Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

Europaudvalget 2021-22
Rådsmøde 3837 - RIA Bilag 2
Offentligt

Samlenotat vedrørende sager inden for Forsvarsministe-

riets ansvarsområde, der forventes behandlet på møde i

Rådet for retlige og indre anliggender den 9.-10. decem-

ber 2021

22. november 2021

Forslag til direktiv om kritiske enheders mod-

standsdygtighed

(KOM (2020) 829 endelig)

= Generel indstilling

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

SAMLENOTAT TIL FOLKETINGETS EUROPAUDVALG

KOMMISSIONENS FORSLAG TIL DIREKTIV OM KRITISKE EN-

HEDERS MODSTANDSDYGTIGHED

Dokument: KOM(2020) 829 endelig

Forslaget er ikke omfattet af retsforbeholdet.

Revideret udgave af samlenotat. Ændringer i forhold til samlenotat af

8. november 2021 er markeret med streg i venstre margen.

Rådsformandskabets udkast til kompromistekst (13204/21) adskil-

ler sig i indhold substantielt fra den oprindelige tekst fremlagt af

Kommissionen. I notatet angives derfor både indhold jf. Kommis-

sionens tekst og, hvor relevant, jf. Rådsformandskabets foreløbige

kompromistekst, som dog endnu kan ændre sig. Kompromistek-

sten er indrykket og i kursiv.

21. november 2021

Resumé

Sagen forelægges Folketingets Europaudvalg til orientering forud for

møde i Rådet for indre og retlige anliggender d. 9.-10. december 2021.

Regeringen har forelagt forhandlingsoplæg for Folketingets Europaud-

valg d. 18. november 2021.

Europa-Kommissionen (Kommissionen) har den 16. december 2020

fremsat forslag til direktiv om kritiske enheders modstandsdygtighed

(KOM(2020) 829 final). Forslaget er modtaget i dansk sprogversion

den 9. februar 2021.

Forslaget (CER-direktivet) bygger på og ophæver det nuværende di-

rektiv 2008/114/EF af 8. december 2008 om europæisk kritisk infra-

struktur (ECI-direktivet). Kommissionen har fremsat forslaget bl.a. på

baggrund af en evaluering af ECI-direktivet, der bl.a. viste, at vilkå-

rene for arbejdet med kritisk infrastruktur har ændret sig væsentligt

siden 2008.

Forslaget udgør en betydelig ændring i forhold til ECI-direktivet, både

i forhold til dækningsområdet og i de forpligtelser, som pålægges

medlemsstaterne, og de enheder, der udpeges som kritiske.

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

CER-direktivet vil dække 10 sektorer: Energi, transport, bankvæsen,

finansmarkedsinfrastruktur, sundhed, drikkevand, spildevand, digital

infrastruktur, offentlig forvaltning og rummet. Medlemsstaterne vil

dertil bl.a. blive pålagt at udarbejde en national strategi for kritisk

infrastruktur og udarbejde nationale risikovurderinger. Ud fra risiko-

vurderingen skal medlemsstaterne identificere kritiske enheder (f.eks.

virksomheder eller offentlige myndigheder) bl.a. ved hjælp af EU-

fælles kriterier. Endeligt pålægges det de kritiske enheder at imple-

mentere visse tekniske og organisatoriske tiltag, som medlemsstater-

ne gennem kompetente myndigheder skal føre tilsyn med. Kritiske

enheder af særlig europæisk betydning vil være underlagt specifikt

tilsyn fra Kommissionen.

Regeringen ser overordnet positivt på forslaget og ønsket om at højne

sikkerheden. Udvidelsen af direktivets dækningsområde, stærkere og

mere ensartede krav samt tilsynet hermed må forventes at styrke

risikobevidstheden og beredskabsplanlægningen hos de aktører, der

driver kritisk infrastruktur. Regeringen lægger vægt på, at forslaget

lægger op til en risikobaseret tilgang, hvor de enkelte medlemsstater

ud fra egen national strategi og risikovurdering kan udpege de enhe-

der, der vurderes kritiske. Regeringen lægger vægt på, at forslaget

ikke medfører uforholdsmæssige økonomiske byrder for offentlige og

private aktører, og at der sikres proportionalitet mellem omkostnings-

niveau og merværdi. Der vil af hensyn til parallelitet til NIS2-forslaget

lægges tilsvarende afgørende vægt på, at direktivets tekst klart re-

spekterer medlemsstaternes suverænitet i anliggender, som vedrører

national sikkerhed.

Rådsformandskabets udkast til kompromistekst

Det slovenske EU-rådsformandskab

(herefter ”formandskabet”)

har på baggrund af drøftelserne af direktivforslaget i rådsregi

fremsat et kompromisforslag af 5. november 2021 (herefter

”kompromisforslaget”). Kompromisforslaget bevarer store dele

af Kommissionens oprindelige forslag, men indeholder justerin-

ger til bl.a. direktivets anvendelsesområde, krav til de kritiske

enheders sikkerhedstiltag og samarbejde indbyrdes mellem

medlemsstater og med Kommissionen

Forslaget ventes med det nuværende kompromisforslag at

medføre statsfinansielle og erhvervsøkonomiske konsekvenser

på hhv. ca. 21-27 mio. kr. og ca. 27. mio. kr. årligt. De statsfi-

nansielle konsekvenser følger opfyldelse af direktivets krav om

bl.a. udpegning af kritiske enheder og tilsyn hermed. Med for-

slaget skønnes, at godt 100

–

150 virksomheder i Danmark kan

blive udpeget som kritiske enheder.

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

Regeringen støtter formandskabets kompromisforslag, der i vid ud-

strækning bevarer kernen i Kommissionens oprindelige forslag, og

overordnet er i tråd med regeringens linje, jf. ovenfor.

2. Baggrund

Arbejdet med kritisk infrastruktur i EU er i dag indrammet af EPCIP-

programmet fra 2006

og ECI-direktivet fra 2008

Kommissionen har

i 2019 evalueret ECI-direktivet og finder overordnet, at direktivet har

bidraget til øget opmærksomhed om beskyttelsen af kritisk infrastruk-

tur, men at direktivets begrænsede dækningsområde, uensartet im-

plementering i medlemsstaterne samt at udviklingen i risikobilledet

betyder, at det nuværende direktiv ikke længere er tidssvarende.

Kommissionen vurderer, at den forskelligartede implementering bl.a.

har som konsekvens, at sammenlignelige enheder (f.eks. virksomhe-

der) vurderes kritiske i nogle medlemsstater, men ikke i andre. Dette

skaber ifølge Kommissionen forstyrrelser i det indre marked og hin-

dringer for de virksomheder, der opererer på tværs af flere medlems-

stater.

Samtidig er risikobilledet ifølge Kommissionen blevet mere komplekst

og omfatter bl.a. naturkatastrofer, terror, statsstøttede hybride aktio-

ner, pandemier mv. Udfordringerne er i høj grad fælles på tværs af

medlemsstaterne, hvilket understøtter behovet for en mere ensartet

tilgang.

CER-forslaget har til formål at adressere de ovenstående problemstil-

linger og dermed øge modstandsdygtigheden hos kritiske enheder,

der er afgørende for opretholdelsen af vitale samfundsmæssige funk-

tioner eller økonomiske aktiviteter i EU's medlemsstater.

Forslaget afspejler prioriteterne i Kommissionens strategi for EU's

sikkerhedsunion, der opfordrer til en revideret tilgang til modstands-

dygtighed i kritisk infrastruktur. Således skal tilgangen i højere grad

afspejle det nuværende og forventede fremtidige risikolandskab, den

stadig tættere indbyrdes afhængighed mellem forskellige sektorer og

de stadig mere indbyrdes afhængige relationer mellem fysiske og di-

gitale infrastrukturer.

Meddelelse fra Kommissionen om et europæisk program for beskyttelse af kritisk infrastruktur

(KOM(2006) 786).

Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk

kritisk infrastruktur og vurdering af behovet for at beskytte den bedre.

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

For så vidt angår digital sikkerhed er forslaget til CER-direktivet af-

stemt med det parallelt fremsatte

forslag til NIS2-direktiv

CER-

direktivet omhandler overordnet trusler, risici og sikkerhedstiltag i det

fysiske domæne, mens NIS2 har til formål at styrke sikkerheden og

modstandsdygtigheden på cybersikkerhedsområdet. De enheder, der

defineres som kritiske i CER-direktivet, vil ligeledes være omfattet af

cyberrelaterede sikkerhedskrav i medfør af NIS2-direktivet.

3. Formål og indhold

Kommissionen har den 16. december 2020 fremsat forslag til direktiv

om kritiske enheders modstandsdygtighed (KOM(2020) 829 final). For-

målet er overordnet at styrke modstandsdygtigheden for den kritiske

infrastruktur i medlemsstaterne.

Rådsformandskabets udkast til kompromistekst

Formandskabet har den 5. november 2021 fremsat et kom-

promisforslag til Rådets holdning til CER-direktivforslaget (her-

efter ”kompromisforslaget”). Kompromisforslaget bevarer store

dele af Kommissionens oprindelige forslag, men indeholder ju-

steringer til bl.a. direktivets anvendelsesområde, krav til de kri-

tiske enheders sikkerhedstiltag og samarbejde indbyrdes mel-

lem medlemsstater og med Kommissionen.

Genstand, anvendelsesområde og definitioner (artikel 1-2)

I direktivet:

•

Fastsættes forpligtelser for medlemsstaterne til at træffe visse

foranstaltninger med henblik på at sikre levering i det indre mar-

ked af tjenester, der er væsentlige for opretholdelsen af vitale

samfundsmæssige funktioner eller økonomiske aktiviteter.

Fastsættes forpligtelser for kritiske enheder med henblik på at øge

deres modstandsdygtighed og forbedre deres evne til at levere

tjenester på det indre marked.

Fastsættes regler for tilsyn med og håndhævelse over for kritiske

enheder samt specifikt tilsyn med kritiske enheder, der anses for

at være af særlig europæisk betydning.

•

Med ”kritiske enheder” menes en offentlig eller privat enhed, der ope-

rerer inden for 10 udvalgte sektorer (energi, transport, bankvæsen,

finansmarkedsinfrastruktur, sundhed, drikkevand, spildevand, digital

Kommissionen fremsatte forslaget om foranstaltninger til sikring af et højt fælles cybersikker-

hedsniveau i hele Unionen og om ophævelse af direktiv (EU) 2016/1148 (KOM(2020) 823 final)

(NIS2-direktivet) d. 16. december 2020. Forslaget er modtaget i dansk sprogversion d. 19. januar

2021.

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

infrastruktur, offentlig forvaltning og rummet), og som er blevet iden-

tificeret som ”kritisk” af en medlemsstat.

CER-direktivet indebærer dermed en væsentlig udvidelse i bredden i

forhold til det nuværende ECI-direktiv, hvor alene energi og transport

er omfattet. Samtidig udgør det en væsentlig udvidelse i forhold til

antallet af potentielt identificerbare enheder, idet der i ECI-direktivet

kun skulle identificeres infrastruktur, hvis forstyrrelse eller ødelæg-

gelse ville have betydelige grænseoverskridende virkninger i mindst

to medlemsstater.

Det bemærkes dog, at enheder inden for bankvæsen, finansiel mar-

kedsinfrastruktur og digital infrastruktur ikke vil blive pålagt nye krav

i medfør af CER-direktivet, da disse enheder allerede er dækket af

øvrig EU-lovgivning,

jf. også opsummering af artikel 3-9 nedenfor.

Rådsformandskabets udkast til kompromistekst

Formandskabet har i kompromisforslaget lagt op til, at der til

direktivets formål tilføjes en bestemmelse om, at der med di-

rektivet også etableres fælles procedurer for samarbejdet

mellem medlemsstater og Kommissionen for så vidt angår di-

rektivets implementering.

I kompromisforslaget er der tilføjet en bestemmelse, der ek-

spliciterer, at direktivet ikke omfatter forhold, der vedrører

medlemsstaternes nationale kompetence i spørgsmål om na-

tional sikkerhed mv. Flere medlemsstater har under forhand-

lingerne fremhævet, at præciseringen af denne undtagelse er

af væsentlig betydning for at sikre overensstemmelse med

EU-traktatens artikel 4, stk. 2 samt EU-Domstolens fortolk-

ning heraf, for at værne om medlemsstaternes suverænitet

på dette område.

I kompromisforslaget er

der lagt op til, at ’offentlig forvalt-

ning’ udgår som sektor.

I kompromisforslagets definitioner er der foretaget visse ju-

steringer, som generelt ikke påvirker det overordnede direk-

tiv. Der er nu tilføjet en definition af begrebet ”kritisk infra-

struktur”,

idet ordet ”kritisk”

er indsat flere steder i kompro-

misforslaget

foran ”infrastruktur”.

Endelig er det præciseret i kompromisforslaget, at direktivet

som helhed bygger på princippet om minimumsharmonise-

ring.

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

Nationale rammer for kritiske enheders modstandsdygtighed (artikel

3-9)

Medlemsstaterne skal vedtage en strategi for styrkelse af kritiske en-

heders modstandsdygtighed. Strategien skal bl.a. indeholde en be-

skrivelse af strategiske mål og prioriteter i styrkelsen af kritiske en-

heders modstandsdygtighed, en national risikovurdering, governance-

struktur mv. Strategien skal opdateres mindst hvert 4. år og skal

meddeles Kommissionen.

Medlemsstaterne skal udarbejde en liste over ”væsentlige tjenester”,

som er væsentlige for opretholden af vitale samfundsmæssige funkti-

oner eller økonomiske aktiviteter. Medlemsstaterne skal regelmæssigt

foretage en vurdering af alle relevante risici, der kan påvirke leverin-

gen af disse væsentlige tjenester, med henblik på efterfølgende at

identificere de understøttende kritiske enheder.

Medlemsstaterne skal identificere kritiske enheder under de 10 sekto-

rer og underliggende sub-sektorer, og underrette dem om de forplig-

telser, det medfører. Identifikationen foretages ud fra den forudgåen-

de risikovurdering af de væsentlige tjenester, og foretages endvidere

ud fra specifikke kriterier, bl.a. om en hændelse vil have

”betydelige

forstyrrende virkninger for leveringen af tjenesten, eller andre væ-

sentlige tjenester”.

Yderligere er der opsat en række kriterier, som medlemsstaterne som

minimum skal tage hensyn til, når det skal vurderes, hvorvidt en

hændelse har ”betydelig forstyrrende virkning.” Kriterierne omfatter

bl.a. de økonomiske, samfundsmæssige og sikkerhedsmæssige kon-

sekvenser en given hændelse kan have, uden at der dog fastsættes

specifikke tærskelværdier.

Medlemsstaterne skal identificere enheder inden for sektorerne bank-

væsen, finansiel markedsinfrastruktur og digital infrastruktur, som

kun skal behandles som ”svarende til kritiske enheder” fremfor ”kriti-

ske enheder”.

Det skyldes, at enhederne inden for disse sektorer vil

være omfattet af krav i medfør af anden EU-lovgivning. Dette inde-

bærer, at enhederne i regi af CER-direktivet kun indgår som en del af

medlemsstaternes overordnede myndighedsarbejde med strategi,

risikovurdering og understøttelse mv., (artikel 3-9), men at enheder-

ne dermed ikke skal opfylde de krav, der stilles til kritiske enheder

inden for de øvrige 7 sektorer.

Medlemsstaterne skal udpege en eller flere kompetente myndigheder,

der er ansvarlige for implementeringen af direktivet på nationalt plan.

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

Det er væsentligt, at de udpegede kompetente myndigheder skal

samarbejde med de kompetente myndigheder, der er udpeget i med-

før af NIS2-direktivet. Dertil skal der udpeges et centralt kontakt-

punkt, der forestår det grænseoverskridende samarbejde. Kontakt-

punktet skal ligeledes forelægge regelmæssig rapport til Kommissio-

nen om hændelsesaktivitet.

Endelig skal medlemsstaterne yde støtte til de enheder, der er udpe-

get som kritiske, f.eks. ved at udgive vejledningsmateriale, støtte

tilrettelæggelse af øvelser, indføre videndelingsværktøjer mv.

Rådsformandskabets udkast til kompromistekst

Formandskabet har i kompromisforslaget præciseret, at den

nationale strategi kan bygge på allerede eksisterende natio-

nale eller sektorspecifikke strategier eller øvrige dokumenter,

samt at kun relevante dele af strategien skal videreformidles

til Kommissionen.

Det er i kompromisforslaget præciseret, at medlemssta terne

kun skal videreformidle en overordnet/aggregeret version af

den nationale risikovurdering, der anvendes til at identificere

kritiske enheder.

Kompromisforslaget præciserer, at medlemsstaterne i vurde-

ringen af, om hændelser har ”betydelig forstyrrende virk-

ning”, også skal tage højde for,

om hændelsen påvirker be-

folkningens sundhed eller generelle velbefindende. Kommis-

sionen skal, efter konsultation med ekspertgruppen for kriti-

ske enheders modstandsdygtighed, udarbejde ikke-bindende

retningslinjer for medlemsstaternes brug af kriterierne for

”betydelig forstyrrende virkning”.

Det er i kompromisforslaget tydeliggjort, at kritiske enheder i

den digitale infrastruktur, bankvæsenet og finansielle marke-

der ikke skal opfylde de krav, der stilles til kritiske enheder i

øvrige sektorer. Derved ændres ikke på Kommissionens op-

rindelige forslag, men begrebet ”enheder svarende til kritiske

enheder” udgår af forståelsesmæssige årsager.

Kritiske enheders modstandsdygtighed (artikel 10-13)

De enheder, som medlemsstaterne udpeger som kritiske, skal mindst

hvert fjerde år foretage egne risikovurderinger på grundlag af bl.a. den

nationale risikovurdering. Risikovurderingerne skal også tage højde for

andre sektorers eventuelle afhængigheder, herunder også i nabostater

og tredjelande i relevant omfang. Medlemsstaterne skal sikre, at de

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

kritiske enheder på den baggrund beskriver og implementerer passende

og forholdsmæssige tekniske og organisatoriske foranstaltninger.

Foranstaltningerne skal bl.a. omfatte forebyggelse af hændelser, fysisk

sikring, krisestyringsprocedurer, genopretningsprocedurer, sikkerheds-

styring af medarbejdere mv.

Kommissionen gives beføjelse til at vedtage delegerede retsakter og

gennemførselsretsakter, der om nødvendigt præciserer disse foranstalt-

ninger.

Medlemsstaterne kan anmode Kommissionen om at gennemføre rådgi-

vende missioner til kritiske enheder i forbindelse med opfyldelsen af

deres forpligtelser.

Medlemsstaterne skal sikre, at de kritiske enheder kan indgive anmod-

ninger om baggrundskontrol af personer, der tilhører specifikke katego-

rier af deres personale, og at disse anmodninger hurtigt vurderes af de

relevante myndigheder. Kommissionens direktivforslag lægger op til, at

baggrundskontrollen, efter en behørigt begrundet anmodning fra den

kritiske enhed, kan udvides til også at trække på bl.a. efterretninger.

Medlemsstaterne skal sikre, at de kritiske enheder underetter den kom-

petente myndighed om hændelser, der i væsentlig grad forstyrrer eller

har potentiale til i væsentlig grad at forstyrre deres aktiviteter. Via

det centrale nationale kontaktpunkt skal denne underretning videregi-

ves til andre berørte medlemsstater, hvis hændelsen har grænseover-

skridende virkninger.

Rådsformandskabets udkast til kompromistekst

Formandskabet har i kompromisforslaget tilføjet, at de kriti-

ske enheder i deres risikovurdering også skal tage højde for

de afhængigheder, som andre sektorer måtte have til enhe-

den selv. Kompromisforslaget forslaget præciserer endvidere,

at de kritiske enheder kan anvende allerede tidligere udar-

bejdede risikovurderinger, så længe de overholder kravene i

direktivet.

Kompromisforslaget lægger op til, at de enheder der udpeges

som kritiske får længere tid til at implementere de krav, der

følger af direktivet (fra 6 måneder i Kommissionens til 12

måneder i kompromisforslaget).

Kompromisforslaget lægger op til, at medlemsstaterne og de

kritiske enheder i højere grad ud fra egne konkrete vurderin-

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

ger kan beslutte, hvilke specifikke foranstaltninger der skal

implementeres. Der lægges endvidere op til, at de kritiske

enheder skal udpege en kontaktperson, der kan forestå kon-

takt med de kompetente myndigheder.

Kompromisforslaget fjerner Kommissionens beføjelse til at

vedtage delegerede retsakter. I stedet skal Kommissionen,

efter konsultation med ekspertgruppen, udarbejde ikke-

bindende guidelines der specificerer de tekniske, sikkerheds-

mæssige og organisatoriske foranstaltninger, som kan im-

plementeres. Kommissionen bibeholder muligheden for at

vedtage gennemførselsretsakter, der fastsætter tekniske og

metodiske specifikationer inden for rammerne af komitologi.

Kompromisforslaget præciserer hvilke medarbejdere, som de

kritiske enheder kan lade omfatte af baggrundskontrol, og

fjerner samtidig bestemmelsen om, at der kan gennemføres

udvidet baggrundskontrol ved brug af bl.a. efterretninger.

Specifikt tilsyn med kritiske enheder af særlig europæisk betydning

(artikel 14-15)

Visse kritiske enheder

vil blive defineret som af ”særlig europæisk be-

tydning”, såfremt de leverer væsentlige tjenester til eller i mere end en

tredjedel af medlemsstaterne. Medlemsstaterne skal sikre, at de enhe-

der, der udpeges som kritiske, selv melder til de nationale kompetente

myndigheder, såfremt de leverer væsentlige tjenester til eller i mere

end en tredjedel af medlemsstaterne. Herefter meddeler medlemsstaten

dette videre til Kommissionen, der efterfølgende underretter enheden

om, at denne betragtes som en kritisk enhed af særlig europæisk be-

tydning.

Disse enheder vil være underlagt et skærpet tilsyn, hvor Kommissionen

bl.a. kan anmode om at få udleveret risikovurderingen og implemente-

ringsplanen for de tekniske og organisatoriske foranstaltninger, og gen-

nemføre rådgivende missioner for at vurdere disse foranstaltninger. I

Kommissionens direktivforslag skal Kommissionen udarbejde gennem-

førselsretsakter, der beskriver de nærmere processuelle regler for de

rådgivende missioner.

Kommissionen kan på baggrund af den rådgivende mission meddele

synspunkter om, hvorvidt enheden opfylder sine forpligtelser, og hvilke

foranstaltninger der kan træffes for at forbedre enhedens modstands-

dygtighed.

Rådsformandskabets udkast til kompromistekst

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

Formandskabet har i kompromisforslaget tilføjet, at Kommissi-

onen skal indgå i en konsulationsproces med den kritiske enhed

og de berørte medlemsstater, inden enheden udpeges som en

enhed af særlig europæisk betydning. Kompromisforslaget tilfø-

jer desuden, at Kommissionen skal drøfte sine synspunkter

med medlemsstaten, inden disse meddeles.

I kompromisforslaget er det endvidere tilføjet, at Kommissio-

nens gennemførselsretsakter også skal tage højde for den for-

trolige behandling af oplysninger i forbindelse med de rådgi-

vende missioner.

Samarbejde og rapportering (artikel 16-17)

Der nedsættes en ”gruppe for kritiske enheders modstandsdygtighed”,

bestående af repræsentanter fra medlemsstaterne og med Kommissio-

nen som formand. Gruppen nedsættes som ekspertgruppe under Kom-

missionen og skal bl.a. bistå Kommissionen i at understøtte medlems-

staternes implementering af direktivet, fx identificere

best practice

forhold til strategiformulering mv.

Rådsformandskabets udkast til kompromistekst

Formandskabet har i kompromisforslaget præciseret, at med-

lemmerne af ekspertgruppen for kritiske enheders modstands-

dygtighed skal kunne sikkerhedsgodkendes til passende ni-

veau.

Tilsyn og håndhævelse (artikel 18-19)

Medlemsstaterne skal sikre, at de kompetente myndigheder har befø-

jelser og midler til at sikre gennemførelsen og håndhævelsen af direk-

tivet. Det indebærer bl.a., at myndighederne skal kunne foretage in-

spektioner og gennemføre eller kræve revisioner af de kritiske enhe-

der.

Medlemsstaterne skal fastsætte bestemmelser om sanktioner for

overtrædelser og træffe alle nødvendige foranstaltninger til at sikre,

at de gennemføres. Bestemmelserne skal meddeles Kommissionen.

4. Europa-Parlamentets udtalelser

Europa-Parlamentet er i henhold til den almindelige lovgivningsprocedu-

re (art. 294, TEUF) medlovgiver. Det er Europa-Parlamentets udvalg for

Borgernes Rettigheder og Retlige og Indre Anliggende (LIBE), der be-

handler forslaget.

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

Europa-Parlamentets ændringsforslag til direktivet blev godkendt ved

afstemning d. 20. oktober, hvoraf det væsentligste kan opsummeres

som følger:

•

At der - i supplement til de nationale strategier - skal udarbejdes

en EU-strategi for kritiske enheders resiliens. Strategien skal ud-

arbejdes af den nedsatte ekspertgruppe for kritiske enheders

modstandsdygtighed.

At Kommissionen får beføjelser til via delegerede retsakter at ved-

tage, hvilke væsentlige tjenester under hver sektor, som med-

lemsstaterne skal foretage risikovurderinger for. Listen over væ-

sentlige tjenester skal dermed ikke længere udarbejdes af med-

lemsstaterne selv.

At Kommissionen, i samarbejde med medlemsstaterne, skal udar-

bejde retningslinjer til brug for medlemsstaternes identifikation af

kritiske enheder

At Europa-Parlamentet efter behov skal inviteres med som obser-

vatør i ekspertgruppen for kritiske enheders modstandsdygtighed

At Kommissionen skal nedsætte et fælles sekretariat mellem sa-

marbejdsgruppen i regi NIS2-direktivet og gruppen for kritiske

enheders modstandsdygtighed

At der skal foretages en række justeringer til direktivets dæk-

ningsområde, herunder:

At offentlige transportselskaber tilføjes under transportsekto-

ren

At enheder der har tilladelse til engrosforhandling af læge-

midler jf. artikel 79 i

Direktiv om oprettelse af en fælleskabs-

kodeks for humanmedicinske lægemidler (2001/83/EF)

tilfø-

jes under sundhedssektoren

At kommunalforvaltninger tilføjes under sektoren offentlig

administration

At fremstilling, bearbejdning og distribution af fødevarer tilfø-

jes som ny sektor.

•

5. Nærhedsprincippet

Kommissionen vurderer, at en fælles lovgivningsmæssig ramme er be-

rettiget i betragtning af den indbyrdes afhængighed og grænseoverskri-

dende karakter af de væsentlige tjenester, som kritisk infrastruktur un-

derstøtter. En afbrydelse hos en operatør, der leverer tjenester i flere

medlemsstater, kan således få paneuropæiske konsekvenser, hvilket

kræver handling på EU-plan.

Kommissionen vurderer endvidere, at forskellige nationale regler har

direkte negativ indvirkning på det indre markeds funktion. Kommissio-

nens konsekvensanalyse har i forlængelse heraf vist, at mange med-

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

lemsstater og interessenter i erhvervslivet har udtrykt behov for en me-

re fælles og koordineret europæisk tilgang.

Regeringen er på det foreliggende grundlag enig i, at en fælles europæ-

isk regulering vedrørende kritisk infrastruktur er berettiget, givet de

stigende indbyrdes afhængigheder og fælles udfordringer, som præger

området.

Regeringen lægger i sin vurdering af overholdelsen af nærhedsprincip-

pet vægt på, at det overordnede ansvar for at udpege kritiske enheder

og sikre rette foranstaltninger for deres modstandsdygtighed fortsat

påhviler medlemsstaterne, herunder også i forhold til de kritiske enhe-

der, der måtte vurderes af særlig europæisk betydning. Regeringen

noterer sig i forlængelse heraf, at der i direktivet lægges op til en risi-

kobaseret tilgang, der efterlader plads til at implementere direktivet

under hensyntagen til nationale og sektorspecifikke forhold.

På det foreliggende grundlag er det derfor regeringens vurdering, at

nærhedsprincippet er overholdt.

6. Gældende dansk ret

Ansvaret for beskyttelse af kritisk infrastruktur i Danmark følger mini-

sterområderne,

jf. beredskabslovens § 24: ”De enkelte

ministre skal

hver inden for deres område planlægge for opretholdelse og videreførel-

se af samfundets funktioner i tilfælde af større ulykker og katastrofer

(…)”

Ministerierne skal sørge for, at den nødvendige lovgivning, bekendtgø-

relser mv. tilvejebringes i ressortlovgivningen. Beredskabskrav til ope-

ratører findes således i en række ressortspecifikke love og bekendtgø-

relser, herunder fx:

•

Elforsyningslovens § 85b og § 85c

Naturgasforsyningslovens § 15a og § 15b

Olieberedskabsloven § 16

Sundhedslovens §§ 210-211

Det bemærkes, at begrebet ”kritisk infrastruktur” indgår som en sær-

ligt følsom sektor i lov om screening af visse udenlandske direkte in-

vesteringer mv. i Danmark (investeringsscreeningsloven). Det følger

heraf, at udenlandske investeringer mv. i virksomheder inden for kri-

tisk infrastruktur kræver forhåndstilladelse. Det fremgår af den tilhø-

rende bekendtgørelse (BEK nr. 1491 af 25/06/2021), at kritisk infra-

struktur defineres som:

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

”Infrastruktur –

herunder faciliteter, systemer, processer, netværk,

teknologier aktiver samt serviceydelser - som er nødvendige for at

opretholde eller genoprette samfundsvigtige funktioner.”

Det bemærkes ligeledes, at der aktuelt pågår en tværministeriel kort-

lægning af kritisk infrastruktur i Danmark. Med erfaringerne fra denne

kortlægning vurderes myndighederne efterfølgende at have et godt

udgangspunkt for kortlægningen af kritiske enheder ud fra CER-

direktivets retningslinjer.

Baseret på nationale og internationale erfaringer, herunder særligt

tidligere arbejde fra Beredskabsstyrelsen, foretages kortlægningen

inden for følgende 15 sektorer/områder, der er defineret som sam-

fundsvigtige: Energi, informations- og kommunikationsteknologi

(IKT), transport, beredskab og civilbeskyttelse, sundhed, sociale for-

hold, drikkevand og fødevarer, spildevand og renovation, finans og

økonomi, uddannelse og forskning, meteorologi, forsvar samt efter-

retnings- og sikkerhedstjeneste, udenrigstjeneste, myndighedsudø-

velse generelt samt tværgående krisestyring.

Alle sektorer, som CER-direktivet dækker over, på nær rumfart, er

inkluderet i den danske tilgang. CER-direktivets tilgang og definition

af kritisk infrastruktur samt sektorafgrænsning er således overordnet

sammenlignelig med den danske.

Kortlægningsarbejdet færdiggøres i 2022, mens identifikationen af

kritiske enheder jf. CER-direktivet forventeligt først skal være endeligt

gennemført tre år og tre måneder år efter vedtagelsen.

Konsekvenser

Lovgivningsmæssige konsekvenser

Implementering af direktivet i dansk ret vil have lovgivningsmæssige

konsekvenser, da der bl.a. skal indføres nye krav til operatører af

kritisk infrastruktur i Danmark, udpeges et centralt kontaktpunkt mv.

Det vurderes hensigtsmæssigt, at implementeringen af direktivet ge-

nerelt gennemføres sektorvist for hvert af de involverede ministerom-

råder med forbehold for en eventuel horisontal gennemførelse af dele

af direktivet, såfremt det vurderes at give økonomisk og lovgivnings-

mæssigt merværdi. Dette vil dels stemme overens med hidtidig dansk

praksis,

jf. ovenfor,

og endvidere flugte med implementeringen af det

nuværende NIS-direktiv og forventede implementering af det kom-

mende NIS2-direktiv. I forlængelse heraf vurderes det hensigtsmæs-

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

sigt, at de sektoransvarlige myndigheder bliver de kompetente myn-

digheder i direktivets forstand.

Økonomiske konsekvenser

Forslaget vurderes at have statsfinansielle konsekvenser samt er-

hvervsøkonomiske konsekvenser. Det bemærkes generelt, at skønnet

for de statsfinansielle og erhvervsøkonomiske konsekvenser er be-

hæftet med usikkerheder, idet udpegningen af de kritiske enheder

skal foregå på basis af en national strategi og forudgående risikovur-

dering, som først gennemføres, når direktivet skal implementeres.

Statsfinansielle konsekvenser

Kommissionen vurderer, at de statsfinansielle konsekvenser særligt

vil stamme fra udviklingen af nationale strategier, risikovurderinger

samt identifikationen af og tilsynet med de kritiske enheder. Kommis-

sionen vurderer dog, at medlemsstaterne bør kunne trække på erfa-

ringer med lignende arbejde i regi af det nuværende NIS-direktiv.

Rådsformandskabets udkast til kompromistekst

De statsfinansielle konsekvenser skønnes med det nuværen-

de kompromisforslag at være på hhv. ca. 21-27 mio. kr. år-

ligt, hvilket primært følger af myndighedernes arbejde med

national strategi, risikovurderinger, udpegning af kritiske en-

heder og tilsyn hermed. De statsfinansielle konsekvenser er i

mindre grad reduceret i kompromisforslaget, idet sektoren

”offentlig administration” ikke indgår.

Erhvervsøkonomiske konsekvenser

Det vurderes, at direktivforslaget medfører erhvervsøkonomiske kon-

sekvenser. Det skyldes bl.a., at de kritiske enheder skal træffe pas-

sende og forholdsmæssige tekniske og organisatoriske foranstaltnin-

ger for at sikre deres modstandsdygtighed og sikre, at disse foran-

staltninger er beskrevet i en plan for modstandsdygtighed eller i et

eller flere tilsvarende dokumenter jf. artikel 10 og 11. Disse planer vil

potentielt skulle fremvises/leveres til myndigheder minimum hvert

fjerde år som led i myndighedernes tilsynsforpligtelse, ligesom de

kritiske enheder vil blive pålagt underretningsforpligtelser bl.a. i for-

bindelse med sikkerhedshændelser. Endelig følger ekstra krav til eu-

ropæisk kritisk infrastruktur.

Rådsformandskabet udkast til kompromistekst

Det skønnes, at godt 100

–

150 virksomheder i Danmark kan

blive udpeget som kritiske enheder, og at der samlet vil være

erhvervsøkonomiske konsekvenser på min. ca. 27 mio. kr.

årligt. Direktivet vil med det nuværende kompromisforslag

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

ikke medføre merudgifter for kommuner og regioner. De er-

hvervsøkonomiske konsekvenser vurderes overordnet at væ-

re uændrede ift. Kommissionens oprindelige forslag.

Fsva. administrative konsekvenser vurderer Erhvervsstyrelsen, at

CER-direktivet vil medføre administrative byrder for de omfattede

virksomheder.De administrative konsekvenser vil forventeligt være

særligt gældende for mellemstore og store virksomheder, idet Kom-

missionen vurderer, at relativt få SMV’er vil blive udpeget som kriti-

ske enheder af de nationale myndigheder. Omvendt forventes de ad-

ministrative og økonomiske konsekvenser mindre for de sektorer, der

allerede er underlagt krav på området, herunder fx el-, naturgas- og

oliesektorerne.

De administrative konsekvenser kan ikke kvantificeres nærmere på

nuværende tidspunkt, da fyldestgørende data samt den endelig ud-

møntning ikke er tilgængelig. Den endelige vurdering vil blive foreta-

get i forbindelse med evt. implementering af direktivet i Danmark.

Kommissionen vurderer dog overordnet, at økonomien i det indre

marked generelt vil blive positivt påvirket af direktivet, bl.a. fordi risi-

koen for afbrydelser i væsentlige tjenester vil blive mindre, hvilket

mindsker omkostninger forbundet med sikkerhedshændelser og øger

den økonomiske stabilitet.

Andre konsekvenser og beskyttelsesniveauet

Forslaget vurderes at have positive konsekvenser for modstandsdygtig-

heden i den kritiske infrastruktur og dermed overordnet indebære en

sikkerhedsmæssig gevinst.

Høring

Kommissionens forslag er sendt i høring d. 9. februar 2021 i special-

udvalget for civilbeskyttelse, specialudvalget for konkurrenceevne,

vækst og forbrugerspørgsmål, specialudvalget for transport, skibs-

fartspolitisk specialudvalg og specialudvalget for klima-, energi- og

forsyningspolitik med frist d. 18. februar 2021. Der er modtaget svar

fra PostNord, Dansk Vand- og Spildevandsforening, 3F, DI Transport /

Dansk Luftfart, DSB, Erhvervsflyvningens Sammenslutning, Danske

Rederier, Dansk Erhverv, Danske Havne og Danske Vandværker.

Generelle bemærkninger

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

PostNord

bemærker, at den fysiske befordringspligt

–

og dermed

den befordringspligtige virksomhed

–

bør defineres som kritisk enhed,

da fysisk brevdistribution selv i moderne tider er afgørende for visse

befolkningsgrupper og i tilfælde af systemnedbrud eneste alternativ

for kommunikation fra myndigheder til borgere, mellem virksomheder

samt mellem borgerne.

PostNord

bemærker videre, at denne infrastruktur forudsætter sam-

arbejde og integration mellem EU’s medlemslande. På

baggrund af

den aktuelle nedlukning af fysiske butikker, bør det overvejes om

befordringspligt af pakker bør opretholdes eller alene overlades til

markedskræfterne.

Dansk Vand- og Spildevandsforening (DANVA)

kan overordnet

støtte direktivforslaget.

DANVA

mener principielt, at der skal være

lovgivningsmæssige rammer, der sikrer og understøtter, at danske

forsyninger arbejder effektivt med modstandsdygtighed/resiliens ud

fra en risikobaseret tilgang.

DANVA

vurderer, at direktivet vil bidrage

til at forbedre rammerne for dette arbejde på vand- og spildevands-

forsyningsområdet.

DANVA

finder det vigtigt, at forsyningerne ikke underlægges dobbelt-

regulering som følge af allerede eksisterende nationale eller EU-retlige

krav.

DANVA

fremhæver, at det fortsat skal være muligt at anvende

nationale eller internationale tekniske retningslinjer eller standarder.

DANVA

konstaterer, at flere forsyninger servicerer inden for flere

områder (energi, gas, vand, spildevand mv.), og finder det væsent-

ligt, at der er et samspil mellem retningslinjerne for de forskellige

forsyningsarter.

DANVA

finder, at medlemsstaterne skal tilvejebringe de økonomiske

og juridiske rammer, der kan sikre, at vand- og spildevandforsynin-

gen fortsat kan leveres til en overkommelig pris. Der vil være behov

for en analyse af de omkostninger, som direktivet vil afstedkomme

for de forsyninger, der udpeges som kritiske enheder, og det bør

drøftes på nationalt niveau, hvordan en fair finansiering kan etable-

res. De forsyninger, der bliver udpeget som kritiske enheder, bør

kompenseres økonomisk, så regningen ikke ender hos forbrugerne.

DANVA

finder, at nationale tilskud i den forbindelse ikke skal betrag-

tes som ulovlige.

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

3F Transport

støtter intentionen bag og formålet med forslaget, her-

under at der sigtes til en bedre fælles europæisk sikring og beskyttel-

se af kritisk infrastruktur.

DI Transport

Dansk Luftfart

støtter direktivforslaget og bemær-

ker, at der er god grund til at indtænke kritisk infrastruktur i en bre-

dere kontekst, og at den valgte løsningsmodel i den henseende synes

proportional.

Erhvervsflyvningens Sammenslutning (ES)

støtter forslaget.

foreslår, at den del af transportsektoren, der vedrører luftfart, udvides

til at omfatte lufttrafik generelt, herunder også forretnings- og privat-

ejede fly.

konstaterer, at det i det nuværende forslag kun er luft-

fartsselskaber, der er omfattet.

Danske Rederier

konstaterer, at de danske rederier som en del af

transportsektoren i dag er omfattet af ECI-direktivet og er forstående

over for nødvendigheden af at ændre tilgangen til en bredere sikring

af kritiske enheders modstandsdygtighed.

Danske Rederier

finder det vigtigt, at der ikke med CER-direktivet

indføres yderligere krav til foranstaltninger for søtransportsektoren og

havneterminaler, der bidrager til unødige administrative byrder eller

udfordrer transportkædernes effektivitet.

Danske Rederier

bemær-

ker i den forbindelse, at de kritiske enheder i søfartssektoren vil være

omfattet af forordning nr. 725/2004, der bygger på international lov-

givning vedtaget af den Internationale Søfartsorganisation (IMO).

Danske Rederier

konstaterer, at danske havne og havneterminaler

samt danske skibe ikke er kategoriseret som kritiske enheder efter

den nuværende regulering.

Danske Rederier

ønsker, at den nuvæ-

rende praksis fastholdes, så medlemsstaterne fortsat identificerer

kritiske enheder baseret på en national risikovurdering.

Danske Re-

derier

ønsker en fortsættelse af det nuværende myndighedssamar-

bejde og ser ingen hindringer for dette i CER-direktivet.

Dansk Erhverv

er positivt indstillet overfor forslaget og støtter, at

der kommer fokus på den vigtige problemstilling, som bl.a. COVID-

19-pandemien har aktualiseret, og at EU ruster sig til eventuelle

fremtidige katastrofer, der potentielt kan påvirke vitale samfunds-

mæssige funktioner eller økonomiske aktiviteter negativt.

Dansk Erhverv

finder, at en fornyet tilgang, der i højere grad afspej-

ler det nuværende og forventede fremtidige risikolandskab, den sta-

dig tættere indbyrdes afhængighed mellem forskellige sektorer og de

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

stadig mere indbyrdes afhængige relationer mellem fysiske og digitale

infrastrukturer, kan fremme kritiske enheders modstandsdygtighed.

Dansk Erhverv

konstaterer, at operatører ofte opererer som en del

af et stadig mere sammenkoblet net af tjenester og infrastrukturer og

leverer væsentlige tjenester i mere end én medlemsstat. En harmoni-

seret tilgang

til reguleringen vil sikre en overordnet EU-ramme, som bedre end

forskellige nationale tiltag styrker modstandsdygtigheden og sikrer

leveringen af væsentlige tjenester i EU.

Dansk Erhverv

finder, at reguleringen grundlæggende bør facilitere,

at enheder, som ikke er tilstrækkeligt udstyret til at håndtere nuvæ-

rende og forventede fremtidige risici for deres drift mv., sættes i

stand til at forbedre deres modstandsdygtighed.

Dansk Erhverv

finder det vigtigt, at dobbeltregulering undgås, hvor

der allerede findes sektorspecifik regulering. Ligeledes er det vigtigt,

at kravene til kritiske enheder om at træffe passende og forholds-

mæssige tekniske og organisatoriske foranstaltninger for at sikre de-

res modstandsdygtighed i alle tilfælde er proportionale og ikke på-

lægger unødige økonomiske byrder.

Danske Havne (DH)

støtter, at indsatsen for at beskytte vigtig in-

frastruktur (herunder havne) tilpasses og styrkes via en målrettet

vurdering af alle relevante naturlige og menneskeskabte risici, der

kan påvirke leveringen af væsentlige tjenester, herunder bl.a. ulyk-

ker, naturkatastrofer mv.

støtter endvidere, at medlemsstaterne kan identificere kritiske

enheder ved hjælp af fælles kriterier på grundlag af en national risi-

kovurdering.

finder det i den forbindelse vigtigt, når medlemsstaterne udpeger

de kritiske enheder, at det vurderes, om omkostningerne og den ad-

ministrative byrde for fx havnene er proportionale med truslen. Den

nationale myndighed bør foretage en specifik risikovurdering af hver

havn og på dette grundlag beslutte, om den skal være omfattet som

kritisk infrastruktur i direktivet. Det skal også specificeres, hvilke dele

af fx havnen, der i så fald betragtes som kritisk infrastruktur. Det er

vigtigt at inddrage virksomheder/havne i arbejdet, da de kan bidrage

til at udpege den kritiske infrastruktur.

bemærker, at danske erhvervshavne er i forvejen underlagt store

sikkerhedsforanstaltninger, herunder krav om at udarbejde sårbar-

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

hedsvurderinger og sikringsplaner. Dertil kommer det kommende

NIS2-direktiv, der også omfatter havne.

kan frygte, at hvis havnene skal bruge store ressourcer på im-

plementering af dette direktiv såvel som NIS2-direktivet, kan det i

sidste ende betyde ulig konkurrence til fordel for landtransport. Dette

vil i sidste ende også være til skade for klimaet.

finder, at det kan være forbundet med store omkostninger for de

aktører, der udpeges som kritiske enheder, og at det i den forbindelse

er vigtigt, at direktivet koordineres med øvrige indsatser, så den ad-

ministrative byrde mindskes mest muligt.

foreslår, at der er mu-

lighed for økonomisk- og faglig støtte til de virksomheder/havne, der

omfattes af kravene.

Danske Vandværker (DV)

er enige i behovet for nationale strategi-

er, der skal sikre kritiske enheders modstandsdygtighed overfor for

cyberangreb, terrorhandlinger mv., baseret på regelmæssige vurde-

ringer af relevante risici og med opdatering hvert fjerde år.

finder

det væsentligt, at risikovurderingen foretages under hensyntagen til

afhængigheder mellem sektorer, herunder f.eks. energi, transport,

drikkevand og spildevand, bankvæsen, digital infrastruktur mv. Kon-

kret er vandforsyning meget afhængig af fx elforsyningen.

finder, at direktivet vil forbedre mulighederne for, at arbejdet med

at sikre modstandsdygtighed også bliver gennemført for vandforsy-

ningerne.

vurderer i den forbindelse, at der er behov for, at også

vandforsyning bliver udpeget som kritisk infrastruktur.

finder det afgørende, at EU udarbejder en vejledning med fokus

på samspillet mellem nærværende direktivforslag og NIS2-forslaget.

Der vil være vandforsyninger, der udpeges efter NIS2-retningslinjer,

og som på nogle punkter også skal forholde sig til kravene i direktivet

om kritiske enheders modstandsdygtighed. Der er derfor risiko for

dobbeltarbejde og unødvendigt bureaukrati.

finder det vigtigt, at der i direktivet tages tilstrækkeligt hensyn til

den særlige struktur, der er i vandforsyningen i Danmark. De fleste af

DV’s medlemmer er vandforsyninger med kun få ansatte og med en

relativt lav leverance pr. forsyning. Foranstaltninger bør derfor være

proportionale med mulige effekter af hændelser, og direktivet bør

derfor sikre en tilstrækkelig dialog imellem myndigheder og vandfor-

syninger ved fastlæggelsen af krav, herunder sikre at allerede eksi-

sterende krav ikke gentages, men suppleres af det ny direktivs krav.

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

bemærker, at mindre vandforsyninger har en begrænset økono-

misk og administrativ kapacitet, og finder, at der er behov for en til-

kendegivelse af, at de enkelte medlemslande bør fastlægge finansie-

ringen af tiltag under hensyntagen til den økonomiske og administra-

tive kapacitet hos de enkelte vandforsyninger.

Specifikke bemærkninger

Artikel 1:

DANVA

bemærker, at artikel 1, litra a kan læses således, at kritiske

enheder skal levere en service i det indre marked, for at være omfat-

tet af direktivet.

DANVA

har ikke kendskab til, at der er danske for-

syninger eller danske forbrugere, der forsyner henholdsvis bliver for-

synet på tværs af landegrænser.

DANVA

finder det bydende nødvendigt, at EU udarbejder vejled-

ningsmateriale, der har fokus på samspillet mellem nærværende di-

rektiv og forslaget til NIS2-direktiv.

Artikel 3:

DANVA

støtter, at den nationale strategi opdateres hvert fjerde år,

og finder det i den forbindelse centralt, at der er fokus på rolle- og

ansvarsbeskrivelse.

Artikel 4:

DANVA

støtter, at der ved risikovurderingen tager højde for risici, der

stammer fra afhængigheder mellem sektorer.

DANVA

bemærker, at

vand- og spildevandsforsyningen blandt andet afhænger af el-

sektoren.

Artikel 5:

DANVA

finder det hensigtsmæssigt, at identifikationen af kritiske

enheder jf. artikel 5 foretages ud fra en risikovurdering, og at den

nationale myndighed har dialog med den potentielle kritiske enhed for

dermed at sikre fælles forståelse for den udførte risikovurdering og de

konkrete hensyn til proportionalitetsprincippet.

Artikel 8:

finder det væsentligt, at de ressourcer der nævnes i artikel 8 stk.

4 fordeles ligeligt mellem de relevante myndigheder, således at de er

i stand til at løfte deres opgaver i medfør af direktivet, uden at det

går ud over deres øvrige ansvarsopgaver og forpligtelser. For havne-

ne betyder det bl.a., at Trafik-, Bygge- og Boligstyrelsen, Søfartssty-

relsen, Politi og Forsvaret også får tildelt de rette ressourcer for udfø-

relsen af opgaven.

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

Artikel 9:

DANVA

påskønner, at det eksplicit angives i artikel 9, at medlems-

staterne skal understøtte de kritiske enheder, og at det i den forbin-

delse er væsentligt, at der sikres rettidig rådgivning om de krav, der

følger af direktivets artikel 10 og 11.

DSB

finder i forhold til artikel 9, at det i direktivet bør adresseres,

hvordan de kritiske enheder forsvarligt skal opbevare og håndtere

potentielt forretnings- og personfølsomme oplysninger fra andre kriti-

ske enheder.

Artikel 10:

DSB

finder i forhold til artikel 10, at det generelt bør tilsigtes, at de

kritiske enheders arbejde med risikovurderinger optimeres i videst

muligt omfang, således at dobbeltarbejde begrænses.

DSB

anbefaler

konkret, at kritiske enheder, som opererer inden for samme sektor,

koordinerer arbejdet med risikovurderinger og risikorapporteringer.

Artikel 11:

DSB

finder, at der er behov for en præcisering af, hvad der forstås

ved ”passende og forholdsmæssige tekniske og organisatoriske foran-

staltninger”.

DSB

bemærker, at for en virksomhed som DSB, med

mange fysiske lokationer og medarbejdere fordelt på et stort geogra-

fisk område, vil der potentielt være tale om betydelige investeringer

til implementering af foranstaltninger til at modstå og/eller reducere

risikoen utilsigtede hændelser.

DSB

finder derfor behov for fastlæg-

gelse af f.eks. minimumskrav.

finder det vigtigt, at der i forhold til artikel 11 etableres en til-

strækkelig fælles pulje i EU-regi, målrettet infrastruktur af særlig eu-

ropæisk betydning, der kan understøtte forebyggelse før og genop-

retning efter hændelser.

Artikel 12:

3F Transport

finder behov for bedre belysning af, hvilken betydning

myndigheders baggrundskontrol af personale vil have for arbejdsta-

gerrettigheder og arbejdstagerbeskyttelse.

3F Transport

bemærker,

at artiklen indebærer en risiko for, at myndighederne som led i tilba-

gemeldingen til arbejdsgiverne leverer for store mængder informatio-

ner, som utilsigtet vil kunne anvendes af arbejdsgiver til at frasortere

ansatte.

3F Transport

opfordrer til, at de i artikel 12 beskrevne for-

slag underkastes en juridisk konsekvensanalyse med fokus på, hvor-

vidt artiklen

utilsigtet kan bruges som ”sorteringsmekanisme” i for-

hold til ansatte.

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

Artikel 13:

DSB

finder, at artikel 13 med fordel kan udvides, så der stilles krav

om, at de kritiske enheder skal indberette til myndighederne, om de i

det forløbne år har afholdt beredskabsøvelser, og hvem der har delta-

get i øvelserne. Endvidere kan der stilles krav om, at de kritiske en-

heder skal indberette, at de har foretaget en test af deres kommuni-

kationskanaler i det forløbne år. Gennemførelse af beredskabsøvelser

samt regelmæssig test af kommunikationsudstyr vil kunne højne de

kritiske enheders modstandsdygtighed mod kritiske hændelser.

Artikel 14:

DSB

finder i forhold til artikel 14 og 15, at der er behov for en afkla-

ring eller præcisering af, hvorvidt en kritisk enhed, der samarbejder

med en kritisk enhed med særlig europæisk betydning, vil kunne blive

pålagt delvist eller udvidet tilsynspligt (som konsekvens af samarbej-

det).

Øvrige:

bemærker, at det af betragtningerne til direktivforslaget fremgår,

at eksisterende data/vurderinger, der foretages efter andre EU-regler,

skal udnyttes.

finder det af stor vigtighed, at der bliver en så en-

kel overførsel af relevante data- og vurderinger som muligt, hvor alle

medlemsstaters myndigheder samler deres informationer/vurderinger

i samme skabelon.

9. Generelle forventninger til andre landes holdninger

De fleste medlemsstater har overordnet taget positivt imod direktiv-

forslaget, herunder formålet om at styrke modstandsdygtigheden på

tværs af EU. Stort set alle bestemmelserne i direktivforslaget har væ-

ret genstand for tekniske drøftelser. I det følgende redegøres der for

det væsentligste.

Drøftelserne i rådsarbejdsgruppen har primært kredset om detalje-

ringsgraden af direktivets forpligtelser, sektorafgrænsningen, samar-

bejdet mellem Kommissionen og medlemsstaterne samt undtagelses-

bestemmelse i forhold til national sikkerhed.

I forhold til detaljeringsgraden i bestemmelserne har medlemsstater-

ne generelt ønsket plads til, at der i implementeringen af direktivet

kan tages højde for særlige nationale vilkår og allerede eksisterende

national lovgivning. Dette gælder i særlig grad listen over foranstalt-

ninger i artikel 11, hvor der i kompromisforslaget lægges op til, at

medlemsstaterne selv kan foretage en mere konkret vurdering af,

hvilke specifikke tekniske og organisatoriske foranstaltninger der skal

implementeres. Ligeledes har mange medlemsstater ønsket at fjerne

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

Kommissionens beføjelser til at gennemføre delegerede retsakter om

foranstaltningerne i artikel 11.

I forhold til sektorafgrænsningen har flere medlemsstater haft særlige

interesser, både i at tilføje nye sektorer (bl.a. affaldshåndtering og

fødevareproduktion) eller at fjerne visse sektorer i det oprindelige

forslag (særligt sektoren offentlig administration). I formandsskabets

seneste kompromisforslag lægges der op til, at offentlig administrati-

on (i praksis centraladministrationen og regionerne i Danmark) udgår

af direktivet, idet flere medlemsstater bl.a. har argumenteret for, at

det ikke er en sektor der opererer i det indre marked, og at der ikke

er afhængigheder mellem de offentlige sektorer på tværs af forskelli-

ge medlemsstater.

I forhold til samarbejdet mellem Kommissionen og medlemsstaterne

har flere medlemsstater været skeptiske overfor forslagets bestem-

melser om, at medlemsstaterne skal dele informationer om bl.a. stra-

tegier, nationale risikovurderinger, identificerede kritiske enheder og

hændelseshåndtering med Kommissionen. Flere medlemsstater har

lagt vægt på, at afrapporteringerne til Kommissionen foregår på et

overordnet niveau og med respekt for oplysningernes sikkerheds- og

forretningsmæssige følsomme karakter. Kompromisforslaget har taget

højde for disse ønsker, og de fleste medlemsstater ses at være enige

heri.

Endelig har der været drøftelser om en mulig undtagelsesbestemmel-

se, idet flere medlemsstater under forhandlingerne har lagt vægt på,

at det fremgår eksplicit, direktivet ikke påvirker medlemsstaternes

nationale kompetence i forhold til national sikkerhed mv.

10.

Regeringens generelle holdning

Regeringen betragter beskyttelsen af kritisk infrastruktur som en høj

sikkerhedspolitisk prioritet. Regeringen vurderer, at stigende tvær-

sektorielle og tværstatslige afhængigheder kombineret med et tilta-

gende komplekst risikobillede kalder på europæisk samarbejde.

Regeringen arbejder generelt for at styrke samfundets modstands-

dygtighed, og forslaget flugter i høj grad med regeringens syn på be-

skyttelse af kritisk infrastruktur.

Regeringen hilser på den baggrund Kommissionens forslag om en

styrkelse af modstandsdygtigheden i kritiske enheder velkommen,

idet regeringen betoner den nationale kompetence på området, og at

det generelt skal tilstræbes at begrænse økonomiske og administrati-

ve byrder.

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

Regeringen vurderer, at udvidelsen af antallet af sektorer, stærkere

og mere ensartede krav både nationalt og på virksomhedsplan samt

en skærpet tilsynsforpligtelse må forventes at styrke sikkerheden og

modstandsdygtigheden hos de aktører, der driver kritisk infrastruktur.

Regeringen lægger vægt på, at forslaget lægger op til en risikobase-

ret tilgang, hvori medlemsstaternes nationale kompetence respekte-

res, idet de enkelte medlemsstater ud fra egen national strategi og

risikovurdering skal udpege de enheder, der vurderes kritiske.

Regeringen lægger vægt på, at direktivet generelt kan implemente-

res, på en måde, som respekterer medlemslandenes eksisterende

administrative strukturer, og at der tages hensyn til allerede eksiste-

rende regulering og krav inden for ministerområdernes ansvarsområ-

der. Samtidig tages der forbehold for en eventuel horisontal gennem-

førelse af dele af direktivet, såfremt det vurderes at give økonomisk

og lovgivningsmæssig merværdi.

Regeringen lægger vægt på, at omkostningerne ved at styrke mod-

standsdygtigheden i kritiske enheder skal stå mål med gevinsterne

herved for både offentlige og private aktører. Regeringen lægger der-

for vægt på, at forslaget ikke medfører uforholdsmæssige økonomiske

byrder for staten og erhvervslivet, og at der sikres proportionalitet

mellem omkostningsniveau og merværdi. I den forbindelse finder re-

geringen det vigtigt, at direktivet fortsat tænkes tæt sammen med

forslag til NIS2-direktiv, således at de implementeringsmæssige kon-

sekvenser er mindst mulige for både den offentlige og private sektor.

Regeringen støtter formandskabets kompromisforslag, der i vid ud-

strækning bevarer kernen i Kommissionens oprindelige forslag. Det

vurderes fortsat, at forslaget vil styrke modstandsdygtigheden og

sikkerheden hos kritiske enheder. Kompromisforslaget indeholder

fortsat en risikobaseret tilgang, hvori der lægges vægt på medlems-

staternes nationale kompetence, og hvori det bl.a. fortsat er en mu-

lighed at implementere under hensyntagen til allerede eksisterende

strukturer, regulering og krav i sektorerne.

Regeringen støtter og lægger afgørende vægt på, at direktivets tekst

klart respekterer medlemsstaternes suverænitet i anliggender, som

vedrører national sikkerhed.

Regeringen ser positivt på, at kompromisforslaget har fjernet uklar-

heder og i forhold til de tre sektorer, som ikke er omfattet af alle di-

rektivets bestemmelser.

Rådsmøde nr. 3837 (retlige og indre anliggender) den 9. - 10. december 2021 - Bilag 2: Samlenotat vedr. rådsmøde RIA 9-10/12-21, pkt. 8

Regeringen finder det positivt, at Kommissionens beføjelser til at

gennemføre delegerede retsakter er fjernet. Regeringen lægger vægt

på, at der sker en præcisering og afgrænsning af bestemmelserne om

gennemførelsesretsakter, og at disse bør træde i kraft samtidig med

direktivet, af hensyn til klarhed for virksomheder over det samlede

regelsæt fra starten.

11. Tidligere forelæggelse for Folketingets Europaudvalg

Grund- og nærhedsnotat er oversendt d. 25. februar 2021.

Sagen har været forelagt til orientering den 4. marts 2021 forud for

møde i Rådet for retlige og indre anliggender d. 11.-12. marts 2021.

Samlenotat er oversendt d. 25. februar 2021.

Sagen har været forelagt til orientering den 3. juni 2021 forud for

møde i Rådet for retlige og indre anliggender d. 7.-8. juni 2021. Sam-

lenotat er oversendt d. 26. maj 2021.

Sagen har været forelagt til forhandlingsoplæg d. 18. november

2021. Samlenotat er oversendt d. 12. november 2021.