Sektor

NIS2 Bilaga I

AI Act för energisektorn: Krav på svenska kraftbolag 2026

NIS2-bilaga: I
Rekommenderad Sprint: Enterprise
Högrisk-andel: 30 procent
Deadline Art. 26: 2 aug 2026

Översikt

Vad AI-förordningen innebär för sektorn

Regelverket träffar energibolag på två sätt. Dels som safety-kritisk infrastruktur där AI i styrning av elnät, gasnät eller fjärrvärmenät klassificeras som högrisk. Dels via bredare deployer-skyldigheter när AI används i kundservice, marknadshandel eller HR.

Kombinationen med befintliga NIS2-krav (riskhantering, incidentrapportering till Energimyndigheten och CERT-SE) gör att de flesta svenska kraftbolag redan har en compliance-funktion att bygga vidare på.

Klassificering

Bilaga III-punkter som gäller sektorn

Punkt	Tillämpning i energi
III.2	Safety-komponent i elnätsstyrning, gasnät, fjärrvärme, bränsledistribution
III.4	HR-system vid rekrytering och performance management i stora elbolag
III.5a	AI i tjänsteåtkomst om energibolaget administrerar offentliga elstöd

AI-system

Typiska AI-system i svenska organisationer

Användningsområde	Typiska leverantörer	Risknivå
Smart grid-optimering	GE Grid Solutions AI, Siemens Energy AI, Schneider Electric EcoStruxure	Hög
Prediktivt underhåll av turbiner och transformatorer	Uptake, C3.ai, Aveva	Hög vid safety-funktion
Lastbalansering och dispatch	Palantir Foundry, Tibco	Hög
Energihandelsalgoritmer	Interna modeller, Refinitiv, ICAP	Begränsad till hög
Smart metering-analys	Utilihive, Itron, Landis+Gyr AI	Begränsad
Väderprognoser för produktionsplanering	Meteomatics, Tomorrow.io	Minimal
Kundsegmentering och churn-prediktion	Salesforce Einstein, CRM-interna	Minimal till begränsad

Tillsyn

Myndigheter som har tillsyn

Statens energimyndighet: sektorsmyndighet för NIS2
Svenska kraftnät: systemoperatör med tekniska krav
Energimarknadsinspektionen: marknadsrelaterad AI i elhandel
IMY: primär marknadskontroll för AI Act
MCF och CERT-SE: cybersäkerhetsincidenter

Regelverk

NIS2-överlapp och Cybersäkerhetslagen

Energisektorn är NIS2 Bilaga I. Befintlig ISMS och riskregister uppfyller stora delar av AI Act Art. 15 för högrisksystem. Incidentrapportering till CERT-SE inom 24 timmar kvarstår som separat skyldighet från AI Act Art. 73. Leverantörsbedömning enligt NIS2 Art. 21(2)(d) utökas med Art. 13-dokumentation från AI-leverantörer. Styrelsens personliga ansvar enligt 6 kap. Cybersäkerhetslagen gäller parallellt med AI Act:s governance-krav.

Risk

Unika risker för AI i sektorn

Driftsäkerhet vid AI-fel som kan orsaka regional blackout eller nätinstabilitet
Manipulation av smart meter-data som påverkar billing eller lastprognoser
Bias i lastprioritering som gynnar eller missgynnar vissa kundkategorier
Cybersäkerhet på AI-modeller som måste vara testade mot adversariella indata
Dataintegritet över SCADA och OT-nät där AI introducerar nya angreppsytor

Så hjälper CyberKlar

Plattformen för energi

Plattformen hanterar NIS2 och AI Act i samma stomme. Konkret för energibolag: AI-systemregister med kategorier anpassade för OT, SCADA och IT. Klassificeringswizard som skiljer på safety-kritiska OT-system (III.2) och administrativ AI. Incidentprocess som routar rapporter till rätt myndighet (CERT-SE, IMY, Svenska kraftnät). Leverantörsbedömning som kombinerar NIS2 Art. 21(2)(d) med AI Act Art. 13-krav.

Boka Enterprise Sprint Se demo

Vanliga frågor

Frågor vi oftast får från energi

Vilka AI-system i mitt energibolag är högrisk?

Primärt system i operativ styrning av nät eller produktion där fel kan påverka säkerhet eller tillgänglighet. AI i dispatch, lastbalansering, prediktivt underhåll av safety-kritisk utrustning, och styrning av bränsledistribution klassas som hög enligt Bilaga III.2. Administrativ AI är oftast begränsad eller minimal.

Hur rapporterar vi en AI-incident i smart grid?

Parallella rapporter kan krävas. Till CERT-SE enligt Cybersäkerhetslagen inom 24 timmar (tidig varning) och 72 timmar (incidentnotifikation). Till IMY enligt AI Act Art. 73 inom 15 dagar, eller inom 48 timmar vid dödsfall eller allvarlig skada. Om Svenska kraftnät påverkas aktiveras driftsrapporteringen enligt deras systemregler.

Måste vi göra FRIA för smart grid-AI?

FRIA enligt Art. 27 är obligatorisk främst för offentliga deployers och vissa privata deployers. Kommunala energibolag som tillhandahåller el som offentlig tjänst kan omfattas. Privata elproducenter är oftast undantagna men kan frivilligt genomföra dokumentation på samma nivå för riskhantering.

Vad händer om våra AI-leverantörer inte kan visa Art. 13-dokumentation?

Deployer har skyldighet enligt Art. 26 att säkerställa att providern uppfyller Art. 8 till 15. Om leverantören inte kan visa dokumentation bör ni först begära den skriftligt. Om inget levereras inom rimlig tid blir ni tvungna att antingen byta leverantör eller själva ikläda er provider-status enligt Art. 25.

Gäller AI Act även för egenutvecklade energimodeller?

Ja. Om ni tränar egna prognosmodeller eller optimeringsalgoritmer är ni provider av dessa. Provider-skyldigheterna enligt Art. 8 till 15 gäller inklusive teknisk dokumentation, riskhantering och loggning. Samtidigt är ni deployer av andras system. Dubbelroll är vanlig i stora svenska kraftbolag.

Hur ofta ska vi klassificera om våra AI-system?

Årligen som huvudregel. Omedelbart om ett system får ny funktionalitet, används för ett nytt syfte, eller flyttas till en ny del av verksamheten. Smart grid-AI som kopplas till en ny typ av produktionstillgång behöver ny klassificering innan produktion.

Relaterat

Fortsätt med nästa steg

AI Act

Jämförelser och sektorer

Alla 18 sektor-sidor

Läser in

AI Act för energisektorn: Krav på svenska kraftbolag 2026

NIS2-bilaga: I
Rekommenderad Sprint: Enterprise
Högrisk-andel: 30 procent
Deadline Art. 26: 2 aug 2026

Vad AI-förordningen innebär för sektorn

Punkt

Tillämpning i energi

III.2

Safety-komponent i elnätsstyrning, gasnät, fjärrvärme, bränsledistribution

III.4

HR-system vid rekrytering och performance management i stora elbolag

III.5a

AI i tjänsteåtkomst om energibolaget administrerar offentliga elstöd

Typiska AI-system i svenska organisationer

Användningsområde	Typiska leverantörer	Risknivå
Smart grid-optimering	GE Grid Solutions AI, Siemens Energy AI, Schneider Electric EcoStruxure	Hög
Prediktivt underhåll av turbiner och transformatorer	Uptake, C3.ai, Aveva	Hög vid safety-funktion
Lastbalansering och dispatch	Palantir Foundry, Tibco	Hög
Energihandelsalgoritmer	Interna modeller, Refinitiv, ICAP	Begränsad till hög
Smart metering-analys	Utilihive, Itron, Landis+Gyr AI	Begränsad
Väderprognoser för produktionsplanering	Meteomatics, Tomorrow.io	Minimal
Kundsegmentering och churn-prediktion	Salesforce Einstein, CRM-interna	Minimal till begränsad

NIS2-överlapp och Cybersäkerhetslagen

Unika risker för AI i sektorn

Driftsäkerhet vid AI-fel som kan orsaka regional blackout eller nätinstabilitet
Manipulation av smart meter-data som påverkar billing eller lastprognoser
Bias i lastprioritering som gynnar eller missgynnar vissa kundkategorier
Cybersäkerhet på AI-modeller som måste vara testade mot adversariella indata
Dataintegritet över SCADA och OT-nät där AI introducerar nya angreppsytor