS2 kräver loggning för att kunna upptäcka och utreda incidenter. Samma logginfrastruktur kan tjäna båda.
- Incidenthantering – AI-förordningen kräver anmälan av allvarliga incidenter från högrisk-AI; NIS2 kräver rapportering av betydande cybersäkerhetsincidenter. Rutinerna kan byggas ihop.
- Styrning och ansvar – båda kräver utpekat ansvar i ledningen och dokumenterade processer.
- Kompetens – AI-förordningens artikel 4 kräver AI-kunnighet; NIS2 kräver utbildning i cybersäkerhet. Personalplanen kan samordnas.
Datum att planera mot
- 2 februari 2025 – AI-förordningens förbud (artikel 5) och krav på AI-kunnighet (artikel 4) gäller.
- 2 augusti 2026 – AI-förordningens transparensregler (artikel 50) och tillhandahållarskyldigheter för högrisk-AI (bilaga III) tillämpas.
- NIS2 – direktivet är i kraft och genomförs i nationell rätt; kontrollera den svenska genomförandelagstiftningens tidslinje för er entitetstyp.
Ett förslag i Digital Omnibus om att skjuta upp delar av högrisk-reglerna till 2 december 2027 godkändes av Europaparlamentet den 16 juni 2026 men är inte i kraft. Planera mot 2 augusti 2026.
Sanktioner i båda regelverken
AI-förordningens artikel 99 anger upp till 35 M€ eller 7 % (förbjudna metoder), 15 M€ eller 3 % (högrisk- och transparenskrav) och 7,5 M€ eller 1 % (oriktig information). NIS2 lägger till egna sanktionsnivåer för samhällsviktiga entiteter samt personligt ansvar för ledningen. Att hantera regelverken tillsammans minskar både risk och kostnad.
En bevismängd, två regelverk
PowerQuant bygger efterlevnadsbevisning (M1/M2/M3) som dokumenterar era AI-förordningsskyldigheter och samtidigt återanvänder samma underlag för NIS2-styrning där det är möjligt. För energibolag innebär det ett spår i stället för två.
Den här sidan är allmän information och utgör inte juridisk rådgivning.