AI-skydda BESS: undvik miljonförluster vid driftstopp

En enda nedtid i ett batterilager på 100 MW/400 MWh kan enligt ny analys innebära cirka 1,2 miljoner USD i månadsförlust. Det är en siffra som får CFO:er, driftchefer – och riskansvariga – att titta upp från kalkylarken. För i praktiken betyder det att en cyberincident inte “bara” är en IT-fråga. Den blir en intäktsfråga, en stabilitetsfråga och i förlängningen en samhällsfråga.

Det här passar rakt in i vår serie ”AI inom försäkring och riskhantering”. För samma sak som försäkringsbranschen alltid varit bra på – att prissätta risk, reducera skador och bygga motståndskraft – behöver nu översättas till energisystemets nya kärninoder: Battery Energy Storage Systems (BESS). Skillnaden är att hotbilden förändras snabbare än traditionella kontrollprogram hinner med.

Min tes: AI-driven övervakning och cybersäkerhet i BESS är inte ett “nice to have”. Det är en förutsättning för lönsamhet.

Varför ett BESS-driftstopp kostar så mycket

Ett 100 MW-batteri är inte längre ett “tillägg” i elnätet. I många marknader är BESS en central resurs för frekvenshållning, kapacitetsstöd, arbitrage och stödtjänster. När det försvinner ur drift händer två saker samtidigt: intäkterna stannar och kostnaderna fortsätter.

Förlusten är inte bara utebliven elhandel

Den rapport som refereras i branschen lyfter att en cyberorsakad avbrottssituation kan ge runt 1,2 miljoner USD per månad i intäktsbortfall för ett 100 MW/400 MWh-system. Bakom den typen av siffra brukar följande komponenter ligga:

• Uteblivna marknadsintäkter (t.ex. stödtjänster, effekt, arbitrage)
• Avtalsrisk (vite/ersättningskrav vid leveransmisslyckanden)
• Återstart- och incidentkostnader (felsökning, forensik, externa specialister)
• Ökad operativ risk (manuella processer, begränsad driftoptimering)

Och om incidenten leder till fysisk skada på batterisystem, styrsystem eller transformatorer kan kapitalförlusten bli många gånger större än intäktsbortfallet. Det är här cyberrisk möter klassisk “property damage” och driftavbrott – exakt den korsningen som försäkrings- och riskfunktioner är byggda för att hantera.

Standardisering gör angrepp billigare

Branschen har standardiserat BESS-installationer för att sänka kostnad och komplexitet. Bra för byggtid och inköp. Sämre för cybersäkerhet. När arkitekturer, komponenter och driftmönster blir mer lika, blir det också enklare att:

• återanvända attacker mellan anläggningar,
• utveckla verktyg som fungerar “på många”,
• hitta sårbarheter i återkommande leverantörskedjor.

Det är ett klassiskt riskmönster: effektivisering ger homogenitet – homogenitet ger systemrisk.

Hotbilden 2026: ICS-malware, leverantörskedja och geopolitik

Cybersäkerhet i energisystem handlar allt mindre om “phishing mot kontoret” och allt mer om industriella kontrollsystem (ICS/OT). Det finns numera skadeprogram som är byggda för att förstå industriella protokoll, styrlogik och driftmiljöer.

OT är en annan värld än IT

I en BESS-miljö styrs och övervakas ofta:

• effektomriktare, reläskydd och brytare,
• batterihanteringssystem (BMS),
• SCADA/EMS, gateways och fjärråtkomst,
• driftoptimering och budgivning.

I OT är “patcha allt” sällan realistiskt om det riskerar driftstörningar. Samtidigt är konsekvensen av en komprometterad komponent större, eftersom det kan påverka fysisk funktion.

Leverantörskedjan är en säkerhetsfråga, inte bara inköp

Rapportens resonemang om utländska hotaktörer och leverantörskedjor sätter fingret på en punkt många energibolag fortfarande underskattar: du kan inte skydda det du inte får granska.

Vanliga problem jag ser i praktiken:

• Avtal som begränsar insyn i mjukvara/firmware eller loggar
• Svårighet att verifiera komponenters ursprung och uppdateringskedjor
• Otydliga ansvarskedjor mellan EPC, integratör, OEM och driftleverantör

När politiska regelverk skärps (i USA talas det mycket om FEOC-liknande begränsningar) hamnar europeiska och svenska aktörer i en indirekt effekt: krav på spårbarhet, transparens och komponentverifiering blir nya marknadsbiljetter – även när lagen inte uttryckligen kräver det.

AI som “riskmotor” för BESS: från reaktivt till prediktivt

AI gör mest nytta när den används för att flytta arbetet från incidenthantering till riskreduktion. Det betyder inte att allt ska vara en black box. Det betyder att AI hjälper oss hitta mönster människor missar – i tid.

1) AI-driven anomali- och intrångsdetektion i OT

Det mest konkreta användningsfallet är att skapa en normalbild av OT-trafik och styrsignaler och sedan larma på avvikelser.

AI/ML kan till exempel upptäcka:

• ovanliga kommandon till PCS/BMS (tidpunkt, sekvens, frekvens)
• nya enheter i nätet eller förändrade kommunikationsvägar
• avvikande latens/telemetri som tyder på “man-in-the-middle”
• beteenden som matchar kända attackmönster för ICS

Praktisk poäng: I en BESS-miljö ska larm inte bara gå till IT-SOC. De måste gå till driftfunktion med kontext: vilken utrustning, vilken konsekvens, vilka säkra åtgärder.

2) Prediktivt underhåll som minskar “cyber-konsekvensen”

Det låter kanske som två olika saker – underhåll och cyber. Men i energilager hänger de ihop.

När AI-modeller för prediktivt underhåll identifierar degradering, termiska anomalier eller återkommande fel i sensorer/kommunikation kan man:

• minska sannolikheten för att ett cyberangrepp får fäste i en redan instabil miljö,
• undvika att fel tolkas som cyber (och tvärtom),
• planera servicefönster där patchning och hårdning faktiskt kan göras.

Det här är riskhantering i praktiken: sänk både sannolikhet och konsekvens.

3) AI för driftoptimering med “säkerhetsbroms”

Många BESS kör idag avancerad optimering för intäktsmaximering. Problemet? Optimeringslogik kan skapa nya beroenden:

• fler integrationer,
• fler dataflöden,
• mer fjärrstyrning.

En bättre ansats är att bygga “security-by-design” i optimeringen:

• policyer som begränsar vilka kommandon som får köras automatiskt,
• “failsafe”-lägen som prioriterar säker drift framför intäkt vid avvikelse,
• kontinuerlig validering av datakvalitet (för att stoppa datamanipulation).

Här är en mening jag tycker fler borde sätta på väggen: Automatisering utan säkerhetskontroller är bara snabbare risk.

Så bör risk och försäkring tänka: cyber blir driftavbrott på riktigt

I försäkrings- och riskhanteringsvärlden är det här ett skolexempel på hur riskkategorier smälter samman. Cyber är inte längre en isolerad produkt eller en IT-klausul.

Underwriting-frågor som plötsligt blir avgörande

För aktörer som försäkrar, finansierar eller investerar i energilager blir följande frågor centrala (och AI kan hjälpa till att mäta dem kontinuerligt):

1. Segmentering: Är OT nätverksseparerat från IT och från externa parter?
2. Fjärråtkomst: Hur hanteras leverantörers access (MFA, tidsbegränsning, jump hosts)?
3. Patch och sårbarhet: Finns processer för sårbarhetsbedömning i OT och planerade servicefönster?
4. Loggning och spårbarhet: Går det att göra forensik utan att stänga ned allt?
5. Resiliens: Finns testade återställningsplaner och “islanding”-förmåga?

Det här är samma logik som i modern skadeprevention: du premierar den som kan visa mätbar kontroll.

Riskmodeller som går från PDF till realtid

Historiskt har riskbedömning ofta varit en punktinsats: en revision, ett frågeformulär, en rapport. Men BESS kör 24/7 och hoten ändras veckovis.

AI gör att riskmodellen kan bli levande:

• kontinuerliga riskpoäng per anläggning,
• korrelation mellan larm, driftavvikelser och intäktstapp,
• tidiga indikatorer på leverantörsrelaterade incidenter.

Försäkringsmässigt öppnar det för mer rättvis prissättning och för riskreducerande samarbeten: “vi sänker premien när ni faktiskt kan visa att ni minskar risk”.

Praktisk checklista: 10 åtgärder som minskar risken direkt

Det fina med cybersäkerhet i BESS är att mycket går att göra utan att köpa “ännu ett system”. Men du måste vara konsekvent.

1. Kartlägg alla fjärranslutningar och stäng sådant som “ingen riktigt äger”.
2. Separera OT/IT och använd strikt nätsegmentering inom OT.
3. Inför principen minst privilegium för drift, leverantörer och integratörer.
4. Kräv loggar som går att exportera från kritiska komponenter.
5. Skapa ett definierat “safe mode” för BESS vid avvikande beteende.
6. Bygg en incidentövning som inkluderar drift, IT, säkerhet, kommunikation och ledning.
7. Verifiera leverantörskedjan: komponentursprung, uppdateringskedjor, signering.
8. Sätt KPI:er för cybersäkerhet kopplade till drift (t.ex. MTTD/MTTR i OT).
9. Använd AI för anomalidetektion där ni har hög konsekvens och låg tolerans.
10. Mät ekonomisk exponering: “vad kostar 24h/72h/30 dagar nedtid?” och styr investeringar efter det.

Om du bara gör en sak före årsskiftet: räkna på nedtidskostnaden per anläggning och jämför med vad ni lägger på OT-säkerhet. Många blir förvånade.

Vägen framåt: säkra energilager är en konkurrensfördel

När energilager byggs ut i hög takt – och när regelverk, tullar och leverantörskrav skärps i olika delar av världen – blir det tydligt: säkerhet och resiliens är inte overhead. Det är marknadstillträde och intäktssäkring.

För dig som jobbar med riskhantering eller försäkring är detta en möjlighet att flytta dialogen från “har ni en policy?” till “hur ser er faktiska riskkurva ut, och hur minskar ni den över tid?”. AI hjälper till att göra den dialogen konkret, mätbar och affärsnära.

Den där siffran – 1,2 miljoner USD per månad för ett 100 MW-batteri – är ett bra ankare. För den gör det lätt att prioritera. Och den gör det ännu lättare att motivera nästa steg: AI-baserad övervakning, OT-hårdningsprogram och en riskmodell som uppdateras varje dag – inte varje år.

Vad skulle hända med era intäkter (och er försäkringsbarhet) om ert största batterilager stod still i 30 dagar – och ni inte visste varför de första 12 timmarna?