verksamheter har analyserats avseende detta och              IT-säkerheten samt hantering av IT-incidenter.
bolagets uppförandekod syftar till att minska risk-          Den nya säkerhetsskyddslagen trädde i kraft
erna. Hösten 2018 lanserades en ny uppförande-               den 1 april 2019. Den nya säkerhetsskyddslagen
kod för Stockholm Exergi. Alla medarbetare ska               tydliggör skyldigheterna för den som bedriver
gå en webbaserad utbildning i uppförandekod-                 säkerhetskänslig verksamhet och vikten av att
en och hittills har 98 procent av medarbetarna               verksamhetsutövaren genomför säkerhets-
genomfört den. Resterande andel medarbetare                  skyddsanalyser för sin verksamhet. Stockholm
kommer att gå utbildningen under 2021.                       Exergi har gjort bolagsövergripande säkerhets-
                                                             analyser för att ha en god grund för att säkerställa
Områden som identifierats som särskilt expo-                 uppfyllandet av de nya kraven och uppfylla
nerade med en förhöjd risk för oegentligheter                lagen. Programmet att genomföra de åtgärder
och korruption är bränsleinköp och övriga inköp.             som säkerhetsanalyserna pågår och kommer att
Medarbetare inom dessa delar av verksamheten                 fortgå under 2021 under ledning av Stockholm
genomgår mer omfattande och särskilda utbildningar           Exergis säkerhetsskyddschef i samverkan med
i Affärsetik än övriga medarbetare i Affärsetik.             verksamheten.

Därtill finns rutiner och processer för rapportering         Riskhantering och Covid-19
och hantering av misstänkta fall av korruption
och oegentligheter.                                          Stockholm Exergi levererar värme, kyla och el till
                                                             stockholmsregionen och är därmed en sam-
IT och informationssäkerhet                                  hällsviktig verksamhet. Det ligger i vårt verksam-
                                                             hetsansvar att säkerställa leveranserna till våra
Stockholm Exergis affärsverksamhet och kund-                 kunder och därför har vi planer och rutiner för att
relaterade tjänster är beroende av välfungerande             kunna säkra verksamheten i olika typer av kritiska
IT- och informationshanteringssystem samt                    scenarier. Det allvarliga läge som världen genom
processer. På grund av verksamhetens karaktär                Covid-19-smittans spridning under 2020 hamnat
behandlas stora mängder data, ofta i realtid, som            i – en pandemi – är ett sådant scenario.
används för beslutsfattande, betjäning av kunder
och intern såväl som extern kommunikation och                Vi har aktiverat våra beredskapsplaner och
rapportering. Att säkra information och till-                vidtagit en rad åtgärder för att säkra att driften
gänglighet av systemen är därmed väsentlig för               av våra anläggningar, och därmed leveranserna
Stockholm Exergis verksamhet. Cybersäkerhets-                till kund, kan fortskrida även vid ett eventuellt
risker, inklusive risker relaterade till information,        större bortfall av personal, vilket så här långt
industriella kontrollsystem, digitalisering och              lyckligtvis inte blivit fallet. Parallellt har vi i nära
integritet, hanteras centralt av Säkerhetschefen i           dialog med våra leverantörer och arbetar med att
samarbete med verksamheten. Befintliga instruk-              säkra genomförandet av vårens och sommarens
tioner och rutiner innefattar krav på hantering              kritiska anläggningsrevisioner samt innevarande
och lindring av cybersäkerhetsrisker.                        säsongs bränsleleveranser. Vi har också en nära
                                                             kontakt med våra kunder för att skapa beredskap
Allmänna databeskyddsförordningen trädde i kraft             att kunna vidta riktade åtgärder för olika kund-
den 25 maj 2018. Förordningen innehåller ett antal           grupper beroende på hur de drabbas ekonomiskt
krav relaterade till behandling av personuppgifter.          av Covid-19. Hittills har enbart ett fåtal kunder
Stockholm Exergi upprättade ett bolagsövergri-               anmält behov av speciella åtgärder kopplat till
pande program för att säkerställa uppfyllandet av            detta. Vi redovisar löpande våra åtgärder och
kraven. Programmet i stort genomfördes under                 planer till bland annat Energimyndigheten som
2017-2018 och det fortsatta arbetet fortsätter               har en samlad nationell bild av beredskapen
under ledning av Stockholm Exergis Dataskydds-               inom vår bransch.
ombud i samverkan med verksamheten.
                                                             Vår samlade bedömning är att de verksamhets-
IT-funktionerna i bolaget, som supportfunktioner             mässiga och ekonomiska konsekvenserna av smitt-
och outsourcingpartner, är ansvariga för att identi-         spridningen för Stockholm Exergi är fortsatt begrän-
fiera och mildra riskerna relaterade till den operativa      sade och att den finansiella ställningen är god.

                                                         87