Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

Europaudvalget 2020-21
Rådsmøde 3799 - RIA Bilag 1
Offentligt

26. maj 2021

Samlenotat vedrørende sager inden for Forsvarsministe-

riets ansvarsområde, der forventes behandlet på møde i

Rådet for retlige og indre anliggender den 7.-8. juni 2021

16. Forslag til direktiv om kritiske enheders mod-

standsdygtighed

(KOM (2020) 829 endelig)

= Fremskridtsrapport

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

16. FORSLAG TIL DIREKTIV OM KRITISKE ENHEDERS

MODSTANDSDYGTIGHED (KOM (2020) 829 ENDELIG)

26. maj 2021

Forslaget er ikke omfattet af retsforbeholdet.

KOM(2020) 829 endelig

1. Resumé

Sagen er på dagsordenen for møde i Rådet for retlige og indre

anliggender d. 7.-8. juni 2021, med henblik på formandskabets

orientering om fremskridtsrapport.

Europa-Kommissionen (Kommissionen) har den 16. december 2020

fremsat forslag til direktiv om kritiske enheders modstandsdygtighed

(KOM(2020) 829 final). Forslaget er modtaget i dansk sprogversion

den 9. februar 2021.

Forslaget (CER-direktivet) bygger på og ophæver det nuværende di-

rektiv 2008/114/EF af 8. december 2008 om europæisk kritisk infra-

struktur (ECI-direktivet). Kommissionen har fremsat forslaget bl.a. på

baggrund af en evaluering af ECI-direktivet, der bl.a. viste, at vilkå-

rene for arbejdet med kritisk infrastruktur har ændret sig væsentligt

siden 2008.

Forslaget udgør en betydelig ændring i forhold til ECI-direktivet, både

i forhold til dækningsområdet og i de forpligtelser, som pålægges

medlemsstaterne, og de enheder, der udpeges som kritiske.

CER-direktivet vil dække 10 sektorer: Energi, transport, bankvæsen,

finansmarkedsinfrastruktur, sundhed, drikkevand, spildevand, digital

infrastruktur, offentlig forvaltning og rummet. Medlemsstaterne vil

dertil bl.a. blive pålagt at udarbejde en national strategi for kritisk in-

frastruktur og udarbejde nationale risikovurderinger. Ud fra risikovur-

deringen skal medlemsstaterne identificere kritiske enheder (f.eks.

virksomheder eller offentlige myndigheder) bl.a. ved hjælp af EU-fæl-

les kriterier. Endeligt pålægges det de kritiske enheder at implemen-

tere visse tekniske og organisatoriske tiltag, som medlemsstaterne

gennem kompetente myndigheder skal føre tilsyn med. Kritiske enhe-

der af særlig europæisk betydning vil være underlagt specifikt tilsyn

fra Kommissionen.

Regeringen ser overordnet positivt på forslaget og ønsket om at højne

sikkerheden. Udvidelsen af direktivets dækningsområde, stærkere og

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

mere ensartede krav samt tilsynet hermed må forventes at styrke risi-

kobevidstheden og beredskabsplanlægningen hos de aktører, der dri-

ver kritisk infrastruktur. Regeringen ser endvidere positivt på, at for-

slaget lægger op til en risikobaseret tilgang, hvor de enkelte medlems-

stater ud fra egen national strategi og risikovurdering kan udpege de

enheder, der vurderes kritiske. Regeringen vil arbejde for, at forslaget

ikke medfører uforholdsmæssige økonomiske byrder for offentlige og

private aktører, og at der sikres proportionalitet mellem omkostnings-

niveau og merværdi.

Sagen forelægges Folketingets Europaudvalg til orientering.

2. Baggrund

Arbejdet med kritisk infrastruktur i EU er i dag indrammet af EPCIP-

programmet fra 2006

og ECI-direktivet fra 2008

Kommissionen har

i 2019 evalueret ECI-direktivet og finder overordnet, at direktivet har

bidraget til øget opmærksomhed om beskyttelsen af kritisk infrastruk-

tur, men at direktivets begrænsede dækningsområde, uensartet imple-

mentering i medlemsstaterne samt at udviklingen i risikobilledet bety-

der, at det nuværende direktiv ikke længere er tidssvarende.

Kommissionen vurderer, at den forskelligartede implementering bl.a.

har som konsekvens, at sammenlignelige enheder (f.eks. virksomhe-

der) vurderes kritiske i nogle medlemsstater, men ikke i andre. Dette

skaber ifølge Kommissionen forstyrrelser i det indre marked og hindrin-

ger for de virksomheder, der opererer på tværs af flere medlemsstater.

Samtidig er risikobilledet ifølge Kommissionen blevet mere komplekst

og omfatter bl.a. naturkatastrofer, terror, statsstøttede hybride aktio-

ner, pandemier mv. Udfordringerne er i høj grad fælles på tværs af

medlemsstaterne, hvilket understøtter behovet for en mere ensartet

tilgang.

CER-forslaget har til formål at adressere de ovenstående problemstil-

linger og dermed øge modstandsdygtigheden hos kritiske enheder, der

er afgørende for opretholdelsen af vitale samfundsmæssige funktioner

eller økonomiske aktiviteter i EU's medlemsstater.

Forslaget afspejler prioriteterne i Kommissionens strategi for EU's sik-

kerhedsunion, der opfordrer til en revideret tilgang til modstandsdyg-

tighed i kritisk infrastruktur. Således skal tilgangen i højere grad af-

Meddelelse fra Kommissionen om et europæisk program for beskyttelse af kritisk infrastruktur

(KOM(2006) 786).

Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk

kritisk infrastruktur og vurdering af behovet for at beskytte den bedre.

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

spejle det nuværende og forventede fremtidige risikolandskab, den sta-

dig tættere indbyrdes afhængighed mellem forskellige sektorer og de

stadig mere indbyrdes afhængige relationer mellem fysiske og digitale

infrastrukturer.

For så vidt angår digital sikkerhed er forslaget til CER-direktivet afstemt

med det parallelt fremsatte

forslag til NIS2-direktiv

CER-direktivet

omhandler overordnet trusler, risici og sikkerhedstiltag i det fysiske do-

mæne, mens NIS2 har til formål at styrke sikkerheden og modstands-

dygtigheden på cybersikkerhedsområdet. De enheder, der defineres som

kritiske i CER-direktivet, vil ligeledes være omfattet af cyberrelaterede

sikkerhedskrav i medfør af NIS2-direktivet.

3. Formål og indhold

Kommissionen har den 16. december 2020 fremsat forslag til direktiv om

kritiske enheders modstandsdygtighed (KOM(2020) 829 final). Formålet

er overordnet at styrke modstandsdygtigheden for den kritiske infra-

struktur i medlemsstaterne.

Genstand, anvendelsesområde og definitioner (artikel 1-2)

I direktivet:



Fastsættes forpligtelser for medlemsstaterne til at træffe visse for-

anstaltninger med henblik på at sikre levering i det indre marked

af tjenester, der er væsentlige for opretholdelsen af vitale sam-

fundsmæssige funktioner eller økonomiske aktiviteter.

Fastsættes forpligtelser for kritiske enheder med henblik på at øge

deres modstandsdygtighed og forbedre deres evne til at levere

tjenester på det indre marked.

Fastsættes regler for tilsyn med og håndhævelse over for kritiske

enheder samt specifikt tilsyn med kritiske enheder, der anses for

at være af særlig europæisk betydning.



Med ”kritiske enheder” menes

en offentlig eller privat enhed, der ope-

rerer inden for 10 udvalgte sektorer (energi, transport, bankvæsen,

finansmarkedsinfrastruktur, sundhed, drikkevand, spildevand, digital

infrastruktur, offentlig forvaltning og rummet), og som er blevet iden-

tificeret

som ”kritisk” af en medlemsstat.

CER-direktivet indebærer dermed en væsentlig udvidelse i bredden i

forhold til det nuværende ECI-direktiv, hvor alene energi og transport

Kommissionen fremsatte forslaget om foranstaltninger til sikring af et højt fælles cybersikker-

hedsniveau i hele Unionen og om ophævelse af direktiv (EU) 2016/1148 (KOM(2020) 823 final)

(NIS2-direktivet) d. 16. december 2020. Forslaget er modtaget i dansk sprogversion d. 19. januar

2021.

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

er omfattet. Samtidig udgør det en væsentlig udvidelse i forhold til an-

tallet af potentielt identificerbare enheder, idet der i ECI-direktivet kun

skulle identificeres infrastruktur, hvis forstyrrelse eller ødelæggelse

ville have betydelige grænseoverskridende virkninger i mindst to med-

lemsstater.

Det bemærkes dog, at enheder inden for bankvæsen, finansiel mar-

kedsinfrastruktur og digital infrastruktur ikke vil blive pålagt nye krav i

medfør af CER-direktivet, da disse enheder allerede er dækket af øvrig

EU-lovgivning,

jf. også opsummering af artikel 3-9 nedenfor.

Nationale rammer for kritiske enheders modstandsdygtighed (artikel 3-

Medlemsstaterne skal vedtage en strategi for styrkelse af kritiske en-

heders modstandsdygtighed. Strategien skal bl.a. indeholde en beskri-

velse af strategiske mål og prioriteter i styrkelsen af kritiske enheders

modstandsdygtighed, en national risikovurdering, governancestruktur

mv. Strategien skal opdateres mindst hvert 4. år og skal meddeles

Kommissionen.

Medlemsstaterne skal udarbejde en liste over ”væsentlige tjenester”,

som er væsentlige for opretholden af vitale samfundsmæssige funktio-

ner eller økonomiske aktiviteter. Medlemsstaterne skal regelmæssigt

foretage en vurdering af alle relevante risici, der kan påvirke leveringen

af disse væsentlige tjenester, med henblik på efterfølgende at identifi-

cere de understøttende kritiske enheder.

Medlemsstaterne skal identificere kritiske enheder under de 10 sekto-

rer og underliggende sub-sektorer, og underrette dem om de forplig-

telser, det medfører. Identifikationen foretages ud fra den forudgående

risikovurdering af de væsentlige tjenester, og foretages endvidere ud

fra specifikke kriterier, bl.a. om en hændelse vil have

”betydelige for-

styrrende virkninger for leveringen af tjenesten, eller andre væsentlige

tjenester”.

Yderligere er der opsat en række kriterier, som medlemsstaterne som

minimum skal tage hensyn til, når det skal vurderes, hvorvidt en hæn-

delse har ”betydelig forstyrrende virkning.” Kriterierne omfatter bl.a.

de økonomiske, samfundsmæssige og sikkerhedsmæssige konsekven-

ser en given hændelse kan have, uden at der dog fastsættes specifikke

tærskelværdier.

Medlemsstaterne skal identificere enheder inden for sektorerne bank-

væsen, finansiel markedsinfrastruktur og digital infrastruktur, som kun

skal behandles som ”svarende til kritiske enheder” fremfor ”kritiske en-

heder”. Det skyldes, at enhederne inden

for disse sektorer vil være

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

omfattet af krav i medfør af anden EU-lovgivning. Dette indebærer, at

enhederne i regi af CER-direktivet kun indgår som en del af medlems-

staternes overordnede myndighedsarbejde med strategi, risikovurde-

ring og understøttelse mv., (artikel 3-9), men at enhederne dermed

ikke skal opfylde de krav, der stilles til kritiske enheder inden for de

øvrige 7 sektorer.

Medlemsstaterne skal udpege en eller flere kompetente myndigheder,

der er ansvarlige for implementeringen af direktivet på nationalt plan.

Det er væsentligt, at de udpegede kompetente myndigheder skal sam-

arbejde med de kompetente myndigheder, der er udpeget i medfør af

NIS2-direktivet. Dertil skal der udpeges et centralt kontaktpunkt, der

forestår det grænseoverskridende samarbejde. Kontaktpunktet skal li-

geledes forelægge regelmæssig rapport til Kommissionen om hændel-

sesaktivitet.

Endelig skal medlemsstaterne yde støtte til de enheder, der er udpeget

som kritiske, f.eks. ved at udgive vejledningsmateriale, støtte tilrette-

læggelse af øvelser, indføre videndelingsværktøjer mv.

Kritiske enheders modstandsdygtighed (artikel 10-13)

De enheder, som medlemsstaterne udpeger som kritiske, skal mindst

hvert fjerde år foretage egne risikovurderinger på grundlag af bl.a. den

nationale risikovurdering. Risikovurderingerne skal også tage højde for

andre sektorers eventuelle afhængigheder, herunder også i nabostater

og tredjelande i relevant omfang. Medlemsstaterne skal sikre, at de kri-

tiske enheder på den baggrund beskriver og implementerer passende og

forholdsmæssige tekniske og organisatoriske foranstaltninger.

Foranstaltningerne skal bl.a. omfatte forebyggelse af hændelser, fysisk

sikring, krisestyringsprocedurer, genopretningsprocedurer, sikkerheds-

styring af medarbejdere mv.

Kommissionen gives beføjelse til at vedtage delegerede retsakter og gen-

nemførselsretsakter, der om nødvendigt præciserer disse foranstaltnin-

ger.

Medlemsstaterne kan anmode Kommissionen om at gennemføre rådgi-

vende missioner til kritiske enheder i forbindelse med opfyldelsen af deres

forpligtelser.

Medlemsstaterne skal sikre, at de kritiske enheder kan indgive anmod-

ninger om baggrundskontrol af personer, der tilhører specifikke katego-

rier af deres personale, og at disse anmodninger hurtigt vurderes af de

relevante myndigheder.

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

Medlemsstaterne skal sikre, at de kritiske enheder underetter den kom-

petente myndighed om hændelser, der i væsentlig grad forstyrrer eller

har potentiale til i væsentlig grad at forstyrre deres aktiviteter. Via det

centrale nationale kontaktpunkt skal denne underretning videregives til

andre berørte medlemsstater, hvis hændelsen har grænseoverskri-

dende virkninger.

Specifikt tilsyn med kritiske enheder af særlig europæisk betydning (ar-

tikel 14-15)

Visse kritiske enheder vil blive defineret som af ”særlig europæisk betyd-

ning”, såfremt de leverer væsentlige tjenester til eller i mere end en tred-

jedel af medlemsstaterne. Medlemsstaterne skal sikre, at de enheder, der

udpeges som kritiske, selv melder til de nationale kompetente myndig-

heder, såfremt de leverer væsentlige tjenester til eller i mere end en

tredjedel af medlemsstaterne. Herefter meddeler medlemsstaten dette

videre til Kommissionen, der efterfølgende underretter enheden om, at

denne betragtes som en kritisk enhed af særlig europæisk betydning.

Disse enheder vil være underlagt et skærpet tilsyn, hvor Kommissionen

bl.a. kan anmode om at få udleveret risikovurderingen og implemente-

ringsplanen for de tekniske og organisatoriske foranstaltninger, og gen-

nemføre rådgivende missioner for at vurdere disse foranstaltninger.

Kommissionen kan på den baggrund meddele synspunkter om, hvorvidt

enheden opfylder sine forpligtelser, og hvilke foranstaltninger der kan

træffes for at forbedre enhedens modstandsdygtighed.

Samarbejde og rapportering (artikel 16-17)

Der nedsættes en ”gruppe for kritiske enheders modstandsdygtighed”,

bestående af repræsentanter fra medlemsstaterne og med Kommissio-

nen som formand. Gruppen nedsættes som ekspertgruppe under Kom-

missionen og skal bl.a. bistå Kommissionen i at understøtte medlemssta-

ternes implementering af direktivet, fx identificere

best practice

i forhold

til strategiformulering mv.

Tilsyn og håndhævelse (artikel 18-19)

Medlemsstaterne skal sikre, at de kompetente myndigheder har befø-

jelser og midler til at sikre gennemførelsen og håndhævelsen af direk-

tivet. Det indebærer bl.a., at myndighederne skal kunne foretage in-

spektioner og gennemføre eller kræve revisioner af de kritiske enheder.

Medlemsstaterne skal fastsætte bestemmelser om sanktioner for over-

trædelser og træffe alle nødvendige foranstaltninger til at sikre, at de

gennemføres. Bestemmelserne skal meddeles Kommissionen.

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

4. Europa-Parlamentets udtalelser

Europa-Parlamentet er i henhold til den almindelige lovgivningsprocedure

(art. 294, TEUF) medlovgiver. Der foreligger endnu ikke en udtalelse.

Det er Europa-Parlamentets udvalg for Borgernes Rettigheder og Retlige

og Indre Anliggende (LIBE), der behandler forslaget.

5. Nærhedsprincippet

Kommissionen vurderer, at en fælles lovgivningsmæssig ramme er be-

rettiget i betragtning af den indbyrdes afhængighed og grænseoverskri-

dende karakter af de væsentlige tjenester, som kritisk infrastruktur un-

derstøtter. En afbrydelse hos en operatør, der leverer tjenester i flere

medlemsstater, kan således få paneuropæiske konsekvenser, hvilket

kræver handling på EU-plan.

Kommissionen vurderer endvidere, at forskellige nationale regler har di-

rekte negativ indvirkning på det indre markeds funktion. Kommissionens

konsekvensanalyse har i forlængelse heraf vist, at mange medlemsstater

og interessenter i erhvervslivet har udtrykt behov for en mere fælles og

koordineret europæisk tilgang.

Regeringen er på det foreliggende grundlag enig i, at en fælles europæisk

regulering vedrørende kritisk infrastruktur er berettiget, givet de stigende

indbyrdes afhængigheder og fælles udfordringer, som præger området.

Regeringen lægger i sin vurdering af overholdelsen af nærhedsprincippet

vægt på, at det overordnede ansvar for at udpege kritiske enheder og

sikre rette foranstaltninger for deres modstandsdygtighed fortsat påhviler

medlemsstaterne, herunder også i forhold til de kritiske enheder, der

måtte vurderes af særlig europæisk betydning. Regeringen noterer sig i

forlængelse heraf, at der i direktivet lægges op til en risikobaseret tilgang,

der efterlader plads til at implementere direktivet under hensyntagen til

nationale og sektorspecifikke forhold.

På det foreliggende grundlag er det derfor regeringens vurdering, at nær-

hedsprincippet er overholdt.

6. Gældende dansk ret

Ansvaret for beskyttelse af kritisk infrastruktur i Danmark følger af sek-

toransvarsprincippet, jf. beredskabslovens § 24: ”De enkelte ministre

skal hver inden for deres område planlægge for opretholdelse og videre-

førelse af samfundets funktioner i tilfælde af større ulykker og katastrofer

(…)”

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

Ministerierne skal sørge for, at den nødvendige lovgivning, bekendtgørel-

ser mv. tilvejebringes i ressortlovgivningen. Beredskabskrav til operatø-

rer findes således i en række ressortspecifikke love og bekendtgørelser,

herunder fx:



Elforsyningslovens § 85b og § 85c

Naturgasforsyningslovens § 15a og § 15b

Olieberedskabsloven § 16

Sundhedslovens §§ 210-211

Det bemærkes, at begrebet ”kritisk infrastruktur” indgår som en særligt

følsom sektor i udkast til lovforslag om investeringsscreening. Det føl-

ger heraf, at udenlandske investeringer mv. i virksomheder inden for

kritisk infrastruktur kræver forhåndstilladelse. Det fremgår af bemærk-

ningerne til lovforslagets § 6, at kritisk infrastruktur defineres som:

”Infrastruktur –

herunder faciliteter, systemer, processer, netværk,

teknologier aktiver samt serviceydelser - som er nødvendige for at

opretholde eller genoprette samfundsvigtige funktioner.”

Baseret på nationale og internationale erfaringer, herunder særligt tid-

ligere arbejde fra Beredskabsstyrelsen, er følgende 15 sektorer/områ-

der defineret som samfundsvigtige: Energi, informations- og kommu-

nikationsteknologi (IKT), transport, beredskab og civilbeskyttelse,

sundhed, sociale forhold, drikkevand og fødevarer, spildevand og re-

novation, finans og økonomi, uddannelse og forskning, meteorologi,

forsvar samt efterretnings- og sikkerhedstjeneste, udenrigstjeneste,

myndighedsudøvelse generelt samt tværgående krisestyring.

Alle sektorer, som CER-direktivet dækker over, på nær rumfart, er in-

kluderet i den danske tilgang. CER-direktivets tilgang og definition af

kritisk infrastruktur samt sektorafgrænsning er således overordnet

sammenlignelig med den danske.

Det bemærkes, at der aktuelt pågår en tværministeriel kortlægning af

kritisk infrastruktur i Danmark. Med erfaringerne fra denne kortlægning

vurderes myndighederne efterfølgende at have et godt udgangspunkt

for kortlægningen af kritiske enheder ud fra CER-direktivets retnings-

linjer. Kortlægningsarbejdet og arbejdet med investeringsscreenings-

loven færdiggøres i 2021, mens CER-direktivet forventeligt først skal

være endeligt implementeret fire år efter vedtagelsen.

7. Konsekvenser

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

Lovgivningsmæssige konsekvenser

Implementering af direktivet i dansk ret vil have lovgivningsmæssige

konsekvenser, da der bl.a. skal indføres nye krav til operatører af kri-

tisk infrastruktur i Danmark, udpeges et centralt kontaktpunkt mv.

Det vurderes hensigtsmæssigt, at implementeringen af direktivet ge-

nerelt gennemføres sektorvist for hvert af de involverede ministerom-

råder med forbehold for en eventuel horisontal gennemførelse af dele

af direktivet, såfremt det vurderes at give økonomisk og lovgivnings-

mæssigt merværdi. Dette vil dels stemme overens med hidtidig

dansk praksis,

jf. sektoransvarsprincippet beskrevet ovenfor,

og end-

videre flugte med implementeringen af det nuværende NIS-direktiv

og forventede implementering af det kommende NIS2-direktiv. I for-

længelse heraf vurderes det hensigtsmæssigt, at de sektoransvarlige

myndigheder bliver de kompetente myndigheder i direktivets for-

stand.

Økonomiske konsekvenser

Forslaget vurderes at have statsfinansielle konsekvenser samt er-

hvervsøkonomiske konsekvenser. Disse kan ikke nærmere kvantifice-

res på nuværende tidspunkt. Fra dansk side udestår således en nær-

mere vurdering af de statsfinansielle konsekvenser samt de erhvervs-

økonomiske konsekvenser herunder administrative konsekvenser og

øvrige efterlevelseskonsekvenser, herunder særligt i de nye sektorer.

Kommissionen vurderer, at de statsfinansielle konsekvenser særligt vil

stamme fra udviklingen af nationale strategier, risikovurderinger samt

identifikationen af og tilsynet med de kritiske enheder. Kommissionen

vurderer dog, at medlemsstaterne bør kunne trække på erfaringer med

lignende arbejde i regi af det nuværende NIS-direktiv.

Det vurderes, at direktivforslaget medfører administrative konsekven-

ser for dansk erhvervsliv. Det skyldes bl.a., at de kritiske enheder

skal træffe passende og forholdsmæssige tekniske og organisatoriske

foranstaltninger for at sikre deres modstandsdygtighed og sikre, at

disse foranstaltninger er beskrevet i en plan for modstandsdygtighed

eller i et eller flere tilsvarende dokumenter jf. artikel 10 og 11. Disse

planer vil potentielt skulle fremvises/leveres til myndigheder mini-

mum hvert fjerde år som led i myndighedernes tilsynsforpligtelse, li-

gesom de kritiske enheder vil blive pålagt underretningsforpligtelser

bl.a. i forbindelse med sikkerhedshændelser. Endelig følger ekstra

krav til europæisk kritisk infrastruktur.

De administrative konsekvenser vil forventeligt være særligt gældende

for mellemstore og store virksomheder, idet Kommissionen vurderer,

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

at relativt få SMV’er vil blive udpeget som

kritiske enheder af de nati-

onale myndigheder. Omvendt forventes de administrative og økonomi-

ske konsekvenser mindre for de sektorer, der allerede er underlagt krav

på området, herunder fx el-, naturgas- og oliesektorerne.

De ovenstående forhold kan ikke kvantificeres nærmere på nuværende

tidspunkt. Det er endnu ukendt hvor mange virksomheder i Danmark,

der vil blive udpeget som kritiske enheder og dermed skal leve op til

kravene, samt om der vil være virksomheder, som vil kunne falde un-

der definitionen på og kravene til europæisk kritisk infrastruktur.

Kommissionen vurderer dog overordnet, at økonomien i det indre mar-

ked generelt vil blive positivt påvirket af direktivet, bl.a. fordi risikoen

for afbrydelser i væsentlige tjenester vil blive mindre, hvilket mindsker

omkostninger forbundet med sikkerhedshændelser og øger den økono-

miske stabilitet.

Andre konsekvenser og beskyttelsesniveauet

Forslaget vurderes at have positive konsekvenser for modstandsdygtig-

heden i den kritiske infrastruktur og dermed overordnet indebære en sik-

kerhedsmæssig gevinst.

8. Høring

Forslaget er sendt i høring d. 9. februar 2021 i specialudvalget for ci-

vilbeskyttelse, specialudvalget for konkurrenceevne, vækst og forbru-

gerspørgsmål, specialudvalget for transport, skibsfartspolitisk special-

udvalg og specialudvalget for klima-, energi- og forsyningspolitik med

frist d. 18. februar 2021. Der er modtaget svar fra PostNord, Dansk

Vand- og Spildevandsforening, 3F, DI Transport / Dansk Luftfart, DSB,

Erhvervsflyvningens Sammenslutning, Danske Rederier, Dansk Er-

hverv, Danske Havne og Danske Vandværker.

Generelle bemærkninger

PostNord

bemærker, at den fysiske befordringspligt

–

og dermed den

befordringspligtige virksomhed

–

bør defineres som kritisk enhed, da

fysisk brevdistribution selv i moderne tider er afgørende for visse be-

folkningsgrupper og i tilfælde af systemnedbrud eneste alternativ for

kommunikation fra myndigheder til borgere, mellem virksomheder

samt mellem borgerne.

PostNord

bemærker videre, at denne infrastruktur forudsætter sam-

arbejde og integration mellem EU’s medlemslande. På baggrund af den

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

aktuelle nedlukning af fysiske butikker, bør det overvejes om befor-

dringspligt af pakker bør opretholdes eller alene overlades til markeds-

kræfterne.

Dansk Vand- og Spildevandsforening (DANVA)

kan overordnet

støtte direktivforslaget.

DANVA

mener principielt, at der skal være lov-

givningsmæssige rammer, der sikrer og understøtter, at danske forsy-

ninger arbejder effektivt med modstandsdygtighed/resiliens ud fra en

risikobaseret tilgang.

DANVA

vurderer, at direktivet vil bidrage til at

forbedre rammerne for dette arbejde på vand- og spildevandsforsy-

ningsområdet.

DANVA

finder det vigtigt, at forsyningerne ikke underlægges dobbelt-

regulering som følge af allerede eksisterende nationale eller EU-retlige

krav.

DANVA

fremhæver, at det fortsat skal være muligt at anvende

nationale eller internationale tekniske retningslinjer eller standarder.

DANVA

konstaterer, at flere forsyninger servicerer inden for flere om-

råder (energi, gas, vand, spildevand mv.), og finder det væsentligt, at

der er et samspil mellem retningslinjerne for de forskellige forsynings-

arter.

DANVA

finder, at medlemsstaterne skal tilvejebringe de økonomiske

og juridiske rammer, der kan sikre, at vand- og spildevandforsyningen

fortsat kan leveres til en overkommelig pris. Der vil være behov for en

analyse af de omkostninger, som direktivet vil afstedkomme for de for-

syninger, der udpeges som kritiske enheder, og det bør drøftes på na-

tionalt niveau, hvordan en fair finansiering kan etableres. De forsynin-

ger, der bliver udpeget som kritiske enheder, bør kompenseres økono-

misk, så regningen ikke ender hos forbrugerne.

DANVA

finder, at nationale tilskud i den forbindelse ikke skal betragtes

som ulovlige.

3F Transport

støtter intentionen bag og formålet med forslaget, her-

under at der sigtes til en bedre fælles europæisk sikring og beskyttelse

af kritisk infrastruktur.

DI Transport

Dansk Luftfart

støtter direktivforslaget og bemær-

ker, at der er god grund til at indtænke kritisk infrastruktur i en bredere

kontekst, og at den valgte løsningsmodel i den henseende synes pro-

portional.

Erhvervsflyvningens Sammenslutning (ES)

støtter forslaget.

foreslår, at den del af transportsektoren, der vedrører luftfart, udvides

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

til at omfatte lufttrafik generelt, herunder også forretnings- og privat-

ejede fly.

konstaterer, at det i det nuværende forslag kun er luft-

fartsselskaber, der er omfattet.

Danske Rederier

konstaterer, at de danske rederier som en del af

transportsektoren i dag er omfattet af ECI-direktivet og er forstående

over for nødvendigheden af at ændre tilgangen til en bredere sikring af

kritiske enheders modstandsdygtighed.

Danske Rederier

finder det vigtigt, at der ikke med CER-direktivet

indføres yderligere krav til foranstaltninger for søtransportsektoren og

havneterminaler, der bidrager til unødige administrative byrder eller

udfordrer transportkædernes effektivitet.

Danske Rederier

bemærker

i den forbindelse, at de kritiske enheder i søfartssektoren vil være om-

fattet af forordning nr. 725/2004, der bygger på international lovgiv-

ning vedtaget af den Internationale Søfartsorganisation (IMO).

Danske Rederier

konstaterer, at danske havne og havneterminaler

samt danske skibe ikke er kategoriseret som kritiske enheder efter den

nuværende regulering.

Danske Rederier

ønsker, at den nuværende

praksis fastholdes, så medlemsstaterne fortsat identificerer kritiske en-

heder baseret på en national risikovurdering.

Danske Rederier

ønsker

en fortsættelse af det nuværende myndighedssamarbejde og ser ingen

hindringer for dette i CER-direktivet.

Dansk Erhverv

er positivt indstillet overfor forslaget og støtter, at der

kommer fokus på den vigtige problemstilling, som bl.a. COVID-19-pan-

demien har aktualiseret, og at EU ruster sig til eventuelle fremtidige

katastrofer, der potentielt kan påvirke vitale samfundsmæssige funkti-

oner eller økonomiske aktiviteter negativt.

Dansk Erhverv

finder, at en fornyet tilgang, der i højere grad afspejler

det nuværende og forventede fremtidige risikolandskab, den stadig

tættere indbyrdes afhængighed mellem forskellige sektorer og de sta-

dig mere indbyrdes afhængige relationer mellem fysiske og digitale in-

frastrukturer, kan fremme kritiske enheders modstandsdygtighed.

Dansk Erhverv

konstaterer, at operatører ofte opererer som en del af

et stadig mere sammenkoblet net af tjenester og infrastrukturer og le-

verer væsentlige tjenester i mere end én medlemsstat. En harmonise-

ret tilgang

til reguleringen vil sikre en overordnet EU-ramme, som bedre end for-

skellige nationale tiltag styrker modstandsdygtigheden og sikrer leve-

ringen af væsentlige tjenester i EU.

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

Dansk Erhverv

finder, at reguleringen grundlæggende bør facilitere,

at enheder, som ikke er tilstrækkeligt udstyret til at håndtere nuvæ-

rende og forventede fremtidige risici for deres drift mv., sættes i stand

til at forbedre deres modstandsdygtighed.

Dansk Erhverv

finder det vigtigt, at dobbeltregulering undgås, hvor

der allerede findes sektorspecifik regulering. Ligeledes er det vigtigt, at

kravene til kritiske enheder om at træffe passende og forholdsmæssige

tekniske og organisatoriske foranstaltninger for at sikre deres mod-

standsdygtighed i alle tilfælde er proportionale og ikke pålægger unø-

dige økonomiske byrder.

Danske Havne (DH)

støtter, at indsatsen for at beskytte vigtig infra-

struktur (herunder havne) tilpasses og styrkes via en målrettet vurde-

ring af alle relevante naturlige og menneskeskabte risici, der kan på-

virke leveringen af væsentlige tjenester, herunder bl.a. ulykker, natur-

katastrofer mv.

støtter endvidere, at medlemsstaterne kan identificere kritiske en-

heder ved hjælp af fælles kriterier på grundlag af en national risikovur-

dering.

finder det i den forbindelse vigtigt, når medlemsstaterne udpeger

de kritiske enheder, at det vurderes, om omkostningerne og den admi-

nistrative byrde for fx havnene er proportionale med truslen. Den na-

tionale myndighed bør foretage en specifik risikovurdering af hver havn

og på dette grundlag beslutte, om den skal være omfattet som kritisk

infrastruktur i direktivet. Det skal også specificeres, hvilke dele af fx

havnen, der i så fald betragtes som kritisk infrastruktur. Det er vigtigt

at inddrage virksomheder/havne i arbejdet, da de kan bidrage til at

udpege den kritiske infrastruktur.

bemærker, at danske erhvervshavne er i forvejen underlagt store

sikkerhedsforanstaltninger, herunder krav om at udarbejde sårbar-

hedsvurderinger og sikringsplaner. Dertil kommer det kommende

NIS2-direktiv, der også omfatter havne.

kan frygte, at hvis havnene skal bruge store ressourcer på imple-

mentering af dette direktiv såvel som NIS2-direktivet, kan det i sidste

ende betyde ulig konkurrence til fordel for landtransport. Dette vil i

sidste ende også være til skade for klimaet.

finder, at det kan være forbundet med store omkostninger for de

aktører, der udpeges som kritiske enheder, og at det i den forbindelse

er vigtigt, at direktivet koordineres med øvrige indsatser, så den admi-

nistrative byrde mindskes mest muligt.

foreslår, at der er mulighed

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

for økonomisk- og faglig støtte til de virksomheder/havne, der omfattes

af kravene.

Danske Vandværker (DV)

er enige i behovet for nationale strategier,

der skal sikre kritiske enheders modstandsdygtighed overfor for cybe-

rangreb, terrorhandlinger mv., baseret på regelmæssige vurderinger af

relevante risici og med opdatering hvert fjerde år.

finder det væ-

sentligt, at risikovurderingen foretages under hensyntagen til af-

hængigheder mellem sektorer, herunder f.eks. energi, transport, drik-

kevand og spildevand, bankvæsen, digital infrastruktur mv. Konkret er

vandforsyning meget afhængig af fx elforsyningen.

finder, at direktivet vil forbedre mulighederne for, at arbejdet med

at sikre modstandsdygtighed også bliver gennemført for vandforsynin-

gerne.

vurderer i den forbindelse, at der er behov for, at også vand-

forsyning bliver udpeget som kritisk infrastruktur.

finder det afgørende, at EU udarbejder en vejledning med fokus på

samspillet mellem nærværende direktivforslag og NIS2-forslaget. Der

vil være vandforsyninger, der udpeges efter NIS2-retningslinjer, og

som på nogle punkter også skal forholde sig til kravene i direktivet om

kritiske enheders modstandsdygtighed. Der er derfor risiko for dobbelt-

arbejde og unødvendigt bureaukrati.

finder det vigtigt, at der i direktivet tages tilstrækkeligt hensyn til

den særlige struktur, der er i vandforsyningen i Danmark. De fleste af

DV’s medlemmer er vandforsyninger med kun få ansatte og med en

relativt lav leverance pr. forsyning. Foranstaltninger bør derfor være

proportionale med mulige effekter af hændelser, og direktivet bør der-

for sikre en tilstrækkelig dialog imellem myndigheder og vandforsynin-

ger ved fastlæggelsen af krav, herunder sikre at allerede eksisterende

krav ikke gentages, men suppleres af det ny direktivs krav.

bemærker, at mindre vandforsyninger har en begrænset økonomisk

og administrativ kapacitet, og finder, at der er behov for en tilkendegi-

velse af, at de enkelte medlemslande bør fastlægge finansieringen af

tiltag under hensyntagen til den økonomiske og administrative kapaci-

tet hos de enkelte vandforsyninger.

Specifikke bemærkninger

Artikel 1:

DANVA

bemærker, at artikel 1, litra a kan læses således, at kritiske

enheder skal levere en service i det indre marked, for at være omfattet

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

af direktivet.

DANVA

har ikke kendskab til, at der er danske forsynin-

ger eller danske forbrugere, der forsyner henholdsvis bliver forsynet på

tværs af landegrænser.

DANVA

finder det bydende nødvendigt, at EU udarbejder vejlednings-

materiale, der har fokus på samspillet mellem nærværende direktiv og

forslaget til NIS2-direktiv.

Artikel 3:

DANVA

støtter, at den nationale strategi opdateres hvert fjerde år, og

finder det i den forbindelse centralt, at der er fokus på rolle- og an-

svarsbeskrivelse.

Artikel 4:

DANVA

støtter, at der ved risikovurderingen tager højde for risici, der

stammer fra afhængigheder mellem sektorer.

DANVA

bemærker, at

vand- og spildevandsforsyningen blandt andet afhænger af el-sektoren.

Artikel 5:

DANVA

finder det hensigtsmæssigt, at identifikationen af kritiske en-

heder jf. artikel 5 foretages ud fra en risikovurdering, og at den natio-

nale myndighed har dialog med den potentielle kritiske enhed for der-

med at sikre fælles forståelse for den udførte risikovurdering og de

konkrete hensyn til proportionalitetsprincippet.

Artikel 8:

finder det væsentligt, at de ressourcer der nævnes i artikel 8 stk.

4 fordeles ligeligt mellem de relevante myndigheder, således at de er i

stand til at løfte deres opgaver i medfør af direktivet, uden at det går

ud over deres øvrige ansvarsopgaver og forpligtelser. For havnene be-

tyder det bl.a., at Trafik-, Bygge- og Boligstyrelsen, Søfartsstyrelsen,

Politi og Forsvaret også får tildelt de rette ressourcer for udførelsen af

opgaven.

Artikel 9:

DANVA

påskønner, at det eksplicit angives i artikel 9, at medlemssta-

terne skal understøtte de kritiske enheder, og at det i den forbindelse

er væsentligt, at der sikres rettidig rådgivning om de krav, der følger

af direktivets artikel 10 og 11.

DSB

finder i forhold til artikel 9, at det i direktivet bør adresseres, hvor-

dan de kritiske enheder forsvarligt skal opbevare og håndtere potentielt

forretnings- og personfølsomme oplysninger fra andre kritiske enheder.

Artikel 10:

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

DSB

finder i forhold til artikel 10, at det generelt bør tilsigtes, at de

kritiske enheders arbejde med risikovurderinger optimeres i videst mu-

ligt omfang, således at dobbeltarbejde begrænses.

DSB

anbefaler kon-

kret, at kritiske enheder, som opererer inden for samme sektor, koor-

dinerer arbejdet med risikovurderinger og risikorapporteringer.

Artikel 11:

DSB

finder, at der er behov for en præcisering af, hvad der forstås ved

”passende og forholdsmæssige tekniske og organisatoriske foranstalt-

ninger”.

DSB

bemærker, at for en virksomhed som DSB, med mange

fysiske lokationer og medarbejdere fordelt på et stort geografisk om-

råde, vil der potentielt være tale om betydelige investeringer til imple-

mentering af foranstaltninger til at modstå og/eller reducere risikoen

utilsigtede hændelser.

DSB

finder derfor behov for fastlæggelse af

f.eks. minimumskrav.

finder det vigtigt, at der i forhold til artikel 11 etableres en tilstræk-

kelig fælles pulje i EU-regi, målrettet infrastruktur af særlig europæisk

betydning, der kan understøtte forebyggelse før og genopretning efter

hændelser.

Artikel 12:

3F Transport

finder behov for bedre belysning af, hvilken betydning

myndigheders baggrundskontrol af personale vil have for arbejdstager-

rettigheder og arbejdstagerbeskyttelse.

3F Transport

bemærker, at

artiklen indebærer en risiko for, at myndighederne som led i tilbage-

meldingen til arbejdsgiverne leverer for store mængder informationer,

som utilsigtet vil kunne anvendes af arbejdsgiver til at frasortere an-

satte.

3F Transport

opfordrer til, at de i artikel 12 beskrevne forslag

underkastes en juridisk konsekvensanalyse med fokus på, hvorvidt ar-

tiklen

utilsigtet kan bruges som ”sorteringsmekanisme” i forhold til an-

satte.

Artikel 13:

DSB

finder, at artikel 13 med fordel kan udvides, så der stilles krav

om, at de kritiske enheder skal indberette til myndighederne, om de i

det forløbne år har afholdt beredskabsøvelser, og hvem der har delta-

get i øvelserne. Endvidere kan der stilles krav om, at de kritiske enhe-

der skal indberette, at de har foretaget en test af deres kommunikati-

onskanaler i det forløbne år. Gennemførelse af beredskabsøvelser samt

regelmæssig test af kommunikationsudstyr vil kunne højne de kritiske

enheders modstandsdygtighed mod kritiske hændelser.

Artikel 14:

DSB

finder i forhold til artikel 14 og 15, at der er behov for en afklaring

eller præcisering af, hvorvidt en kritisk enhed, der samarbejder med

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

en kritisk enhed med særlig europæisk betydning, vil kunne blive på-

lagt delvist eller udvidet tilsynspligt (som konsekvens af samarbejdet).

Øvrige:

bemærker, at det af betragtningerne til direktivforslaget fremgår,

at eksisterende data/vurderinger, der foretages efter andre EU-regler,

skal udnyttes.

finder det af stor vigtighed, at der bliver en så enkel

overførsel af relevante data- og vurderinger som muligt, hvor alle med-

lemsstaters myndigheder samler deres informationer/vurderinger i

samme skabelon.

9. Generelle forventninger til andre landes holdninger

Den indledende gennemgang af forslaget er endnu ikke afslut-

tet på rådsarbejdsgruppeniveau. De fleste lande vurderes over-

ordnet positivt indstillet overfor direktivets grundlæggende for-

mål, men de indledende drøftelser viser, at der er behov for af-

klaring af en række centrale punkter. Det gælder bl.a. spørgs-

mål om overlap til øvrig lovgivning, krav til medlemsstaternes

afrapportering til Kommissionen samt Kommissionens beføjel-

ser til implementere henholdsvis delegerede retsakter og gen-

nemførselsretsakter.

Det er forventningen, at den indledende gennemgang afsluttes

med det nuværende portugisiske formandskab, og at det kom-

mende slovenske formandskab herefter vil opstarte dialog om

konkrete ændringsforslag til direktivet.

10. Regeringens generelle holdning

Regeringen betragter beskyttelsen af kritisk infrastruktur som en høj

sikkerhedspolitisk prioritet. Regeringen vurderer, at stigende tværsek-

torielle og tværstatslige afhængigheder kombineret med et tiltagende

komplekst risikobillede kalder på europæisk samarbejde.

Regeringen arbejder generelt for at styrke samfundets resiliens, og for-

slaget flugter i høj grad med regeringens syn på beskyttelse af kritisk

infrastruktur.

Regeringen hilser på den baggrund Kommissionens forslag om en styr-

kelse af modstandsdygtigheden i kritiske enheder velkommen, idet re-

geringen betoner den nationale kompetence på området, og at det ge-

nerelt skal tilstræbes at begrænse økonomiske og administrative byr-

der.

Regeringen vurderer, at udvidelsen af antallet af sektorer, stærkere og

mere ensartede krav både nationalt og på virksomhedsplan samt en

skærpet tilsynsforpligtelse må forventes at styrke sikkerheden og mod-

standsdygtigheden hos de aktører, der driver kritisk infrastruktur.

Rådsmøde nr. 3799 (retlige og indre anliggender) 7.-8. juni 2021 - Bilag 1: Samlenotat vedr. rådsmøde RIA 7-8/6-21 (forsvarsdelen)

Regeringen finder det meget vigtigt, at forslaget lægger op til en risi-

kobaseret tilgang, hvori der lægges vægt på medlemsstaternes natio-

nale kompetence, idet de enkelte medlemsstater ud fra egen national

strategi og risikovurdering skal udpege de enheder, der vurderes kriti-

ske.

Det er ikke klart for regeringen, hvad der specifikt ligger i forslagets

bestemmelser om gennemførselsretsakter, og regeringen ser et behov

for præcisering og afgrænsning af bestemmelserne.

Regeringen finder det i forlængelse heraf meget vigtigt, at direktivet

generelt kan implementeres efter sektoransvarsprincippet, og at der

tages hensyn til allerede eksisterende regulering og krav i sektorerne.

Samtidig tages der forbehold for en eventuel horisontal gennemførelse

af dele af direktivet, såfremt det vurderes at give økonomisk og lovgiv-

ningsmæssig merværdi.

Regeringen mener, at omkostningerne ved at styrke modstandsdygtig-

heden i kritiske enheder skal stå mål med gevinsterne herved for både

offentlige og private aktører. Regeringen vil derfor arbejde for, at for-

slaget ikke medfører uforholdsmæssige økonomiske byrder for staten

og erhvervslivet, og at der sikres proportionalitet mellem omkostnings-

niveau og merværdi. I den forbindelse finder regeringen det vigtigt, at

direktivet fortsat tænkes tæt sammen med forslag til NIS2-direktiv,

således at de implementeringsmæssige konsekvenser er mindst mulige

for både den offentlige og private sektor. Regeringens endelige stilling-

tagen afventer en nærmere vurdering af de statsfinansielle og er-

hvervsøkonomiske konsekvenser.

Sektoren for digital infrastruktur er ikke omfattet af alle forslagets be-

stemmelser, idet en række forhold allerede er omfattet af NIS2-forsla-

get. Det fremgår dog ikke klart, hvilke bestemmelser digital infrastruk-

tur er omfattet af samt behovet herfor. Regeringen ser derfor behov

for at få en afklaring på disse forhold.

11. Tidligere forelæggelse for Folketingets Europaudvalg

Sagen har været forelagt til orientering den 4. marts 2021.