Kommuner kan få miljonböter för Sulzersystem – ny lag
Publicerad 2026-02-24, 04:00
En ny cybersäkerhetslag ställer hårda krav på de 125 kommuner som gjort affärer med Sulzer. Kommunerna måste själva garantera att den ryske oligarken Viktor Vekselberg inte får insyn – annars hotar miljonböter.
– De måste ställa krav på att leverantören inte kan gå in i deras system, säger Jan-Olof Olsson, på MCF.
Här kan du lyssna på en AI-genererad uppläsning av artikeln:
125 svenska kommuner och kommunala bolag gör affärer med pumpföretaget Sulzer, visar Dagens Arbetes granskning. Företaget ägs till 48,8 procent av den ryska oligarken Viktor Vekselberg som står Vladimir Putin nära och är belagd med sanktioner i flera länder. En säkerhetsrisk, säger de experter som Dagens Arbete har pratat med.
En ny lag från den 15 januari i år gör att kommunerna, eller deras kommunala bolag, kan behöva se över sina affärer med Sulzer. Den nya cybersäkerhetslagen kräver att verksamhetsutövaren själv identifierar och förhindrar risker – annars riskerar de dryga böter.
Jan-Olof Olsson, handläggare på Myndigheten för civilt försvar, MCF, menar att också frågor som gäller ägarförhållanden kan betraktas som en risk.
– Verksamhetsutövaren måste ställa krav på att leverantören inte kan gå in i deras system. De måste göra sitt jobb när de handlar upp helt enkelt, säger han.
Stockholm vatten och avfall: ”Vidtagit skydsåtgärder”
De 125 kommunerna har framför allt köpt pumpar och reservdelar av Sulzer. I vissa fall har de också betalat för service på plats och tillgång till företagets webbaserade system för fjärrstyrning och övervakning av pumpar.
I Stockholm använder det kommunala bolaget Stockholm vatten och avfall Sulzers system för övervakning. Bolaget ansvarar för 1,6 miljoner människors dricksvattenförsörjning och avloppsrening för 1,2 miljoner. Pumparna är uppkopplade mot nätet och kan fjärrstyras med systemet från Sulzer. I en presentation av systemet skriver Sulzer att de har ”full teknisk tillgång till alla uppkopplade enheter världen över”.
Men enligt Anette Eriksson, inköpschef på Stockholm vatten och avfall, har Sulzer inte full tillgång.
– Bolaget har vidtagit skyddsåtgärder som gör att all information inte delas med Sulzer, säger hon.
Ett sätt att minimera riskerna och lättare efterleva den nya lagen är att välja ett eget lokalt nätverk i stället för uppkoppling mot internet, säger Jan-Olof Olsson. Av Dagens Arbetes granskning framgår det att gruvföretaget Boliden valt en sådan lösning.
– Om du kopplar upp dig via mobilnätet, fiber eller något annat öppnar du upp för hot som du måste ta ställning till. Skulle du dessutom koppla upp dina pumpar eller andra produkter mot leverantörens eget webbgränssnitt, har du ingen koll på vilka fler som har tillgång till dem, säger Jan-Olof Olsson.
Vem är ansvarig i så fall?
– Det är en sak som är väldigt mycket tydligare i de nya direktiven, att du som bedriver den samhällsviktiga verksamheten är ansvarig även om du köper en servicetjänst. Om någon kommer och gör tillsyn, är det fortfarande du som ska visa att lösningen är säker.
Uppdaterat EU-direktiv: ”Hantera risker med fjärråtkomst”
Bakgrunden till den nya Cybersäkerhetslagen är ett uppdaterat EU-direktiv som ska stärka samhällets cybersäkerhet.
Lagen omfattar samhällskritiska verksamheter inom 18 sektorer, bland dem energiproduktion och dricks- och avloppsvatten. Generellt har många produkter i dag – likt Sulzers pumpar – någon form av elektronisk styrfunktion och möjlighet att kommunicera lokalt eller över internet.
– Det har omfattats också av tidigare lagstiftning. Och det har funnits krav på att man behöver införa nödvändiga, lämpliga säkerhetsåtgärder för att hantera risker förknippade med fjärråtkomst. Liknande bestämmelser finns i den nya lagen, säger Anders Lindström, informationssäkerhetsspecialist på Livsmedelsverket.
Myndigheten är tillsynsmyndighet för dricks- och avloppsvatten. De ska se till att den nya lagen efterlevs. Om så inte sker kan de besluta om förläggande med vite. För offentlig verksamhet kan myndigheten dessutom besluta om sanktionsavgifter på upp till 10 miljoner kronor, för privata företag gäller 2 procent av den globala årsomsättningen eller 10 miljoner euro.
– Nu måste verksamhetsutövarna själva komma fram till vilka åtgärder som är lämpliga för deras förutsättningar. När nya föreskrifter är på plats kan det ställas krav på mer specifika åtgärder som de också måste införa, säger Anders Lindström.
Kommer kommunerna kunna leva upp till de nya kraven?
– En stor del av de dricksvattenleverantörer som omfattas av cybersäkerhetslagen har redan omfattats av den tidigare NIS-lagen. Vi brukar säga att om de har ett väl fungerande riskbaserat och systematiskt informationssäkerhetsarbete på plats så har de goda förutsättningar att följa den nya lagen.
Jan-Olof Olsson betonar att kommunerna är ansvariga oavsett vilken teknisk lösning de väljer. Alla samhällskritiska verksamheter som omfattas av den nya lagen måste själva identifiera risker och åtgärda dem. Om risken finns i det egna systemet, hos leverantören eller i ägarförhållandena gör ingen skillnad.
– Det är ganska vanligt i media att någon säger att deras leverantör misslyckats, men det gäller inte här, säger han.
