Fremsat den 9. november 2016 af energi-,
forsynings- og klimaministeren (Lars Christian Lilleholt)
Forslag
til
Lov om ændring af lov om elforsyning og lov
om naturgasforsyning
(It- beredskab i el- og naturgassektorerne,
gebyr for tilladelser til Energinet.dk og forhøjelse af
indtægtsrammer for netvirksomheder mv.)
§ 1
I lov om elforsyning, jf.
lovbekendtgørelse nr. 418 af 25. april 2016, som
ændret ved § 1 i lov nr. 466 af 18. maj 2011, § 7 i
lov nr. 261 af 16. marts 2016 og § 8 i lov nr. 427 af 18. maj
2016, foretages følgende ændringer:
1. I
§ 51, stk. 2, ændres
"bevillingshaverne samt" til:"bevillingshaverne,", efter "lov om
Energinet.dk" indsættes: ", samt virksomheder, der yder
balancering af elsystemet,", og efter "herunder" indsættes:
"tilsynet med beredskabsarbejdet efter regler fastsat i
medfør § 85 c, stk. 6, og".
2. I
§ 51 a, nr. 2, indsættes
efter "§ 37 a, stk. 1,": "samt § 4 a, stk. 1, i lov om
Energinet.dk,".
3. I
§ 70 indsættes som stk. 15:
»Stk. 15
Energi-, forsynings- og klimaministeren kan fastsætte regler
om, at Energitilsynet kan forhøje en netvirksomheds
indtægtsramme som følge af dokumenterede
meromkostninger, der følger af krav om
1) udskiftning
og opgradering af elmålere til fjernaflæste
elmålere, fremskyndelse af investeringer i fjernaflæste
elmålere og indsendelse af timemålte forbrugsdata til
datahubben i henhold til regler fastsat af energi-, forsynings- og
klimaministeren i medfør af § 20, stk. 2, og § 22,
stk. 4,
2) sikring af
realisering af dokumenterbare energibesparelser i overensstemmelse
med regler fastsat i medfør af § 22, stk. 4, jf. §
22, stk. 1, nr. 5, og
3) tilmelding
til en it-sikkerhedstjeneste i henhold til regler fastsat af
energi-, forsynings- og klimaministeren i medfør af §
85 c, stk. 5, nr. 4.«
4.
Overskriften til kapitel 12 affattes
således:
Beredskab, fortrolighed, kontrol,
oplysningspligt og påbud«
5. § 85 b,
stk. 4, 2. pkt., ophæves.
6. Kapitel 12
a ophæves, og i stedet indsættes efter § 85
b i kapitel 12:
Ȥ 85 c
Virksomheder, som er bevillingspligtige efter §§ 10 og
19, Energinet.dk og dennes helejede datterselskaber samt
virksomheder, der yder balancering af elsystemet, skal opretholde
et it-beredskab, herunder planlægge og træffe
nødvendige foranstaltninger for at sikre beskyttelsen af
kritiske it-systemer der er, af betydning for elforsyningen.
Stk. 2. Energi-,
forsynings- og klimaministeren kan ved manglende opfyldelse af et
påbud efter § 85 d om at overholde stk. 1 påbyde
virksomheder at foretage en it-revision af kritiske systemer ved en
uafhængig revisor godkendt af tilsynsmyndigheden.
Stk. 3. Energi-,
forsynings- og klimaministeren kan påbyde virksomheder at
gennemføre tiltag, som på baggrund af en it-revision,
jf. stk. 2, skønnes nødvendige for at opretholde et
it-beredskab, jf. stk. 1.
Stk. 4.
Informationer, herunder vurderinger, planer og data,
vedrørende sikkerhedsforhold for kritiske it-systemer i
virksomheder omfattet af stk. 1 er fortrolige, hvis oplysningerne
er væsentlige af hensyn til driften af virksomheden eller det
sammenhængende el-system.
Stk. 5. Energi-,
forsynings- og klimaministeren fastsætter nærmere
regler for it-beredskab, jf. stk. 1, herunder regler om
1) organisering
af virksomhedens it-beredskab og evne til at modtage advarsler om
trusler mod it-sikkerheden,
2)
planlægning og beredskabsarbejde, som virksomhederne skal
udføre for at modvirke trusler mod it-sikkerheden, herunder
virksomhedernes pligt til at videregive oplysninger til
Energinet.dk og relevante myndigheder,
3)
virksomhedernes risikostyring, herunder inddragelse af andre
virksomheder i risikovurderinger,
4) tilmelding
til en it-sikkerhedstjeneste, der yder varsler og informationer om
it-sikkerhedstrusler,
5)
Energinet.dk's varetagelse af overordnede, koordinerende
planlægningsmæssige og operative opgaver
vedrørende it-beredskab, jf. stk. 1,
6) krav til
indholdet og planlægningen af en it-revision ved en
uafhængig revisor, jf. stk. 2.
Stk. 6. Energi-,
forsynings- og klimaministeren fastsætter regler for
udførelse af tilsyn med virksomheders it-beredskab, jf. stk.
1.
§ 85 d Klima-,
energi- og bygningsministeren og Energitilsynet kan påbyde,
at forhold, der strider mod loven, mod regler eller
afgørelser i henhold til loven eller mod Europa-Parlamentets
og Rådets forordning om betingelserne for netadgang i
forbindelse med grænseoverskridende elektricitetsudveksling,
bringes i orden straks eller inden en nærmere angivet
frist.
Stk. 2.
Energitilsynet kan påbyde, at forhold, der strider mod en
juridisk bindende afgørelse truffet af det europæiske
agentur for samarbejde mellem energireguleringsmyndigheder eller
strider mod Europa-Parlamentets og Rådets forordning (EU) nr.
1227/2011 af 25. oktober 2011 om integritet og gennemsigtighed
på engrosenergimarkederne eller mod retsakter, der er
vedtaget på grundlag heraf, bringes i orden straks eller
inden en nærmere angivet frist.«
7. I
§ 86, stk. 1, ændres »§ 85 c« to steder til: »§ 85 d«.
§ 2
I lov om naturgasforsyning, jf.
lovbekendtgørelse nr. 1157 af 6. september 2016, foretages
følgende ændringer:
1. § 15 a,
stk. 4, 2. pkt., ophæves.
2.
Efter § 15 a indsættes før overskriften
før § 16:
Ȥ 15 b
Selskaber, der er bevillingspligtige efter § 10, samt
Energinet.dk og dennes helejede datterselskaber, der varetager
naturgasforsyningsvirksomhed i henhold til § 2, stk. 2 og 3, i
lov om Energinet.dk, skal opretholde et it-beredskab, herunder
planlægge og træffe nødvendige foranstaltninger
for at sikre beskyttelsen af kritiske it-systemer, der er af
væsentlig betydning for naturgasforsyningen.
Stk. 2. Energi-,
forsynings- og klimaministeren kan ved manglende opfyldelse af et
påbud efter § 47 b om at overholde stk. 1 påbyde
virksomheder at foretage en it-revision af kritiske it-systemer ved
en uafhængig revisor godkendt af tilsynsmyndigheden.
Stk. 3. Energi-,
forsynings- og klimaministeren kan påbyde virksomheder at
gennemføre tiltag, som på baggrund af en it-revision,
jf. stk. 2, skønnes nødvendige for at opretholde et
it-beredskab, jf. stk. 1.
Stk. 4.
Informationer, herunder vurderinger, planer og data,
vedrørende sikkerhedsforhold for forsyningskritiske
it-systemer i virksomheder, som er omfattet af stk. 1, er
fortrolige, hvis oplysningerne er væsentlige af hensyn til
driften af virksomheden eller naturgassystemet.
Stk. 5. Energi-,
forsynings- og klimaministeren fastsætter nærmere
regler for it-beredskab, jf. stk. 1, herunder regler om
1) organisering
af virksomhedens it-beredskab og evne til at modtage advarsler om
trusler mod it-sikkerheden,
2)
planlægning og beredskabsarbejde, som virksomhederne skal
udføre for at modvirke trusler mod it-sikkerheden, herunder
virksomhedernes pligt til at videregive oplysninger til
Energinet.dk og til energi-, forsynings- og klimaministeren,
3)
virksomhedernes risikostyring, herunder inddragelse af andre
virksomheder i risikovurderinger,
4) tilmelding
til en tjeneste, der yder varsler og informationer om
it-sikkerhedstrusler,
5)
Energinet.dk's varetagelse af overordnede, koordinerende
planlægningsmæssige og operative opgaver
vedrørende it-beredskabet, jf. stk. 1, og
6) krav til
indholdet og planlægningen af en it-revision ved en
uafhængig revisor, jf. stk. 2.
Stk. 6. Energi-,
forsynings- og klimaministeren fastsætter regler for
udførelse af tilsyn med det beredskabsarbejde, der
udføres efter stk. 1.«
3. I
§ 30, stk. 2, indsættes
efter »tilsynet«: », herunder tilsynet med
beredskabsarbejdet efter § 15 b, stk. 6«.
§ 3
Stk. 1. Loven
træder i kraft den 1. juli 2017, jf. dog stk. 2.
Stk. 2. § 1, nr. 2,
træder i kraft den 1. januar 2017.
§ 4
Loven gælder ikke for Færøerne
og Grønland.
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Indledning
2. Baggrund
3. Hovedpunkter i lovforslaget
3.1. It-beredskab
3.1.1. Gældende ret
3.1.2. Energi-, forsynings- og klimaministeriets
overvejelser
3.1.3. Den foreslåede ordning
3.2. Organisering af el- og
naturgassektorernes beredskab
3.2.1. Gældende ret
3.2.2. Energi-, forsynings- og klimaministeriets
overvejelser
3.2.3. Den forslåede ordning
3.3. Sanktioner og påbud
3.3.1. Gældende ret
3.3.2. Energi-, forsynings- og klimaministeriets
overvejelser
3.3.3. Den forslåede ordning
3.4. Fastsættelse af nærmere
regler for it-beredskabet
3.4.1. Gældende ret
3.4.2. Energi-, forsynings- og klimaministeriets
overvejelser
3.4.3. Den forslåede ordning
3.5. Tilsyn
3.5.1. Gældende ret
3.5.2. Energi-, forsynings- og klimaministeriets
overvejelser
3.5.3. Den forslåede ordning
3.6. Gebyr for tilladelser til
Energinet.dk
3.6.1. Gældende ret
3.6.2. Energi-, forsynings- og klimaministeriets
overvejelser
3.6.3. Den foreslåede ordning
3.7. Indtægtsrammeforhøjelser for
netvirksomheder
3.7.1. Gældende ret
3.7.2. Energi-, forsynings- og klimaministeriets
overvejelser
3.7.3. Den foreslåede ordning
4. Økonomiske og
administrative konsekvenser for det offentlige
5. Økonomiske og administrative konsekvenser for
erhvervslivet mv.
5.1. Løbende
efterlevelsesomkostninger
5.2. Gebyrer
5.3. Administrative
efterlevelsesomkostninger
5.4. Administrative
omstillingsomkostninger
5.5. Økonomisk opsummering
6. Administrative konsekvenser for
borgerne
7. Miljømæssige
konsekvenser
8. Forholdet til EU-retten
9. Hørte myndigheder og organisationer mv.
10. Sammenfattende skema
1. Indledning
Dette lovforslag udmønter et initiativ i den nationale
strategi for cyber- og informationssikkerhed fra december 2014, der
har til hensigt at styrke cyber- og informationssikkerheden for
virksomhederne i el- og naturgassektorerne ved at stille nye krav
til cyber- og informationssikkerheden.
Forsyningen af el og naturgas fra
produktion til forbrug styres i stigende grad af digitale styrings-
og overvågningssystemer, der herved er kritiske for
forsyningen af el og naturgas til samfundet. Disse
forsyningskritiske it-systemer skal sikres mod driftsforstyrrelser,
bevidste angreb og utilsigtede hændelser, så risikoen
for forsyningsnedbrud minimeres og eventuelle konsekvenser heraf
begrænses.
Den nuværende regulering af
beredskabet i el- og naturgassektorerne regulerer ikke specifikt
beredskabet for forsyningskritiske it-systemer.
Lovforslaget stiller krav om, at
virksomhederne skal opretholde et it-beredskab for
forsyningskritiske it-systemer i el- og naturgassektorerne.
It-beredskabet skal sikre, at virksomhederne i el- og
naturgassektorerne har overblik over egne it-systemer, vurderer
risikoen for angreb på eller nedbrud i it-systemer samt
modtager relevante trusselsmeldinger, således at
virksomhederne kan foretage de nødvendige tiltag for at
begrænse mulige konsekvenser af disse angreb eller
nedbrud.
Lovforslaget giver energi-,
forsynings- og klimaministeren mulighed for at påbyde en
virksomhed at afholde en uvildig undersøgelse af egne
it-systemer. Ministeren gives beføjelse til, at kunne
påbyde virksomheder at gennemføre nødvendige
foranstaltninger til opretholdelse af et relevant it-beredskab,
enten på baggrund af en gennemført uvildig
undersøgelse eller på baggrund af det
gennemførte tilsynsarbejde.
Lovforslaget giver endvidere
energi-, forsynings- og klimaministeren mulighed for at udstede
regler om opkrævning af gebyr for omkostninger i forbindelse
med afholdelse af tilsyn med Energinet.dk.
Med lovforslaget får energi-,
forsynings- og klimaministeren pligt til at fastætte regler
om virksomheders beskyttelse af egne forsyningskritiske
it-systemer, og virksomhedernes bidrag til sektorernes samlede
it-beredskab.
Herudover giver lovforslaget
energi-, forsynings- og klimaministeren mulighed for at udstede
regler om dels opkrævning af gebyrer for den
myndighedsbehandling, der skal udføres som en følge
af lovforslaget, dels om at virksomhedernes dokumenterede
meromkostninger til opfyldelse af lovforslagets krav kan indregnes
i de indtægtsrammer, som Energitilsynet fastsætter for
de omfattede virksomheder.
Endelig indeholder lovforslaget en
række mindre ændringer, der skal skabe klarhed om
retstilstanden i forhold til gebyrer for tilladelser til, at
Energinet.dk etablere elforsyningsnet på søterritoriet
samt klarhed om netvirksomheders indtægtsrammer.
2. Baggrund for lovforslaget
El- og naturgassystemerne er i
stigende grad automatiseret, således at produktionen, handlen
og forsyningen af el og naturgas styres af digitale styrings- og
overvågningssystemer. Denne digitalisering af el- og
naturgassektorerne giver nye muligheder og udfordringer.
Digitaliseringen af el- og
naturgassystemerne er væsentlig for at drive et effektivt og
moderne energisystem. Digital informationsudveksling sikrer, at
markedet effektivt kan forbinde udbud, efterspørgsel og
pris, mens moderne styringsteknologi muliggør en
løbende balancering af produktion og forbrug under
markedsvilkår.
Balancering af forbrug og
produktion af el er væsentligt for driften af el-systemet og
funktionen af elmarkedet. Balanceringsydelser er markedsbestemte
ydelser, hvori en virksomhed udøver fysisk kontrol af et
eller flere produktions- eller forbrugsanlæg. Denne kontrol
styres af avancerede it-systemer, der derved er en
forudsætning for, at elsystemet effektivt kan udnytte
variabel energiproduktion fra vedvarende energikilder som solceller
og vindmøller.
It-systemer har en stigende
betydning for el- og naturgassystemet og samtidig bliver
it-systemerne stadigt mere komplekse, da stadigt flere
informationer danner input og stadigt flere elementer kan styres
gennem disse it-systemer. Anvendelse af it-systemer i forbindelse
med styringen af el- og naturgassystemerne indebærer
også en række nye udfordringer for el- og
naturgassystemerne. It-systemer skal i lighed med mekaniske
systemer vedligeholdes og serviceres, og ligesom mekaniske systemer
skal beskyttes mod udefra kommende trusler så som vejrliget
og fysisk angreb eller uheld, skal it-systemer beskyttes mod
trusler så som vira og hacker-angreb.
Hidtil har der været krav til
den fysiske beskyttelse af el- og naturgassektorerne, der har
opstillet rammen for det almene beredskabsarbejde ved net- og
produktionsvirksomheder, samt Energinet.dk efter § 85 b i lov
om elforsyning og § 15 a i lov om naturgasforsyning. Det
almene beredskabsarbejde pålægger virksomhederne
ansvaret for at vurdere og forebygge risici, sårbarheder og
trusler, således at nedbrud og skader på el- og
naturgasforsyningssystemerne kan minimeres. Virksomhederne
varetager den operative håndtering af en beredskabssituation
og beredskabsplanlægning i egen organisation, mens
Energinet.dk tilsikrer den overordnede koordinering i og mellem el-
og naturgassektorerne af såvel den operative indsats som
beredskabsplanlægningen.
Beredskabsarbejdet har hidtil ikke
specifikt omfattet it, og der er i den gældende lovgivning
ikke mulighed for at stille specifikke krav til virksomhedernes
it-sikkerhed for forsyningskritiske it-systemer. Lovforslaget skal
dermed regulere et område, der hidtil ikke har været
reguleret. Lovforslaget skal sikre, at forsyningskritiske
it-systemer integreres i el- og naturgassektorernes
beredskabsarbejde.
El- og naturgasmarkedet har hidtil
udviklet sig i takt med, at nye teknologier har skabt nye
muligheder. Den teknologiske og kommercielle udvikling af el- og
naturgassektorerne forventes fortsat at fremme en effektiv
energiforsyning. Lovforslaget skal derfor undgå at
begrænse den kommercielle udvikling muliggjort af den
teknologiske udvikling. Virksomhederne anses for kompetente til at
vurdere sammenhænge mellem de teknologiske muligheder og de
kommercielle interesser. Det er dog i forbindelse med reguleringen
af området væsentligt at sikre, at der fastholdes en
høj forsyningssikkerhed på trods af nye teknologier og
kommercielle muligheder. Lovforslaget pålægger derfor
energi-, forsynings- og klimaministeren at fastsætte regler
for virksomhederne, således at de foretager løbende
risiko- og sårbarhedsvurderinger og inddrager disse
vurderinger i deres beredskabsplanlægning.
Den 6. juli 2016 blev
Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6.
juli 2016 om foranstaltninger, der skal sikre et højt
fælles sikkerhedsniveau for net- og informationssystemer i
hele Unionen vedtaget. Efter dette direktivs artikel 25 vedtager og
offentliggør medlemsstaterne senest den 9. maj 2018 de love
og administrative bestemmelser, der er nødvendige for at
efterkomme dette direktiv. Det lovforberedende arbejde med henblik
på at implementere direktivet gennemføres af
Forsvarsministeriet uafhængigt af nærværende
lovforslag. Energi, forsynings- klimaministeriet bidrager til dette
arbejde.
Lovforslaget skal således ses
som nationale regler, der har til formål at udmønte
den nationale strategi for cyber- og informationssikkerhed fra
december 2014 og de heri indeholdte krav om gennemførelse af
it-beredskabsforanstaltninger på
energiforsyningsområdet.
Endvidere indeholder lovforslaget
en foreslået præcisering af reglerne om gebyrer for
tilladelser til elforsyningsnet på søterritoriet. En
række af de tilladelser, der efter ansøgning fra
virksomheder meddeles af energi-, forsynings- og klimaministeren
efter elforsyningsloven, betales der i dag gebyr for. Det
gælder også for tilladelser til etablering samt
væsentlige ændringer af elforsyningsnet på
søterritoriet. Baggrunden er, at behandlingen af en
ansøgning kræver en ganske omfattende behandling af
myndigheder.
For at skabe klarhed om, at
ministeren også kan opkræve gebyr, når
Energinet.dk indsender en ansøgning om etablering af
elforsyningsnet på søterritoriet på linje med
alle andre virksomheder, præciseres det i lovforslaget
derfor, at energi-, forsynings- og klimaministeren kan udstede
regler om opkrævning af gebyr for udstedelse af tilladelser
til etablering samt væsentlige ændringer af
elforsyningsnet på søterritoriet til Energinet.dk.
3. Hovedpunkter i lovforslaget
3.1. It-beredskab
3.1.1. Gældende ret
Det almene beredskab på
elforsyningsområdet reguleres af § 85 b i lov om
elforsyning samt bekendtgørelse nr. 1024 af 21. august 2007
om beredskab for elsektoren.
Bekendtgørelse nr. 1024 af
21. august 2007 om beredskab for elsektoren er udstedt i
medfør af § 85 b i lov om elforsyning. Denne
bekendtgørelse fastsætter nærmere regler for
virksomhedernes beredskabsplanlægning og organisatoriske
forhold samt fastsætter krav til virksomhedernes
beredskabsplaner. De gældende regler for
beredskabsområdet efter elforsyningsloven omfatter alene det
almene beredskab, hvorfor gældende ret i elforsyningsloven
ikke er fundet tilstrækkelig til at omfatte
it-beredskabet.
Det almene beredskab på
naturgasforsyningsområdet reguleres af § 15 a i lov om
naturgasforsyning samt bekendtgørelse nr. 1025 af 21. august
2007 om beredskab for naturgassektoren. Bekendtgørelse nr.
1025 af 21. august 2007 om beredskab for naturgassektoren er
udstedt i medfør af § 15 a i lov om naturgasforsyning.
Denne bekendtgørelse fastsætter nærmere regler
for virksomhedernes beredskabsplanlægning og organisatoriske
forhold og fastsætter krav til virksomhedernes
beredskabsplaner. De gældende regler for
beredskabsområdet efter naturgasforsyningsloven omfatter
alene det almene beredskab, hvorfor gældende ret i
naturgasforsyningsloven ikke er fundet tilstrækkelig til at
omfatte it-beredskabet.
3.1.2. Energi-, forsynings- og klimaministeriets
overvejelser
En regulering af virksomheders
it-beredskab skal styrke forsyningssikkerheden ved at
begrænse de risici og sårbarheder, der afledes af den
teknologiske og kommercielle udvikling af it-systemer. Disse
it-systemer er i stigende grad forsyningskritiske systemer, der
direkte eller indirekte styrer det fysiske forsyningssystem gennem
forskellige sensorer, ventiler og relæer. Det er derfor
væsentligt, at en regulering finder anvendelse overfor
virksomheder, der er omfattet af beredskabsbestemmelserne i §
85 b i lov om elforsyning og § 15 a i lov om
naturgasforsyning, samt virksomheder, som gennem et it-system
varetager styring af flere anlæg, der samlet set er
væsentlige for forsyningen.
Ved at anvende begrebet kritiske
it-systemer af betydning for hhv. el- og naturgasforsyningen,
afgrænses lovens virkningsområde til it-systemer, der
direkte anvendes i den fysiske forsyning af el og naturgas fra
produktion til forbrug. En regulering heraf bør finde
anvendelse for virksomheder, der leverer en ydelse, tjeneste eller
produkt, der er væsentligt for opretholdelsen af el- eller
naturgasforsyningen til samfundet når denne levering er
afhængig af it-systemer. Virksomheder, der kan
godtgøre, at de ikke anvender it-systemer til opretholdelsen
af disse væsentlige tjenester, vil ikke være
omfattet.
Det vurderes at være
hensigtsmæssigt, at en regulering af
it-beredskabsområdet anvender begreber og en systematik, der
er kendt fra det almene beredskabsarbejde efter § 85 b i lov
om elforsyning og § 15 a i lov om naturgasforsyning.
En regulering af it-beredskabet
må indebære, at der stilles krav til beskyttelse af
it-systemer, der er væsentlige for leveringen af hhv. el og
naturgas til forbrugerene. Det må endvidere bero på de
enkelte virksomheders egne vurderinger af, hvilke konkrete
it-systemer der anses for forsyningskritiske i den lokale kontekst.
Ved vurderingen af hvad der findes at være en væsentlig
tjeneste må de enkelte virksomheder forventes at
tillægge følgende faktorer vægt:
1. It-systemets
betydning for forsyning af el- og naturgas fra produktion til
forbrug.
2. It-systemets
betydning for virksomhedens drift, herunder betydning for
virksomhedens mulighed for at udføre sine opgaver i
forsyningen og markedet samt betydningen for virksomhedens
økonomiske drift.
3. It-systemets
betydning for driften af andre virksomheder, der enten er direkte
forbrugere eller blot videreformidlere af den leverede ydelse,
tjeneste eller produkt. Herunder betydning for andre virksomheders
mulighed for at udføre deres opgaver i forsyningen og
markedet samt betydningen for disse virksomheders økonomiske
drift.
Den kommercielle udvikling af
el-forsyningssystemet afledt af digitaliseringen har medført
et marked for balanceringsydelser, hvor balanceansvarlige
virksomheder gennem it-systemer varetager styring af flere mindre
produktions- og forbrugsanlæg. Balancering af forbrug og
produktion af el er væsentligt for at drive el-systemet og et
effektivt elmarked.
Balanceringsydelser er
markedsbestemte ydelser, hvori en virksomhed udøver fysisk
kontrol af et eller flere produktions- eller forbrugsanlæg.
Hyppige informationer sikrer, at markedet effektivt kan forbinde
udbud, efterspørgsel og pris, mens moderne styringsteknologi
muliggør en løbende balancering af produktion og
forbrug under markedsvilkår. Denne kontrol styres af
avancerede it-systemer, der derved er en forudsætning for, at
elsystemet effektivt kan udnytte variabel energiproduktion fra
vedvarende energikilder som solceller og vindmøller.
Balanceansvarlige virksomheders it-systemer udgør
således i stigende grad en sårbarhed for driften af
elsystemet, da konsekvenserne ved nedbrud stiger og samtidig
øges kompleksiteten af styringssystemerne. Virksomheder, der
udbyder balanceringsydelser er ikke underlagt krav om beredskab
efter § 85 b i lov om elforsyning til trods for, at disse
virksomheder har kontrol over fysisk infrastruktur.
Ved balanceansvarlige virksomheder
forstås alene virksomheder med kontrol over elementer i
elsystemet med det formål at balancere elsystemet efter
aftale med Energinet.dk, der som systemansvarlig virksomhed
erhverver balanceringsydelser.
Virksomheder, der varetager opgaver
på vegne af virksomheder omfattet af § 85 b i lov om
elforsyning eller § 15 a i lov om naturgasforsyning, og som i
den forbindelse har kontrol over elementer i el- eller
naturgassystemet på vegne af en virksomhed omfattet af denne
lovbestemmelse, betragtes som tredjeparter eller
leverandører. Disse virksomheder anses således ikke
for omfattet af de nævnte lovbestemmelser. Det
beredskabsarbejde, der er forbundet med de risici og
sårbarheder anvendelse af ydelser fra denne type tredjeparter
medfører, må derfor påhvile de produktions-,
balance- eller forsyningsvirksomheder, der har indgået
kontrakter med disse tredjeparter.
En regulering af it-beredskabet
bør hvile på den forudsætning, at virksomhederne
anses for kompetente til at vurdere sammenhænge mellem de
teknologiske muligheder og de kommercielle interesser. Det er dog
væsentligt at sikre, at der fastholdes en høj
forsyningssikkerhed på trods af nye teknologier og
kommercielle muligheder. Der er derfor behov for at stille krav til
virksomhedernes it-beredskab, således at beskyttelsen af
forsyningskritiske it-systemer indgår i virksomhedernes
beredskabsarbejde.
Virksomhedernes betydning for
forsyning af el- og naturgas varierer både efter antal
tilsluttede forbrugere i netvirksomheder og mængde energi
produceret. Samtidig må det antages at it-beredskabsarbejdet
vil være forbundet med såvel administrative som direkte
omkostninger for både virksomhederne og myndighederne der
udøver tilsyn. En regulering af it-beredskabet bør
derfor søge at begrænse ressourceforbruget ved at
inddele virksomhederne i tre kategorier efter, hvor kritiske
virksomhederne er for forsyningssystemer med hertil hørende
graduerede krav.
Tilsynet med virksomhederne
indenfor det almene beredskab føres efter § 85 b, stk.
4, i lov om elforsyning og § 15 a, stk. 4, i lov om
naturgasforsyning af Energinet.dk. Det vurderes at være
administrativt hensigtsmæssigt, at tilsynsmyndigheden for det
almene beredskab og it-beredskabet er den samme af hensyn til den
administrative synergi ved varetagelse af disse opgaver.
Samtidig vurderes den teknologiske
og kommercielle udvikling i el- og naturgassektorerne at kunne
medføre behov for, at opgaven som tilsynsmyndighed kan
flyttes til anden relevant myndighed. Det vil derfor være
hensigtsmæssigt, at reguleringen af området giver
energi-, forsynings- og klimaministeren mulighed for at
fastsætte regler for varetagelse af tilsynsopgaven afledt af
§ 85 b, stk. 4, i lov om elforsyning og § 15 a, stk. 4, i
lov om naturgasforsyning.
3.1.3. Den
foreslåede ordning
Det vurderes nødvendigt, at
balanceansvarlige virksomheder i elsystemet og virksomhederne, der
er omfattet af beredskabsbestemmelserne i § 85 b i lov om
elforsyning og § 15 a i lov om naturgasforsyning er omfattet
af dette lovforslag, da de er væsentlige for driften af det
samlede forsyningssystem.
Der etableres med lovforslaget en
ordning, der bygger på de samme principper, som reguleringen,
og lovforslagets regler om it-beredeskab indebærer derfor en
ordning, hvorefter virksomhederne vurderer egne sårbarheder
og planlægger beredskabstiltag. Efter ordningen forpligtes
energi-, forsynings- og klimaministeren til at udstede regler, der
fastsætter krav om, at virksomhederne pålægges at
bidrage til de samlede sektorers it-beredskabsarbejde og
godtgør for egne tiltag, it-beredskabsarbejdets
gennemførelse samt tilsynet hermed. Disse regler vil blive
udarbejdet således, at reglerne indeholder en graduering af
krav til virksomhederne efter deres betydning for den overordnede
forsyning, hvorved der tilsigtes proportionalitet mellem
omkostninger og betydning for den samlede forsyning.
3.2. Organisering
af el- og naturgassektorernes beredskab
3.2.1
Gældende ret
Efter § 24 stk. 1, i beredskabsloven skal de enkelte
ministre hver inden for deres område planlægge for
opretholdelse og videreførelse af samfundets funktioner i
tilfælde af større ulykker og katastrofer, herunder
udarbejde beredskabsplaner. Denne beredskabsplanlægning sker
efter de
retningslinjer, der følger
af forsvarsministeriets vejledning til statslige myndigheder om
beredskabsplanlægning, der angiver en række principper
for beredskabsplanlægning, der sikrer sammenhæng mellem
ansvar, kompetence og kapacitet, herunder navnlig
sektoransvarsprincippet og nærhedsprincippet. Efter
sektoransvarsprincippet bevarer den myndighed, der har ansvaret for
en opgave til daglig, ansvaret for opgaven under en større
ulykke eller katastrofe. Dette indebærer, at den
sektoransvarlige myndighed skal koordinere med andre myndigheder.
Efter nærhedsprincippet bør beredskabsopgaverne
løses så tæt på borgerne som muligt og
dermed på det lavest egnede, relevante organisatoriske
niveau. I el- og naturgassektorerne indebærer princippet, at
ansvaret for den operative håndtering af en
beredskabssituation og planlægningen af en sådan
placeres lokalt ved virksomhederne, mens Energinet.dk sikrer den
overordnede koordinering i sektorerne af såvel den operative
indsats som planlægningen.
Den nuværende lovgivning for
beredskabsplanlægning i el- og naturgassektorerne omfatter
imidlertid ikke cyber- og informationssikkerhed specifikt.
3.2.2. Energi-,
forsynings- og klimaministeriets overvejelser
Flere virksomheder i el- og
naturgassektorerne har investeret i tekniske og administrative
tiltag, der skal fremme cyber- og informationssikkerheden lokalt.
En regulering af it-beredskabet bør omfatte den lokale
risikostyring og dennes sammenhæng med den sektorielle
risikostyring og derved sikre, at virksomhederne kan benytte sig af
allerede implementerede investeringer og rutiner. Den lokale
risikostyring og omkostningsansvar skal fremme en
omkostningseffektiv anvendelse af ressourcer på baggrund af
erkendte risici. Den lokale risikostyring kræver imidlertid
indsigt i egne systemer og trusselsbilledet samt disses
sammenhæng med og afhængighed af andre systemer. Det er
derfor nødvendigt at pålægge virksomhederne at
etablere procedurer, der sikrer indsigt i relevante trusler samt
procedurer for håndtering af akutte hændelser.
3.2.3. Den
forslåede ordning
Med lovforslaget indføres en
ordning, hvorefter energi-, forsynings- og klimaministeren
bemyndiges til at fastsætte regler, der kan
pålægge virksomhederne at være tilmeldt en
it-sikkerhedstjeneste, der kan supplere meddelelser, der
tilvejebringes gennem netværk med andre virksomheder.
Den forslåede ordning skal
fremme en hensigtsmæssig og effektiv håndtering af
nedbrud i eller trusler mod forsyningskritiske it-systemer. Dette
opnås gennem en risikobaseret it-beredskabsplanlægning
på såvel virksomhedsniveau som sektorniveau. En
afklaring af ansvar og mulighederne for udveksling af informationer
vil fremover kunne effektivisere den samordnede indsats. For at
kunne håndtere de påviste risici effektivt anbefales en
organiseringsmodel, der tilstræber at anvende metoder kendt
fra beredskabsarbejdet. Modellen udnytter synergien med
nuværende opgaver samt fremmer integrationen af it-sikkerhed
i virksomhedernes risikostyring.
Bemyndigelsen til at udstede regler
skal sikre, at den lokale risikostyring inddrager alle
tænkelige forhold af relevans for it-beredskabet. Det er
derfor væsentligt at virksomhederne løbende reviderer
og vurderer, hvilke risici der er relevante for den enkelte
virksomhed, samt hvilke sårbarheder i egne systemer, som
bør håndteres. I denne sammenhæng kan en
virksomhed ikke fraskrive sig ansvaret for en sårbarhed eller
risiko, der er afledt af samarbejdet med en tredjepart eller
leverandør. Disse risici og sårbarheder skal
integreres i virksomhedens risikostyring.
Da der er forskel på
virksomhedernes kritikalitet for den samlede forsyning,
fastsætter energi-, forsynings- og klimaministeren i
medfør af lovforslaget regler, som forudsættes at
indeholde graduerede krav til denne it-sikkerhedstjeneste samt
interne procedurer.
Ved virksomhedens kritikalitet for
den samlede forsyning forstås virksomhedens kritiske
betydning for forsyningen af produktet til slutforbrugerene.
Virksomhedernes forudsættes opdelt efter, om de har kritisk
betydning for den nationale el- og naturgasforsyning, den regionale
el- og naturgasforsyning eller den lokale el- og
naturgasforsyning.
Alle virksomheder forudsættes
endvidere pålagt at være tilknyttet en
varslingstjeneste, der giver varsler om forestående trusler
eller erkendte fare. Virksomheder opdeles endvidere i kategorier.
Virksomheder i kategori 1 og kategori 2 vil endvidere være
pålagt at udarbejde aftale om mulighed for akut bistand fra
en it-sikkerhedstjeneste. Denne aftale forudsættes at
indeholde vilkår om ydelse af bistand ved hændelser
samt vejledning og overvågning. Der er således to
mulige it-sikkerhedstjenester: den generelle, hvorigennem der alene
gives meldinger, og den udvidede, der indebærer ydelser om
konkret bistand.
Virksomheder kan drive it-systemer,
der ikke anses for at være et kritisk it-system for den
enkelte virksomhed, men som kan have indflydelse på driften
af kritiske it-systemer ved andre virksomheder. Bemyndigelsen
forudsættes udnyttet til at udstede regler om, at denne type
systemer skal håndteres efter den akkumulerede kritikalitet
for de virksomheder, der anvender deres systemer. Disse it-systemer
kan have varieret kritikalitet for de enkelte virksomheder. Denne
type it-systemer skal beskyttes ud fra en vurdering af deres
samlede betydning for det samlede forsyningssystem.
Energi-, forsynings- og
klimaministeren bemyndiges i den forslåede ordning til at
fastsætte nærmere kriterier for opdeling af
virksomhederne efter deres kritikalitet.
3.3. Sanktioner og
påbud
3.3.1. Gældende ret
Sanktioner og påbud vedr.
elforsyning er reguleret i lov om elforsyning kapitel 12 a og 13.
Energi-, forsynings- og klimaministeren kan udstede påbud i
henhold til § 85 d i lov om elforsyning, hvorefter forhold der
strider mod lovgivningen skal bringes i orden straks eller efter
nærmere angivet frist.
Det er ikke reguleret i lov om
elforsyning, at energi-, forsynings- og klimaministeren kan
påbyde, at virksomheder, der ikke opfylder et udstedt
påbud i henhold til det foreslåede § 85 d i lov om
elforsyning, for egne midler foretager en it-revision af kritiske
it-systemer ved en uafhængig revisor, der er godkendt af
tilsynsmyndigheden. Ligeledes er det heller ikke reguleret i
gældende lovgivning, at energi-, forsynings- og
klimaministeren, kan påbyde virksomheder at gennemføre
tiltag på baggrund af it-revisionen eller på baggrund
af tilsynet med virksomheden, der tilsikrer overholdelse af det
foreslåede § 85 d, stk. 1, i dette lovforslag.
Der er mulighed for at
iværksætte sanktioner såfremt en virksomhed
undlader at efterkomme et påbud udstedt i henhold til lov om
elforsyning. Der kan således pålægges
bødestraf, hvis en virksomhed undlader at efterkomme et
påbud, jf. § 87, stk. 1, nr. 7, i lov om
elforsyning.
Efter § 54 stk. 1, nr. 1, i
lov om elforsyning kan bevilling endvidere inddrages, hvis
bestemmelser, vilkår eller påbud efter lov om
elforsyning eller lov om vedvarende energi eller regler udstedt i
medfør af disse love gentagene gange overtrædes.
Sanktioner og påbud vedr.
naturgasforsyning er reguleret i lov om naturgasforsyning kapitel 9
a og 10. Der foreligger således efter gældende ret
mulighed for, at energi-, forsynings- og klimaministeren udsteder
påbud i henhold til § 47 b i lov om naturgasforsyning,
hvorefter forhold der strider mod lovgivningen skal bringes i orden
straks eller efter nærmere angivet frist.
Det er ikke reguleret i lov om
naturgasforsyning, at energi-, forsynings- og klimaministeren kan
påbyde, at virksomheder, der ikke opfylder det udstedte
påbud i henhold til gældende lovgivning, for egne
midler foretager en it-revision af kritiske systemer ved en
uafhængig revisor, som er godkendt af tilsynsmyndigheden.
Ligeledes er det heller ikke reguleret i gældende lovgivning,
at energi-, forsynings- og klimaministeren kan påbyde
virksomheder at gennemføre tiltag på baggrund af
it-revisionen eller tilsynet med virksomheden, der tilsikrer
overholdelse af det foreslåede § 85 c, stk. 1, og §
15 b, stk. 1, i dette lovforslag.
Efter gældende ret foreligger
der mulighed for yderligere sanktioner såfremt en virksomhed
undlader at efterkomme et påbud udstedt i henhold til lov om
naturgasforsyning. Efter kapitel 10 i lov om naturgasforsyning kan
pålægges daglige eller ugentlige bøder, hvis en
virksomhed rettidigt undlader at efterkomme et påbud.
Ydermere er der mulighed for, at virksomheden kan få
inddraget sin bevilling efter lov om naturgasforsyning §
33.
3.3.3. Energi-, forsynings- og klimaministeriets
overvejelser
Den teknologiske udvikling har
medført, at også it-systemer inden for
forsyningsområderne, el og naturgas, i stadigt stigende
omfang anvendes til styring af forsyningsvirksomhederne. Dette
indebærer også, at it-systemerne alt afhængig af
virksomhederne og deres forsyningssystemer kan være
kendetegnet ved en større eller mindre grad af kompleksitet.
At opretholde et relevant it-beredskab vil forudsætte en
kortlægning af en given virksomheds it-systemer med henblik
på at tilvejebringe de korrekte og tilstrækkelige
oplysninger om det eller de eksisterende it-systemer. Denne
kortlægning og indhentning af oplysninger vil således
skulle udgøre grundlaget for virksomhedernes egne
beslutninger om at indføre de nødvendige
foranstaltninger til at opretholde et it-beredskab og
tilsynsmyndighedens kontrol med disse foranstaltninger.
Der er i gældende ret ikke
mulighed for, at energi-, forsynings- og klimaministeren kan
påbyde, at virksomheder, der ikke opfylder det udstedte
påbud i henhold til gældende lovgivning, for egne
midler foretager en it-revision af kritiske it-systemer ved en
uafhængig revisor, der er godkendt af tilsynsmyndigheden.
Ligeledes er det heller ikke reguleret i gældende lovgivning,
at energi-, forsynings- og klimaministeren, kan påbyde
virksomheder at gennemføre tiltag på baggrund af
it-revisionen, der tilsikrer overholdelse af det foreslåede
§ 85 c, stk. 1, og § 15 b, stk. 1, i dette
lovforslag.
Manglende overholdelse af
lovforslagets foreslåede § 85 c, stk. 1, og § 15 b,
stk. 1, vurderes at kunne bringe elforsyningen eller
naturgasforsyningen i fare, hvorfor de gældende regler om
påbud og sanktion i lov om elforsyning og lov om
naturgasforsyning ikke er fundet tilstrækkelige.
Energi-, Forsynings- og
Klimaministeriet finder det derfor hensigtsmæssigt, at
ministeren får mulighed for at pålægge
virksomhederne en egentlig it-revision, hvis en given virksomhed
ikke som forudsat kan antages at have foretaget en
tilstrækkelig kortlægning af sine it-systemer.
3.3.4. Den
forslåede ordning
Det foreslås, at der
indføres en ordning, hvorefter energi-, forsynings- og
klimaministeren gives mulighed for at meddele påbud til
virksomheder, der er meddelt påbud om at opretholde et
nødvendigt it-beredskab, jf. det foreslåede § 85
d, i lov om elforsyning eller § 47 b, i lov om
naturgasforsyning, men som ikke har opfyldt påbuddet, om at
virksomheden for egne midler foretager en it-revision af kritiske
it-systemer ved en uafhængig revisor, der er godkendt af
tilsynsmyndigheden.
Det foreslås endvidere, at
energi-, forsynings- og klimaministeren kan påbyde den
pågældende virksomhed at gennemføre de
nødvendige tiltag på baggrund af it-revisionen og
tilsynet i forbindelse hermed, således at kravet om at
opretholde et it-beredskab overholdes.
Med lovforslaget er det
således hensigten, at energi-, forsynings- og klimaministeren
stadig kan anvende de eksisterende sanktionsmuligheder efter lov om
elforsyning og lov om naturgasforsyning ved manglende opfyldelse af
påbuddet udstedt i henhold til gældende lovgivning
efter lov om elforsyning eller lov om naturgasforsyning eller efter
manglende opfyldelse af de i medfør af lovforslaget hjemlede
påbud.
Påbuds- og
sanktionsmulighederne er tiltænkt at foregå i
følgende trin:
1. Energi-, forsynings- og
klimaministeren kan i henhold til det foreslåede § 85 b,
i lov om elforsyning og § 47 b, i lov om naturgasforsyning,
påbyde, at forhold der strider mod den forslåede
bestemmelse i § 85 c, stk. 1 i lov om elforsyning og den
forslåede § 15 b, stk. 1 i lov om naturgasforsyning
bringes i orden straks eller inden nærmere angivet frist.
2. Ved manglende opfyldelse af et
sådant påbud, foreslås det, at energi-,
forsynings- og klimaministeren får mulighed efter det
foreslåede § 85 c, stk. 2 i lov om elforsyning eller
§ 15 b, stk. 2 i lov om naturgasforsyning at påbyde den
pågældende virksomhed at foretage en it-revision af
kritiske systemer ved en uafhængig revisor afholdt for egne
midler.
I de foreslåede bestemmelser
i § 85 c, stk. 5, nr. 6, og i § 15 b, stk. 5, nr. 6, i
lov om naturgasforsyning, er det angivet, at energi-, forsynings-
og klimaministeren fastsætter regler om krav til indholdet af
it-revisionen, herunder at it-revisionen kan indeholde anbefalinger
til en række konkrete tiltag, som skønnes
nødvendige for, at den pågældende virksomhed
overholder kravet om at opretholde et it- beredskab.
3. Undlader den
pågældende virksomhed, at efterkomme de tiltag, der
følger af it-revisionens anbefalinger, følger det af
de foreslåede bestemmelser til § 85 c, stk. 3, og lov om
naturgasforsyning § 15 b, stk. 3, at energi-, forsynings- og
klimaministeren kan påbyde den pågældende
virksomhed at gennemføre de tiltag i it-revisionens rapport
eller tiltag, som tilsynsmyndigheden skønner
nødvendige for at overholde kravet om at opretholde et
it-beredskab.
4. Opfylder den
pågældende virksomhed ikke påbuddet efter
lovforslagets stk. 3, og dermed ikke efterkommer de tiltag, der
følger af it-revisionens anbefalinger eller tiltag, som
tilsynsmyndigheden skønner nødvendige for at
overholde kravet om at opretholde et it-beredskab, kan energi-,
forsynings- og klimaministeren anvende de sanktionsmuligheder, der
følger af gældende ret for sanktioner i
elforsyningsloven, herunder kapitel 13 og naturgasforsyningsloven
herunder kapitel 10 samt inddrage virksomhedens bevilling, jf.
§ 54 i lov om elforsyning og § 33 i lov om
naturgasforsyning.
Det tilsigtes ikke med lovforslaget
at ændre strafferammen. Betingelserne for at inddrage
virksomhedens bevilling forudsættes at ske i overensstemmelse
med gældende praksis.
3.4. Fastsættelse af nærmere regler for
it-beredskabet
3.4.1. Gældende ret
I henhold til § 85 b, stk. 3,
i lov om elforsyning og § 15 a, stk. 3, i lov om
naturgasforsyning, kan energi-, forsynings- og klimaministeren
fastsætte regler for beredskabsarbejdet for virksomhederne,
som er omfattet af lov om elforsyning og lov om
naturgasforsyning.
3.4.2. Energi-,
forsyning- og klimaministeriets overvejelser
Udviklingen inden for såvel
de teknologiske, juridiske og forretningsmæssige rammer har
hidtil medført en udvikling af it-systemers anvendelse og
kritikalitet i energisektoren. Udviklingen sker samtidig med, at
truslerne mod virksomhedernes it-systemer ligeledes udvikles
teknologisk og metodisk. Rammerne og truslernes udvikling
medfører tilsammen et behov for en konstant udvikling af
virksomhedernes it-beredskab. Der er derved behov for at kunne
tilpasse kravene til den lokale risikostyring herunder krav til
organiseringen af it-beredskabet, it-beredskabsplaner,
sårbarhedsvurderinger og adgang til it-sikkerhedsvarsler.
Det vurderes hensigtsmæssigt
at energi-, forsynings- og klimaministeren i lighed med de
almindelige regler for beredskabsarbejdet bemyndiges til at
fastsætte nærmere regler for området for
it-beredskabet, der hidtil ikke har været specifikt
reguleret.
3.4.3. Den
foreslåede ordning
Den foreslåede ordning
indebærer, at energi- forsynings- og klimaministeren
bemyndiges til at fastsætte nærmere regler for
virksomhedernes it-beredskab. Den foreslåede bemyndigelse har
til formål at sikre, at ministeren kan fastsætte mere
detaljerede regler for virksomhedernes it-beredskabsarbejde.
En bemyndigelse skal samtidig
sikre, at energi-, forsynings- og klimaministeren inden for
it-området, der er under udvikling, kan fastsætte
tidssvarende detaljerede regler om virksomhedernes it-forhold,
herunder regler om virksomhedernes it-beredskab,
it-beredskabsplanlægning, it-risikostyring og adgang til
it-sikkerhedsvarsler.
Ved at bemyndige energi-,
forsynings- og klimaministeren til at fastsætte sådanne
regler, vil nye trusler kunne imødegås og relevante
tidssvarende nye rammer for it-beredskabsarbejdet kunne indarbejdes
i kravene til virksomhedernes it-beredskabsarbejde hurtigere, hvis
reglerne udstedes i bekendtgørelsesform, end hvis de
fastsættes ved lov.
Den beskrevne udvikling af
it-sikkerhedsområdet, medfører ligeledes udvikling i
vilkårene for den centrale risikostyring af sektorens
it-beredskab, hvor Energinet.dk som koordinerende overordnet
virksomhed forestår det centrale it-beredskabsarbejde og
koordination i operative it-beredskabssituationer. For at kunne
sikre tidssvarende regler for det centrale it-beredskabsarbejde
under hensyntagen til udviklingen, bemyndiges energi- forsynings-
og klimaministeren ligeledes til at kunne fastsætte regler
for Energinet.dk's varetagelse af den overordnede koordinerende
planlægningsmæssige og operative opgave i relation til
it-beredskabet.
3.5. Tilsyn
3.5.1. Gældende ret
På elforsyningsområdet
er tilsynsarbejdet med det almene beredskab fastsat i § 85 b,
stk. 4, i lov om elforsyning, hvorefter energi-, forsynings- og
klimaministeren kan fastsætte regler om udførelse af
tilsyn med beredskabsarbejdet. Denne bemyndigelse er blevet
udnyttet ved bekendtgørelse nr. 1024 af 21. august 2007 om
beredskab for elsektoren, hvoraf der fastsættes nærmere
regler for tilsynet.
Ved denne bekendtgørelse
bestemmes det, at Energinet.dk udfører tilsyn med de
bevillingspligtige virksomheders beredskabsarbejde, og at
Energistyrelsen fører tilsyn med Energinet.dk's
beredskabsarbejde.
På
naturgasforsyningsområdet er tilsynsarbejdet med det almene
beredskab fastsat i § 15 a, stk. 4, i lov om
naturgasforsyning, hvorefter energi-, forsynings- og
klimaministeren kan fastsætte regler om udførelse af
tilsyn med beredskabsarbejdet. Denne bemyndigelse er blevet
udnyttet ved bekendtgørelse nr. 1025 af 21. august 2007 om
beredskab for naturgassektoren, hvoraf der fastsættes
nærmere regler for tilsynet.
Ved denne bekendtgørelse
bestemmes det, at Energinet.dk udfører tilsyn med de
bevillingspligtige virksomheders beredskabsarbejde og at
Energistyrelsen fører tilsyn med Energinet.dk's
beredskabsarbejde.
De gældende regler vedr.
tilsyn i lov om elforsyning og lov om naturgasforsyning omfatter
alene det almene beredskab og ikke specifikt virksomhedernes og
Energinet.dk's it-beredskab, hvorfor gældende ret i henhold
til lov om elforsyning og lov om naturgasforsyning ikke er fundet
tilstrækkelig til at omfatte tilsyn med it-beredskab.
3.5.2 Energi-,
forsynings- og klimaministeriets overvejelser
Det vurderes hensigtsmæssigt,
at tilsynsmyndigheden for det almene beredskab og it-beredskabet er
den samme, af hensyn til synergi mellem disse opgaver. Samtidig
vurderes den teknologiske og kommercielle udvikling i el- og
naturgassektorerne at kunne medføre behov for, at opgaven
som tilsynsmyndighed kan flyttes til anden relevant myndighed. Det
er derfor hensigtsmæssigt, at give energi-, forsynings- og
klimaministeren mulighed for at fastsætte regler for
varetagelse af tilsynsopgaven i medfør af § 85 b, stk.
4 i lov om elforsyning og § 15 a, stk. 4 i lov om
naturgasforsyning samt de foreslåede bestemmelser til §
85 c, stk. 5 i lov om elforsyning og § 15 b, stk. 5 i lov om
naturgasforsyning i dette lovforslag.
3.5.3. Den
forslåede ordning
Det foreslås, at der
indføres en ordning, hvorefter energi-, forsynings- og
klimaministeren fastsætter regler vedr. tilsynet med
virksomhedernes og Energinet.dk's it-beredskabsarbejde, herunder
tilsynet med virksomhedernes risikostyring, it-beredskabsplaner,
sårbarhedsvurderinger og adgang til it-sikkerhedsvarsler.
Det forudsættes ved
bemyndigelsens udmøntning, at reglerne giver mulighed for at
tilrettelægge tilsynet med virksomhederne, så det
tilpasses til de enkelte virksomheders kritikalitet for den samlede
el- eller naturgasforsyning. Det forventes, at ministeren vil
udstede regler om, at tilsynet med virksomhederne indebærer
såvel tilsynsmøder, løbende underretninger og
skriftlig kommunikation om ændringer af beredskabsplaner samt
risiko- og sårbarhedsvurderinger. Frekvensen af tilsynet
afhænger af en kategorisering af virksomhederne som beskrevet
i punkt 3.2.3. vedr. organisering af beredskabet.
Reglerne forudsættes tillige
at tage højde for, at tilsynet med virksomhedernes
beredskabsarbejde forudsætter fremskaffelse af oplysninger
fra virksomhederne, bl.a. risiko- og sårbarhedsvurderinger
samt beredskabsplaner, procedurer m.m., som er udarbejdet på
grundlag af disse risiko- og sårbarhedsvurderinger. Vurdering
af dette materiale forudsætter faglig viden om
driftsforholdene i de forskellige former for virksomhed inden for
elsektoren. Det forudsættes således, at der
fastsættes regler om, at tilsynsmyndigheden skal have adgang
til oplysninger om aktuelle og historiske driftsforhold ved
Energinet.dk's kontrolcenter for at kunne foretage tilsyn, og at
tilsynsmyndigheden i sit virke skal lægge vægt på
sammenhængen mellem virksomhedernes vurderinger,
beredskabsplaner, øvelser og evalueringer, da det forventes
at virksomhederne, kan dokumentere en løbende udvikling og
læring i it-beredskabsarbejdet.
Ved at give energi-, forsynings- og
klimaministeren bemyndigelse til at fastsætte regler om
tilsynsforhold i relation til it-beredskabsarbejdet i el- og
naturgassektorerne, sikres der er mulighed for at følge den
teknologiske, juridiske og forretningsmæssig udvikling i
sektorerne som beskrevet i punkt 3.4. Tilsynsforholdet anses i
denne sammenhæng for relevant at kunne ændre i lighed
med forhold nævnt i punkt 3.4.
Ved at fastsætte regler om at
tilsynsopgaven varetages af Energinet.dk opnås en
sammenhæng med det tilsynsarbejde Energinet.dk udfører
med virksomhedernes beredskabsarbejde efter § 85 b i lov om
elforsyning og § 15 a i lov om naturgasforsyning. Denne
kompetencefordeling af tilsynsopgaverne kræver, at
Energinet.dk's tilsynsvirksomhed adskilles fra Energinet.dk's
overordnede koordinerende opgaver. Disse overordnede, koordinerende
opgaver forudsætter ligeledes et kendskab til de enkelte
virksomheders it-beredskab, dettes omfang og kvalitet samt det
indbyrdes samspil mellem de forskellige virksomheders beredskab.
Såfremt Energinet.dk varetager opgaven som tilsynsmyndighed,
og derved varetager både de overordnede koordinerende
beredskabsopgaver efter § 85 b, stk. 2, i lov om elforsyning,
og § 15 a, stk. 2, i lov om naturgasforsyning samt
tilsynsopgaver efter dette lovforslag, skal Energinet.dk tilsikre,
at virksomhederne oplyses om, hvilke informationer der anvendes i
tilsynsøjemed. Ved fastsættelse af regler om tilsyn
vil energi-, forsyning- og klimaministeren i denne situation kunne
pålægges at føre tilsyn med Energinet.dk's
tilsynsvirke overfor virksomhedernes it-beredskabsarbejde.
Energistyrelsen vil efter de udstedte regler endvidere kunne
pålægges at føre tilsyn med Energinet.dk's
arbejde med at sikre beskyttelse af egne it-systemer og varetagelse
af de overordnede koordinerende opgaver i
beredskabssituationer.
Såfremt reglerne
fastsætter, at om Energistyrelsen eller ved en anden
kompetent myndighed varetager tilsynsopgaven opnås en klar
adskillelse af den overordnede koordinerende opgave, der fortsat
vil være placeret ved Energinet.dk. Denne opgavefordeling vil
imidlertid ikke kunne udnytte den synergi, der er mellem
varetagelse af tilsynsopgaverne og den koordinerende opgave. Der
vil derfor være behov for at tilsikre, at tilsynsmyndigheden
bibringes det konkrete faglige indsigt gennem et samarbejde med
Energinet.dk samt gennem en formel tilsynsdialog med såvel
Energinet.dk som med virksomhederne. Der vil i en sådan
situation imidlertid være en synergi mellem det tilsyn
tilsynsmyndigheden fører med Energinet.dk og
virksomhederne.
Energi-, forsynings- og
klimaministeren forudsættes ved udstedelse af regler om
tilsynet i forhold til kompetencespørgsmålet at
inddrage følgende forhold:
1. Energistyrelsens
tilsyn med Energinet.dk, herunder Energistyrelsens mulighed for at
føre tilsyn med Energinet.dk's evt. tilsynsførelse
over for virksomhederne.
2. Virksomhedernes
samarbejde med Energinet.dk i såvel beredskabssituationer som
i forbindelse med planlægning af beredskabsarbejdet.
3. Energinet.dk's
interne it-beredskabsarbejde.
4. Sammenhæng
og synergi med andre opgaver inden for Energistyrelsens,
Energinet.dk's og andre myndigheders beredskab.
Ved vurderingen af de enkelte
forhold inddrages tillige hensynet til de kendte truslers karakter,
de økonomiske rammer for Energinet.dk, Energinet.dk's
handler med balancevirksomheder, udviklingen af markedet for
it-serviceydelser og sektorernes øvrige regulering.
3.6. Gebyr for
tilladelser til Energinet.dk
3.6.1. Gældende ret
Det følger af § 51 a,
nr. 2, i lov om elforsyning, at energi-, forsynings- og
klimaministeren kan fastsætte regler om betaling til
dækning af omkostningerne ved behandling af ansøgning
om tilladelse, herunder tilladelser, der er nævnt i §
11, stk. 1, § 12 a, stk. 1, § 21, stk. 1, § 22 a,
stk. 1, § 23, stk. 1, og § 37 a, stk. 1.
Det fremgår af
bemærkningerne til bestemmelsen, at listen over tilladelser,
som der kan kræves gebyr for, ikke er udtømmende.
Henvisningen til § 22 a, stk.
1, i bestemmelsen præciserer, at der skal betales gebyr for
tilladelser til etablering af elforsyningsnet på
søterritoriet og i den eksklusive økonomiske zone,
når nettet opføres af en anden virksomhed end
Energinet.dk
3.6.2 Energi-,
forsynings- og klimaministeriets overvejelser
Det vurderes, at det ikke har
været lovgivers hensigt, at der for tilladelser til
etablering af elforsyningsnet på søterritoriet skal
kunne opkræves gebyr fra andre virksomheder, men altså
ikke fra Energinet.dk. Ud fra ordlyden af § 51 a, kan man dog
få det indtryk, at dette er retstilstanden. Det
foreslås derfor, at det præciseres i bestemmelsen, at
der kan opkræves gebyrer fra Energinet.dk, ligesom der kan
opkræves gebyrer fra andre virksomheder for tilladelser til
etablering af elforsyningsnet på søterritoriet
3.6.3. Den
foreslåede ordning
Den foreslåede ændring
indebærer, at det præciseres i § 51 a, nr. 2, at
energi-, forsynings- og klimaministeren kan fastsætte regler
om betaling til dækning af omkostningerne ved behandling af
ansøgning om tilladelse, herunder tilladelser efter § 4
a i lov om Energinet.dk til etablering af samt væsentlige
ændringer i elforsyningsnet på søterritoriet
eller i den eksklusive økonomiske zone.
3.7. Indtægtsrammeforhøjelser for
netvirksomheder
3.7.1. Gældende ret
Den økonomiske regulering af netvirksomheder
fremgår af kapitel 10 i lov om elforsyning. Det fremgår
af § 70, at netvirksomhederne er underlagt en
indtægtsrammeregulering, som dels er reguleret i loven, dels
er reguleret ved bekendtgørelser. Det fremgår
således af § 70, stk. 2, 1. pkt., i lov om elforsyning,
at energi-, forsynings- og klimaministeren fastsætter regler
om indtægtsrammerne. Det fremgår endvidere af §
70, stk. 2, 2. pkt., at det som led i denne regulering sikres, at
tarifferne i faste priser regnet som et gennemsnit ikke stiger i
forhold til tarifferne pr. 1. januar 2004, idet kapital, der
finansierer nødvendige nyinvesteringer, dog fortsat skal
kunne forrentes og afskrives.
Elforsyningsloven indeholder en
række bestemmelser, som muliggør forhøjelse af
indtægtsrammerne. Det fremgår eksempelvis af § 70,
stk. 8, 1. pkt., i lov om elforsyning, at Energitilsynet kan
forhøje virksomhedens indtægtsramme med et
beløb, der kompenserer for eventuelle afholdte omkostninger
ved pålæg fra myndigheder eller Energinet.dk, der
indebærer en væsentlig fremskyndelse af
vedligeholdelsesarbejder, udskiftninger eller tekniske tilpasninger
af eksisterende anlæg. Det fremgår endvidere af §
70, stk. 8, 2. pkt., i lov om elforsyning, at Energitilsynet kan
forhøje indtægtsrammen med et beløb, der
kompenserer for væsentlige meromkostninger som følge
af pålæg fra myndigheder, som ligger ud over
forpligtelsen til at drive nettene, jf. § 20, stk. 1, i lov om
elforsyning, og som ikke er omfattet af § 70, stk. 4, i lov om
elforsyning. § 70, stk. 4, vedrører forhøjelser
af indtægtsrammen som følge af nødvendige
nyinvesteringer.
3.7.2. Energi-,
forsynings- og klimaministeriets overvejelser
Det er fundet nødvendigt at sikre et klart retsgrundlag
for forøgelse af netvirksomhedernes indtægtsrammer.
Denne overvejelse begrundes med, at Energiklagenævnet har
truffet tre afgørelser om forståelsen af
myndighedspålæg i § 70, stk. 8. Der kan henvises
til Energiklagenævnets afgørelse af 12. maj 2014 om
afslag på forhøjelse af indtægtsramme (J.nr.
1011-13-93-17), afgørelse af 28. oktober 2015 om afslag
på forhøjelse af indtægtsramme (J.nr.
1011-14-166-36) og afgørelse af 29. juni 2016 om afslag
på indtægtsrammeforhøjelse - omkostninger vedr.
etablering af Cityring (metro) (J.nr. 2011-15-44-16). Det
fremgår af Energiklagenævnets seneste afgørelse
af 29. juni 2016, hvor der henvises til de to tidligere
afgørelser, at der »ved myndighedspålæg -
eller pålæg fra Energinet.dk - menes individuelle
pålæg i form af konkrete forvaltningsafgørelser
og ikke generelle retsakter i form af f.eks. lovregulering, som i
den omhandlede sag.«
Det er hensigten med denne lovændring at netvirksomhederne
kan fåforøget deres indtægtsramme alene for
dokumenterede meromkostninger forbundet med krav om tilmelding til
en it-sikkerhedstjeneste. I lyset af ovenstående
administrative praksis findes det hensigtsmæssigt at sikre et
klart retsgrundlag i denne sammenhæng.
3.7.3. Den
foreslåede ordning
Det er hensigten med dette lovforslag om it-beredskab, at der
skal være mulighed for forhøjelse af
indtægtsrammen som følge af kravet om, at
netvirksomhederne skal være tilmeldt en
it-sikkerhedstjeneste, som energi-, forsynings- og klimaministeren
får hjemmel til at fastsætte ved
bekendtgørelse.
Det er ikke tilsigtet, at der skal udarbejdes individuelle
pålæg i form af konkrete afgørelser. Det
vurderes derfor hensigtsmæssigt, at der sikres et klarere
retsgrundlag for at kunne forhøje indtægtsrammen i
forbindelse med de foreslåede regler om it-beredskab.
På den baggrund foreslås, at der indsættes en
særskilt hjemmel i lov om elforsyning, hvorefter energi-,
forsynings- og klimaministeren kan fastsætte regler om, at
Energitilsynet kan forhøje en virksomheds
indtægtsramme som følge af dokumenterede
meromkostninger, som følger af krav om tilmelding til en
it-sikkerhedstjeneste.
For at der ikke skabes uklarhed om retstilstanden i forhold til
allerede fastsatte regler med hjemmel i § 70, stk. 2, i lov om
elforsyning foreslås, at den nye hjemmel også kommer
til at omfatte regler om forhøjelse af indtægtsrammen
i forhold til meromkostninger, som udspringer af krav om
udskiftning og opgradering af elmålere til fjernaflæste
målere, ved fremskyndelse af investeringer i
fjernaflæste elmålere og indsendelse af timemålte
forbrugsdata til datahubben, hvor disse krav er fastsat i henhold
til regler fastsat af energi-, forsynings- og klimaministeren i
medfør af § 20, stk. 2, og § 22, stk. 4, i lov om
elforsyning, og som følge af krav om sikring af realisering
af dokumenterbare energibesparelser i overensstemmelse med regler
fastsat i medfør af § 22, stk. 4, jf. § 22, stk.
1, nr. 5.
4. Økonomiske og administrative konsekvenser for
det offentlige
Der forventes økonomiske og
administrative konsekvenser for det offentlige i forbindelse med
gennemførelse af tilsyn med virksomhederne og Energinet.dk's
efterlevelse af regler i medfør af dette lovforslag. .
Tilsynet forventes gebyrfinansieret jf. elforsyningsloven §
51, stk. 2 og naturgasforsyningsloven § 30, stk. 2.
Energistyrelsens tilsynsopgaver over for Energinet.dk forventes
afholdt inden for 500 arbejdstimer årligt, a 927 kr. pr.
arbejdstime i 2016. Dette medfører en samlet omkostning
på ca. 463.500 kr. årligt. Af hensyn til områdets
tekniske karakter forventes der endvidere anvendt ekstern
konsulentbistand til kvalitetssikring af tilsynsarbejdet i ca. 50
timer årligt anslået til 1.250 kr. pr. arbejdstime, i
alt ca. 62.500 kr. årligt. Der forventes således en
samlet omkostning forbundet med Energistyrelsens tilsyn med
Energinet.dk på i alt ca. 526.000 kr. årligt.
For Energistyrelse vil det
skønsmæssigt tage ca. 600 arbejdstimer årligt
til opgaven med udstedelse af tilladelser efter § 4 a i lov om
Energinet.dk. Satsen for gebyropkrævning er 927 kr. pr.
arbejdstime i 2016. Det medfører en samlet omkostning
på ca. 556.200 kr. årligt, som Energinet.dk vil skulle
betale til Energistyrelsen. Da beløbet forudsættes
opkrævet som en del af den samlede gebyrbetaling og
også har været opkrævet i tidligere praksis,
indebærer forslaget hverken administrative eller
økonomiske konsekvenser for staten.
Der er ingen økonomiske og
administrative konsekvenser for regioner og kommuner.
5. Økonomiske og administrative konsekvenser for
erhvervslivet mv.
Forslaget forventes at
medføre en samlet omkostning for el- og
naturgasvirksomhederne og Energinet.dk på ca. 38,3 mio. kr.
årligt fordelt på direkte løbende
efterlevelsesomkostninger på ca. 24,5 mio. kr., øget
gebyropkrævning fra Energinet.dk på ca. 0,5 mio. kr.
(beskrevet i punkt 4) samt løbende administrative
efterlevelsesomkostninger på ca. 13,3 mio. kr. foruden en
administrativ omstillingsomkostning i 2017 på ca. 10,5 mio.
kr.,
Energinet.dk forventes at afholde
ca. 2,7 mio. kr. af de løbende administrative omkostninger
og ca. 2,0 mio. kr. af de administrative
omstillingsomkostninger.
Af hensyn til at sikre proportionalitet mellem virksomhedernes
administrative ressourceforbrug i medfør af dette lovforslag
og de enkelte virksomheders kritikalitet for forsyningen af el og
naturgas opdeles virksomhederne i tre kategorier. Disse tre
kategorier påfører virksomhederne
differentierede administrative
omkostninger. Virksomhederne kategoriseres efter bestemmelser fra
energi- forsynings- og klimaministeren som beskrevet i punkt
3.2.
I lovforslaget foreslås, at
netvirksomheder får mulighed for at forhøje
indtægtsrammen, hvilket ville kunne forøge prisen
på el for alle elforbrugere, herunder virksomheder.
5.1 Løbende
efterlevelsesomkostninger
Det forventes, at virksomhederne og
Energinet.dk tilsammen pålægges øvrige
efterlevelsesomkostninger som følge af denne
lovændring på ca. 24,5 mio. kr. Denne omkostning
skyldes hovedsageligt, at virksomhederne i el- og
naturgassektorerne pålægges at være tilknyttet en
kompetent it-sikkerhedstjeneste. Alle virksomheder vil være
pålagt at være tilknyttet en varslingstjeneste, der
giver varsler om forestående trusler eller erkendte farer.
Virksomheder i kategori 1 og kategori 2 vil endvidere være
pålagt at udarbejde aftale om mulighed for akut bistand fra
en it-sikkerhedstjeneste. Denne aftale vil indebære bistand
ved hændelser samt vejledning og overvågning. Der er
således to mulige it-sikkerhedstjenester i det generelle, der
alene giver meldinger og den udvidede, der giver konkret
bistand.
It-sikkerhedstjenesten forventes
varetaget af private virksomheder gennem kontrakter med de enkelte
el- og naturgasvirksomheder, dog er det muligt for de enkelte
virksomheder at varetage denne funktion selv. Det kræver dog
særlige it-kompetencer. Det er muligt for virksomhederne at
indgå et samlet udbud, hvorved de samlede omkostninger
forventes mindsket. På baggrund af en
markedsundersøgelse skønnes det, at omkostningerne
til en it-sikkerhedstjeneste vil beløbe sig til ca. 23 mio.
kr. årligt.
Foruden disse omkostninger
pålægges Energinet.dk en række opgaver forbundet
med at varetage de overordnede koordinerende opgaver. Disse opgaver
omfatter bl.a. en vagtordning, der i synergi med nuværende
organisation vil kunne varetage en række opgaver forbundet
med at koordinere og vejlede ved akutte sikkerhedshændelser.
Denne opgave omfatter også at tilsikre at it-sikkerhed
inddrages i sektorberedskabsplanerne og ajourføre planerne i
forhold til nye sårbarheder og trusler. Energinet.dk
pålægges endvidere at bidrage til udarbejdelsen af
sektorspecifikke trusselsvurderinger i samarbejde med Center for
Cybersikkerhed. Dertil kommer den omfattende opgave med at
føre tilsyn med og vejlede virksomheder i deres
beredskabsplanlægning og risiko- og
sårbarhedsvurderinger, der ved lovforslagets
ikrafttræden pålægges Energinet.dk
De samlede øvrige
løbende efterlevelsesomkostninger beløber sig
således til 24,5 mio. kr., hvoraf Energinet.dk forventes
pålagt en omkostning på ca. 1,5 mio. kr.
5.2 Administrative
efterlevelsesomkostninger
Der forventes en række
administrative omkostninger ved de enkelte virksomheder i
forbindelse med pålagte opgaver med løbende
risikovurdering og revision af leverandøraftaler, deltagelse
i fora for vidensdeling samt rapportering af
sikkerhedshændelser og -øvelser i forsyningskritiske
it-systemer. Disse administrative omkostninger afhænger i
høj grad af virksomhedernes nuværende processer for
styring af it-sikkerhed, samtidig kan de variere afhængigt af
it-sikkerhedshændelser, leverandørkontrakter og
it-faglige kompetencer ved medarbejderne. Der er gennemført
en undersøgelse af disse omkostninger, der har vurderet, at
de samlede omkostninger skønnes at beløbe sig til ca.
13,3 mio. kr. årligt.
5.3. Administrative omstillingsomkostninger
Det må forventes, at der er
visse administrative omstillingsomkostninger for erhvervslivet og
Energinet.dk forbundet med lovforslaget og bekendtgørelsen.
De samlede omkostninger er skønnet til ca. 10,5 mio. kr.
Beløbets størrelse skyldes de nye opgaver, der skal
varetages af virksomhederne, hvorfor der er omkostninger forbundet
etablering af procedure og planmateriel samt uddannelse af
medarbejdere. Omkostningerne anses for begrænset af, at
lovforslaget anvender metoder kendt fra beredskabsarbejdet,
herunder risiko- og sårbarhedsstyring,
øvelsesaktivitet og beredskabsplanlægning, hvilket
muliggør at udnytte synergi med det almene bredskabsarbejde
i de enkelte virksomheder.
5.4. Forøgelse af indtægtsrammer ved
netvirksomheder
Det er hensigten med dette lovforslag om it-beredskab, at der
skal være mulighed for forhøjelse af
indtægtsrammen som følge af kravet om, at
netvirksomhederne skal være tilmeldt en
it-sikkerhedstjeneste, som energi-, forsynings- og klimaministeren
får hjemmel til at fastsætte ved bekendtgørelse.
Netvirksomhederne vil derved kunne få kompenseret de
løbende efterlevelsesomkostninger til en
it-sikkerhedstjeneste via en indtægtsrammeforøgelse.
Dette vedrører alene 64 netvirksomheder, hvoraf ca. 12
forventes placeret i kategori 1 og kategori 2. Samtidig er det
alene omkostninger til it-sikkerhedstjenesten, der kan
dækkes, det vil sige de 23 mio. kr. behandlet i pkt. 5.1. Den
samlede indtægtsrammeforøgelse vil beløbe sig
til ca. 10 mio. kr. årligt. Da hver virksomhed i kategori 1
og kategori 2 forventes at have omkostninger på omkring
500.000 kr. årligt mens hver virksomhed i kategori 3
forventes at have omkostninger på omkring 80.000 kr.
årligt.
5.5. Gebyrer
Eneginet.dk pålægges et
gebyr til at afholde de omkostninger, som Energistyrelsen har som
følge af tilsyn med Energinet.dk. Disse omkostninger
forventes at beløbe sig til 500 arbejdstimer årligt a
927 kr. pr. time, og indebærer tilsyn med Energinet.dk's
drift af egne it-systemer, samt tilsyn med Energinet.dk's
tilsynsvirksomhed over for virksomhederne i el- og
naturgassektorerne. Grundet tilsynsarbejdets it-faglige karakter
forventes der behov for konsulentbistand til faglige vurderinger
for omkring 50 arbejdstimer årligt 1.250 kr. pr time.
På denne baggrund forventes de samlede gebyrer for tilsynet
pålagt Energinet.dk at beløbe sig til ca. 526.000
kr.
Herudover vil der
skønsmæssigt medgå ca. 600 arbejdstimer
årligt til opgaven med udstedelse af tilladelser efter §
4 a i lov om Energinet.dk. Satsen for gebyropkrævning er 927
kr. pr. arbejdstime i 2016. Det medfører en samlet
omkostning på ca. 556.200 kr. årligt, som Energinet.dk
vil skulle betale til Energistyrelsen. Da beløbet
forudsættes opkrævet som en del af den samlede
gebyrbetaling og også har været opkrævet i
tidligere praksis, indebærer forslaget hverken administrative
eller økonomiske konsekvenser for Energinet.dk.
5.6 Økonomisk opsummering
På baggrund af
overstående forventes de samlede udgifter pålagt
virksomhederne sammenlagt at beløbe sig til 33,6 mio. kr.
Heraf er 10,6 mio. kr. administrative omkostninger, mens 23,0 mio.
kr. er øvrige efterlevelsesomkostninger.
Dertil kommer omkostninger for
Energinet.dk der vurderes sammenlagt at beløbe sig til 4,7
mio.kr årligt. Heraf er 2,7 mio. kr. administrative
omkostninger, 1,5 mio. kr. øvrige efterlevelsesomkostninger
og 0,5 mio. kr. er gebyrer.
Der forventes derved en samlet
økonomisk omkostning ved lovforslaget på i alt 38,3
mio. kr. årligt.
6. Administrative
konsekvenser for borgere
Der eringen administrative
konsekvenser for borgerne afledt af lovforslaget.
7. Miljømæssige konsekvenser
Der er ingen
miljømæssige konsekvenser afledt af lovforslaget.
8. Forholdet til
EU-retten
Med vedtagelsen af lovforslaget
sikres det, at der ikke er modstrid mellem elforsyningsloven og
bestemmelserne i forordningen, der har umiddelbar retsvirkning i
national ret, og at der er sanktioner i tilfælde af
overtrædelse af forordningerne.
9. Hørte
myndigheder og organisationer mv.
Tre udkast til lovforslag har henholdsvis i perioderne fra den
22. august 2016 til den 19. september 2016, fra den 21. september
til den 28. september og fra den 7. oktober 2016 til den 14.
oktober 2016 været sendt i høring hos følgende
myndigheder og organisationer m.v.: Advokatsamfundet, Affald Plus,
Aluminium Danmark, Arbejderbevægelsens Erhvervsråd,
Arbejdstilsynet, ARI, Brancheforeningen for Biogas,
Brancheforeningen for Decentral Kraftvarme, Brancheforeningen for
Husstandsvindmøller, Business Danmark, Center for
cybersikkerhed, CEPOS, Cevea, DAKOFA, Danmarks
Naturfredningsforening, Danmarks Vindmølleforening, Dansk
Affaldsforening, Dansk Byggeri, Dansk Energi, Dansk Erhverv, Dansk
Fjernvarme, Dansk Gartneri, Dansk Gasteknisk Center, Dansk Internet
Forum (DIFO), DANSK IT, Dansk Landbrugsrådgivning, Dansk
Metal, Dansk Solcelleforening, Dansk Told- og Skatteforbund, Danske
Advokater, Danske Erhvervsskoler og -Gymnasier, Danske
Halmleverandører, Danske Produktionsskolers
Lærerforening, Danske Underviserorganisationers Samråd,
Danske Universiteter, DANVA, Datatilsynet, Dansk Industri, DKCERT,
Eksportrådet, EmballageIndustrien, Energi Danmark, Energi- og
Olieforum, Energiforum Danmark, Energiklagenævnet,
Energinet.dk, Energitilsynet, Erhvervsstyrelsen, Finansforbundet,
Finansrådet, Forbrugerrådet Tænk, Foreningen af
Danske Skatteankenævn, Foreningen af Rådgivende
Ingeniører, Foreningen Danske Kraftvarmeværker,
Foreningen Danske Olieberedskabslagre, Foreningen Danske Revisorer,
Foreningen for Danske Biogasanlæg, Forstanderkredsen for
Produktionsskoler, Frie Funktionærer, FSE, FSR - danske
revisorer, FTF, Fødevarestyrelsen, Greenpeace Danmark, HK,
HOFOR, Håndværksrådet, IT-Branchen, IT-Politisk
Forening, KL, Konkurrence- og Forbrugerstyrelsen, Kraka,
Kystdirektoratet, Metalemballagegruppen, Mineralolie
Brancheforeningen, Moderniseringsstyrelsen, Nasdaq OMX Copenhagen
A/S, Nationalbanken, Nationalt Center for Miljø og Energi,
Natur- og Miljøklagenævnet, Nordisk Folkecenter for
Vedvarende Energi, Partnerskabet for brint og
brændselsceller, Plastindustrien, Produktionsskoleforeningen,
PROSA, Realkreditforeningen, Realkreditrådet,
Rigspolitichefen, Rigspolitiets Cyber Crime Center, Rådet for
Digital Sikkerhed, Sammenslutningen af Landbrugets
Arbejdsgiverforeninger, Sammensluttede Danske Energiforbrugere,
Samvirkende Energi- og Miljøkontorer, SEGES,
Serviceforbundet, Sikkerhedsstyrelsen, SRF Skattefaglig Forening,
Statens IT-projektråd, Telekommunikationsindustrien (TI),
Vedvarende Energi, VELTEK og Vindmølleindustrien.
I forbindelse med høringen
af ovenstående, har berørte virksomheder, såvel
produktionsselskaber, netselskaber, balanceansvarlige og
interesseorganisationer været indbudt til et
dialogmøder ved Energistyrelsen. Ved disse møder er
indholdet af lovforslaget blevet drøftet.
10. Sammenfattende
skema
| Positive konsekvenser/mindreudgifter (hvis ja, angiv omfang) | Negative konsekvenser/merudgifter (hvis
ja, angiv omfang) | Økonomiske konsekvenser for stat,
kommuner og regioner | Ingen | Ingen | Administrative konsekvenser for stat,
kommuner og regioner | Ingen | Lovforslaget medfører en stigning i
antallet af tilsynssager for Energistyrelsen. Denne
gebyrfinansieres. | Økonomiske konsekvenser for
erhvervslivet | Ingen | Virksomhederne skal være tilmeldt en
varslingstjeneste, der leverer varsler og leverer vejledning af de
virksomheder, der anses for kritiske på national og regionalt
niveau. Omkostningerne til en sådan tjeneste afholdes ved
virksomhederne. Energinet.dk pålægges endvidere en
række opgaver forbundet med den koordinerende funktion,
heriblandt løbende kontakt til myndighederne og
virksomhederne. Energinet.dk pålægges endvidere et
gebyr til finansiereng af Energistyrelsens tilsyn med Energinet.dk.
Samlet set vurderes disse omkostninger ikke at overstige 25,0 mio.
kr. årligt. | Administrative konsekvenser for
erhvervslivet | Ingen | Virksomhederne skal varetage egen
it-sikkerhedsstyring samt bidrage til sektorernes samlede
it-sikkerhed. Dette medfører, at virksomhederne
planlægger og risikovurderer løbende samt udarbejder
evalueringer og erfaringer på baggrund af hændelse og
øvelser. De samlede administrative omkostninger forventes
ikke at overstige 13,3 mio. kr. årligt. | Miljømæssige
konsekvenser | Ingen | Ingen | Administrative konsekvenser for
borgerne | Ingen | Ingen | Forholdet til EU-retten | Med vedtagelsen af lovforslaget sikres
det, at der ikke er modstrid mellem elforsyningsloven og
bestemmelserne i forordningen, der har umiddelbar retsvirkning i
national ret, og at der er sanktioner i tilfælde af
overtrædelse af forordningerne. | Overimplementering af EU-retlige
mini-mumsforpligtelser (sæt X) | Ja | Nej | | X |
|
Bemærkninger til lovforslagets
enkelte bestemmelser
Til §
1
Til nr. 1
Den gældende § 51, stk.
2, indebærer, at der kan opkræves gebyr for
Energistyrelsens tilsyn med bevillingshavere samt Energinet.dk og
denne virksomheds helejede datterselskaber, herunder bl.a. for
klagesagsbehandling.
Det foreslås, at § 51,
stk. 2, ændres, således at der skabes hjemmel til, at
myndigheders tilsyn med it-beredskabsopgaver efter den
foreslåede § 85 c, stk. 2, kan gebyrfinansieres.
Den foreslåede ordning
indebærer, at bestemmelsen ændres, så det klart
fremgår af bestemmelsen, at der kan kræves gebyr for
tilsyn med beredskabsopgaver efter § 85 c, stk. 6. Herudover
ændres bestemmelsen, så virksomheder, der yder
balanceringsydelser, og som bliver omfattet af krav efter den
foreslåede ændring af § 85 d, stk. 1, om
opretholdelse af et it-beredskab, kan opkræves gebyr i
forbindelse med myndigheders tilsyn.
Formålet med ændringen
er at sikre finansieringen af den nye tilsynsopgave, som
følger af den foreslåede bestemmelse i § 85 c,
jf. lovforslagets § 1, nr. 7. Ændringen betyder, at de
kollektive elforsyningsvirksomheder skal betale for de timer, som
Energistyrelsen anvender til at føre tilsyn med
virksomhederne til en tilsynssats, som vil blive fastsat ved
bekendtgørelse. Den foreslåede ændring har ikke
til hensigt at begrænse anvendelsesområdet for den
gældende § 51, stk. 2.
Til nr. 2
Efter § 51 a, nr. 2, kan
energi-, forsynings- og klimaministeren fastsætte regler om
betaling til dækning af omkostningerne ved behandling af
ansøgning om tilladelse, herunder de tilladelser, der er
nævnt i § 11, stk. 1, § 12 a, stk. 1, § 21,
stk. 1, § 22 a, stk. 1, § 23, stk. 1, og § 37 a,
stk. 1.
Efter den gældende
bestemmelse er det præciseret, at der skal betales gebyr for
tilladelser til etablering af elforsyningsnet på
søterritoriet og i den eksklusive økonomiske zone,
når nettet opføres af en anden virksomhed end
Energinet.dk.
Det foreslås, at der i
bestemmelsen indsættes en henvisning til § 4 a, stk. 1,
i lov om Energinet.dk.
Den foreslåede ændring
indebærer, at ministeren kan fastsætte regler om, at
Energinet.dk skal betale for myndighedsbehandling af tilladelser
til etablering af nye elforsyningsnet på søterritoriet
og i den eksklusive økonomiske zone samt væsentlige
ændringer i bestående elforsyningsnet og for
tilladelser til miljøgodkendelse til sådanne
projekter.
Ændringen har til
formål at præcisere, at der kan opkræves gebyrer
fra Energinet.dk, ligesom der kan opkræves gebyrer fra andre
virksomheder, som ønsker at opføre et elforsyningsnet
på søterritoriet eller i den eksklusive
økonomiske zone.
Ifølge bemærkningerne
til § 51 a forudsættes det, at ministeren kan
fastsætte regler om betaling til dækning af
omkostningerne ved behandling af ansøgninger om tilladelser,
herunder tilladelse til elforsyningsnet på
søterritoriet m.v., jf. betænkning afgivet den 26.
april 2007, jf. Folketingstidende 2006-2007, tillæg B, side
888-902. Bemærkningerne nævner ikke, at der skulle
gælde særlige regler for tilladelser til Energinet.dk.
Det vurderes på denne baggrund, at det er en fejl, at §
51 a, nr. 2, ikke indeholder en henvisning til § 4 a i lov om
Energinet.dk. Med den foreslåede præcisering vil fejlen
blive rettet, således at det klart fremgår, at der kan
kræves gebyrer fra Energinet.dk for tilladelse til
elforsyningsnet på søterritoriet.
Der vil blive fastsat nærmere regler om
betalingsinddrivelsen ved bekendtgørelse. Reglen
forudsættes administreret efter de samme principper som andre
gebyrbetalinger fra Energinet.dk til Energistyrelsen, der aktuelt
er reguleret i bekendtgørelse om betaling for
myndighedsbehandling efter lov om elforsyning og lov fremme af
vedvarende energi. Beløbet vil således blive
opkrævet som en del af de samlede aconto-betalinger for
gebyrer fra Energinet.dk til Energistyrelsen, som justeres i
forhold til det egentlige tidsforbrug til opgavevaretagelsen i
Energistyrelsen ved årets udgang.
Til nr. 3
Det fremgår af § 70, stk. 2, 1. pkt., i lov om
elforsyning, at energi-, forsynings- og klimaministeren
fastsætter regler om indtægtsrammer. Det fremgår
endvidere af § 70, stk. 2, 2. pkt., at det som led i denne
regulering sikres, at tarifferne i faste priser regnet som et
gennemsnit ikke stiger i forhold til tarifferne pr. 1. januar 2004,
idet kapital, der finansierer nødvendige nyinvesteringer,
dog fortsat skal kunne forrentes og afskrives.
Elforsyningsloven indeholder en række bestemmelser, som
kan føre til forhøjelse af indtægtsrammerne.
Det fremgår således af § 70, stk. 8, 1. pkt., i
lov om elforsyning, at Energitilsynet kan forhøje
virksomhedens indtægtsramme med et beløb, der
kompenserer for eventuelle afholdte omkostninger ved
pålæg fra myndigheder eller Energinet.dk, der
indebærer en væsentlig fremskyndelse af
vedligeholdelsesarbejder, udskiftninger eller tekniske tilpasninger
af eksisterende anlæg. Det fremgår endvidere af §
70, stk. 8, 2. pkt., i lov om elforsyning, at Energitilsynet kan
forhøje indtægtsrammen med et beløb, der
kompenserer for væsentlige meromkostninger som følge
af pålæg fra myndigheder, som ligger ud over
forpligtelsen til at drive nettene, jf. § 20, stk. 1, i lov om
elforsyning, og som ikke er omfattet af § 70, stk. 4, i lov om
elforsyning. Lovens § 70, stk. 4, vedrører
forhøjelser af indtægtsrammen som følge af
nødvendige nyinvesteringer.
Energiklagenævnet har truffet tre afgørelser om
forståelsen af myndighedspålæg, jf.
Energiklagenævnets afgørelse af 12. maj 2014 om afslag
på forhøjelse af indtægtsramme (J.nr.
1011-13-93-17), afgørelse af 28. oktober 2015 om afslag
på forhøjelse af indtægtsramme (J.nr.
1011-14-166-36) og afgørelse af 29. juni 2016 om afslag
på indtægtsrammeforhøjelse - omkostninger vedr.
etablering af Cityring (metro) (J.nr. 2011-15-44-16).
Det fremgår af Energiklagenævnets seneste
afgørelse af 29. juni 2016, hvor der henvises til de to
tidligere afgørelser, at der »ved
myndighedspålæg - eller pålæg fra
Energinet.dk - menes individuelle pålæg i form af
konkrete forvaltningsafgørelser og ikke generelle retsakter
i form af f.eks. lovregulering, som i den omhandlede
sag.«
Det er hensigten med dette lovforslag om it-beredskab, at der
skal være mulighed for forhøjelse af
indtægtsrammen som følge af kravet om, at
netvirksomhederne skal være tilmeldt en
it-sikkerhedstjeneste, som energi-, forsynings- og klimaministeren
får hjemmel til at fastsætte ved bekendtgørelse
efter den foreslåede bestemmelse til § 85 c, stk. 5, nr.
4, i lov om elforsyning og bemærkninger hertil. Der henvises
endvidere til de almindelige bemærkninger afsnit 3.2. Det er
ikke tilsigtet, at der skal udarbejdes individuelle
pålæg i form af konkrete afgørelser.
På den baggrund foreslås, at der indsættes en
hjemmel i § 70, stk. 15, i lov om
elforsyning, hvorefter energi-, forsynings- og klimaministeren kan
fastsætte regler om, at Energitilsynet kan forhøje en
virksomheds indtægtsramme som følge af dokumenterede
meromkostninger, som udspringer af krav om tilmelding til en
it-sikkerhedstjeneste. Det fremgår, at omkostningerne skal
være dokumenterede. Der forventes fastsat regler om, at
indtægtsrammeforhøjelsen vil vedrøre de
omkostninger, som kan dokumenteres i henhold til en kontrakt med en
it-sikkerhedstjeneste om varslingsydelse og akut bistand til
virksomheder i kategori 1 og 2. Det forventes også, at
ministeren vil fastsætte regler om, at kontrakterne skal
godkendes af tilsynsmyndigheden i medfør af forslaget til
§ 85 d, stk. 6. Indtægtsrammen vil ikke kunne
forhøjes på baggrund af f.eks. intern administration
afledt af kravet om tilmelding til en it-sikkerhedstjeneste.
Reglerne om forhøjelsen af indtægtsrammen forventes
at give mulighed for en midlertidig forhøjelse, som vil
følge kontraktens løbetid. Forhøjelsen vil
nødvendigvis skulle ske efter ansøgning, idet det er
Energitilsynet, som træffer afgørelse om
fastsættelse af indtægtsrammen. Energi-, forsynings- og
klimaministeren vil kunne fastsætte regler herom i
medfør af § 70, stk. 2, i lov om elforsyning.
Der er udstedt to bekendtgørelser med hjemmel i §
70, stk. 2, som giver mulighed for
indtægtsrammeforhøjelser på baggrund af
udmøntede regler i bekendtgørelserne, uden at der er
givet individuelle pålæg i form af konkrete
afgørelser. Det drejer sig om bekendtgørelse nr. 1358
af 3. december 2013 om fjernaflæste elmålere og
måling af elektricitet i slutforbruget og
bekendtgørelse nr. 830 af 27. juni 2016 om
energispareydelser i net- og distributionsvirksomheder.
Det fremgår af bemærkningerne til § 22, stk. 9,
i lov om elforsyning, som indsat ved lov nr. 622 af 11. juni 2010,
jf. Folketingstidende 2009-2010, tillæg A, L 154, side 21 og
22, at en netvirksomheds omkostninger til myndighedspålagte
energibesparelser hos slutbrugerne dækkes af en
forhøjelse af virksomhedens tariffer på baggrund af en
forhøjelse af indtægtsrammen, der dækker
omkostningerne til energispareindsatsen, jf. § 70, stk. 7, 2.
pkt., i lov om elforsyning. Det fremgår endvidere af
forarbejderne til lov nr. 642 af 12. juni 2013, jf. nærmere
de almindelige bemærkninger afsnit 4. Økonomiske og
administrative konsekvenser for erhvervslivet, Folketingstidende
2012-2013, tillæg A, L 180, side 17, at hvis hjemlen til at
udstede regler med efterfølgende påbud om installation
af fjernaflæste målere udnyttes, vil netvirksomhederne
kunne få forhøjet deres indtægtsrammer
midlertidigt til dækning af meromkostningerne.
På baggrund af ovenstående er det vurderet, at der
er tilstrækkelig hjemmel til fastsættelse af de
gældende regler i de to bekendtgørelser om
indtægtsrammeforhøjelser, men for at undgå
uklarhed om hjemmelsgrundlaget foreslås, at forslaget til
bemyndigelsen i § 70, stk. 15, også indeholder en
hjemmel til at fastsætte regler om forhøjelse af
indtægtsrammen i forhold til meromkostninger, som udspringer
af krav om udskiftning og opgradering af elmålere til
fjernaflæste målere, ved fremskyndelse af investeringer
i fjernaflæste elmålere og indsendelse af
timemålte forbrugsdata til datahubben i henhold til regler
fastsat af energi-, forsynings- og klimaministeren i medfør
af § 20, stk. 2, og § 22, stk. 4, i lov om elforsyning og
som følge af krav om sikring af realisering af
dokumenterbare energibesparelser i overensstemmelse med regler
fastsat i medfør af § 22, stk. 4, jf. § 22, stk.
1, nr. 5. Der er ikke med indsættelsen af
hjemmelsbestemmelsen i § 70, stk. 15, tilsigtet materielle
ændringer i forhold til, hvad der kan føre til
indtægtsrammeforhøjelser i forhold til
fjernaflæste målere og energibesparelser. Der vil
således fortsat kunne fastsættes regler om eksempelvis
standardiserede forudsætninger til beregningerne. Der
henvises til § 9 i bekendtgørelse nr. 1358 af 3.
december 2013 om fjernaflæste elmålere og måling
af elektricitet i slutforbruget og § 19 i
bekendtgørelse nr. 830 af 27. juni 2016 om
energispareydelser i net- og distributionsvirksomheder.
De fastsatte regler vedrørende fjernaflæste
elmålere og energibesparelser fastsat i medfør af 70,
stk. 2, i lov om elforsyning, jf. lovbekendtgørelse nr. 418
af 25. april 2016 med senere ændringer, forbliver i kraft,
indtil de ophæves eller afløses af nye regler.
Til nr. 4
Den nugældende overskrift til kapitel 12 lyder
således: Oplysningspligt, kontrol, fortrolighed,
beredskab.
Det foreslås at nyaffatte overskriften, så
overskriften med lovforslaget lyder: "Kapitel 12. Beredskab, fortrolighed, kontrol, oplysningspligt og
påbud".
Den foreslåede ændring indebærer, at titlen
på kapitel 12 afspejler indholdet og den systematik, der
følger af lovforslagets § 1, nr. 4 og 5.
Ændringen er således begrundet i lovtekniske og
retssystematiske hensyn.
Til nr. 5
Efter § 85 b, stk. 4, kan
energi-, forsynings- og klimaministeren fastsætte regler om
udførelse af tilsyn med det beredskabsarbejde, der
udføres efter stk. 1 og 2, herunder om virksomhedernes
fremsendelse af materiale som grundlag for tilsynet, om tilsynets
beføjelser i forhold til virksomhederne og om klageadgang. I
reglerne kan det fastsættes, at tilsyn med beredskabsarbejde
efter stk. 1 skal udføres af Energinet.dk.
Det foreslås, at § 85 b,
stk. 4, 2. pkt., ophæves.
Den foreslåede ordning
indebærer, at en given delegation af kompetence skal ske
efter den almindelige delegationsbestemmelse i § 92 i lov om
elforsyning, idet denne bestemmelse anses for en
tilstrækkelig til at delegere ministerens beføjelser
til en anden myndighed. Den nugældende delegationsbestemmelse
i § 85 b, stk. 4, 2. pkt., er således ikke
nødvendig.
Det vurderes hensigtsmæssigt,
at tilsynsmyndigheden for det almene beredskab og it-beredskabet er
den samme, af hensyn til synergi mellem disse opgaver. Samtidig
vurderes den teknologiske og kommercielle udvikling i el- og
naturgassektorerne at kunne medføre behov for, at opgaven
som tilsynsmyndighed kan flyttes til anden relevant myndighed. Det
er derfor hensigtsmæssigt at give energi-, forsynings- og
klimaministeren mulighed for at fastsætte regler om
varetagelse af tilsynsopgaven beskrevet i § 85 b, stk. 4, i
lov om elforsyning og nye bestemmelser i dette lovforslag. Der
henvises i øvrigt til punkt 3.5. i de almindelige
bemærkninger.
Den foreslåede ændring
medfører således, at energi-, forsynings- og
klimaministeren som hidtil fastsætter regler for tilsynet med
beredskabet i medfør af § 85 b, stk. 4. Det er
hensigten, at energi-, forsynings- og klimaministeren kan
fastsætte regler, der pålægger enten
Energinet.dk, Energistyrelsen eller anden egnet myndighed at
føre tilsyn med virksomhedernes overholdelse af reglerne
fastsat i medfør af § 92 i lov om elforsyning. Energi-,
forsynings- og klimaministeren kan tillægge en relevant
myndighed tilsynsopgave efter en vurdering af, hvilken institution
der findes mest egnet til at løse
tilsynsførelsen.
Vurdering af hvilken institution,
der skal føre tilsyn med virksomhederne skal omfatte
såvel økonomiske som organisatoriske forhold af
betydning, herunder skal følgende forhold som minimum
vurderes:
1. Energistyrelsens
tilsyn med Energinet.dk, herunder Energistyrelsens mulighed for at
føre tilsyn med tilsynsførelsen overfor
virksomhederne.
2. Virksomhedernes
samarbejde med Energinet.dk i såvel beredskabssituationer som
i forbindelse med planlægning af beredskabsarbejdet.
3. Energinet.dk's
it-beredskabsarbejde internt.
4. Sammenhæng
og synergi med andre opgaver indenfor beredskabet.
Disse forhold er afhængige af
mange faktorer, herunder de mulige truslers karakter, de
økonomiske rammer for Energinet.dk, Energinet.dk's handler
med balancevirksomheder, udviklingen af markedet for
it-serviceydelser og sektorernes øvrige regulering. Ved at
kunne ændre op fordelingen af tilsynsopgaver ved Energinet.dk
og Energistyrelsen skal energi-, forsynings- og klimaministeren
sikre, at tilsynsopgaven pålægges den institution, der
efter ovennævnte forhold har de bedste vilkår for at
føre tilsynet med virksomhedernes efterlevelse af disse
regler.
Tilsynet med virksomhederne kan
tilpasses til virksomhedernes kritikalitet for den samlede
elforsyning. Tilsynsmyndigheden skal gennemføre
tilsynsbesøg årligt ved virksomheder, der varetager
kritiske systemer, mens tilsynet ved de resterende virksomheder kan
begrænses til treårlige tilsynsbesøg suppleret
af løbende underretninger og skriftlig kommunikation om
ændringer af beredskabsplaner og
risikoundersøgelser.
Tilsynsmyndigheden skal dokumentere
de gennemførte tilsyn, og virksomhederne skal have mulighed
for at kommentere tilsynsmyndighedens tilsynsdokumentation.
Tilsynet med virksomhedernes
beredskabsarbejde forudsætter, at virksomhederne meddeler
tilsynsmyndigheden relevante oplysninger bl.a. risiko- og
sårbarhedsvurderinger samt beredskabsplaner, procedurer m.m.,
som er udarbejdet på grundlag af disse risiko- og
sårbarhedsvurderinger. Vurdering af dette materiale
forudsætter faglig viden om driftsforholdene i de forskellige
former for virksomhed inden for elsektoren. Tilsynsmyndigheden kan
indhente oplysninger om aktuelle og historiske driftsforhold ved
Energinet.dk's kontrolcenter, alene med det formål at vurdere
tilstrækkeligheden af virksomhedernes beredskabsarbejde i
forhold til deres kritikalitet for det samlede el-system.
Tilsynsarbejdet skal adskilles fra
Energinet.dk's overordnede koordinerende opgaver i
beredskabssituationer. Disse overordnede, koordinerende opgaver
forudsætter ligeledes et kendskab til de enkelte
virksomheders it-beredskab, dettes omfang og kvalitet samt det
indbyrdes samspil mellem de forskellige virksomheders beredskab.
Såfremt Energinet.dk varetager opgaven som tilsynsmyndighed,
og derved varetager både de overordnede koordinerende
beredskabsopgaver efter § 85 b, stk. 2, i lov om elforsyning
og tilsynet med virksomhedernes beredskabsarbejde, skal
Energinet.dk sikre, at virksomhederne oplyses om, hvilke
informationer der anvendes i tilsynsøjemed. Energistyrelsen
pålægges at føre tilsyn med Energinet.dk's
arbejde med at sikre beskyttelse af egne forsyningskritiske
it-systemer og varetagelse af de overordnede koordinerende opgaver
i beredskabssituationer. Energistyrelsen pålægges
endvidere at føre tilsyn med Energinet.dk's tilsyn med
virksomhedernes it-beredskabsarbejde, såfremt Energinet.dk
varetager tilsynet over for virksomhederne.
Til nr. 6
Det nugældende kapitel 12 a
om påbud indeholder én bestemmelse i § 85 c,
hvorefter klima-, energi- og bygningsministeren og Energitilsynet
kan påbyde, at forhold, der strider mod loven, mod regler
eller afgørelser i henhold til loven eller mod
Europa-Parlamentets og Rådets forordning om betingelserne for
netadgang i forbindelse med grænseoverskridende
elektricitetsudveksling, bringes i orden straks eller inden en
nærmere angivet frist.
Efter bestemmelsens stk. 2 kan
Energitilsynet påbyde, at forhold, der strider mod en
juridisk bindende afgørelse truffet af det europæiske
agentur for samarbejde mellem energireguleringsmyndigheder eller
strider mod Europa-Parlamentets og Rådets forordning nr.
1227/2011 af 25. oktober 2011 om integritet og gennemsigtighed
på engrosenergimarkederne eller mod retsakter, der er
vedtaget på grundlag heraf, bringes i orden straks eller
inden en nærmere angivet frist.
Det foreslås at kapitel 12 a
ophæves af lovtekniske grunde, og forslaget skal
således ses i sammenhæng med lovforslagets § 1,
nr. 7, der indebærer at den nugældende § 85 c
videreføres uændret som § 85 d, se herom
umiddelbart nedenfor.
Den gældende regulering i
elforsyningsloven af beredskabsforhold omfatter ikke
it-beredskabsforhold. Med lovforslaget indsættes derfor en ny
bestemmelse i § 85 c om it-beredskab, og det foreslås at
videreføre den nugældende § 85 c om påbud,
som ny § 85 d i kapitel 12.
Det foreslås i 85 c, stk.
1, at bevillingspligtige virksomheder, efter §§ 10
og 19, Energinet.dk og dennes helejede datterselskaber og
virksomheder, der yder balanceringsydelser af elsystemet, skal
opretholde et it-beredskab, herunder planlægge og
træffe nødvendige foranstaltninger for at sikre
beskyttelsen af kritiske it-systemer af betydning for
elforsyningen.
Bestemmelsen omfatter Energinet.dk
og dennes helejede datterselskaber, hvis definitionen er
nærmere beskrevet i lov om Energinet.dk. Endvidere omfatter
bestemmelsen bevillingspligtige virksomheder: Disse virksomheder er
produktionsvirksomheder med en produktionskapacitet på over
25 MW og netvirksomheder, som er nærmere defineret i
§§ 10 og 19. Disse typer af virksomheder har også
været omfattet af den almindelige beredskabsbestemmelse i
elforsyningslovens § 85 b.
Bestemmelsen omfatter endvidere
virksomheder, der efter aftale med Energinet.dk formidler
balanceydelser til elsystemet, således at der bevares en
balance mellem elforbruget og elproduktionen. Disse
balanceansvarlige virksomheder har styring over fysiske
anlæg, der kan producere eller aftage elektricitet, hvorved
virksomheden kan levere ydelser, der bidrager til balanceringen af
elsystemet. En balanceansvarlig virksomhed er en virksomhed, der
på markedsvilkår påtager sig ansvar for ubalancer
mellem forbrug og produktion.
De nævnte virksomheder har
forskellig indvirkning på den samlede elforsyning. Nogle
virksomheder foretager handler i afgrænsede geografiske
områder, mens andre varetager specifikke opgaver i det
sammenhængende el-system.
For at begrænse
virksomhedernes ressourceforbrug til efterlevelse af regler om
it-beredskab, samt begrænse ressourceforbruget i forbindelse
med tilsyn ved såvel virksomhederne som myndighederne
forudsættes den fremtidig regulering i medfør af den
foreslåede regel i § 85 d, stk. 6, at indeholde en
opdeling af virksomhederne i tre nærmere definerede
kategorier, og at der fastsættes graduerede krav i forhold
til denne inddeling. Se herom nedenfor.
Virksomheder kan drive it-systemer,
der ikke anses for at være et kritisk it-system for den
enkelte virksomhed, men som kan have indflydelse på driften
af kritiske it-systemer ved andre virksomheder. Denne type
it-systemer skal håndteres som kritiske it-systemer. Der kan
endvidere forekomme it-systemer, der styrer anlæg ved flere
virksomheder, og disse it-systemer kan have varieret kritikalitet
for de enkelte virksomheder. Denne type it-systemer skal beskyttes
ud fra en vurdering af deres samlede betydning for det samlede
elforsyningssystem.
Den foreslåede ordning
indebærer en pligt for de omfattede virksomheder til at
foretage en rettidig it-beredskabsplanlægning, således
at nedbrud, fejl eller angreb i virksomhedens it-systemer ikke
afstedkommer forsyningsnedbrud.
Kritiske it-systemer varetager
centrale funktioner for forsyningen, hvor nedbrud, angreb eller
fejl i disse it-systemer vil kunne påvirke elforsyningen.
Såfremt det ikke er muligt at fjerne risikoen for
forsyningsnedbrud som resultat af nedbrud, angreb eller fejl i
virksomhedens it-systemer, skal virksomheden beskytte disse
kritiske it-systemer på en sådan måde, at
nedbrudsperioden begrænses. Beskyttelsen af kritiske
it-systemer er ikke begrænset til en specifik trusselstype
eller et konkret risikoscenarie. Virksomhederne skal vedligeholde
et trusselsbillede, der indeholder både trusler mod
virksomhedernes egne kritiske it-systemer og de it-systemer,
virksomheden er afhængig af. De kritiske it-systemer skal
beskyttes mod enhver trussel, der kan afstedkomme, at de styrings-
og kontrolopgaver it-systemet varetager forhindres eller
forstyrres.
Virksomhederne skal træffe
foranstaltninger, der anses for nødvendige for at
begrænse risikoen for forsyningsnedbrud som resultat af
forstyrrelser i kritiske it-systemer. Nødvendige
foranstaltninger er i denne sammenhæng, alle tiltag der kan
begrænse konsekvenserne ved eller risikoen for et nedbrud af
forsyningen under hensynstagen til virksomhedernes kommercielle
drift. Disse foranstaltninger bør dog ikke kunne
forøge risikoen eller omfanget af skader på mandskab
og materiel i forbindelse med den operative håndtering af
forstyrrelser i kritiske it-systemer.
Vurderingen af, hvilke
foranstaltninger der skønnes nødvendige, beror
på den enkelte virksomheds forhold.
Ved vurdering af om en
foranstaltning kan betragtes som nødvendig,
forudsættes virksomhederne at tillægge følgende
forhold værdi efter prioriteret rækkefølge:
1. Foranstaltningen
medfører ikke øget risiko for personskade.
2. Foranstaltningen
medfører ikke øget risiko for materiel skade.
3. Foranstaltningen
begrænser konsekvenserne og tidsrummet af
forsyningsnedbrud.
4. Foranstaltningen
begrænser ikke virksomhedens håndtering af andre
beredskabssituationer udløst af andre faktorer så som
vejret, uheld eller fysiske angreb.
5. Foranstaltningen
begrænser ikke virksomhedens øvrige drift.
6. Foranstaltningen
er naturlig at udføre i sammenhæng med de daglige
rutiner, hvorfor operatører vil være mere
tilbøjelige til at anvende den i praksis.
7. Foranstaltningen
påfører virksomheden begrænsede omkostninger ved
planlægning.
8. Foranstaltningen
påfører virksomheden begrænsede omkostninger ved
iværksættelse.
Det forudsættes, at
virksomhederne i forbindelse med denne vurdering inddrager
relevante medarbejdere med viden om konkrete forhold samt
fagpersoner med erfaring og viden inden for det specifikke
område. Det forudsættes endvidere, at virksomhederne
tilsikrer, at der løbende foregår en dialog internt
mellem relevante medarbejdere, således at evt. ændrede
forhold kan inddrages i vurderingen af, hvilke tiltag der er
nødvendige for at sikre elforsyningen. Det
forudsættes, at der efter den foreslåede bestemmelse i
§ 85 d, stk. 5, fastsættes regler, der stiller krav om,
at virksomhederne skal kunne godtgøre, at disse forhold har
været inddraget i forbindelse med vurderingen.
Som eksempel på en
nødvendig foranstaltning, som antages at være relevant
i næsten alle virksomheder, kan nævnes tiltag som
procedure for adgangsstyring til virksomhedens kritiske
it-systemer. Det er dog ikke sikkert at denne procedure er ens ved
alle virksomheder. En virksomhed, som har flerbrugeradgang til egne
kritiske it-systemer, kan vurdere, at det er nødvendigt at
have et automatiseret system, der varetager logning af brugerdata
og styringsdata.
Vurderingen af hvilke
foranstaltninger der er nødvendige, forudsætter at
virksomheden har foretaget en grundig behandling af, hvilke risici
og sårbarheder der er relevante for virksomheden.
Tilsynsmyndigheden kan anmode virksomhederne om at foretage
vurderinger af konkrete risici- eller sårbarheder,
såfremt virksomhedens vurderinger findes manglefulde eller
utilstrækkelige. Der er således en sammenhæng
mellem virksomhedernes risiko- og sårbarhedsvurderinger,
virksomhedernes interne organisering af it-beredskabsarbejdet,
kendskabet til egne systemer, det generelle trusselsbillede og
foranstaltningerne virksomhederne hver især
træffer.
De nødvendige
foranstaltninger vil i nogle tilfælde afhænge af
virksomheden økonomiske forhold. Dermed er det ikke
hensigten at hensynet til økonomisk forhold skal prioriteres
fremfor hensynet til andre faktorer, men de nødvendige
tiltag bør tilrettelægges til virksomhederne
øvrige tiltag og aktiviteter, således at de
økonomiske omkostninger forbundet med it-beredskabet kan
begrænses.
En virksomhed anses for at
gennemføre de nødvendige tiltag såfremt, der
ved tilsyn kan forevises sammenhæng mellem tiltagene, egne
risiko- og sårbarhedsvurderinger og trusselsbilledet, der i
øvrigt er anerkendt at personale med ansvaret for
it-sikkerheden, driften af forsyningssystemerne og
forretningen.
Det foreslås i stk. 2, at energi-, forsynings- og
klimaministeren kan påbyde en virksomhed omfattet af stk. 1,
at foretage en it-revision af forsyningskritiske it-systemer,
såfremt den pågældende virksomhed ikke opfylder
et påbud udstedt af energi-, forsynings- og klimaministeren
efter § 85 d. Manglende overholdelse af et påbud efter
stk. 2 efter en tidsfrist angivet af tilsynsmyndigheden vil
føre videre i påbuds- og sanktionsmulighederne,
hvorefter det foreslåede stk. 3 i dette lovforslag vil finde
anvendelse. Overholder den pågældende virksomhed ej
heller påbuddet udstedt i henhold til stk. 3, kan energi-,
forsynings- og klimaministeren anvende de sanktionsmuligheder, der
følger af gældende ret for sanktioner i
elforsyningsloven herunder kapitel 13, samt endeligt inddrage
virksomhedens bevilling jf. § 54, i lov om elforsyning.
Såfremt det i forbindelse med
tilsyn eller på anden måde konstateres, at den
pågældende virksomhed ikke opfylder kravet i den
foreslåede § 85 c, stk. 1, om at opretholde et
it-beredskab, og ikke har truffet de nødvendige
foranstaltninger, vil energi-, forsynings- og klimaministeren kunne
udnytte den eksisterende hjemmel til at udstede et påbud
efter bestemmelsen, der bliver til § 85 d, stk. 1, hvorefter
energi-, forsynings- og klimaministeren kan påbyde, at
forhold, der strider mod loven, mod regler eller afgørelser
i medfør af loven, bringes i orden straks eller inden en
nærmere angiven frist. Stk. 2 har til formål at
virksomheder overholder det foreslåede stk. 1, da manglende
overholdelse vil kunne bringe elforsyningen i fare. For at sikre
overholdelse af det foreslåede stk. 1, henvises der til
bemærkningerne til stk. 1.
Opfylder den pågældende
virksomhed ikke det meddelte påbud, jf. den foreslåede
bestemmelse i § 85 d, stk. 1, kan energi-, forsynings- og
klimaministeren med det foreslåede § 85 d, stk. 2,
påbyde den pågældende virksomhed, at den
får foretaget en it-revision af forsyningskritiske
it-systemer.
En it-revision består i en
teknisk gennemgang af virksomhedens it-systemer, samt virksomhedens
it-politikker og it-procedure således, at der etableres et
billede om virksomhedens it-drift. På baggrund af denne viden
undersøger it-revisionen virksomhedens evne til at
fortsætte forsyningen i tilfælde af it-angreb eller
it-nedbrud. En it-revision kan baseres på et internationalt
anerkendt it-sikkerhedsstyringssystem såfremt
tilsynsmyndigheden finder det forsvarligt i den enkelte
virksomhed.
Bestemmelsen har til formål
at sikre kortlægningen af den pågældende
virksomheds it-systemer, herunder sikkerhedsforhold, med henblik
på at tilvejebringe et tilstrækkeligt sikkert og
relevant it-beredskab. Energi-, forsynings- og klimaministeren
fastsætter i medfør af den foreslåede
ændring i § 85 c, stk. 5, regler om krav til indholdet
af it-revisionen, herunder krav om at it-revisionen skal indeholde
anbefalinger. Disse anbefalinger skal den pågældende
virksomhed efterleve og bringe i orden efter det forslåede
stk. 3.
Den foreslåede ændring
må forventes at få den konsekvens, at beslutninger om
virksomhedens it-beredskab sker på det bedst mulige faglige
grundlag.
Omkostninger forbundet med
it-revisionen afholdes af den pågældende virksomhed.
Ved uafhængig revisor forstås en revisor, som ikke er
eller har været virksomhedens sædvanlige revisor og
hverken har eller i perioden, som it-revisionen vedrører,
har haft andre opgaver for virksomheden. Den uafhængige
revisor skal være godkendt af tilsynsmyndigheden for at
tilsikre tilstrækkelig og nødvendig faglighed af
revisoren.
Det foreslås i stk. 3, at energi-, forsynings- og
klimaministeren kan påbyde virksomheder at gennemføre
tiltag på baggrund af it-revisionen efter stk. 2, der
skønnes nødvendige for at overholde stk. 1 og derved
tilsikre opretholdelse af en sikker elforsyning. Stk. 3 kan
således kun finde anvendelse såfremt virksomheden
først ikke har overholdt påbuddet udstedt i henhold
til den foreslåede § 85 d, det vil sige først
efter, at der er foretaget en it-revision i henhold til stk. 2.
It-revisionen efter det foreslåede stk. 2 forventes at
indeholde en række anbefalinger fremsat af revisoren, der
opstiller tiltag som den pågældende virksomhed efter
revisorens faglige vurdering skal bringe i orden for at overholde
stk. 1. Energi-, forsynings- og klimaministeren kan i
påbuddet efter stk. 3 fastsætte en nærmere
tidsfrist for, hvornår forholdene skal være bragt i
orden. Overholder den pågældende virksomhed ikke
påbuddet udstedt i henhold til stk. 3, og bringer
virksomheden ikke forholdene i orden inden for den fastlagte
tidsfrist, kan energi-, forsynings- og klimaministeren anvende de
sanktionsmuligheder, der følger af gældende ret for
sanktioner i elforsyningsloven, herunder kapitel 13, samt endeligt
inddrage virksomhedens bevilling, jf. § 54.
Det har ikke tidligere været
muligt efter gældende ret for energi-, forsynings- og
klimaministeren, at påbyde virksomheder at gennemføre
tiltag, der anses for at være nødvendige for
overholdelse af stk. 1 på baggrund af en it-revision.
Overholdelsen af det foreslåede stk. 1 er så
væsentlig for opretholdelsen af en sikker elforsyning, at
virksomhederne til enhver tid skal overholde disse regler.
Formålet med stk. 3 er derfor at skabe en yderligere mulighed
for at virksomheder overholder stk. 1 på baggrund af
revisorens rapport frem for at sanktionere med bøde som har
været tidligere praksis i gældende ret, hvis den
pågældende virksomhed ikke har overholdt et påbud
udstedt efter § 85 c som bliver 85 d. Både stk. 2 og
stk. 3 er derfor nye foreslåede påbudsmuligheder, der
skal være med til at sikre opretholdelse af en sikker
elforsyning.
Den foreslåede ordning
indebærer, at energi-, forsynings- og klimaministeren
fastsætter regler om krav til indholdet af it-revisionen,
herunder krav om at it-revisionen skal indeholde anbefalinger i
medfør af den foreslåede ændring i § 85 c,
stk. 5. For krav om indholdet til it-revisionen henvises til
bemærkningerne til det foreslåede stk. 5, nr. 6.
Omkostningerne forbundet ved
it-revisionen og efterfølgende tiltag på baggrund af
it-revisionen, afholdes af den pågældende
virksomhed.
For korrekt overholdelse af det
foreslåede stk. 1 henvises til bemærkningerne til stk.
1. Der henvises i øvrigt til de almindelige
bemærkninger om sanktion og påbud i afsnit 3.3 og samt
bemærkningerne til stk. 1 om vurderingen af nødvendige
foranstaltninger.
Det foreslås i stk. 4, at oplysninger, herunder vurderinger,
planer og data, vedrørende sikkerhedsforhold for
forsyningskritiske it-systemer i virksomheder omfattet at stk. 1 er
fortrolige, hvis oplysningerne er væsentlige af hensyn
beskyttelse af driften af virksomheden eller det
sammenhængende el-system.
Den foreslåede bestemmelse
indebærer, at oplysninger, herunder vurderinger, planer eller
data skal holdes fortrolige, såfremt det skønnes
nødvendigt af hensyn til virksomhedens egen sikkerhed, andre
virksomheders sikkerhed eller forsyningssikkerheden på
lokalt, regionalt eller nationalt niveau. Det er som udgangspunkt
udstederen eller ejeren af oplysningerne, der vurdere
oplysningernes fortrolighed, samt drager nødvendige
foranstaltninger for at beskytte disse. Bestemmelsen har til
formål at modvirke, at oplysninger anvendes til at forvolde
skade på den enkelte virksomheds forsyningskritiske
it-systemer eller det samlede elforsyningssystem.
Ved vurderinger forstås i
denne bestemmelse beskrivelser af konkrete sårbarheder eller
scenarier, der kan afstedkomme en krisesituation eller et
it-angreb. Vurderinger henviser både til virksomhedens egne
vurderinger af egne systemer samt vurderinger af det samlede
el-systems sårbarheder.
Ved planer forstås i denne bestemmelse beskrivelser af
procedure, handlinger eller foranstaltninger, der skal forhindre
eller forebygge en krisesituation eller et it-angreb. Planer
henviser både til it-beredskabsplaner og underliggende
procedurer.
Ved data forstås i denne bestemmelse følsomme
informationer bl.a. data om systemets drift, adgange eller
brugerstyring. Disse data beskriver forsyningskritiske it-systemers
opsætning og adgangsstyring.
Stk. 4 vedrører alene
informationer af følsom karakter, der kan anvendes til at
forvolde skade på den enkelte virksomheds forsyningskritiske
it-systemer eller den samlede elforsyning.
§ 84, stk. 8 og § 84 a,
stk. 1, i lov om elforsyning regulerer til en vis grad
virksomhedernes behandling af fortrolige oplysninger. Disse
bestemmelser er dog målrettet kommercielt følsomme
oplysninger. Formålet med disse bestemmelser er at tilsikre,
at virksomheder ikke må videregive kommercielt
følsomme oplysninger til andre med det resultat, at et andet
selskab får konkurrencemæssige fordele i forhold til
øvrige selskaber. Det er ikke hensigten med stk. 4, at sikre
kommercielt følsomme oplysninger, men hensigten at sikre, at
virksomheder ikke videregiver oplysninger, der kan være med
til at bringe elforsyningen i fare.
Bestemmelsen i det foreslåede
stk. 4 regulerer ikke oplysninger som energi-, forsyning- og
klimaministeren, herunder Energistyrelsen, modtager f.eks. i
forbindelse med tilsyn. Oplysninger der ved tilsyn eller på
anden vis kommer energi-, forsyning- og klimaministeren i
hænde, vil være reguleret af § 27, stk. 2, i
forvaltningsloven, der tilsikrer tavshedspligt inden for den
offentlige forvaltning, og at oplysninger, der er af
væsentlig betydning for statens sikkerhed eller rigets
forsvar, ikke må videregives. Oplysninger, der kommer
energi-, forsynings- og klimaministeren i hænde, vil
være omfattet af reglerne om aktindsigt i henhold til lov om
offentlighed i forvaltningen, samt lov om aktindsigt i
miljøoplysninger i de tilfælde, hvor det
skønnes, at oplysningerne er miljøoplysninger efter
definitionen i § 3 i miljøoplysningsloven.
Det foreslåede Stk. 5, forudsættes udnyttet ved, at
energi-, forsynings- og klimaministeren fastsætter regler for
det it-beredskab, som virksomheder omfattet af stk. 1, skal
opretholde.
Den foreslåede ordning
indebærer, at energi-, forsynings- og klimaministeren
får pligt til at fastsætte regler for en række
områder af betydning for it-beredskabet.
Som en følge af den
produktionsmæssige, informationsteknologiske udvikling anses
det for hensigtsmæssigt, at ministeren får pligt til at
udstede regler i bekendtgørelsesform for at kunne tilpasse
kravene til it-beredskabet i elforsyningen løbende.
Ministeren forudsættes i
forbindelse med udmøntning af forpligtelsen til at udstede
regler at fastsætte krav til virksomhederne, som
følger den teknologiske og kommercielle udvikling i
sektoren, således at kravene kan anses for nødvendige,
egnede og forholdsmæssige i forhold til behovet for
beskyttelse af kritiske de it-systemer.
Det forudsættes endvidere, at
reglerne om it-beredskab, der vedrører fagudtryk og
referencer indenfor såvel det it-tekniske område som
det beredskabsfaglige område, indeholder nærmere
definitioner og præcisering af faglige begreber og
termer.
Energi-, forsynings- og
klimaministeren forudsættes ligeledes at fastsætte
regler, der graduerer kravene til virksomhederne på baggrund
af deres kritikalitet, således at virksomheder, der anses for
kritiske for den nationale elforsyning og det samlede
elforsyningssystem stilles skærpede krav i forhold til
virksomheder, der kun anses for kritiske for den lokale
elforsyning. Reglerne for virksomhederne forudsættes
gradueret på baggrund af følgende kriterier:
Virksomheder af kritisk betydning
for den nationale elforsyning i de sammenhængende el-systemer
eller væsentlige dele af disse i de to synkronområder
DK-1 og DK-2 er:
- Virksomheder
ansvarlige for driften af et eller flere produktionsanlæg,
med en effekt, der overstiger den effekt det pågældende
synkronområde kan miste momentant, uden at det
medfører forsyningsvigt.
- Virksomheder, der
udøver styring af et eller flere fleksible
forbrugsanlæg med et tilsvarende forbrug.
- Virksomheder der
udøver styring af distributions- eller transmissionsnet, der
har betydning for driften af det sammenfattede system eller leverer
el til 250.000 forbrugere eller mere.
-
Virksomheder af kritisk betydning
for den regionale elforsyning er:
- Virksomheder som
er ansvarlige for driften af et eller flere produktionsanlæg
med en effekt, der ikke overstiger den effekt det
pågældende synkronområde kan miste momentant,
uden at det medfører forsyningsvigt, dog med mulig betydning
for det sammenhængende systems drift. Virksomheder, der
udøver styring af et eller flere fleksible
forbrugsanlæg med et tilsvarende forbrug.
- Virksomheder der
udøver styring af distributionsnet, der leverer el til
mindre end 250.000 forbrugere.
Virksomheder af kritisk betydning
for den lokale elforsyning er:
- Virksomheder som
er ansvarlige for driften af et eller flere produktionsanlæg,
med en samlet effekt uden betydning for det sammenhængende
system. Virksomheder, der udøver styring af et eller flere
fleksible forbrugsanlæg med et tilsvarende forbrug.
- Virksomheder der
udøver styring af distributionsnet, der leverer el til
ganske få forbrugere.
Den foreslåede bestemmelse i
stk. 5, nr. 1, indebærer
nærmere, at ministeren fastsætter regler om
organisering af virksomhedens it-beredskab og evne til at modtage
advarsler om trusler mod it-sikkerheden. Bemyndigelsen
forudsættes udmøntet ved at udstede regler, der mere
detaljeret beskriver krav til den organisatoriske sammenhæng
mellem beredskabsarbejdet og it-beredskabet, herunder forpligtige
virksomhederne til at etablere en entydig ansvarsfordeling mellem
ledelsen og de faglige kompetencer i organisationen, således
at virksomheden kan udarbejde et komplet risikobillede.
Bestemmelsen forudsættes
således udnyttet ved, at energi-, forsynings- og
klimaministeren fastsætter krav til virksomhedernes
organisering, således at de kan modtage samt videreformidle
varsler om akutte eller generelle trusler mod it-sikkerheden. Disse
krav skal pålægge virksomhederne ansvaret for
beskyttelsen af egne forsyningskritiske it-systemer, men samtidig
forpligte alle virksomheder til at formidle disse oplysninger til
myndighederne og Energinet.dk, således at disse oplysninger
kan bidrage til den samlede beskyttelse af el- og
naturgassektorerne og samfundets forsyning. Det forudsættes
endvidere, at der fastsættes krav om, at oplysninger skal
videregives til Energinet.dk med det formål at give
Energinet.dk mulighed for at udarbejde risiko- og
sårbarhedsvurderinger samt beredskabsplaner for de samlede
sektorer. Samtidig skal de videregivne oplysninger give
Energinet.dk, tilsynsmyndigheden og Energistyrelsen et indblik i
sikkerheden vedrørende kritiske it-systemer for sektoren.
Der kan endvidere være andre myndigheder, der af hensyn til
den nationale sikkerhed eller på baggrund af forpligtigelser
overfor allierede eller det europæiske samarbejde, skal
informeres om akutte trusler eller konkrete risici. Energi-
forsynings- og klimaministeren fastsætter nærmere
regler for viderebringes af denne type information.
Den foreslåede bestemmelse i
stk. 5, nr. 2, indebærer
nærmere, at ministeren fastsætter regler om
planlægning og beredskabsarbejde, som virksomhederne skal
udføre for at modvirke trusler mod it-sikkerheden, herunder
virksomhedernes pligt til at videregive oplysninger til
Energinet.dk og relevante myndigheder.
Den foreslåede bestemmelse i
stk. 5, nr. 3, indebærer
nærmere, at energi-, forsynings- og klimaministeren
fastsætter regler om virksomhedernes risikostyring, herunder
inddragelse af andre virksomheder i risikovurderinger.
Ved risikostyring forstås i
denne sammenhæng de processer og procedure den enkelte
virksomhed foretager for at erkende og håndterer risici for
forsyningssikkerheden afledet af anvendelse af it-systemer.
Bestemmelsen forudsættes
udnyttet ved, at energi-, forsynings- og klimaministeren
fastsætter specifikke regler om indholdet i virksomhedernes
relevante lokale risikostyring. Denne lokale risikostyring
begrænses ikke til enkelte trusler eller andres erfaringer,
men tager udgangspunkt i virksomhedens egne forhold. Det skal
samtidig være muligt for virksomhederne, at begrænse
deres ressourceforbrug på denne opgave, såfremt det
findes forsvarligt. Dette kan gøres ved virksomheder, der
deler it-systemer eller virksomheder, der af andre årsager
deler risikobillede, kan indgå aftaler om at samordne deres
it-beredskab. Dette skal dog godkendes af tilsynsmyndigheden.
Den lokale risikostyring ved
virksomhederne er central for en effektiv beskyttelse af
it-systemerne. Det er derfor hensigten, at bestemmelsen skal give
energi-, forsynings- og klimaministeren hjemmel til at
fastsætte krav til denne risikostyring og
beredskabsplanlægning, således at der kan opnås
en hyppighed og detaljeringsgrad af disse risikovurderinger, der
modsvarer det generelle trusselsbillede. Det er endvidere
hensigten, at der udstedes regler om, at virksomhederne kan
pålægges at udarbejde risikovurderinger af specifikke
trusler inden for 3 måneder. Virksomhederne skal
løbende vurdere, om der er behov for yderligere
risikovurderinger. Virksomhederne forventes pålagt at
udarbejde risikovurderinger med en hyppighed og detaljeringsgrad,
der følger deres kritikalitet for det samlede el- eller
naturgassystem.
Det forventes ikke, at
virksomhederne vil blive pålagt at foretage risikovurderinger
af samtlige trusler oftere end hver sjette måned. Det
forventes, at hyppigheden af risikovurderinger vil følge
området og truslernes teknologiske udvikling.
Virksomhedernes trussels- og
risikokendskab samt virksomhedernes evne til at reagere på
disse er en forudsætning for en fyldestgørende
risikostyring af egne it-systemer.
Virksomhedernes risikostyring skal
inddrage alle væsentlige risici, herunder også risici,
der er afledt af samarbejde med tredjeparter, der har adgang til
virksomhedens it-systemer.
Den foreslåede bestemmelse i
stk. 5, nr. 4, indebærer, at
energi-, forsynings- klimaministeren skal udstede regler om
tilmelding til en tjeneste, der yder varsler og informationer om
it-sikkerhedstrusler.
Denne bestemmelse forudsættes udnyttet ved, at energi-,
forsynings- og klimaministeren fastsætter krav til indholdet
af de aftaler, de enkelte virksomheder indgår med en
it-sikkerhedstjeneste. Disse krav kan pålægge tjenester
at videreformidle informationer til Energinet.dk eller andre
virksomheder i el- og naturgassektorerne. Dette krav har til
hensigt at forhindre, at en virksomhed eller Energinet.dk ikke kan
videreformidle informationer af betydning for sikkerheden ved andre
virksomheder i el- eller naturgassektoren af hensyn til ophavsret
eller en aftalebegrænsning. Kravene kan endvidere beskrive,
under hvilke vilkår kontrakter mellem virksomheder og
it-sikkerhedstjenester kan godkendes, således at energi-,
forsynings- og klimaministeren kan fastsætte procedure for
godkendelse, der sikrer en ensartet og fagligt forsvarlig
kontraktindgåelse under hensyn til markedets udvikling.
Det er hensigten med bestemmelsen
at sikre et minimumsniveau for de kommercielle varslingstjenester
ved at pålægge energi-, forsynings- og klimaministeren
at fastsætte nærmere krav, der pålægger, at
alle virksomheder tilmeldes en it-sikkerhedstjeneste, der leverer
informationer om relevante trusler og risici mod it-sikkerheden. En
sådan proaktiv tjeneste vil bidrage til virksomhedernes
interne it-sikkerhedsprocesser. Det er endvidere hensigten at give
energi-, forsynings- og klimaministeren hjemmel til at
fastsætte graduerede krav til de reaktive ydelser en
it-sikkerhedstjeneste kan yde, således at virksomheder, der
ejer it-systemer af betydning for el- og naturgasforsyningen
regionalt eller nationalt, kan pålægges at skulle
være tilmeldt en it-sikkerhedstjeneste, der kan reagere
på akutte trusler mod virksomhedens it-systemer og assistere
virksomheden i forbindelse med en håndtering af en trussel
eller genopretning af it-systemer og opklaring af sårbarheder
efter et nedbrud eller it-angreb.
En effektiv anvendelse af en
sådan reaktiv tjeneste kræver, at virksomhederne
stiller de fornødne ressourcer til rådighed til
såvel direkte omkostninger til tjenesten som indirekte
omkostninger forbundet med en hyppig dialog om sårbarheder og
systemdrift mellem virksomheden og tjenesten. Det er hensigten at
energi-, forsynings- og klimaministeren pålægges at
udarbejde nærmere krav til disse it-sikkerhedstjenester og
revidere disse krav løbende i forhold til den teknologiske
og kommercielle udvikling af såvel energimarkederne og
markedet for it-sikkerhedsydelser. Det er ikke hensigten med denne
bemyndigelse at pålægge ministeren at fastsætte
tekniske specifikationer til hvordan it-sikkerhedstjenesten
håndterer deres opgave. Der foreligger en mulighed for, at
der på baggrund af kontraktudarbejdelsen mellem virksomheder
og it-sikkerhedstjenester opbygges en vejledning til minimumskrav
til disse kontrakter. Der foreligger også muligheden for at
virksomhederne vælger at varetage opgaverne som
it-varslingstjeneste ved en intern organisering, dette
medfører dog et dokumentationskrav, således at det kan
godtgøres at denne it-sikkerhedstjeneste efterlever krav
udstedt af energi-, forsynings- og klimaministeren.
Det bemærkes, at de fastsatte
regler træder i kraft på et tidspunkt, hvor
virksomhederne har haft mulighed på at indrette sig i forhold
til dette krav.
Den foreslåede bestemmelse i
stk. 5, nr. 5, indebærer, at
ministeren udsteder regler om Energinet.dk's varetagelse af
overordnede, koordinerende planlægningsmæssige og
operative opgaver vedrørende det beredskab, som er
nævnt i det foreslåede stk. 1.
Bestemmelsen forudsættes
udnyttet ved, at ministeren udsteder regler om, at Enerignet.dk kan
tilgå relevante informationer og skabe det fornødne
overblik i akutte beredskabssituationer. I denne sammenhæng
kan der udstedes regler om, hvilke oplysninger og materiale i
øvrigt virksomhederne skal stille til rådighed for
Energinet.dk, og herunder bemyndige Energinet.dk til at forlange
dette materiale udfyldt i et specifikt format.
Det forventes, at ministeren
udsteder regler, hvorefter Energinet.dk pålægges som en
del af det overordnede koordinerende arbejde at bidrage til
udarbejdelsen af sektorspecifikke trusselsvurderinger. Denne opgave
kræver, at Energinet.dk stiller kompetente ressourcer til
rådighed til varetagelse af denne opgave. Energi-,
forsynings- og klimaministeren kan fastsætte nærmere
regler for dette samarbejde samt vejlede Energinet.dk i varetagelse
af denne opgave.
Virksomhedernes indblik i egne
it-systemer og erkendelse af anormaliteter kan være af
afgørende betydning for andre virksomheders, Energinet.dk's
og det samlede el- og naturgassystems evne til at begrænse
eller forhindre skader ved et it-angreb. Det er derfor vigtigt, at
virksomhederne øver og evaluerer hændelser. Dertil
kommer, at virksomhederne skal formidle såvel
øvelseserfaringer og erfaringer efter hændelser, der
har aktiveret it-beredskabsplanen i væsentligt omfang til
Energinet.dk samt andre virksomheder. Energi-, forsynings- og
klimaministeren kan fastsætte nærmere regler herom.
Den foreslåede bestemmelse i
stk. 5, nr. 6, indebærer, at
ministeren udsteder regler om krav til indholdet og
planlægningen af en it-revision ved en uafhængig
revisor, jf. den foreslåede § 85 d, stk. 3. Bestemmelsen
forudsættes udnyttet ved, at energi-, forsynings- og
klimaministeren fastsætter regler om gennemførelsen og
afrapporteringen af en it-revision jf. stk. 3, herunder at
it-revisionen kan indeholde en række anbefalinger fremsat af
revisoren, der opstiller tiltag som den pågældende
virksomhed efter revisorens faglige vurdering skal bringe i orden
for at overholde det foreslåede stk. 1.
På baggrund af krav til
indholdet af it-revisorens rapport kan tilsynsmyndigheden sikre en
faglig kvalitet i it-revisionen, hvorved tilsynsmyndighedens
afgørelser kan underbygges med konkret faglig indsigt.
Bestemmelsen pålægger
endvidere energi-, forsynings- og klimaministeren at
fastsætte regler om, hvorledes en it-revision efter det
foreslåede stk. 3 planlægges. Det er hensigten, at der
derved kan fastsættes minimumskrav til en it-revision eller
fastsættes krav om godkendelse af specifikke
it-revisorer.
Den teknologiske udvikling på
dette område gør, at der er behov for en vis
fleksibilitet for, at energi-, forsynings- og klimaministeren kan
fastsætte regler for indholdet af it-revisionen og
løbende kunne ændre kriterier for udvælgelse og
rapportering.
Det foreslåede stk. 6, forudsættes udnyttet ved, at
energi-, forsynings- og klimaministeren pålægger enten
Energinet.dk, Energistyrelsen eller anden egnet myndighed at
føre tilsyn med virksomhedernes overholdelse af reglerne
fastsat i det foreslåede stk. 1 og 5. Energi-, forsynings- og
klimaministeren kan fastsætte tilsynsforholdene efter en
vurdering af, hvilken institution der findes mest egnet til at
føre tilsyn efter det foreslåede stk. 6.
Energistyrelsen fører tilsyn med den udpegede
tilsynsmyndighed, medmindre Energistyrelsen selv varetager tilsynet
med virksomhederne, da pålægges energi-, forsynings- og
klimaministeriets departement at føre tilsyn med
Energistyrelsen.
Denne bestemmelse forventes
udmøntet i en bekendtgørelse, der fastsætter
nærmere regler vedr. tilsyn. Denne bekendtgørelse
bør revideres jævnligt, så det er muligt at
ændre organiseringen af tilsynet efter en række
foranderlige forhold.
Vurdering af hvilken institution,
der skal føre tilsyn med virksomhederne skal omfatte
såvel økonomiske som organisatoriske forhold af
betydning, herunder skal følgende forhold som minimum
vurderes:
1. Energistyrelsens
tilsyn med Energinet.dk, herunder Energistyrelsens mulighed for at
føre tilsyn med tilsynsførelsen overfor
virksomhederne.
2. Virksomhedernes
samarbejde med Energinet.dk i såvel beredskabssituationer som
i forbindelse med planlægning af beredskabsarbejdet.
3. Energinet.dk's
it-beredskabsarbejde internt.
4. Sammenhæng
og synergi med andre opgaver indenfor beredskabet.
Disse forhold er afhængige af
mange faktorer, herunder de mulige truslers karakter, de
økonomiske rammer for Energinet.dk, Energinet.dk's handler
med balancevirksomheder, udviklingen af markedet for
it-serviceydelser og sektorernes øvrige regulering. Ved at
kunne ændre på fordelingen af tilsynsopgaver ved
Energinet.dk og Energistyrelsen skal energi-, forsynings- og
klimaministeren sikre, at tilsynsopgaven pålægges den
institution, der efter ovennævnte forhold har de bedste
vilkår for at føre tilsynet med virksomhedernes
efterlevelse af disse regler.
Tilsynet med virksomhederne kan
tilpasses til virksomhedernes kritikalitet for den samlede
elforsyning. Tilsynsmyndigheden skal gennemføre
tilsynsbesøg årligt ved virksomheder, der varetager
kritiske systemer, mens tilsynet ved de resterende virksomheder kan
begrænses til treårlige tilsynsbesøg suppleret
af løbende underretninger og skriftlig kommunikation om
ændringer af beredskabsplaner og
risikoundersøgelser.
Tilsynsmyndigheden skal dokumentere
de gennemførte tilsyn, og virksomhederne skal have mulighed
for at kommentere tilsynsmyndighedens tilsynsdokumentation.
Tilsynet med virksomhedernes
beredskabsarbejde forudsætter fremskaffelse af oplysninger
fra virksomhederne, bl.a. risiko- og sårbarhedsvurderinger
samt beredskabsplaner, procedurer m.m., som er udarbejdet på
grundlag af disse risiko- og sårbarhedsvurderinger. Vurdering
af dette materiale forudsætter faglig viden om
driftsforholdene i de forskellige former for virksomhed inden for
elsektoren. Tilsynsmyndigheden kan indhente oplysninger om aktuelle
og historiske driftsforhold ved Energinet.dk's kontrolcenter, alene
med det formål at vurdere tilstrækkeligheden af
virksomhedernes beredskabsarbejde i forhold til deres kritikalitet
for det samlede el-system.
Tilsynsarbejdet skal adskilles fra
Energinet.dk's overordnede koordinerende opgaver i
beredskabssituationer. Disse overordnede, koordinerende opgaver
forudsætter ligeledes et kendskab til de enkelte
virksomheders it-beredskab, dettes omfang og kvalitet samt det
indbyrdes samspil mellem de forskellige virksomheders beredskab.
Såfremt Energinet.dk varetager opgaven som tilsynsmyndighed,
og derved varetager både de overordnede koordinerende
beredskabsopgaver efter § 85 b stk. 2, og tilsyn efter denne
bestemmelse, skal Energinet.dk tilsikre, at virksomhederne oplyses
om, hvilke informationer der anvendes i tilsynsøjemed.
Energistyrelsen pålægges at føre tilsyn med
Energinet.dk's arbejde med at sikre beskyttelse af egne
forsyningskritiske it-systemer, varetage de overordnede
koordinerende opgaver i beredskabssituationer. Dette tilsyn kan
tilrettelægges således at den kan samordnes med
tilsynet med virksomhedernes almene beredskabsarbejde efter §
85 b i lov om elforsyning. Energistyrelsen pålægges
endvidere at føre tilsyn med Energinet.dk's tilsyn med
virksomhedernes it-beredskabsarbejde i det tilfælde, at
Energinet.dk varetager opgaverne som tilsynsmyndighed over for
virksomhederne.
Ved § 1, nr. 32, i lov nr. 466
af 18. maj 2011 om ændring af lov om elforsyning, lov om
naturgasforsyning, lov om varmeforsyning, lov om Energinet.dk og
lov om fremme af vedvarende energi (Gennemførelse af el- og
gasdirektiverne m.v.) blev elforsyningslovens § 85 d
ophævet.
Det foreslås, at den
nugældende § 85 c om påbud flyttes til § 85
d, da lovforslagets bestemmelse om it-beredskab vil blive den nye
§ 85 c. Flytningen af § 85 c til § 85 d skyldes
derfor en lovteknisk rettelse.
§ 85 d, stk. 1, giver energi-, forsynings- og
klimaministeren og Energitilsynet en udtrykkelig hjemmel til at
påbyde, at forhold, der strider mod loven, mod regler eller
afgørelser i medfør af loven eller mod
Europa-Parlamentets og Rådets (EF) 714/2009 af 13. juli 2009
om betingelser for netadgang i forbindelse med
grænseoverskridende elektricitetsudveksling og om
ophævelse af forordning (EF) nr. 1228/2003, bringes i orden
straks eller inden en nærmere angiven frist. Manglende
overholdelse af et sådant påbud er strafsanktioneret i
lovens § 87. Hvorvidt det er energi-, forsynings- og
klimaministeren eller Energitilsynet, som kan udstede påbud i
medfør af § 85 c, vil afhænge af, hvilken
myndighed som fører tilsyn med, at et givet forhold er i
overensstemmelse med lovgivningen. Bestemmelsen skal derfor ses i
sammenhæng med den fordeling af tilsynsopgaverne, som
fremgår af loven og regler udstedt i medfør af loven.
Energitilsynet vil f.eks. kunne udstede påbud med hjemmel i
§ 85 d, hvis en virksomhed overtræder oplysningspligten
i henhold til § 84, stk. 3-6, eller pligten til at iagttage
fortrolighed om kommercielt følsomme oplysninger som
foreskrevet i § 84 a.
Elforsyningsloven indeholder særlige bestemmelser om
meddelelse af påbud, eksempelvis Energitilsynets adgang til
efter § 77, stk. 1, at give pålæg om ændring
af priser og betingelser. Sådanne særlige bestemmelser
vil gå forud for den generelle påbudsbestemmelse i den
nugældende § 85 c, som med lovforslaget foreslås
uændret videreført i § 85 d, i det omfang
forholdet er omfattet af de særlige bestemmelser. Den
generelle bestemmelse vil således kun finde anvendelse
på forhold, der ikke er omfattet af andre bestemmelser om
påbud i loven eller i regler udstedt med hjemmel i loven. Ved
§ 85 c, stk. 2 og 3, om påbud vedr. it-beredskab,
gælder det dog at disse først kan finde anvendelse
efter, at den generelle påbudsbestemmelse i § 85 d, er
udnyttet.
Stk. 2 gennemfører
eldirektivets artikel 37, stk. 1, litra d, som bl.a. kræver,
at de regulerende myndigheder gennemfører relevante juridisk
bindende afgørelser fra agenturet for samarbejde mellem
energireguleringsmyndigheder i EU. Energitilsynets forpligtelse
efter artikel 37, stk. 1, litra d, til selv at overholde relevante
juridisk bindende afgørelser fra agenturet (og fra
Europa-Kommissionen) som er gennemført ved § 79 a,
hvortil der henvises. Hermed gives Energitilsynet hjemmel til at
sikre overholdelsen af agenturets bindende afgørelser.
Manglende overholdelse af et sådant påbud er
strafsanktioneret i lovens § 87, stk. 1, nr. 7.
Agenturet kan træffe bindende afgørelser efter
artikel 7, stk. 1, og i visse tilfælde efter artikel 8 i
agenturforordningen samt i visse tilfælde efter artikel 17,
stk. 5, i elforordningen, jf. agenturforordningens artikel 9. Der
henvises til bemærkningerne til § 79 a i Forslag til lov
om ændring af lov om elforsyning, lov om naturgasforsyning,
lov om varmeforsyning, lov om Energinet.dk og lov om fremme af
vedvarende energi. (Gennemførelse af el- og gasdirektiverne
m.v.). som findes i Folketingstidende 2010-11 (1. samling),
tillæg A, L 87, side 37-38.
Stk. 2 giver Energitilsynets hjemmel til at udstede påbud
til situationer, hvor der er tale om forhold, der strider mod
Europa-Parlamentets og Rådets forordning nr. 1227/2011/EU af
25. oktober 2011 med eventuelle senere ændringer eller de
delegerede retsakter eller gennemførelsesretsakter, der er
vedtaget på grundlag af forordningen.
Bestemmelsen indebærer, at Energitilsynet kan
påbyde, at forhold, der strider mod bestemmelserne i
Europa-Parlamentets og Rådets Forordning nr. 1227/2011 af 25.
oktober 2011 (REMIT-forordningen) eller de delegerede retsakter
eller gennemførelsesretsakter, der er vedtaget på
grundlag heraf, bringes i orden straks eller inden for en
nærmere angiven frist.
Kommissionen kan vedtage såkaldte delegerede retsakter for
at justere visse definitioner i forordningen med henblik på
at sikre overensstemmelse med anden relevant EU-lovgivning på
områderne for finansielle tjenesteydelser og energi.
Kommissionen kan ligeledes vedtage gennemførelsesretsakter
for at præcisere markedsdeltagernes
indberetningsforpligtelser.
Manglende efterlevelse af påbud meddelt i henhold til
§ 85 c, stk. 2, vil kunne straffes med bøde, jf. den
gældende bestemmelse i § 87, stk. 1, nr. 7, i lov om
elforsyning, medmindre højere straf er forskyldt efter anden
lovgivning.
Til nr. 7
Efter den nugældende §
86 i elforsyningsloven kan Energitilsynet som tvangsmiddel
pålægge de pågældende daglige eller
ugentlige bøder, hvis nogen undlader rettidigt at efterkomme
et påbud meddelt af Energitilsynet efter § 85 c, stk. 1,
om at give oplysninger i henhold til § 22, stk. 3, eller at
efterkomme et påbud meddelt af Energitilsynet i medfør
af § 77. Det samme gælder, hvis nogen undlader rettidigt
at efterkomme et påbud meddelt af Energitilsynet efter §
85 c, stk. 2, om at opfylde de pligter, der påhviler
vedkommende efter artikel 3, stk. 4, litra b, 2. pkt., artikel 8,
stk. 1, 1. og 2. pkt., eller stk. 5, 1. pkt., eller artikel 9, stk.
1 eller 5, i Europa-Parlamentets og Rådets forordning nr.
1227/2011/EU af 25. oktober 2011 om integritet og gennemsigtighed
på engrosenergimarkederne.
Det foreslås at ændre
bestemmelsens henvisninger til § 85 c, således at
bestemmelsen henviser til § 85 d.
Den foreslåede ændring
er en konsekvensændring som følge af lovforslagets
§ 1, nr. 7, da den nugældende § 86, stk. 1 i §
85 d henviser to steder til den nugældende § 85 c, stk.
1 og 2, som foreslås videreført uændret i den
foreslåede bestemmelse til § 85 d, stk. 1 og 2.
Til §
2
Til nr. 1
Efter de gældende § 15 a, stk. 4, 2. pkt., kan det i
reglerne der udstedes efter denne bestemmelse fastsættes, at
tilsyn med beredskabsarbejde efter stk. 1 skal udføres af
det transmissionsselskab, der varetager opgaver efter stk. 2.
Det foreslås at § 15 a,
stk. 4, 2. pkt., ophæves i lov on naturgasforsyning. Herved
forudsættes, at bestemmelser i § 30 i lov om
naturgasforsyning vedrørende tilsyn anvendes. Denne
lovændring har til formål at fastsætte ensartede
rammer for tilsynet med beredskab og it-beredskabet. Denne
lovændring pålægger energi-, forsynings- og
klimaministeren at fastsætte regler for tilsynet i
medfør af § 15 a. Det er hensigten, at energi-,
forsynings- og klimaministeren kan fastsætte regler, der
pålægger enten Energinet.dk, Energistyrelsen eller
anden egnet myndighed at føre tilsyn med virksomhedernes
overholdelse af reglerne fastsat i medfør af § 15.
Energi-, forsynings- og klimaministeren kan tillægge en
relevant myndighed tilsynsopgave efter en vurdering af, hvilken
institution der findes mest egnet til at løse
tilsynsførelsen. Energistyrelsen fører tilsyn med den
udpegede tilsynsmyndighed, medmindre Energistyrelsen selv varetager
tilsynet med virksomhederne, da pålægges Energi-,
Forsynings- og Klimaministeriets departement at føre tilsyn
med Energistyrelsen.
En vurdering af, hvilken
institution der skal føre tilsyn med virksomhederne, skal
omfatte såvel økonomiske som organisatoriske forhold
af betydning, herunder skal følgende forhold som minimum
vurderes:
1. Energistyrelsens
tilsyn med Energinet.dk, herunder Energistyrelsens mulighed for at
føre tilsyn med tilsynsførelsen overfor
virksomhederne.
2. Virksomhedernes
samarbejde med Energinet.dk i såvel beredskabssituationer som
i forbindelse med planlægning af beredskabsarbejdet.
3. Energinet.dk's
it-beredskabsarbejde internt.
4. Sammenhæng
og synergi med andre opgaver indenfor beredskabet.
Disse forhold er afhængige af
mange faktorer, herunder de mulige truslers karakter, de
økonomiske rammer for Energinet.dk, Energinet.dk's handler
med balancevirksomheder, udviklingen af markedet for
it-serviceydelser og sektorernes øvrige regulering. Ved at
kunne ændre på fordelingen af tilsynsopgaver ved
Energinet.dk og Energistyrelsen skal energi-, forsynings- og
klimaministeren sikre, at tilsynsopgaven pålægges den
institution, der efter ovennævnte forhold har de bedste
vilkår for at føre tilsynet med virksomhedernes
efterlevelse af disse regler.
Tilsynet med virksomhederne kan
tilpasses til virksomhedernes kritikalitet for den samlede
elforsyning. Tilsynsmyndigheden skal gennemføre
tilsynsbesøg årligt ved virksomheder, der varetager
kritiske systemer, mens tilsynet ved de resterende virksomheder kan
begrænses til treårlige tilsynsbesøg suppleret
af løbende underretninger og skriftlig kommunikation om
ændringer af beredskabsplaner og
risikoundersøgelser.
Tilsynsmyndigheden skal dokumentere
de gennemførte tilsyn, og virksomhederne skal have mulighed
for at kommentere tilsynsmyndighedens tilsynsdokumentation.
Tilsynet med virksomhedernes
beredskabsarbejde forudsætter, at virksomhederne meddeler
tilsynsmyndigheden relevante oplysninger bl.a. risiko- og
sårbarhedsvurderinger samt beredskabsplaner, procedurer m.m.,
som er udarbejdet på grundlag af disse risiko- og
sårbarhedsvurderinger. Vurdering af dette materiale
forudsætter faglig viden om driftsforholdene i de forskellige
former for virksomhed inden for elsektoren. Tilsynsmyndigheden kan
indhente oplysninger om aktuelle og historiske driftsforhold ved
Energinet.dk's kontrolcenter, alene med det formål at vurdere
tilstrækkeligheden af virksomhedernes beredskabsarbejde i
forhold til deres kritikalitet for det samlede el-system.
Tilsynsarbejdet skal adskilles fra
Energinet.dk's overordnede koordinerende opgaver i
beredskabssituationer. Disse overordnede, koordinerende opgaver
forudsætter ligeledes et kendskab til de enkelte
virksomheders it-beredskab, dettes omfang og kvalitet samt det
indbyrdes samspil mellem de forskellige virksomheders beredskab.
Såfremt Energinet.dk varetager opgaven som tilsynsmyndighed,
og derved varetager både de overordnede koordinerende
beredskabsopgaver efter § 15 a, stk. 2, og tilsynet med
virksomhedernes beredskabsarbejde, skal Energinet.dk tilsikre, at
virksomhederne oplyses om, hvilke informationer der anvendes i
tilsynsøjemed. Energistyrelsen pålægges at
føre tilsyn med Energinet.dk's arbejde med at sikre
beskyttelse af egne forsyningskritiske it-systemer og varetagelse
af de overordnede koordinerende opgaver i beredskabssituationer.
Energistyrelsen pålægges endvidere at føre
tilsyn med Energinet.dk's tilsyn med virksomhedernes
it-beredskabsarbejde, såfremt Energinet.dk varetager tilsynet
over for virksomhederne.
Til nr. 2
Det foreslås at indsætte en bestemmelse om
it-beredskab, som er ny. Den foreslåede bestemmelse
indebærer, at bevillingspligtige virksomheder efter § 10
og Energinet.dk og dennes helejede datterselskaber skal opretholde
et it-beredskab, herunder planlægge og træffe
nødvendige foranstaltninger for at sikre beskyttelsen af
kritiske it-systemer af betydning for naturgasforsyning.
Bestemmelsen omfatter Energinet.dk
og dennes helejede datterselskaber. Endvidere omfatter bestemmelsen
bevillingspligtige virksomheder efter § 10 i lov om
naturgasforsyning. Disse virksomheder er ligeledes omfattet af det
almene beredskabsarbejde efter § 15 a i lov om
naturgasforsyning.
For at begrænse
virksomhedernes ressourceforbrug til efterlevelse af regler om
it-beredskab, samt begrænse ressourceforbruget i forbindelse
med tilsyn ved såvel virksomhederne som myndighederne
forudsættes den fremtidig regulering i medfør af de
foreslåede bestemmelser i § 15 b, stk. 5 og 6, at
indeholde en opdeling af virksomhederne i tre nærmere
definerede kategorier, og at der fastsættes graduerede krav i
forhold til denne inddeling. Se herom nedenfor.
Virksomheder kan drive it-systemer,
der ikke anses for at være et kritisk it-system for den
enkelte virksomhed, men som kan have indflydelse på driften
af kritiske it-systemer ved andre virksomheder. Denne type
it-systemer skal håndteres som kritiske it-systemer. Der kan
endvidere forekomme it-systemer, der styrer anlæg ved flere
virksomheder, og disse it-systemer kan have varieret kritikalitet
for de enkelte virksomheder. Denne type it-systemer skal beskyttes
ud fra en vurdering af deres samlede betydning for det samlede
naturgasforsyning.
Den foreslåede ordning
indebærer en pligt for de omfattede virksomheder til at
foretage en rettidig it-beredskabsplanlægning, således
at nedbrud, fejl eller angreb i virksomhedens it-systemer ikke
afstedkommer forsyningsnedbrud.
Kritiske it-systemer varetager
centrale funktioner for forsyningen, hvor nedbrud, angreb eller
fejl i disse it-systemer vil kunne påvirke forsyningen.
Såfremt det ikke er muligt at fjerne risikoen for
forsyningsnedbrud som resultat af nedbrud, angreb eller fejl i
virksomhedens it-systemer, skal virksomheden beskytte disse
kritiske it-systemer på en sådan måde, at
nedbrudsperioden begrænses. Beskyttelsen af kritiske
it-systemer er ikke begrænset til en specifik trusselstype
eller et konkret risikoscenarie. Virksomhederne skal vedligeholde
et trusselsbillede, der indeholder både trusler mod
virksomhedernes egne kritiske it-systemer og de it-systemer,
virksomheden er afhængig af. De kritiske it-systemer skal
beskyttes mod enhver trussel, der kan afstedkomme, at de styrings-
og kontrolopgaver it-systemet varetager forhindres eller
forstyrres.
Virksomhederne skal træffe
foranstaltninger, der anses for nødvendige for at
begrænse risikoen for forsyningsnedbrud som resultat af
forstyrrelser i kritiske it-systemer. Nødvendige
foranstaltninger er i denne sammenhæng, alle tiltag der kan
begrænse konsekvenserne ved eller risikoen for et nedbrud af
forsyningen under hensynstagen til virksomhedernes kommercielle
drift. Disse foranstaltninger bør dog ikke kunne
forøge risikoen eller omfanget af skader på mandskab
og materiel i forbindelse med den operative håndtering af
forstyrrelser i kritiske it-systemer.
Vurderingen af, hvilke
foranstaltninger der skønnes nødvendige, beror
på den enkelte virksomheds forhold.
Ved vurdering af om en
foranstaltning kan betragtes som nødvendig,
forudsættes virksomhederne at tillægge følgende
forhold værdi efter prioriteret rækkefølge:
1. Foranstaltningen
medfører ikke øget risiko for personskade.
2. Foranstaltningen
medfører ikke øget risiko for materiel skade.
3. Foranstaltningen
begrænser konsekvenserne og tidsrummet af
forsyningsnedbrud.
4. Foranstaltningen
begrænser ikke virksomhedens håndtering af andre
beredskabssituationer udløst af andre faktorer så som
vejret, uheld eller fysiske angreb.
5. Foranstaltningen
begrænser ikke virksomhedens øvrige drift.
6. Foranstaltningen
er naturlig at udføre i sammenhæng med de daglige
rutiner, hvorfor operatører vil være mere
tilbøjelige til at anvende den i praksis.
7. Foranstaltningen
påfører virksomheden begrænsede omkostninger ved
planlægning.
8. Foranstaltningen
påfører virksomheden begrænsede omkostninger ved
iværksættelse.
Det forudsættes, at
virksomhederne i forbindelse med denne vurdering inddrager
relevante medarbejdere med viden om konkrete forhold samt
fagpersoner med erfaring og viden inden for det specifikke
område. Det forudsættes, at virksomhederne tilsikrer,
at der løbende foregår en dialog internt mellem
relevante medarbejdere, således at evt. ændrede forhold
i virksomhedens systemer kan inddrages i vurderingen af, hvilke
tiltag der er nødvendige for at sikre naturgasforsyningen.
Det forudsættes, at der efter den foreslåede
bestemmelse i § 15 b, stk. 5, udstedes regler der stiller krav
om, at virksomhederne skal kunne godtgøre, at disse forhold
har været inddraget i forbindelse med vurderingen.
Som eksempel på en
nødvendig foranstaltning, som antages at være relevant
ved de fleste virksomheder, kan nævnes en procedure for
adgangsstyring til virksomhedens kritiske it-systemer. Det er dog
ikke sikkert, at en virksomhed, som ikke har flerbrugeradgang til
egne kritiske it-systemer, vil vurdere, at det er nødvendigt
at have et automatiseret system, der varetager logning af
brugerdata og styringsdata.
Vurderingen af hvilke
foranstaltninger der er nødvendige, forudsætter at
virksomheden har foretaget en grundig behandling af, hvilke risici
og sårbarheder der er relevante for virksomheden.
Tilsynsmyndigheden kan anmode virksomhederne om at foretage
vurderinger af konkrete risici- eller sårbarheder,
såfremt virksomhedens vurderinger findes manglefulde eller
utilstrækkelige. Der er således en sammenhæng
mellem virksomhedernes risiko- og sårbarhedsvurderinger,
virksomhedernes interne organisering af it-beredskabsarbejdet,
kendskabet til egne systemer, det generelle trusselsbillede og
foranstaltningerne virksomhederne hver især
træffer.
De nødvendige
foranstaltninger vil i nogle tilfælde afhænge af
virksomheden økonomiske forhold. Dermed er det ikke
hensigten at hensynet til økonomisk forhold skal prioriteres
fremfor hensynet til andre faktorer, men de nødvendige
tiltag bør tilrettelægges til virksomhederne
øvrige tiltag og aktiviteter, således at de
økonomiske omkostninger forbundet med it-beredskabet kan
begrænses.
En virksomhed anses for at
gennemfører de nødvendige tiltag såfremt, der
ved tilsyn kan forevises sammenhæng mellem tiltagene, egne
risiko- og sårbarhedsvurderinger og trusselsbilledet, der i
øvrigt er anerkendt af personale med ansvaret for
it-sikkerheden, driften af forsyningssystemerne og
forretningen.
Det foreslås i stk. 2, at energi-, forsynings- og
klimaministeren kan påbyde en virksomhed omfattet af det
foreslåede stk. 1, at foretage en it-revision af
forsyningskritiske it-systemer, såfremt den
pågældende virksomhed ikke opfylder et påbud
udstedt af energi-, forsynings- og klimaministeren efter § 47
b. Manglende overholdelse af et påbud efter stk. 2 efter en
tidsfrist angivet af tilsynsmyndigheden vil føre videre i
påbuds- og sanktionsmulighederne, hvorefter det
foreslåede stk. 3 i denne lov vil finde anvendelse.
Overholder den pågældende virksomhed ej heller
påbuddet udstedt i henhold til stk. 3, kan energi-,
forsynings- og klimaministeren anvende de sanktionsmuligheder, der
følger af gældende ret for sanktioner i
naturgasforsyningsloven herunder kapitel 10, samt endeligt inddrage
virksomhedens bevilling jf. § 33 i lov om
naturgasforsyning.
Såfremt det i forbindelse med
tilsyn eller på anden måde konstateres, at den
pågældende virksomhed ikke opfylder kravet i den
foreslåede § 15 b, stk. 1, om at opretholde et
it-beredskab, og ikke har truffet de nødvendige
foranstaltninger, vil ministeren kunne udnytte den eksisterende
hjemmel til at udstede et påbud efter § 47 b, stk. 1,
hvorefter energi-, forsynings- og klimaministeren kan påbyde,
at forhold, der strider mod loven, mod regler eller
afgørelser i medfør af loven, bringes i orden straks
eller inden en nærmere angiven frist. Stk. 2 har til
formål at virksomheder overholder stk. 1, da manglende
overholdelse vil kunne bringe naturgasforsyningen i fare. For at
sikre overholdelse af stk. 1, henvises der til bemærkningerne
til stk. 1.
Opfylder den pågældende
virksomhed ikke det meddelte påbud, jf.
naturgasforsyningsloven § 47 b, stk. 1, kan energi-,
forsynings- og klimaministeren med den foreslåede
ændring i stk. 2, påbyde den pågældende
virksomhed, at den får foretaget en it-revision af
forsyningskritiske it-systemer.
En it-revision består i en
teknisk gennemgang af virksomhedens af it-systemer, samt
virksomhedens it-politikker og it-procedure således, at der
etableres et billede om virksomhedens it-drift. På baggrund
af denne viden undersøger it-revisionen virksomhedens evne
til at fortsætte forsyningen i tilfælde af it-angreb
eller it-nedbrud. En it-revision kan basseres på et
internationalt anerkendt it-sikkerhedsstyringssystem såfremt
tilsynsmyndigheden finder det forsvarligt i den enkelte
virksomhed.
Bestemmelsen har til formål
at sikre kortlægningen af den pågældende
virksomheds it-systemer, herunder sikkerhedsforhold, med henblik
på at tilvejebringe et tilstrækkeligt sikkert og
relevant it-beredskab. Energi-, forsynings- og klimaministeren
fastsætter i medfør af den foreslåede
ændring i § 15 b, stk. 5, regler om krav til indholdet
af it-revisionen, herunder krav om at it-revisionen skal indeholde
anbefalinger. Disse anbefalinger skal den pågældende
virksomhed efterleve og bringe i orden efter det forslåede
stk. 3.
Den foreslåede ændring
må forventes at få den konsekvens, at beslutninger om
virksomhedens it-beredskab sker på det bedst mulige faglige
grundlag.
Omkostninger forbundet med
it-revisionen afholdes af den pågældende virksomhed.
Ved uafhængig revisor forstås en revisor, som ikke er
eller har været virksomhedens sædvanlige revisor og
hverken har eller i perioden, som it-revisionen vedrører,
har haft andre opgaver for virksomheden. Den uafhængige
revisor skal være godkendt af tilsynsmyndigheden for at
tilsikre tilstrækkelig og nødvendig faglighed af
revisoren.
Det foreslås i stk. 3, at energi-, forsynings- og
klimaministeren kan påbyde virksomheder at gennemføre
tiltag på baggrund af it-revisionen efter stk. 2, der
skønnes nødvendige for at overholde stk. 1 og derved
tilsikre opretholdelse af en sikker naturgasforsyning. Stk. 3 kan
således kun finde anvendelse såfremt virksomheden
først ikke har overholdt påbuddet udstedt i henhold
til § 47 b, og først efter at der er foretaget en
it-revision i henhold til det foreslåede stk. 2.
It-revisionen efter stk. 2 skal indeholde en række
anbefalinger fremsat af revisoren, der opstiller tiltag som den
pågældende virksomhed efter revisorens faglige
vurdering skal bringe i orden for at overholde stk. 1. Energi-,
forsynings- og klimaministeren kan i påbuddet efter stk. 3
fastsætte en nærmere tidsfrist for, hvornår
forholdene skal være bragt i orden. Overholder den
pågældende virksomhed ikke påbuddet udstedt i
henhold til stk. 3, og bringer virksomheden ikke forholdende i
orden inden for den fastlagte tidsfrist, kan energi-, forsynings-
og klimaministeren anvende de sanktionsmuligheder, der
følger af gældende ret for sanktioner i
elforsyningsloven herunder kapitel 10, samt endeligt inddrage
virksomhedens bevilling jf. § 33.
Det har ikke tidligere været
muligt i gældende ret for energi-, forsynings- og
klimaministeren, at påbyde virksomheder at gennemføre
tiltag, der anses for at være nødvendige for
overholdelse af stk. 1 på baggrund af en it-revision.
Overholdelsen af det foreslåede stk. 1 er så
væsentlig for opretholdelsen af en sikker naturgasforsyning,
at virksomhederne til enhver tid skal overholde disse regler.
Formålet med stk. 3 er derfor at skabe en yderligere mulighed
for at virksomheder overholder stk. 1 på baggrund af
revisorens rapport frem for at sanktionere med bøde som har
været tidligere praksis i gældende ret, hvis den
pågældende virksomhed ikke har overholdt et påbud
udstedt efter § 47 b. Både stk. 2 og stk. 3 er derfor
nye foreslåede påbudsmuligheder, der skal være
med til at sikre opretholdelse af en sikker naturgasforsyning.
Den foreslåede ordning
indebærer, at energi-, forsynings- og klimaministeren
fastsætter regler om krav til indholdet af it-revisionen,
herunder krav om at it-revisionen skal indeholde anbefalinger i
medfør af den foreslåede ændring i § 15 b,
stk. 5. For krav om indholdet til it-revisionen henvises til
bemærkningerne til, stk. 5, nr. 6.
Omkostningerne forbundet ved
it-revisionen og efterfølgende tiltag på baggrund af
it-revisionen, afholdes af den pågældende
virksomhed.
For korrekt overholdelse af det
foreslåede stk. 1 henvises til bemærkningerne i stk. 1.
Der henvises i øvrigt til de almindelige bemærkninger
om sanktion og påbud i afsnit 3.3 og samt
bemærkningerne til stk. 1 om vurderingen af nødvendige
foranstaltninger.
Det foreslås i stk. 4, at oplysninger, herunder vurderinger,
planer og data, vedrørende sikkerhedsforhold for
forsyningskritiske it-systemer i virksomheder omfattet af stk. 1 er
fortrolige, hvis oplysningerne er væsentlige af hensyn
beskyttelse af driften af virksomheden eller det
sammenhængende naturgassystem.
Den foreslåede bestemmelse
indebærer, at oplysninger, herunder vurderinger, planer eller
data skal holdes fortrolige, såfremt det skønnes
nødvendigt af hensyn til virksomhedens egen sikkerhed, andre
virksomheders sikkerhed eller forsyningssikkerheden på
lokalt, regionalt eller nationalt niveau. Det er som udgangspunkt
udstederen eller ejeren af oplysningerne, der vurdere
oplysningernes fortrolighed, samt drager nødvendige
foranstaltninger for at beskytte disse.
Bestemmelsen har til formål
at modvirke, at oplysninger anvendes til at forvolde skade på
den enkelte virksomheds forsyningskritiske it-systemer eller det
samlede naturgasforsyning.
Ved vurderinger forstås i
denne bestemmelse beskrivelser af konkrete sårbarheder eller
scenarier, der kan afstedkomme en krisesituation eller et
it-angreb. Vurderinger henviser både til virksomhedens egne
vurderinger af egne systemer samt vurderinger af det samlede
naturgassystems sårbarheder.
Ved planer forstås i denne bestemmelse beskrivelser af
procedurer, handlinger eller foranstaltninger, der skal forhindre
eller forebygge en krisesituation eller et it-angreb. Planer
henviser både til it-beredskabsplaner og underliggende
procedurer.
Ved data forstås i denne bestemmelse følsomme
informationer bl.a. data om systemets drift, adgange eller
brugerstyring. Disse data beskriver forsyningskritiske it-systemers
opsætning og adgangsstyring.
Stk. 4 vedrører alene
informationer af følsom karakter, der kan anvendes til at
forvolde skade på den enkelte virksomheds forsyningskritiske
it-systemer eller den samlede naturgasforsyning.
§ 46 i lov om
naturgasforsyning regulerer til en vis grad virksomhedernes
behandling af fortrolige oplysninger. Disse bestemmelser er dog
målrettet kommercielt følsomme oplysninger.
Formålet med disse bestemmelser er at tilsikre, at
virksomheder ikke må videregive kommercielt følsomme
oplysninger til andre med det resultat, at et andet selskab
får konkurrencemæssige fordele i forhold til
øvrige selskaber. Det er ikke hensigten med stk. 5 at sikre
kommercielt følsomme oplysninger, men hensigten at sikre, at
virksomheder ikke videregiver oplysninger, der kan være med
til at bringe naturgasforsyningen i fare.
Bestemmelsen i det foreslåede
stk. 4 regulerer ikke oplysninger som energi-, forsyning- og
klimaministeren, herunder Energistyrelsen, modtager f.eks. i
forbindelse med tilsyn. Oplysninger der ved tilsyn eller på
anden vis kommer energi-, forsynings- og klimaministeren i
hænde, vil være reguleret af § 27, stk. 2 i
forvaltningsloven, der tilsikrer tavshedspligt inden for den
offentlige forvaltning, og at oplysninger, der er af
væsentlig betydning for statens sikkerhed eller rigets
forsvar, ikke må videregives. Oplysninger, der kommer
energi-, forsynings- og klimaministeren i hænde, vil
være omfattet af reglerne om aktindsigt i henhold til lov om
offentlighed i forvaltningen, samt lov om aktindsigt i
miljøoplysninger i de tilfælde, hvor det
skønnes, at oplysningerne vedrører
miljøoplysninger efter definitionen i § 3 i
miljøoplysningsloven.
Det foreslås i stk. 5, at energi-, forsynings- og
klimaministeren fastsætter regler for det it-beredskab, som
virksomheder omfattet af stk. 1, skal opretholde.
Den foreslåede ordning
indebærer, at energi-, forsynings- og klimaministeren
får pligt til at fastsætte regler for en række
områder af betydning for it-beredskabet på
området for naturgasforsyning.
Som en følge af den
produktionsmæssige, informationsteknologiske udvikling anses
det for hensigtsmæssigt, at ministeren får pligt til at
udstede regler i bekendtgørelsesform for at kunne tilpasse
kravene til it-beredskabet i naturgasforsyningen
løbende.
Ministeren forudsættes i
forbindelse med udmøntning af forpligtelsen til at udstede
regler at fastsætte krav til virksomhederne, som
følger den teknologiske og kommercielle udvikling i
sektoren, således at kravene kan anses for nødvendige,
egnede og forholdsmæssige i forhold til behovet for
beskyttelse af kritiske it-systemer.
Det forudsættes endvidere, at
reglerne om it-beredskab, der vedrører fagudtryk og
referencer indenfor såvel det it-tekniske område som
det beredskabsfaglige område, indeholder nærmere
definitioner og præcisering af faglige begreber og
termer.
Energi-, forsynings- og
klimaministeren forudsættes ligeledes at fastsætte
regler, der graduerer kravene til virksomhederne på baggrund
af deres kritikalitet, således at virksomheder, der anses for
kritiske for den nationale naturgasforsyning stilles skærpede
krav i forhold til virksomheder, der kun anses for kritiske for den
lokale naturgasforsyning. Reglerne for virksomhederne
forudsættes gradueret alt efter om det er tale om
virksomheders betydning for den nationale, regionale eller lokale
naturgasforsyning.
Virksomheder af kritisk betydning
for den nationale naturgasforsyning er:
- Virksomheder der
leverer en mængde naturgas, der ved et forsyningsafbrud vil
være kritisk for det sammenhængende naturgassystem.
- Virksomheder der
driver naturgastransmissionsnettet.
- Virksomheder der
udøver styring af distributionsnet, der har betydning for
leveringen af naturgas til 250.000 forbrugere eller mere.
Virksomheder af kritisk betydning
for den regionale naturgasforsyning er:
- Virksomheder der
leverer en mængde naturgas, der ved et forsyningsafbrud ikke
vil være kritisk for det sammenhængende
naturgassystem.
- Virksomheder der
udøver styring af distributionsnet, der leverer naturgas til
et større område med mindre end 250.000
forbrugere.
Virksomheder af kritisk betydning
for den lokale naturgasforsyning er:
- Virksomheder der
leverer en naturgas uden betydning for det samlede system.
- Virksomheder der
udøver styring af distributionsnet, der leverer naturgas til
ganske få forbrugere.
Den foreslåede bestemmelse i
stk. 5, nr. 1, indebærer
nærmere, at energi-, forsynings- og klimaministeren
fastsætter regler om organisering af virksomhedens
it-beredskab og evne til at modtage advarsler om trusler mod
it-sikkerheden. Bemyndigelsen forudsættes udmøntet ved
at udstede regler, der mere detaljeret beskriver krav til den
organisatoriske sammenhæng mellem beredskabsarbejdet og
it-beredskabet, herunder forpligtiger virksomhederne til at
etablere en entydig ansvarsfordeling mellem ledelsen og de faglige
kompetencer i organisationen, således at virksomheden kan
udarbejde et komplet risikobillede.
Bestemmelsen forudsættes
således udnyttet ved, at energi-, forsynings- og
klimaministeren fastsætter krav til virksomhedernes
organisering, således at de kan modtage samt videreformidle
varsler om akutte eller generelle trusler mod it-sikkerheden. Disse
krav skal pålægge virksomhederne ansvaret for
beskyttelsen af egne forsyningskritiske it-systemer, men samtidig
forpligte alle virksomheder til at formidle disse oplysninger til
myndighederne og Energinet.dk, således at disse oplysninger
kan bidrage til den samlede beskyttelse af naturgassektoren og
samfundets forsyning. Det forudsættes endvidere, at der
fastsættes krav om, at oplysninger skal videregives til
Energinet.dk med det formål at give Energinet.dk mulighed for
at udarbejde risiko- og sårbarhedsvurderinger samt
beredskabsplaner for de samlede sektorer. Samtidig skal de
videregivne oplysninger give Energinet.dk, tilsynsmyndigheden og
Energistyrelsen et indblik i sikkerheden vedrørende kritiske
it-systemer for sektoren. Der kan endvidere være andre
myndigheder, der af hensyn til den nationale sikkerhed eller
på baggrund af forpligtigelser overfor allierede eller det
europæiske samarbejde, skal informeres om akutte trusler
eller konkrete risici. Energi- forsynings- og klimaministeren
fastsætter nærmere regler for viderebringes af denne
type information.
Den foreslåede bestemmelse i
stk. 5, nr. 2, indebærer
nærmere, at energi-, forsynings- og klimaministeren
fastsætter regler om planlægning og beredskabsarbejde,
som virksomhederne skal udføre for at modvirke trusler mod
it-sikkerheden, herunder virksomhedernes pligt til at videregive
oplysninger til Energinet.dk og relevante myndigheder.
Den foreslåede bestemmelse i
stk. 5, nr. 3, indebærer
nærmere, at energi-, forsynings- og klimaministeren
fastsætter regler om virksomhedernes risikostyring, herunder
inddragelse af andre virksomheder i risikovurderinger.
Ved risikostyring forstås i
denne sammenhæng de processer og procedure den enkelte
virksomhed foretager for at erkende og håndterer risici for
forsyningssikkerheden afledet af anvendelse af it-systemer.
Bestemmelsen forudsættes
udnyttet ved, at energi-, forsynings- og klimaministeren
fastsætter specifikke regler om indholdet i virksomhedernes
relevante lokale risikostyring. Denne lokale risikostyring
begrænses ikke til enkelte trusler eller andres erfaringer,
men tager udgangspunkt i virksomhedens egne forhold. Det skal
samtidig være muligt for virksomhederne at begrænse
deres ressourceforbrug på denne opgave, såfremt det
findes forsvarligt. Dette kan gøres ved, at virksomheder,
der deler it-systemer eller virksomheder, der af andre
årsager deler risikobillede, kan indgå aftaler om at
samordne deres it-beredskab. Dette skal dog godkendes af
tilsynsmyndigheden.
Den lokale risikostyring ved
virksomhederne er central for en effektiv beskyttelse af
it-systemerne. Det er derfor hensigten, at bestemmelsen skal give
energi-, forsynings- og klimaministeren hjemmel til at
fastsætte krav til denne risikostyring og
beredskabsplanlægning, således at der kan opnås
en hyppighed og detaljeringsgrad af disse risikovurderinger, der
modsvarer det generelle trusselsbillede. Det er endvidere
hensigten, at der udstedes regler om, at virksomhederne kan
pålægges at udarbejde risikovurderinger af specifikke
trusler inden for 3 måneder. Virksomhederne skal
løbende vurdere, om der er behov for yderligere
risikovurderinger. Virksomhederne forventes pålagt at
udarbejde risikovurderinger med en hyppighed og detaljeringsgrad,
der følger deres kritikalitet for det samlede el- eller
naturgassystem.
Det forventes ikke, at
virksomhederne vil blive pålagt at foretage risikovurderinger
af samtlige trusler oftere end hver sjette måned. Det
forventes, at hyppigheden af risikovurderinger vil følge
området og truslernes teknologiske udvikling.
Virksomhedernes trussels- og
risikokendskab samt virksomhedernes evne til at reagere på
disse er en forudsætning for en fyldestgørende
risikostyring af egne it-systemer.
Virksomhedernes risikostyring skal
inddrage alle væsentlige risici, herunder også risici,
der er afledt af samarbejde med tredjeparter, der har adgang til
virksomhedens it-systemer.
Den foreslåede bestemmelse i
stk. 5, nr. 4, indebærer, at
energi-, forsynings- og klimaministeren fastsætter regler om
tilmelding til en tjeneste, der yder varsler og informationer om
it-sikkerhedstrusler.
Denne bestemmelse forudsættes
udnyttet ved, at energi-, forsynings- og klimaministeren
fastsætter krav til indholdet af de aftaler, de enkelte
virksomheder indgår med en it-sikkerhedstjeneste. Disse krav
kan pålægge tjenester at videreformidle informationer
til Energinet.dk eller andre virksomheder i el- og
naturgassektorerne. Dette krav har til hensigt at forhindre, at en
virksomhed eller Energinet.dk ikke kan videreformidle informationer
af betydning for sikkerheden ved andre virksomheder i el- eller
naturgassektoren af hensyn til ophavsret eller en
aftalebegrænsning. Kravene kan endvidere beskrive, under
hvilke vilkår kontrakter mellem virksomheder og
it-sikkerhedstjenester kan godkendes, således at energi-,
forsynings- og klimaministeren kan fastsætte procedure for
godkendelse, der sikrer en ensartet og fagligt forsvarlig
kontraktindgåelse under hensyn til markedets udvikling.
Det er hensigten med bestemmelsen
at sikre et minimumsniveau for de kommercielle varslingstjenester
ved at pålægge energi-, forsynings- og klimaministeren
at fastsætte nærmere krav, der pålægger, at
alle virksomheder tilmeldes en it-sikkerhedstjeneste, der leverer
informationer om relevante trusler og risici mod it-sikkerheden. En
sådan proaktiv tjeneste vil bidrage til virksomhedernes
interne it-sikkerhedsprocesser. Det er endvidere hensigten at give
energi-, forsynings- og klimaministeren hjemmel til at
fastsætte graduerede krav til de reaktive ydelser en
it-sikkerhedstjeneste kan yde, således at virksomheder, der
ejer it-systemer af betydning for el- og naturgasforsyningen
regionalt eller nationalt, kan pålægges at skulle
være tilmeldt en it-sikkerhedstjeneste, der kan reagere
på akutte trusler mod virksomhedens it-systemer og assistere
virksomheden i forbindelse med en håndtering af en trussel
eller genopretning af it-systemer og opklaring af sårbarheder
efter et nedbrud eller it-angreb.
En effektiv anvendelse af en
sådan reaktiv tjeneste kræver, at virksomhederne
stiller de fornødne ressourcer til rådighed til
såvel direkte omkostninger til tjenesten som indirekte
omkostninger forbundet med en hyppig dialog om sårbarheder og
systemdrift mellem virksomheden og tjenesten. Det er hensigten at
energi-, forsynings- og klimaministeren pålægges at
udarbejde nærmere krav til disse it-sikkerhedstjenester og
revidere disse krav løbende i forhold til den teknologiske
og kommercielle udvikling af såvel energimarkederne og
markedet for it-sikkerhedsydelser. Det er ikke hensigten med denne
bemyndigelse at pålægge ministeren at fastsætte
tekniske specifikationer til hvordan it-sikkerhedstjenesten
håndtere deres opgave. Der foreligger en mulighed for, at der
på baggrund af kontraktudarbejdelsen mellem virksomheder og
it-sikkerhedstjenester opbygges en vejledning til minimumskrav til
disse kontrakter. Der foreligger også muligheden for at
virksomhederne vælger at varetage opgaverne som
it-varslingstjeneste ved en intern organisering, dette
medfører dog et dokumentationskrav, således at det kan
godtgøres at denne it-sikkerhedstjeneste efterlever krav
udstedt af energi-, forsynings- og klimaministeren.
Det bemærkes, at de udstedte
regler om træder i kraft på tidspunkt, hvor
virksomhederne har haft mulighed på at indrette sig i forhold
til dette krav.
Den foreslåede bestemmelse i
stk. 5, nr. 5, indebærer, at
energi-, forsynings- og klimaministeren fastsætter regler om
Energinet.dk's varetagelse af overordnede, koordinerende
planlægningsmæssige og operative opgaver
vedrørende det beredskab, som er nævnt i stk. 1.
Bestemmelsen forudsættes
udnyttet ved, at ministeren udsteder regler om, at Energinet.dk kan
tilgå relevante informationer og skabe det fornødne
overblik over situationen, herunder hvilke oplysninger og materiale
i øvrigt virksomhederne skal stille til rådighed for
Energinet.dk, og herunder bemyndige Energinet.dk til at forlange
dette materiale udfyldt i et specifikt format. Dette materiale skal
kunne håndteres med den fornødne fortrolighed.
Det forventes, at energi-,
forsynings- og klimaministeren fastsætter regler, hvorefter
Energinet.dk pålægges som en del af det overordnede
koordinerende arbejde at bidrage til udarbejdelsen af
sektorspecifikke trusselsvurderinger. . Denne opgave kræver,
at Energinet.dk stiller kompetente ressourcer til varetagelse af
denne opgave. . Energi-, forsynings- og klimaministeren kan
fastsætte nærmere regler for dette samarbejde samt
vejlede Energinet.dk i varetagelse af denne opgave.
Virksomhedernes indblik i egne
it-systemer og erkendelse af anormaliteter kan være af
afgørende betydning for andre virksomheders, Energinet.dk's
og det samlede el- og naturgassystems evne til at begrænse
eller forhindre skader ved et it-angreb. Det er derfor vigtigt, at
virksomhederne øver og evaluerer hændelser. Dertil
kommer, at virksomhederne skal formidle såvel
øvelseserfaringer og erfaringer efter hændelser, der
har aktiveret it-beredskabsplanen i væsentligt omfang til
Energinet.dk samt andre virksomheder. Energi-, forsynings- og
klimaministeren kan fastsætte nærmere regler herom.
Den foreslåede bestemmelse i
stk. 5, nr. 6, indebærer, at
energi-, forsynings- og klimaministeren fastsætter regler om
krav til indholdet og planlægningen af en it-revision ved en
uafhængig revisor, jf. det foreslåede stk. 2.
Bestemmelsen forudsættes udnyttet ved, at energi-,
forsynings- og klimaministeren fastsætter regler om
gennemførelsen og afrapporteringen af en it-revision jf. det
foreslåede stk. 2, herunder at it-revisionen kan indeholde en
række anbefalinger fremsat af revisoren, der opstiller
tiltag, som den pågældende virksomhed efter revisorens
faglige vurdering skal bringe i orden for at overholde det
foreslåede stk. 1.
På baggrund af krav til
indholdet af it-revisorens rapport kan tilsynsmyndigheden sikre en
faglig kvalitet i it-revisionen, hvorved tilsynsmyndighedens
afgørelser kan underbygges med konkret faglig indsigt.
Bestemmelsen pålægger
endvidere energi-, forsynings- og klimaministeren at
fastsætte regler om, hvorledes en it-revision efter det
foreslåede stk. 2 planlægges. Det er hensigten, at der
derved kan fastsættes minimumskrav til en it-revision eller
fastsættes krav om godkendelse af specifikke
it-revisorer.
Den teknologiske udvikling på
dette område gør, at der er behov for en vis
fleksibilitet for, at energi-, forsynings- og klimaministeren kan
fastætte regler for indholdet af it-revisionen og
løbende kunne ændre kriterier for udvælgelse og
rapportering.
Det foreslås i stk. 6, at energi-, forsynings- og
klimaministeren pålægger enten Energinet.dk,
Energistyrelsen eller anden egnet myndighed at føre tilsyn
med virksomhedernes overholdelse af reglerne fastsat i stk. 1.
Energistyrelsen fører tilsyn med den udpegede
tilsynsmyndighed, medmindre Energistyrelsen selv varetager tilsynet
med virksomhederne, da pålægges energi-, forsynings- og
klimaministeriets departement at føre tilsyn med
Energistyrelsen.
Denne bestemmelse forventes
udmøntet i en bekendtgørelse, der fastsætter
nærmere regler vedr. tilsyn. Denne bekendtgørelse
bør revideres jævnligt, så det er muligt at
ændre organiseringen af tilsynet efter en række
foranderlige forhold.
Vurdering af, hvilken institution
der skal føre tilsyn med virksomhederne, skal omfatte
såvel økonomiske som organisatoriske forhold af
betydning, herunder skal følgende forhold som minimum
vurderes:
1. Energistyrelsens
tilsyn med Energinet.dk, herunder Energistyrelsens mulighed for at
føre tilsyn med tilsynsførelsen overfor
virksomhederne.
2. Virksomhedernes
samarbejde med Energinet.dk i såvel beredskabssituationer som
i forbindelse med planlægning af beredskabsarbejdet.
3. Energinet.dk's
it-beredskabsarbejde internt.
4. Sammenhæng
og synergi med andre opgaver indenfor beredskabet.
Disse forhold er afhængige af
mange faktorer, herunder de mulige truslers karakter, de
økonomiske rammer for Energinet.dk, Energinet.dk's handler
med balancevirksomheder, udviklingen af markedet for
it-serviceydelser og sektorernes øvrige regulering. Ved at
kunne ændre på fordelingen af tilsynsopgaver ved
Energinet.dk og Energistyrelsen skal energi-, forsynings- og
klimaministeren sikre, at tilsynsopgaven pålægges den
institution, der efter ovennævnte forhold har de bedste
vilkår for at føre tilsynet med virksomhedernes
efterlevelse af disse regler.
Tilsynet med virksomhederne kan
tilpasses til virksomhedernes kritikalitet for den samlede
naturgasforsyning. Tilsynsmyndigheden skal gennemføre
tilsynsbesøg årligt ved virksomheder, der varetager
kritiske systemer, mens tilsynet ved de resterende virksomheder kan
begrænses til treårlige tilsynsbesøg suppleret
af løbende underretninger og skriftlig kommunikation om
ændringer af beredskabsplaner og
risikoundersøgelser.
Tilsynsmyndigheden skal dokumentere
de gennemførte tilsyn, og virksomhederne skal have mulighed
for at kommentere tilsynsmyndighedens tilsynsdokumentation.
Tilsynet med virksomhedernes
beredskabsarbejde forudsætter fremskaffelse af oplysninger
fra virksomhederne, bl.a. risiko- og sårbarhedsvurderinger
samt beredskabsplaner, procedurer m.m., som er udarbejdet på
grundlag af disse risiko- og sårbarhedsvurderinger. Vurdering
af dette materiale forudsætter faglig viden om
driftsforholdene i de forskellige former for virksomhed inden for
naturgassektoren. Tilsynsmyndigheden kan indhente oplysninger om
aktuelle og historiske driftsforhold ved Energinet.dk's
kontrolcenter, alene med det formål at vurdere
tilstrækkeligheden af virksomhedernes beredskabsarbejde i
forhold til deres kritikalitet for det samlede naturgassystem.
Tilsynsarbejdet skal adskilles fra
Energinet.dk's overordnede koordinerende opgaver i
beredskabssituationer. Disse overordnede, koordinerende opgaver
forudsætter ligeledes et kendskab til de enkelte
virksomheders it-beredskab, dettes omfang og kvalitet samt det
indbyrdes samspil mellem de forskellige virksomheders beredskab.
Såfremt Energinet.dk varetager opgaven som tilsynsmyndighed,
og derved varetager både de overordnede koordinerende
beredskabsopgaver efter § 15 a, stk. 2 og tilsyn efter denne
bestemmelse, skal Energinet.dk tilsikre, at virksomhederne oplyses
om, hvilke informationer der anvendes i tilsynsøjemed.
Energistyrelsen pålægges at føre tilsyn med
Energinet.dk's arbejde med at sikre beskyttelse af egne
forsyningskritiske it-systemer, varetage de overordnede
koordinerende opgaver i beredskabssituationer. Dette tilsyn kan
tilrettelægges således, at den kan samordnes med
tilsynet med virksomhedernes almene beredskabsarbejde efter §
15 a i lov om naturgasforsyning. Energistyrelsen
pålægges endvidere at føre tilsyn med
Energinet.dk's tilsyn med virksomhedernes it-beredskabsarbejde i
det tilfælde, at Energinet.dk varetager opgaverne som
tilsynsmyndighed over for virksomhederne.
Til nr. 3
Den gældende bestemmelse i
§ 30, stk. 2, indebærer, at der kan opkræves gebyr
for Energistyrelsens tilsyn med bevillingshavere samt Energinet.dk
og denne virksomheds helejede datterselskaber.
Det foreslås, at bestemmelsen
i § 30, stk. 2, ændres, således at der skabes
hjemmel til, at Energistyrelsens tilsyn med beredskabsopgaver efter
den foreslåede § 15 b kan gebyrfinansieres.
Formålet med ændringen
er at sikre finansieringen af den nye tilsynsopgave, som
foreslås i § 15 b. Den foreslåede ændring
betyder, at de kollektive elforsyningsvirksomheder skal betale for
de timer, som Energistyrelsen anvender til at føre tilsyn
med virksomhederne. Der beregnes en tilsynssats, som vil blive
fastsat ved bekendtgørelse. Den foreslåede
ændring har ikke til hensigt at begrænse
anvendelsesområdet for den gældende bestemmelse i
§ 30, stk. 2.
Til §
3
Det foreslås i stk. 1, at loven træder i kraft den 1.
juli 2017, jf. dog stk. 2.
Ikrafttrædelsestidspunktet er
fastsat til den 1. juli 2017 under hensyn til erhvervslivet
mulighed for at indrette sig i henhold til de nye krav til
it-sikkerhedstjeneste mv.
Det foreslås i stk. 2, at lovforslagets § 1, nr. 2, som
ikke er erhvervsrettet, træder i kraft den 1. januar 2017 med
henblik på at sikre et klarere hjemmelsgrundlag for
opkrævning gebyrer for Energistyrelsens behandling af
godkendelser til, at Energinet.dk kan etablere elforsyningsnet
på søterritoriet og i den eksklusive økonomiske
zone.
Bilag
Lovforslaget sammenholdt med gældende
lov
| | | | | | | | § 1 I lov om elforsyning, jf.
lovbekendtgørelse nr. 418 af 25. april 2016, som
ændret ved § 1 nr. 30 i lov nr. 466 af 18. maj 2011,
§ 7 i lov nr. 261 af 16. april 2016 og § 8 i lov nr. 427
af 18. maj 2016 foretages følgende ændringer: | | | | §
51. - - - Stk. 1. - -
- Stk. 2.
Bevillingshaverne samt Energinet.dk og denne virksomheds helejede
datterselskaber, jf. § 2, stk. 2 og 3, i lov om Energinet.dk
skal efter regler fastsat af energi-, forsynings- og
klimaministeren betale de udgifter, som er forbundet med tilsynet,
herunder klagesagsbehandlingen. Stk. 3-5- -
- | | 1. I § 51, stk. 2, ændres
"bevillingshaverne samt" til:"bevillingshaverne,", efter "lov om
Energinet.dk" indsættes: ", samt virksomheder, der yder
balancering af elsystemet,", og efter "herunder" indsættes:
"tilsynet med beredskabsarbejdet efter regler fastsat i
medfør § 85 c, stk. 6, og". | | | | § 51 a. Nr, 1. --- 2) behandling af ansøgning om
tilladelse, herunder de tilladelser, der er nævnt i §
11, stk. 1, § 12 a, stk. 1, § 21, stk. 1, § 22 a,
stk. 1, § 23, stk. 1, og § 37 a, stk. 1, Nr. 3-4. --- | | 2. I § 51 a, nr. 2, indsættes efter
"§ 37 a, stk. 1,": "samt § 4 a, stk. 1, i lov om
Energinet.dk,". | | | | §
70… Stk. 15. | | 3. I § 70 indsættes som stk. 15: »Stk. 15.
Energi-, forsynings- og klimaministeren kan fastsætte regler
om, at Energitilsynet kan forhøje en netvirksomheds
indtægtsramme som følge af dokumenterede
meromkostninger, der følger af krav om 1) udskiftning og opgradering af
elmålere til fjernaflæste elmålere, fremskyndelse
af investeringer i fjernaflæste elmålere og indsendelse
af timemålte forbrugsdata til datahubben i henhold til regler
fastsat af energi-, forsynings- og klimaministeren i medfør
af § 20, stk. 2, og § 22, stk. 4, 2) sikring af realisering af dokumenterbare
energibesparelser i overensstemmelse med regler fastsat i
medfør af § 22, stk. 4, jf. § 22, stk. 1, nr. 5,
og 3) tilmelding til en it-sikkerhedstjeneste i
henhold til regler fastsat af energi-, forsynings- og
klimaministeren i medfør af § 85 c, stk. 5, nr.
4.« | | | | | | 4.
Overskriften til kapitel 12 affattes
således: »Kapitel 12. Beredskab, fortrolighed, kontrol, oplysningspligt og
påbud« | | | | § 85
b. --- Stk. 4. Energi-,
forsynings- og klimaministeren kan fastsætte regler om
udførelse af tilsyn med det beredskabsarbejde, der
udføres efter stk. 1 og 2, herunder om virksomhedernes
fremsendelse af materiale som grundlag for tilsynet, om tilsynets
beføjelser i forhold til virksomhederne og om klageadgang. I
reglerne kan det fastsættes, at tilsyn med beredskabsarbejde
efter stk. 1 skal udføres af Energinet.dk. | | 5. § 85 b, stk. 4, 2.
pkt., ophæves | | | | § 85 c.
Energi-, forsynings- og klimaministeren og Energitilsynet kan
påbyde, at forhold, der strider mod loven, mod regler eller
afgørelser i henhold til loven eller mod Europa-Parlamentets
og Rådets forordning om betingelserne for netadgang i
forbindelse med grænseoverskridende elektricitetsudveksling,
bringes i orden straks eller inden en nærmere angivet
frist. Stk. 2.
Energitilsynet kan påbyde, at forhold, der strider mod en
juridisk bindende afgørelse truffet af det europæiske
agentur for samarbejde mellem energireguleringsmyndigheder eller
strider mod Europa-Parlamentets og Rådets forordning om
integritet og gennemsigtighed på engrosenergimarkederne eller
mod retsakter, der er vedtaget på grundlag heraf, bringes i
orden straks eller inden en nærmere angivet frist. | | 6. Kapitel 12 a ophæves, og i stedet
indsættes efter § 85 b i kapitel
12: Ȥ 85
c. Virksomheder, som er bevillingspligtige efter
§§ 10 og 19, Energinet.dk og dennes helejede
datterselskaber samt virksomheder, der yder balancering af
elsystemet, skal opretholde et it-beredskab, herunder
planlægge og træffe nødvendige foranstaltninger
for at sikre beskyttelsen af kritiske it-systemer der er, af
betydning for elforsyningen. Stk. 2. Energi-,
forsynings- og klimaministeren kan ved manglende opfyldelse af et
påbud efter § 85 d om at overholde stk. 1 påbyde
virksomheder at foretage en it-revision af kritiske systemer ved en
uafhængig revisor godkendt af tilsynsmyndigheden. Stk. 3. Energi-,
forsynings- og klimaministeren kan påbyde virksomheder at
gennemføre tiltag, som på baggrund af en it-revision,
jf. stk. 2, skønnes nødvendige for at opretholde et
it-beredskab, jf. stk. 1. Stk. 4.
Informationer, herunder vurderinger, planer og data,
vedrørende sikkerhedsforhold for kritiske it-systemer i
virksomheder omfattet af stk. 1 er fortrolige, hvis oplysningerne
er væsentlige af hensyn til driften af virksomheden eller det
sammenhængende el-system. Stk. 5. Energi-,
forsynings- og klimaministeren fastsætter nærmere
regler for it-beredskab, jf. stk. 1, herunder regler om 1) organisering af virksomhedens
it-beredskab og evne til at modtage advarsler om trusler mod
it-sikkerheden, 2) planlægning og beredskabsarbejde,
som virksomhederne skal udføre for at modvirke trusler mod
it-sikkerheden, herunder virksomhedernes pligt til at videregive
oplysninger til Energinet.dk og relevante myndigheder, 3) virksomhedernes risikostyring, herunder
inddragelse af andre virksomheder i risikovurderinger, 4) tilmelding til en it-sikkerhedstjeneste,
der yder varsler og informationer om it-sikkerhedstrusler, 5) Energinet.dk's varetagelse af
overordnede, koordinerende planlægningsmæssige og
operative opgaver vedrørende it-beredskab, jf. stk. 1, 6) krav til indholdet og planlægningen
af en it-revision ved en uafhængig revisor, jf. stk. 2. Stk. 6. Energi-,
forsynings- og klimaministeren fastsætter regler for
udførelse af tilsyn med virksomheders it-beredskab, jf. stk.
1. § 85 d.
Klima-, energi- og bygningsministeren og Energitilsynet kan
påbyde, at forhold, der strider mod loven, mod regler eller
afgørelser i henhold til loven eller mod Europa-Parlamentets
og Rådets forordning om betingelserne for netadgang i
forbindelse med grænseoverskridende elektricitetsudveksling,
bringes i orden straks eller inden en nærmere angivet
frist. Stk. 2.
Energitilsynet kan påbyde, at forhold, der strider mod en
juridisk bindende afgørelse truffet af det europæiske
agentur for samarbejde mellem energireguleringsmyndigheder eller
strider mod Europa-Parlamentets og Rådets forordning (EU) nr.
1227/2011 af 25. oktober 2011 om integritet og gennemsigtighed
på engrosenergimarkederne eller mod retsakter, der er
vedtaget på grundlag heraf, bringes i orden straks eller
inden en nærmere angivet frist. « | | | | § 86.
Undlader nogen rettidigt at efterkomme et påbud meddelt af
Energitilsynet efter § 85 c, stk. 1, om at give oplysninger i
henhold til § 22, stk. 3, eller at efterkomme et påbud
meddelt af Energitilsynet i medfør af § 77, kan
Energitilsynet som tvangsmiddel pålægge de
pågældende daglige eller ugentlige bøder. Det
samme gælder, hvis nogen undlader rettidigt at efterkomme et
påbud meddelt af Energitilsynet efter § 85 c, stk. 2, om
at opfylde de pligter, der påhviler vedkommende efter artikel
3, stk. 4, litra b, 2. pkt., artikel 8, stk. 1, 1. og 2. pkt.,
eller stk. 5, 1. pkt., eller artikel 9, stk. 1 eller 5, i
Europa-Parlamentets og Rådets forordning nr. 1227/2011/EU af
25. oktober 2011 om integritet og gennemsigtighed på
engrosenergimarkederne. | | 7. I § 86, stk. 1, ændres »§ 85 c« to steder til: »§ 85 d«. | | | | | | § 2 I lov om naturgasforsyning, jf.
lovbekendtgørelse nr. 1157 af 6. september 2016, foretages
følgende ændringer: | | | | § 15
a. . . Stk. 4. Klima-,
energi- og bygningsministeren kan fastsætte regler om
udførelse af tilsyn med det beredskabsarbejde, der
udføres efter stk. 1 og 2, herunder om selskabernes
fremsendelse af materiale som grundlag for tilsynet, om tilsynets
beføjelser i forhold til selskaberne og om klageadgang. I
reglerne kan det fastsættes, at tilsyn med beredskabsarbejde
efter stk. 1 skal udføres af det transmissionsselskab, der
varetager opgaver efter stk. 2. | | 1. § 15 a, stk. 4, 2. pkt.,
ophæves. | | | | § 15
b. . . | | 2. Efter § 15
a indsættes før overskriften før §
16: Ȥ 15
b. Selskaber, der er bevillingspligtige efter § 10,
samt Energinet.dk og dennes helejede datterselskaber, der varetager
naturgasforsyningsvirksomhed i henhold til § 2, stk. 2 og 3, i
lov om Energinet.dk skal opretholde et it-beredskab, herunder
planlægge og træffe nødvendige foranstaltninger
for at sikre beskyttelsen af kritiske it-systemer, der er af
væsentlig betydning for naturgasforsyningen. Stk. 2. Energi-,
forsynings- og klimaministeren kan ved manglende opfyldelse af et
påbud efter § 47 b om at overholde stk. 1 påbyde
virksomheder at foretage en it-revision af kritiske it-systemer ved
en uafhængig revisor godkendt af tilsynsmyndigheden. Stk. 3. Energi-,
forsynings- og klimaministeren kan påbyde virksomheder at
gennemføre tiltag, som på baggrund af en it-revision,
jf. stk. 2, skønnes nødvendige for at opretholde et
it-beredskab, jf. stk. 1. Stk. 4.
Informationer, herunder vurderinger, planer og data,
vedrørende sikkerhedsforhold for forsyningskritiske
it-systemer i virksomheder, som er omfattet af stk. 1, er
fortrolige, hvis oplysningerne er væsentlige af hensyn til
driften af virksomheden eller naturgassystemet. Stk. 5. Energi-,
forsynings- og klimaministeren fastsætter regler for det
it-beredskab, som virksomheder omfattet af stk. 1 skal opretholde,
herunder om: 1) organisering af virksomhedens
it-beredskab og evne til at modtage advarsler om trusler mod
it-sikkerheden, 2) planlægning og beredskabsarbejde,
som virksomhederne skal udføre for at modvirke trusler mod
it-sikkerheden, herunder virksomhedernes pligt til at videregive
oplysninger til Energinet.dk og til energi-, forsynings- og
klimaministeren, 3) virksomhedernes risikostyring, herunder
inddragelse af andre virksomheder i risikovurderinger, 4) tilmelding til en tjeneste, der yder
varsler og informationer om it-sikkerhedstrusler, 5) Energinet.dk's varetagelse af
overordnede, koordinerende planlægningsmæssige og
operative opgaver vedrørende it-beredskabet, jf. stk.1,
og 6) krav til indholdet og planlægningen
af en it-revision ved en uafhængig revisor jf. stk. 3. Stk. 6. Energi-,
forsynings- og klimaministeren fastsætter regler for
udførelse af tilsyn med det beredskabsarbejde, der
udføres efter stk. 1.« | | | | §
30. . . Stk. 2.
Bevillingshaverne samt Energinet.dk og denne virksomheds helejede
datterselskaber, jf. § 2, stk. 2 og 3, i lov om Energinet.dk
skal efter regler fastsat af klima-, energi- og bygningsministeren
betale de udgifter, som er forbundet med tilsynet. | | 3. I § 30, stk. 2, indsættes efter
"tilsynet": ", herunder tilsynet med beredskabsarbejdet efter
§ 15 b, stk. 6." | | | | | | § 3 Loven træder i kraft den 1. juli
2017, jf. dog stk. 2. Stk. 2.
§ 1, nr. 2., træder i kraft 1. januar 2017. |
|