Europaudvalget 2020-21
Videokonference 11-12/3-21 - RIA Bilag 3
Offentligt
2342480_0001.png
25. februar 2021
Samlenotat vedrørende de sager inden for Forsvarsmini-
steriets ansvarsområde, der forventes behandlet på den
uformelle videokonference for EU’s justits-
og inden-
rigsministre den 11.-12. marts 2021
Forslag til direktiv om kritiske enheders mod-
standsdygtighed. S. 2
(KOM (2020) 829 endelig)
= Politisk drøftelse
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
2342480_0002.png
1. FORSLAG TIL DIREKTIV OM KRITISKE ENHEDERS
MODSTANDSDYGTIGHED (KOM (2020) 829 ENDELIG)
Nyt notat.
Forslaget er ikke omfattet af retsforbeholdet.
KOM(2020) 819 endelig
1. Resumé
Sagen er på dagsordenen for den uformelle videokonference for in-
denrigsministre den 12. marts 2021 med henblik på politisk drøftelse.
Europa-Kommissionen (Kommissionen) har den 16. december 2020
fremsat forslag til direktiv om kritiske enheders modstandsdygtighed
(KOM(2020) 829 final). Forslaget er modtaget i dansk sprogversion
den 9. februar 2021.
Forslaget (CER-direktivet) bygger på og ophæver det nuværende di-
rektiv 2008/114/EF af 8. december 2008 om europæisk kritisk infra-
struktur (ECI-direktivet). Kommissionen har fremsat forslaget bl.a. på
baggrund af en evaluering af ECI-direktivet, der bl.a. viste, at vilkå-
rene for arbejdet med kritisk infrastruktur har ændret sig væsentligt
siden 2008.
Forslaget udgør en betydelig ændring i forhold til ECI-direktivet, både
i forhold til dækningsområdet og i de forpligtelser, som pålægges
medlemsstaterne, og de enheder, der udpeges som kritiske.
CER-direktivet vil dække 10 sektorer: Energi, transport, bankvæsen,
finansmarkedsinfrastruktur, sundhed, drikkevand, spildevand, digital
infrastruktur, offentlig forvaltning og rummet. Medlemsstaterne vil
dertil bl.a. blive pålagt at udarbejde en national strategi for kritisk
infrastruktur og udarbejde nationale risikovurderinger. Ud fra risiko-
vurderingen skal medlemsstaterne identificere kritiske enheder (f.eks.
virksomheder eller offentlige myndigheder) bl.a. ved hjælp af EU-
fælles kriterier. Endeligt pålægges det de kritiske enheder at imple-
mentere visse tekniske og organisatoriske tiltag, som medlemsstater-
ne gennem kompetente myndigheder skal føre tilsyn med. Kritiske
enheder af særlig europæisk betydning vil være underlagt specifikt
tilsyn fra Kommissionen.
Regeringen ser overordnet positivt på forslaget og ønsket om at højne
sikkerheden. Udvidelsen af direktivets dækningsområde, stærkere og
mere ensartede krav samt tilsynet hermed må forventes at styrke
25. februar 2021
2
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
2342480_0003.png
risikobevidstheden og beredskabsplanlægningen hos de aktører, der
driver kritisk infrastruktur. Regeringen ser endvidere positivt på, at
forslaget lægger op til en risikobaseret tilgang, hvor de enkelte med-
lemsstater ud fra egen national strategi og risikovurdering kan udpe-
ge de enheder, der vurderes kritiske. Regeringen vil arbejde for, at
forslaget ikke medfører uforholdsmæssige økonomiske byrder for of-
fentlige og private aktører, og at der sikres proportionalitet mellem
omkostningsniveau og merværdi.
Sagen forelægges Folketingets Europaudvalg til orientering.
2. Baggrund
Arbejdet med kritisk infrastruktur i EU er i dag indrammet af EPCIP-
programmet fra 2006
1
og ECI-direktivet fra 2008
2
.
Kommissionen har
i 2019 evalueret ECI-direktivet og finder overordnet, at direktivet har
bidraget til øget opmærksomhed om beskyttelsen af kritisk infrastruk-
tur, men at direktivets begrænsede dækningsområde, uensartet im-
plementering i medlemsstaterne samt at udviklingen i risikobilledet
betyder, at det nuværende direktiv ikke længere er tidssvarende.
Kommissionen vurderer, at den forskelligartede implementering bl.a.
har som konsekvens, at sammenlignelige enheder (f.eks. virksomhe-
der) vurderes kritiske i nogle medlemsstater, men ikke i andre. Dette
skaber ifølge Kommissionen forstyrrelser i det indre marked og hin-
dringer for de virksomheder, der opererer på tværs af flere medlems-
stater.
Samtidig er risikobilledet ifølge Kommissionen blevet mere komplekst
og omfatter bl.a. naturkatastrofer, terror, statsstøttede hybride aktio-
ner, pandemier mv. Udfordringerne er i høj grad fælles på tværs af
medlemsstaterne, hvilket understøtter behovet for en mere ensartet
tilgang.
CER-forslaget har til formål at adressere de ovenstående problemstil-
linger og dermed øge modstandsdygtigheden hos kritiske enheder,
der er afgørende for opretholdelsen af vitale samfundsmæssige funk-
tioner eller økonomiske aktiviteter i EU's medlemsstater.
Forslaget afspejler prioriteterne i Kommissionens strategi for EU's
sikkerhedsunion, der opfordrer til en revideret tilgang til modstands-
dygtighed i kritisk infrastruktur. Således skal tilgangen i højere grad
afspejle det nuværende og forventede fremtidige risikolandskab, den
1
Meddelelse fra Kommissionen om et europæisk program for beskyttelse af kritisk infrastruktur
(KOM(2006) 786).
2
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk
kritisk infrastruktur og vurdering af behovet for at beskytte den bedre.
3
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
2342480_0004.png
stadig tættere indbyrdes afhængighed mellem forskellige sektorer og
de stadig mere indbyrdes afhængige relationer mellem fysiske og di-
gitale infrastrukturer.
For så vidt angår digital sikkerhed er forslaget til CER-direktivet af-
stemt med det parallelt fremsatte
forslag til NIS2-direktiv
3
.
CER-
direktivet omhandler overordnet trusler, risici og sikkerhedstiltag i det
fysiske domæne, mens NIS2 har til formål at styrke sikkerheden og
modstandsdygtigheden på cybersikkerhedsområdet. De enheder, der
defineres som kritiske i CER-direktivet, vil ligeledes være omfattet af
cyberrelaterede sikkerhedskrav i medfør af NIS2-direktivet.
3. Formål og indhold
Kommissionen har den 16. december 2020 fremsat forslag til direktiv
om kritiske enheders modstandsdygtighed (KOM(2020) 829 final). For-
målet er overordnet at styrke modstandsdygtigheden for den kritiske
infrastruktur i medlemsstaterne.
Genstand, anvendelsesområde og definitioner (artikel 1-2)
I direktivet:
Fastsættes forpligtelser for medlemsstaterne til at træffe visse
foranstaltninger med henblik på at sikre levering i det indre mar-
ked af tjenester, der er væsentlige for opretholdelsen af vitale
samfundsmæssige funktioner eller økonomiske aktiviteter.
Fastsættes forpligtelser for kritiske enheder med henblik på at øge
deres modstandsdygtighed og forbedre deres evne til at levere
tjenester på det indre marked.
Fastsættes regler for tilsyn med og håndhævelse over for kritiske
enheder samt specifikt tilsyn med kritiske enheder, der anses for
at være af særlig europæisk betydning.
Med ”kritiske enheder” menes en offentlig eller privat enhed, der ope-
rerer inden for 10 udvalgte sektorer (energi, transport, bankvæsen,
finansmarkedsinfrastruktur, sundhed, drikkevand, spildevand, digital
infrastruktur, offentlig forvaltning og rummet), og som er blevet iden-
tificeret som ”kritisk” af en medlemsstat.
CER-direktivet indebærer dermed en væsentlig udvidelse i bredden i
forhold til det nuværende ECI-direktiv, hvor alene energi og transport
er omfattet. Samtidig udgør det en væsentlig udvidelse i forhold til
antallet af potentielt identificerbare enheder, idet der i ECI-direktivet
3
Kommissionen fremsatte forslaget om foranstaltninger til sikring af et højt fælles cybersikker-
hedsniveau i hele Unionen og om ophævelse af direktiv (EU) 2016/1148 (KOM(2020) 823 final)
(NIS2-direktivet) d. 16. december 2020. Forslaget er modtaget i dansk sprogversion d. 19. januar
2021.
4
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
2342480_0005.png
kun skulle identificeres infrastruktur, hvis forstyrrelse eller ødelæg-
gelse ville have betydelige grænseoverskridende virkninger i mindst
to medlemsstater.
Det bemærkes dog, at enheder inden for bankvæsen, finansiel mar-
kedsinfrastruktur og digital infrastruktur ikke vil blive pålagt nye krav
i medfør af CER-direktivet, da disse enheder allerede er dækket af
øvrig EU-lovgivning,
jf. også opsummering af artikel 3-9 nedenfor.
Nationale rammer for kritiske enheders modstandsdygtighed (artikel
3-9)
Medlemsstaterne skal vedtage en strategi for styrkelse af kritiske en-
heders modstandsdygtighed. Strategien skal bl.a. indeholde en be-
skrivelse af strategiske mål og prioriteter i styrkelsen af kritiske en-
heders modstandsdygtighed, en national risikovurdering, governance-
struktur mv. Strategien skal opdateres mindst hvert 4. år og skal
meddeles Kommissionen.
Medlemsstaterne skal udarbejde en liste over ”væsentlige tjenester”,
som er væsentlige for opretholden af vitale samfundsmæssige funkti-
oner eller økonomiske aktiviteter. Medlemsstaterne skal regelmæssigt
foretage en vurdering af alle relevante risici, der kan påvirke leverin-
gen af disse væsentlige tjenester, med henblik på efterfølgende at
identificere de understøttende kritiske enheder.
Medlemsstaterne skal identificere kritiske enheder under de 10 sekto-
rer og underliggende sub-sektorer, og underrette dem om de forplig-
telser, det medfører. Identifikationen foretages ud fra den forudgåen-
de risikovurdering af de væsentlige tjenester, og foretages endvidere
ud fra specifikke kriterier, bl.a. om en hændelse vil have
”betydelige
forstyrrende virkninger for leveringen af tjenesten, eller andre væ-
sentlige tjenester”.
Yderligere er der opsat en række kriterier, som medlemsstaterne som
minimum skal tage hensyn til, når det skal vurderes, hvorvidt en
hændelse har ”betydelig forstyrrende virkning.” Kriterierne omfatter
bl.a. de økonomiske, samfundsmæssige og sikkerhedsmæssige kon-
sekvenser en given hændelse kan have, uden at der dog fastsættes
specifikke tærskelværdier.
Medlemsstaterne skal identificere enheder inden for sektorerne bank-
væsen, finansiel markedsinfrastruktur og digital infrastruktur, som
kun skal behandles som ”svarende til kritiske enheder” fremfor ”kriti-
ske enheder”. Det skyldes, at
enhederne inden for disse sektorer vil
være omfattet af krav i medfør af anden EU-lovgivning. Dette inde-
bærer, at enhederne i regi af CER-direktivet kun indgår som en del af
5
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
2342480_0006.png
medlemsstaternes overordnede myndighedsarbejde med strategi,
risikovurdering og understøttelse mv., (artikel 3-9), men at enheder-
ne dermed ikke skal opfylde de krav, der stilles til kritiske enheder
inden for de øvrige 7 sektorer.
Medlemsstaterne skal udpege en eller flere kompetente myndigheder,
der er ansvarlige for implementeringen af direktivet på nationalt plan.
Det er væsentligt, at de udpegede kompetente myndigheder skal
samarbejde med de kompetente myndigheder, der er udpeget i med-
før af NIS2-direktivet. Dertil skal der udpeges et centralt kontakt-
punkt, der forestår det grænseoverskridende samarbejde. Kontakt-
punktet skal ligeledes forelægge regelmæssig rapport til Kommissio-
nen om hændelsesaktivitet.
Endelig skal medlemsstaterne yde støtte til de enheder, der er udpe-
get som kritiske, f.eks. ved at udgive vejledningsmateriale, støtte
tilrettelæggelse af øvelser, indføre videndelingsværktøjer mv.
Kritiske enheders modstandsdygtighed (artikel 10-13)
De enheder, som medlemsstaterne udpeger som kritiske, skal mindst
hvert fjerde år foretage egne risikovurderinger på grundlag af bl.a. den
nationale risikovurdering. Risikovurderingerne skal også tage højde for
andre sektorers eventuelle afhængigheder, herunder også i nabostater
og tredjelande i relevant omfang. Medlemsstaterne skal sikre, at de
kritiske enheder på den baggrund beskriver og implementerer passende
og forholdsmæssige tekniske og organisatoriske foranstaltninger.
Foranstaltningerne skal bl.a. omfatte forebyggelse af hændelser, fysisk
sikring, krisestyringsprocedurer, genopretningsprocedurer, sikkerheds-
styring af medarbejdere mv.
Kommissionen gives beføjelse til at vedtage delegerede retsakter og
gennemførselsretsakter, der om nødvendigt præciserer disse foranstalt-
ninger.
Medlemsstaterne kan anmode Kommissionen om at gennemføre rådgi-
vende missioner til kritiske enheder i forbindelse med opfyldelsen af
deres forpligtelser.
Medlemsstaterne skal sikre, at de kritiske enheder kan indgive anmod-
ninger om baggrundskontrol af personer, der tilhører specifikke katego-
rier af deres personale, og at disse anmodninger hurtigt vurderes af de
relevante myndigheder.
Medlemsstaterne skal sikre, at de kritiske enheder underetter den kom-
petente myndighed om hændelser, der i væsentlig grad forstyrrer eller
6
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
2342480_0007.png
har potentiale til i væsentlig grad at forstyrre deres aktiviteter. Via
det centrale nationale kontaktpunkt skal denne underretning videregi-
ves til andre berørte medlemsstater, hvis hændelsen har grænseover-
skridende virkninger.
Specifikt tilsyn med kritiske enheder af særlig europæisk betydning
(artikel 14-15)
Visse kritiske enheder
vil blive defineret som af ”særlig europæisk be-
tydning”, såfremt de leverer væsentlige tjenester til eller i mere end en
tredjedel af medlemsstaterne. Medlemsstaterne skal sikre, at de enhe-
der, der udpeges som kritiske, selv melder til de nationale kompetente
myndigheder, såfremt de leverer væsentlige tjenester til eller i mere
end en tredjedel af medlemsstaterne. Herefter meddeler medlemsstaten
dette videre til Kommissionen, der efterfølgende underretter enheden
om, at denne betragtes som en kritisk enhed af særlig europæisk be-
tydning.
Disse enheder vil være underlagt et skærpet tilsyn, hvor Kommissionen
bl.a. kan anmode om at få udleveret risikovurderingen og implemente-
ringsplanen for de tekniske og organisatoriske foranstaltninger, og gen-
nemføre rådgivende missioner for at vurdere disse foranstaltninger.
Kommissionen kan på den baggrund meddele synspunkter om, hvorvidt
enheden opfylder sine forpligtelser, og hvilke foranstaltninger der kan
træffes for at forbedre enhedens modstandsdygtighed.
Samarbejde og rapportering (artikel 16-17)
Der nedsættes en ”gruppe for kritiske enheders modstandsdygtighed”,
bestående af repræsentanter fra medlemsstaterne og med Kommissio-
nen som formand. Gruppen nedsættes som ekspertgruppe under Kom-
missionen og skal bl.a. bistå Kommissionen i at understøtte medlems-
staternes implementering af direktivet, fx identificere
best practice
i
forhold til strategiformulering mv.
Tilsyn og håndhævelse (artikel 18-19)
Medlemsstaterne skal sikre, at de kompetente myndigheder har befø-
jelser og midler til at sikre gennemførelsen og håndhævelsen af direk-
tivet. Det indebærer bl.a., at myndighederne skal kunne foretage in-
spektioner og gennemføre eller kræve revisioner af de kritiske enhe-
der.
Medlemsstaterne skal fastsætte bestemmelser om sanktioner for
overtrædelser og træffe alle nødvendige foranstaltninger til at sikre,
at de gennemføres. Bestemmelserne skal meddeles Kommissionen.
7
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
2342480_0008.png
4. Europa-Parlamentets udtalelser
Europa-Parlamentet er i henhold til den almindelige lovgivningsprocedu-
re (art. 294, TEUF) medlovgiver. Der foreligger endnu ikke en udtalelse.
Det er Europa-Parlamentets udvalg for Borgernes Rettigheder og Retlige
og Indre Anliggende (LIBE), der behandler forslaget.
5. Nærhedsprincippet
Kommissionen vurderer, at en fælles lovgivningsmæssig ramme er be-
rettiget i betragtning af den indbyrdes afhængighed og grænseoverskri-
dende karakter af de væsentlige tjenester, som kritisk infrastruktur un-
derstøtter. En afbrydelse hos en operatør, der leverer tjenester i flere
medlemsstater, kan således få paneuropæiske konsekvenser, hvilket
kræver handling på EU-plan.
Kommissionen vurderer endvidere, at forskellige nationale regler har
direkte negativ indvirkning på det indre markeds funktion. Kommissio-
nens konsekvensanalyse har i forlængelse heraf vist, at mange med-
lemsstater og interessenter i erhvervslivet har udtrykt behov for en me-
re fælles og koordineret europæisk tilgang.
Regeringen er på det foreliggende grundlag enig i, at en fælles europæ-
isk regulering vedrørende kritisk infrastruktur er berettiget, givet de
stigende indbyrdes afhængigheder og fælles udfordringer, som præger
området.
Regeringen lægger i sin vurdering af overholdelsen af nærhedsprincip-
pet vægt på, at det overordnede ansvar for at udpege kritiske enheder
og sikre rette foranstaltninger for deres modstandsdygtighed fortsat
påhviler medlemsstaterne, herunder også i forhold til de kritiske enhe-
der, der måtte vurderes af særlig europæisk betydning. Regeringen
noterer sig i forlængelse heraf, at der i direktivet lægges op til en risi-
kobaseret tilgang, der efterlader plads til at implementere direktivet
under hensyntagen til nationale og sektorspecifikke forhold.
På det foreliggende grundlag er det derfor regeringens vurdering, at
nærhedsprincippet er overholdt.
6. Gældende dansk ret
Ansvaret for beskyttelse af kritisk infrastruktur i Danmark følger af sek-
toransvarsprincippet, jf. beredskabslovens § 24: ”De enkelte
ministre
skal hver inden for deres område planlægge for opretholdelse og videre-
førelse af samfundets funktioner i tilfælde af større ulykker og katastro-
fer (…)”
8
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
Ministerierne skal sørge for, at den nødvendige lovgivning, bekendtgø-
relser mv. tilvejebringes i ressortlovgivningen. Beredskabskrav til ope-
ratører findes således i en række ressortspecifikke love og bekendtgø-
relser, herunder fx:
Elforsyningslovens § 85b og § 85c
Naturgasforsyningslovens § 15a og § 15b
Olieberedskabsloven § 16
Sundhedslovens §§ 210-211
Det bemærkes, at begrebet ”kritisk infrastruktur” indgår som en sær-
ligt følsom sektor i udkast til lovforslag om investeringsscreening.
Det følger heraf, at udenlandske investeringer mv. i virksomheder
inden for kritisk infrastruktur kræver forhåndstilladelse. Det fremgår
af bemærkningerne til lovforslagets § 6, at kritisk infrastruktur define-
res som:
”Infrastruktur –
herunder faciliteter, systemer, processer, netværk,
teknologier aktiver samt serviceydelser - som er nødvendige for at
opretholde
eller genoprette samfundsvigtige funktioner.”
Baseret på nationale og internationale erfaringer, herunder særligt
tidligere arbejde fra Beredskabsstyrelsen, er følgende 15 sekto-
rer/områder defineret som samfundsvigtige: Energi, informations- og
kommunikationsteknologi (IKT), transport, beredskab og civilbeskyt-
telse, sundhed, sociale forhold, drikkevand og fødevarer, spildevand
og renovation, finans og økonomi, uddannelse og forskning, meteoro-
logi, forsvar samt efterretnings- og sikkerhedstjeneste, udenrigstje-
neste, myndighedsudøvelse generelt samt tværgående krisestyring.
Alle sektorer, som CER-direktivet dækker over, på nær rumfart, er
inkluderet i den danske tilgang. CER-direktivets tilgang og definition
af kritisk infrastruktur samt sektorafgrænsning er således overordnet
sammenlignelig med den danske.
Det bemærkes, at der aktuelt pågår en tværministeriel kortlægning af
kritisk infrastruktur i Danmark. Med erfaringerne fra denne kortlæg-
ning vurderes myndighederne efterfølgende at have et godt udgangs-
punkt for kortlægningen af kritiske enheder ud fra CER-direktivets
retningslinjer. Kortlægningsarbejdet og arbejdet med investerings-
screeningsloven færdiggøres i 2021, mens CER-direktivet forventeligt
først skal være endeligt implementeret fire år efter vedtagelsen.
9
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
2342480_0010.png
7. Konsekvenser
Lovgivningsmæssige konsekvenser
Implementering af direktivet i dansk ret vil have lovgivningsmæssige
konsekvenser, da der bl.a. skal indføres nye krav til operatører af
kritisk infrastruktur i Danmark, udpeges et centralt kontaktpunkt mv.
Det vurderes hensigtsmæssigt, at implementeringen af direktivet ge-
nerelt gennemføres sektorvist for hvert af de involverede ministerom-
råder med forbehold for en eventuel horisontal gennemførelse af dele
af direktivet, såfremt det vurderes at give økonomisk og lovgivnings-
mæssigt merværdi. Dette vil dels stemme overens med hidtidig
dansk praksis,
jf. sektoransvarsprincippet beskrevet ovenfor,
og end-
videre flugte med implementeringen af det nuværende NIS-direktiv
og forventede implementering af det kommende NIS2-direktiv. I for-
længelse heraf vurderes det hensigtsmæssigt, at de sektoransvarlige
myndigheder bliver de kompetente myndigheder i direktivets for-
stand.
Økonomiske konsekvenser
Forslaget vurderes at have statsfinansielle konsekvenser samt er-
hvervsøkonomiske konsekvenser. Disse kan ikke nærmere kvantifice-
res på nuværende tidspunkt. Fra dansk side udestår således en nær-
mere vurdering af de statsfinansielle konsekvenser samt de erhvervs-
økonomiske konsekvenser herunder administrative konsekvenser og
øvrige efterlevelseskonsekvenser, herunder særligt i de nye sektorer.
Kommissionen vurderer, at de statsfinansielle konsekvenser særligt
vil stamme fra udviklingen af nationale strategier, risikovurderinger
samt identifikationen af og tilsynet med de kritiske enheder. Kommis-
sionen vurderer dog, at medlemsstaterne bør kunne trække på erfa-
ringer med lignende arbejde i regi af det nuværende NIS-direktiv.
Det vurderes, at direktivforslaget medfører administrative konsekven-
ser for dansk erhvervsliv. Det skyldes bl.a., at de kritiske enheder
skal træffe passende og forholdsmæssige tekniske og organisatoriske
foranstaltninger for at sikre deres modstandsdygtighed og sikre, at
disse foranstaltninger er beskrevet i en plan for modstandsdygtighed
eller i et eller flere tilsvarende dokumenter jf. artikel 10 og 11. Disse
planer vil potentielt skulle fremvises/leveres til myndigheder mini-
mum hvert fjerde år som led i myndighedernes tilsynsforpligtelse,
ligesom de kritiske enheder vil blive pålagt underretningsforpligtelser
bl.a. i forbindelse med sikkerhedshændelser. Endelig følger ekstra
krav til europæisk kritisk infrastruktur.
De administrative konsekvenser vil forventeligt være særligt gælden-
de for mellemstore og store virksomheder, idet Kommissionen vurde-
10
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
2342480_0011.png
rer, at relativt få SMV’er vil blive udpeget som kritiske
enheder af de
nationale myndigheder. Omvendt forventes de administrative og øko-
nomiske konsekvenser mindre for de sektorer, der allerede er under-
lagt krav på området, herunder fx el-, naturgas- og oliesektorerne.
De ovenstående forhold kan ikke kvantificeres nærmere på nuværen-
de tidspunkt. Det er endnu ukendt hvor mange virksomheder i Dan-
mark, der vil blive udpeget som kritiske enheder og dermed skal leve
op til kravene, samt om der vil være virksomheder, som vil kunne
falde under definitionen på og kravene til europæisk kritisk infrastruk-
tur.
Kommissionen vurderer dog overordnet, at økonomien i det indre
marked generelt vil blive positivt påvirket af direktivet, bl.a. fordi risi-
koen for afbrydelser i væsentlige tjenester vil blive mindre, hvilket
mindsker omkostninger forbundet med sikkerhedshændelser og øger
den økonomiske stabilitet.
Andre konsekvenser og beskyttelsesniveauet
Forslaget vurderes at have positive konsekvenser for modstandsdygtig-
heden i den kritiske infrastruktur og dermed overordnet indebære en
sikkerhedsmæssig gevinst.
8. Høring
Forslaget er sendt i høring d. 9. februar 2021 i specialudvalget for
civilbeskyttelse, specialudvalget for konkurrenceevne, vækst og for-
brugerspørgsmål, specialudvalget for transport, skibsfartspolitisk spe-
cialudvalg og specialudvalget for klima-, energi- og forsyningspolitik
med frist d. 18. februar 2021. Der er modtaget svar fra PostNord,
Dansk Vand- og Spildevandsforening, 3F, DI Transport / Dansk Luft-
fart, DSB, Erhvervsflyvningens Sammenslutning, Danske Rederier,
Dansk Erhverv, Danske Havne og Danske Vandværker.
Generelle bemærkninger
PostNord
bemærker, at den fysiske befordringspligt
og dermed
den befordringspligtige virksomhed
bør defineres som kritisk enhed,
da fysisk brevdistribution selv i moderne tider er afgørende for visse
befolkningsgrupper og i tilfælde af systemnedbrud eneste alternativ
for kommunikation fra myndigheder til borgere, mellem virksomheder
samt mellem borgerne.
PostNord
bemærker videre, at denne infrastruktur forudsætter sam-
arbejde og integration mellem EU’s medlemslande. På baggrund af
den aktuelle nedlukning af fysiske butikker, bør det overvejes om
11
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
befordringspligt af pakker bør opretholdes eller alene overlades til
markedskræfterne.
Dansk Vand- og Spildevandsforening (DANVA)
kan overordnet
støtte direktivforslaget.
DANVA
mener principielt, at der skal være
lovgivningsmæssige rammer, der sikrer og understøtter, at danske
forsyninger arbejder effektivt med modstandsdygtighed/resiliens ud
fra en risikobaseret tilgang.
DANVA
vurderer, at direktivet vil bidrage
til at forbedre rammerne for dette arbejde på vand- og spildevands-
forsyningsområdet.
DANVA
finder det vigtigt, at forsyningerne ikke underlægges dobbelt-
regulering som følge af allerede eksisterende nationale eller EU-retlige
krav.
DANVA
fremhæver, at det fortsat skal være muligt at anvende
nationale eller internationale tekniske retningslinjer eller standarder.
DANVA
konstaterer, at flere forsyninger servicerer inden for flere
områder (energi, gas, vand, spildevand mv.), og finder det væsent-
ligt, at der er et samspil mellem retningslinjerne for de forskellige
forsyningsarter.
DANVA
finder, at medlemsstaterne skal tilvejebringe de økonomiske
og juridiske rammer, der kan sikre, at vand- og spildevandforsynin-
gen fortsat kan leveres til en overkommelig pris. Der vil være behov
for en analyse af de omkostninger, som direktivet vil afstedkomme
for de forsyninger, der udpeges som kritiske enheder, og det bør
drøftes på nationalt niveau, hvordan en fair finansiering kan etable-
res. De forsyninger, der bliver udpeget som kritiske enheder, bør
kompenseres økonomisk, så regningen ikke ender hos forbrugerne.
DANVA
finder, at nationale tilskud i den forbindelse ikke skal betrag-
tes som ulovlige.
3F Transport
støtter intentionen bag og formålet med forslaget, her-
under at der sigtes til en bedre fælles europæisk sikring og beskyttel-
se af kritisk infrastruktur.
DI Transport
og
Dansk Luftfart
støtter direktivforslaget og bemær-
ker, at der er god grund til at indtænke kritisk infrastruktur i en bre-
dere kontekst, og at den valgte løsningsmodel i den henseende synes
proportional.
Erhvervsflyvningens Sammenslutning (ES)
støtter forslaget.
ES
foreslår, at den del af transportsektoren, der vedrører luftfart, udvides
til at omfatte lufttrafik generelt, herunder også forretnings- og privat-
12
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
ejede fly.
ES
konstaterer, at det i det nuværende forslag kun er luft-
fartsselskaber, der er omfattet.
Danske Rederier
konstaterer, at de danske rederier som en del af
transportsektoren i dag er omfattet af ECI-direktivet og er forstående
over for nødvendigheden af at ændre tilgangen til en bredere sikring
af kritiske enheders modstandsdygtighed.
Danske Rederier
finder det vigtigt, at der ikke med CER-direktivet
indføres yderligere krav til foranstaltninger for søtransportsektoren og
havneterminaler, der bidrager til unødige administrative byrder eller
udfordrer transportkædernes effektivitet.
Danske Rederier
bemær-
ker i den forbindelse, at de kritiske enheder i søfartssektoren vil være
omfattet af forordning nr. 725/2004, der bygger på international lov-
givning vedtaget af den Internationale Søfartsorganisation (IMO).
Danske Rederier
konstaterer, at danske havne og havneterminaler
samt danske skibe ikke er kategoriseret som kritiske enheder efter
den nuværende regulering.
Danske Rederier
ønsker, at den nuvæ-
rende praksis fastholdes, så medlemsstaterne fortsat identificerer
kritiske enheder baseret på en national risikovurdering.
Danske Re-
derier
ønsker en fortsættelse af det nuværende myndighedssamar-
bejde og ser ingen hindringer for dette i CER-direktivet.
Dansk Erhverv
er positivt indstillet overfor forslaget og støtter, at
der kommer fokus på den vigtige problemstilling, som bl.a. COVID-
19-pandemien har aktualiseret, og at EU ruster sig til eventuelle
fremtidige katastrofer, der potentielt kan påvirke vitale samfunds-
mæssige funktioner eller økonomiske aktiviteter negativt.
Dansk Erhverv
finder, at en fornyet tilgang, der i højere grad afspej-
ler det nuværende og forventede fremtidige risikolandskab, den sta-
dig tættere indbyrdes afhængighed mellem forskellige sektorer og de
stadig mere indbyrdes afhængige relationer mellem fysiske og digitale
infrastrukturer, kan fremme kritiske enheders modstandsdygtighed.
Dansk Erhverv
konstaterer, at operatører ofte opererer som en del
af et stadig mere sammenkoblet net af tjenester og infrastrukturer og
leverer væsentlige tjenester i mere end én medlemsstat. En harmoni-
seret tilgang
til reguleringen vil sikre en overordnet EU-ramme, som bedre end
forskellige nationale tiltag styrker modstandsdygtigheden og sikrer
leveringen af væsentlige tjenester i EU.
Dansk Erhverv
finder, at reguleringen grundlæggende bør facilitere,
at enheder, som ikke er tilstrækkeligt udstyret til at håndtere nuvæ-
13
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
rende og forventede fremtidige risici for deres drift mv., sættes i
stand til at forbedre deres modstandsdygtighed.
Dansk Erhverv
finder det vigtigt, at dobbeltregulering undgås, hvor
der allerede findes sektorspecifik regulering. Ligeledes er det vigtigt,
at kravene til kritiske enheder om at træffe passende og forholds-
mæssige tekniske og organisatoriske foranstaltninger for at sikre de-
res modstandsdygtighed i alle tilfælde er proportionale og ikke på-
lægger unødige økonomiske byrder.
Danske Havne (DH)
støtter, at indsatsen for at beskytte vigtig in-
frastruktur (herunder havne) tilpasses og styrkes via en målrettet
vurdering af alle relevante naturlige og menneskeskabte risici, der
kan påvirke leveringen af væsentlige tjenester, herunder bl.a. ulyk-
ker, naturkatastrofer mv.
DH
støtter endvidere, at medlemsstaterne kan identificere kritiske
enheder ved hjælp af fælles kriterier på grundlag af en national risi-
kovurdering.
DH
finder det i den forbindelse vigtigt, når medlemsstaterne udpeger
de kritiske enheder, at det vurderes, om omkostningerne og den ad-
ministrative byrde for fx havnene er proportionale med truslen. Den
nationale myndighed bør foretage en specifik risikovurdering af hver
havn og på dette grundlag beslutte, om den skal være omfattet som
kritisk infrastruktur i direktivet. Det skal også specificeres, hvilke dele
af fx havnen, der i så fald betragtes som kritisk infrastruktur. Det er
vigtigt at inddrage virksomheder/havne i arbejdet, da de kan bidrage
til at udpege den kritiske infrastruktur.
DH
bemærker, at danske erhvervshavne er i forvejen underlagt store
sikkerhedsforanstaltninger, herunder krav om at udarbejde sårbar-
hedsvurderinger og sikringsplaner. Dertil kommer det kommende
NIS2-direktiv, der også omfatter havne.
DH
kan frygte, at hvis havnene skal bruge store ressourcer på im-
plementering af dette direktiv såvel som NIS2-direktivet, kan det i
sidste ende betyde ulig konkurrence til fordel for landtransport. Dette
vil i sidste ende også være til skade for klimaet.
DH
finder, at det kan være forbundet med store omkostninger for de
aktører, der udpeges som kritiske enheder, og at det i den forbindelse
er vigtigt, at direktivet koordineres med øvrige indsatser, så den ad-
ministrative byrde mindskes mest muligt.
DH
foreslår, at der er mu-
lighed for økonomisk- og faglig støtte til de virksomheder/havne, der
omfattes af kravene.
14
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
2342480_0015.png
Danske Vandværker (DV)
er enige i behovet for nationale strategi-
er, der skal sikre kritiske enheders modstandsdygtighed overfor for
cyberangreb, terrorhandlinger mv., baseret på regelmæssige vurde-
ringer af relevante risici og med opdatering hvert fjerde år.
DV
finder
det væsentligt, at risikovurderingen foretages under hensyntagen til
afhængigheder mellem sektorer, herunder f.eks. energi, transport,
drikkevand og spildevand, bankvæsen, digital infrastruktur mv. Kon-
kret er vandforsyning meget afhængig af fx elforsyningen.
DV
finder, at direktivet vil forbedre mulighederne for, at arbejdet med
at sikre modstandsdygtighed også bliver gennemført for vandforsy-
ningerne.
DV
vurderer i den forbindelse, at der er behov for, at også
vandforsyning bliver udpeget som kritisk infrastruktur.
DV
finder det afgørende, at EU udarbejder en vejledning med fokus
på samspillet mellem nærværende direktivforslag og NIS2-forslaget.
Der vil være vandforsyninger, der udpeges efter NIS2-retningslinjer,
og som på nogle punkter også skal forholde sig til kravene i direktivet
om kritiske enheders modstandsdygtighed. Der er derfor risiko for
dobbeltarbejde og unødvendigt bureaukrati.
DV
finder det vigtigt, at der i direktivet tages tilstrækkeligt hensyn til
den særlige struktur, der er i vandforsyningen i Danmark. De fleste af
DV’s medlemmer er vandforsyninger med kun få ansatte og med en
relativt lav leverance pr. forsyning. Foranstaltninger bør derfor være
proportionale med mulige effekter af hændelser, og direktivet bør
derfor sikre en tilstrækkelig dialog imellem myndigheder og vandfor-
syninger ved fastlæggelsen af krav, herunder sikre at allerede eksi-
sterende krav ikke gentages, men suppleres af det ny direktivs krav.
DV
bemærker, at mindre vandforsyninger har en begrænset økono-
misk og administrativ kapacitet, og finder, at der er behov for en til-
kendegivelse af, at de enkelte medlemslande bør fastlægge finansie-
ringen af tiltag under hensyntagen til den økonomiske og administra-
tive kapacitet hos de enkelte vandforsyninger.
Specifikke bemærkninger
Artikel 1:
DANVA
bemærker, at artikel 1, litra a kan læses således, at kritiske
enheder skal levere en service i det indre marked, for at være omfat-
tet af direktivet.
DANVA
har ikke kendskab til, at der er danske for-
syninger eller danske forbrugere, der forsyner henholdsvis bliver for-
synet på tværs af landegrænser.
15
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
DANVA
finder det bydende nødvendigt, at EU udarbejder vejled-
ningsmateriale, der har fokus på samspillet mellem nærværende di-
rektiv og forslaget til NIS2-direktiv.
Artikel 3:
DANVA
støtter, at den nationale strategi opdateres hvert fjerde år,
og finder det i den forbindelse centralt, at der er fokus på rolle- og
ansvarsbeskrivelse.
Artikel 4:
DANVA
støtter, at der ved risikovurderingen tager højde for risici, der
stammer fra afhængigheder mellem sektorer.
DANVA
bemærker, at
vand- og spildevandsforsyningen blandt andet afhænger af el-
sektoren.
Artikel 5:
DANVA
finder det hensigtsmæssigt, at identifikationen af kritiske
enheder jf. artikel 5 foretages ud fra en risikovurdering, og at den
nationale myndighed har dialog med den potentielle kritiske enhed for
dermed at sikre fælles forståelse for den udførte risikovurdering og de
konkrete hensyn til proportionalitetsprincippet.
Artikel 8:
DH
finder det væsentligt, at de ressourcer der nævnes i artikel 8 stk.
4 fordeles ligeligt mellem de relevante myndigheder, således at de er
i stand til at løfte deres opgaver i medfør af direktivet, uden at det
går ud over deres øvrige ansvarsopgaver og forpligtelser. For havne-
ne betyder det bl.a., at Trafik-, Bygge- og Boligstyrelsen, Søfartssty-
relsen, Politi og Forsvaret også får tildelt de rette ressourcer for udfø-
relsen af opgaven.
Artikel 9:
DANVA
påskønner, at det eksplicit angives i artikel 9, at medlems-
staterne skal understøtte de kritiske enheder, og at det i den forbin-
delse er væsentligt, at der sikres rettidig rådgivning om de krav, der
følger af direktivets artikel 10 og 11.
DSB
finder i forhold til artikel 9, at det i direktivet bør adresseres,
hvordan de kritiske enheder forsvarligt skal opbevare og håndtere
potentielt forretnings- og personfølsomme oplysninger fra andre kriti-
ske enheder.
Artikel 10:
DSB
finder i forhold til artikel 10, at det generelt bør tilsigtes, at de
kritiske enheders arbejde med risikovurderinger optimeres i videst
muligt omfang, således at dobbeltarbejde begrænses.
DSB
anbefaler
16
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
konkret, at kritiske enheder, som opererer inden for samme sektor,
koordinerer arbejdet med risikovurderinger og risikorapporteringer.
Artikel 11:
DSB
finder, at der er behov for en præcisering af, hvad der forstås
ved ”passende og forholdsmæssige tekniske og organisatoriske foran-
staltninger”.
DSB
bemærker, at for en virksomhed som DSB, med
mange fysiske lokationer og medarbejdere fordelt på et stort geogra-
fisk område, vil der potentielt være tale om betydelige investeringer
til implementering af foranstaltninger til at modstå og/eller reducere
risikoen utilsigtede hændelser.
DSB
finder derfor behov for fastlæg-
gelse af f.eks. minimumskrav.
DH
finder det vigtigt, at der i forhold til artikel 11 etableres en til-
strækkelig fælles pulje i EU-regi, målrettet infrastruktur af særlig eu-
ropæisk betydning, der kan understøtte forebyggelse før og genop-
retning efter hændelser.
Artikel 12:
3F Transport
finder behov for bedre belysning af, hvilken betydning
myndigheders baggrundskontrol af personale vil have for arbejdsta-
gerrettigheder og arbejdstagerbeskyttelse.
3F Transport
bemærker,
at artiklen indebærer en risiko for, at myndighederne som led i tilba-
gemeldingen til arbejdsgiverne leverer for store mængder informatio-
ner, som utilsigtet vil kunne anvendes af arbejdsgiver til at frasortere
ansatte.
3F Transport
opfordrer til, at de i artikel 12 beskrevne for-
slag underkastes en juridisk konsekvensanalyse med fokus på, hvor-
vidt artiklen
utilsigtet kan bruges som ”sorteringsmekanisme” i for-
hold til ansatte.
Artikel 13:
DSB
finder, at artikel 13 med fordel kan udvides, så der stilles krav
om, at de kritiske enheder skal indberette til myndighederne, om de i
det forløbne år har afholdt beredskabsøvelser, og hvem der har delta-
get i øvelserne. Endvidere kan der stilles krav om, at de kritiske en-
heder skal indberette, at de har foretaget en test af deres kommuni-
kationskanaler i det forløbne år. Gennemførelse af beredskabsøvelser
samt regelmæssig test af kommunikationsudstyr vil kunne højne de
kritiske enheders modstandsdygtighed mod kritiske hændelser.
Artikel 14:
DSB
finder i forhold til artikel 14 og 15, at der er behov for en afkla-
ring eller præcisering af, hvorvidt en kritisk enhed, der samarbejder
med en kritisk enhed med særlig europæisk betydning, vil kunne blive
pålagt delvist eller udvidet tilsynspligt (som konsekvens af samarbej-
det).
17
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
2342480_0018.png
Øvrige:
DH
bemærker, at det af betragtningerne til direktivforslaget fremgår,
at eksisterende data/vurderinger, der foretages efter andre EU-regler,
skal udnyttes.
DH
finder det af stor vigtighed, at der bliver en så en-
kel overførsel af relevante data- og vurderinger som muligt, hvor alle
medlemsstaters myndigheder samler deres informationer/vurderinger
i samme skabelon.
9. Generelle forventninger til andre landes holdninger
Der foreligger på nuværende tidspunkt ikke konkrete oplysninger om
andre landes holdninger til forslaget.
10. Regeringens foreløbige generelle holdning
Regeringen betragter beskyttelsen af kritisk infrastruktur som en høj
sikkerhedspolitisk prioritet. Regeringen vurderer, at stigende tvær-
sektorielle og tværstatslige afhængigheder kombineret med et tilta-
gende komplekst risikobillede kalder på europæisk samarbejde.
Regeringen arbejder generelt for at styrke samfundets resiliens, og
forslaget flugter i høj grad med regeringens syn på beskyttelse af
kritisk infrastruktur.
Regeringen hilser på den baggrund Kommissionens forslag om en
styrkelse af modstandsdygtigheden i kritiske enheder velkommen,
idet regeringen betoner den nationale kompetence på området, og at
det generelt skal tilstræbes at begrænse økonomiske og administrati-
ve byrder.
Regeringen vurderer, at udvidelsen af antallet af sektorer, stærkere
og mere ensartede krav både nationalt og på virksomhedsplan samt
en skærpet tilsynsforpligtelse må forventes at styrke sikkerheden og
modstandsdygtigheden hos de aktører, der driver kritisk infrastruktur.
Regeringen finder det meget vigtigt, at forslaget lægger op til en risi-
kobaseret tilgang, hvori der lægges vægt på medlemsstaternes natio-
nale kompetence, idet de enkelte medlemsstater ud fra egen national
strategi og risikovurdering skal udpege de enheder, der vurderes kri-
tiske.
Det er ikke klart for regeringen, hvad der specifikt ligger i forslagets
bestemmelser om gennemførselsretsakter, og regeringen ser et be-
hov for præcisering og afgrænsning af bestemmelserne.
Regeringen finder det i forlængelse heraf meget vigtigt, at direktivet
generelt kan implementeres efter sektoransvarsprincippet, og at der
18
Videokonference (retlige og indre anliggender) den 11.-12. marts 2021 - Bilag 3: Samlenotat vedr. uformel videokonference for EU’s justits- og indenrigsministre 11-12/3-21 (forsvarsdelen)
2342480_0019.png
tages hensyn til allerede eksisterende regulering og krav i sektorerne.
Samtidig tages der forbehold for en eventuel horisontal gennemførel-
se af dele af direktivet, såfremt det vurderes at give økonomisk og
lovgivningsmæssig merværdi.
Regeringen mener, at omkostningerne ved at styrke modstandsdyg-
tigheden i kritiske enheder skal stå mål med gevinsterne herved for
både offentlige og private aktører. Regeringen vil derfor arbejde for,
at forslaget ikke medfører uforholdsmæssige økonomiske byrder for
staten og erhvervslivet, og at der sikres proportionalitet mellem om-
kostningsniveau og merværdi. I den forbindelse finder regeringen det
vigtigt, at direktivet fortsat tænkes tæt sammen med forslag til NIS2-
direktiv, således at de implementeringsmæssige konsekvenser er
mindst mulige for både den offentlige og private sektor. Regeringens
endelige stillingtagen afventer en nærmere vurdering af de statsfi-
nansielle og erhvervsøkonomiske konsekvenser.
Sektoren for digital infrastruktur er ikke omfattet af alle forslagets
bestemmelser, idet en række forhold allerede er omfattet af NIS2-
forslaget. Det fremgår dog ikke klart, hvilke bestemmelser digital in-
frastruktur er omfattet af samt behovet herfor. Regeringen ser derfor
behov for at få en afklaring på disse forhold.
11. Tidligere forelæggelse for Folketingets Europaudvalg
Sagen har ikke tidligere været forelagt Folketingets Europaudvalg.
19