L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Klima-, Energi- og Forsyningsudvalget 2024-25
L 111 Bilag 1
Offentligt

Lovforslag nr.

L 123456

Folketinget 2024-25

Fremsat den 4. december 2024 af klima-, energi- og forsyningsministeren (Lars Aagaard)

Forslag

til

Lov om styrket beredskab i energisektoren

Kapitel 1

Formål, anvendelsesområde og definitioner

§ 1.

Lovens formål er at fastsætte en ramme for mod-

standsdygtighed og beredskab i forhold til naturskabte, men-

neskeskabte og teknologiske trusler, der kan true eller skade

energiforsyningen gennem regler om organisatorisk bered-

skab, fysisk sikring og cybersikkerhed for virksomheder i

energisektoren.

Stk. 2.

Loven har endvidere til formål at fastsætte en

ramme for myndighedstilsyn med overholdelsen af disse

regler og danne grundlag for samarbejde mellem virksomhe-

der, myndigheder samt øvrige organisationer, der varetager

roller i planlægningen af beredskabet og håndteringen af

beredskabshændelser i energisektoren.

§ 2.

Denne lov finder anvendelse på følgende typer af

virksomheder, jf. dog stk. 2 og 3:

Elektricitetsvirksomheder.

Distributionssystemoperatører.

Transmissionssystemoperatører.

Elproducenter.

Udpegede elektricitetsmarkedsoperatører.

Markedsdeltagere, der leverer tjenester, der vedrører

aggregering, fleksibelt elforbrug eller energilagring.

Operatører af ladepunkter, der er ansvarlige for for-

valtningen og driften af et ladepunkt, som leverer en

ladetjeneste til slutbrugere, herunder i en mobilitets-

tjenesteudbyders navn og på dennes vegne.

Operatører af fjernvarme eller fjernkøling.

Olierørledningsoperatører.

10) Operatører af olieproduktionsanlæg, -raffinaderier og

-behandlingsanlæg, olielagre og olietransmission.

Centrale lagerenheder.

Gasforsyningsvirksomheder.

Lagersystemoperatører.

LNG-systemoperatører.

Naturgasvirksomheder.

Operatører af naturgasraffinaderier og –behandlings-

anlæg.

17) Operatører inden for brintproduktion, -lagring og –

transmission.

18) Operatører af tankstationer, der er ansvarlige for for-

valtningen og driften af tankstationer.

19) Operatører af regionale koordinationscentre.

20) Operatører af bygasnet.

Stk. 2.

Loven finder dog kun anvendelse på typer af virk-

somheder efter stk. 1, som beskæftiger under 50 personer,

eller som har en årlig omsætning og en samlet årlig balance

på ikke over 10 mio. euro, såfremt virksomheden opfylder

én eller flere af følgende betingelser:

1) Leverer tjenester, der vedrører aggregering, fleksibelt

elforbrug eller energilagring med en kapacitet på 25

MW eller derover eller håndterer en kapacitet på 25

MW elforbrug eller derover eller 25 MW elproduktion

eller derover.

2) Opererer ladepunkter med en samlet kapacitet på 25

MW eller derover.

3) I 2 ud af de sidste 3 år har haft et årligt salg på mere

end 13,9 GWh fjernvarme eller fjernkøling.

4) Årligt producerer mere end 26 mio. Nm

gas eller inji-

cerer mere end 26 mio. Nm

gas i et gasnet.

5) Opererer olieterminaler eller olielagre med en kapacitet

på 100.000 m

eller derover.

11)

12)

13)

14)

15)

16)

Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om

foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU)

2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet), EU-Tidende 2022, nr. L 333, side 80 samt dele af Europa-Parlamentets

og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF

(CER-direktivet), EU-Tidende 2022, nr. L 333 side 164.

DokumentId

Journalnummer

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Opererer brintproduktion, der i sit tilslutningspunkt til

et kollektivt elnet har en kapacitet på 25 MW eller

derover.

7) Opererer én eller flere tankstationer, der sammenlagt

har et årligt salg af olieprodukter på 600.000 m

eller

derover, eller som opererer flere end 100 tankstationer

på nationalt plan.

8) Har en positiv lagringspligt efter olieberedskabsloven

eller regler udstedt i medfør af loven.

Stk. 3.

Lovens kapitel 5 om baggrundskontrol og sikker-

hedsgodkendelser, finder endvidere anvendelse på aktører

og virksomheder, der ikke omfattes af stk. 1 og 2, men som

varetager opgaver som direkte led i eller i forbindelse med

leveringen af de tjenester og aktiviteter, der varetages af

virksomhedstyperne opregnet i stk. 1.

Stk. 4.

Loven finder anvendelse på land- og søterritoriet, i

den danske eksklusive økonomiske zone samt på den danske

kontinentalsokkel, jf. dog stk. 5.

Stk. 5.

Loven finder ikke anvendelse på transmissionssy-

stemer på søterritoriet, i den eksklusive økonomiske zone og

på den danske kontinentalsokkel, der ikke har tilslutning til

danske forsyningsnet.

§ 3.

I denne lov forstås ved:

Aggregering: Funktion, der varetages af en fysisk el-

ler juridisk person, der samler flere kunders forbrug

eller producerede elektricitet til salg, køb eller auktion

på et elektricitetsmarked. Aggregering er ikke leve-

ring af elektricitet.

Centrale lagerenheder: Organ eller tjeneste, som er til-

delt beføjelser til at handle med henblik på at erhver-

ve, holde eller sælge olielagre, herunder beredskabsla-

ger og specifikke lagre.

Cybersikkerhed: De aktiviteter, der er nødvendige for

at beskytte net- og informationssystemer, brugerne af

sådanne systemer og andre personer berørt af cyber-

trusler.

Cybertrussel: Enhver potentiel omstændighed, begi-

venhed eller handling, som kan skade, forstyrre eller

på anden måde have en negativ indvirkning på net- og

informationssystemer, brugerne af sådanne systemer

og andre personer.

Distributionssystemoperatører: En fysisk eller juridisk

person, der er ansvarlig for driften, vedligeholdelsen

og om nødvendigt udbygningen af distributionssyste-

met i et givet område samt i givet fald dets sammen-

koblinger med andre systemer og for at sikre, at sy-

stemet på lang sigt kan tilfredsstille en rimelig efter-

spørgsel efter distribution af elektricitet eller gas.

Elektricitetsvirksomheder: En fysisk eller juridisk per-

son, der driver mindst en af følgende former for virk-

somhed: produktion, transmission, distribution, aggre-

gering, fleksibelt elforbrug, energilagring, levering el-

ler køb af elektricitet, og som er ansvarlig for de

kommercielle, tekniske eller vedligeholdelsesmæssige

opgaver i forbindelse med disse aktiviteter, men som

ikke er slutkunde der varetager salg, herunder videre-

salg, af elektricitet til kunder.

10)

11)

12)

13)

14)

15)

16)

17)

18)

Elproducenter: En fysisk eller juridisk person, der

fremstiller elektricitet.

Energilagring: I elektricitetssystemet, udsættelse af

den endelige anvendelse af elektricitet til et senere

tidspunkt end det, hvor den blev produceret, eller kon-

vertering af elektrisk energi til en energiform, der kan

lagres, lagringen af sådan energi og den efterfølgende

rekonvertering af sådan energi til elektrisk energi eller

anvendelse som anden energibærer.

Fleksibelt elforbrug: Ændringer i en slutkundes elfor-

brug i forhold til det normale eller aktuelle forbrugs-

mønster som reaktion på markedssignaler, herunder

som reaktion på tidspunktafhængige elpriser eller fi-

nansielle incitamenter, eller som reaktion på accept

af slutkundens bud om at sælge en forbrugsreduktion

eller -forøgelse til en bestemt pris på et organiseret

marked, hvad enten dette sker alene eller gennem ag-

gregering.

Gasforsyningsvirksomheder: Enhver fysisk eller jurid-

isk person, der varetager forsyningsopgaven.

Hændelse: En begivenhed, der har potentiale til i be-

tydelig grad at forstyrre, eller som forstyrrer, leverin-

gen af en væsentlig tjeneste, herunder når den påvir-

ker de nationale systemer, der sikrer retsstatsprincip-

pet, herunder en begivenhed, der bringer tilgængelig-

heden, autenticiteten, integriteten eller fortroligheden

af lagrede, overførte eller behandlede data eller af de

tjenester, der tilbydes af eller er tilgængelige via net-

og informationssystemer, i fare.

Håndtering af hændelser: Enhver handling og proce-

dure, der tager sigte på at forebygge, opdage, analyse-

re og inddæmme eller at reagere på og reetablere sig

efter en hændelse.

IKT-proces: Aktiviteter, der udføres for at udforme,

udvikle, levere eller vedligeholde et IKT-produkt eller

en IKT-tjeneste.

IKT-produkt: Et element eller en gruppe af elementer i

net- og informationssystemer.

IKT-tjeneste: En tjeneste, der helt eller hovedsageligt

består af overførsel, lagring, indhentning eller behand-

ling af oplysninger ved hjælp af net- og informations-

systemer.

Lagersystemoperatører: Enhver fysisk eller juridisk

person, der foretager oplagring af gas og er ansvarlig

for driften af en gaslagerfacilitet.

LNG-systemoperatører: Enhver fysisk eller juridisk

person, der varetager funktionen med at gøre naturgas

flydende eller varetager import, losning og forgasning

af LNG og er ansvarlig for driften af en LNG-facilitet.

Markedsdeltagere, der leverer tjenester, der vedrører

aggregering, fleksibelt elforbrug eller energilagring:

En fysisk eller juridisk person, der køber, sælger eller

producerer elektricitet, der udfører aggregering, eller

der er en operatør af tjenester vedrørende fleksibelt el-

forbrug eller energilagringstjenester, herunder ved af-

givelse af handelsordrer, på et eller flere elektricitets-

markeder, herunder på balanceringsenergimarkeder.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

19)

20)

21)

22)

23)

24)

25)

Modstandsdygtighed: En enheds evne til at forebygge,

beskytte mod, reagere på, modstå, afbøde, absorbere,

tilpasse sig og sikre genopretning efter en hændelse.

Naturgasvirksomheder: Enhver fysisk eller juridisk

person, der driver mindst en af følgende former for

virksomhed: produktion, transmission, distribution,

forsyning, køb eller oplagring af naturgas, herunder

LNG, og som er ansvarlig for de kommercielle, tek-

niske eller vedligeholdelsesmæssige opgaver i forbin-

delse med disse aktiviteter, men som ikke er endelig

kunde.

Net- og informationssystem:

a) Et elektronisk kommunikationsnet, hvorved for-

stås transmissionssystemer, uanset om de bygger

på en permanent infrastruktur eller centraliseret

administrationskapacitet, og, hvor det er relevant,

koblings- og dirigeringsudstyr og andre ressour-

cer, herunder netelementer, der ikke er aktive, som

gør det muligt at overføre signaler ved hjælp af

trådforbindelse, radiobølger, lyslederteknik eller

andre elektromagnetiske midler, herunder satellit-

net, jordbaserede fastnet og mobilnet, elkabelsy-

stemer, i det omfang de anvendes til transmission

af signaler, net, som anvendes til radio- og tv-

spredning, samt kabel-tv-net, uanset hvilken type

information der overføres.

b) Enhver anordning eller gruppe af forbundne eller

beslægtede anordninger, hvoraf en eller flere ved

hjælp af et program udfører automatisk behand-

ling af digitale data.

c) Digitale data, som lagres, behandles, fremfindes

eller overføres af elementer i litra a) og b) med

henblik på deres drift, brug, beskyttelse og vedli-

geholdelse.

Nærvedhændelse: En begivenhed, der kunne have

bragt tilgængeligheden, autenticiteten, integriteten el-

ler fortroligheden af lagrede, overførte eller behandle-

de data eller af de tjenester, der tilbydes af eller er

tilgængelige via net- og informationssystemer, i fare,

men som det lykkedes at forhindre, eller som ikke

materialiserede sig.

Operatører af fjernvarme eller fjernkøling: Operatø-

rer af distribution af termisk energi i form af damp,

varmt vand eller afkølede væsker fra centrale eller

decentrale produktionssteder gennem et net til flere

bygninger eller anlæg til anvendelse ved rum- eller

procesopvarmning eller –køling.

Organiseret marked:

a) Et multilateralt system, der samler eller faciliterer

samlingen af flere tredjeparters købs- og salgsin-

teresser i engrosenergiprodukter på en måde, der

fører til indgåelse af en kontrakt.

b) Ethvert andet system eller enhver anden facilitet,

hvor flere købs- og salgsinteresser i engrosenergi-

produkter tilhørende tredjeparter kan interagere på

en måde, der fører til indgåelse af en kontrakt.

Regionalt koordinationscenter: Et regionalt koordina-

tionscenter, som oprettes i Danmark i henhold til ar-

26)

27)

28)

29)

30)

31)

32)

tikel 35 i Europa-Parlamentets og Rådets forordning

om det indre marked for elektricitet.

Risiko: Potentialet for tab eller forstyrrelse som følge

af en hændelse, udtrykt som en kombination af stør-

relsen af et sådant tab eller en sådan forstyrrelse og

sandsynligheden for, at hændelsen indtræffer.

Risikovurdering: Den samlede proces med henblik på

at bestemme arten og omfanget af en risiko ved at

identificere og analysere potentielle relevante trusler,

sårbarheder og farer, der kunne føre til en hændelse,

og ved at evaluere det potentielle tab eller den potenti-

elle forstyrrelse af leveringen af en væsentlig tjeneste

forårsaget af denne hændelse.

Transmissionssystemoperatører: En fysisk eller jurid-

isk person, der er ansvarlig for driften, vedligeholdel-

sen og om nødvendigt udbygningen af transmissions-

systemet i et givet område samt i givet fald dets sam-

menkoblinger med andre systemer og for at sikre, at

systemet på lang sigt kan tilfredsstille en rimelig efter-

spørgsel efter transmission af elektricitet eller gas.

Udpegede elektricitetsmarkedsoperatører: En mar-

kedsoperatør, der af Forsyningstilsynet er blevet udpe-

get til at udføre opgaver i forbindelse med den fælles

day-ahead- eller intraday-kobling.

Virksomheder: En fysisk eller juridisk person, der er

oprettet og anerkendt som sådan i henhold til den

nationale ret på det sted, hvor den er etableret, og som

i eget navn kan udøve rettigheder og være underlagt

forpligtelser.

Væsentlig cybertrussel: En cybertrussel, som på

grundlag af sine tekniske karakteristika kan antages

at have potentiale til at få alvorlig indvirkning på en

enheds net- og informationssystemer eller på brugerne

af enhedens tjenester ved at forårsage betydelig mate-

riel eller immateriel skade.

Væsentlig tjeneste: En tjeneste, der er afgørende for

opretholdelsen af vitale samfundsmæssige funktioner,

økonomiske aktiviteter, folkesundhed og offentlig sik-

kerhed eller miljøet.

Kapitel 2

Identificering og kategorisering af virksomheder

§ 4.

Klima-, energi- og forsyningsministeren identificerer

kritiske virksomheder, kritiske systemer og anlæg omfattet

af loven, der anvendes til at levere virksomhedernes tjene-

ster.

Stk. 2.

Klima-, energi- og forsyningsministeren kategori-

serer endvidere virksomheder, deres systemer og anlæg om-

fattet af loven, der anvendes til at levere virksomhedernes

tjenester.

Stk. 3.

Klima- energi-, og forsyningsministeren fastsætter

nærmere regler om identifikation og kategorisering af virk-

somheder samt systemer og anlæg, som anvendes til at leve-

re virksomhedernes tjenester efter stk. 1 og 2.

§ 5.

En virksomhed er en kritisk enhed af særlig europæ-

isk betydning, når virksomheden opfylder følgende betingel-

ser:

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Er blevet identificeret som kritisk virksomhed efter § 4,

stk. 1.

2) Leverer de samme eller lignende væsentlige tjenester

til eller i seks eller flere medlemsstater.

Stk. 2.

Klima-, energi- og forsyningsministeren underret-

ter virksomheder om, at de betragtes som kritiske enheder af

særlig europæisk betydning i energisektoren i medfør af reg-

lerne i artikel 17 i Europa-Parlamentets og Rådets direktiv

(EU) 2022/2557 af 14. december 2022 om kritiske enheders

modstandsdygtighed og om ophævelse af Rådets direktiv

2008/114/EF (CER-direktivet).

Stk. 3.

Klima-, energi- og forsyningsministeren fastsætter

nærmere regler om udpegelsen af kritiske enheder af særlig

europæisk betydning.

Stk. 4.

Klima-, energi- og forsyningsministeren kan fast-

sætte regler om særlige forpligtelser for virksomheder, der

er kritiske enheder af særlig europæisk betydning.

Kapitel 3

Virksomheders modstandsdygtighed og beredskab

Organisatorisk beredskab

§ 6.

Virksomheder omfattet af denne lov skal foretage

nødvendig beredskabsplanlægning og gennemføre passende

organisatoriske foranstaltninger for at beskytte leveringen

af deres tjenester og sikre effektiv genoprettelse af deres

tjenester.

Stk. 2.

Klima-, energi- og forsyningsministeren fastsætter

efter forhandling med ministeren for samfundssikkerhed og

beredskab nærmere regler om beredskabsplanlægning og

foranstaltninger efter stk. 1, herunder om følgende:

Ledelsespligter, herunder krav om godkendelse af

virksomhedens risiko- og sårbarhedsvurdering samt

beredskabsplaner, tilsynsrapporter og leverandørkon-

trakter, samt virksomhedens overblik over forsynings-

kæder og forsyningssikkerhed af kritiske ressourcer.

At ledelsesorganer skal tilegne sig viden og kundska-

ber inden for risiko- og sårbarhedsstyring.

Identifikations- og adgangskontrolpolitikker for be-

skyttelse mod uautoriseret adgang.

Udpegelse af personer til at varetage specifikke bered-

skabsroller.

Politikker for informationssystemsikkerhed.

Politikker for og udarbejdelse af risiko- og sårbar-

hedsvurderinger, som omfatter nyindkøb, projekter og

etablering af net- og informationssystemer og anlæg.

Forsyningskædesikkerhed, herunder sikkerhedsrelate-

rede aspekter vedrørende forholdene mellem virksom-

heden og dens direkte leverandører eller tjenesteudby-

dere.

Beredskabsplaner og beredskabsplanlægning for

håndtering af hændelser.

Øvelsesplanlægning, herunder afholdelse af øvelser

og træning af beredskabsforanstaltninger.

10) Beredskabstræning, cybersikkerhedsadfærd- og sik-

kerhedsuddannelse af ansatte i virksomheden.

11) Kapacitet til at modtage og videreformidle advarsler

om trusler.

12)

Tilmelding til en it-sikkerhedstjeneste.

Fysisk sikring

§ 7.

Virksomheder omfattet af denne lov skal træffe pas-

sende foranstaltninger for at opretholde nødvendig fysisk

sikring af lokationer og anlæg, der bruges til at levere virk-

somhedens tjenester, eller hvorfra drift af net- og informati-

onssystemer finder sted.

Stk. 2.

Klima-, energi- og forsyningsministeren fastsætter

nærmere regler om fysisk sikring efter stk. 1, herunder om

følgende:

1) Forhindring af, at hændelser indtræffer under behørig

hensyntagen til katastroferisikoreduktions- og klimatil-

pasningsforanstaltninger.

2) Etablering af foranstaltninger til overvågning, detektion

og reaktion i forbindelse med uautoriseret adgang til og

på anlæg og lokationer.

3) Tilstrækkelig fysisk sikring af virksomhedens anlæg

og lokationer, herunder kontrolrum og kontrolrummets

arbejdsstationer.

4) Håndtering af hændelser og genopretning efter hændel-

ser.

5) Medarbejdersikkerhedsstyring.

Cybersikkerhed

§ 8.

Virksomheder, omfattet af denne lov, skal foretage

nødvendig planlægning og træffe passende cybersikkerheds-

foranstaltninger for at sikre beskyttelsen af net- og informa-

tionssystemer, der bruges til at levere virksomhedens tjene-

ster.

Stk. 2.

Klima-, energi- og forsyningsministeren fastsætter

efter forhandling med ministeren for samfundssikkerhed og

beredskab nærmere regler for cybersikkerhedsforanstaltnin-

ger efter stk. 1, herunder om følgende:

Forvaltning af net- og informationssystemer og pas-

sende teknisk sikkerhed til beskyttelse af enheder med

adgang til virksomhedens netværk.

Etablering af netværks- og infrastruktursikkerhed,

herunder principper for netværksarkitektur og -topo-

logi med henblik på at minimere risici for virksomhe-

dens net- og informationssystemer.

Sikkerhedskrav til geografisk placering af drift af net-

og informationssystemer.

Sikkerhed i forbindelse med erhvervelse, udvikling og

vedligeholdelse af net- og informationssystemer.

Backup-styring og genopretning af net- og informati-

onssystemer til sikring af driftskontinuitet for leverin-

gen af tjenesten.

Etablering af logning til at understøtte alarmer, efter-

forskningsarbejde, hændelseshåndtering og monitore-

ring af uregelmæssigheder i net- og informationssy-

stemer.

Etablering af procedurer for løbende kontrol af cyber-

sikkerheden i og omkring net- og informationssyste-

mer.

Brug af sikret tale-, video- og tekstkommunikation og

sikrede nødkommunikationssystemer.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

10)

11)

Brug af kryptering samt politikker og procedurer, der

skal understøtte sikkerheden og fortroligheden af net-

og informationssystemer, der er kritiske for leveringen

af virksomhedens tjenester.

Brug af multifaktorautentificering eller kontinuerlig

autentificering og adgangsbeskyttelse til sikring mod

uautoriseret adgang til virksomhedernes net- og infor-

mationssystemer.

Foranstaltninger til forebyggelse og håndtering af

hændelser.

§ 13.

Klima-, energi- og forsyningsministeren kan fast-

sætte regler om virksomheders pligt til at underrette modta-

gere af deres tjenester, myndigheder eller juridiske personer,

som udfører myndighedsopgaver om trusler eller hændelser,

der kan påvirke eller har potentiale til at påvirke virksomhe-

dens levering af tjenester.

§ 14.

Klima-, energi- og forsyningsministeren kan efter

høring af en virksomhed, der er eller kan blive ramt af en

hændelse, informere offentligheden om hændelsen, hvis det

er nødvendigt for at forebygge eller håndtere hændelsen,

eller hvor informeringen af offentligheden om hændelsen på

anden måde er i offentlighedens interesse.

Stk. 2.

Klima-, energi- og forsyningsministeren kan i si-

tuationer efter stk. 1 påbyde virksomheder at informere of-

fentligheden om hændelsen.

§ 15.

Enhver kan underrette Klima-, Energi- og Forsy-

ningsministeriet om væsentlige hændelser, cybertrusler og

nærvedhændelser, der negativt påvirker eller vurderes at

kunne påvirke tilgængelighed, integritet eller fortrolighed

af data, informationssystemer, digitale netværk eller digitale

servicer i energisektoren.

Stk. 2.

Klima-, energi- og forsyningsministeren skal uden

unødigt ophold videresende underretninger efter stk. 1 til det

danske Computer Incident Response Team.

Kapitel 5

Baggrundskontrol og sikkerhedsgodkendelse

§ 16.

Klima-, energi- og forsyningsministeren kan efter

forhandling med justitsministeren fastsætte regler om på

hvilke betingelser, at virksomheder kan få foretaget bag-

grundskontrol af personer i energisektoren, der:

1) Varetager følsomme opgaver i eller til fordel for virk-

somheden, navnlig vedrørende virksomhedens mod-

standsdygtighed.

2) Er bemyndiget til at få direkte adgang, indirekte ad-

gang eller fjernadgang til virksomhedens enheds loka-

ler, oplysninger eller kontrolsystemer, herunder i for-

bindelse med virksomhedens sikkerhed.

3) Overvejes ansat i stillinger, der indebærer opgavevare-

tagelse efter nr. 1 eller 2.

Stk. 2.

Klima-, energi- og forsyningsministeren kan ef-

ter forhandling med justitsministeren og ministeren for sam-

fundssikkerhed og beredskab fastsætte regler om, at person-

er, der er omfattet af stk. 1, skal sikkerhedsgodkendes af

Klima-, Energi- og Forsyningsministeriet. Klima-, energi-

og forsyningsministeren kan endvidere efter forhandling

med justitsministeren og ministeren for samfundssikkerhed

og beredskab fastsætte regler om ansøgninger vedrørende

sikkerhedsgodkendelser, herunder betingelser for indgivelse

af sådanne ansøgninger samt meddelelse og tilbagekaldelse

af sikkerhedsgodkendelser.

Kapitel 6

Gebyrer

§ 17.

Virksomheder betaler halvårligt et fast beløb til

Klima-, Energi- og Forsyningsministeriet til dækning af om-

§ 9.

Klima-, energi- og forsyningsministeren kan, efter

forhandling med ministeren for samfundssikkerhed og be-

redskab, fastsætte regler om, at virksomheder skal anvende

særlige IKT-produkter, -tjenester og -processer, der er udvik-

let af virksomheden eller indkøbt fra tredjeparter, og som

er certificeret i henhold til en europæisk cybersikkerheds-

certificeringsordning for at påvise overensstemmelse med

bestemte krav i § 8, stk. 1, eller i regler om krav til foran-

staltninger fastsat i medfør af § 8, stk. 2.

Koordinerende og operative opgaver

§ 10.

Klima-, energi- og forsyningsministeren fastsætter

regler om ministerens og Energinets varetagelse af koordi-

nerende planlægningsmæssige og operative opgaver vedrø-

rende beredskab, jf. §§ 6-8.

Sektorberedskabsniveauer og

sektorberedskabsforanstaltninger

§ 11.

Klima-, energi- og forsyningsministeren kan i en be-

redskabssituation omfattende sikkerhedsrelaterede hændel-

ser fastsætte og udmelde sektorberedskabsniveauer for hele

energisektoren eller én eller flere delsektorer.

Stk. 2.

Klima-, energi- og forsyningsministeren kan i en

beredskabssituation omfattende sikkerhedsrelaterede hæn-

delser fastsætte og pålægge sektorberedskabsforanstaltnin-

ger for hele energisektoren, delsektorer, én eller flere virk-

somheder og for bestemte anlæg.

Stk. 3.

Klima-, energi- og forsyningsministeren kan i en

beredskabssituation bestemme, at de i stk. 2 nævnte foran-

staltninger samt andre foranstaltninger, der skal foretages

efter loven eller regler udstedt i medfør af loven, midler-

tidigt skal intensiveres og suppleres med yderligere foran-

staltninger for at sikre en hurtig, koordineret og prioriteret

krisehåndtering, herunder gennemførelse af myndighedernes

beslutninger i den nationale krisehåndtering.

Stk. 4.

Energinet kan i en beredskabssituation omfattende

sikkerhedsrelaterede hændelser i særlige tilfælde, hvor kli-

ma-, energi- og forsyningsministeren ikke kan fastsætte og

udmelde sektorberedskabsniveauer og foranstaltninger efter

stk. 1- 3 varetage opgaven på ministerens vegne.

Kapitel 4

Underretningspligt

§ 12.

Klima-, energi- og forsyningsministeren kan fast-

sætte regler om underretning og indrapportering af hændel-

ser, væsentlige cybertrusler og nærvedhændelser.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

kostninger til tilsyn med virksomheder efter reglerne i denne

lov eller efter regler udstedt i medfør af loven.

Stk. 2.

Virksomheder betaler for ad-hoc-tilsyn halvårligt et

beløb til Klima-, Energi- og Forsyningsministeriet til dæk-

ning af omkostningerne for ad-hoc-tilsynet med virksomhe-

den efter reglerne i denne lov eller efter regler udstedt i

medfør af loven.

Stk. 3.

Klima-, energi- og forsyningsministeren fastsætter

regler om størrelse, betaling og opkrævning af beløb efter

stk. 1 og 2, herunder om fordelingen af omkostningerne på

kategorier af virksomheder.

§ 18.

Virksomheder betaler for indgivelse af ansøgninger

og dispensationer et beløb for behandling heraf efter regler-

ne i denne lov eller efter regler udstedt i medfør af loven.

Stk. 2.

Klima-, energi- og forsyningsministeren fastsætter

regler om størrelse, betaling og opkrævning af beløb efter

stk. 1.

Kapitel 7

Tilsyn

§ 19.

Klima-, energi- og forsyningsministeren fører tilsyn

med, at virksomhederne opfylder deres forpligtelser i hen-

hold til loven og regler udstedt i medfør af loven.

Stk. 2.

Klima-, Energi og Forsyningsministeriet kan som

led i sin tilsynsforpligtelse anvende følgende tilsyns- og

kontrolforanstaltninger:

1) Foretage tilsyn og kontrol hos virksomheden ved at

inspicere de lokaler, som virksomheden bruger til at

levere sine tjenester og foretage stikprøvekontroller.

2) Foretage regelmæssige kontrol- og tilsynsbesøg hos

virksomheder.

3) Foretage ad hoc-tilsyn.

4) Foretage sikkerhedsscanninger og penetrationstest af

virksomhedens net- og informationssystemer samt fysi-

ske lokationer.

5) Kræve at få udleveret oplysninger og dokumentation,

der er nødvendige for at vurdere foranstaltningerne

vedrørende organisatorisk beredskab, fysisk sikring og

cybersikkerhed, som virksomheden har indført efter lo-

ven og regler udstedt i medfør af loven.

6) Kræve at få adgang til data, dokumenter og oplysnin-

ger, der er nødvendige for udførelsen af tilsynsopga-

ven, herunder til afgørelse af om et forhold er omfattet

af denne lov eller regler udstedt i medfør af loven.

Stk. 3.

Klima-, Energi- og Forsyningsministeriet er an-

svarlig for eventuelle skader, som en virksomhed måtte lide

i forbindelse med scanninger og tests efter stk. 2, nr. 4.

Stk. 4.

Klima-, energi- og forsyningsministeren kan fast-

sætte nærmere regler om tilsyn og kontrol af virksomhe-

derne, herunder omfanget, udførelsen og hyppigheden af

tilsyns- og kontrolbesøg.

Stk. 5.

Klima-, energi- og forsyningsministeren kan fast-

sætte regler om udlevering af materiale til brug for tilsyn

samt formkrav hertil, herunder om hvilke sprog materialet

skal udarbejdes på.

§ 20.

Rådgivende missioner, som er nedsat i medfør af

Europa-Parlamentets og Rådets direktiv om kritiske enhe-

ders modstandsdygtighed, kan efter tilladelse fra klima-,

energi- og forsyningsministeren vurdere de foranstaltninger,

som virksomheder der er kritiske enheder af særlig europæ-

isk betydning efter § 5, stk. 1, for at opfylde sine forpligtel-

ser i henhold til loven og regler udstedt i medfør heraf.

Stk. 2.

Rådgivende missioner kan anvende tilsynsforan-

staltninger efter § 19, stk. 2, nr. 1 og 5 i det omfang det er

nødvendigt for at gennemføre den pågældende rådgivende

mission.

Stk. 3.

Klima-, energi og forsyningsministeren kan træffe

afgørelse om at begrænse rådgivende missioners tilsynsfor-

anstaltninger efter § 19, stk. 2, nr. 1 og 5, i det omfang,

det er nødvendigt til beskyttelse af væsentlige hensyn til

følgende:

1) Statens sikkerhed eller rigets forsvar.

2) Rigets udenrigspolitiske eller udenrigsøkonomiske in-

teresser, herunder forholdet til fremmede magter eller

mellemfolkelige institutioner.

3) Private og offentlige interesser, hvor hemmeligholdelse

efter forholdets særlige karakter er påkrævet.

Kapitel 8

Påbud og forbud

§ 21.

Klima-, energi- og forsyningsministeren kan over

for en virksomhed omfattet af denne lov anvende følgende

påbud og forbud:

1) Påbyde virksomheden at træffe foranstaltninger, der er

nødvendige for at forhindre eller afhjælpe en hændelse.

2) Meddele påbud og forbud, der anses nødvendige for

at sikre overholdelsen af krav fastsat i loven og regler

udstedt i medfør af loven.

3) Påbyde virksomheden at underrette de fysiske eller ju-

ridiske personer, til hvilke den leverer tjenester eller

udfører aktiviteter, som potentielt kan være berørt af en

væsentlig cybertrussel, om denne trussels karakter samt

om eventuelle beskyttelsesforanstaltninger eller afhjæl-

pende foranstaltninger, som de fysiske eller juridiske

personer kan træffe som reaktion på denne trussel.

4) Påbyde virksomheden, at udpege en person med ansvar

for i en nærmere fastsat periode at føre tilsyn med virk-

somhedens overholdelse af §§ 6-9 og §§ 12-14, samt

regler udstedt i medfør heraf.

5) Påbyde virksomheden, at offentliggøre afgørelser om

påbud eller forbud efter nr. 1-4 samt resumeer af dom-

me eller bødeforlæg, hvor der idømmes eller vedtages

en bøde, i ikke-anonymiseret form og på en nærmere

angiven måde.

§ 22.

Klima-, energi- og forsyningsministeren kan ved

manglende opfyldelse af påbud efter § 21 påbyde virksom-

heder at få foretaget en revision af net- og informationsfor-

anstaltninger, modstandsdygtighedsforanstaltninger og kriti-

ske systemer ved en uafhængig revisor. Udgifterne til revisi-

onen afholdes af virksomheden.

Stk. 2.

Klima-, energi- og forsyningsministeren kan påby-

de virksomheder at gennemføre tiltag, som på baggrund af

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

en revision efter stk. 1, vurderes nødvendige for at oprethol-

de et tilstrækkeligt beredskab.

Stk. 3.

Klima-, energi- og forsyningsministeren kan fast-

sætte nærmere regler om, hvordan den uafhængige revisor

efter stk. 1 udpeges og godkendes samt omfanget af revisio-

nen.

§ 23.

Overtræder en virksomhed et påbud eller forbud,

der er meddelt i medfør af § 21, nr. 1-4, og § 22, stk. 1

og 2, kan klima-, energi- og forsyningsministeren fastsætte

en frist, inden for hvilken virksomheden skal foretage de

nødvendige tiltag for at afhjælpe manglerne eller opfylde

myndighedernes krav. Er tiltagene ikke foretaget inden for

den fastsatte frist, kan klima-, energi- og forsyningsministe-

ren træffe afgørelse om:

1) Midlertidigt at suspendere en certificering eller god-

kendelse vedrørende dele af eller alle de relevante tje-

nester, virksomheden leverer, eller aktiviteter, der udfø-

res af virksomheden.

2) Midlertidigt at forbyde enhver fysisk person med ledel-

sesansvar på niveau med administrerende direktør eller

den juridiske repræsentant hos virksomheden at udøve

ledelsesfunktioner i den pågældende virksomhed.

Stk. 2.

Midlertidige suspensioner eller forbud, som er på-

lagt i medfør af stk. 1, kan kun anvendes, indtil virksomhe-

den træffer de nødvendige foranstaltninger til at afhjælpe de

mangler eller til at opfylde de krav, som gav anledning til, at

foranstaltningerne blev anvendt.

Stk. 3.

En afgørelse efter stk. 1 kan af virksomheden eller

den fysiske person, afgørelsen vedrører, forlanges indbragt

for domstolene. Klima-, energi- og forsyningsministeren an-

lægger i givet fald sag mod den virksomhed eller person,

som har forlangt sagen indbragt.

Stk. 4.

Klima-, energi- og forsyningsministeren kan efter

forhandling med ministeren for samfundssikkerhed og be-

redskab fastsætte nærmere regler om, hvilke certificeringer

og godkendelser der er omfattet af stk. 1, nr. 1.

§ 24.

Inden klima-, energi- og forsyningsministeren træf-

fer afgørelse om at anvende håndhævelsesforanstaltninger

efter §§ 21-23, underrettes den berørte virksomhed om de

påtænkte påbud eller forbud samt begrundelsen herfor. Kli-

ma- energi- og forsyningsministeren skal give virksomheden

en rimelig frist til at fremsætte bemærkninger, medmindre

formålet med foranstaltningen herved ville forspildes.

Kapitel 9

Gensidig bistand om cybersikkerhed

§ 25.

Klima-, energi og forsyningsministeren samarbejder

med andre medlemsstaters kompetente myndigheder i rele-

vant omfang, når en virksomhed leverer tjenester i mere end

én medlemsstat i Den Europæiske Union, eller hvor virk-

somheden leverer tjenester i én eller flere medlemsstater, og

virksomhedens net- og informationssystemer er beliggende

i én eller flere andre medlemsstater. Samarbejdet indebærer

at:

1) Klima-, energi- og forsyningsministeren via det centra-

le kontaktpunkt, der er udpeget af regeringen i med-

før af, Europa-Parlamentets og Rådets direktiv om for-

anstaltninger til sikring af et højt fælles cybersikker-

hedsniveau i hele Unionen, underretter de kompetente

myndigheder i relevante medlemsstater om anvendte

tilsyns- og håndhævelsesforanstaltninger.

2) Klima-, energi- og forsyningsministeren kan anmode

en anden medlemsstats kompetente myndigheder om at

anvende tilsyns- og håndhævelsesforanstaltninger.

3) Klima-, energi- og forsyningsministeren i rimeligt om-

fang yder bistand til en anden medlemsstats kompeten-

te myndighed efter modtagelse af en begrundet anmod-

ning herom.

Stk. 2.

Klima-, Energi- og Forsyningsministeriet kan ef-

ter nærmere aftale med kompetente myndigheder fra andre

medlemsstater i Den Europæiske Union gennemføre fælles

tilsynstiltag.

Kapitel 10

Fortrolighed, udveksling af oplysninger og digital

kommunikation

§ 26.

Informationer om sikkerhedsgodkendelse og bag-

grundskontrol samt forhold vedrørende organisatorisk be-

redskab, fysisk sikring og cybersikkerhed i virksomheder,

der er omfattet af loven, eller informationer om energisek-

toren generelt, som udarbejdes i medfør af denne lov, er

fortrolige i følgende tilfælde:

1) Informationerne indgår i vurderingen af sikkerhedsgod-

kendelser.

2) Informationerne indgår i vurderingen af baggrundskon-

trol.

3) Informationerne er væsentlige af hensyn til driften af

virksomheden.

4) Informationerne er væsentlige af hensyn til driften af

andre virksomheder omfattet af loven.

5) Informationerne er væsentlige af hensyn til driften af

energiforsyningen lokalt, regionalt, nationalt eller på

europæisk niveau.

Stk. 2.

Klima-, energi- og forsyningsministeren fastsætter

nærmere regler om, hvordan virksomheder og myndigheder

behandler informationer som nævnt i stk. 1.

§ 27.

Underretning efter § 15 er undtaget fra aktindsigt

efter lov om offentlighed i forvaltningen og partsaktindsigt

efter forvaltningsloven.

§ 28.

Klima-, Energi- og Forsyningsministeriet og andre

relevante myndigheder kan videregive oplysninger til andre

medlemsstaters myndigheder og til institutioner i Den Euro-

pæiske Union for at varetage myndighedsopgaver i medfør

af denne lov, Europa-Parlamentets og Rådets direktiv om

foranstaltninger til sikring af et højt fælles cybersikkerheds-

niveau i hele Unionen og Europa-Parlamentets og Rådets

direktiv om kritiske enheders modstandsdygtighed.

§ 29.

De forpligtelser, der er fastsat i denne lov eller i

regler udstedt i medfør af loven, omfatter ikke meddelelse

af oplysninger, når videregivelse ville stride mod væsentlige

interesser af hensyn til den nationale sikkerhed, offentlige

sikkerhed eller forsvar.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Stk. 2.

Oplysninger, der modtages eller hidrører fra myn-

digheder i andre EU-medlemsstater, behandles som fortroli-

ge, såfremt den afgivende myndighed betragter oplysninger-

ne som fortrolige i henhold til EU-regler eller nationale

regler.

§ 30.

Klima-, energi- og forsyningsministeren kan fast-

sætte regler om digital kommunikation, herunder om anven-

delsen af bestemte it-systemer og særlige digitale formater

samt digital signatur eller lignende.

Kapitel 11

Klageadgang og domstolsprøvelse m.v.

§ 31.

Energiklagenævnet behandler klager over afgørelser

truffet af klima-, energi- og forsyningsministeren eller anden

statslig myndighed efter denne lov eller regler udstedt i

medfør af loven.

Stk. 2.

Afgørelser nævnt i stk. 1 kan ikke indbringes for

anden administrativ myndighed end Energiklagenævnet. Af-

gørelserne kan ikke indbringes for domstolene, før den en-

delige administrative afgørelse foreligger, jf. dog § 23, stk.

Stk. 3.

Klage efter stk. 1 skal være indgivet skriftligt til

Energiklagenævnet inden 4 uger fra tidspunktet, hvor afgø-

relsen er meddelt. Er afgørelsen offentliggjort, regnes fristen

dog fra offentliggørelsen. Udløber klagefristen på en lørdag,

søndag eller helligdag, forlænges fristen til den følgende

hverdag.

Stk. 4.

Energiklagenævnets formand kan efter aftale med

nævnet træffe afgørelse på nævnets vegne i sager, der be-

handles efter denne lov eller regler udstedt i henhold til

loven.

Stk. 5.

Søgsmål til prøvelse af afgørelser truffet af Ener-

giklagenævnet efter loven eller regler udstedt i medfør af

loven, skal være anlagt inden 6 måneder efter, at afgørelsen

er meddelt den pågældende. Er afgørelsen offentliggjort,

regnes fristen dog altid fra offentliggørelsen.

Stk. 6.

Energiklagenævnet kan i forbindelse med behand-

ling af en klage indhente oplysninger, der er nødvendige

for behandling af klagen fra virksomheder omfattet af loven

samt myndigheder, der træffer afgørelse efter loven eller

regler udstedt i medfør af loven.

§ 32.

Klima-, energi- og forsyningsministeren kan fast-

sætte regler om adgangen til at klage over afgørelser, der

efter loven eller regler udstedt i medfør af loven træffes af

klima-, energi- og forsyningsministeren, herunder at visse

afgørelser ikke skal kunne indbringes for Energiklagenæv-

net.

Stk. 2.

Erhvervsministeren kan fastsætte regler om følgen-

de:

1) At kommunikation med Energiklagenævnet skal ske

digitalt. Ministeren kan herunder udstede regler om an-

vendelse af et bestemt digitalt system. Ved fastsættelse

af regler efter 1. pkt. fastsætter ministeren regler om

fritagelse for obligatorisk anvendelse for visse personer

og virksomheder.

Betaling af gebyr ved indbringelse af en klage for

Energiklagenævnet.

Energiklagenævnets sammensætning ved nævnets be-

handling af afgørelser efter denne lov eller regler ud-

stedt i medfør af loven.

§ 33.

Klima-, energi- og forsyningsministeren kan bemyn-

dige en institution eller en anden myndighed oprettet under

ministeriet til at udøve de beføjelser, der i denne lov er

tillagt ministeren.

§ 34.

Klima-, energi- og forsyningsministeren kan fast-

sætte regler med henblik på at gennemføre eller anvende

internationale konventioner og EU-regler om forhold, der

er omfattet af denne lov, herunder forordninger, direktiver

og beslutninger om beredskab og beskyttelse af energiinfra-

struktur på søterritoriet og den eksklusive økonomiske zone.

§ 35.

Klima-, energi- og forsyningsministeren og Energi-

net kan fra virksomheder omfattet af loven indhente oplys-

ninger, der er nødvendige for varetagelsen af deres opgaver

efter loven, efter bestemmelser fastsat i medfør af loven

eller efter EU-retsakter eller internationale forpligtelser om

forhold omfattet af loven.

Stk. 2.

Klima-, energi- og forsyningsministeren fastsætter

regler om, at virksomheder omfattet af loven skal registrere

sig, og om hvilke oplysninger, som virksomheder i den for-

bindelse skal oplyse, herunder oplysninger om følgende:

1) Virksomhedens navn.

2) Virksomhedens adresse og ajourførte kontaktoplysnin-

ger, herunder e-mailadresser, IP-intervaller og telefon-

numre.

3) Den relevante sektor og delsektor, som virksomheden

er omfattet af.

4) De medlemsstater i Den Europæiske Union, hvor virk-

somheden leverer tjenester.

Kapitel 12

Samordnet beredskab

§ 36.

Klima-, energi- og forsyningsministeren kan fast-

sætte nærmere regler om samordnet beredskab med henblik

på at beredskabsarbejdet efter denne lov og regler udstedt i

medfør heraf, varetages af flere virksomheder i fællesskab

eller af den ene part.

Kapitel 13

Straf

§ 37.

Med bøde straffes den, der

1) undlader at efterkomme påbud efter § 14, stk. 2,

2) hindrer myndighederne i at føre kontrol efter § 19, stk.

2, nr. 1-6,

3) undlader at efterkomme påbud efter § 21 og § 22, stk. 1

og 2,

4) undlader at efterkomme en afgørelse efter § 23, stk. 1,

nr. 1 eller 2,

5) meddeler Energiklagenævnet urigtige, vildledende op-

lysninger eller undlader, at meddele oplysninger efter

anmodning i medfør af § 31, stk. 6, eller

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

meddeler klima-, energi- og forsyningsministeren eller

Energinet urigtige eller vildledende oplysninger eller

undlader at meddele oplysninger i medfør af § 35, stk.

Stk. 2.

Der kan pålægges selskaber m.v. (juridiske person-

er) strafansvar efter reglerne i straffelovens 5. kapitel.

Stk. 3.

Der kan ikke pålægges bøde efter denne lov, hvor

der er pålagt en bøde for overtrædelse af databeskyttelses-

forordningen eller databeskyttelsesloven, hvis overtrædelsen

skyldes den samme adfærd som den, der var genstand for

bøden i medfør af databeskyttelsesforordningen eller databe-

skyttelsesloven.

Stk. 4.

I forskrifter, der udstedes i medfør af loven, kan

der fastsættes straf af bøde for overtrædelse af bestemmelser

i forskrifterne.

Kapitel 14

Ikrafttrædelse

§ 38.

Loven træder i kraft den 1. marts 2025.

Stk. 2.

Regler udstedt i medfør af § 15 a, stk. 3 og 4, § 15

b, stk. 5 og 6, og § 30 a, stk. 5 og 6, i lov om gasforsyning,

jf. lovbekendtgørelse nr. 1100 af 16. august 2023, forbliver

i kraft indtil de ophæves eller afløses af regler udstedt i

medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2,

§ 10, § 12, § 13, § 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og

5, § 22, stk. 3, § 26, stk. 2, i lov om styrket beredskab i

energisektoren.

Stk. 3.

Regler udstedt i medfør af § 30 a, stk. 7, i lov om

gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16. august

2023, forbliver i kraft indtil de ophæves eller afløses af reg-

ler udstedt i medfør af § 30 a, stk. 5, i lov om gasforsyning,

jf. denne lovs § 41, nr. 3.

Stk. 4.

Regler udstedt i medfør af § 51 d, stk. 2, § 85 b,

stk. 3 og 4 og § 85 c, stk. 5 og 6, i lov om elforsyning,

jf. lovbekendtgørelse nr. 1248 af 24. oktober 2023, forbliver

i kraft, indtil de ophæves eller afløses af regler udstedt i

medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2,

§ 10, § 12, § 13, § 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og

5, § 22, stk. 3, § 26, stk. 2, i lov om styrket beredskab i

energisektoren.

Stk. 5.

Regler udstedt i medfør af § 16, i lov nr. 354 af

24. april 2012 om olieberedskab, forbliver i kraft, indtil de

ophæves eller afløses af regler udstedt i medfør af § 4, stk.

2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, § 10, § 12, § 13, § 17,

stk. 3, § 18, stk. 2, § 19, stk. 4 og 5, § 22, stk. 3, § 26, stk. 2,

i lov om styrket beredskab i energisektoren.

Kapitel 15

Ændringer i anden lovgivning

§ 39.

I olieberedskabslov, lov nr. 354 af 24. april 2012,

foretages følgende ændring:

§ 16

ophæves.

§ 40.

I lov om elforsyning, jf. lovbekendtgørelse nr. 1248

af 24. oktober 2023, som ændret ved bl.a. § 1 i lov nr. 1787

af 28. december 2023 og senest ved § 5 i lov nr. 673 af 11.

juni 2024, foretages følgende ændringer:

§ 51 d

ophæves.

Overskriften

til kapitel 12 affattes således:

»Kapitel 12

Fortrolighed, kontrol, oplysningspligt og påbud«

§§ 85 b

85 c

ophæves.

§ 41.

I lov om gasforsyning, jf. lovbekendtgørelse nr.

1100 af 16. august 2023 som bl.a. ændret ved § 2 i lov nr.

1787 af 28. december 2023 og senest ved § 2 i lov nr. 674 af

11. juni 2024, foretages følgende ændringer:

Overskriften

før § 15 a ophæves.

§§ 15 a

15 b

ophæves.

§ 30 a, stk. 5

ophæves.

stk. 7 bliver herefter stk. 5.

§ 30 a, stk. 7,

der bliver stk. 5, ændres »stk. 1, 2, 5 og

6.« til: »stk. 1 og 2.«

§ 42.

I lov om varmeforsyning, jf. lovbekendtgørelse nr.

124 af 2. februar 2024, som ændret ved § 4 i lov nr. 673 af

11. juni 2024, (L77) og (L78), foretages følgende ændringer:

§ 20, stk. 1, 1. pkt,

indsættes efter »§§ 28 a, 28 b og

29«: »og omkostninger til beredskab efter lov om styrket

beredskab i energisektoren«.

§ 29 a

ophæves.

§ 43.

I lov om anvendelse af Danmarks undergrund, jf.

lovbekendtgørelse nr. 1461 af 29. november 2023, som se-

nest ændret ved § 34 i lov nr. 612 af 11. juni 2024, foretages

følgende ændring:

§ 17 a

ophæves.

§ 44.

I lov om Energinet jf. lovbekendtgørelse nr. 271 af

9. marts 2023, som bl.a. ændret ved § 35 i lov nr. 612 af 11.

juni 2024 og senest ved § 6 i lov nr. 673 af 11 juni 2024,

foretages følgende ændring:

§ 2, stk. 2, 1. pkt.,

indsættes efter »reglerne i denne

lov,«: »lov om styrket beredskab i energisektoren,«.

Kapitel 16

Territorialbestemmelse

§ 45.

Loven gælder ikke for Færøerne og Grønland.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Bemærkninger til lovforslaget

Almindelige bemærkninger

Indholdsfortegnelse

1. Indledning

2. Baggrund

3. Lovforslagets hovedpunkter

3.1. Anvendelsesområde og identifikationsbestemmelser

3.1.1. Gældende ret

3.1.2. CER-direktivet

3.1.3. NIS 2-direktivet

3.1.4. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

3.2. Foranstaltninger for beredskab og modstandsdygtighed i energisektoren

3.2.1. Gældende ret

3.2.1.1. Organisatorisk beredskab

3.2.1.1.1. Risiko- og sårbarhedsvurderinger

3.2.1.1.2. Beredskabsplanlægning og øvelser

3.2.1.1.3. Hændelsesrapporteringer

3.2.1.2. Fysisk sikring

3.2.1.3. It-beredskab

3.2.2. CER-direktivet

3.2.3. NIS 2-direktivet

3.2.4. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

3.2.4.1. Organisatorisk beredskab

3.2.4.1.1. Risikostyring

3.2.4.1.2. Risiko- og sårbarhedsvurderinger

3.2.4.1.3. Risikovurdering af projekter

3.2.4.1.4. Ledelsens pligter

3.2.4.1.5. Beredskabsplanlægning

3.2.4.1.6. Modstandsdygtighed og krisestyring

3.2.4.1.7. Hændelseshåndtering og genopretning

3.2.4.2. Fysisk sikring

3.2.4.3. Cybersikkerhed

3.2.4.3.1. Industrielle kontrolsystemer

3.2.4.3.2. Internetforbundne enheder og fjernadgange

3.2.4.3.3. Leverandørstyring

3.2.4.3.4. Awareness og uddannelse

3.2.4.3.5. Backup og logning

3.2.4.3.6. Netværkssikkerhed

3.2.4.3.7. Outsourcing

3.3. Underretning

3.3.1. Gældende ret

3.3.2. CER-direktivet

3.3.3. NIS 2-direktivet

3.3.4. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

3.4. Baggrundskontrol og sikkerhedsgodkendelse

3.4.1. Gældende ret

3.4.1.1. Regler om udvidet baggrundskontrol og sikkerhedsgodkendelser inden for luftfartssikkerhed

3.4.1.2. Regler om sikkerhedsgodkendelser efter sikkerhedscirkulære

3.4.1.3. Eksisterende praksis i energisektoren

3.4.2. CER-direktivet

3.4.3. NIS 2-direktivet

3.4.4. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

3.5. Bestemmelser om gebyrbetaling for myndighedsbehandling

3.5.1. Gældende ret

3.5.1.1. Virksomhedernes gebyrbetaling for myndighedsbehandling

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

3.5.1.2. Energinets gebyrbetaling for myndighedsbehandling

3.5.2. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

3.5.2.1 Generelle grundbeløb til finansiering af almindeligt tilsyn og administration af ordningen

3.5.2.2 Aktivitetsberegnet beløb til finansiering af ad-hoc tilsyn

3.5.2.3 Betaling af beløb for indgivelse og behandling af virksomhedernes ansøgninger i egeninteresse

3.6. Tilsyn

3.6.1. Gældende ret

3.6.2. CER-direktivet

3.6.3. NIS 2-direktivet

3.6.4. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

3.7. Påbud, forbud og straf

3.7.1. Gældende ret

3.7.2. CER-direktivet

3.7.3. NIS 2-direktivet

3.7.4. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

3.7.4.1 Særligt om tvangsbøder

3.7.4.2 Særligt om fysiske personers strafansvar, herunder valg af ansvarssubjekt

3.7.4.3 Særligt om brud på persondatasikkerheden

3.7.4.3 Om andre påbud, forbud og straf

3.8 Monopolvirksomheders muligheder for at afholde omkostninger til beredskab

3.8.1. Gældende ret

3.8.2. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

4. Forholdet til databeskyttelsesforordningen og databeskyttelsesloven

5. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige

6. Økonomiske og administrative konsekvenser for erhvervslivet m.v.

7. Administrative konsekvenser for borgerne

8. Klimamæssige konsekvenser

9. Miljø- og naturmæssige konsekvenser

10. Forholdet til EU-retten

11. Hørte myndigheder og organisationer m.v.

12. Sammenfattende skema

1. Indledning

Mange samfundsvigtige funktioner er afhængige af, at en

stabil energiforsyning opretholdes. Derfor er samfundet også

særdeles sårbart, hvis dele af energiforsyningen i kortere el-

ler længere perioder forstyrres, hvad enten det skyldes tekni-

ske nedbrud på grund af fx systemfejl, vejrmæssige forhold

eller det skyldes cyberangreb, hærværk eller sabotage.

Energisektorens beredskab har overordnet til formål at sikre,

at sektoren er forberedt til at kunne beskytte og videreføre

energiforsyningen i tilfælde af naturskabte, menneskeskab-

te og teknologiske risici. Dette lovforslag har til formål at

styrke beredskabsreguleringen i den danske energisektor for

at sikre, at lovgivningen på området er tidssvarende, og at

virksomheder og energisektoren som helhed er robust over-

for relevante risici og sårbarheder.

Desuden omfattes energisektoren af EU-direktiver, der im-

plementeres som del af dette lovforslag. Det drejer sig om

Europa-Parlamentets og Rådets Direktiv (EU) 2022/2557

af 14. december 2022 om kritiske enheders modstandsdyg-

tighed og om ophævelse af Rådets direktiv 2008/114/EF

(CER-direktivet) og Europa-Parlamentets og Rådets Direk-

tiv (EU) 2022/2555 af 14. december 2022 om foranstaltnin-

ger til sikring af et højt fælles cybersikkerhedsniveau i hele

Unionen, om ændring af forordning (EU) nr. 910/2014 og

direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU)

2016/1148 (NIS 2-direktivet).

Lovforslaget rummer bl.a. bemyndigelsesbestemmelser til

klima-, energi- og forsyningsministeren, der angår krav til

virksomhedernes organisatoriske beredskab, fysisk sikring,

cybersikkerhed, sikkerhedsgodkendelser, baggrundskontrol

og digital kommunikation. Desuden indgår bestemmelser

for fastsættelse af rammer for myndighedernes arbejde i for-

hold til vejledning, tilsyn, sanktioner og gebyrfinansiering af

disse aktiviteter.

NIS 2- og CER-direktivet finder anvendelse på flere delsek-

torer end den gældende regulering. Beredskabet i energisek-

toren vil dermed blive styrket, idet lovforslaget vil omfatte

flere virksomheder i flere delsektorer, og kravene til virk-

somhederne i relevant omfang skærpes og gøres mere detal-

jerede, end de har været i det hidtidige lovgrundlag.

Der redegøres nærmere herfor i de almindelige bemærknin-

ger samt i bemærkningerne til lovforslagets enkelte bestem-

melser.

2. Baggrund

Der er ikke foretaget væsentlige ændringer i reguleringen

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

af energisektorens almene beredskab siden 2007 og it-be-

redskab siden 2017. Der er dog en række forandringer i

samfundet, som er med til i disse år at ændre rammerne for

beredskabet, og som gør, at der er behov for at opdatere

beredskabsreguleringen i energisektoren.

Den grønne omstilling betyder bl.a., at energisystemet for-

andres. Større dele af energiforsyningen vil i fremtiden kom-

me fra mange decentralt placerede VE-anlæg. Produktionen

af el vil således fx ikke længere være koncentreret på få

kraftværker, men vil i stedet blive spredt ud på mange små

og store anlæg. Tilsvarende sker der en udvikling i brugen af

digitale teknologier, der skaber nye sårbarheder på især cy-

berområdet. Også den geopolitiske situation i Europa og det

generelle trusselsbillede har udviklet sig, og det har skabt en

række afledte effekter for den danske energisektor. Der er

bl.a. cyber- og spionageaktivitet mod energisektoren. Lige-

ledes sætter ændringer i klimaet som fx større mængder regn

end tidligere nye krav til beredskabsmæssigt at robustgøre

og klimatilpasse energianlæg, som kan være udsatte.

EU-direktiverne NIS 2 og CER skal implementeres i energi-

sektoren. Direktiverne stiller krav om et højere beredskabs-

niveau på tværs af unionen. Overordnet stiller CER krav

til kritiske enheders modstandsdygtighed, mens NIS2 stiller

krav til væsentlige og vigtige enheders cybersikkerhed i kri-

tiske sektorer. I energisektoren omfatter direktiverne el, gas,

olie, fjernvarme, fjernkøling og brint. Direktiverne stiller

således krav til delsektorer og virksomheder, der ikke i dag

er omfattet af beredskabsregulering.

Ministeriet for Samfundssikkerhed og Beredskab er ansvar-

lig for koordineringen af implementeringen af NIS2- og

CER-direktiverne. Ministeriet for Samfundssikkerhed og

Beredskab har overtaget dette ansvar fra Forsvarsministeriet

efter den kongelige resolution af 29. august 2024. For hvert

direktiv fremsætter Ministeriet for Samfundssikkerhed og

Beredskab én hovedlov, som omfatter alle berørte sektorer

med undtagelse af energisektoren for så vidt angår CER og

med undtagelse af energi-, tele- og finanssektoren for så vidt

angår NIS2. Kravene i lovforslaget, som følger af direktiver-

ne, er indtil den 29. august 2024 koordineret med Forsvars-

ministeriet. Herefter er koordineringen sket med Ministeriet

for Samfundssikkerhed og Beredskab.

Det er væsentligt for et sammenhængende beredskab i

energisektoren, at NIS2- og CER-direktivet tænkes sam-

men. Kravene, som følger af direktiverne, komplementerer

hinanden. Et højt cybersikkerhedsniveau forudsætter fx, at

der er passende fysiske sikring. I lovforslaget lægges der

grundlæggende vægt på, at et robust beredskab kræver en

holistisk tilgang, hvor tekniske, organisatoriske og fysiske

foranstaltninger spiller sammen. Det følger også af direkti-

verne, at der er indbyrdes forbindelser, og at der i videst

muligt omfang bør sikres en sammenhængende tilgang til

implementeringen af direktiverne. Derfor fremlægges opda-

teringen af beredskabsreguleringen i energisektoren og im-

plementeringen af NIS 2- og CER-direktivet ved dette sam-

lede lovforslag. Samtidig overføres en række bestemmelser

om beredskab og cybersikkerhed fra energisektorens forsy-

ningslove til denne lov.

3. Lovforslagets hovedpunkter

3.1. Anvendelsesområde og identifikationsbestemmelser

3.1.1. Gældende ret

Beredskabet i el- og gassektoren er reguleret i hhv. lov om

elforsyning, jf. lovbekendtgørelse nr. 1248 af 24. oktober

2023, som ændret ved bl.a. § 1 i lov nr. 1787 af 28. de-

cember 2023 og senest ved § 5 i lov nr. 673 af 11. juni

2024 (elforsyningsloven) og lov om gasforsyning, jf. lovbe-

kendtgørelse nr. 1100 af 16. august 2023 som bl.a. ændret

ved § 2 i lov nr. 1787 af 28. december 2023 og senest

ved § 2 i lov nr. 674 af 11. juni 2024 (gasforsyningsloven)

med tilhørende bekendtgørelser. Beredskabet i oliesektoren

er reguleret i olieberedskabslov, lov nr. 354 af 24. april

2012 (olieberedskabsloven), bekendtgørelse nr. 424 af 25.

april 2018 om beredskab for oliesektoren (olieberedskabsbe-

kendtgørelsen) og bekendtgørelse nr. 1340 af 10. december

om lagringspligt m.v. (lagringspligtbekendtgørelsen), samt i

lov om anvendelse af Danmarks undergrund, jf. lovbekendt-

gørelse nr. 1461 af 29. november 2023, som senest ændret

ved § 34 i lov nr. 612 af 11. juni 2024 nr. (undergrundslo-

ven), hvis bemyndigelse ikke er udmøntet i en bekendtgørel-

se. Endvidere er der i lovbekendtgørelse nr. 124 af 2. februar

2024 om varmeforsyning (varmeforsyningsloven) krav om

beredskabsplanlægning om end bemyndigelsen til at fastsæt-

te nærmere regler heller ikke her er blevet udmøntet ved

bekendtgørelse. Endelig kan klima-, energi- og forsynings-

ministeren i henhold til lovbekendtgørelse nr. 88 af 26. fe-

bruar 1986 om forsyningsmæssige foranstaltninger fastsætte

bestemmelse om anvendelse og fordeling af landets varebe-

holdninger. Bemyndigelsen til at udstede forskrifter er dog

ikke blevet udmøntet.

Reguleringen af beredskabsplanlægningen for virksomheder

i den danske energisektor udspringer af sektoransvaret, der

er det grundlæggende princip for organiseringen af det dan-

ske civilberedskab. Sektoransvaret er kodificeret i § 24 i

lovbekendtgørelse nr. 314 af 3. april 2017 om bekendtgø-

relse af beredskabsloven (beredskabsloven). Det følger af

beredskabslovens § 24, at hver minister inden for sit område

skal stå for planlægning af det civile beredskab, som omfat-

ter opretholdelse og videreførelse af samfundets funktioner

i tilfælde af større ulykker og katastrofer. I forarbejderne til

lov nr. 514 af 26. maj. 2014 om ændring af beredskabsloven

gøres det ligeledes klart, at krigshandlinger, samt det at kun-

ne yde støtte til forsvaret, fortsat er noget, den enkelte mi-

nister skal tage højde for i sin beredskabsplanlægning. Heri

indgår efter praksis også at koordinere planlægningen med

andre myndigheder, herunder at planlægge sammen med

forsvaret og yde støtte til forsvaret, når dette findes relevant,

fx i forhold til luftfartskontrol.

Den sektoransvarlige minister har som led i sin beredskabs-

planlægningsforpligtelse ikke ansvar for den aktive beskyt-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

telse af dansk territorium til lands, til vands eller i luften,

den danske befolkning eller infrastruktur på dansk territori-

um mod konkrete angreb fra fremmede stater eller terrori-

ster. Dette er afgrænset af beredskabslovens § 24, hvor civil-

beredskabsplanlægningen omfatter planlægningen for opret-

holdelse af og videreførelsen af samfundets funktioner efter

større ulykker og naturkatastrofer herunder krigshandlinger.

Den sektoransvarlige minister har dog et ansvar for, at virk-

somheder inden for dennes ressort kan detektere forsøg på

angreb mod disse virksomheder, har et minimum af sikring

mod angreb og sabotage, og at virksomhederne har planer

for opretholdelse og videreførelse af deres samfundsmæssi-

ge funktion, skulle de blive forsøgt angrebet eller faktisk

angrebet, uanset hvem der står bag.

Sektoransvaret efter § 24 i beredskabsloven er for klima-,

energi- og forsyningsministerens ressortområde siden lov nr.

316 af 22. maj 2002 om ændring af lov om elforsyning

og visse andre energilove blevet varetaget ved bemyndigel-

sesbestemmelser i elforsyningsloven, gasforsyningsloven,

varmeforsyningsloven, olieberedskabsloven, undergrundslo-

ven og lov om forsyningsmæssige foranstaltninger, der i

udgangspunktet er delegeret til Energistyrelsen. Før lov nr.

316 af 22. maj 2002 var sektoransvaret løftet ved hjælp af

påbud til de enkelte virksomheder i medfør af § 28, stk. 1, i

beredskabsloven.

Bestemmelserne om beredskab i disse love omhandler af-

værgende og mitigerende tiltag i forbindelse med forsy-

ningsafbrud af energi og om nødvendigt, hurtigst mulig

genoprettelse af forsyningen når denne har været afbrudt.

Klima-, energi- og forsyningsministeren har alene ansvaret

for håndteringen af den civile beredskabsplanlægning i Dan-

mark for den danske energiforsyning. Derfor finder oven-

nævnte forsyningslove i udgangspunktet kun anvendelse på

virksomheder, der opererer som et direkte led i en forsy-

ningskæde i Danmark, herunder i den danske eksklusive

økonomisk zone, fra første produktion eller import, og ind-

til energiarten er forbrugt eller eksporteret. Beredskabsplan-

lægning for energi i transit fx i rørledninger, kabler eller

på skibe, der ikke er forbundet til Danmark eller tilløber

Danmark, falder således uden for klima-, energi- og forsy-

ningsministerens ressort.

Beredskabsreguleringen for elsektoren finder, jf. elforsy-

ningslovens § 85 b, stk. 1, og § 85 c, stk. 1, anvendelse

på virksomheder som er bevillingspligtige efter §§ 10 og 19

i elforsyningsloven eller har tilladelse til elproduktion fra

anlæg med en kapacitet på over 25 MW efter § 29 eller § 11

i lov om fremme af vedvarende energi, jf. lovbekendtgørelse

nr. 1031 af 6. september 2024 (VE-loven), elforsyningsvirk-

somhed, der varetages af Energinet eller denne virksomheds

helejede datterselskaber i medfør af § 2, stk. 2 og 3, i lov om

Energinet, jf. lovbekendtgørelse nr. 271 af 9. marts 2023,

samt virksomheder, der yder balancering af elsystemet jf.

elforsyningslovens § 85 b, stk. 1, in fine og § 85 c, stk. 1, in

fine.

Det følger af gasforsyningslovens § 15 a og § 15 b, at

virksomheder som er bevillingspligtige efter gasforsynings-

lovens § 10, samt Energinet og dennes helejede datterselska-

ber, som foretager gasforsyningsvirksomhed, skal have et

klassisk beredskab og et it-beredskab.

Beredskabsreguleringen for gassektoren omfatter jf. gasfor-

syningslovens § 15 a og § 15 b, virksomheder, der er be-

villingspligtige efter § 10 i gasforsyningsloven, Energinet

og dennes helejede datterselskaber, der varetager gasforsy-

ningsvirksomhed i henhold til § 2, stk. 2 og 3, i lov om

Energinet, samt virksomheder, som driver anlæg til produk-

tion og fremføring af bygas.

Beredskabet for oliesektoren omhandler primært lagerbe-

redskab af råolie og olieprodukter, der er reguleret i olie-

beredskabsloven. I medfør af olieberedskabsloven fastsæt-

ter olieberedskabsbekendtgørelsen regler om beredskab for

virksomheder, der er kritiske for forsyning af råolie og olie-

produkter i Danmark i en beredskabssituation og andre eks-

traordinære situationer. Bekendtgørelsen finder anvendelse

på virksomheder med positiv lagringspligt samt på den cen-

trale lagerenhed, FDO (Danske Olieberedskabslagre). Virk-

somhederne og FDO skal foretage beredskabsplanlægning,

der sikrer forsyningen af olie fra egne lagre i en beredskabs-

situation jf. olieberedskabslovens § 16, stk. 1, og oliebered-

skabsbekendtgørelsens § 11.

Beredskabsreguleringen for fjernvarmesektoren indeholder

en generel forpligtelse til, at virksomheder, der driver anlæg

til produktion og fremføring af bygas, skal foretage nødven-

dig planlægning og træffe de nødvendige foranstaltninger

for at sikre bygasforsyningen i beredskabssituationer og an-

dre ekstraordinære situationer, jf. varmeforsyningslovens §

29 a, stk. 1. Varmeforsyningsloven giver klima-, energi-

og forsyningsministeren mulighed for at fastsætte nærmere

regler herom, men denne hjemmel har ikke hidtil været be-

nyttet.

Beredskabsreguleringen for off-shore olie og gassektoren,

indeholder en generel forpligtelse til, at rettighedshavere

med tilladelse til efterforskning og indvinding af kulbrinter

eller tilladelse til etablering og drift af rørledningsanlæg

i forbindelse med indvinding af kulbrinter skal planlægge

med hensyn til opretholdelse og videreførelse af forsyningen

af kulbrinter til samfundet i tilfælde af krisesituationer, her-

under udarbejde beredskabsplaner og gennemføre nødvendi-

ge foranstaltninger til sikring af egne anlæg, rørledninger,

kritiske systemer og data m.v. Dette gælder også ejere af

tilstødende olie- og naturgasrørledningsanlæg, separations-

faciliteter og terminalanlæg for råolie, jf. § 1 i lov om eta-

blering og benyttelse af en rørledning til transport af råolie

og kondensat og §§ 3 a og 4 i lov om kontinentalsoklen

og visse rørledningsanlæg på søterritoriet. Rettighedshavere

og ejere skal koordinere dette beredskab med beredskab

efter anden lovgivning., jf. undergrundlovens § 17 a, stk.

1. Undergrundslovens § 17 a, stk. 3, giver klima-, energi-

og forsyningsministeren mulighed for at fastsætte nærmere

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

regler herom, men denne hjemmel har ikke hidtil været be-

nyttet.

Forholdet mellem dansk jurisdiktionskompetence og dansk

rets anvendelse er ikke eksplicit behandlet i gældende

ret. Imidlertid følger det af Justitsministeriets jurisdiktions-

udvalgs betænkning nr. 1488/2007 om dansk straffemyndig-

hed, side 47, at Danmark efter § 3 i lov om eksklusive øko-

nomiske zoner har jurisdiktion i de eksklusive økonomiske

zoner med hensyn til anlæggelse af og benyttelse af kunsti-

ge øer, installationer og anlæg, videnskabelig havforskning

samt beskyttelse og bevarelse af havmiljøet. Videre følger

det af betænkningen, at retsvirkningerne af den udvidede

jurisdiktionskompetence i forhold til Danmarks eksklusive

økonomiske zoner er, at de nævnte anlæg m.v. betragtes som

dansk territorium for så vidt angår udstrækningen af dansk

ret. Lovovertrædelser, der begås på disse steder, er dermed

undergivet dansk straffemyndighed i kraft af straffelovens

§ 6, nr. 1, om territorialprincippet, hvoraf det følger, at

handlinger som foretages i den danske stat, er under dansk

straffemyndighed.

For så vidt angår anlæg omfattet af VE-loven er dansk rets

anvendelse behandlet i lovens § 3, stk. 2, hvorefter dansk

ret, med undtagelse af lovgivning om skatter og afgifter,

gælder på anlæg omfattet af loven i den eksklusive økono-

miske zone med de begrænsninger, der følger af folkeretten.

På denne baggrund er alle eksisterende anlæg, der forsyner

Danmark med energi, omfattet af relevante regler om bered-

skab for energisektoren på land, i dansk territorialfarvand, i

den danske eksklusive økonomiske zone og dansk kontinen-

talsokkelområde. Udgangspunktet er specificeret i en række

af forsyningslovene.

Efter gældende ret er det altså kun visse virksomheder og

virksomheder af en vis størrelse i de forskellige delsekto-

rer, der omfattet af beredskabskravene. Således er en lang

række af virksomheder i energisektoren ikke omfattet af

krav til beredskab og cybersikkerhed efter gældende ret med

henblik på at sikre og om nødvendigt genoprette forsynin-

gen, fx fjernvarmevirksomheder, fjernkølingsvirksomheder,

brintvirksomheder, biogasvirksomheder, virksomheder der

udfører forskellige opgaver i el- og gasmarkedet og kom-

mercielle virksomheder i downstream oliesektoren, hvis dis-

se ikke har pligt til at holde olieberedskabslagre.

Rådets direktiv (EU) 2008/114 af 8. december 2008 om ind-

kredsning og udpegning af europæisk kritisk infrastruktur

og vurdering af behovet for at beskytte den bedre (EPCIP-

direktivet) finder anvendelse for energi- og transportsekto-

rerne. EPCIP-direktivet er implementeret i energisektoren

ved bekendtgørelse nr. 11 af 7. januar 2011 om identifika-

tion og udpegning af europæisk kritisk infrastruktur på ener-

giområdet og vurdering af behovet for bedre beskyttelse

(EPCIP-direktivet), (EPCIP-Bekendtgørelsen).

EPCIP-bekendtgørelsens §§ 3-8 fastsætter en procedure og

nærmere kriterier for indkredsning af potentiel europæisk

kritisk infrastruktur og eventuel efterfølgende udpegning af

den europæiske kritiske infrastruktur som sådan.

Det følger EPCIP-bekendtgørelsens § 3, at Energistyrelsen

foretager identifikation af europæiske kritisk infrastruktur i

dialog med operatører af relevante infrastrukturer, som op-

fylder nærmere fastsatte tværgående og sektorbaserede kri-

terier og er i overensstemmelse med definitionerne for ”kri-

tisk infrastruktur” og ”europæisk kritisk infrastruktur”. Me-

toden for udpegelse fremgår af bekendtgørelsens § 4, stk. 1.

Efter EPCIP-bekendtgørelsens § 7, stk. 3, skal Energistyrel-

sen forud for udpegning af europæisk kritisk infrastruktur,

drøfte med de øvrige medlemsstater, som i betydelig grad

kan blive berørt af den potentielle europæiske kritiske infra-

struktur. Såfremt der skal foretages udpegning, indgår Ener-

gistyrelsen aftale herom med relevante medlemsstater

Ifølge § 11, stk. 1, i bekendtgørelse nr. 2646 af 28. december

2021 om beredskab for elsektoren (elberedskabsbekendtgø-

relsen) og § 11, stk. 1, i bekendtgørelse nr. 821 af 14.

august 2019 om beredskab for naturgassektoren (naturgas-

beredskabsbekendtgørelsen), skal Energistyrelsen foretage

en klassificering af anlæg i el- og naturgassektoren. Det

følger af § 9 i bekendtgørelse nr. 2647 af 28. december 2021

om it-beredskab for el- og naturgassektoren (it-beredskabs-

bekendtgørelsen), at Energistyrelsen skal foretage kategori-

sering af virksomheder.

Efter gældende ret inddeles anlæg i tre klasser, og virksom-

heder inddeles i tre kategorier afhængig af anlæggets eller

virksomhedens betydning for energiforsyningen. Klassifice-

ringen og kategoriseringen har betydning for, hvilke bered-

skabskrav virksomhederne skal efterleve, samt hvor ofte der

føres tilsyn med virksomheden.

Ifølge olieberedskabslovens § 6, stk. 1, skal virksomheder

holde beredskabslagre af råolie eller lagringspligtige olie-

produkter efter lovens § 10, stk. 2, hvis virksomheden im-

porterer her til landet, producerer her til landet eller lader

råolie eller lagringspligtige olieprodukter producere hos en

anden virksomhed i Danmark. Olieberedskabslagrene holdes

i form af A-lagre (konventionelle tankanlæg) eller B-lagre

(særligt beskyttede anlæg), jf. lagringspligtbekendtgørelsens

§ 5, stk. 1.

FDO er delegeret 70,0 pct. af virksomhedernes lagringspligt,

og dækker hele forpligtelsen for virksomhederne til at holde

B-lagre. Virksomhederne opfylder deres lagringspligt i form

af A-lagre. Størrelsen af en virksomheds lagringspligt bereg-

nes på baggrund af, hvor mange olieprodukter virksomhe-

den sælger til slutbrug på det danske marked, jf. lagrings-

pligtbekendtgørelsens §§ 11 og 12.

3.1.2. CER-direktivet

CER-direktivet fastsætter, jf. artikel 1, stk. 1, litra b, for-

pligtelser for kritiske enheder med henblik på at styrke de-

res modstandsdygtighed og evne til at levere de i litra a)

omhandlede tjenester på det indre marked. CER-direktivet

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

indfører desuden, jf. artikel 1, stk. 1, litra e, foranstaltninger

med henblik på at opnå en høj grad af modstandsdygtighed i

kritiske enheder for at sikre levering af væsentlige tjenester i

Unionen og forbedre det indre markeds funktion. Det følger

endvidere af direktivets artikel 2, nr. 1, at der ved kritisk

enhed forstås: en offentlig eller privat enhed, som er blevet

identificeret af en medlemsstat i overensstemmelse med ar-

tikel 6 som tilhørende en af kategorierne anført i tredje

kolonne i tabellen i bilaget.

I medfør af CER-direktivets artikel 6, skal medlemsstaterne

senest den 17. juli 2026 identificere kritiske virksomheder

ud fra kriterierne om, at virksomheden leverer en eller flere

væsentlige tjenester, og at en hændelse vil have betydelig

forstyrrende virkning for enhedens levering af tjenesten. Ved

identificeringen skal medlemsstaterne tage hensyn til den

nationale risikovurdering og nationale strategi, der begge

skal foreligge senest den 17. januar 2026.

CER-direktivets artikel 6 forpligter medlemsstaterne til at

identificere deres kritiske enheder for sektorerne og delsek-

torerne anført i bilaget. Det fremgår af bilaget, at følgende

typer af virksomheder i energisektoren, identificeres som

kritiske enheder: 1) Elektricitetsvirksomheder, 2) Distributi-

onssystemoperatører, 3) Transmissionssystemoperatører, 4)

Elproducenter, 5) Udpegede elektricitetsmarkedsoperatører,

6) Markedsdeltagere, der leverer tjenester, der vedrører ag-

gregering, fleksibelt elforbrug eller energilagring, 7) Opera-

tører af fjernvarme eller fjernkøling, 8) Olierørledningsope-

ratører, 9) Operatører af olieproduktionsanlæg, -raffinaderi-

er og -behandlingsanlæg, olielagre og olietransmission, 10)

Centrale lagerenheder, 11) Gasforsyningsvirksomheder, 12)

Lagersystemoperatører, 13) LNG-systemoperatører, 14) Na-

turgasvirksomheder, 15) Operatører af naturgasraffinaderier

og –behandlingsanlæg og 16) Operatører inden for brintpro-

duktion, -lagring og –transmission.

Således skal der efter CER-direktivets ovenstående artikler

og bilag fastsættes regler for virksomheder af ovenstående

typer af virksomheder på klima-, energi- og forsyningsmini-

sterens ressort, såfremt de bliver udpeget som kritiske enhe-

der efter proceduren i direktivets artikel 6.

3.1.3. NIS 2-direktivet

NIS-2 direktivet finder, jf. artikel 2, stk. 1, anvendelse på

offentlige eller private enheder af den type, der er omhand-

let i direktivets bilag I eller II, som udgør mellemstore

virksomheder i henhold til artikel 2 i bilaget til henstilling

2003/361/EF, eller overskrider tærsklerne for mellemstore

virksomheder fastsat i nævnte artikels stk. 1, og som le-

verer deres tjenester eller udfører deres aktiviteter inden

for Unionen. Direktivets bilag 1, oplister følgende typer af

virksomheder i energisektoren, der efter direktivets artikel

2, stk. 1 er omfattet af direktivets anvendelsesområde: 1)

Elektricitetsvirksomheder, 2) Distributionssystemoperatører,

3) Transmissionssystemoperatører, 4) Elproducenter, 5) Ud-

pegede elektricitetsmarkedsoperatører, 6) Markedsdeltagere,

der leverer tjenester, der vedrører aggregering, fleksibelt el-

forbrug eller energilagring, 7) Operatører af ladestationer,

der er ansvarlige for forvaltningen og driften af en ladesta-

tion, som leverer en ladetjeneste til slutbrugere, herunder

i en mobilitetstjenesteudbyders navn og på dennes vegne,

8) Operatører af fjernvarme eller fjernkøling, 9) Olierør-

ledningsoperatører, 10) Operatører af olieproduktionsanlæg,

-raffinaderier og -behandlingsanlæg, olielagre og olietrans-

mission, 11) Centrale lagerenheder, 12) Gasforsyningsvirk-

somheder, 13) Lagersystemoperatører, 14) LNG-systemope-

ratører, 15) Naturgasvirksomheder, 16) Operatører af natur-

gasraffinaderier og –behandlingsanlæg og 17) Operatører

inden for brintproduktion, -lagring og –transmission.

Det følger endvidere af direktivets artikel 2, stk. 3, at di-

rektivet finder anvendelse på enheder, der er identificeret

som kritiske enheder i henhold til direktiv (EU) 2022/2557

(CER-direktivet), uanset deres størrelse.

3.1.4. Klima-, Energi- og Forsyningsministeriets overvejel-

ser og den foreslåede ordning

Det foreslås, at loven kommer til at finde anvendelse på de

aktører i energisektoren, der er omfattet af NIS2- og CER-

direktivet. Herudover foreslås, at loven kommer til at finde

anvendelse på en række andre aktører, der ud fra et dansk

perspektiv vurderes at varetage en række funktioner, der er

kritiske for forsyningen og beredskabet i energisektoren.

Lovforslaget indeholder regler om sikkerhedsgodkendelse

og baggrundskontrol, der tillige gælder for aktører, som

varetager opgaver som direkte led i eller forbindelse med

leveringen af de tjenester og aktiviteter, der varetages af de

aktører, der er nævnt ovenfor.

Det foreslås at samle hjemmelsgrundlaget for beredskabsar-

bejdet i energisektoren i en ny hovedlov. Baggrunden herfor

er bl.a., at sikre, at kravene er ensartede på tværs de for-

skellige forsyningsarter. Derudover giver en ny hovedlov et

samlet overblik over beredskabsreguleringen for de omfatte-

de virksomheder, hvoraf en del er multiforsyningsvirksom-

heder eller har aktiviteter i flere delsektorer.

Klima-, Energi og Forsyningsministeriet vil med dette lov-

forslag fortsætte med at løfte sit sektoransvar, som kodifi-

ceret i § 24 i beredskabsloven. Der ændres med forslaget

ikke på de allerede eksisterende grundprincipper i den be-

redskabsplanlægning, som virksomhederne skal udføre.

Den grønne omstilling har medført og vil forsat medføre

en større diversitet i danske forbrugeres og virksomheders

energiforsyning. Den decentrale energiproduktion, som bl.a.

hænger sammen med en øget integration af vedvarende

energi i det danske energisystem, har bevirket, at forbrugere

og virksomheder ikke blot er afhængige af en eller to ener-

gikilder. Der er ligeledes gensidige afhængigheder mellem

de forskellige delsektorer, hvilket kan bevirke, at en forsy-

ningsafbrydelse i den ene delsektor kan have betydning for

forsyningen i andre delsektorer. Desuden har markedsliggø-

relsen og digitaliseringen af den danske og europæiske ener-

giforsyning medført, at et langt større antal virksomheder

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

har indflydelse på, at forsyningen er velfungerende, forudsi-

gelig og ikke mindst sikker.

Med udbygningen af vind- og solenergi bliver elproduktio-

nen mere decentraliseret. Produktionen af el vil således ikke

længere være koncentreret om få kraftværker, men den vil

i stedet blive spredt ud på mange små og store anlæg. Der

vil bl.a. i de kommende år blive bygget store VE-anlæg (fx

land- og havvindmølleparker), som vil have en størrelse,

hvor de vil få væsentlig betydning for energiforsyningen på

nationalt og europæisk niveau. Nogle af disse anlæg vil væ-

re geografisk placeret steder, hvor de kan være eksponeret.

Grundet udviklingen af energisystemerne hvor produktionen

er blevet mere vejrafhængig og fluktuerende, vil forbrugssi-

den også få væsentlig indvirkning på forsyningssikkerheden

af energi. Dette er særligt relevant for elforsyningen, hvor

alt fra ladepunktsoperatører, PtX-anlæg, varmepumper og

smartstyring af virksomheder og privatpersoners elforbrug

potentielt kan få kritisk betydning for den nationale elforsy-

ning, såfremt ondsindede aktører kan tage kontrollen med

forbruget. Den nuværende regulering tager ikke tilstrække-

ligt højde for denne udvikling inden for mangfoldigheden

af aktører, der har betydning for energisektoren. Derfor fore-

slås det i overensstemmelse med NIS 2- og CER-direktiver-

ne, at flere aktører på forbrugssiden vil omfattes af regule-

ringen. Velfungerende og sikre markedsaktører er ligeledes

essentielle for en stabil forsyning af energi i Danmark og

resten af Europa, hvorfor disse også foreslås omfattet af

denne beredskabsregulering.

I takt med at brint bliver en vigtigere del af det danske

energisystem, bør modstandsdygtigheden af brintforsynin-

gen også understøttes. På sigt forventes der at være en del af

de danske forbrugere og virksomheder, der vil være afhæn-

gige af den brint, som produceres på de brintproduceren-

de anlæg. Beredskabsreguleringen af brintsektoren bør tage

højde for denne udvikling af brintsektorens kritikalitet, hvor

brintproducerende anlæg går fra at være kritiske for elforsy-

ningssikkerheden på baggrund af deres forbrug af el til i

stigende grad også at være kritiske på baggrund af den brint

og dermed de PtX-produkter, som elektriciteten omdannes

til på anlæggene. På den baggrund vurderer Klima-, Ener-

gi-, og Forsyningsministeriet, at beredskabsreguleringen af

brintsektoren bør tage højde for, at brintproducerende anlæg

kan være kritiske for energiforsyningen både på grund af

forbruget af strøm og på grund af den brint, som anlæggene

producerer.

Brintinfrastruktur kommer til at udgøre et vigtigt bindeled

mellem produktion og forbrug af brint og bliver afgørende

for, at brint kan handles på det indre marked. Brintinfra-

struktur er i dag reguleret i gasforsyningsloven. Idet den

økonomiske regulering og markedsforholdene for brint føl-

ger den model, der i en årrække har været gældende på

naturgasområdet, er det nærliggende, at beredskabsregule-

ringen af brintinfrastrukturen følger den model, der gælder

for naturgassektoren i den nuværende beredskabsregulering.

I gassystemet er der de seneste år sket en udvikling, hvor

naturgas fra den danske del af Nordsøen eller import af

naturgas i vidt omfang er blevet erstattet af decentral bioga-

sproduktion. Opgraderet biogas svarede således i 2023 til

ca. 40 pct. af det samlede danske gasforbrug, og andelen af

biogas i gasnettet forventes at stige yderligere fremover.

Biogasproduktionen har dermed fået en væsentlig betydning

i gassystemet, og Klima-, Energi- og Forsyningsministeriet

vurderer derfor, at det er væsentligt at omfatte biogaspro-

duktionsanlæggene af reguleringen.

Det gælder for både biogasanlæg såvel som for øvrige gas-

producerende anlæg og gasbehandlingsanlæg, at det enkelte

anlæg ikke er kritisk i sig selv, fordi anlægget producerer

til et sammenhængende gasnet. Ikke desto mindre er de gas-

producerende anlæg vigtige for at gøre energiforsyningen

modstandsdygtig over for uforudsete hændelser på tværs af

de enkelte led.

Der sker i disse år en udfasning af fossile brændsler til op-

varmning, som især erstattes af fjernvarme. Fjernvarmesek-

toren er karakteriseret af mange små og mellemstore anlæg,

som således ikke nødvendigvis har betydning for energifor-

syningen på nationalt plan. Fjernvarmesektoren er karakte-

riseret af naturlige monopoler, hvor langt størstedelen af

slutbrugerne således kun har ét varmerør, der forsyner deres

hus eller bygning. Dette forhold understreger fjernvarmens

kritikalitet for især private boliger samt fx hospitaler og

andre samfundskritiske funktioner, hvor varmeforsyning er

afgørende, og Klima-, Energi- og Forsyningsministeriet vur-

derer derfor, at det er væsentligt at omfatte virksomheder,

der producerer eller distribuerer fjernvarme af reguleringen.

Fjernkølingssektoren i Danmark er under udvikling og for-

ventes at få en tiltagende betydning for køling i især indu-

strien såvel som for hospitaler og lignende samfundskritiske

bygninger og anlæg, der har behov for stabil køling. På den

baggrund vurderes det relevant at omfatte virksomheder, der

opererer inden for fjernkøling.

Den gældende beredskabsregulering af oliesektoren om-

handler primært krav om lagerberedskab af olieproduk-

ter. Danmark er efter gældende EU-regler forpligtet til at

holde beredskabslagre af olie svarende til 61 dages gennem-

snitligt forbrug. Forpligtelsen til at holde beredskabslagre er

pålagt de lagringspligtige virksomheder, hvilket er den grup-

pe af olievirksomheder i Danmark, som foretager import

eller produktion af enten råolie eller olieprodukter. Det vil

sige, at virksomhederne og den centrale lagerenhed skal fo-

retage beredskabsplanlægning, der sikrer forsyningen af olie

fra egne lagre i en beredskabssituation. Med lovforslaget

foreslås det at udvide beredskabsreguleringen af olievirk-

somheders lagre til også at omfatte flere led i olieforsynin-

gen. Derned vil flere led i værdikæden for olieforsyning

blive omfattet af beredskabskrav.

Oliesektoren i Danmark er i høj grad karakteriseret af globa-

le markedsmekanismer og for mange af kunderne i oliesek-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

toren, er der substitutionsmuligheder. Kritikaliteten afhæn-

ger ikke på samme måde af virksomhedernes størrelse målt

på mængden af energi, de håndterer, men den afhænger i

højere grad af deres rolle i værdikæden, og hvorvidt deres

kunder har substitutionsmuligheder. I oliesektoren er der

flere aktører i forsyningskæden, for hvilke der er få substi-

tutionsmuligheder på nationalt plan, herunder fx raffinaderi-

er, olierør og offshore-platforme, og som derfor er kritiske

for olieforsyningen. Ligeledes er der relativt få aktører, der

ejer fx terminaler og olielagre, og hvor substitutionsmulig-

hederne på nationalt plan er få, hvorfor det også vurderes

hensigtsmæssigt, at beredskabsreguleringen omfatter disse,

således at oliemarkedets funktion understøttes af krav til

virksomhedernes modstandsdygtighed og beredskab.

Derudover vurderes det, at tankstationsvirksomhed bør om-

fattes af beredskabsreguleringen, idet tankstationer er et væ-

sentligt led i distributionen af olieprodukter. Det er ikke

den enkelte tankstation, der er kritisk for forsyningen af

olieprodukter. Der kan derimod være risici forbundet med,

at mange tankstationskæder har ét samlet IT-system, som

benyttes på tværs af tankstationskæden, og som forbinder

forsynings- og forretningskritiske systemer. Et cyberangreb

vil kunne forstyrre olieforsyningen fra en større delmængde

af de danske tankstationer og skabe usikkerhed omkring

brændstofforsyningen. Reguleringen af tankstationsvirksom-

hederne vil således gøre sektoren mere modstandsdygtig og

understøtte brugernes tillid til markedets funktion.

Operatører af regionale koordinationscentre foreslås desu-

den omfattet af loven, selvom de ikke er omfattet i NIS 2-

og CER-direktiverne, da de varetager en række funktioner,

der er kritiske for forsyningen og beredskabet i elsektoren,

herunder koordinering af regionale sikkerhedsberegninger,

TSO’ernes tiltag til sikring af systemsikkerhed samt opfølg-

ning og rapportering i tilfælde af black out.

Af disse årsager foreslås det at udvide beredskabsreglernes

anvendelsesområde i forhold til gældende ret. Ligeledes

foreslås det, at beredskabsreguleringen samles og modifice-

res, så den stiller ensartede krav på tværs af de omfattede

delsektorer for dermed at imødekomme de gensidige afhæn-

gigheder og for at øge modstandsdygtigheden på tværs af

energisektoren. Med lovforslaget vil reglerne fremadrettet i

tillæg til el-, gas- og oliesektorerne også komme til at gælde

for såvel fjernvarme-, fjernkøling- og brintsektorerne. End-

videre vil nye aktører blive omfattet i el-, gas og oliesekto-

rerne. Disse aktører er hovedsageligt omfattet af NIS2 og

CER-direktivernes anvendelsesområde.

Det er samtidig Klima-, Energi- og Forsyningsministeriets

vurdering, at en del virksomheder, der vurderes kritiske i op-

retholdelsen af energiforsyningen, ikke ville være omfattet

af lovforslaget, hvis NIS 2-direktivets anvendelsesområde

alene var anvendt som afgrænsning. Anvendelsesområdet

for loven foreslås derfor modificeret i forhold til NIS2-di-

rektivets grænser for ansatte, årlig omsætning eller balance

for visse typer af virksomheder. Denne modificering er lige-

ledes et udtryk for kravet om identificeringen af kritiske

enheder efter CER-direktivets artikel 6 inden for energisek-

toren. Det vurderes, at lovforslaget i denne sammenhæng

går videre end minimumskriterierne for fastlæggelse af an-

vendelsesområdet i både NIS2- og CER-direktiverne.

I lyset af et stadigt skiftende trusselsbillede og deraf væsent-

ligt øget behov for at styrke beredskabet i energisektoren

vurderer Klima-, Energi- og Forsyningsministeriet, at det vil

være uhensigtsmæssigt, hvis identificering af kritiske virk-

somheder i energisektoren først ville finde sted umiddelbart

før implementeringsfristen for CER-direktivet 1. juli 2026.

Det foreslås derfor, at en foreløbig identificering af kriti-

ske virksomheder efter CER-direktivet sker samtidig med

implementeringen af NIS 2-direktivet, så de samme virk-

somheder omfattes af krav fra begge direktiver baseret på

forsyningstørrelse. Baggrunden herfor skal samtidig ses i

lyset af, at der er tæt sammenhæng mellem direktiverne, og

at kravene i direktiverne komplementerer hinanden. Når den

nationale risikovurdering og strategi efter CER-direktivet

på et senere tidspunkt foreligger, vil Klima-, Energi- og

Forsyningsministeriet på ny forholde sig til identificeringen

af kritiske virksomheder. Identificering af virksomheder vil

ske på baggrund af regler fastsat på bekendtgørelsesniveau.

På den baggrund foreslås en videreførelse af den gælden-

de regulerings anvendelse af kritikalitet som parameter

for, hvornår virksomheder og anlæg omfattes af regulerin-

gen. Herved er det forsyningsstørrelsen, forstået som fx den

samlede energiproduktion, produktions- eller lagerkapacitet

eller antal kunder, og i nogle tilfælde virksomhedens eller

anlæggets rolle i energisystemerne, der er afgørende for,

om virksomheden omfattes af beredskabsregulering. Dette

skyldes, at forsyningsstørrelsen i højere grad afspejler virk-

somhedens kritikalitet for energiforsyningen. For at under-

støtte en proportionel regulering i forhold til sikkerhedsef-

fekten hos virksomhederne og de omkostninger, de skal af-

holde for at efterleve reguleringen, foreslås et differentieret

reguleringstryk. Med denne tilgang vil reguleringen stille

skærpede krav til de virksomheder, der er mest kritiske for

energiforsyningen. I de tilfælde hvor virksomheder ikke om-

fattes af CER-direktivets anvendelsesområde på baggrund af

grænseværdier fastsat på baggrund af kritikalitet, men dog

lever op til grænseværdierne for at være omfattet af NIS2-

direktivets anvendelsesområde, foreslås det, at virksomhe-

derne også vil blive omfattet af loven.

Den gældende regulering arbejder med en klassificering af

anlæg og en kategorisering af virksomheder. Det vurderes

hensigtsmæssigt at videreføre inddelingen, som vil sikre

et differentieret reguleringstryk. For at sikre tydelighed i

anvendelsen af begreber, der har betydning for hvilke krav,

der stilles til hvilke type virksomheder, vil klassificeringen

af anlæg blive videreført. Fremover vil der imidlertid ske ni-

veauinddeling af virksomheder, som erstatter den gældende

kategorisering. Reglerne forventes at blive udformet således,

at antallet af niveauer og klasser kan udvides, i det omfang

udviklingen af energisektoren kræver det.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

For at sikre implementering af NIS2- og CER-direktivets

anvendelsesområde foreslås, at loven finder anvendelse på

den type virksomheder, der fremgår af den foreslåede § 2,

stk. 1.

De regionale koordinationscentre varetager en række funk-

tioner, der er kritiske for forsyningen og beredskabet i el-

sektoren, herunder koordinering af regionale sikkerhedsbe-

regninger, transmissionssystemoperatørernes (TSO) tiltag til

sikring af systemsikkerhed samt opfølgning og rapportering

i tilfælde af black out. De omfattes således som en selvstæn-

dig gruppe af loven. Endelig medtages bygasnet som en

selvstændig gruppe for at sikre, at disse omfattes af loven,

idet de ellers ikke nødvendigvis vil være omfattet af de

øvrige typer af gasvirksomhed, nævnt i den foreslåede be-

stemmelse i § 2, stk. 1, nr. 1 – 17.

Det foreslås, at lovens anvendelsesområde baseres på en

række grænseværdier for hver af de omfattede delsektorer,

der tager udgangspunkt i virksomhedernes kritikalitet for

energiforsyningen.

Det foreslås således, at loven kun finder anvendelse på virk-

somheder, som beskæftiger under 50 personer, eller som har

en årlig omsætning og en samlet årlig balance på ikke over

10 mio. euro, såfremt virksomheden opfylder én eller flere

af de betingelser, der fremgår af den foreslåede § 2, stk. 2.

Endvidere foreslås det, at virksomheder med positiv lag-

ringspligt efter olieberedskabsloven altid vil være omfattet

den foreslåede lov, selvom de ikke selv ejer lageret eller

terminalen, som beredskabsolien befinder sig i, eller hvis

de har en kapacitet på mindre end 100.000 m

. Det er

essentielt, at virksomheder med positiv lagringspligt efter

olieberedskabsloven er omfattet af lovforslaget, idet tilgæn-

geligheden af beredskabslagrene, som disse virksomheder

holder, er en grundlæggende forudsætning for at have et

velfungerende og brugbart olielagerberedskab.

Konsekvensen af det foreslåede anvendelsesområde baseret

på direktivernes minimumskrav, samt på forsyningsstørrelse

og kritikalitet indebærer, at antallet af virksomheder, som

omfattes af beredskabskrav og fast tilsyn, ud fra et estimat

øges fra ca. 84 virksomheder til ca. 180 virksomheder. I

tillæg til de ca. 180 virksomheder estimeres det, at yderlige-

re ca. 200 energivirksomheder med lille forsyning vil blive

omfattet af nye krav om en beredskabsplan og et kontakt-

punkt.

For de foreslåede bestemmelser i § 16 og kapitel 5, der ve-

drører muligheden for at få foretaget sikkerhedsgodkendelse

eller baggrundskontrol, forslås et bredere anvendelsesområ-

de end for de resterende bestemmelser i loven. Dette er

nødvendigt for at aktører, der er leverandører til de af loven

omfattede virksomheder, også kan blive sikkerhedsgodkendt

eller få foretaget baggrundskontrol, således at leverandøren

vil kunne udføre de opgaver, som de virksomheder, der om-

fattet af lovforslagets § 2, stk. 1 og 2, skal have udført. Der

kan også være andre aktører, som har en mere indirekte

betydning for modstandsdygtigheden, cybersikkerheden og

beredskabet i energisektoren, fx rådgivende fora som ikke

har nogle kontraktuelle forhold til de virksomheder, der

omfattet af § 2, stk. 1 og 2, men som har aktiviteter, som

alle sektorens virksomheder kan drage fordel af. Dette kan

fx indebære udvikling af best practices for cybersikkerhed

i OT-miljøer (operationel teknologi), som er de systemer,

der ofte anvendes i styring eller overvågning af mekaniske

systemer i bl.a. energisektoren.

Det foreslås, at forslagets bestemmelser om baggrundskon-

trol og sikkerhedsgodkendelser, også finder anvendelse på

aktører, der ikke allerede omfattes af loven, men som va-

retager opgaver som direkte led i eller i forbindelse med

leveringen af de tjenester og aktiviteter, der varetages af

virksomheder omfattet af loven. Formålet med at omfatte

dem af bestemmelserne er ikke at fastsætte krav om at

sådanne aktører skal have foretaget baggrundskontrol eller

sikkerhedsgodkendelse af deres personale, men blot åbne op

for klima-, energi- og forsyningsministeren har hjemmel til

baggrundskontrollere og sikkerhedsgodkende sådanne aktø-

rer, når det findes nødvendigt.

Det vurderes hensigtsmæssigt, at lovforslaget finder anven-

delse på operatører af infrastruktur, der ligger på havet el-

ler på havbunden. Det fremgår således af den foreslåede

bestemmelse i § 2, stk. 4, at loven vil finde anvendelse på

land- og søterritoriet, i den danske eksklusive økonomiske

zone samt på den danske kontinentalsokkel.

Klima-, energi- og forsyningsministerens sektoransvar om-

fatter alene beredskab med henblik på, at den danske energi-

forsyning kan fungere. Derfor foreslås det, at energi i transit

mellem to andre lande uden direkte forbindelse til Danmarks

energiinfrastruktur vil være undtaget lovforslaget. Herefter

vil lovforslaget ikke finde anvendelse på transmissionssyste-

mer på søterritoriet, i den eksklusive økonomiske zone og

på den danske kontinentalsokkel, der ikke har tilslutning til

danske forsyningsnet.

3.2. Foranstaltninger for beredskab og modstandsdygtig-

hed i energisektoren

3.2.1. Gældende ret

Efter gældende ret skal virksomheder med bevilling til net-

virksomhed efter elforsyningslovens § 10, virksomheder

med bevilling til elproduktion efter elforsyningslovens § 19,

virksomheder med tilladelse til elproduktion over 25 MW

efter elforsyningslovens § 11 eller efter § 29 i VE-loven,

virksomheder med bevilling til distribution af gas efter §

10 i gasforsyningsloven, Energinet og Energinets helejede

datterselskaber, balanceansvarlige virksomheder, centrale la-

gerenheder, virksomheder med positiv lagringspligt efter

olieberedskabsloven, virksomheder der driver anlæg til pro-

duktion og fremføring af bygas, samt rettighedshavere med

tilladelse til efterforskning og indvinding af kulbrinter eller

tilladelse til etablering og drift af rørledningsanlæg i forbin-

delse med indvinding af kulbrinter planlægge og gennemfø-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

re beredskab for deres forsyning af elektricitet, naturgas,

råolie, mineralolieprodukter, bygas og kulbrinter.

Forpligtelserne for disse virksomheder er i dag overordnet

set fastsat i en række forsyningslove, som for visse delsekto-

rer i energisektoren er yderligere udmøntet i en eller flere

bekendtgørelser. Der er således tale om § 85 b og § 85 c i

elforsyningsloven, § 15 a og § 15 b i gasforsyningsloven,

§ 16 i olieberedskabsloven, § 29 a i varmeforsyningsloven

og § 17 a i undergrundsloven, der individuelt eller sam-

men er udmøntet i elberedskabsbekendtgørelsen, naturgas-

beredskabsbekendtgørelsen, it-beredskabsbekendtgørelsen,

olieberedskabsbekendtgørelse samt bekendtgørelse om iden-

tifikation og udpegning af europæisk kritisk infrastruktur på

energiområdet og vurdering af behovet for bedre beskyttel-

se.

Beredskab forstås bredt, idet forpligtigelsen angår både or-

ganisatorisk beredskab, fysisk sikring af bygninger og anlæg

samt cybersikkerhed for forsyningskritiske systemer, som

virksomheder benytter sig af i deres produktion, transmis-

sion, distribution, lagring, indvinding eller levering af elek-

tricitet, naturgas, bygas, råolie, mineralolieprodukter eller

kulbrinter.

3.2.1.1. Organisatorisk beredskab

Det følger af de ovennævnte bestemmelser, at virksomhe-

der skal foretage den nødvendige planlægning for at sikre

forsyningen i beredskabssituationer og andre ekstraordinære

situationer. Denne planlægningsforpligtelse er gældende for

de fysiske aspekter af virksomheden, for de logiske syste-

mer og for den organisatoriske styring, som virksomheden

benytter til at sikre forsyningen.

Beredskabsplanlægning indebærer således først og fremmest

organisatoriske forhold, som i dag er reguleret i elbered-

skabsbekendtgørelsens § 5, naturgasberedskabsbekendtgø-

relsens § 5, olieberedskabsbekendtgørelsens § 6 og it-bered-

skabsbekendtgørelsens § 6. Beredskabsplanlægningen inde-

bærer endvidere fysisk sikring, som i dag er reguleret i elbe-

redskabsbekendtgørelsens §§ 11-14, naturgasberedskabsbe-

kendtgørelsens §§ 11-14, olieberedskabsbekendtgørelsens §

16 og it-beredskabsbekendtgørelsens § 23, stk. 2.

Beredskabsplanlægning indebærer desuden it-beredskab

som i dag er reguleret i olieberedskabsbekendtgørelsens

§ 16 og it-beredskabsbekendtgørelsens § 23. En anden es-

sentiel del af beredskabsplanlægningen er risiko- og sårbar-

hedsvurderinger, som i dag er reguleret i elberedskabsbe-

kendtgørelsens § 6, naturgasberedskabsbekendtgørelsens §

6, olieberedskabsbekendtgørelsens § 8 og it-beredskabsbe-

kendtgørelsens § 10, samt udarbejdelse af beredskabsplaner

som i dag er reguleret i elberedskabsbekendtgørelsens §§

7, 9 og 10, naturgasberedskabsbekendtgørelsens §§ 7, 9 og

10, olieberedskabsbekendtgørelsens § 11 og it-beredskabs-

bekendtgørelsens § 14. november 2024.

Endvidere er øvelser også en del af beredskabsplanlægnin-

gen som i dag er reguleret i elberedskabsbekendtgørelsens

§ 21, naturgasberedskabsbekendtgørelsens § 21, oliebered-

skabsbekendtgørelsens § 13 og it-beredskabsbekendtgørel-

sens § 19. Desuden er underrettelsesforpligtelser også en

relevant del beredskabsplanlægningen, hvilket er reguleret

i elberedskabsbekendtgørelsens § 22 og § 23, naturgasbe-

redskabsbekendtgørelsens § 22 og § 23, olieberedskabsbe-

kendtgørelsens § 14 og § 15 og it-beredskabsbekendtgørel-

sens § 21 og § 22.

Derefter er en række operative forhold omkring beredska-

bet i el, naturgas og oliesektoren reguleret elberedskabsbe-

kendtgørelsens §§ 24-26, naturgasberedskabsbekendtgørel-

sens §§ 24-26, olieberedskabsbekendtgørelsens § 4 og it-be-

redskabsbekendtgørelsens § 4. Endeligt er en vigtig del af

beredskabet i el-, naturgas og oliesektoren uddannelse af le-

delse og personale, hvilket i dag er reguleret i elberedskabs-

bekendtgørelsens § 20, naturgasberedskabsbekendtgørelsens

§ 20, olieberedskabsbekendtgørelsens § 12 og it-beredskabs-

bekendtgørelsens § 18.

Det følger af krav til organisatoriske forhold i el- og na-

turgassektoren, at virksomheder skal udpege en beredskabs-

koordinator, en it-beredskabsansvarlig medarbejder, en ope-

rationel kontakt og en eller flere sikringsansvarlige medar-

bejdere, jf. elberedskabsbekendtgørelsens § 5, naturgasbe-

redskabsbekendtgørelsens § 5 og it-beredskabsbekendtgørel-

sens § 6.

Beredskabskoordinatoren varetager sammen med den sik-

ringsansvarlige medarbejder virksomhedens beredskabsop-

gaver, herunder kontakt til myndigheder inkl. politiet, jf.

§ 5, stk. 2, i elberedskabsbekendtgørelsen og naturgasbe-

redskabsbekendtgørelsens § 5, stk. 2. Den it-beredskabs-

ansvarlige medarbejder koordinerer virksomhedens sikring

af forsyningskritiske it-systemer, jf. it-beredskabsbekendtgø-

relsens § 6, stk. 1, og skal mindst fire gange om året koor-

dinere it-beredskabet med det almene beredskab sammen

med beredskabskoordinatoren og ledelsen, jf. § 6, stk. 3 i

it-beredskabsbekendtgørelsen. Der må af samme årsag ikke

være personsammenfald mellem beredskabskoordinatoren,

den it-beredskabsansvarlige og ledelsen, jf. it-beredskabsbe-

kendtgørelsens § 6, stk. 4.

Den/de sikringsansvarlige medarbejder(e) er en konkret

medarbejder, der skal varetage beredskabs- og sikringsop-

gaver for et eller flere individuelle anlæg, jf. § 5, stk.

1, i elberedskabsbekendtgørelsen og naturgasberedskabsbe-

kendtgørelsen. Mens de andre roller har et bredere ansvar

for virksomhedens beredskab, har den sikringsansvarlige

medarbejder et ansvar for et eller flere anlæg, som virksom-

heden ejer.

Det følger af § 5, stk. 3, i elberedskabsbekendtgørelsen og

naturgasberedskabsbekendtgørelsen, at virksomheders ope-

rationelle kontakt når som helst skal kunne fungere som for-

bindelsesled til virksomheden, hvilket betyder at kontakten

skal kunne modtage informationer fra myndighederne og/

eller Energinet. Den operationelle kontakt sikrer, at virksom-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

heden iværksætter de nødvendige foranstaltninger, herunder

videreformidling af informationer internt i virksomheden.

Virksomheder i oliesektoren skal efter olieberedskabsbe-

kendtgørelsens § 6, stk. 2, kunne modtage varsler fra andre

virksomheder og myndigheder samt iværksætte relevante

tiltag ved modtagelse af et varsel.

I tillæg til udpegelsen af diverse beredskabsroller fastsæt-

ter gældende ret krav til, at virksomheder skal sikre, at de

medarbejdere, som skal indgå i beredskabet, løbende mod-

tager den fornødne instruktion, uddannelse og træning i dis-

se opgaver, jf. elberedskabsbekendtgørelsens § 20, naturgas-

beredskabsbekendtgørelsens § 20, olieberedskabsbekendtgø-

relsens § 12 og it-beredskabsbekendtgørelsens § 18.

Der er ligeledes krav om, at virksomheder i el- og natur-

gassektoren skal udarbejde og gennemføre awareness-tiltag

om it-sikkerhed, jf. it-beredskabsbekendtgørelsens § 20, her-

under formidle oplysning om hvordan it-sikkerheden skal

varetages af den berørte gruppe af medarbejdere eller af

eksterne. Det følger særligt af henholdsvis stk. 2 og stk. 3, at

de mest kritiske virksomheder skal gennemføre årlige awa-

reness-tiltag, mens de mindre kritiske kun skal gennemføre

dem minimum hvert tredje år.

3.2.1.1.1. Risiko- og sårbarhedsvurderinger

Efter gældende ret skal virksomheder, der i dag er omfat-

tet af beredskabsreguleringen, udarbejde en vurdering af

virksomhedens risici og sårbarheder i relation til virksom-

hedens kontinuitet, jf. elberedskabsbekendtgørelsens § 6,

naturgasberedskabsbekendtgørelsens § 6 og olieberedskabs-

bekendtgørelsens § 8, herunder risici og sårbarheder som

kan påvirke virksomhedens forsyningskritiske it-systemer,

jf. it-beredskabsbekendtgørelsens § 10.

Udarbejdelsen af risiko- og sårbarhedsvurderingen foregår

ved, at virksomheder modtager en samling af risiko- og

sårbarhedsscenarier fra Energistyrelsen, som virksomheden

skal forholde sig til i udarbejdelsen af risiko- og sårbar-

hedsvurderingen (ROS). Virksomheden skal i analysen af

risiko- og sårbarhedsscenarierne vurdere konsekvenserne

for virksomhedens kontinuitet, såfremt et scenarier udspil-

ler sig, og på denne baggrund identificere virksomhedens

sårbarheder. Virksomheden skal herefter udvælge passende

foranstaltninger til at mitigere og styre identificerede risici

og sårbarheder samt prioritere beredskabet i forhold til de

identificerede risici og sårbarheder.

En risiko- og sårbarhedsvurdering er overordnet set virk-

somhedens vurdering af, hvordan forskellige trusselscenari-

ers kan få konsekvenser for egen forsyningsevne. Risiko- og

sårbarhedsvurderingens konklusionerne giver virksomheden

indsigt i egne sårbarheder og hjælper med at afgøre, hvordan

virksomheden bør fokusere beredskabsarbejdet, herunder i

forhold til at afdække behovet for intern prioritering af res-

sourcer til beredskabsarbejdet.

3.2.1.1.2. Beredskabsplanlægning og øvelser

Efter gældende ret er det et krav, at virksomheder skal ud-

arbejde beredskabsplaner og it-beredskabsplaner for hånd-

tering af beredskabssituationer, jf. elberedskabsbekendtgø-

relsens § 7, naturgasberedskabsbekendtgørelsens § 7, olie-

beredskabsbekendtgørelsens § 11 og it-beredskabsbekendt-

gørelsens § 14. Beredskabsplanerne skal baseres på virk-

somhedens risiko- og sårbarhedsvurdering samt beskrive

virksomhedens krisehåndtering, herunder hvordan virksom-

hedens krisehåndteringsorganisation aktiveres, etableres og

driftes, og hvordan der koordineres og udsendes informa-

tion. Beredskabsplanen skal kunne bruges som en operativ

vejledning, når en beredskabssituation bliver varslet eller

opstår.

Virksomheder i el- og naturgassektoren skal efter § 20 og

§ 21, stk. 1, i henholdsvis elberedskabsbekendtgørelsen og

naturgasberedskabsbekendtgørelsen, afholde øvelser, som

træner virksomhedens beredskab. Elberedskabsbekendtgø-

relsens § 21, stk. 3 og naturgasberedskabsbekendtgørelsens

§ 21, stk. 3 stiller krav om, at der mindst hvert andet år

holdes en øvelse, og at øvelserne skal være planlagt, så

de over en femårig periode dækker de væsentligste dele af

virksomhedens beredskab.

Det følger af it-beredskabsbekendtgørelsens § 19, at virk-

somheder i el- og naturgassektoren skal afholde øvelser af

virksomhedens it-beredskabsplaner. Der stilles efter § 19,

stk. 3 forskellige krav til hyppigheden af øvelser alt efter,

hvilken kategori en virksomhed befinder sig i; Kategori 1-

virksomheder skal som minimum afholde én årlig øvelse af

it-beredskabet samt gennemføre awareness-tiltag årligt efter

§ 18. Kategori 2- og 3-virksomheder skal derimod tilsik-

re, at virksomhedens it-beredskabsplaner i relevant omfang

øves, når det almene beredskab øves, samt at virksomheden

gennemfører awareness-tiltag minimum hvert andet år, jf. §

18.

Virksomheder i el- og naturgassektoren skal efter § 21, stk.

3 i henholdsvis elberedskabsbekendtgørelsen og naturgasbe-

redskabsbekendtgørelsen udarbejde en femårig øvelsesplan

for at sikre, at virksomheders beredskabsplaner trænes og

fungerer efter hensigten. Den femårige øvelsesplan skal

indeholde elementer for både it-beredskab og klassisk be-

redskab og skal opdateres minimum årligt. Den femårige

øvelsesplan er tentativ, forstået på den måde at den må og

skal tilpasses løbende. Øvelsesplanerne indgår som en del

af Energistyrelsens tilsyn med virksomhederne, men de skal

dog ikke fremsendes til godkendelse.

Det følger af § 21, stk. 4 i henholdsvis elberedskabsbekendt-

gørelsen og naturgasberedskabsbekendtgørelsen, at virksom-

heder i el- og naturgassektoren skal evaluere afholdte øvel-

ser og sende en evalueringsrapport til Energistyrelsen senest

tre måneder efter, at øvelsen er afholdt. Rapporten skal in-

deholde beskrivelser af øvelsens forløb, opnåede erfaringer

samt hvordan og hvornår, virksomheden planlægger at følge

op på læringspunkter fra øvelsen.

Energistyrelsen kan i særlige tilfælde godkende, at virksom-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

heders evaluering af en hændelse kan erstatte en planlagt

øvelse, jf. elberedskabsbekendtgørelsens § 22, stk. 2 og

naturgasberedskabsbekendtgørelsens § 22, stk. 2. Det forud-

sætter dog, at virksomheden ansøger om at få hændelsen

godkendt som en øvelse, at Energistyrelsen har modtaget

en øvelsesplan, og at hændelsen er indarbejdet i den, at hæn-

delsen i væsentligt omfang har afprøvet konkrete forhold i

beredskabsplanen, at hændelsen har den samme værdi som

en planlagt øvelse, og at der er udarbejdet en tilfredsstillen-

de evaluering af hændelsen.

For el- og naturgassektoren skal Energinet efter gældende

ret afholde beredskabsøvelser i anvendelse af sektorbered-

skabsplanen, jf. elberedskabsbekendtgørelsens § 21, stk. 2,

naturgasberedskabsbekendtgørelsens § 21, stk. 2.

Virksomheder i oliesektoren skal efter § 13, stk. 1 og

3 i olieberedskabsbekendtgørelsen afholde øvelser med ud-

gangspunkt i egne beredskabsplaner minimum én gang år-

ligt. Det fremgår særligt af § 13, stk. 2, at virksomheder

skal udarbejde en treårig øvelsesplan, som indeholder alle

væsentlige elementer, inklusiv elementer fra alment bered-

skab og it-beredskab. Virksomheder skal endvidere evalue-

re afholdte øvelser, som angiver øvelsens forløb, opnåede

erfaringer samt planlagt opfølgning på læringspunkter og

tidsplan herfor, jf. § 13, stk. 4.

3.2.1.1.3. Hændelsesrapporteringer

Det fremgår af elberedskabsbekendtgørelsens § 23, natur-

gasberedskabsbekendtgørelsens § 23 og it-beredskabsbe-

kendtgørelsens § 21, at virksomheder i el- og naturgassek-

torerne omgående skal underrette Energinet om beredskabs-

hændelser og alvorlige it-sikkerhedshændelser, der er af

relevans for beredskabssituationen i el- og naturgassekto-

ren. Energinet skal omgående underrette Energistyrelsen,

såfremt indberetningen er af betydning for el- eller naturgas-

forsyningen på nationalt niveau, samt vurdere, om informa-

tion om hændelsen skal viderebringes til Center for Cyber-

sikkerhed eller andre virksomheder i el- eller naturgassekto-

rerne.

Virksomheder i oliesektoren skal efter § 14 i olieberedskabs-

bekendtgørelsen uden ugrundet ophold underrette Energisty-

relsen om hændelser, der i væsentlig grad reducerer virk-

somhedens eller den centrale lagerenheds funktionalitet eller

funktionaliteten af andre dele af oliesektoren. Virksomhe-

derne skal uden ugrundet ophold underrette Energistyrel-

sen og Center for Cybersikkerhed om it-sikkerhedshændel-

ser, der påvirker forsyningskritiske it-systemer, gennem Er-

hvervsstyrelsens dertil indrettede internetbaserede portal.

3.2.1.2. Fysisk sikring

Efter den gældende ret klassificerer Energistyrelsen el- og

naturgassektorens anlæg efter anlæggenes betydning for at

opretholde henholdsvis el- og naturgasforsyningen på na-

tionalt, regionalt og lokalt niveau. Klasse 1-anlæg anses

som mest forsyningskritisk, mens klasse 3-anlæg anses som

mindst forsyningskritisk. Klassificeringen af et anlæg afgør,

hvilke krav der stilles til sikringen af det pågældende anlæg.

Det følger af § 13, stk. 1, i henholdsvis elberedskabs-

bekendtgørelsen og naturgasberedskabsbekendtgørelsen, at

klasse 1-anlæg og klasse 2- anlæg i el- og naturgassektoren

skal sikres således, at anlægget har lav sårbarhed over for

såvel funktionssvigt af offentligt udbudte net og tjenester

for elektronisk kommunikation som funktionssvigt af væ-

sentlige it-systemer. Anlæggene skal dertil have nødstrøms-

forsyning, som i tilfælde af strømafbrydelse sikrer anlæggets

funktionalitet i perioden frem til strømforsyningens reetable-

ring.

Det fremgår af § 13, stk. 2, i henholdsvis elberedskabs-

bekendtgørelsen og naturgasberedskabsbekendtgørelsen, at

ubemandede klasse 1-anlæg i el- og naturgassektoren skal

sikres mod uautoriseret adgang gennem etablering af me-

kaniske og elektroniske sikrings- og overvågningsforanstalt-

ninger. Uautoriseret adgang skal omgående alarmeres til et

døgnbemandet kontrolrum eller en af Rigspolitiet godkendt

kontrolcentral, hvortil virksomheden skal have procedurer

til at sikre, at alarmer modtages og behandles således, at der

sker en hurtig og kvalificeret reaktion.

Virksomheder skal i henhold til § 13, stk. 3, i henholds-

vis elberedskabsbekendtgørelsen og naturgasberedskabsbe-

kendtgørelsen endvidere etablere et system for styret ad-

gangskontrol på klasse 1-anlæg i el- og naturgassektoren,

hvor der tages stilling til, hvem der kan få adgang til hvilke

dele af anlægget, og hvor der løbende føres log over denne

adgang.

Virksomheder skal jf. § 13, stk. 4, i henholdsvis elbe-

redskabsbekendtgørelsen og naturgasberedskabsbekendtgø-

relsen, dertil regelmæssigt og som minimum hver måned

føre kontrol med, at de nævnte foranstaltninger for fysisk

sikring i bekendtgørelsernes § 13, gennemføres, er intakte

og fungerer efter hensigten, hvilket virksomheden skal føre

log over.

Ifølge olieberedskabsbekendtgørelsens § 16, stk. 1, skal

virksomheder i oliesektoren sikre, at forsyningskritiske an-

læg beskyttes i forhold til deres kritikalitet. Virksomheder

skal desuden, sikre forsyningskritiske anlæg mod uautorise-

ret adgang, jf. § 16, stk. 2.

3.2.1.3. It-beredskab

I tillæg til de ovennævnte foranstaltninger stiller den gæl-

dende regulering krav til virksomhedernes it-beredskabs-

planlægning.

Det følger af § 10 i olieberedskabsbekendtgørelsen og § 12

i it-beredskabsbekendtgørelsen, at virksomheder i planlæg-

ningen af deres it-beredskab skal identificere forsyningskri-

tiske it-systemer og informationsstrømme med styringskriti-

ske relationer, som virksomheden har til andre virksomheder

eller aktører. Virksomheder udarbejder planmateriale, som

beskriver virksomhedens forsyningskritiske it-systemer, her-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

under afhængigheder af leverandører og andre systemer i

de forsyningskritiske it-systemers forsyningskæde, jf. olie-

beredskabsbekendtgørelsens § 10, stk. 1, nr. 1 og 3, og it-be-

redskabsbekendtgørelsens § 14, stk. 2, nr. 1.

Virksomheder skal udarbejde it-beredskabsplaner, som skal

baseres på virksomhedens risiko- og sårbarhedsvurdering

og indgå en del af virksomhedens samlede beredskabsplan-

lægning, jf. olieberedskabsbekendtgørelsens § 11, stk. 1,

og it-beredskabsbekendtgørelsens § 14, stk. 1 og 4. It-bered-

skabsplaner skal blandt andet indeholde beskrivelser af virk-

somhedens interne ansvars- og rollefordeling under krisesty-

ring, herunder intern ansvarsplacering for forsyningskritiske

it-systemer, samt operativ ansvarsdeling mellem virksomhe-

den og dens samarbejdsparter, jf. olieberedskabsbekendtgø-

relsens § 11, stk. 2, nr. 3-5, og it-beredskabsbekendtgørel-

sens § 14, stk. 2, nr. 3, 4 og 9.

For virksomheder i el- og naturgassektoren skal it-bered-

skabsplanerne også beskrive virksomhedens kommunikation

med Energinet eller Energistyrelsen og virksomhedens it-

sikkerhedstjeneste, jf. it-beredskabsbekendtgørelsens § 14,

stk. 2, nr. 5.

It-beredskabsplaner efter olieberedskabsbekendtgørelsens §

11 og it-beredskabsbekendtgørelsens § 14 skal dertil inde-

holde beskrivelser af forebyggende foranstaltninger til at

imødegå utilsigtede it-hændelser, inklusiv muligheden for

at segmentere virksomhedens it-infrastruktur og muligheden

for alternative driftsformer, samt procedurer for etablering

af alternativ drift og genopretning af forsyningskritiske it-

systemer. Virksomheder, der anvender fjernadgang til forsy-

ningskritisk it-systemer, skal have en plan for, hvordan an-

greb på disse systemer opdages og håndteres. It-beredskabs-

planer skal endvidere indeholde planer for dokumentation

og opfølgning på hændelser.

Ud over it-beredskabsplanlægningen skal virksomheder ef-

ter gældende ret sikre, at den fysiske opbevaring af forsy-

ningskritiske it-systemer beskyttes i forhold til deres kritika-

litet for forsyningen på lige vilkår med den fysiske beskyt-

telse af fysiske anlæg, jf. olieberedskabsbekendtgørelsens

§ 16 og it-beredskabsbekendtgørelsens § 23. I det omfang

at virksomhederne anvender leverandører til virksomhedens

it-systemer, har virksomheden efter gældende ret ansvar for

it-sikkerheden og skal etablere procedurer for adgangssty-

ring for leverandører af forsyningskritiske it-systemer, jf.

olieberedskabsbekendtgørelsens § 17, stk. 1 og 2, og it-be-

redskabsbekendtgørelsens § 24, stk. 1 og 2. Derudover stil-

les der krav om, at virksomhederne skal bevare ejerskab af

data og at adgangen til data logges og opbevares i sikre

lokaler, jf. olieberedskabsbekendtgørelsens § 17, stk. 3, og

it-beredskabsbekendtgørelsens § 24, stk. 3.

Det følger af den gældende ret, at virksomheder i el- og

naturgassektoren skal være tilmeldt en proaktiv it-sikker-

hedstjeneste, der yder vejledning og mitigering af sårbarhe-

der samt giver informationer og varsler om it-sikkerhedstru-

sler, jf. it-beredskabsbekendtgørelsens § 25, stk. 1. Katego-

ri 1-virksomheder og kategori 2-virksomheder, som er de

mest forsyningskritiske virksomheder, skal endvidere være

tilmeldt en reaktiv it-sikkerhedstjeneste, der bistår virksom-

heden ved nedbrud eller angreb på it-systemer, herunder

yder assistance til akut skadesbegrænsning, bevisindsamling

og reetablering i akutte sikkerhedsmæssige situationer, jf.

it-beredskabsbekendtgørelsens § 25, stk. 2. Virksomheder

skal hertil sikre, at oplysninger, der har sikkerhedsmæssig

betydning for andre virksomheder i energisektoren, kan vi-

derebringes og bliver viderebragt til andre virksomheder, jf.

it-beredskabsbekendtgørelsens § 25, stk. 3.

3.2.2. CER-direktivet

Det følger af CER-direktivets artikel 12, stk. 1, at kritiske

enheder inden for ni måneder efter modtagelsen af den i

artikel 6, stk. 3, omhandlede underretning, når det er nød-

vendigt efterfølgende, og mindst hvert fjerde år, på grundlag

af medlemsstatsrisikovurderinger og andre relevante infor-

mationskilder, foretager en risikovurdering for at vurdere

alle relevante risici, der kunne forstyrre leveringen af deres

væsentlige tjenester (»kritiske enheders risikovurderinger«).

Det følger desuden artikel 12, stk. 2, at risikovurderinger

skal tage højde for alle relevante naturlige og menneske-

skabte risici, der kunne føre til en hændelse, herunder af

tværsektoriel eller grænseoverskridende karakter, ulykker,

naturkatastrofer, folkesundhedskriser og hybride trusler og

andre antagonistiske trusler, herunder terrorhandlinger som

fastsat i direktiv (EU) 2017/541. En kritisk enheds risiko-

vurdering skal tage hensyn til det omfang andre sektorer

anført i bilaget afhænger af den væsentlige tjeneste, der

leveres af den kritiske enhed, og det omfang den kritiske

enheds afhænger af væsentlige tjenester, der leveres af andre

enheder i sådanne andre sektorer, herunder i nabomedlems-

stater og tredjelande hvor det er relevant.

Af direktivets artikel 13, stk. 1 fremgår det, at kritiske

enheder træffer passende og forholdsmæssige tekniske, sik-

kerhedsmæssige og organisatoriske foranstaltninger for at

sikre deres modstandsdygtighed på grundlag af de relevante

oplysninger, som medlemsstaterne har givet om medlems-

statsrisikovurderingen, og af resultaterne af de kritiske en-

heders risikovurderinger, herunder foranstaltninger, der er

nødvendige for at: a) forhindre hændelser i at indtræffe un-

der behørig hensyntagen til katastroferisikoreduktions- og

klimatilpasningsforanstaltninger, b) sikre tilstrækkelig fysisk

beskyttelse af deres lokaler og kritiske infrastruktur under

behørig hensyntagen til fx hegn, barrierer, værktøjer og

rutiner til overvågning af perimetre, detektionsudstyr og

adgangskontrol, c) reagere på, modstå og afbøde følgerne

af hændelser under behørig hensyntagen til gennemførelsen

af risiko- og krisestyringsprocedurer og -protokoller samt

varslingsrutiner, d) sikre genopretning efter hændelser under

behørig hensyntagen til forretningskontinuitetsforanstaltnin-

ger og identifikation af alternative forsyningskæder for at

genoptage leveringen af væsentlige tjenester, e) sikre pas-

sende medarbejdersikkerhedsstyring under behørig hensyn-

tagen til foranstaltninger såsom fastsættelse af kategorier

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

af personale, der udøver kritiske funktioner, fastlæggelse

af adgangsrettigheder til lokaler, kritisk infrastruktur og føl-

somme oplysninger, fastsættelse af procedurer for baggrund-

skontrol i overensstemmelse med artikel 14 og udpegelse

af kategorier af personer, som er forpligtet til at gennem-

gå sådanne baggrundskontrol, samt fastlæggelse af passen-

de uddannelseskrav og kvalifikationer, f) øge bevidstheden

blandt det relevante personale om de foranstaltninger, der

er omhandlet i litra a)-e), under behørig hensyntagen til

uddannelseskurser, informationsmateriale og øvelser.

Med henblik på første afsnits litra e) sikrer medlemsstaterne,

at kritiske enheder tager hensyn til eksterne tjenesteudbyde-

res personale, når der fastsættes kategorier af personale, som

udøver kritiske funktioner.

Af artikel 13, stk. 2 fremgår det desuden, at kritiske enheder

har indført og anvender en plan for modstandsdygtighed el-

ler et eller flere tilsvarende dokumenter, der beskriver foran-

staltningerne truffet i henhold til stk. 1. Hvis kritiske enhe-

der har udarbejdet dokumenter eller truffet foranstaltninger i

henhold til forpligtelser i andre retsakter, der er relevante for

foranstaltningerne omhandlet i stk. 1, kan de anvende disse

dokumenter og foranstaltninger til at opfylde de krav, der er

fastsat i denne artikel. Den kompetente myndighed kan ved

udøvelsen af sine tilsynsfunktioner erklære, at en kritisk en-

heds eksisterende modstandsdygtighedsstyrkende foranstalt-

ninger, der på en passende og forholdsmæssig måde tager

hånd om de tekniske, sikkerhedsmæssige og organisatoriske

foranstaltninger, som er omhandlet i stk. 1, helt eller delvist

opfylder forpligtelserne i henhold til denne artikel.

Af artikel 13, stk. 3, fremgår det endeligt, at hver kritisk

enhed udpeger en forbindelsesofficer eller tilsvarende som

kontaktpunkt for de kompetente myndigheder.

3.2.3. NIS 2-direktivet

Det fremgår af NIS 2-direktivets artikel 20, stk. 1, at, de

væsentlige og vigtige enheders ledelsesorganer godkender

de foranstaltninger til styring af cybersikkerhedsrisici, som

disse enheder har truffet med henblik på at overholde arti-

kel 21, fører tilsyn med dens gennemførelse og kan gøres

ansvarlige for enhedernes overtrædelser af forpligtelserne i

nævnte artikel.

Anvendelsen af dette stykke berører ikke national ret for så

vidt angår de ansvarsregler, der gælder for offentlige insti-

tutioner, samt ansvaret for embedsmænd og personer valgt

eller udnævnt til offentlige hverv.

Det fremgår desuden af artikel 20, stk. 2, at medlemmerne af

væsentlige og vigtige enheders ledelsesorganer er forpligtet

til at følge kurser, og skal tilskynde væsentlige og vigtige

enheder til løbende at tilbyde tilsvarende kurser til deres an-

satte, således at de opnår tilstrækkelige kundskaber og fær-

digheder til at kunne identificere risici og vurdere metoderne

til styring af cybersikkerhedsrisici og deres indvirkning på

de tjenester, der leveres af enheden.

Af direktivets artikel 21, stk. 1, fremgår det, at væsentlige

og vigtige enheder træffer passende og forholdsmæssige tek-

niske, operationelle og organisatoriske foranstaltninger for

at styre risiciene for sikkerheden i net- og informationssy-

stemer, som disse enheder anvender til deres operationer

eller til at levere deres tjenester, og for at forhindre hæn-

delser eller minimere deres indvirkning på modtagere af

deres tjenester og på andre tjenester. Under hensyntagen

til det aktuelle teknologiske stade og i givet fald til rele-

vante europæiske og internationale standarder samt gennem-

førelsesomkostningerne skal de i første afsnit omhandlede

foranstaltninger tilvejebringe et sikkerhedsniveau i net- og

informationssystemer, der står i forhold til risiciene. Ved

vurderingen af proportionaliteten af disse foranstaltninger

tages der behørigt hensyn til graden af enhedens ekspone-

ring for risici, enhedens størrelse og sandsynligheden for

hændelser og deres alvor, herunder deres samfundsmæssige

og økonomiske indvirkning.

Af artikel 21, stk. 2, fremgår det desuden, at de i stk. 1 om-

handlede foranstaltninger baseres på en tilgang, der omfatter

alle farer og sigter på at beskytte net- og informationssyste-

mer og disse systemers fysiske miljø mod hændelser, og

mindst omfatter følgende: a) politikker for risikoanalyse og

informationssystemsikkerhed, b) håndtering af hændelser,

c) driftskontinuitet, såsom backup-styring og reetablering

efter en katastrofe, og krisestyring, d) forsyningskædesik-

kerhed, herunder sikkerhedsrelaterede aspekter vedrørende

forholdene mellem den enkelte enhed og dens direkte leve-

randører eller tjenesteudbydere, e) sikkerhed i forbindelse

med erhvervelse, udvikling og vedligeholdelse af net- og

informationssystemer, herunder håndtering og offentliggø-

relse af sårbarheder, f) politikker og procedurer til vurde-

ring af effektiviteten af foranstaltninger til styring af cyber-

sikkerhedsrisici, g) grundlæggende cyberhygiejnepraksisser

og cybersikkerhedsuddannelse, h) politikker og procedurer

vedrørende brug af kryptografi og, hvor det er relevant,

kryptering, i) personalesikkerhed, adgangskontrolpolitikker

og forvaltning af aktiver, j) brug af løsninger med multi-

faktorautentificering eller kontinuerlig autentificering, sikret

tale-, video- og tekstkommunikation og sikrede nødkommu-

nikationssystemer internt i enheden, hvor det er relevant.

Af artikel 21, stk. 3, fremgår det endvidere, at enhederne,

når de overvejer, hvilke foranstaltninger omhandlet i den-

ne artikels stk. 2, litra d), der er passende, tager hensyn

til de sårbarheder, der er specifikke for hver direkte leve-

randør og tjenesteudbyder, og den generelle kvalitet af de-

res leverandørers og tjenesteudbyderes produkter og cyber-

sikkerhedspraksis, herunder deres sikre udviklingsprocedu-

rer. Medlemsstaterne sikrer også, at enhederne, når de over-

vejer, hvilke foranstaltninger omhandlet i nævnte litra, der

er passende, er forpligtet til at tage hensyn til resultaterne af

de koordinerede sikkerhedsrisikovurderinger af kritiske for-

syningskæder, der foretages i overensstemmelse med artikel

22, stk. 1.

3.2.4. Klima-, Energi- og Forsyningsministeriets overvejel-

ser og den foreslåede ordning

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Klima-, Energi- og Forsyningsministeriet vurderer, at det

hybride trusselsbillede giver anledning til at nytænke sam-

fundets beredskab, herunder hvordan kritiske anlæg og net-

og informationssystemer gøres modstandsdygtige over for

både cybertruslen, fysiske trusler og konsekvenserne af kli-

maforandringerne samt andre hændelser, så forsyningssik-

kerheden opretholdes.

I den sammenhæng vurderes det hensigtsmæssigt, at den

fysiske sikring tænkes sammen med et højt cybersikkerheds-

niveau, samt at disse understøttes af det organisatoriske be-

redskab og at virksomhederne i deres risikostyring løbende

forholder sig til nye trusler og sårbarheder. Således er det

formålet med lovforslaget, at virksomhederne øger deres

robusthed, og ud fra en risikobaseret tilgang minimerer sår-

barheder over for fx fysisk spionage, sabotage, uautoriseret

adgang og manipulation af data samt kompromittering af

kritiske systemer og følsomme dokumenter.

På den baggrund foreslår Klima-, Energi- og Forsyningsmi-

nisteriet med dette lovforslag, at der tilvejebringes hjemmel

til, at der vil kunne fastsættes nærmere regler om organisa-

torisk beredskab, fysisk sikring og cybersikkerhed af ener-

gisektoren, der vil modsvare det hybride trusselsbillede og

de nye sårbarheder, som især digitaliseringen af energiinfra-

strukturen har introduceret. Samtidig forventes det at den

udmøntende regulering vil kunne tage højde for nye tekno-

logier, som introduceres i forbindelse med den grønne om-

stilling. Derudover vil der kunne fastsættes regler om en

ledelsesmæssig forankring af arbejdet med risikostyring i

forhold til cybersikkerhed og fysisk sikkerhed.

3.2.4.1. Organisatorisk beredskab

Klima-, Energi- og Forsyningsministeriet vurderer, at det

organisatoriske beredskab er et afgørende led i at etablere

en organisation, der i tilstrækkelig grad kan identificere og

mitigere potentielle risici for energiforsyningen. Det vurde-

res derfor hensigtsmæssigt, at der vil kunne fastsættes reg-

ler om, at omfattede virksomheder skal have klare rammer

for risikostyring, hvor både relevante trusler og sårbarhe-

der løbende kan identificeres og styres, og hvor tekniske,

fysiske og organisatoriske foranstaltninger evalueres. Den-

ne form for risikostyring, hvor sikkerhedsrisici vil indgå

som et centralt element i virksomhedens beslutninger, vur-

deres ligeledes at burde indgå som en del af virksomhedens

beslutninger om væsentlige ændringer i deres systemer, i

deres leverandørforhold og i beslutninger vedrørende nye

projekter, der vurderes at have betydning for processer eller

funktioner, der er kritiske for leveringen af virksomhedens

tjeneste.

3.2.4.1.1. Risikostyring

Klima-, Energi- og Forsyningsministeriet foreslår, at mini-

steren bemyndiges til at fastsætte regler om, at virksomhe-

der vil skulle udarbejde politikker for risikostyring, der skal

identificere og vurdere de væsentligste risici for virksom-

hedens organisation, net- og informationssystemer og infra-

struktur, således at risikostyringen forankres på det organisa-

toriske plan i virksomhederne. Den risikobaserede tilgang

vil dermed være en overordnet ramme for de foreslåede

bestemmelser i §§ 6-8 og for arbejdet med at udarbejde risi-

kovurderinger og gennemføre de foreslåede foranstaltninger.

Der vil kunne fastsættes regler om, at virksomhederne vil

skulle underrette relevante medarbejdere om de identifice-

rede risici, og identificere hvem, der er ansvarlige for at

implementere foranstaltningerne. Således vil der med den

foreslåede § 6, stk. 2, nr. 1-2, blive fastsat krav om en tyde-

lig ansvarsdeling, hvor ledelsen vil kunne gøres ansvarlig

for virksomhedens overordnede risikostyring, og som skal

understøtte, at der vil kunne iværksættes passende tiltag til

styring af risici efter reglerne i lovforslagets § 23, stk. 2, nr.

Det foreslås som led heri, jf. § 6, stk. 2, nr. 4, at virksomhe-

derne vil skulle udpege en beredskabskoordinator, en cyber-

koordinator og et operationelt kontaktpunkt, som bl.a. skal

sikre en effektiv kommunikation med myndighederne i kri-

sesituationer. Det foreslås således, at nuværende ordning for

udpegelsen af beredskabsroller vil blive videreført i vidt om-

fang i udmøntningen af bemyndigelsesbestemmelsen. Det

vurderes dog hensigtsmæssigt fremover at ændre betegnel-

sen it-beredskabsansvarlig til cyberkoordinator.

Med henblik på at understøtte en bredt forankret sikkerheds-

organisation vil der kunne fastsættes regler om, at virksom-

hederne vil skulle indføre procedurer, der følger en fast ka-

dence, og som skal understøtte de tekniske foranstaltninger,

som virksomhederne iværksætter. Dette vil eksempelvis in-

debære, at virksomhederne løbende vil skulle tage stilling til

risici- og sårbarheder i bl.a. firewalls, leverandørforhold og

informationsstrømme, og at virksomhederne vil skulle have

politikker og procedurer for fx patching og opdateringer, der

skal imødegå sårbarheder.

Det foreslås, at disse procedurer vil skulle indgå i virksom-

hedens politik for risikostyring og skal bl.a. understøtte sik-

kerheden af virksomhedernes net- og informationssystemer

og kritiske anlæg.

For at sikre at det kun er de medarbejdere, der har arbejds-

betinget behov, som har adgang til kritiske anlæg og net- og

informationssystemer, vil der med hjemmel i det foreslåede

§ 6, stk. 2, nr. 3 samt § 8, stk. 2, nr. 10, kunne blive fastsat

regler om, at virksomhederne vil skulle have politikker og

foranstaltninger for adgangsstyring. Der vil således skulle

være klart definerede regler for hvilke medarbejdere eller

medarbejdergrupper, der kan tilgå forskellige dele af et an-

læg eller net- og informationssystemer. Dette vil indebære,

at virksomhederne vil skulle have procedurer for, hvordan

adgange til kritiske anlæg og net- og informationssystemer

tildeles, ændres og lukkes for både virksomhedens egne

medarbejdere såvel som leverandører. Samtidig vil der vil

kunne fastsættes regler om, at virksomhederne vil skulle

føre log over denne adgang.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Med henblik på at gøre disse sikkerhedsforanstaltninger til

en fast del af virksomhedens drift forventes det ved udmønt-

ningen, at disse procedurer og de etablerede foranstaltninger

vil skulle være genstand for et fast kontrolregime.

3.2.4.1.2. Risiko- og sårbarhedsvurderinger

Klima-, Energi- og Forsyningsministeriet foreslår, at der

vil kunne fastsættes regler om at virksomhedernes risiko-

og sårbarhedsvurderinger og handlingsplaner vil skulle gen-

nemgås med fast interval, eller når nye risici, trusler eller

sårbarheder erkendes samt ved væsentlige ændringer af

virksomhedens organisation, kritiske net- og informations-

systemer eller infrastruktur eller ved ændringer i trusselsbil-

ledet. Det er hensigten, at bemyndigelserne i § 6, stk. 2,

nr. 6, udmøntes i nærmere regler, hvorefter vurderingen

af cybersikkerhedsrisici, organisatoriske risici og fysiske

risici vil skulle koordineres med virksomhedernes opdate-

ringer af deres risiko- og sårbarhedsvurderinger. Der vil

ligeledes kunne fastsættes regler om, at udarbejdelsen af

risiko- og sårbarhedsvurderingerne af henholdsvis forhold,

der vedrører cybersikkerhed og fysisk sikring vil skulle

følge samme kadence for udarbejdelse og indsendelse til

Energistyrelsen. Den forventede udmøntende ordning vil så-

ledes understøtte virksomhedernes modstandsdygtighed, ved

at der sikres sammenhæng i virksomhedernes risikostyring

af fysiske og cyberrelaterede trusler og sårbarheder.

3.2.4.1.3. Risikovurdering af projekter

Det er et væsentligt element i den fremadrettede beredskabs-

regulering, at virksomhedernes arbejde med risikostyring

vil indebære, at virksomhederne vil skulle tage stilling til

relevante sikkerhedsrisici i forbindelse med projekter og le-

verandøraftaler, der har mulighed for at påvirke leveringen

af tjenesten. Denne påvirkning kan enten være på grund af

mulig påvirkning af kritiske dele af organisationen, net- og

informationssystemer, der har betydning for leveringen af

tjenesten eller som følge af større anlægsprojekter. Derfor

foreslås det, jf. § 6, stk. 2, nr. 6, at der vil kunne fastsættes

krav om, at virksomhederne vil skulle foretage en risikovur-

dering af det pågældende projekt eller af leverandøraftalen,

som omfatter en vurdering af eventuelle sikkerhedsrisici.

I sammenhæng med § 6, stk. 2, nr. 1, foreslås det derudover,

at risikovurderingen vil skulle indgå i ledelsens beslutnings-

procedurer, samt at der vil kunne fastsættes krav om, at

ledelsen vil blive gjort ansvarlig for eventuelle risici for for-

syningen, der er forbundet hermed. Den foreslåede ordning

vil således understøtte, at sikkerhedshensyn tænkes ind i

projekter fra starten, samt at risici for forsyningen og herved

samfundet minimeres med direkte involvering af ledelsen.

3.2.4.1.4. Ledelsens pligter

Klima-, Energi- og Forsyningsministeriet finder det også

væsentligt, at beredskabet ledelsesforankres. Det følger bl.a.

af NIS 2-direktivet, at ledelsesorganer godkender foranstalt-

ninger til styring af cybersikkerhedsrisici og fører tilsyn med

deres gennemførelse. Klima-, Energi- og Forsyningsministe-

riet lægger vægt på, at det er væsentligt, at ledelsesorganer

er sikkerhedsmæssigt bevidste og har en generel forståelse

for beredskabet i deres organisation samt kender deres le-

delsesmæssige ansvar. Dette skal være med til at sikre, at

arbejdet med virksomhedens modstandsdygtighed tildeles

ledelsesfokus, og at ledelsen såvel som medarbejdere har

de nødvendige faglige kompetencer og viden til at træffe be-

slutninger vedrørende risikostyring i forhold til sikkerheds-

trusler og sårbarheder.

Det foreslås, at der vil kunne fastsættes krav om, at virksom-

hedernes ledelse vil skulle tage stilling til virksomhedens

vurdering af cybersikkerhedsrisici og sikkerhedsrisici mod

kritisk infrastruktur som en fast del af virksomhedens arbej-

de med risikostyring. Den foreslåede ordning vil medføre,

at virksomhedens ledelse vil skulle have et samlet risikobil-

lede, der repræsenterer kendte og mulige risici mod produk-

tionen, forsyningen eller leveringen af tjenesten. Ordningen

vil desuden sikre, at den løbende stillingtagen til sikkerheds-

risici forankres hos virksomhedernes beslutningstagere.

Ligeledes foreslås det, at der vil kunne fastsættes krav

om, at ledelsen vil skulle deltage i virksomhedens bered-

skabskoordinering med henblik på, at ledelsen har overblik

over, hvordan virksomheden organiserer virksomhedens be-

redskab. I tråd med NIS 2-direktivets krav om at ledelsen

skal gøres ansvarlige for foranstaltninger til styring af cy-

bersikkerhedsrisici, vil der kunne fastsættes krav om, at

ledelsen vil skulle godkende virksomhedens foranstaltnin-

ger til styring af risici mod forsyningen og gøres retligt

ansvarlige for virksomhedens overtrædelse af forpligtelser-

ne i beredskabsreguleringen. Med den foreslåede ordning

går Klima-, Energi-, og Forsyningsministeriet dog videre

end direktivet ved med § 6, stk. 2, nr.1, at foreslå, at der

vil kunne fastsættes krav om, at ledelsen både vil skulle

kunne gøres ansvarlige for foranstaltninger til styring af

organisatorisk sikkerhed, fysisk sikring og cybersikkerhed

på baggrund af den foreslåede § 23, stk. 1 og § 37, stk. 1,

nr, 4. Heraf følger, at ledelsen også vil kunne gøres retligt

ansvarlige for virksomhedernes overtrædelser af beredskabs-

reguleringen, uanset om der er tale om overtrædelser, der

relaterer sig til den organisatoriske sikkerhed, den fysiske

sikring af kritiske energiinfrastruktur eller om der er tale om

cybersikkerhed. Dette foreslås ud fra en betragtning om, at

organisatoriske forhold, cybersikkerhed og fysisk sikring er

lige kritiske, samt at det i praksis kan være svært at sondre

mellem en overtrædelse, der vedrører det organisatoriske,

cybersikkerhed eller fysik sikring.

NIS 2-direktivet stiller derudover krav om, at ledelsen følger

kurser, der gør dem i stand til at vurdere risici og styring

af cybersikkerhedsrisici. Med lovforslagets § 6, stk. 2, nr. 2,

foreslås at udvide dette krav således at der vil kunne fastsæt-

tes krav om, at ledelsen i danske energiselskaber ville skulle

tilegne sig en tilstrækkelig viden inden for styring af risici,

der relaterer sig til cybersikkerhed såvel som fysisk sikring,

god sikkerhedskultur og beredskab. Dette vil understøtte,

at vurderingen af sikkerhedsrisici indgår i virksomhedens

løbende risikostyring. Den foreslåede ordning vil således

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

sikre, at ledelsen er i stand til at træffe beslutninger på et

oplyst grundlag og stille kritiske spørgsmål.

3.2.4.1.5. Beredskabsplanlægning

Det foreslås at der vil kunne fastsættes krav om, at virk-

somhederne vil skulle foretage den nødvendige beredskabs-

planlægning, således at virksomhederne udarbejder bered-

skabsplaner, der er baseret på risiko- og sårbarhedsvurde-

ringerne, og som beskriver relevante tiltag, der skal sikre

virksomhedens modstandsdygtighed og kontinuiteten af for-

syningen. Det er desuden hensigten, at bemyndigelserne i §

6, stk. 2, nr. 8, udmøntes til at omfatte beredskabssituationer,

der i væsentlig grad reducerer funktionaliteten i virksomhe-

den og eventuelt øvrige dele af energisektoren eller af sam-

fundet. Den foreslåede ordning vil i vidt omfang videreføre

gældende ret for udarbejdelse og indhold af beredskabspla-

ner.

3.2.4.1.6. Modstandsdygtighed og krisestyring

Krisestyring, hændelseshåndtering og genopretning er vital

for at øge samfundets robusthed og opretholde forsynings-

sikkerheden. På den baggrund foreslås det i § 6, stk. 2,

nr. 8, § 7, stk. 2, nr. 4, samt § 8, stk. 2, nr. 5-6 og nr.

11, der vil kunne fastsættes krav til virksomhedernes planer

for genoprettelse af virksomhedens tjenester, herunder net-

og informationssystemer, komponenter og anlæg samt til de

tekniske og organisatoriske foranstaltninger, der skal sikre

en effektiv hændelseshåndtering. Dette vil indebære, at der

vil kunne fastsættes krav om, at der etableres og dokumente-

res procedurer for hændelseshåndtering.

Det foreslås derudover, at der vil kunne fastsættes krav

om, at de relevante beredskabsforanstaltninger vil skulle

trænes og at virksomhederne vil skulle foretage øvelsesplan-

lægning. Det er hensigten med bemyndigelsen i § 6, stk.

2, nr. 9, at der vil kunne fastsættes regler om, at gældende

krav til øvelsesplanlægning, afholdelse og –evaluering i vidt

omfang vil skulle videreføres.

Det foreslås, at der vil skulle sikres sammenhæng mel-

lem træningen af det klassiske beredskab og cyberberedska-

bet. Klima-, Energi- og Forsyningsministeriet foreslår såle-

des, at der vil kunne fastsættes krav om, at der vil skulle

ske koordinering af øvelser, der træner henholdsvis det klas-

siske beredskab og cyberberedskab, og at de fremover følger

samme kadence for afholdelse, evaluering og indsendelse til

Energistyrelsen.

Det foreslås desuden, at der vil kunne fastsættes krav om, at

Energinet fortsat vil skulle afholde beredskabsøvelser for el-

og naturgassektoren, og at Energistyrelsen vil være ansvarlig

for at afholde beredskabsøvelser for de sektorer, der ikke

tidligere har været omfattet af krav om beredskab og cyber-

sikkerhed.

Endvidere foreslås det, at der vil kunne fastsættes krav om,

at relevante leverandører vil skulle deltage i de øvelser,

hvor de vurderes at have en rolle i tilfælde af en hændel-

se. Udmøntningen af bemyndigelsen i § 6, stk. 2, nr. 7, vil

understøtte, at både virksomhederne og deres leverandører

er bevidste om deres ansvar i tilfælde af en hændelse. Det

er væsentligt, at beredskabsplanlægningen klart definerer

roller og ansvar for de involverede i håndteringen af en be-

redskabssituation. Ligeledes er det væsentligt, at disse roller

koordinerer virksomhedens beredskabsforanstaltninger på

tværs af forretningsområder. For el- og naturgassektorerne

vil den nuværende praksis blive videreført med hensyn til

Energinets ansvar for at udarbejde risiko- og sårbarhedsvur-

deringer, sammenfattende beredskabsplaner og sektorbered-

skabsplaner for henholdsvis det sammenhængende elforsy-

ningssystem og gasforsyningssystem.

3.2.4.1.7. Hændelseshåndtering og genopretning

Som det også understreges i NIS 2- og CER-direktiver-

ne, er klare procedurer for hændelseshåndtering essentielt

i en beredskabssituation og skal bidrage til, at organisati-

onen kan opretholde eller genoprette driften oven på hæn-

delsen. Det er ligeledes væsentligt, at ledelsen prioriterer

midler til hændelseshåndtering og genopretning, samt at

ledelsen er bevidst om dennes rolle i organisationens kri-

sestyring. Samtidig skal hændelseshåndteringen muliggøre

koordination på tværs af aktører og myndigheder, således at

andre organisationer er informeret om truslen, og risikoen

for at denne kan sprede sig til andre organisationer.

I energisektoren er det ikke altid muligt at skelne mellem en

beredskabssituation, der aktiverer det fysiske beredskab eller

cyberberedskabet eller udvikler sig på en måde, der involve-

rer begge typer beredskaber. For at imødekomme dette, og

for at understøtte en effektiv krisestyring, foreslår Klima-,

Energi- og Forsyningsministeriet, at der vil kunne fastsættes

ens krav til begge typer hændelseshåndteringer og -indberet-

ninger. Ligeledes foreslås det, at der i risikostyringen og i

beredskabsplanlægningen vil skulle være en højere grad af

sammenhæng mellem den fysiske sikkerhed og cybersikker-

hed, end det er tilfældet efter den gældende regulering.

3.2.4.2. Fysisk sikring

Fysisk sikring af anlæg medvirker til at forsinke eller be-

sværliggøre hændelser, herunder spionage og anden uautori-

seret adgang, der kan kompromittere anlæggets sikkerhed

og potentielt påvirke forsyningssikkerheden. Derudover kan

en helhedsorienteret fysisk sikring af anlæg medvirke til

at understøtte den logiske sikkerhed af energiinfrastruktu-

ren. I den gældende beredskabsregulering stilles udelukken-

de krav om fysisk sikring af ubemandede klasse 1-anlæg,

som er de mest forsyningskritiske anlæg efter gældende re-

gulering. Klima-, Energi- og Forsyningsministeriet vurderer

imidlertid, at bemanding af anlæg ikke nødvendigvis giver

en tilstrækkelig sikkerhed, hvorfor der fremover også bør

stilles krav til den fysiske sikring af bemandede anlæg.

Klimaforandringerne introducerer en øget fysisk risiko i

form af naturkatastrofer og ekstreme vejrforhold samt lang-

sigtede ændringer i klimaforholdene. Dette kan have betyd-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

ning for energiinfrastrukturens kapacitet, effektivitet og le-

vetid. Det følger af CER-direktivet, at virksomhederne i

deres beredskab skal forholde sig til bl.a. klimatilpasnings-

foranstaltninger.

Digitaliseringen af energiinfrastruktur betyder, at infrastruk-

turen er forbundet i netværk. Dermed kan en hændelse i

ét anlæg have konsekvenser for andre anlæg. Dette gør ener-

giinfrastruktur sårbar over for cyberangreb, men det betyder

også, at den fysiske sikkerhed er afgørende for at forhindre

adgang til de dele af anlæggene, der er tilkoblet et samlet

system. I det omfang et anlæg har netværksadgang til et

større net eller system, introducerer disse også en potentiel

sårbarhed. I denne sammenhæng kan mindre anlæg, der ikke

er tilstrækkeligt sikret, være medvirkende til en kompromit-

tering af fx et sammenhængende elnet.

Det hybride trusselsbillede bevirker, at virksomheder i ener-

gisektoren skal have et højt niveau af modstandsdygtighed

over for både naturlige og menneskeskabte farer, hvad enten

de er hændelige eller tilsigtede. Dette indebærer også, at

virksomhederne skal sikre, at deres anlæg og infrastruktur

kan modstå stadigt hyppigere ekstreme vejrhold, som inten-

siveres af klimaforandringerne.

På den baggrund foreslår Klima-, Energi- og Forsyningsmi-

nisteriet, at der vil kunne fastsættes krav om, at virksomhe-

derne vil skulle vurdere de risici mod deres infrastruktur, der

er forbundet med naturkatastrofer og ekstreme vejrforhold,

som klimaforandringerne intensiverer. Således foreslås det i

§ 7, stk. 2. nr. 1, at virksomhedernes sikringsforanstaltninger

vil skulle minimere risikoen for hændelser ved at sikre, at

deres anlæg og kritiske systemer har lav sårbarhed gennem

katastroferisikoreduktions- og klimatilpasningsforanstaltnin-

ger. Kravet er således en implementering af CER-direktivets

krav til samme.

Med den foreslåede ordning, vil der kunne fastsættes krav

om, at virksomhedernes sikringsforanstaltninger derudover

vil skulle understøtte, at anlæg og net- og informationssy-

stemer med betydning for leveringen af tjenesten beskyttes

mod uautoriseret adgang. Den fysiske sikring af anlæg og

net- og informationssystemer vil skulle medvirke til at for-

sinke eller besværliggøre uautoriseret adgang inden for ram-

merne af sektoransvaret. Med bestemmelsen i § 7, stk. 2,

nr. 2-3 foreslås det, at der vil kunne fastsættes krav om,

at virksomhederne på baggrund af egne risikovurderinger

vil skulle etablere den nødvendige fysiske sikring i form af

passende perimetersikring rund om anlægget, skalsikring af

selve anlægget og cellesikring af udvalgte rum eller kompo-

nenter i anlægget.

Som følge af den foreslåede bemyndigelse, vil der kunne

fastsættes krav om, at virksomhederne vil skulle sikre, at de

får en alarm, hvis nogen forsøger uautoriseret at tilgå deres

anlæg, bygninger og installationer. Virksomheden vil skulle

kunne verificere, at der er tale om forsøg på uautoriseret

adgang, samt kunne alarmere vagtselskaber, politi eller lig-

nende via en certificeret vagtcentral, afhængig af karakteren

af uautoriseret adgang. Både detektion, verifikation og alar-

mering vil skulle ske hurtigt og kvalificeret.

Med henblik på at sikre sammenhæng mellem den logiske

og fysiske sikring af energiinfrastrukturen foreslås det i §

7, stk. 2, nr. 2-3 samt i § 8, stk. 2, nr. 1, at der vil kunne

fastsættes krav om, at der stilles krav om at netværksudstyr,

der ikke i sig selv har betydning for leveringen af tjenesten,

men som giver mulighed for logisk adgang til net- og infor-

mationssystemer med betydning for leveringen af tjenesten,

vil skulle have fysisk sikring. Et sådan krav, vil skulle med-

virke til at minimere risikoen for, at uvedkommende kan få

adgang til net- og informationssystemer med betydning for

leveringen af tjenesten gennem netværksudstyret placeret på

andre lokationer. Tilstrækkelig fysisk sikring kan bidrage

til at minimere konsekvenserne af uautoriseret adgang. I

den sammenhæng foreslås det, at virksomhederne vil skulle

være i stand til at detektere og alarmere.

Derudover foreslås det med § 7, stk. 2, nr. 4, at der vil kunne

fastsættes krav om, at virksomhederne skal etablere proce-

durer for hændelseshåndtering, som sikrer, at deres anlæg og

kritiske systemer er i stand til at videreføre forretningen el-

ler hurtigst muligt komme på fode igen. Det foreslås derfor,

at beredskabsplanlægningen vil skulle indeholde planer og

procedurer for, hvordan de reagerer på en sådan alarm. Det

foreslås desuden, at de nuværende krav til sikringsplaner og

genopretning i vidt omfang videreføres.

3.2.4.3. Cybersikkerhed

3.2.4.3.1. Industrielle kontrolsystemer

Inden for en række energivirksomheders net- og informati-

onssystemer er der industrielle kontrolsystemer, som benyt-

tes til at overvåge og styre forsyningsprocesser (fx spæn-

dingsniveau, temperatur og tryk). Industrielle kontrolsyste-

mer forstås her som digital overvågning og styring af fysi-

ske systemer. Således kan industrielle kontrolsystemer fx

forstås som en betegnelse for it-systemer (informationstek-

nologi) eller elementer heraf, der overvåger og kontrolle-

rer enkelte OT-systemer (operationel teknologi). Operatio-

nel teknologi er de programmerbare digitale systemer eller

enheder, der interagerer med det fysiske miljø eller styrer

enheder, der interagerer med det fysiske miljø. Dette kan

fx være SCADA-systemer, SRO-systemer samt PLC’er og

RTU’er.

Nogle af disse industrielle kontrolsystemer har – i modsæt-

ning til normale it-systemer – typisk en lang levetid på op

mod 30-40 år, og kan være svære at hærde og dermed gøre

mindre sårbare over for kompromittering, da det kan forstyr-

re produktionen at sikkerhedsopdatere produkterne. Det gør

systemerne særligt sårbare, hvis en angriber får adgang til

systemerne. Udviklingen går i retning af, at de kontrolsyste-

mer, der styrer de fysiske processer, smeltes sammen med

øvrige dele af virksomhedernes netværk, og at der skabes

flere indgange til kontrolsystemerne end tidligere. Klima-,

Energi-, og Forsyningsministeriet vurderer derfor, at det er

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

væsentligt, at de industrielle kontrolsystemer beskyttes, og

at virksomhederne har overblik og styring i forhold til bl.a.

netværksarkitektur, adgang, integrationspunkter, autentifice-

ring og logning. På den baggrund foreslås det i § 7, stk. 2,

nr. 2-3 samt i § 8, stk. 2, nr. 1-3, at der stilles skærpede krav

til både den logiske og fysiske sikring af kritiske net- og

informationssystemer samt til den geografiske placering af

disse.

3.2.4.3.2. Internetforbundne enheder og fjernadgange

Der ses et øget brug af internetforbundne enheder, som skal

understøtte øget produktions- og forbrugsfleksibilitet samt

datadeling. Større dele af den infrastruktur og de systemer,

som understøtter produktion, transmission, distribution og

monitorering af energi, forbindes enten direkte eller indirek-

te til internettet. Denne udvikling er med til at skabe nye

angrebsvinkler og mulige sårbarheder, som kan påvirke pro-

cesser med betydning for leveringen af tjenesten. Det er

samtidig gradvist blevet mere udbredt at udføre opgaver

inden for de kritiske net- og informationssystemer via fjern-

adgange. Det er således ofte ikke nødvendigt, at operatører

befinder sig i virksomhedens kontrolcenter eller på transfor-

merstationen for at udføre systemopgaver, da det i flere

tilfælde kan udføres fx hjemmefra hos leverandøren. Det

betyder dog samlet set, at angrebsfladen vokser. I § 8, stk. 2,

nr. 10 foreslås det derfor, at der vil kunne fastsættes krav om

fremover stilles skærpede tekniske og organisatoriske krav

til, hvordan fjernadgang kan benyttes på en sikker måde.

3.2.4.3.3. Leverandørstyring

Mange energiselskaber er afhængige af leverandører, som

selv typisk er afhængige af underleverandører, hvilket ska-

ber lange leverandørkæder. Dette kan gøre energiselskaber-

ne sårbare over for supply chain-angreb og udbredelsen

af sårbarheder i leverandørernes produkter. Sårbarhederne

i forhold til angreb i leverandørkæden understreger, at der er

behov for at stille skærpede krav til leverandørforhold lige-

som NIS 2-direktivet stiller krav om forsyningskædesikker-

hed. Med den foreslåede § 6, stk. 2, nr. 7, vil der kunne fast-

sættes krav om, at virksomhederne inddrager vurderingen

af eventuelle risici for forsyningssikkerheden i beslutninger

om leverandøraftaler, samt at leverandørerne bliver bevidste

om deres betydning for forsyningssikkerheden i en eventuel

beredskabssituation.

Derudover ses en tendens hos nogle virksomheder i energi-

sektoren mod outsourcing, hvilket kan medføre at net- og

informationssystemernes sårbarhed over for cyberspionage

og cyberkriminalitet øges. For at understøtte en tilstrækkelig

sikkerhed i forhold til hvem, der har adgang til virksomhe-

dernes net- og informationssystemer og for at undgå kom-

promittering af disse, foreslås det i § 8, stk. 2, nr. 3, at der

vil kunne fastsættes krav til hvordan outsourcing kan ske

på forsvarlig vis, herunder at der vil ske en afgrænsning af,

til hvilke lande der kan foretages outsourcing af driften af

kritiske net- og informationssystemer.

Det er essentielt, at virksomhederne vurderer risici for for-

syningssikkerheden ved indgåelse af leverandøraftaler. Det

foreslås derfor i § 6, stk. 2, nr. 7, at der vil kunne fast-

sættes krav om, at virksomhederne vil skulle stille krav

til deres leverandører af tjenester, net- og informationssy-

stemer, komponenter og anlæg, der understøtter processer

med betydning for leveringen af tjenesten. Det er således

hensigten med den foreslåede bemyndigelse, at leverandøren

overholder beredskabsreguleringen for så vidt angår de leve-

rancer, der har betydning for leveringen af tjenesten, samt at

virksomhederne fører kontrol hermed. For at understøtte at

sikkerhedsrisici udgør et væsentligt parameter i beslutninger

vedrørende leverandøraftaler, foreslås det i § 6, stk. 2, nr.

6-7 og i § 8, stk. 2, nr. 4, at der vil kunne fastsættes krav om,

at virksomhederne vil skulle stille krav til deres leverandører

på baggrund af en risikovurdering af den pågældende aftale,

herunder en vurdering af leverandøren samt kritikaliteten

af de tjenester, net- og informationssystemer, komponenter

eller anlæg, der vil blive påvirket af den pågældende afta-

le. Derudover foreslås det, at der vil kunne fastsættes krav

om, at de sikkerhedsrisici, der er forbundet med leverandør-

og outsourcingaftaler, gøres klart for ledelsen i den pågæl-

dende virksomhed, således at denne kan træffe beslutninger

på et oplyst grundlag, jf. den foreslåede § 6, stk. 2, nr. 1.

3.2.4.3.4. Awareness og uddannelse

For at sikre et højt niveau af sikkerhed af virksomhedens

kritiske systemer, infrastruktur og anlæg foreslås det med

§ 6, stk. 2, nr. 10, at der vil kunne fastsættes krav om, at

virksomhederne vil skulle indføre cybersikkerhedsuddannel-

se og awareness-tiltag for virksomhedens medarbejdere. Det

er således hensigten med udmøntningen af bemyndigelsen,

at virksomhederne fastsætter et ambitiøst niveau for, hvor-

dan sikkerhedshensyn og de risici, der er forbundet med det

hybride trusselsbillede, gøres til en central del af medarbej-

dernes bevidsthed, samt hvordan medarbejderne bør agere

for at beskytte kritiske systemer, informationer, infrastruktur

og anlæg.

3.2.4.3.5. Backup og logning

For at sikre tilstrækkelig og hurtig reetablering efter en

hændelse er det centralt, at virksomheden har backup-sty-

ring, da backup fungerer som virksomhedens livslinje i til-

fælde af fx et cyberangreb, hvor virksomheden har mistet

data. Idet nedetid typisk er kritisk i energisektoren, er gen-

oprettelse af systemer fra backup, samt procedurer for hvor-

dan man sikrer netværket mod yderligere kompromittering,

essentiel. Det foreslås derfor i § 8, stk. 2, nr. 5, at der

vil kunne fastsættes krav om, at virksomhederne vil skulle

have backup-styring. Derudover foreslås det i § 8, stk. 2,

nr. 6, at der vil kunne fastsættes krav om, at virksomheder-

ne vil skulle have en logpolitik for hvilke aktiviteter og

datastrømme, der skal logges, samt have etableret tekniske

værktøjer, der foretager den relevante logning, som bl.a. kan

understøtte hændelseshåndtering og efterfølgende hændel-

sesopklaring. For de virksomheder, der er mere kritiske for

energiforsyningen, foreslås det derudover, at virksomheden

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

løbende og risikobaseret vil skulle monitorere netværket,

således at man er i stand til at opdage uregelmæssigheder i

net- og informationssystemer i realtid.

3.2.4.3.6. Netværkssikkerhed

Med § 8, stk. 2, nr. 1-2, foreslås det, at der vil kunne fastsæt-

tes krav til virksomhedernes netværkssikkerhed, herunder

at virksomhederne skal indføre passende netværkssegmente-

ring, der opdeler net- og informationssystemer i netværk

eller zoner ud fra en vurdering af systemernes relationer og

funktioner. Gennem netværkssegmentering sikrer virksom-

hederne sig, at de kritiske dele af netværket bliver adskilt fra

fx internettet. På den måde sikrer virksomheden sig bedre

imod, at et angreb ikke spreder sig og dermed påvirker

leveringen af tjenesten. For de virksomheder, der er mere

kritiske for energiforsyningen, foreslås det, at segmenterin-

gen vil skulle være fysisk. Med henblik på at understøtte

netværkssikkerheden foreslås det desuden, at virksomheder-

ne vil skulle have overblik og styring over arkitektur og

datatrafik, herunder eventuelle integrationspunkter, interne-

tvendte enheder og firewall-regler.

Med den foreslåede ordning vil der blive stillet krav til

virksomhedernes brug af fjernadgang til net- og informati-

onssystemer med betydning for leveringen af tjenesten. Det

er blevet mere udbredt at benytte fjernadgange til at tilgå

net- og informationssystemer, og det kan i mange tilfælde

også være med til at højne sikkerheden. Denne udvikling

bevirker imidlertid, at angrebsfladen vokser, hvorfor det i §

8, stk. 2, nr. 10, foreslås, at der bl.a. vil kunne fastsættes

krav om, at fjernadgang til virksomhedernes net- og infor-

mationssystemer gør brug af multifaktorgodkendelsesløsnin-

ger. Samtidig foreslås det, at fjernadgang til kontrolrum med

mulighed for styring af net- og informationssystemer med

betydning for leveringen af tjenesten, kun må ske under spe-

cifikke forudsætninger såsom kryptering og såfremt, der er

tale om tidsbegrænsede og personlige adgange. På den måde

etableres der sikre procedurer for, hvordan fx leverandører

får adgang til de kritiske systemer.

Derudover foreslås det med § 8, stk. 2, nr. 9, at der vil kunne

fastsættes krav om, at datatrafik på virksomhedens trådlø-

se netværk vil skulle være krypteret med en tidssvarende

løsning. Det foreslås således, at der vil kunne fastsættes

regler om kryptering og politikker og procedurer, der skal

understøtte, at virksomhedens net- og informationssystemer

behandles med den nødvendige fortrolighed, og at risikoen

for kompromittering minimeres. Efter den foreslåede § 8,

stk. 2, nr. 7, vil der kunne fastsættes krav om, at virksom-

hederne ligeledes vil skulle forholde sig til beskyttelse på

mobile enheder. Dette kan være på fx PC, mobiltelefoner

og tablets. Dette krav stilles ud fra en betragtning om, at

beskyttelse på mobile enheder er et væsentligt element for

virksomhedernes samlede sikkerhed. Konkret foreslås det,

at der stilles krav om, at mobile enheder bl.a. er adgangsko-

debeskyttet, softwareopdateret og efter relevans antivirusbe-

skyttet.

3.2.4.3.7. Outsourcing

I den nuværende regulering stilles der krav om ejerskab

af data, men der stilles ikke krav til hvem og hvor, outsour-

cingen kan ske til. I NIS 2 – og CER-direktiverne sættes

der nye krav til virksomhedernes forsyningskædesikkerhed

og leverandørstyring, men der sættes ikke krav til placerin-

gen af drift af net- og informationssystemer. Den foreslåede

ordning går således videre end direktiverne, idet det i § 6,

stk. 2, nr. 3, foreslås, at der vil kunne fastsættes krav om,

at servere og datacentre, der understøtter virksomhedernes

kritiske net- og informationssystemer med betydning for

leveringen af tjenesten på nationalt og europæisk niveau vil

skulle være underlagt EU/EØS-jurisdiktion. Det er således

hensigten med den foreslåede bemyndigelse, at der ikke

skabes afhængigheder, som kan sætte leveringen af tjenesten

under pres. Dette kan fx være i tilfælde af en ændret geo-

politisk situation. Formålet med den foreslåede ordning er

bl.a., at det vil være EU/EØS-regulering – og dermed ikke

andre landes lovgivning – der regulerer adgang til og drift af

kritiske net- og informationssystemer.

3.3. Underretning

3.3.1. Gældende ret

For el- og naturgassektoren er der fastsat regler om under-

retning af hændelser for klassisk beredskab i elberedskabs-

bekendtgørelsens § 23 og i naturgasberedskabsbekendtgørel-

sen § 23. Reglerne om underretning af hændelser for it-be-

redskabet fremgår af it-beredskabsbekendtgørelsens § 21.

For oliesektoren er der fastsat regler om underretning af be-

redskabsmæssige hændelser i olieberedskabsbekendtgørel-

sens § 14. Olieberedskabsbekendtgørelsen vedrører både

hændelser for klassisk beredskab og it-beredskab.

Det fremgår af bekendtgørelserne for både it-beredskab og

klassisk beredskab, at der skal foretages meddelelse om

hændelser, der i væsentlig grad reducerer funktionaliteten

hos den berørte juridiske person. Bekendtgørelserne stiller

også krav om, at de berørte juridiske personer efter en

hændelse skal udarbejde en hændelsesevaluering, som skal

fremsendes til myndighederne.

Der stilles kun krav om underretning af hændelser i el-, gas-

og oliesektoren inden for energisektoren.

3.3.2. CER-direktivet

Det følger CER-direktivets artikel 15, stk. 1, at kritiske

enheder uden unødigt ophold underretter den kompetente

myndighed om hændelser, der i betydelig grad forstyrrer

eller har potentiale til i betydelig grad at forstyrre leverin-

gen af væsentlige tjenester. Medlemsstaterne sikrer, at kriti-

ske enheder, med mindre det operationelt ikke er muligt,

indgiver en første underretning senest 24 timer, efter at

være blevet opmærksom på en hændelse, efterfulgt, hvor

det er relevant, af en detaljeret rapport senest en måned

derefter. Med henblik på at fastslå en forstyrrelses omfang

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

tages navnlig følgende kriterier i betragtning: a) antallet og

andelen af brugere, der er berørt af forstyrrelsen, b) forstyr-

relsens varigheden, c) det geografiske område, der er berørt

af forstyrrelsen, idet der tages hensyn til, om det er et geo-

grafisk isoleret område. Hvor en hændelse har eller kunne

have betydelig indvirkning på kontinuiteten i leveringen af

væsentlige tjenester til eller i seks eller flere medlemsstater,

underretter de kompetente myndigheder i de medlemsstater,

der er berørt af hændelsen, EU-Kommissionen om en denne

hændelse.

Det følger desuden af artikel 15, stk. 2, at underretninger

som omhandlet i stk. 1, første afsnit, skal indeholde alle

tilgængelige oplysninger, der er nødvendige for, at den kom-

petente myndighed kan forstå hændelsens art, årsag og muli-

ge konsekvenser, herunder alle tilgængelige oplysninger, der

er nødvendige for at fastslå hændelsens eventuelle grænseo-

verskridende indvirkning. Sådanne underretninger medfører

ikke et øget ansvar for kritiske enheder.

Endeligt følger det af artikel 15, stk. 4, at så snart som

muligt efter modtagelse af en underretning, som omhandlet i

stk. 1, giver den kompetente myndighed den berørte kritiske

enhed relevante opfølgende oplysninger, herunder oplysnin-

ger, som kunne understøtte en effektiv reaktion fra denne

kritiske enhed på den pågældende hændelse. Medlemsstater-

ne orienterer offentligheden, hvor de vurderer, at det vil

være i offentlighedens interesse at gøre det.

3.3.3. NIS 2-direktivet

Det følger af NIS 2-direktivets artikel 23, stk. 1, at væsentli-

ge og vigtige enheder uden unødigt ophold underretter dens

CSIRT (Computer Incident Response Team) eller i givet

fald dens kompetente myndighed i overensstemmelse med

stk. 4 om enhver hændelse, der har en væsentlig indvirk-

ning på leveringen af deres tjenester som omhandlet i stk.

3 (væsentlig hændelse). Hvor det er relevant, underretter

de pågældende enheder uden unødigt ophold modtagerne

af deres tjenester om væsentlige hændelser, der sandsynlig-

vis vil påvirke leveringen af disse tjenester negativt. Hver

medlemsstat sikrer, at disse enheder indberetter bl.a. alle

oplysninger, der gør det muligt for CSIRT�½en, eller i givet

fald den kompetente myndighed, at fastslå eventuelle græn-

seoverskridende virkninger af hændelsen. Underretningen i

sig selv medfører ikke et øget ansvar for den underrettende

enhed.

Hvor de berørte enheder underretter den kompetente myn-

dighed om en væsentlig hændelse i henhold til første afsnit,

sikrer medlemsstaten, at den pågældende kompetente myn-

dighed videresender underretningen til CSIRT�½en på tids-

punktet for modtagelsen.

I tilfælde af en grænseoverskridende eller tværsektoriel væ-

sentlig hændelse sikrer medlemsstaterne, at deres centrale

kontaktpunkter rettidigt forsynes med relevante oplysninger,

som der er givet underretning om i overensstemmelse med

stk. 4.

Det følger desuden af artikel 23, stk. 2, at væsentlige og

vigtige enheder uden unødigt ophold meddeler modtagerne

af deres tjenester, som potentielt er berørt af en væsentlig

cybertrussel, eventuelle foranstaltninger eller modforholds-

regler, som disse modtagere kan træffe som reaktion på den

pågældende trussel. Hvor det er relevant, skal enhederne

også informere de pågældende modtagere om selve den væ-

sentlige cybertrussel.

Det følger endvidere af artikel 23, stk. 4, at de berørte enhe-

der med henblik på den i stk. 1 omhandlede underretning

fremsender følgende til CSIRT�½en eller i givet fald den kom-

petente myndighed:

a) uden unødigt ophold og under alle omstændigheder inden

for 24 timer efter at have fået kendskab til den væsentlige

hændelse en tidlig varsling, som i givet fald skal angive, om

den væsentlige hændelse mistænkes for at være forårsaget

af ulovlige eller ondsindede handlinger eller kunne have en

grænseoverskridende virkning,

b) uden unødigt ophold og under alle omstændigheder inden

for 72 timer efter at have fået kendskab til den væsentlige

hændelse, en hændelsesunderretning, som i givet fald skal

ajourføre de oplysninger, der er omhandlet under litra a), og

give en indledende vurdering af den væsentlige hændelse,

herunder dens alvor og indvirkning samt kompromitterings-

indikatorerne, hvor sådanne foreligger,

c) efter anmodning fra en CSIRT eller i givet fald den

kompetente myndighed en foreløbig rapport om relevante

statusopdateringer,

d) en endelig rapport senest en måned efter forelæggelsen

af den i litra b) omhandlede hændelsesunderretning, der skal

omfatte følgende: i) en detaljeret beskrivelse af hændelsen,

herunder dens alvor og indvirkning, ii) den type trussel eller

grundlæggende årsag, der sandsynligvis har udløst hændel-

sen, iii) anvendte og igangværende afbødende foranstaltnin-

ger, iv) i givet fald de grænseoverskridende virkninger af

hændelsen.

e) i tilfælde af at en hændelse pågår på tidspunktet for

indgivelsen af den i litra d), omhandlede endelige rapport,

sikrer medlemsstaterne, at berørte enheder forelægger en

statusrapport på det pågældende tidspunkt og en endelig rap-

port senest en måned efter deres håndtering af hændelsen.

Desuden fastsætter artikel 23, stk. 5, at CSIRT�½en eller den

kompetente myndighed giver uden unødigt ophold og, hvor

det er muligt, inden for 24 timer efter modtagelsen af den

i stk. 4, litra a), omhandlede tidlige varsling den underretten-

de enhed et svar, herunder indledende tilbagemeldinger om

den væsentlige hændelse og, efter anmodning fra enheden,

vejledning eller operativ rådgivning om gennemførelsen af

mulige afbødende foranstaltninger. Hvor CSIRT�½en ikke er

den oprindelige modtager af den i stk. 1 omhandlede under-

retning, gives vejledningen af den kompetente myndighed i

samarbejde med CSIRT�½en. CSIRT�½en yder supplerende tek-

nisk bistand, hvis den berørte enhed anmoder herom. Hvor

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

den væsentlige hændelse mistænkes for at være af strafferet-

lig karakter, giver CSIRT�½en eller den kompetente myndig-

hed også vejledning om underretning om den væsentlige

hændelse til retshåndhævende myndigheder.

Endelig fastsætter artikel 23, stk. 7, at hvor offentlighedens

kendskab er nødvendig for at forebygge en væsentlig hæn-

delse eller for at håndtere en igangværende væsentlig hæn-

delse, eller hvor offentliggørelse af den væsentlige hændelse

på anden vis er i offentlighedens interesse, kan en medlems-

stats CSIRT eller i givet fald dens kompetente myndighed

og, hvor det er relevant, CSIRT�½erne eller de kompetente

myndigheder i andre berørte medlemsstater efter høring af

den berørte enhed informere offentligheden om den væsent-

lige hændelse eller kræve, at enheden gør det.

3.3.4. Klima-, Energi- og Forsyningsministeriets overvejel-

ser og den foreslåede ordning

NIS 2-direktivets artikel 23 indeholder en forpligtelse for

væsentlige og vigtige enheder til at foretage hændelsesun-

derretning, som i det væsentlige svarer til forpligtelserne i

NIS 1-direktivet.

Enhederne skal således uden unødigt ophold underrette de-

res CSIRT eller kompetente myndighed om enhver hændel-

se, der har væsentlig indvirkning på leveringen af enhedens

tjenester. Direktivet fastsætter nærmere kriterier for, hvornår

en hændelse anses for at være væsentlig, herunder; a) hvis

den har forårsaget eller er i stand til at forårsage alvorlige

driftsforstyrrelser af tjenesterne eller økonomiske tab for

den berørte enhed, eller b) den har påvirket eller er i stand

til at påvirke andre fysiske eller juridiske personer ved at

forårsage betydelig materiel eller immateriel skade.

Direktivet fastsætter endvidere bestemte frister for, hvornår

der skal afgives henholdsvis en tidlig varsling, en ajourfø-

ring heraf, en foreløbig rapport, eventuelt en statusrapport

og en endelig rapport.

Som noget nyt i forhold til NIS 1-direktivet pålægger NIS 2-

direktivet desuden væsentlige og vigtige enheder at informe-

re modtagerne af deres tjenester (brugerne) om væsentlige

hændelser, der sandsynligvis vil påvirke leveringen af disse

tjenester negativt, samt – i tilfælde af en væsentlig cyber-

trussel – om eventuelle modforanstaltninger, som brugerne

kan træffe.

Herudover foreskriver direktivet, ligesom NIS 1-direktivet,

at myndighederne efter høring af den berørte enhed kan

informere offentligheden om en væsentlig hændelse eller

kræve, at enheden gør det, såfremt dette er nødvendigt eller

i øvrigt i offentlighedens interesse. Det vurderes mest hen-

sigtsmæssigt, at den nuværende rollefordeling i forhold til

at informere offentligheden videreføres, således at det som

udgangspunkt er Energistyrelsen, der foretager dette. CFCS

inddrages ved hændelser, der kan påvirke flere sektorer, of-

fentligheden, eller som har grænseoverskridende karakter.

Det vil skulle sikres, at offentligheden informeres på en

ansvarlig måde, som ikke kompromitterer fortrolige oplys-

ninger.

Det foreslås, at klima, energi- og forsyningsministeren

vil kunne fastsætte regler om underretning og indrapporte-

ring af hændelser, væsentlige cybertrusler og nærvedhæn-

delser. Efter forslaget vil de nærmere regler implementere

NIS 2-direktivets artikel 23 om hændelsesrapporteringer og

CER-direktivets artikel 15 om kritiske enheders underret-

ningspligt. Med den foreslåede bemyndigelse vil der således

kunne fastsættes nærmere regler for, til hvem underretning

vil skulle ske, hvornår og hvor udførligt underretning vil

skulle ske. Desuden vil der kunne fastsættes nærmere regler

for, hvilke hændelser der skal indrapporteres.

Det foreslås herudover i overensstemmelse med artikel 23,

stk. 1, 2. pkt., i NIS 2-direktivet, at klima, energi- og forsy-

ningsministeren vil kunne fastsætte regler om, at virksomhe-

der vil skulle underrette modtagerne af deres tjenester, myn-

digheder eller juridiske personer, som udfører myndigheds-

opgaver, om trusler eller hændelser, der kan påvirke eller har

potentiale til at påvirke leveringen af deres tjenester. Der vil

endvidere kunne fastsættes regler om, at virksomheder vil

skulle oplyse modtagerne af deres tjenester, som potentielt

er berørt af en væsentlig hændelse, om eventuelle foranstalt-

ninger eller modforholdsregler, som modtagerne kan træffe

som reaktion på den pågældende trussel og eventuelt også

oplyse om selve truslen.

Klima-, Energi- og Forsyningsministeriet har i forbindelse

med udformningen af den foreslåede bemyndigelse til at

fastsætte regler om underretning og indrapportering af hæn-

delser, væsentlige cybertrusler og nærvedhændelser overve-

jet om de regler, der vil kunne blive fastsat i medfør af

bemyndigelsen vil være i overensstemmelse med § 10 i be-

kendtgørelse nr. 1121 af 12. november 2019 af lov om rets-

sikkerhed ved forvaltningens anvendelse af tvangsindgreb

og oplysningspligter (retssikkerhedsloven), om forbud mod

selvinkriminering.

Bestemmelsen i § 10, stk. 1, i retssikkerhedsloven bygger

bl.a. på artikel 6 i Den Europæiske Menneskerettighedskon-

vention. I den pågældende lovbestemmelse fastslås det, at

en person, som mistænkes for en lovovertrædelse, der kan

medføre straf, ikke i medfør af den øvrige lovgivning vil

have pligt til at meddele oplysninger til en forvaltningsmyn-

dighed, medmindre det kan udelukkes, at de oplysninger,

der søges tilvejebragt, har betydning for bedømmelsen af

den formodede lovovertrædelse.

Det er Klima-, Energi- og Forsyningsministeriets forvent-

ning, at det i forbindelse med efterlevelsen af reglerne om

underretning og indrapportering vil fremgå klart i vejled-

ningsmateriale, skabeloner og online formularer til brug for

underretninger og indrapporteringer efter bemyndigelsen, at

virksomheder i forbindelse med denne underretning eller

indrapportering ikke vil være forpligtigede til at afgive op-

lysninger, der vil kunne inkriminere virksomheden i forhold

til loven.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det er således Klima-, Energi- og Forsyningsministeriets

forventning, at underretningerne og indrapporteringerne vil

have fokus på, hvad der er sket og ikke hvorfor det er

sket. Underretningerne og indrapporteringerne vil dog forsat

skulle overholde minimumskravene til indhold som fastsat i

NIS 2-direktivets artikel 23 og CER-direktivets artikel 15.

Endelig foreslås det, at klima-, energi- og forsyningsministe-

ren vil kunne informere offentligheden om den væsentlige

hændelse eller kræve, at virksomheden gør det, hvis infor-

mering af offentligheden er nødvendig for at forebygge eller

håndtere hændelsen, eller hvis information om hændelsen på

anden måde er i offentlighedens interesse. I tilfælde, hvor

hændelsen berører flere samfundsvigtige sektorer, herunder

eventuelt også sektorer uden for lovens anvendelsesområde

eller hvor der er tale om en hændelse i en anden EU-med-

lemsstat, forventes det at være den nationale CSIRT og cen-

tralt kontaktpunkt, der vil kunne informere offentligheden

om den væsentlige hændelse.

Center for Cybersikkerhed (CFCS) blev ved implementerin-

gen af NIS 1-direktivet udpeget som CSIRT i Danmark, og

opgaven har hidtil været varetaget som en del af Netsikker-

hedstjenesten i CFCS.

Med den kongelige resolution af 29. august 2024 er Cen-

ter for Cybersikkerhed, bortset fra Netsikkerhedstjenesten,

blevet overdraget til Ministeriet for Samfundssikkerhed og

Beredskab. Det betyder, at Forsvarsministeriet, herunder FE,

indtil videre bibeholder ansvaret for CSIRT-funktionen.

Forud for orientering af offentligheden vil virksomheden,

der har underrettet om hændelsen, skulle høres, herunder

med henblik på vurdering af, hvilke oplysninger der må

betragtes som fortrolige. Ved overvejelse om orientering af

offentligheden om en hændelse skal det sikres, at forvalt-

ningslovens § 27 om offentligt ansattes tavshedspligt iagtta-

ges. Dette omfatter bl.a. hensynet til enkeltpersoners private

forhold, forretningshemmeligheder samt hensynet til fore-

byggelse, efterforskning og forfølgning af lovovertrædelser.

Der sikres også i den foreslåede § 15 muligheden for, at per-

soner og virksomheder, der ikke ellers er omfattet af lovens

anvendelsesområde, frivilligt kan underrette klima-, energi-

og forsyningsministen om hændelser, der har betydning for

energisektoren. Disse frivillige underretninger efter § 15,

foreslås undtaget fra aktindsigt efter lov om offentlighed i

forvaltningen og parts aktindsigt efter forvaltningsloven, i

medfør af den foreslåede bestemmelse i lovforslagets § 27.

Forslaget om at undtage disse underretninger fra aktindsigt

efter offentlighedsloven og forvaltningsloven, skyldes kra-

vet i NIS 2-direktivets artikel 30, stk. 2, afsnit 2, om at

de kompetente myndigheder og CSIRT’en beskytter fortro-

ligheden af oplysningerne, ligesom den underrettende enhed

ikke må pålægges nogen forpligtigelser, som den ikke ville

være omfattet af, hvis den ikke havde fortaget underretnin-

gen. Klima-, energi- og forsyningsministeriet forslår at den-

ne bestemmelse indføres, da det er ministeriets vurdering, at

kravene i NIS 2-direktivets artikel 30, stk. 2, afsnit 2, bedst

implementeres således.

Der henvises i øvrigt til de specielle bemærkninger til de

foreslåede §§ 12-15 og § 27.

3.4. Baggrundskontrol og sikkerhedsgodkendelse

3.4.1. Gældende ret

Gældende ret på energiområdet indeholder ikke regler om,

at der skal være mulighed for at få foretaget baggrundskon-

trol af personer i energisektoren. Enhver offentlig myndig-

hed kan efter sikkerhedscirkulærets § 13 træffe afgørelse

om sikkerhedsgodkendelse af ansatte i myndigheden og an-

satte i private firmaer, der arbejder for den offentlige myn-

dighed. Sikkerhedsgodkendelsen har kun gyldighed for den

sikkerhedsgodkendte persons arbejde for den pågældende

myndighed.

3.4.1.1. Regler om udvidet baggrundskontrol og sikkerheds-

godkendelser inden for luftfartssikkerhed

På luftfartsområdet er der i Europa-Parlamentet og Rådets

forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles

bestemmelser om sikkerhed inden for civil luftfart og om

ophævelse af forordning (EF) nr. 2320/2002 fastsat regler

om baggrundskontrol af visse personer, der udfører funktio-

ner inden for luftfartssikkerhed. De nærmere regler herom

er fastsat i bekendtgørelse nr. 2567 af 14. december 2021

om udvidet baggrundskontrol og sikkerhedsgodkendelse af

personer, som har funktioner inden for luftfartssikkerhed

(security).

Lov om luftfart, jf. lovbekendtgørelse nr. 118 af 31. janu-

ar 2024 (luftfartsloven) fastsætter regler for luftfartssikker-

hed. Loven gennemfører dele af forordning nr. 300/2008,

herunder reglerne om baggrundskontrol.

Det fremgår af luftfartslovens § 1 a, at transportministeren

kan fastsætte sådanne forskrifter, som er nødvendige for at

gennemføre de af Den Europæiske Union udstedte direkti-

ver om luftfart, eller som er nødvendige for at anvende de

af Den Europæiske Union udstedte forordninger på luftfart-

sområdet, herunder droneområdet. Det følger endvidere af

luftfartslovens § 70, stk. 1, 2. pkt., at transportministeren

kan fastsætte regler om, at der kun til personer, der er god-

kendt af politiet, kan udstedes en generel adgangshjemmel

til lufthavnens afspærrede område.

Det følger endvidere af luftfartslovens § 70 a, stk. 2,

at transportministeren efter forhandling med justitsministe-

ren kan fastsætte regler om, at personer, som udfører sik-

kerhedskontrol eller har adgang til klassificerede regler el-

ler sikkerhedsplaner i virksomheder, som er sikkerhedsgod-

kendt efter de forordninger om sikkerhed inden for civil

luftfart, der er udstedt af Den Europæiske Union, skal sik-

kerhedsgodkendes af Trafikstyrelsen.

Bemyndigelserne i luftfartslovens §§ 1 a, 70, stk.1, 2. pkt.,

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

og 70 a, stk. 2, er bl.a. udmøntet ved bekendtgørelse nr.

2567 af 14. december 2021 om udvidet baggrundskontrol

og sikkerhedsgodkendelse af personer, som har funktioner

inden for luftfartssikkerhed (security).

Bekendtgørelsen stiller krav om, at nogle ansatte i luftfarts-

sektoren enten skal gennemgå udvidet baggrundskontrol el-

ler sikkerhedsgodkendes, afhængigt af bl.a. deres ansættel-

sesfunktion. Bekendtgørelsen finder anvendelse på person-

er, der udfører funktioner, har adgange eller rettigheder

inden for luftfartssikkerhed (security), jf. bekendtgørelsens

§ 1. Det følger af bekendtgørelsens § 3, at en udvidet

baggrundskontrol skal 1) fastslå en persons identitet på

grundlag af dokumentation, 2) omfatte strafferegistre i alle

personens bopælslande for mindst de foregående fem år, 3)

omfatte personens beskæftigelse, uddannelse og eventuelle

afbrydelser i mindst de foregående fem år og 4) omfatte ef-

terretninger og andre relevante oplysninger, som de kompe-

tente nationale myndigheder råder over, og som efter deres

vurdering kan være relevante for en persons egnethed til at

arbejde i en funktion, som kræver en udvidet baggrundskon-

trol.

Ansøgninger om udvidet baggrundskontrol inden for luft-

fartssikkerhed indgives til politiet ved hjælp af elektronisk

ansøgningsblanket, jf. bekendtgørelsens § 8. Før ansøgnin-

gen indgives, skal arbejdsgiveren, lufthavnen eller luftfarts-

selskabet have gennemført ID- og CV-kontrol med et til-

fredsstillende resultat, jf. bekendtgørelsens § 8, stk. 3.

Politiet har ansvaret for sagsbehandlingen af ansøgninger

om udvidet baggrundskontrol, herunder at indhente og kon-

trollere strafferegisteroplysninger, kontrollere efterretninger

og alle andre relevante oplysninger, som politiet råder over,

samt at foretage en vurdering af alle de lovovertrædelser og

terrorhandlinger, der henvises til i forordningens bilag, jf.

bekendtgørelsens §§ 10-12. Det følger af bekendtgørelsens

§ 14, at politidirektøren ved Midt- og Vestjyllands Politi på

baggrund af oplysningerne træffer afgørelser om, hvorvidt

en person har gennemgået en udvidet baggrundskontrol med

et tilfredsstillende resultat og om tilbagekaldelse af en afgø-

relse om udvidet baggrundskontrol.

3.4.1.2. Regler om sikkerhedsgodkendelser efter sikkerheds-

cirkulære

Cirkulære nr. 10338 af 17. december 2014 om sikkerhedsbe-

skyttelse af informationer af fælles interesse for landene i

NATO eller EU, andre klassificerede informationer samt in-

formationer af sikkerhedsmæssig beskyttelsesinteresse i øv-

rigt (sikkerhedscirkulæret) indeholder de almindelige regler

for bl.a. sikkerhedsundersøgelser og sikkerhedsgodkendelser

til brug for ansættelse i offentlige myndigheder.

Det fremgår af sikkerhedscirkulærets § 13, stk. 1, at en-

hver offentlig myndighed træffer afgørelse om sikkerheds-

godkendelse af ansatte i myndigheden og ansatte i private

firmaer, der arbejder for den offentlige myndighed. Sikker-

hedsgodkendelsen har kun gyldighed for den sikkerhedsgod-

kendte persons arbejde for den pågældende myndighed. Det

fremgår af stk. 3, at Politiets Efterretningstjeneste foretager

en sikkerhedsundersøgelse til brug for den offentlige myn-

digheds afgørelse om sikkerhedsgodkendelse af ansatte.

Afgørelse om sikkerhedsgodkendelse træffes i medfør af

sikkerhedscirkulærets § 14 på grundlag af en konkret vurde-

ring af alle de oplysninger, der foreligger om personen. Der

lægges herved navnlig vægt på, om den pågældende har

udvist ubestridt loyalitet, og om den pågældende har en

sådan adfærd og karakter, herunder vaner, forbindelser og

diskretion, at der ikke kan være tvivl om den pågældendes

pålidelighed i forbindelse med håndtering af klassificerede

informationer.

Det bemærkes, at der herudover på visse særlige områder er

fastsat regler om sikkerhedsgodkendelse af personer, herun-

der på teleområdet.

3.4.1.3. Eksisterende praksis i energisektoren

Energistyrelsen træffer i dag afgørelser om sikkerhedsgod-

kendelser for så vidt angår ansatte og konsulenter i Energi-

net, som er en selvstændig offentlig virksomhed under Kli-

ma-, Energi- og Forsyningsministeriet samt konsulenter som

indgår i samarbejdsforhold med Energistyrelsen i regi af den

Nationale Operative Stab eller Lokale Beredskabsstabe efter

lov om Energinet og Sikkerhedscirkulæret.

Energistyrelsen har i dag ikke hjemmel til at sikkerhedsgod-

kende personer inden for energisektoren, der ikke er ansat

i eller udfører opgaver for Energistyrelsen eller en anden

offentlig myndighed.

I perioden fra 2019 til 2023 har Energistyrelsen dog truffet

afgørelser om sikkerhedsgodkendelse af personer inden for

energisektoren, der ikke var ansat i eller udførte opgaver

for Energistyrelsen. Den 20. april 2023 traf Energistyrelsen

en administrativ beslutning om at sætte sagsbehandlingen af

verserende sager om sikkerhedsgodkendelse af personer, der

ikke var ansat i eller udførte opgaver for Energistyrelsen, i

bero. Dette skyldtes, at Energistyrelsen blev bekendt med, at

Energistyrelsen ikke havde hjemmel til at træffe de nævnte

afgørelser. Klima-, Energi- og Forsyningsministeriet har den

23. juni 2023 orienteret Klima-, Energi- og Forsyningsud-

valget om den manglende hjemmel. ¬

3.4.2. CER-direktivet

Det følger af CER-direktivets artikel 14, stk. 1, at med-

lemsstaterne angiver, på hvilke betingelser en kritisk enhed

i behørigt begrundede tilfælde og under hensyntagen til

medlemsstatsrisikovurderingen har tilladelse til at indgive

anmodninger om baggrundskontrol af personer, der: a) va-

retager følsomme opgaver i eller til fordel for en kritisk

enhed, navnlig vedrørende den kritiske enheds modstands-

dygtighed, b) er bemyndiget til at få direkte adgang eller

fjernadgang til en kritisk enheds lokaler, oplysninger eller

kontrolsystemer, herunder i forbindelse med den kritiske

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

enheds sikkerhed, c) overvejes ansat i stillinger, der hører

under kriterierne i litra a) eller b).

Det følger desuden af artikel 14, stk. 2, at anmodninger som

omhandlet i denne artikels stk. 1 vurderes inden for en rime-

lig frist og behandles i overensstemmelse med national ret

og nationale procedurer samt relevant og gældende EU-ret,

herunder forordning (EU) 2016/679 og Europa-Parlamentets

og Rådets direktiv (EU) 2016/680(37). Baggrundskontrol

skal være forholdsmæssig og strengt begrænset til, hvad

der er nødvendigt. Den foretages udelukkende med henblik

på at vurdere en potentiel sikkerhedsrisiko for den berørte

kritiske enhed.

Endelig følger det af artikel 14, stk. 3, at en baggrundskon-

trol som omhandlet i stk. 1 som minimum skal: a) bekræfte

identiteten af den person, der er genstand for baggrundskon-

trollen, og b) kontrollere strafferegistrene for den pågælden-

de person for så vidt angår lovovertrædelser, der ville være

relevante for en bestemt stilling.

Det følger ligeledes af artikel 14, stk. 3, at når medlems-

stater foretager baggrundskontrol, skal de anvende det

europæiske informationssystem vedrørende strafferegistre

i overensstemmelse med procedurerne i rammeafgørelse

2009/315/RIA og, hvor det er relevant og finder anvendel-

se, forordning (EU) 2019/816 med henblik på indhentning

af oplysninger fra andre medlemsstaters strafferegistre. De

centrale myndigheder omhandlet i artikel 3, stk. 1, i ramme-

afgørelse 2009/315/RIA og i artikel 3, nr. 5), i forordning

(EU) 2019/816, besvarer anmodninger om sådanne oplys-

ninger inden for ti arbejdsdage efter datoen for modtagelsen

af anmodningen i overensstemmelse med artikel 8, stk. 1, i

rammeafgørelse 2009/315/RIA.

3.4.3. NIS 2-direktivet

Det bemærkes, at NIS 2-direktivet ikke indeholder regler

om baggrundskontrol eller sikkerhedsgodkendelser.

3.4.4. Klima-, Energi- og Forsyningsministeriets overve-

jelser og den foreslåede ordning

Det er Klima-, Energi- Forsyningsministeriets vurdering, at

personelsikkerhed er et væsentligt element i forhold til at

beskytte fx anlæg og systemer i energisektoren. Det er bl.a.

en væsentlig kontrol i forhold til at vurdere ansatte og kon-

sulenters pålidelighed og herunder imødegå risikoen for fx

misbrug af adgange eller rettidigheder til at forvolde skade.

Med den foreslåede § 16, stk. 1, lægges der op til, at klima-,

energi- og forsyningsministeren efter forhandling med ju-

stitsministeren kan fastsætte regler om, på hvilke betingelser

virksomheder kan få foretaget baggrundskontrol af personer

i energisektoren, der 1) varetager følsomme opgaver i eller

til fordel for en virksomhed, navnlig vedrørende virksomhe-

dens modstandsdygtighed, 2) er bemyndiget til at få direkte

adgang, indirekte adgang eller fjernadgang til virksomhe-

dens lokaler, oplysninger eller kontrolsystemer, herunder i

forbindelse med virksomhedens sikkerhed eller 3) overvejes

ansat i stillinger, der indebærer opgavevaretagelse efter nr. 1

og/eller nr. 2.

Den foreslåede bestemmelse i § 16, stk. 1, gennemfører

artikel 14 i CER-direktivet, hvorefter medlemsstaterne efter

artiklens stk. 1, angiver, på hvilke betingelser en kritisk

enhed i behørigt begrundede tilfælde og under hensyntagen

til medlemsstatsrisikovurderingen har tilladelse til at indgi-

ve anmodninger om baggrundskontrol af personer, der a)

varetager følsomme opgaver i eller til fordel for en kritisk

enhed, navnlig vedrørende den kritiske enheds modstands-

dygtighed, b) er bemyndiget til at få direkte adgang eller

fjernadgang til en kritisk enheds lokaler, oplysninger eller

kontrolsystemer, herunder i forbindelse med den kritiske

enheds sikkerhed, c) overvejes ansat i stillinger, der hører

under kriterierne i litra a) eller b).

Den foreslåede ordning medfører, at klima-, energi- og for-

syningsministeren efter forhandling med justitsministeren

vil kunne fastsætte nærmere regler, der sammen med be-

stemmelsen vil skulle udmønte den nærmere ordning for

gennemførelse af CER-direktivets artikel 14 om baggrund-

skontrol i energisektoren.

Det er udgangspunkteet for implementeringen af CER-di-

rektivets bestemmelse om baggrundskontrol er, at baggrund-

skontrollen 1) skal bekræfte identiteten af den person, der

er genstand for baggrundskontrollen og 2) kontrollere straf-

feregistrene for den pågældende person for så vidt angår

lovovertrædelser, der ville være relevante for en bestemt

stilling, jf. artikel 14, stk. 3. Det er desuden udgangspunk-

tet, at baggrundskontrollen skal være forholdsmæssig og

strengt begrænset til, hvad der er nødvendigt. Der kan dog

være sektorspecifikke behov, som tilsiger en mere omfatten-

de sikkerhedsundersøgelse i form af udvidet baggrundskon-

trol. Dette vurderes at være tilfældet i energisektoren.

Det er således forventningen, at den nærmere udmøntning

af ordningen for baggrundskontrol som minimum vil ske

i overensstemmelse med kravene i CER-direktivets artikel

14, stk. 2 og 3, men at der i den nærmere udmøntning vil

kunne være mulighed for, at indføre krav om udvidet bag-

grundskontrol i lighed med ordningen for udvidet baggrund-

skontrol på luftfartsområdet, jf. pkt. 3.4.1 ovenfor. Formålet

med at indføre krav om udvidet baggrundskontrol er mulig-

hed for at kunne indhente og kontrollere bl.a. efterretninger

og alle andre relevante oplysninger, som politiet råder over

i forhold til pågældende person. Som det også fremgår af

CER-direktivets præambelbetragtninger, vil udformningen

af baggrundskontrollen desuden skulle fastsættes under hen-

syntagen til medlemsstaternes risikovurderinger.

Det bemærkes i den forbindelse, at CER-direktivets krav

om baggrundskontrol har til formål at imødegå risikoen for,

at ansatte i kritiske enheder misbruger eksempelvis deres

adgangsret inden for den kritiske enheds organisation til at

skade og forvolde skade. Dette vil derfor også være styrende

for den nærmere vurdering af, hvilke kriterier der skal ind-

gå i overvejelserne om godkendelsesniveauet, samt hvilke

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

strafbare eller personlige forhold, der skal have betydning

for baggrundskontrollen i forhold til den konkrete stilling.

Afgørelser om, hvorvidt en person har gennemgået en udvi-

det baggrundskontrol med et tilfredsstillende resultat og om

tilbagekaldelse af en afgørelse om udvidet baggrundskon-

trol, vil skulle træffes af Energistyrelsen. Energistyrelsens

afgørelser træffes på baggrund af oplysninger om pågælden-

de person, som politiet tilvejebringer.

Det er Klima-, Energi- og Forsyningsministeriets vurdering,

at baggrundskontrol og udvidet baggrundskontrol i visse

tilfælde ikke vil være tilstrækkeligt til at sikre den fornød-

ne sikkerhed i energisektoren. Det skyldes bl.a., at nogle

ansatte eller konsulenter i energisektoren i deres konkrete

opgaveløsning har mulighed for potentielt at påvirke ener-

giforsyningen på fx regionalt, nationalt eller europæisk ni-

veau. Det kan fx være personer med direkte fysisk adgang

til kontrolrum eller personer med udvidede rettigheder inden

for virksomhedens netværk, som kan benyttes til at påvirke

energiforsyningen.

Med den foreslåede § 16, stk. 2, lægges der op til, at kli-

ma-, energi- og forsyningsministeren efter forhandling med

justitsministeren og ministeren for samfundssikkerhed og

beredskab kan fastsætte regler om sikkerhedsgodkendelse af

personer, der er omfattet af stk. 1, samt regler om ansøgnin-

ger vedrørende sikkerhedsgodkendelser, herunder betingel-

ser for indgivelse af sådanne ansøgninger samt meddelelse

og tilbagekaldelse af sikkerhedsgodkendelser.

Den foreslåede bestemmelse indebærer en særskilt hjemmel

til fastsættelse af regler om sikkerhedsgodkendelse af perso-

nale i energisektoren.

Ordningen for sikkerhedsgodkendelse vil i overensstemmel-

se med gældende praksis på området skulle indgives til Kli-

ma-, Energi- og Forsyningsministeriet, som træffer afgørelse

på baggrund af en sikkerhedsundersøgelse foretaget af Poli-

tiets Efterretningstjeneste.

Det bemærkes, at den foreslåede bestemmelse ikke ændrer

på den gældende ordning om sikkerhedsgodkendelse efter

sikkerhedscirkulæret, hvor Energistyrelsen kan træffe afgø-

relser om sikkerhedsgodkendelse for så vidt angår ansatte og

konsulenter i Energinet samt konsulenter, som indgår i sam-

arbejdsforhold med Energistyrelsen i regi af den Nationale

Operative Stab eller Lokale Beredskabsstabe efter lov om

Energinet og sikkerhedscirkulæret.

Der henvises i øvrigt til bemærkningerne til den foreslåede §

16.

3.5. Bestemmelser om gebyrbetaling for myndighedsbe-

handling

3.5.1. Gældende ret

3.5.1.1. Virksomhedernes gebyrbetaling for myndighedsbe-

handling

Det følger af elforsyningslovens § 51 d og gasforsynings-

lovens § 30 a, stk. 5-7, at de virksomheder, der i dag

er pålagt krav om beredskabsplanlægning, fysisk sikring

og cybersikkerhed i el- og gassektorerne, halvårligt skal

betale et beløb til Klima-, Energi- og Forsyningsministeriet

til dækning af omkostningerne ved ministeriets tilsyn med

virksomhedernes overholdelse af regler udstedt i medfør af

elforsyningslovens §§ 85 b, stk. 4, og 85 c, stk. 6, samt

gasforsyningslovens §§ 15 a, stk. 4, og 15 b, stk. 6.

Denne betalingsforpligtelse trådte i kraft den 1. juli 2019

ved lov nr. 494 af 1. maj 2019 om ændring lov om Energi-

net, lov om elforsyning og lov om naturgasforsyning. Med

denne lov blev det sikret, at den planlagte virksomhedsover-

dragelse af tilsynsforpligtelsen med de ovennævnte bered-

skabsregler fra Energinet til Energistyrelsen den 1. juli 2019

kunne finansieres gennem en betaling fra de virksomheder,

der modtog dette tilsyn.

De ovennævnte bestemmelser § 51 d i elforsyningsloven og

§ 30 a, stk. 5-7, i gasforsyningsloven er bemyndigelsesbe-

stemmelser, hvorefter ministeren kan fastsætte nærmere reg-

ler om størrelsen af de beløb, som de nævnte virksomheder

skal betale, og nærmere regler om betaling og opkrævning

af disse beløb.

Gebyrernes størrelse er blevet fastsat i bekendtgørelse nr.

805 af 15. juni 2023 om betaling for myndighedsbehand-

ling i Energistyrelsen (gebyrbekendtgørelsen). Gebyrerne

er jf. § 10 i gebyrbekendtgørelsen fastsat som generelle

grundbeløb fordelt på 4 kategorier og gradueret således, at

gebyret er størst for virksomheder i kategori 1 og lavest

for virksomheder i kategori 4. De fire gebyrkategorier for

gebyropkrævningen er baseret på den kategorisering, som

Energistyrelsen foretager af virksomhederne efter it-bered-

skabsbekendtgørelsen § 9, dog under hensyn til antallet af

klasse 1 anlæg, som virksomheden ejer. Klassificeringen af

anlæg foretages efter elberedskabsbekendtgørelsen § 11 og

naturgasberedskabsbekendtgørelsens § 11.

Virksomheder har i dag mulighed for at få samordnet bered-

skab, hvor en virksomhed forestår beredskabsplanlægningen

og udførelsen på vegne af to eller flere virksomheder, som

regel fordi der er en koncernforbindelse, tæt geografisk til-

knytning eller afhængighed, eller fordi ejeren af et energian-

læg, fx en solcellepark, også er operatør af en lang række

andre solcelleparker, som den tidligere har ejet, men solgt

fra til investorer. Når virksomheder har fået samordnet be-

redskab på både det almene beredskab og it-beredskab, har

Energistyrelsen kun ført tilsyn med den virksomhed, der

forestår beredskabsplanlægningen og udførelsen heraf, hvor-

for kun denne virksomhed skal betale det generelle grundbe-

løb for tilsyn med virksomhedens beredskab.

Desuden bemærkes det, at ekstraordinære tilsyn med virk-

somheder i dag ikke kan gebyrfinansieres, hvilket i sidste

ende betyder, at andre opgaver må bortprioriteres af Klima-,

Energi- og Forsyningsministeriet.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Endeligt bemærkes det, at Energistyrelsen, modtager en

række ansøgninger og dispensationsansøgninger efter reg-

lerne i elberedskabs-, naturgasberedskabs- og it-beredskabs-

bekendtgørelserne. Der er tale om ansøgninger om samord-

net beredskab mellem to eller flere virksomheder, dispensa-

tion fra overholdelse af alle eller dele af reglerne i de tre

bekendtgørelser, dispensationer fra frister og dispensationer

om personsammenfald. Endeligt behandler Energistyrelsen

et stadigt stigende antal ansøgninger om sikkerhedsgodken-

delse af personer efter cirkulære nr. 10338 af 17. december

2014 om sikkerhedsbeskyttelse af informationer af fælles

interesse for landene i NATO eller EU, andre klassificere-

de informationer samt informationer af sikkerhedsmæssig

beskyttelsesinteresse i øvrigt.

Sagsbehandlingen af disse ansøgninger, dispensationsansøg-

ninger og ansøgninger om sikkerhedsgodkendelse er i dag

ikke gebyrfinansieret.

3.5.1.2. Energinets gebyrbetaling for myndighedsbehandling

Klima-, energi- og forsyningsministerens tilsyn med det al-

mene beredskab og it-beredskabet hos Energinet er siden

den 1. juli 2019 blevet finansieret via lovfastsat grundbeløb

i elforsyningslovens § 51 b og gasforsyningslovens § 30 a,

stk. 3, hvor beløbet er en delmængde af et større beløb, der

opkræves for tilsyn med Energinets aktiviteter efter de to

love.

Fra 2017 til 2019 var det kun tilsynet med Energinets it-be-

redskab, der var gebyrfinansieret, da der blev indført separat

hjemmel til dette i den dagældende § 51, stk. 2, i elforsy-

ningsloven og § 30, stk. 2, i naturgasforsyningsloven i for-

bindelse med indførelsen af kravene om it-beredskab i el- og

naturgassektorerne i lov nr. 1755 af 12. december 2016 om

ændring af lov om elforsyning og lov om naturgasforsyning.

Disse bestemmelser blev sidenhen ændret ved lov nr. 1399

af 5. december 2017 om ændring af lov om elforsyning, lov

om fremme af vedvarende energi, lov om naturgasforsyning,

lov om Energinet.dk og lov om varmeforsyning. Her ændre-

des gebyrerne for klima-, energi- og forsyningsministerens

tilsyn fra kun at have været opkrævet fra Energinet til at

være opkrævet hos de individuelle virksomheder, således det

kunne sikres, at virksomhederne kun betalte for den myn-

dighedsbehandling, som de fik. I den forbindelse ændredes

gebyropkrævningen for tilsynet med Energinet og denne

virksomheds helejede datterselskaber til at være lovfikseret

grundbeløb fastsat i hhv. elforsyningslovens § 51 b, stk. 2,

på 4,5 mio. kr. og naturgasforsyningslovens § 30 a, stk. 3 på

0,7 mio. kr.

I 2019 ændredes de to bestemmelser igen ved lov nr. 494 af

1. maj 2019 om ændring af lov om Energinet, lov om elfor-

syning og lov om naturgasforsyning. Her ændredes beløbene

således, at Energistyrelsens tilsyn med Energinets almene

beredskab også kunne finansieres af Energinet, på samme

måde som tilsynet med it-beredskabet var finansieret. På

den måde sikredes ensartethed i finansieringen af Energisty-

relsens beredskabstilsyn med Energinet.

Klima-, energi- og forsyningsministeren opkræver i dag år-

ligt gebyr for 1000 timers tilsyn med Energinets almene

beredskab og it-beredskab. De 1000 timer er lovmæssigt

fordelt med 600 timer til Energinets El TSO og 400 timer

til Energinets Gas TSO, hvilket efter Energistyrelsens 2024

timetakts for en gennemsnitsmedarbejder på 746,68 kr. sva-

rer til 746.680 kr. Der er i tillæg til de 1000 timeres tilsyn,

som Energistyrelsen fører, også finansieret 50 timers ekstern

konsulentbistand til tilsyn med it-beredskab pga. områdets

særlige tekniske karakter. Denne udgift udgjorde 62.500 kr.,

da man anlagde en formodning om at en konsulent kostede

1250 kr. i timen.

Endeligt bemærkes det at ekstraordinære tilsyn med Energi-

net i dag ikke kan gebyrfinansieres, hvilket i sidste ende be-

tyder, at andre opgaver må bortprioriteres af Klima-, Energi-

og Forsyningsministeriet.

3.5.2. Klima-, Energi- og Forsyningsministeriets overvejel-

ser og den foreslåede ordning

3.5.2.1 Generelle grundbeløb til finansiering af almindeligt

tilsyn og administration af ordningen

Klima-, Energi- og Forsyningsministeriet vurderer, at den

nuværende gebyrordning for dækning af de omkostninger,

der er til administration af ordningen og tilsynet med virk-

somhedernes organisatoriske beredskab, fysiske sikring og

cybersikkerhed, er en hensigtsmæssig ordning, der sikrer,

at virksomhederne kun betaler for det tilsyn, de modtager,

samtidig med at Energistyrelsen har en let administrerbar

gebyrordning, der samtidig er fleksibel nok til, at der kan

ske justering af gebyrerne, såfremt tilsynsmængden for virk-

somhederne generelt set skal op- eller nedjusteres.

Klima-, Energi- og Forsyningsministeriet foreslår derfor,

at den eksisterende gebyrordning for tilsynet med el- og

naturgasvirksomhedernes organisatoriske beredskab, fysiske

sikring og cybersikkerhed og dækning af de omkostninger,

der er til administration af ordningen, vil blive videreført

med lovforslaget. Det foreslås samtidig at gebyrordningen,

jf. lovforslagets anvendelsesområde, udvides til at gælde

alle virksomheder omfattet af dette lovforslag, herunder

også Energinets opgaver som el- og gastransmissionsopera-

tør. Det foreslås, at § 51 d i elforsyningsloven og § 30 a,

stk. 5 og 6, i gasforsyningsloven ophæves og erstattes af den

foreslåede § 17, stk. 1, i dette lovforslag.

Justeringen af beløbet i elforsyningslovens § 51 b vil blive

foreslået foretaget i forslag til lov om ændring af lov om

elforsyning, lov om gasforsyning og straffeloven (Gennem-

førelse af elmarkedsdirektivet og fremtidssikret regulering

af netvirksomheder m.v.), der planlægges fremsat samtidig

med dette lovforslag.

Som beskrevet i afsnit 3.5.1.1 om gældende ret har virksom-

heder i dag mulighed for at få samordnet beredskab, hvor

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

kun den udførende virksomhed opkræves betaling for tilsyn

med beredskabsplanlægningen. Denne praksis har medført

en uhensigtsmæssighed i nogle tilfælde, hvor en virksomhed

varetager beredskabet for et stort antal anlæg, som regel

vedvarende energi-anlæg, der hver for sig kun er klasse 3

eller 2 anlæg, men som tilsammen udgør en meget stor

andel af den danske elproduktion.

Det er Klima-, Energi- og Forsyningsministeriet vurdering,

at når dette er tilfældet, bør virksomheden, der varetager det

samordnede beredskab, modtage tilsyn, som var de indpla-

ceret på det niveau den akkumulerede MW-produktion, antal

forbrugere etc. ville medføre. Dette problem foreslås løst

i den foreslåede § 4, hvor virksomheder med samordnet be-

redskab, der tilsammen har så stor en energi- eller kundepor-

tefølje, at de falder ind under et højere niveau, bliver indpla-

ceret på dette niveau. Dette har samtidig den konsekvens, at

virksomheden indplaceres i den tilsvarende gebyrkategori,

og dermed er det Klima-, Energi- og Forsyningsministeriets

vurdering, at der er den nødvendige finansiering af disse

særtilfælde med store samordnede beredskaber.

Klima-, Energi- og Forsyningsministeriet foreslår med § 17,

stk. 1, at de omfattede virksomheder halvårligt vil skulle

betale et beløb til Klima-, Energi- og Forsyningsministeriet

til dækning af de omkostninger, der er til administration

af ordningen og tilsyn med virksomhederne efter reglerne

i denne lov og regler udstedt i medfør af denne lov. Den

halvårlige betaling vil være en fortsættelse af den hidtidige

frekvens for betaling for tilsyn med virksomhedernes bered-

skabsarbejde. Den halvårlige frekvens vil sikre, at der ikke

skal betales for store beløb ad gangen, samt at opkrævnin-

gen kan finde sted i samme frekvens som andre betalinger

for myndighedsbehandling efter elforsyningsloven, gasfor-

syningsloven og olieberedskabsloven.

Det foreslås endvidere i § 17, stk. 3, at klima-, energi- og

forsyningsministeren vil kunne fastsætte nærmere regler om

betaling og opkrævning af beløb til dækning af omkostnin-

gerne efter § 17, stk. 1 og stk. 2. Den foreslåede bestem-

melse vil indebære, at størrelsen af gebyrerne for både stk.

1 og stk. 2, som hidtil vil blive fastsat administrativt ved

bekendtgørelse.

Det forventes, at klima-, energi- og forsyningsministeren vil

udmønte bemyndigelsen i § 17, stk. 3, ved at fastsætte regler

om, at gebyrerne efter § 17, stk. 1, som det er tilfældet i dag,

vil blive fastsat som generelle grundbeløb, der dækker de

udgifter som Klima-, Energi- og Forsyningsministeriet har

med tilsyn med virksomhederne og dækning af de omkost-

ninger, der er til administration af ordningen. Det forventes,

at gebyrstørrelserne vil blive differentieret i minimum 6 ge-

byrkategorier, hvor gebyret vil være lavest for gebyrkategori

1 og højest for gebyrkategori 6, således at disse vil svare

til den niveauinddeling, der vil ske af virksomhederne i reg-

lerne udmøntet efter den foreslåede bestemmelse i § 4, stk.

2 om kategorisering af virksomheder samt virksomhedernes

systemer og anlæg, dog med indførelsen af en ekstra gebyr-

kategori (kategori 6).

Denne niveauinddeling vil som beskrevet være bestemmen-

de for, hvor stort et reguleringstryk virksomheden vil bli-

ve underlagt efter disse regler, ligesom det også vil være

bestemmende for, hvor ofte og hvor mange timers tilsyn

Klima-, Energi- og Forsyningsministeriet i gennemsnit for-

venter at bruge på virksomhederne på det givne niveau. Kli-

ma-, energi og forsyningsministeren forventes endvidere at

udmønte bemyndigelsen i § 17, stk. 3 til at indføre en

ekstra gebyrkategori 6, som vil skulle bruges specifikt til

Energinets transmissionssystemoperatør for elektricitet og

transmissionssystemoperatør for gas, samt andre virksomhe-

der der grundet deres helt særlige ansvar for funktionen af

energisystemerne i Danmark, vil skulle modtage et væsent-

ligt mere grundigt og dybdegående tilsyn end alle andre

virksomheder.

I tillæg hertil vil gebyrkategorierne, som det er tilfældet i

dag, tage højde for antallet af anlæg som virksomhederne

ejer. Virksomheder i niveau 5 med mange klasse 4 og 5

anlæg vil således blive indplaceret i en højere gebyrkategori,

end virksomheder i niveau 5 med kun få klasse 4 og 5

anlæg.

Det forventes desuden, at klima-, energi- og forsyningsmi-

nisteren vil udmønte bemyndigelsen i § 17 stk. 3, til at

fastsætte, at gebyrerne efter stk. 1, skal indbetales senest

30 dage efter fakturaens udstedelse, og der såfremt beløbet

ikke betales rettidigt, betales renter af det opkrævede beløb i

medfør af renteloven.

3.5.2.2 Aktivitetsberegnet beløb til finansiering af ad-hoc

tilsyn

Klima-, Energi- og Forsyningsministeriet vurderer, at der i

tillæg til de almindelige planlagte tilsyn med fast kadence

kan blive behov for ekstraordinære tilsyn i situationer, hvor

klima-, energi- og forsyningsministeren bliver opmærksom

på eller mistænker særligt grove overtrædelser af reglerne

i loven eller fastsat i medfør af loven. Her kan tilsyn med

virksomheden ikke vente til tidspunktet, hvor tilsynet i den

normale tilsynskadence er planlagt til at blive afholdt.

Sådanne ekstraordinære tilsyn kan i dag ikke gebyrfinansie-

res, hvilket i sidste ende betyder, at andre opgaver må bort-

prioriteres af Klima-, Energi- og Forsyningsministeriet. For

at bringe lighed mellem tilsynsopgaverne, uanset om der

er tale om almindeligt planlagte tilsyn efter den normale til-

synskadence eller ekstraordinære tilsyn uden for kadencen,

vurderer Klima-, Energi- og Forsyningsministeriet, at det er

mest hensigtsmæssigt også at gebyrfinansiere ekstraordinæ-

re tilsyn. Det er Klima-, Energi- og Forsyningsministeriets

vurdering, at det er mest gennemsigtigt at sådanne ekstraor-

dinære tilsyn bliver afregnet som aktivitetsberegnet gebyrer,

hvor virksomheden opkræves for det antal timer, der er

medgået i udførelsen af det ekstraordinære tilsyn tillagt en

forholdsmæssig andel af de udgifter, der ellers måtte være

tilgået i gennemførelsen af ad-hoc tilsynet.

Et af de kriterier, der lægges til grund for vurderingen af

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

behovet for gennemførelsen af et eller flere ekstraordinære

tilsyn efter § 19, stk. 2, nr. 3, med en virksomhed, er, om

overtrædelsen eller den mistænkte overtrædelse vurderes til

konkret at kunne bringe leveringen af virksomhedens tjenes-

te i fare.

Da dette ekstraordinære tilsyn indledes på grund af en kon-

kret begrundet mistanke om en virksomheds manglende

overholdelse eller tilsidesættelse af reglerne på en sådan

måde, at det har potentiale til at bringe virksomhedens leve-

ring af deres tjeneste i fare, findes det ikke hensigtsmæssigt

blot at indregne udgifter til sådanne ekstraordinære tilsyn

i de generelle grundbeløb, der finansierer de almindelige

tilsyn. Hvis det var tilfældet, vil andre virksomheder, der

overholder reglerne, reelt komme til at afholde en andel af

tilsynsudgiften for andre virksomheder, fordi de andre virk-

somheder ikke overholder gældende ret. På den baggrund

vurderer Klima-, Energi- og Forsyningsministeriet, at der

indføres en separat gebyrfinansiering af sådanne tilsyn.

Klima, Energi- og Forsyningsministeriet foreslår i § 17, stk.

2, at de omfattede virksomheder halvårligt vil skulle beta-

le et beløb til Klima-, Energi- og Forsyningsministeriet til

dækning af omkostninger til ad-hoc tilsyn med virksomhe-

derne efter reglerne i denne lov eller efter regler udstedt i

medfør af regler i denne lov. Dette beløb vil skulle dække

tilsyn, der er blevet gennemført med virksomhederne uden

for den almindelige kadence, som virksomhederne modtager

tilsyn fx årligt eller hvert tredje år.

Det forventes, at klima-, energi- og forsyningsministeren vil

bruge bemyndigelsen i § 17, stk. 3, til at fastsætte regler

om at gebyrerne efter den forslåede § 17, stk. 2, vil blive

afregnet på aktivitetsbasis, således at virksomheden opkræ-

ves det antal timer, der er blevet brugt af klima-, energi-

og forsyningsministeren til ad-hoc tilsyn, ganget med den

budgetterede timepris i det pågældende år, hvor tilsynet er

blevet gennemført, tillagt en forholdsmæssig andel af de

udgifter, der ellers måtte være tilgået i gennemførelsen af

ad-hoc tilsynet.

Det forventes endvidere, at klima-, energi- og forsynings-

ministeren vil fastsætte regler om, at hvis ad-hoc tilsynet

strækker sig over 2 kalenderår, fx fordi det er blevet indledt

i slutningen af december, så benyttes den budgetterede time-

pris i det år, hvor den enkelte time til ad-hoc tilsynet er

blevet afholdt.

Det forventes desuden, at klima-, energi- og forsyningsmini-

steren vil bruge bemyndigelsen i § 17, stk. 3, til at fastsætte

regler om, at gebyrerne efter stk. 2, vil skulle indbetales

senest 30 dage efter fakturaens udstedelse, og der såfremt

beløbet ikke betales rettidigt, vil skulle betales renter af det

opkrævede beløb i medfør af renteloven. Klima-, energi- og

forsyningsministeren forventes også at bruge bemyndigelsen

til at fastsætte regler om efterregulering af eventuelle beta-

linger opkrævet i medfør af § 17, stk. 2.

3.5.2.3 Betaling af beløb for indgivelse og behandling af

virksomhedernes ansøgninger i egeninteresse

Det er Klima-, Energi- og Forsyningsministeriets vurdering,

at det fremover vil være hensigtsmæssigt at gebyrfinansiere

sagsbehandlingen af de ovennævnte ansøgninger. Dette er,

fordi klima-, energi- og forsyningsministeren må forventes

at modtage væsentligt flere af disse ansøgninger, idet der

fremover vil være flere virksomheder, der er omfattet regler-

ne. Det yderligere ressourceforbrug til sådanne ansøgninger

må ventes at føre til en nedprioritering af andre opgaver,

hvis det ikke finansieres. Klima-, Energi- og Forsyningsmi-

nisteriet finder det mest hensigtsmæssigt, at finansieringen

tilvejebringes ved at gebyrfinansiere sagsbehandlingen.

Det må forventes, at virksomhederne, på samme måde som

det sker ved andre allerede gældende gebyrer, overvælter de

øgede omkostninger, som gebyrerne medfører, på prisen for

den tjeneste, som de leverer.

Klima-, Energi- og Forsyningsministeriet foreslår med § 18,

stk. 1, at virksomheder ved indgivelse af ansøgninger eller

dispensationer vil skulle betale et beløb for behandling af

ansøgninger og dispensationer efter reglerne i denne lov el-

ler efter regler udstedt i medfør af loven. Der forstås herved,

at virksomhederne kun skal betale gebyr, såfremt de har

de rent faktisk har indgivet en eller flere ansøgninger eller

dispensationsansøgninger til behandling efter loven.

Det forventes derfor, at klima-, energi- og forsyningsmini-

steren vil bruge bemyndigelsen i § 18, stk. 2, til at fastsætte

gebyrerne efter den forslåede § 18, stk. 1, som administrativt

fastsatte gebyrer i en bekendtgørelse. Der er tale om et fast

vederlag pr. ansøgning, hvor vederlaget vil være forskelligt,

alt efter hvad der ansøges om. Det forventes således, at

ministeren vil fastsætte et separat gebyr for hhv. ansøgninger

om samordnet beredskab, ansøgninger om personsammen-

fald og ansøgning om dispensation efter den generelle dis-

pensationsregel.

Det forventes, at vederlaget for de enkelte ansøgningstyper

i første omgang vil blive fastsat på baggrund af klima-,

energi- og forsyningsministerens initiale estimering af, hvor

mange timer det gennemsnitligt tager at behandle en så-

danne ansøgning ganget med den budgetteret timepris. Ef-

ter der er opbygget et tilstrækkeligt datagrundlag gennem

medarbejdernes tidsregistrering, vil den initiale estimering

erstattes af det konkrete gennemsnitlige tidsforbrug pr. an-

søgningstype, hvorfor de fastsatte vederlag vil op- eller ned-

justeres på dette grundlag, ligesom hvis den budgetterede

timepris ændrer sig, idet gebyrordningen skal balancere over

en 4-årig periode i overensstemmelse med Finansministeri-

ets budgetvejledning.

Endeligt forventes det, at klima-, energi- og forsyningsmini-

steren vil bruge bemyndigelsen i § 18, stk. 2, til at fastsætte

regler om, at gebyrerne efter stk. 1, vil skulle opkræves

halvårligt og indbetales inden for et fast tidspunkt efter fak-

turaens udstedelse, og at der såfremt beløbet ikke betales

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

rettidigt, vil skulle betales renter af det opkrævede beløb i

medfør af renteloven, samt at vederlagene vil skulle indkræ-

ves sammen med de vederlag, der opkræves efter § 17, stk.

1 og 2.

For nærmere beskrivelse af gebyrerne, henvises til bemærk-

ningerne til lovforslagets §§ 17 og 18.

3.6. Tilsyn

3.6.1. Gældende ret

Der føres tilsyn med virksomheder i elsektoren, som har

en produktionsbevilling, en produktionstilladelse eller som

har et balanceansvar for energisektoren. Desuden føres der

tilsyn med distributions- og transmissionsvirksomheder. Der

føres tilsyn med virksomhedernes klassiske beredskab efter

elforsyningslovens § 85 b og med virksomhedernes it-bered-

skab efter elforsyningslovens § 85 c.

Efter elforsyningslovens § 85 b, stk. 4, kan Klima-, Ener-

gi- og Forsyningsministeriet fastsætte nærmere regler for

udførelsen af tilsyn med beredskabsarbejdet efter stk. 1. De

nærmere regler for tilsyn er fastsat i elberedskabsbekendtgø-

relsens kapitel 10.

Efter elforsyningslovens § 85 c, stk. 5, kan Klima-, Ener-

gi- og Forsyningsministeriet fastsætte nærmere regler for

it-beredskab. De nærmere regler er fastsat i it-beredskabsbe-

kendtgørelsen, som bl.a. indeholder regler om it-beredskabs-

planlægning i §§ 14-17. Efter bekendtgørelserne er Energi-

styrelsen tilsynsmyndighed.

Klima-, energi- og forsyningsministeren kan på baggrund

af gasforsyningslovens § 15 a, stk. 4, fastsætte nærmere

regler for udførelsen af selskabernes beredskabsarbejde. De

nærmere regler for tilsyn er fastsat i bekendtgørelsen om

beredskab for naturgassektoren. Energistyrelsen er tilsyns-

myndigheden for selskabernes overholdelse af beredskabsre-

guleringen.

I gassektoren føres der tilsyn med virksomheder der er be-

villingspligtige efter gasforsyningsloven og Energinet samt

Energinets helejede datterselskaber. Der føres tilsyn med

virksomhedernes klassiske beredskab efter gasforsyningslo-

vens § 15 a og med virksomhedernes it-beredskab efter

gasforsyningslovens § 15 b. De nærmere regler om tilsyn

fremgår af naturgasberedskabsbekendtgørelsen og it-bered-

skabsbekendtgørelsen.

For el- og gassektorerne inddeles virksomhederne i katego-

rier, der afgør frekvensen af tilsyn. Virksomhederne inddeles

i 3 kategorier, hvor kategori 1 er de mindst kritiske virksom-

heder og kategori 3 er de mest kritiske virksomheder. Der

føres tilsyn mindst hvert tredje år med virksomheder i kate-

gori 2 og 3, mens der hvert år føres tilsyn med virksomheder

i kategori 1.

Forpligtelsen til at føre tilsyn med el- og naturgassektorer-

nes almene beredskaber lå 2005 til 2019 hos Energinet.

Ministeren besluttede på baggrund af en evaluering at over-

føre tilsynet med el- og naturgasvirksomhedernes almene

beredskab og it-beredskab fra Energinet til Energistyrelsen

med virkning fra den 1. juli 2019.

For oliesektoren føres der tilsyn med lagringspligtige virk-

somheder og den centrale lagerenhed.

Det følger af olieberedskabslovens § 17, stk. 1, at klima-,

energi- og forsyningsministeren fører tilsyn med, at loven

og regler udstedt i medfør af loven overholdes for både

det klassiske beredskab og it-beredskabet. Olieberedskabslo-

vens indeholder i § 16, beredskabspligter for virksomheder

omfattet af loven. Klima-, energi- og forsyningsministeren

fører således tilsyn med olievirksomhedernes beredskab. Ef-

ter olieberedskabslovens § 17, stk. 5, kan klima-, energi og

forsyningsministeren fastsætte nærmere regler om fremsen-

delse af oplysninger til brug for tilsyn, om virksomhedernes

medvirken i tilsyn og om virksomhedernes fremsendelse af

revisorerklæring. De nærmere regler er bl.a. fastsat i oliebe-

redskabsbekendtgørelsens § 18 og lagringspligtbekendtgø-

relsens § 43.

Ens for el-, gas- og oliesektorerne er, at tilsynet sker proak-

tivt med mulighed for at foretage et reaktivt tilsyn.

Efter gældende ret er der ikke fastsat nærmere regler for

tilsyn af virksomheders beredskab i fjernvarme og -kølesek-

toren eller virksomhedernes beredskab efter undergrundslo-

ven.

3.6.2. CER-direktivet

Det følger af CER-direktivets artikel 21, stk. 1, at med

henblik på at vurdere, om de enheder medlemsstaterne har

identificeret som kritiske enheder i henhold til artikel 6,

stk. 1, opfylder forpligtelserne i dette direktiv, sikrer med-

lemsstaterne, at de kompetente myndigheder har beføjelser

og midler til: a) at foretage inspektioner på stedet af den

kritiske infrastruktur og de lokaler, som den kritiske enhed

anvender til at levere sine væsentlige tjenester, og eksternt

tilsyn med de foranstaltninger, som kritiske enheder har truf-

fet i overensstemmelse med artikel 13 og b) at foretage eller

kræve revision af kritiske enheder.

Det følger desuden af artikel 21, stk. 2, at medlemsstater-

ne sikrer, at de kompetente myndigheder har beføjelser og

midler til, hvor det er nødvendigt for udførelsen af deres

opgaver i henhold til dette direktiv, at kræve, at enhederne

i henhold til NIS 2-direktivet, som medlemsstaterne har

identificeret som kritiske enheder i henhold til nærværende

direktiv, inden for en rimelig tidsfrist, der fastsættes af disse

myndigheder, giver: a) de oplysninger, der er nødvendige

for at vurdere, hvorvidt de foranstaltninger, der træffes af

disse enheder for at sikre deres modstandsdygtighed, opfyl-

der kravene i artikel 13 og b) dokumentation for faktisk gen-

nemførelse af disse foranstaltninger, herunder resultaterne af

en revision foretaget af en uafhængig og kvalificeret revisor

udvalgt af denne enhed og foretaget på dennes regning. Når

der anmodes om disse oplysninger, angiver de kompetente

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

myndigheder formålet med kravet og anfører, hvilke oplys-

ninger der kræves.

Det følger endvidere af artikel 21, stk. 3, at det uden det be-

rører muligheden for at pålægge sanktioner i overensstem-

melse med artikel 22, kan de kompetente myndigheder efter

de i denne artikels stk. 1 omhandlede tilsynsforanstaltninger

eller vurderingen af de i denne artikels stk. 2 omhandlede

oplysninger pålægge de berørte kritiske enheder at træffe

de nødvendige og forholdsmæssige foranstaltninger for at

afhjælpe enhver konstateret overtrædelse af dette direktiv

inden for en rimelig frist, der fastsættes af disse myndighe-

der, og give disse myndigheder oplysninger om de trufne

foranstaltninger. Disse påbud skal navnlig tage hensyn til

overtrædelsens grovhed.

Det følger endvidere af art. 21, stk. 4, at medlemsstaterne

sikrer, at de i stk. 1, 2 og 3 omhandlede beføjelser kun kan

udøves med forbehold af passende garantier. Disse garantier

skal navnlig sikre, at en sådan udøvelse finder sted på en

objektiv, gennemsigtig og forholdsmæssig måde, og at de

berørte kritiske enheders rettigheder og legitime interesser

såsom beskyttelse af forretningshemmeligheder garanteres

behørigt, herunder deres ret til at blive hørt, til et forsvar og

til effektive retsmidler ved en uafhængig domstol.

Endelig følger det af artikel 21, stk. 5, at medlemsstaterne

sikrer, at en kompetent myndighed i henhold til dette direk-

tiv, hvor den vurderer en kritisk enheds overholdelse i hen-

hold til denne artikel, orienterer denne kompetente myndig-

hed de kompetente myndigheder i de berørte medlemsstater

i henhold til NIS 2-direktivet. Med henblik herpå sikrer

medlemsstaterne, at kompetente myndigheder i henhold til

nærværende direktiv kan anmode de kompetente myndighe-

der i henhold til direktiv (EU) 2022/ 2555 om at udøve

deres tilsyns- og håndhævelsesbeføjelser over for en enhed

i henhold til nævnte direktiv, som er identificeret som en

kritisk enhed i henhold til nærværende direktiv. Med henblik

herpå sikrer medlemsstaterne, at kompetente myndigheder i

henhold til nærværende direktiv samarbejder og udveksler

oplysninger med de kompetente myndigheder i henhold til

direktiv NIS 2-direktivet.

3.6.3. NIS 2-direktivet

Af NIS 2-direktivets artikel 21, stk. 4, fremgår det, at med-

lemsstaterne sikrer, at en enhed, der finder, at den ikke over-

holder foranstaltningerne i artikel 21, stk. 2, uden unødigt

ophold træffer alle nødvendige, passende og forholdsmæssi-

ge korrigerende foranstaltninger.

Af NIS 2-direktivets artikel 31, stk. 1, fremgår det, at med-

lemsstaterne sikrer, at deres kompetente myndigheder effek-

tivt overvåger og træffer de nødvendige foranstaltninger til

at sikre, at dette direktiv overholdes.

Det fremgår desuden af artikel 31, stk. 2, medlemsstaterne

kan tillade deres kompetente myndigheder at prioritere til-

synsopgaver. En sådan prioritering baseres på en risikobase-

ret tilgang. Med henblik herpå kan de kompetente myndig-

heder, når de udfører deres tilsynsopgaver i henhold til arti-

kel 32 og 33, fastlægge tilsynsmetoder, der gør det muligt at

prioritere sådanne opgaver efter en risikobaseret tilgang.

Af artikel 31, stk. 3, fremgår det, at de kompetente myndig-

heder arbejder tæt sammen med tilsynsmyndigheder i hen-

hold til databeskyttelsesforordningen, når de håndterer hæn-

delser, der medfører brud på persondatasikkerheden, uden at

det berører de kompetencer og opgaver, som tilsynsmyndig-

hederne har i henhold til nævnte forordning.

Af NIS 2-direktivets artikel 32, stk. 1, fremgår det, at med-

lemsstaterne sikrer, at de tilsyns- eller håndhævelsesforan-

staltninger, der pålægges væsentlige enheder for så vidt an-

går forpligtelserne fastsat i dette direktiv er effektive, står i

rimeligt forhold til overtrædelsen og har afskrækkende virk-

ning under hensyntagen til omstændighederne i hver enkelt

sag.

Af artikel 32, stk. 2, fremgår det desuden, at medlemsstater-

ne sikrer, at de kompetente myndigheder, når de udfører

deres tilsynsopgaver vedrørende væsentlige enheder, som

minimum har beføjelse til at pålægge disse enheder: a) kon-

trol på stedet og eksternt tilsyn, herunder stikprøvekontrol,

som skal udføres af uddannede fagfolk, b) regelmæssige og

målrettede sikkerhedsaudits udført af et kvalificeret uafhæn-

gigt organ eller en kompetent myndighed, c) ad hoc-audits,

herunder hvor det er berettiget på grund af en væsentlig

hændelse eller en overtrædelse af dette direktiv fra den

væsentlige enheds side, d) sikkerhedsscanninger baseret på

objektive, ikkediskriminerende, fair og gennemsigtige risi-

kovurderingskriterier, hvor det er nødvendigt i samarbejde

med den berørte enhed, e) anmodninger om oplysninger,

der er nødvendige for at vurdere de foranstaltninger til sty-

ring af cybersikkerhedsrisici, som den berørte enhed har

indført, herunder dokumenterede cybersikkerhedspolitikker,

samt overholdelse af forpligtelsen til at indgive oplysninger

til de kompetente myndigheder i henhold til artikel 27, f) an-

modninger om adgang til data, dokumenter og oplysninger,

der er nødvendige for udførelsen af deres tilsynsopgaver,

g) anmodninger om dokumentation for gennemførelsen af

cybersikkerhedspolitikker såsom resultaterne af sikkerheds-

audits udført af en kvalificeret revisor og den respektive

underliggende dokumentation.

Det fremgår ligeledes af artikel 32, stk. 2, at de målrettede

sikkerhedsaudits, der er omhandlet i første afsnit, litra b),

baseres på risikovurderinger foretaget af den kompetente

myndighed eller den reviderede enhed eller på andre tilgæn-

gelige risikorelaterede oplysninger. Resultaterne af enhver

målrettet sikkerhedsaudit stilles til rådighed for den kompe-

tente myndighed. Omkostningerne ved en sådan målrettet

sikkerhedsaudit, der udføres af et uafhængigt organ, afhol-

des af den reviderede enhed, undtagen i behørigt begrundede

tilfælde når den kompetente myndighed bestemmer andet.

Endvidere fremgår det af artikel 32, stk. 3, at de kompetente

myndigheder ved udøvelsen af deres beføjelser i henhold til

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

stk. 2, litra e), f) eller g), skal angive formålet med anmod-

ningen og præciserer, hvilke oplysninger der anmodes om.

Af artikel 32, stk. 4, fremgår det, at medlemsstaterne sik-

rer, at deres kompetente myndigheder, når de udøver deres

håndhævelsesbeføjelser over for væsentlige enheder, som

minimum har beføjelse til at: a) udstede advarsler om de

pågældende enheders overtrædelser af dette direktiv, b) ud-

stede bindende instrukser, herunder vedrørende foranstalt-

ninger, der er nødvendige for at forhindre eller afhjælpe en

hændelse, samt frister for gennemførelse af sådanne foran-

staltninger og for rapportering om deres gennemførelse eller

pålægge de pågældende enheder at afhjælpe de konstaterede

mangler eller overtrædelserne af dette direktiv, c) pålægge

de pågældende enheder at ophøre med at udvise adfærd,

der overtræder dette direktiv, og afstå fra at gentage denne

adfærd, d) pålægge de pågældende enheder, på en nærmere

angivet måde og inden for en nærmere angivet frist, at sikre,

at deres foranstaltninger til styring af cybersikkerhedsrisici

overholder artikel 21, eller at efterleve underretningsforplig-

telserne i artikel 23, e) pålægge de pågældende enheder at

underrette de fysiske eller juridiske personer med hensyn

til hvilke de leverer tjenester eller udfører aktiviteter, som

potentielt er berørt af en væsentlig cybertrussel, om denne

trussels karakter samt om eventuelle beskyttelsesforanstalt-

ninger eller afhjælpende foranstaltninger, som disse fysiske

eller juridiske personer kan træffe som reaktion på denne

trussel, f) pålægge de pågældende enheder at gennemføre de

anbefalinger, der er fremsat som følge af en sikkerhedsaudit,

inden for en rimelig frist, g) udpege en overvågningsansvar-

lig med veldefinerede opgaver til i en nærmere fastsat perio-

de at føre tilsyn med de pågældende enheders overholdelse

af artikel 21 og 23, h) pålægge de pågældende enheder at

offentliggøre aspekter af overtrædelser af dette direktiv på

en nærmere angivet måde, i) pålægge, eller anmode de rele-

vante organer eller domstole om i overensstemmelse med

national ret at pålægge, en administrativ bøde i henhold

til artikel 34 ud over enhver af de foranstaltninger, der er

omhandlet i dette stykkes litra a)-h).

Det følger endvidere af artikel 32, stk. 5, at hvor håndhævel-

sesforanstaltninger vedtaget i henhold til stk. 4, litra a)-d)

og f), er virkningsløse, sikrer medlemsstaterne, at deres

kompetente myndigheder har beføjelse til at fastsætte en

frist, inden for hvilken den væsentlige enhed anmodes om

at tage de nødvendige tiltag for at afhjælpe manglerne eller

opfylde disse myndigheders krav. Hvis de ønskede tiltag

ikke tages inden for den fastsatte frist, sikrer medlemsstater-

ne, at de kompetente myndigheder har beføjelse til: a) mid-

lertidigt at suspendere, eller anmode et certificerings- eller

godkendelsesorgan eller en domstol om i overensstemmelse

med national ret midlertidigt at suspendere en certificering

eller godkendelse vedrørende dele af eller alle de relevante

tjenester, der leveres, eller aktiviteter, der udføres, af en

væsentlig enhed, b) at anmode de relevante organer eller

domstole om i overensstemmelse med national ret midler-

tidigt at forbyde enhver fysisk person med ledelsesansvar

på direktionsniveau eller som juridisk repræsentant i den

pågældende væsentlige enhed at udøve ledelsesfunktioner

i den pågældende enhed. Midlertidige suspensioner eller

forbud, som er pålagt i henhold til dette stykke, anvendes

kun, indtil den pågældende enhed træffer de nødvendige

foranstaltninger til at afhjælpe manglerne eller opfylde den

kompetente myndighed krav, som gav anledning til, at disse

håndhævelsesforanstaltninger blev anvendt. Pålæggelse af

sådanne midlertidige suspensioner eller forbud skal være

underlagt passende proceduremæssige garantier i overens-

stemmelse med de generelle principper i EU-retten og char-

tret, herunder retten til effektive retsmidler og til en retfær-

dig rettergang, uskyldsformodningen og retten til et forsvar.

Af artikel 32, stk. 6 fremgår det, at medlemsstaterne sikrer,

at enhver fysisk person, der er ansvarlig for eller optræder

som juridisk repræsentant for en væsentlig enhed på grund-

lag af beføjelsen til at repræsentere den, beføjelsen til at

træffe afgørelser på dennes vegne eller beføjelsen til at

udøve kontrol over den, har beføjelse til at sikre, at den

overholder dette direktiv. Medlemsstaterne sikrer, at det er

muligt at drage sådanne fysiske personer til ansvar for tilsi-

desættelse af deres forpligtelser til at sikre overholdelse af

dette direktiv.

Af artikel 32, stk. 7, følger det, at når de kompetente myn-

digheder træffer håndhævelsesforanstaltninger omhandlet i

stk. 4 eller 5, skal de overholde retten til forsvar og tage

hensyn til omstændighederne i hver enkelt sag og som mini-

mum tage behørigt hensyn til:

a) overtrædelsens grovhed og vigtigheden af de overtrådte

bestemmelser, idet bl.a. følgende under alle omstændighe-

der skal betragtes som alvorlige overtrædelser: i) gentagne

overtrædelser, ii) manglende underretning om eller afhjælp-

ning af væsentlige hændelser, iii) manglende afhjælpning af

mangler efter bindende instrukser fra kompetente myndighe-

der, iv) hindringer for audits eller overvågningsaktiviteter

beordret af den kompetente myndighed efter konstatering

af en overtrædelse, v) afgivelse af urigtige eller klart unøjag-

tige oplysninger vedrørende cybersikkerhedsrisikostyrings-

foranstaltninger eller rapporteringsforpligtelser, der er fast-

sat i artikel 21 og 23, b) overtrædelsens varighed, c) den på-

gældende enheds relevante tidligere overtrædelser, d) enhver

materiel eller immateriel skade, der er forårsaget, herunder

ethvert finansielt eller økonomisk tab, virkninger for andre

tjenester og antallet af brugere, der er berørt, e) hvorvidt

gerningsmanden har begået overtrædelsen forsætligt eller

uagtsomt, f) enhver foranstaltning truffet af enheden for

at forebygge eller afbøde den materielle eller immateriel-

le skade, g) hvorvidt godkendte adfærdskodekser eller god-

kendte certificeringsmekanismer er overholdt, h) i hvilken

udstrækning de fysiske eller juridiske personer, der holdes

ansvarlige, samarbejder med de kompetente myndigheder.

Endvidere følger det af artikel 32, stk. 8, at de kompetente

myndigheder giver en detaljeret begrundelse for deres hånd-

hævelsesforanstaltninger. Inden de kompetente myndigheder

træffer sådanne foranstaltninger, underretter de berørte enhe-

der om deres foreløbige resultater. De giver også disse enhe-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

der en rimelig frist til at fremsætte bemærkninger, undtagen

i behørigt begrundede tilfælde, hvor øjeblikkelige foranstalt-

ninger til at forebygge eller reagere på hændelser ellers ville

blive hindret.

Endvidere følger det af artikel 32, stk. 9, at medlemsstaterne

sikrer, at deres kompetente myndigheder i henhold til dette

direktiv underretter de relevante kompetente myndigheder i

samme medlemsstat i henhold til CER-direktivet, når de ud-

øver deres tilsyns- og håndhævelsesbeføjelser med det for-

mål at sikre, at en enhed, der er identificeret som en kritisk

enhed i henhold til CER-direktivet, overholder nærværende

direktiv. Hvor det er relevant, kan de kompetente myndig-

heder i henhold til CER-direktivet anmode de kompetente

myndigheder i henhold til nærværende direktiv om at udøve

deres tilsyns- og håndhævelsesbeføjelser med hensyn til en

enhed, som er identificeret som en kritisk enhed i henhold til

CER-direktivet.

Endelig følger det af artikel 32, stk. 10, at medlemsstater-

ne sikrer, at deres kompetente myndigheder i henhold til

dette direktiv samarbejder med de relevante kompetente

myndigheder i den berørte medlemsstat i henhold til Euro-

pa-Parlamentets og Rådets forordning (EU) 2022/2554 af

14. december 2022 om digital operationel modstandsdygtig-

hed i den finansielle sektor og om ændring af forordning

(EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014,

(EU) nr. 909/2014 og (EU) 2016/1011 (forordning om mod-

standsdygtighed i den finansielle sektor). Medlemsstaterne

sikrer navnlig, at deres kompetente myndigheder i henhold

til nærværende direktiv underretter tilsynsforummet oprettet

i henhold til artikel 32, stk. 1, i forordning om modstands-

dygtighed i den finansielle sektor , når de udøver deres til-

syns- og håndhævelsesbeføjelser med det formål at sikre,

at en væsentlig enhed, der er udpeget som en kritisk tred-

jepartsudbyder af IKT-tjenester i henhold til artikel 31, i

forordning om modstandsdygtighed i den finansielle sektor,

overholder nærværende direktiv.

3.6.4. Klima-, Energi- og Forsyningsministeriets overvejel-

ser og den foreslåede ordning

Der er, som beskrevet i punkt 3.6.2. og 3.6.3., i CER-di-

rektivets artikel 21 og i NIS 2-direktivets artikel 31-33,

fastsat bestemmelser om tilsyn og håndhævelse. Medlems-

staterne forpligtes i disse bestemmelser til at sikre, at deres

kompetente myndigheder effektivt overvåger og træffer de

nødvendige foranstaltninger til at sikre, at direktivet over-

holdes. Medlemsstaterne kan dog tillade, at de kompetente

myndigheder prioriterer deres tilsynsopgaver baseret på en

risikobaseret tilgang.

Direktivet skelner mellem væsentlige og vigtige enheder,

til brug for tilsynsfrekvens og hvilke tiltag det er muligt

for myndighederne at anvende ved tilsyn. Sondringen mel-

lem enheder i direktivet, passer sammen med den måde de

nuværende regler for tilsyn sondrer mellem virksomheder

i energisektoren. Klima-, Energi- og Forsyningsministeriet

vurderer, at den nuværende ordning i for el- og gassekto-

rerne med kategorisering af virksomheder bør videreføres,

da dette hjælper til at sikre en rimelig balance mellem

forpligtelserne af virksomhederne og tilsynsenheden, og er

foreneligt med den sondring som foreslås efter NIS 2-direk-

tivet. Klima-, Energi- og Forsyningsministeriet vurderer og-

så, at det er nødvendigt at ordningen udvides til at omfatte

de andre sektorer, som skal omfattes af loven, således NIS

2-direktivets artikel 31-33 og CER-direktivets artikel 21 kan

implementeres i dansk ret for energisektoren. Det foreslås

derfor, at reglerne om tilsyn jf. de foreslåede bestemmelser i

§§ 19 og 20 fremadrettet også gælder for visse ikke allerede

omfattede virksomheder i el-, gas- og oliesektoren, samt alle

virksomheder i fjernvarme-, fjernkølings- og brintsektorerne

jf. de foreslåede bestemmelser i § 2, stk. 1-2. Fremadrettet

forventes det, at virksomheder ikke bliver inddelt i kategori-

er, men derimod i niveauer. Desuden forventes det fremad-

rettet, at jo højere et niveau en virksomhed inddeles på, jo

mere kritisk er virksomhed for forsyningssikkerheden. Der-

med vil niveau 1 virksomheder være de mindst kritiske,

mens et højere niveau betyder at en virksomhed er mere

kritiske og skal efterleve flere krav.

Der skelnes i NIS 2-direktiver mellem vigtige og væsentlige

enheder i forhold til, hvilke tilsynsforanstaltninger der skal

kunne anvendes. Det er dog Klima-, Energi- og Forsynings-

ministeriets vurdering, at alle tilsynsforanstaltninger som

udgangspunkt skal kunne anvendes overfor alle virksomhe-

der uagtet virksomhedens niveau, for at sikre en robust ener-

gisektor.

Virksomhederne i de forskellige delsektorer er vigtige for

den danske forsyning af energi. Klima-, Energi- og Forsy-

ningsministeriet vurderer derfor ikke, at det vil være til-

strækkeligt, at nogen virksomheder kun modtager reaktive

tilsyn, efter en hændelse er indtruffet, som NIS-direktivets

artikel 33 fastsætter som et minimumskrav for tilsyn med

vigtige virksomheder. Af hensyn til alle danskeres forsy-

ningssikkerhed af energi, foreslås det med § 19, stk. 3, at de

nuværende regler om proaktive tilsyn for alle virksomheder

vil kunne videreføres ved fastsættelse af regler på bekendt-

gørelsesniveau, dog med den differentiering i hvor ofte det

proaktive tilsyn gennemføres.

Direktivet oplister herudover de tilsynsforanstaltninger, som

minimum skal kunne anvendes ved tilsyn med virksomhe-

derne. Der er navnlig tale om, at tilsynsmyndigheden skal

kunne føre kontrol på stedet hos enhederne, foretage målret-

tede sikkerhedsaudits og sikkerhedsscanninger samt kræve

at få udleveret oplysninger og dokumentation, der er nød-

vendige for udførelsen af myndighedernes tilsynsopgaver.

Det foreslås med § 19, stk. 1, at klima-, energi- og forsy-

ningsministeren fører tilsyn med virksomheder i energisek-

toren omfattet af denne lov.

I dag føres der tilsyn, med henblik på at skabe værdi i

sektoren, for at højne det fælles sikkerhedsniveau i energi-

sektoren. Denne værdiskabende tilgang til tilsynet vil være

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

grundstenen i den måde de forskellige tilsynsforanstaltnin-

ger i den foreslåede § 19, stk. 2, nr. 1-6 skal anvendes.

Det foreslås med § 19, stk. 2, nr. 1-6, at klima-, energi-

og forsyningsministeren for at opfylde sin tilsynsforpligtel-

se kan anvende en række tilsyns- og kontrolforanstaltnin-

ger, såsom at føre tilsyn og kontrol hos virksomhed, fore-

tage regelmæssige tilsyns- og kontrolbesøg samt ad-hoc

tilsyn. Desuden foreslås der med forslaget til § 35, stk. 1,

en hjemmel til at få udleveret oplysninger og få adgang til

relevante data og dokumenter, når det er nødvendigt for

klima-, energi- og forsyningsministerens eller Energinets

opgaver efter loven, efter bestemmelser efter loven elle efter

EU-retsakter eller internationale forpligtigelser om forhold

omfattet af loven.

Klima-, Energi- og Forsyningsministeriet har i forbindelse

med udformningen af de foreslåede tilsynsbestemmelser,

overvejet om reglerne er nødvendige, og de er i overens-

stemmelse med retssikkerhedslovens regler for forvaltnin-

gens brug af tvangsindgreb uden for strafferetsplejen.

Det er Klima-, Energi- og Forsyningsministeriets vurdering,

at reglerne er nødvendige, idet reglerne skal implementere

særligt NIS 2-direktivets meget specifikke og meget strenge

krav til tilsyns- og håndhævelsesforanstaltninger i artikel 32,

samt CER-direktivets artikel 21, der har næsten ligeså vidt

gående krav til tilsyn og håndhævelse som NIS 2-direktivet.

Det forudsættes, at der ved valget om en af de i § 19,

stk. 2, nr. 1-6, tvangsindgreb vil skulle anvendes, at klima-,

energi- og forsyningsministeren iagttager proportionalitets-

princippet i retssikkerhedslovens § 2, og således kun anven-

der foranstaltninger, hvis indgreb står i rimeligt forhold til

formålet med indgrebet.

Det forudsættes ligeledes, at retssikkerhedslovens § 3 til § 8

iagttages ved anvendelsen af det valgte tvangsindgreb. Såle-

des skal der ske underretning af virksomheden, og formkra-

vene i § 5, stk. 2 skal overholdes medmindre undtagelserne i

§ 5, stk. 4, måtte finde anvendelse.

Det er således Klima-, Energi- og Forsyningsministeriets

vurdering, at reglerne er nødvendige og at retssikkerhedslo-

vens regler for forvaltningen brug af tvangsindgreb uden

strafferetsplejens overholdes.

Den foreslåede ordning i § 19, stk. 4, vil medføre, at mini-

steren kan fastsætte nærmere regler om i hvilke tilfælde,

tilsynet kan ske ved et fysisk tilsyn med fremmøde hos

virksomheden, eller at tilsynet kan ske som et eksternt til-

syn. Ministeren vil også kunne fastsætte nærmere regler om

hyppigheden af tilsyn.

Det foreslåede indebærer, at der fastsættes en ramme for

myndighedstilsyn med overholdelsen af reglerne i loven

og regler udstedt i medfør af loven. Således har Energi-

styrelsen, der i dag varetager tilsynet med beredskabet i

energisektoren på vegne af klima-, energi- og forsyningsmi-

nisteren, oparbejdet et tilsyn der er forankret i en stærk

beredskabs- og cybersikkerhedsfaglighed, der ligger vægt

på at være værdiskabende for virksomhederne, således at

udgangspunktet for tilsynet er at gøre den enkelte virksom-

heds beredskab og cybersikkerhed bedre efter fuldendt til-

syn. Med de foreslåede tilsynsbestemmelser vil dette værdi-

skabende tilsyn kunne forsættes.

Den foreslåede § 19, stk. 4, vil derudover kunne anvendes

til at fastsætte nærmere regler om, den geografiske og tids-

mæssige udstrækning af tilsyn, så længe tilsynet er propor-

tionelt med en virksomheds betydning for forsyningssikker-

heden. Det foreslås med § 19, stk. 4, at ministeren kan bruge

bestemmelsen til at fastsætte nærmere regler om tilsyn og

kontrol af virksomhederne, såsom metoder for og varighe-

den af tilsynet. Dette vil være med til at fremtidssikre loven,

således at der til enhver tid vil kunne føres et tilpas grun-

digt tilsyn hos virksomhederne i energisektoren, afhængig af

vigtigheden af den enkelte forsyningsart og trusselsniveauet

mod den pågældende delsektor.

Det foreslås i § 19, stk. 5, at klima-, energi- og forsynings-

ministeren kan fastsætte regler om udlevering af materiale

til brug for tilsyn samt formkrav hertil, herunder regler om

hvilke sprog materialet skal udarbejdes på.

Den foreslåede bestemmelse vil medføre, at ministeren kan

fastsætte regler om, at oplysninger eller materiale til brug

for tilsyn udleveres på en bestemt måde, på et bestemt sprog

og i en bestemt form. Eksempelvis vil der kunne fastsæt-

tes regler om, at virksomhederne skal anvende bestemte

skemaer eller skabeloner ved udleveringen af tilsynsmateri-

ale. Ligeledes vil der kunne fastsættes regler om, at virk-

somhederne forpligtes til at registrere visse oplysninger ved

brug af en bestemt hjemmeside eller it-løsning. Endeligt vil

bestemmelsen også kunne bruges til at fastsætte regler om at

dokumentation og oplysninger til brug for klima-, energi- og

forsyningsministeren skal indgive i en dansk version uagtet

hvad virksomhedens organisationssprog måtte være.

For de nærmere beskrivelser af den foreslåede ordning, hen-

vises til de specielle bemærkninger til §§ 19 og 20.

3.7. Påbud, forbud og straf

3.7.1. Gældende ret

EPCIP-direktivet indeholder ikke bestemmelser om hånd-

hævelse og sanktioner.

EPCIP-direktivet er blevet implementeret i energisektoren

ved bekendtgørelse nr. 11 af 7. januar 2011 om identifika-

tion og udpegning af europæisk kritisk infrastruktur på ener-

giområdet og vurdering af behovet for bedre beskyttelse. Ef-

ter bekendtgørelsen kan virksomheder i forbindelse med

tilsyn pålægges at udarbejde en sikkerhedsplan og ændre

i virksomhedens beredskabsplaner.

Desuden kan virksomheder straffes med bøde, hvis de 1) ik-

ke har udpeget en sikkerhedsofficer eller et kontaktpunkt for

infrastruktur udpeget efter direktivets regler, ikke behandler

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

materiale, der indeholder særligt følsomme oplysninger om

infrastrukturen, fortroligt og opbevarer det sikkert eller und-

lader at oplyse Energistyrelsen om, at følsomme oplysninger

er kompromitteret 2) ikke udarbejder eller reviderer plan-

materiale 3) afgiver urigtige eller vildledende oplysninger

eller efter anmodning undlader at afgive oplysninger 4) ikke

overholder pålæg meddelt efter denne bekendtgørelse eller

5) videregiver særligt følsomme oplysninger, til uvedkom-

mende.

Efter NIS 1-direktivets artikel 21 skal medlemsstaterne fast-

sætte regler om sanktioner, der anvendes i tilfælde af over-

trædelser af de nationale regler, der er vedtaget i medfør af

direktivet, og træffe alle nødvendige foranstaltninger for at

sikre, at de gennemføres. Sanktionerne skal være effektive,

stå i et rimeligt forhold til overtrædelsen og have afskræk-

kende virkning.

EPCIP-direktivet og NIS 1-direktivet indeholder ikke nær-

mere bestemmelser om ansvar for bestemte fysiske personer.

I energisektoren er virksomheders beredskab for forsynings-

sikkerheden af energi reguleret i delsektorerne el, gas og

olie. Reguleringen omfatter både fysisk beredskab og it-be-

redskab. Klima-, energi- og forsyningsministeren kan be-

stemme, at opstrømsanlæg og bygasnet tilsvarende skal

foretage beredskabsplanlægning og træffe beredskabsforan-

staltninger, jf. varmeforsyningslovens § 29 a, stk. 2.

Efter elforsyningslovens § 85 d og gasforsyningslovens § 47

b, kan det påbydes, at forhold, der strider mod loven eller

regler udstedt i medfør af loven, bringes i orden enten straks

eller inden for en nærmere angivet frist. Virksomheder, der

ikke overholder deres beredskabsforpligtelser, kan derfor gi-

ves påbud.

Klima-, energi- og forsyningsministeren kan efter § 54, stk.

4 i elforsyningsloven midlertidigt inddrage en bevilling eller

tilladelse, hvis en overtrædelse af bestemmelser, vilkår eller

påbud efter elforsyningsloven eller VE-loven eller regler

udstedt i medfør af disse love indebærer tilsidesættelse af

væsentlige hensyn til elforsyningssikkerheden. Dette gør sig

ligeledes gældende, hvis en netvirksomhed gør sig skyldig

i grove eller gentagne tilsidesættelse af vilkår stillet af Ener-

ginet i medfør af elforsyningslovens § 31, stk. 2, der berører

virksomhedens bevillingspligtige aktivitet. Klima-, energi-

og forsyningsministeren skal i forbindelse med afgørelsen

vejlede den pågældende om prøvelsesadgangen

Klima-, energi- og forsyningsministeren kan inddrage en

bevilling som er udstedt i medfør af gasforsyningslovens §

10, hvis virksomheden som har modtaget bevillingen, ikke

efterkommer påbud meddelt jf. gasforsyningslovens § 33,

stk. 1, nr. 1.

Virksomheder i el- og gassektorerne, som ikke efterlever

påbud om manglende overholdelse af it-beredskab, kan på-

bydes at foretage en it-revision, jf. it-beredskabsbekendtgø-

relsens § 32, stk. 2 og § 33, stk. 2.

Efter elforsyningslovens § 88 og gasforsyningslovens § 50,

kan der fastsættes regler om bødestraf for regler udsted i

medfør af loven.

Virksomheder med beredskabsansvar i el- og gassektorerne

kan straffes med bøde hvis virksomhederne, ikke udarbejder

eller reviderer planmateriale, ikke fremsender planmateriale

til godkendelse, afgiver urigtige eller vildledende oplysnin-

ger eller efter anmodning undlader at afgive oplysninger,

ikke overholder pålæg meddelt efter denne bekendtgørelse

eller videregiver følsomt materiale og oplysninger til uved-

kommende, jf. elberedskabsbekendtgørelsens § 35 og natur-

gasberedskabsbekendtgørelsens § 35.

It-beredskabsbekendtgørelsen indeholder ikke en selvstæn-

dig strafbestemmelse.

Virksomheder i elsektoren som ikke efterlever påbud udstedt

i medfør af elforsyningslovens § 85 d, straffes med bøde,

jf. elforsyningslovens § 87, stk. 1, nr. 7. Virksomheder i

gassektoren som ikke efterlever påbud udstedt i medfør af

gasforsyningslovens § 47 b, straffes med bøde, jf. gasforsy-

ningslovens § 49, stk. 1, nr. 6.

Efter olieberedskabslovens § 16, stk. 1, skal lagringspligti-

ge olievirksomheder foretage den nødvendig planlægning

og foretage de nødvendige foranstaltninger for at sikre

forsyningen af råolie og olieprodukter i beredskabssituatio-

ner og andre ekstraordinære situationer. Klima-, energi- og

forsyningsministeren kan fastsætte nærmere regler om be-

redskabsarbejdet for virksomhederne efter olieberedskabslo-

vens § 16, stk. 3.

Ifølge olieberedskabslovens § 18, kan klima- energi- og

forsyningsministeren påbyde at forhold, der strider mod lo-

ven eller regler udstedt i henhold til loven, skal bringes i

orden inden for en nærmere angivet frist. Klima-, energi- og

forsyningsministeren kan dermed på baggrund af manglen-

de overholdelse af beredskabsregler påbyde lagringspligtige

virksomheder, at forholdene skal bringes i orden.

Efter olieberedskabslovens § 23, stk. 1, nr. 5, straffes den,

der undlader at efterkomme påbud efter olieberedskabslo-

vens § 18, med bøde. Derudover kan der i regler, som ud-

stedes i medfør af olieberedskabsloven, fastsættes bødestraf

for overtrædelse af bestemmelserne i reglerne eller vilkår

fastsat i henhold til reglerne og for manglende overholdelse

af påbud meddelt i henhold til reglerne. Der kan i henhold til

olieberedskabslovens § 23, stk. 3, pålægges selskaber m.v.

(juridiske personer) strafansvar efter reglerne i straffelovens

5. kapitel.

Virksomheder med beredskabsansvar kan efter oliebered-

skabsbekendtgørelsens § 22, straffes med bøde, hvis virk-

somhederne 1) undlader at meddele Energistyrelsen om

virksomheden er afhængig af et forsyningskritisk it-system

og en hændelse i dette forsyningskritiske it-system vil få

væsentlige forstyrrende virkninger for leveringen af råolie

eller olieprodukter i en beredskabssituation eller anden ek-

straordinær situation, 2) undlader at underrette Energistyrel-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

sen om hændelser, der i væsentlig grad reducerer funktiona-

liteten, 3) undlader at underrette Energistyrelsen eller Center

for Cybersikkerhed om it-sikkerhedshændelser, der påvirker

forsyningskritiske it-systemer, hvor underretningen som mi-

nimum indeholder en beskrivelse af hændelsen, hændelsens

konsekvenser og hvorvidt hændelsen vurderes at have vidt-

rækkende konsekvenser for andre sektorer, 4) undlader at

udarbejde evalueringer efter hændelser eller at fremsende

disse til Energistyrelsen.

Kompetencen til at føre beredskabstilsyn, udstede bøder og

inddrage autorisation for virksomheder i el- og olie- gassek-

torerne er delegeret til Energistyrelsen, jf. § 3, stk. 1, nr.

5 og nr. 6, i bekendtgørelse nr. 910 af 14. juni 2024 om

Energistyrelsens opgaver og beføjelser (delegationsbekendt-

gørelsen).

3.7.2. CER-direktivet

Det følger af CER-direktivets artikel 22, at medlemsstaterne

fastsætter regler om sanktioner, der skal anvendes i tilfæl-

de af overtrædelser af de nationale foranstaltninger, der er

vedtaget i medfør af dette direktiv, og træffer alle nødvendi-

ge foranstaltninger for at sikre, at de gennemføres. Sanktio-

nerne skal være effektive, stå i et rimeligt forhold til over-

trædelsen og have afskrækkende virkning. Medlemsstaterne

giver senest den 17. oktober 2024 EU-Kommissionen med-

delelse om disse regler og foranstaltninger, og underretter

den straks om alle senere ændringer, der berører dem.

3.7.3. NIS 2-direktivet

Det følger af NIS 2-direktivets artikel 34, stk. 1, at med-

lemsstaterne sikrer, at de administrative bøder, der pålægges

væsentlige og vigtige enheder i henhold til denne artikel for

så vidt angår overtrædelser af dette direktiv, er effektive,

står i rimeligt forhold til overtrædelsen og har afskrækkende

virkning, under hensyntagen til omstændighederne i hver

enkelt sag.

Det følger desuden af artikel 34, stk. 2, at administrative

bøder pålægges i tillæg til en hvilken som helst af foranstalt-

ningerne omhandlet i artikel 32, stk. 4, litra a)-h), artikel 32,

stk. 5, og artikel 33, stk. 4, litra a)-g).

Endvidere følger det af artikel 34, stk. 3, at når det besluttes,

at der skal pålægges en administrativ bøde, og der træffes

afgørelse om dens størrelse i hver enkelt sag, tages der som

minimum behørigt hensyn til de i artikel 32, stk. 7, angivne

elementer.

I medfør af artikel 34, stk. 4, følger det, at medlemsstaterne

sikrer, at hvor væsentlige enheder overtræder artikel 21 eller

23, straffes de i overensstemmelse med nærværende artikels

stk. 2 og 3 med administrative bøder med et maksimum

på mindst 10.000.000 euro eller et maksimum på mindst 2

pct. af den samlede globale årsomsætning i det foregående

regnskabsår i den virksomhed, som den væsentlige enhed

tilhører, alt efter hvad der er højest.

Desuden følger det af artikel 34, stk. 6, at medlemsstaterne

kan fastsætte beføjelser til at pålægge tvangsbøder for at

tvinge en væsentlig eller vigtig enhed til at bringe en over-

trædelse af dette direktiv til ophør i overensstemmelse med

en forudgående afgørelse truffet af den kompetente myndig-

hed.

Endelig følger det af artikel 34, stk. 8, at hvis en medlems-

stats retssystem ikke giver mulighed for at pålægge admini-

strative bøder, sørger den pågældende medlemsstat for, at

denne artikel anvendes på en sådan måde, at den kompetente

myndighed tager skridt til bøder, og de kompetente nationa-

le domstole pålægger dem, idet det sikres, at disse retsmid-

ler er effektive, og at deres virkning svarer til virkningen

af administrative bøder, som pålægges af de kompetente

myndigheder. De bøder, der pålægges, skal under alle om-

stændigheder være effektive, stå i rimeligt forhold til over-

trædelsen og have afskrækkende virkning. Medlemsstaten

giver EU-Kommissionen meddelelse om bestemmelserne i

de love, som den vedtager i henhold til dette stykke, senest

den 17. oktober 2024 og underretter den straks om eventuel-

le senere ændringslove eller ændringer, der berører dem.

NIS 2-direktivets artikel 35, stk. 1, fastsætter, at hvor de

kompetente myndigheder i forbindelse med tilsyn eller

håndhævelse bliver opmærksomme på, at en væsentlig eller

vigtig enheds overtrædelse af forpligtelserne i dette direk-

tivs artikel 21 og 23 kan medføre et brud på persondatasik-

kerheden som defineret i artikel 4, nr. 12), i databeskyttel-

sesforordningen, som skal anmeldes i henhold til nævnte

forordnings artikel 33, underretter de uden unødigt ophold

tilsynsmyndigheder som omhandlet i nævnte forordnings

artikel 55 eller 56.

Desuden følger det af artikel 35, stk. 2, at hvor tilsynsmyn-

dighederne som omhandlet i artikel 55 eller 56 i databeskyt-

telsesforordningen pålægger en administrativ bøde i henhold

til nævnte forordnings artikel 58, stk. 2, litra i), må de kom-

petente myndigheder ikke pålægge en administrativ bøde i

henhold til dette direktivs artikel 34 for en i nærværende ar-

tikels stk. 1 omhandlet overtrædelse, der skyldes den samme

adfærd som den, der var genstand for den administrative

bøde i henhold til artikel 58, stk. 2, litra i), i databeskyt-

telsesforordningen. De kompetente myndigheder kan dog

anvende de håndhævelsesforanstaltninger eller pålægge de

sanktioner, der er omhandlet i dette direktivs artikel 32, stk.

4, litra a)-h), artikel 32, stk. 5, og artikel 33, stk. 4, litra

a)-g).

Endelig følger det af artikel 35, stk. 3, at hvor den tilsyns-

myndighed, der er kompetent i henhold til databeskyttelses-

forordningen, er etableret i en anden medlemsstat end den

kompetente myndighed, underretter den kompetente myn-

dighed tilsynsmyndigheden, der er etableret i sin egen med-

lemsstat, om det i stk. 1 omhandlede potentielle brud på

persondatasikkerheden.

Det følger af NIS 2- direktivets artikel 36, at medlemssta-

terne fastsætter regler om sanktioner, der skal anvendes i

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

tilfælde af overtrædelser af de nationale foranstaltninger, der

er vedtaget i medfør af dette direktiv, og træffer alle nødven-

dige foranstaltninger for at sikre, at de gennemføres. Sank-

tionerne skal være effektive, stå i et rimeligt forhold til

overtrædelsen og have afskrækkende virkning. Medlemssta-

terne giver senest den 17. januar 2025 EU- Kommissionen

meddelelse om disse regler og foranstaltninger og underret-

ter den straks om alle senere ændringer, der berører dem.

3.7.4. Klima-, Energi- og Forsyningsministeriets overvejel-

ser og den foreslåede ordning

De hensyn som er oplistet i NIS 2-direktivet skal iagttages

uagtet om der foretages håndhævelsesforanstaltninger på

baggrund af bestemmelser, der er en videreførelse af gæl-

dende ret eller implementering af NIS 2- og CER-direktiver-

ne.

Det vurderes mest hensigtsmæssigt, at afgørelse om hånd-

hævelsesforanstaltninger træffes af den myndighed, der fø-

rer tilsyn efter loven. Det forventes, at disse kompetencer

delegeres til Energistyrelsen.

Håndhævelsesforanstaltninger som fratager en virksomhed

deres autorisation eller forbyder et medlem af ledelsen at

udføre ledelsesopgaver, er meget indgribende foranstaltnin-

ger. Foranstaltninger bør derfor ledsages af de fornødne rets-

sikkerhedsmæssige garantier.

I lighed med NIS 1-direktivet indeholder NIS 2-direktivet i

artikel 36 en bestemmelse, hvorefter medlemsstaterne skal

fastsætte regler om sanktioner, der skal anvendes i tilfælde

af overtrædelse af de nationale foranstaltninger, der er ved-

taget i medfør af direktivet, ligesom medlemsstaterne skal

træffe alle nødvendige foranstaltninger for at sikre, at de

gennemføres.

Sanktionerne skal være effektive, stå i et rimeligt forhold til

overtrædelsen og have afskrækkende virkning.

NIS 2-direktivets artikel 34 indeholder herudover regler om

de generelle betingelser for pålæggelse af administrative

bøder til væsentlige og vigtige enheder.

Der lægges i NIS 2-direktivets artikel 34 op til, at bøder

pålægges administrativt – dvs. af de kompetente myndig-

heder – medmindre medlemsstaternes nationale retssystem

ikke giver mulighed herfor. I givet fald skal bestemmelserne

om administrative bøder anvendes, således at disse i sidste

ende pålægges af de nationale domstole. Det skal sikres, at

virkningen svarer til virkningen af administrative bøder.

Indførelsen af administrative bøder giver i dansk ret betænk-

eligheder i forhold til grundlovens § 3 om magtens trede-

ling. Bestemmelsen antages at indebære, at lovgivningsmag-

ten ikke i almindelighed kan henlægge behandlingen af

strafferetlige bødesager til administrative myndigheder. I

dansk retspleje er det i øvrigt et grundlæggende princip, at

bøder, der har karakter af en strafferetlig sanktion, kun kan

idømmes ved domstolene og i strafferetsplejens former, der

sikrer den sigtede en effektiv beskyttelse. Det er på den bag-

grund Klima- Energi- og Forsyningsministeriets vurdering,

at direktivets undtagelsesbestemmelse ift. administrative bø-

der bør finde anvendelse. Direktivets bestemmelser om ad-

ministrative bøder vil således skulle fortolkes og implemen-

teres på en måde, hvor bøder ikke pålægges administrativt,

men i det almindelige strafferetlige system.

Det følger af NIS 2-direktivet, at (administrative) bøder vil

kunne blive pålagt i tillæg til en hvilken som helst af hånd-

hævelsesforanstaltningerne vedrørende væsentlige og vigti-

ge enheder, herunder – for så vidt angår væsentlige enheder

– også den særlige suspensions- og forbudsordning.

Klima- energi- forsyningsministeren vil skulle påse, at den-

ne lov og regler udstedt i medfør af loven efterleves, herun-

der undersøge mulige overtrædelser af lovgivningen. I den

situation, hvor en kompetent myndighed måtte blive bekendt

med, at der kan være sket en strafbar overtrædelse af loven

eller regler udstedt i medfør af loven, vil myndigheden

efter Klima-, Energi- og Forsyningsministeriets opfattelse

skulle foretage en konkret vurdering – under hensyntagen

til omstændighederne i hver enkelt sag og sanktionsregimets

effektivitet, forholdsmæssighed og afskrækkende virkning –

og på den baggrund beslutte, om forholdet skal anmeldes til

politiet.

NIS 2-direktivets artikel 34, stk. 3, foreskriver desuden nær-

mere, hvilke hensyn, der skal indgå i beslutningen om, hvor-

vidt der skal pålægges en bøde, samt bødens størrelse. Hen-

synene er de samme som de hensyn, der skal indgå i en

afgørelse om at træffe håndhævelsesforanstaltninger efter

artikel 32, stk. 7, jf. afsnit 3.4.2 ovenfor.

Det forudsættes, at de pågældende hensyn indgår i de kom-

petente myndigheders beslutning om politianmeldelse af et

forhold, samt i politi- og anklagemyndighedens samt dom-

stolenes vurdering af sagen, herunder ved udmålingen af en

eventuel bøde.

Efter NIS 2-direktivets artikel 34, stk. 4, skal væsentlige en-

heders overtrædelse af direktivets artikel 21 (foranstaltnin-

ger til styring af cybersikkerhedsrisici) eller artikel 23 (rap-

porteringsforpligtelser) straffes med et maksimum på mindst

10.000.000 euro eller et maksimum på mindst 2 pct. af den

samlede globale årsomsætning i det foregående regnskabsår

i den virksomhed, som den væsentlige enhed tilhører, alt

efter, hvad der er højest.

Efter NIS 2-direktivets artikel 34, stk. 5, skal vigtige enhe-

ders overtrædelse af direktivets artikel 21 (foranstaltninger

til styring af cybersikkerhedsrisici) eller artikel 23 (rappor-

teringsforpligtelser) straffes med et maksimum på mindst

7.000.000 euro eller et maksimum på mindst 1,4 pct. af den

samlede globale årsomsætning i det foregående regnskabsår

i den virksomhed, som den væsentlige enhed tilhører, alt

efter, hvad der er højest.

Klima-, Energi- og Forsyningsministeriet vurderer, at der

bør kunne udmåles bøder til virksomhederne svarende til

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

de i direktivet fastlagte minimumsgrænser for det maksima-

le bødeniveau. Klima-, Energi-, og Forsyningsministeriet

finder således ikke anledning til at fastsætte højere maksi-

mumniveauer end de i direktivet fastlagte minimumsniveau-

er. Klima-, Energi- og Forsyningsministeriet lægger i øvrigt

vægt på at foretage en implementering, der i overensstem-

melse med NIS 2- og CER-direktiverne fastsætter bestem-

melser om sanktioner, som sikrer at disse er effektive, for-

holdsmæssige og har afskrækkende virkning. De foreslåede

bestemmelser om bøde, for manglende overholdes af NIS

2-direktivets artikel 21, fremgår af lovforslagets § 37, stk. 1,

nr. 2-4.

3.7.4.1 Særligt om tvangsbøder

Det følger af NIS 2-direktivet, at medlemsstaterne kan fast-

sætte beføjelser til at pålægge tvangsbøder for at tvinge en

væsentlig eller vigtig enhed til at bringe en overtrædelse af

direktivet til ophør i overensstemmelse med en forudgående

afgørelse truffet af den kompetente myndighed.

Efter retsplejelovens § 997, stk. 3, kan der i domme, hvor-

ved nogen tilpligtes at opfylde en forpligtelse mod det of-

fentlige, som tvangsmiddel fastsættes en fortløbende bøde,

der tilfalder statskassen (tvangsbøder).

Det følger således allerede af de almindelige regler i retsple-

jeloven, at domstolene kan udskrive tvangsbøder for at få

nogen, herunder i givet fald virksomhederne som foreslås

omfattet, til at opfylde en forpligtelse mod det offentlige,

herunder de kompetente myndigheder.

Administrative tvangsbøder er derimod tvangsbøder, som

ikke pålægges af domstolene, men af forvaltningen. En ad-

ministrativ tvangsbøde er således en afgørelse om, at en

økonomisk sanktion vil blive pålagt, hvis en handlepligt

ikke opfyldes – fx et påbud eller en pligt til at udlevere

bestemte oplysninger.

Sådanne bøder kan ofte opfattes som en straf, og der er ikke

samme retssikkerhedsgarantier som tvangsbøder pålagt af

domstolene. Det antages derfor normalt, at der kun bør gives

hjemmel til administrative tvangsbøder, hvis der foreligger

et helt særligt behov for effektiv kontrol og håndhævelse

på det pågældende område. Endvidere bør de forhold, der

udløser tvangsbøderne, være let konstaterbare.

Klima-, Energi- og Forsyningsministeriet er på baggrund af

ovenstående tilbageholdende med at foreslå, at der skabes

hjemmel til administrative tvangsbøder på dette område. Det

skal bl.a. ses i lyset af, at det på nuværende tidspunkt er

usikkert, om de forhold, der i givet fald vil kunne begrunde

tvangsbøder, er så tilstrækkeligt objektivt konstaterbare, at

det vil være betænkeligt at skabe en sådan hjemmel.

Klima-, Energi- og Forsyningsministeriet vurderer således

som udgangspunkt, at de retsmidler, der foreslås med den-

ne lov, herunder tilsyns- og håndhævelsesforanstaltningerne

i lovforslagets samt muligheden for at offentliggøre afgø-

relser mv., er tilstrækkelige til at sikre, at reglerne efterle-

ves. Dette skal også ses i lyset af de eksisterende muligheder

i retsplejeloven for at anvende tvangsbøder. De foreslåede

retsmidler som nævnes ovenfor, fremgår af lovforslagets §

19, stk. 2, nr. 1-6, § 21, stk. 1, nr. 1-5, § 22, stk. 1 og § 23,

skt. 1, nr. 1 og 2.

3.7.4.2 Særligt om fysiske personers strafansvar, herunder

valg af ansvarssubjekt

NIS 2-direktivets artikel 34 om generelle betingelser for

pålæggelse af bøder er rettet mod væsentlige og vigtige

enheder, og dermed de juridiske personer som sådan. De

forudsatte bødeniveauer udmåles bl.a. på baggrund af virk-

somhedens årsomsætning.

Det følger dog af NIS 2-direktivets artikel 32, stk. 6, at

medlemsstaterne sikrer, at enhver fysisk person, der er an-

svarlig for eller optræder som juridisk repræsentant for en

væsentlig enhed på grundlag af beføjelsen til at repræsentere

den, beføjelsen til at træffe afgørelser på dennes vegne eller

beføjelsen til at udøve kontrol over den, har beføjelse til

at sikre, at den overholder dette direktiv. Medlemsstaterne

sikrer, at det er muligt at drage sådanne fysiske personer

til ansvar for tilsidesættelse af deres forpligtelser til at sikre

overholdelse af dette direktiv.

Det er i direktivets præambelbetragtning 130 forudsat, at

hvor en bøde pålægges en person, der ikke er en virksom-

hed, bør den kompetente myndighed ved fastsættelsen af

en passende bødestørrelse tage hensyn til det generelle ind-

komstniveau i den pågældende medlemsstat og personens

økonomiske stilling.

Det følger af Rigsadvokatmeddelelse nr. 11550 af 17. april

2015 om strafansvar for juridiske personer, at udgangspunk-

tet ved valg af ansvarssubjekt i særlovgivningen er, at tilta-

len rejses mod den juridiske person.

Det er i den forbindelse en forudsætning for at pålægge en

juridisk person ansvar, at der inden for dens virksomhed

er begået en overtrædelse, der kan tilregnes en eller flere

til virksomheden knyttede personer eller virksomheden som

sådan, jf. straffelovens § 27, stk. 1.

Det fremgår dog også af rigsadvokatmeddelelsen, at der i en

række tilfælde kan være anledning til – ud over tiltalen mod

den juridiske person – tillige at rejse tiltale mod en eller

flere fysiske personer, såfremt den eller de pågældende har

handlet forsætligt eller udvist grov uagtsomhed. Der angives

endvidere retningslinjer for afgørelsen herom.

Det beskrives i den forbindelse, at der på en række områ-

der er fastsat særlige regler, som pålægger enkeltpersoner

et selvstændigt og individuelt strafansvar i kraft af deres

særlige stilling eller funktion, eksempelvis piloter og besæt-

ningsmedlemmer. I så fald er udgangspunktet, at der rejses

tiltale mod den pågældende person samt i almindelighed

tillige mod den juridiske person. I visse tilfælde indeholder

lovgivningen endvidere mulighed for et selvstændigt og in-

dividuelt strafansvar, selv om overtrædelsen ikke kan tilreg-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

nes de pågældende som forsætlig eller uagtsom (objektivt

individualansvar).

Klima-, Energi- og Forsyningsministeriet finder ikke på det-

te område anledning til at fastsætte særlige regler om et

selvstændigt og individuelt strafansvar for fysiske person-

er, herunder regler, som går videre end strafansvaret for

juridiske personer. Det er således Klima-, Energi- og Forsy-

ningsministeriets vurdering, at NIS 2-direktivets krav om,

at nærmere bestemte fysiske personer kan drages til ansvar

for tilsidesættelse af deres forpligtelser efter direktivet, ikke

synes at stille krav om mere end det, der allerede i dag

følger af de almindelige regler.

Dermed vil et eventuelt strafansvar for fysiske personer føl-

ge det almindelige udgangspunkt i særlovgivningen, hvor-

efter der i tillæg til den juridiske person efter nærmere ret-

ningslinjer kan rejses tiltale mod en fysisk person, såfremt

denne har handlet forsætligt eller groft uagtsomt. Bøder vil

i givet fald skulle udmåles i overensstemmelse med direkti-

vets forudsætninger om størrelsen heraf.

3.7.4.3 Særligt om brud på persondatasikkerheden

NIS 2-direktivets artikel 35, stk. 2, indeholder særlige be-

stemmelser for så vidt angår overtrædelser af forpligtelser-

ne i direktivets artikel 21 (om foranstaltninger til styring

af cybersikkerhedsrisici) og artikel 23 (om underretningsfor-

pligtelser), der (også) kan medføre et brud på persondatasik-

kerheden i medfør af databeskyttelsesforordningen. I givet

fald skal de kompetente myndigheder uden unødigt ophold

underrette de relevante tilsynsmyndigheder, i dansk ret Da-

tatilsynet, og der kan ikke straffes med (administrativ) bøde

i medfør af NIS 2-direktivet, såfremt den samme adfærd

straffes med (administrativ) bøde efter databeskyttelsesfor-

ordningen.

Det følger af direktivet, at de kompetente myndigheder ikke

er afskåret fra at anvende håndhævelsesforanstaltninger i de

pågældende situationer.

Henset til, at der ikke anvendes administrative bøder i dansk

ret, jf. ovenfor, vil bestemmelserne skulle fortolkes og im-

plementeres i lyset heraf.

3.7.4.4 Om andre påbud, forbud og straf

Det foreslås, at klima-, energi- og forsyningsministeren kan

pålægge at forhold, der ikke lever op til lovens krav brin-

ges i orden. Påbud kan ske på baggrund af tilsyn eller,

hvis Energistyrelsen, der forventes at udføre tilsynet på mi-

nisterens vegne, på anden måde bliver bekendt med, at plig-

terne efter loven ikke efterleves. Energistyrelsen kan blive

bekendt med beredskabsforhold gennem anden kommunika-

tion med den pågældende virksomhed, kommunikation om

den pågældende virksomheder eller tilsyn, som føres efter

anden regulering m.v.

Der kan være tilfælde, hvor Energistyrelsen ved tilsyn bli-

ver opmærksom på væsentlige afvigelser i virksomhedernes

risikostyring og sikkerhedsforanstaltninger. Dette kan bl.a.

være i tilfælde af, at virksomheden ikke retter op på forhold,

der har givet anledning til væsentlige påbud, eller hvor det

vurderes, at en virksomheds risikovurderinger vedrørende

risici for forsyningen er mangelfulde. Det foreslås derfor i §

22, skt. 1, at Energistyrelsen i særlige tilfælde kan pålægge

virksomheden ekstern beredskabsrevision. I sådanne tilfælde

foreslås det desuden i § 22, stk. 3, at Energistyrelsen er an-

svarlig for at beskrive rammerne for revisionen samt vælge

hvilke revisorselskaber, der kan benyttes.

Det bemærkes desuden, at de eksisterende muligheder for

rettighedsfrakendelse i straffeloven ikke vurderes tilstræk-

kelige til at sikre korrekt og tilstrækkelig implementering

af bestemmelsen i direktivet. Det skyldes navnlig, at rettig-

hedsfrakendelse i medfør af straffelovens § 79 alene kan

ske i forbindelse med dom for strafbart forhold, og hvis det

udviste forhold begrunder en nærliggende fare for misbrug

af stillingen.

Det foreslås, at den særlige ordning om at forbyde en fysisk

person af ledelsen at udøve ledelsesfunktioner og midlerti-

dig suspension af autorisation, som udgangspunkt bliver

anvendt i de tilfælde, hvor allerede pålagte håndhævelses-

foranstaltninger er utilstrækkelige. Efter den foreslåede ord-

ning, fastsættes der en frist, inden for hvilken manglerne

afhjælpes eller myndighedernes krav efterleves. Efter forsla-

get i § 23 bliver udgangspunktet, hvis de nødvendige tiltag

ikke er foretaget inden for den fastsatte frist, at ministeren

kan træffe afgørelse om midlertidigt at suspendere en myn-

dighedsudstedt certificering eller godkendelse vedrørende

dele af eller alle de relevante tjenester, enheden leverer,

eller aktiviteter, der udføres af enheden eller midlertidigt at

forbyde enhver fysisk person med ledelsesansvar på direk-

tionsniveau eller juridisk repræsentant i enheden at udøve

ledelsesfunktioner i den pågældende enhed.

Det vil i udgangspunktet være en forudsætning, at ordningen

først anvendes, når det kan konstateres at mindre indgriben-

de midler har vist sig utilstrækkelige.

Det foreslås, at sådanne midlertidige suspensioner eller mid-

lertidige forbud mod, at fysiske personer må udøve ledelses-

funktioner, kun kan anvendes, indtil virksomheden træffer

de nødvendige foranstaltninger til at afhjælpe de mangler

eller opfylde de krav, som gav anledning til, at foranstaltnin-

gerne blev anvendt.

Det foreslås, at håndhævelsesforanstaltninger, der fratager

en virksomhed deres autorisation eller forbyder et medlem

af ledelsen at udføre ledelsesopgaver, kan forlanges indbragt

for domstolene. Desuden foreslås det, at domstolene kan

bestemme, at sagsanlæg har opsættende virkning.

Det foreslås, at der som led i implementeringen af CER og

NIS 2-direktiverne indsættes sanktionsbestemmelser i loven

med det formål, at alle materielle og processuelle krav i

loven eller regler udstedt i medfør af loven, som ikke bliver

overholdt kan medføre bødestraf.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det foreslås således, at med bøde straffes den, der: 1) und-

lader at efterkomme påbud efter § 14, stk. 2, 2) hindrer

myndighederne i at føre kontrol efter § 19, stk. 2, nr. 1-6, 3)

undlader at efterkomme påbud efter § 21 og § 22, stk. 1 og

2, 4) undlader at efterkomme en afgørelse efter § 23, stk. 1,

nr. 1 eller 2, 5) meddeler Energiklagenævnet urigtige, vild-

ledende oplysninger eller undlader, at meddele oplysninger

efter anmodning i medfør af § 31, stk. 6, eller 6) meddeler

klima-, energi- og forsyningsministeren eller Energinet urig-

tige eller vildledende oplysninger eller undlader at meddele

oplysninger i medfør af den foreslåede § 35, stk. 1.

Det foreslås, at bøder vil kunne pålægges fysiske personer

og selskaber m.v. (juridiske personer), i det omfang de om-

fattes af lovens anvendelsesområde eller de allerede gælden-

de bestemmelser i straffeloven.

NIS 2-direktivet indeholder ikke særlige forudsætninger for

så vidt angår bødeniveauet for manglende efterlevelse af

forpligtelser i direktivet ud over artikel 21 (foranstaltninger

til styring af cybersikkerhedsrisici) og artikel 23 (rapporte-

ringsforpligtelser). Der stilles ikke særlige krav til bødestør-

relse efter CER-direktivet, men det foreslås, at der i lovfor-

slaget stilles bødekrav svarende til dem i NIS 2-direktivet

til bestemmelserne, som implementerer artikel 13 (kritiske

enheder modstandsdygtighedsforanstaltninger) og artikel 15

(underretning om hændelser).

Det forudsættes i overensstemmelses med CER-direktivets

artikel 22, at sanktionerne skal være effektive, stå i et ri-

meligt forhold til overtrædelsen og have afskrækkende virk-

ning. Det forudsættes således og i overensstemmelse med

NIS 2-direktivets artikel 34, stk. 4 og 5, at bødens størrelse

for så vidt angår overtrædelse af bestemmelserne i § 14, stk.

2, § 19, stk. 2, nr. 1-6, §§ 21, 22, stk. 1 og 2 og § 23, stk.

1, nr. 1 eller 2 samt reglerne udstedt i medfør af §§ 6-10,

§ 11, stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr.

1-7, §§ 21 og 22 og § 23, stk. 1, nr. 1 eller 2 maksimalt

vil udgøre et beløb svarende til 10.000.000 euro eller 2

pct. af virksomhedens samlede globale årsomsætning i det

foregående regnskabsår, alt efter, hvad der er højest.

Der foreslås ikke i tilknytning til øvrige bestemmelser end

de specifikt angivne ovenfor anlagt særlige forudsætninger

for så vidt angår udmålingen af bødernes størrelse. Det

samme gælder eventuel udmåling af bøder til fysiske per-

soner, hvor det dog forudsættes, at der tages behørigt hensyn

til direktivets forudsætninger om at lægge vægt på det gene-

relle indkomstniveau og personens økonomiske stilling.

Bøderne vil kunne pålægges i tillæg til påbud og forbud i de

foreslåede §§ 21-23.

Ved afgørelse om at politianmelde et forhold, ved pålæg af

en bøde og ved udmåling af bødens størrelse forudsættes

det, at der lægges vægt på de i afsnit 3.7.4.2. beskrevne

hensyn.

Det foreslås endvidere, i overensstemmelse med NIS 2-di-

rektivet, at hvor der er pålagt en bøde for overtrædelse

af databeskyttelsesforordningen eller databeskyttelsesloven,

kan der ikke pålægges en bøde for overtrædelse af denne

lov eller regler udstedt i medfør af loven, hvis overtrædelsen

skyldes den samme adfærd.

3.8 Monopolvirksomheders muligheder for at afholde

omkostninger til beredskab

3.8.1. Gældende ret

Udgangspunktet for prisreguleringen af varmeforsynings-

virksomheder følger af § 20, stk. 1, i varmeforsyningslo-

ven. Prisreguleringen indebærer, at varmepriserne reguleres

efter princippet om nødvendige omkostninger – også kaldet

den omkostningsbestemte varmepris. Varmeforsyningsvirk-

somhederne kan alene indregne nødvendige omkostninger i

varmeprisen. Derudover må prisen ikke være urimelig, jf. §

21, stk. 4, i varmeforsyningsloven.

Bestemmelsen i § 20, stk. 1, i varmeforsyningsloven, inde-

holder en ikke udtømmende opregning af de virksomheder,

der er omfattet af prisbestemmelserne. Afgørende for at

være omfattet er, at virksomheden leverer opvarmet vand,

damp eller gas bortset fra naturgas til det indenlandske

marked med det formål at levere energi til bygningers op-

varmning og forsyning med varmt vand, dvs. til rumvar-

meformål. Bestemmelsen finder tilsvarende anvendelse på

levering af opvarmet vand til andre formål fra centrale kraft-

varmeanlæg.

De omkostninger, der må indregnes i priserne, skal ud over

at være nødvendige, også efter deres art være indregnings-

berettigede. Det drejer sig bl.a. om omkostninger som følge

af pålagte offentlige forpligtelser, herunder omkostninger til

energispareaktiviteter efter §§ 28 a, 28 b og 29.

Omkostninger til energispareaktiviteter efter §§ 28 a, 28

b og 29 er nærmere reguleret i kapitel 7 i varmeforsy-

ningsloven om offentlige forpligtelser for varmeforsynings-

anlæg. Ud over de disse bestemmelser er beredskab til bygas

også reguleret, jf. § 29 a.

Virksomheder, som driver anlæg til produktion og fremfø-

ring af bygas, skal foretage nødvendig planlægning og træf-

fe de nødvendige foranstaltninger for at sikre bygasforsynin-

gen i beredskabssituationer og andre ekstraordinære situati-

oner, jf. § 29 a, stk. 1, i varmeforsyningsloven. Klima-,

energi- og forsyningsministeren kan fastsætte regler om va-

retagelse af de i stk. 1 nævnte opgaver samt om varetagelse

af de overordnede, koordinerende planlægningsmæssige og

operative opgaver vedrørende beredskabet, jf. § 29 a, stk. 2,

i varmeforsyningsloven.

Bestemmelsen omfatter alene bygas. Anden energi er såle-

des ikke omfattet.

Det fremgår af de specielle bemærkninger til bestemmelsen

i stk. 1, at det ikke blev fundet nødvendigt at etablere et

beredskab for andre dele af varmeforsyningen, da brænd-

stofforsyninger til varme- eller kraftvarmeværker påregne-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

des dækket af dels beredskabslagrene på olieområdet, dels

beredskabet for naturgas. Derudover ville varmeproduktion

og -distribution blive dækket af det almindelige driftsbered-

skab. Dertil kom, at varmeforsyning ikke blev anset for

at være af afgørende betydning for opretholdelse af samfun-

dets funktioner i en krisesituation.

Bygas blev foreslået omfattet af bestemmelserne, da bygas

i vidt omfang er sidestillet med naturgas, og da bygas- og

naturgasselskaberne gennem længere tid havde samarbejdet

om beredskabsforhold.

Det fremgår af de specielle bemærkninger til bestemmelsen

i stk. 2, at bestemmelsen endvidere skulle give hjemmel til

at fastsætte regler for varetagelse af de overordnede, koordi-

nerende planlægningsmæssige og operative opgaver vedrø-

rende beredskabet; som hidtil varetaget i samarbejde med

virksomheder inden for naturgassektoren. Bemyndigelsen er

på nuværende tidspunkt ikke udnyttet.

Udover, at en omkostning skal være nødvendig, må den

samlede pris ikke være urimelig, jf. § 21, stk. 4, i varmefor-

syningsloven. Det er Forsyningstilsynet, der i konkrete sager

afgør, hvilke udgifter og omkostninger, der må anses for

nødvendige, og som derfor kan indregnes i priserne.

Finder Forsyningstilsynet, at tariffer (priser), omkostnings-

fordeling på anlæg med forenet produktion eller andre betin-

gelser er urimelige eller i strid med nærmere fastlagte rets-

regler eller regler udstedt i medfør af loven, giver tilsynet,

såfremt forholdet ikke gennem forhandling kan bringes til

ophør, pålæg om ændring af tariffer, omkostningsfordeling

på anlæg med forenet produktion eller betingelser, jf. § 21,

stk. 4.

Det følger af Forsyningstilsynets praksis, at den samlede

varmepris ikke må overstige den i administrativ praksis ud-

viklede substitutionspris. Substitutionsprisprincippet er ud-

viklet i den administrativ praksis. Substitutionsprisprincip-

pet er derfor ikke fastsat ved lov. Substitutionsprisprincippet

indebærer, at der for køb af varme ikke må indregnes en

højere pris end den pris, som varmekøber selv ville kunne

producere den omfattede varmemængde for eller købe den

for fra tredjemand. Princippet kan efter praksis få virkning

i alle led i værdikæden, dvs. for alle leverancer omfattet

af § 20, stk. 1, i varmeforsyningsloven. I praksis fungerer

substitutionsprisen således som et lokalt prisloft for varme-

forsyningsvirksomhedernes køb af opvarmet vand m.v. En

varmeforsyningsvirksomheds substitutionspris er dynamisk

og kan ændre sig fra år til år. Det er Forsyningstilsynet,

der af egen drift eller på baggrund af en henvendelse eller

en klage, kan vurdere, om substitutionsprisprincippet finder

anvendelse i et konkret leveringsforhold, herunder fastsætte

substitutionsprisen. Princippet har dog ikke virkning for den

del af værdikæden, der er mellem varmedistributionsvirk-

somhed og slutkunde.

De virksomheder, der er omfattet af prisreguleringen i var-

meforsyningsloven, er derudover omfattet af en anmeldel-

sespligt af visse oplysninger til Forsyningstilsynet efter §

21, stk. 1, i varmeforsyningsloven. Anmeldelsespligten in-

debærer, at bl.a. priser for ydelser omfattet af § 20 i varme-

forsyningsloven, skal anmeldes til Forsyningstilsynet med

angivelse af grundlaget herfor efter nærmere regler fastsat

af tilsynet. Forsyningstilsynet kan fastsætte regler om for-

men for anmeldelse og om, at anmeldelse skal foretages

elektronisk. Forsyningstilsynet kan fastsætte regler om, at

anmeldelse skal ledsages af en erklæring afgivet af en regi-

streret revisor, statsautoriseret revisor eller kommunens revi-

sor. Forsyningstilsynet kan give pålæg om anmeldelse. An-

meldelse er en gyldighedsbetingelse, jf. § 21, stk. 3, i var-

meforsyningsloven, men indebærer ikke en godkendelse af

det anmeldte fra Forsyningstilsynet.

Elforsyningslovens §§ 69-69 c indeholder de overordnede

rammer for den økonomiske regulering af netvirksomheder-

ne.

Netvirksomhederne er, ligesom varmeforsyningsvirksomhe-

derne, naturlige monopoler og er derfor reguleret anderledes

end virksomheder, som er udsat for konkurrence. På den ene

side skal netvirksomhederne som forsyningsvirksomhed sik-

res økonomiske forudsætninger til at udbygge infrastruktur

i takt med samfundets behov for elektricitet, men omvendt

skal omkostningseffektivitet sikres med henblik på, at de

som monopoler ikke fastsætter for høje tariffer over for

forbrugerne.

Reguleringen af netvirksomhederne er derfor bygget op om-

kring indtægtsrammer, der lægger et loft over, hvor meget

den enkelte netvirksomhed kan opkræve i indtægter fra

elkunderne via tariffer. Inden for indtægtsrammen kan net-

virksomhederne frit anvende deres midler til drift, vedlige-

hold, investeringer, fleksibilitet, innovation mm.

§ 69, stk. 1 i elforsyningsloven, fastslår, at netvirksomheder-

ne underlægges en indtægtsrammeregulering. Indtægtsram-

men er et samlet beløb, som priserne skal fastsættes inden-

for, mens selve prisfastsættelsen af netvirksomhedens enkel-

te ydelser sker efter offentliggjorte metoder, som godkendes

af Forsyningstilsynet, jf. § 73 a.

Efter elforsyningslovens § 69, stk. 5 fastsætter Forsynings-

tilsynet bl.a. de individuelle effektiviseringskrav gennem

benchmarking til hver netvirksomhed. De individuelle ef-

fektiviseringskrav til netvirksomhederne skal sikre, at inef-

fektive netvirksomheder holdes op mod effektiviteten hos

effektive netvirksomheder, så elforbrugerne ikke permanent

betaler for meget for transporten af elektricitet pga. ineffek-

tivitet. Ved opgørelse af de individuelle effektiviseringskrav

i Forsyningstilsynets benchmarkingmodel tages bl.a. højde

for, at netvirksomhederne leverer forskellige outputs i form

af leveret energi, normaliseret net og kapacitet mv, ligesom

der skal tages højde for omkostninger, som ikke kan indgå

i benchmarkingen. De individuelt opgjorte effektiviserings-

krav skal understøtte, at netvirksomhederne vælger omkost-

ningseffektive løsninger, fordi valg af mindre effektive løs-

ninger på sigt vil udløse et effektiviseringskrav.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det følger af § 29, stk. 1 og stk. 3 i indtægtsrammebekendt-

gørelsen, at Forsyningstilsynet efter ansøgning forhøjer en

netvirksomheds omkostningsramme og justerer det samlede

forrentningsgrundlag i reguleringsåret, såfremt en netvirk-

somhed får meromkostninger som følge af opgaver nævnt

i stk. 3, herunder tilmelding til en it-sikkerhedstjeneste i

henhold til regler fastsat af klima-, energi- og forsyningsmi-

nisteren i medfør af lov om elforsyning, samt betaling af

omkostninger til myndighedsbehandling i henhold til lov om

elforsyning og lov om Forsyningstilsynet og regler fastsat i

medfør heraf.

Energistyrelsen har i enkelte sager på Forsyningstilsynets

foranledning vejledende udtalt sig om, i hvilket omfang

kontrakten var dækkende for kravene i bekendtgørelsen om

tilmelding til en it-sikkerhedstjeneste.

3.8.2. Klima-, Energi- og Forsyningsministeriets overvejel-

ser og den foreslåede ordning

Lovforslaget skal styrke energisektorens beredskabsniveau

med henblik på at forebygge og modstå hændelser, som

truer energiforsyningen. Der er i dag et højt og markant trus-

selsniveau mod energisektoren i forhold til især cyberangreb

og spionage, og lovforslaget skal sikre, at der er et tidsva-

rende, ambitiøst og robust beredskab i energisektoren. Der

henvises til de almindelige bemærkninger i 3.1.4 og 3.2.4.

Fjernvarme er ikke i dag omfattet af beredskabsregulering,

selvom denne delsektor har en væsentlig og stigende betyd-

ning for den danske energiforsyning.

Der er behov for at justere indtægtsrammereguleringen, så-

ledes at elnetselskabernes omkostninger til beredskab kan

indgå i omkostningsrammen, ligesom omkostningerne vil

blive udeladt fra den økonomiske benchmarking.

Energisektorens beredskabsregulering har til formål at sikre,

at sektoren er forberedt til at kunne opretholde og videreføre

energiforsyningen i tilfælde af naturskabte, menneskeskabte

og teknologiske risici.

Lovforslaget vil samle de beredskabsbestemmelser, der er

i de respektive forsyningslove, herunder i varmeforsynings-

loven, og placere dem i en samlet lov om beredskab for

energisektoren.

Det foreslås at ophæve bestemmelsen i § 29 a, i varmefor-

syningsloven om beredskab for virksomheder, som driver

anlæg til produktion og fremføring af bygas.

Med lovforslaget vil det endvidere skulle sikres, at varme-

forsyningsvirksomhederne vil kunne indregne de nødven-

dige omkostninger, der er forbundet med det tilstrækkeli-

ge/nødvendige beredskab.

Det foreslås derfor videre at indføre i varmeforsyningsloven

i § 20, stk. 1, 1. pkt., at varmeforsyningsvirksomheder vil

kunne indregne de nødvendige omkostninger, der er forbun-

det med det tilstrækkelige og nødvendige beredskab efter

lovforslaget. Den foreslåede ændring, jf. lovforslagets § 42,

nr. 1, vil medføre, at varmeforsyningsvirksomheder omfattet

af § 20, stk. 1, vil kunne indregne nødvendige omkostninger

til beredskab efter lov om styrket beredskab i energisekto-

ren. Forsyningstilsynet vil fortsat kunne vurdere, om en om-

kostning til beredskab er nødvendig, ligesom Forsyningstil-

synets almindelige indgrebsbeføjelser vil finde anvendelse,

jf. § 21, stk. 4, i varmeforsyningsloven.

Det forventes, at bekendtgørelse nr. 774 af 12. juni 2024

om indtægtsrammer for netvirksomheder (indtægtsramme-

bekendtgørelsen) ændres således, at netvirksomhedernes

omkostninger til beredskab kan dækkes fuldt ud efter an-

søgning og godkendelse hos Forsyningstilsynet og at disse

omkostningerne udelades fra beregningen af det individuelle

effektiviseringskrav. Endvidere forventes det, at der tilføjes

en bestemmelse, der giver mulighed for at indhente en fag-

lig vurdering fra Energistyrelsen, hvis netvirksomheden er

uenig i en afgørelse fra Forsyningstilsynet om forhøjelse

af indtægtsrammen på baggrund af omkostninger til bered-

skab, og anmodningen grunder i overvejelser om netvirk-

somhedens sikring af det tilstrækkelige beredskabsmæssige

niveau.

4. Forholdet til databeskyttelsesforordningen og databe-

skyttelsesloven

Med lovforslaget foreslås en række forpligtelser for omfatte-

de virksomheder samt myndighedsopgaver for Energistyrel-

sen og enkelte andre myndigheder, der i et vist omfang vil

indebære behandling af personoplysninger.

Behandling af personoplysninger er reguleret i databeskyt-

telsesforordningen og databeskyttelsesloven. Klima-, Ener-

gi- og Forsyningsministeriet vurderer, at det er nødvendigt

at fastsætte nationale særregler for behandling af ikke-føl-

somme personoplysninger. Særreglerne er gennemgået ne-

denfor. Ministeriet vurderer, at de foreslåede særregler vil

ligge inden for det nationale råderum i forordningens artikel

6, stk. 2, til at fastsætte mere præcist specifikke krav til

behandling og andre foranstaltninger for at sikre lovlig og

rimelig behandling.

Den foreslåede bestemmelse i § 5, stk. 3, indeholder bemyn-

digelse til at klima-, energi- og forsyningsministeren fast-

sætter nærmere regler om udpegelsen af kritiske enheder af

særlig europæisk betydning. Der vil i de regler der fastsættes

efter bestemmelsen være hjemmel til behandling af person-

oplysninger bl.a. i form af navn, adresse og telefonnumre på

enkeltmands virksomheder i det, at det ikke kan udelukkes,

at enkeltmandsvirksomheder kan blive udpeget som kritiske

enheder af særlig europæisk betydning. Oplysningerne ind-

leveres til klima-, energi- og forsyningsministeren med hen-

blik på at registrere virksomhederne ved ministeriet, samt

videregivelse af oplysninger til andre myndigheder i Dan-

mark eller andremedlemsstater, samt EU-Kommissionen,

her vil oplysningerne blive opbevaret indtil virksomheden

ikke længere er en kritisk enhed af særlig europæisk betyd-

ning, hvorefter oplysningerne vil blive destrueret.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Behandlingen kan ske i medfør af databeskyttelsesforord-

ningens artikel 6, stk. 1, litra e, idet klima-, energi- og forsy-

ningsministerens indsamling og videregivelse af oplysninger

i forbindelse med registrering og videregivelse til andre

myndigheder, er en opgave, som henhører under offentlig

myndighedsudøvelse, som klima-, energi- og forsyningsmi-

nisteren har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 12, indeholder bemyndi-

gelse til at fastsætte nærmere regler om underretning og

indrapportering af hændelser, væsentlige cybertrusler og

nærvedshændelser. Bestemmelsen er samtidig hjemmel til,

at myndighederne der skal modtage underretninger og ind-

rapporteringerne, behandler de personoplysninger, der må

indgå i disse. Der vil blive behandlet almindelige personop-

lysninger, herunder navn, adresse, telefonnumre og arbejds-

giver. Personoplysningerne vil blive indleveret til myndig-

hederne med henblik på, at der kan iværksættes tilsyn, samt

videregivelse til andre myndigheder således at myndighe-

derne kan hjælpe virksomheden med at håndtere hændelsen,

og myndighederne kan iværksætte foranstaltninger for sikre

samfundets sikkerhed, såfremt hændelsen vurderes at have

direkte påvirkning på befolkningen i Danmark eller EU.

Behandlingen af almindelige personoplysninger efter den

foreslåede bestemmelse i lovens § 12, kan ske i medfør af

databeskyttelsesforordningens artikel 6, stk. 1, litra e, jf. stk.

2 og 3, idet klima-, energi- og forsyningsministerens ind-

samling og videregivelse af oplysninger i forbindelse regi-

strering og håndtering af hændelser, væsentlige cybertrusler

og nærvedshændelser, er en opgave, som henhører under

offentlig myndighedsudøvelse, som myndighederne har fået

pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 15, stk. 1 og 2, indeholder

hjemmel til at Klima-, energi- og forsyningsministeriet, be-

handler personoplysninger, idet bestemmelsen fastsætter at

enhver kan underrette ministeriet om væsentlige hændelser,

cybertrusler og nærvedhændelser. Der vil blive behandlet

almindelige personoplysninger, herunder navn, adresse, tele-

fonnumre, arbejdsgiver og -titel og uddannelse. Personoply-

sningerne forventes at blive indsamlet af ministeriet som led

i, at en underretning indsendes til ministeriet med henblik

på, at ministeriet både kan starte tilsyn med en eller fle-

re virksomheder, videregivelse information om hændelser,

cybertrusler og nærvedhændelser til andre myndigheder, så-

ledes at myndighederne kan hjælpe virksomheden med at

håndtere hændelsen, og myndighederne kan iværksætte for-

anstaltninger for sikre samfundets sikkerhed, såfremt hæn-

delsen vurderes at have direkte påvirkning på befolkningen i

Danmark eller EU.

Behandlingen af almindelige personoplysninger efter den

foreslåede bestemmelse i lovens § 15, stk. 1 og 2, kan ske

i medfør af databeskyttelsesforordningens artikel 6, stk. 1,

litra e, jf. stk. 2 og 3, idet klima-, energi- og forsyningsmini-

sterens indsamling og videregivelse af oplysninger i forbin-

delse registrering af underretning om hændelser, cybertru-

sler og nærvedshændelser og håndtering af disse hændelser

og trusler, er en opgave, som henhører under offentlig myn-

dighedsudøvelse, som myndighederne har fået pålagt efter

reglerne i loven.

Den foreslåede bestemmelse i § 16, stk. 1, indeholder be-

myndigelse til at klima-, energi- og forsyningsministeren

efter forhandling med justitsministeren kan fastsætte regler

om betingelser for, at virksomheder kan få foretaget bag-

grundskontrol af personer i energisektoren. Bestemmelsen

indeholder hjemmel til at myndighederne efter de nærmere

fastsatte regler, behandler personoplysninger, der skal indgå

i baggrundskontrollen. Der vil blive behandlet almindelige

personoplysninger, herunder navn, adresse, telefonnumre,

personnummer, arbejdsgiver og titel, uddannelse, økonomi-

ske forhold, rejseaktivitet, strafferetlige oplysninger, efter-

retninger og alle andre relevante oplysninger, som politiet

råder over, og som efter deres vurdering kan være relevante

for en persons egnethed til at arbejde i en funktion, som

kræver baggrundskontrol, dog ikke følsomme personoplys-

ninger. Personoplysningerne vil blive indleveret til klima-,

energi- og forsyningsministeren, der derefter vil videregive

oplysningerne til PET med henblik på, at PET kan behandle

ansøgningen og træffe afgørelse godkendelse eller afvisning.

Behandlingen af almindelige personoplysninger efter den

foreslåede bestemmelser i lovens § 16, stk. 1, kan ske i med-

før af databeskyttelsesforordningens artikel 6, stk. 1, litra c

og e, jf. stk. 2 og 3, idet klima-, energi- og forsyningsmini-

sterens behandling af oplysninger i forbindelse med behand-

ling af ansøgning om baggrundskontrol er en opgave, som

henhører under offentlig myndighedsudøvelse, som klima-,

energi- og forsyningsministeren har fået pålagt efter reglerne

i loven.

Idet PET skal medvirke til baggrundskontrol af personer i

energisektoren efter den foreslåede bestemmelse i lovforsla-

gets § 16, stk. 1, skal det endvidere præciseres, at PET’s

virksomhed endvidere er undtaget fra retshåndhævelseslo-

ven, jf. lov nr. 410 af 27. april 2017, der implementerer

retshåndhævelsesdirektivet i dansk ret, jf. § 1, stk. 2, i rets-

håndhævelsesloven. Dette skal ses i lyset af henvisningen

til CER-direktivets artikel 14(2) i bemærkningerne til lov-

forslagets § 16.

Den foreslåede bestemmelse i § 16, stk. 2, indeholder be-

myndigelse til at klima-, energi- og forsyningsministeren

efter forhandling med ministeren for samfundssikkerhed

og beredskab, kan fastsætte regler om personer omfattet

af § 16, stk. 1, skal sikkerhedsgodkendes af Klima-, Ener-

gi- og Forsyningsministeriet, ligesom ministeren, efter for-

handling med ministeren for samfundssikkerhed og bered-

skab, kan fastsætte regler om ansøgning om, betingelser

for samt meddelelse og tilbagekaldelse af sikkerhedsgod-

kendelser. Bestemmelsen indeholder hjemmel til at myndig-

hederne efter de nærmere fastsatte regler, behandler person-

oplysninger, der skal indgå i sikkerhedsgodkendelsen. Der

vil blive behandlet almindelige personoplysninger, herunder

navn, adresse, telefonnumre, arbejdsgiver og titel, uddannel-

se, økonomiske forhold, rejseaktivitet, strafferetlige oplys-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

ninger, efterretninger og alle andre relevante oplysninger,

som politiet råder over, og som efter deres vurdering kan

være relevante for en persons egnethed til at arbejde i en

funktion, som kræver baggrundskontrol, dog ikke følsom-

me personoplysninger. Der vil blive behandlet almindelige

personoplysninger, herunder navn, adresse, telefonnumre,

personnummer, arbejdsgiver og titel, uddannelse, økonomi-

ske forhold, rejseaktivitet, strafferetlige oplysninger, efter-

retninger og alle andre relevante oplysninger, som politiet

råder over, og som efter deres vurdering kan være relevante

for en persons egnethed til at arbejde i en funktion, som

kræver sikkerhedsgodkendelse, dog ikke følsomme person-

oplysninger. Personoplysningerne vil blive indleveret til kli-

ma-, energi- og forsyningsministeren, der derefter vil vide-

regive oplysningerne til PET med henblik på, at PET kan

foretage undersøgelse af ansøgeren, hvorefter PET’s sikker-

hedsundersøgelse sendes til klima-, energi- og forsyningsmi-

nisteren, der så træffer afgørelse godkendelse eller afvisning

af ansøgningen. Ved ansøgning om sikkerhedsgodkendelser

indhentes og behandles der i tillæg til ansøgerens personop-

lysninger, også personoplysninger om en eventuel ægtefæl-

les, samlevers, registreret partners eller samboende, idet dis-

ses adfærd, karakter og forhold i øvrigt kan tilsvarende kan

tillægges vægt ved afgørelsen om sikkerhedsgodkendelse.

Behandlingen af almindelige personoplysninger efter den

foreslåede bestemmelse i lovens § 16, stk. 2, kan ske i med-

før af databeskyttelsesforordningens artikel 6, stk. 1, litra

c og e, jf. stk. 2 og 3, idet klima-, energi- og forsynings-

ministerens behandling af oplysninger i forbindelse med

behandling af ansøgning om sikkerhedsgodkendelser er en

opgave, som henhører under offentlig myndighedsudøvelse,

som klima-, energi- og forsyningsministeren har fået pålagt

efter reglerne i loven.

Idet PET skal medvirke til sikkerhedsgodkendelse af per-

soner i energisektoren efter den foreslåede bestemmelse i

lovudkastets § 16, stk. 2, skal det endvidere præciseres,

at PET’s virksomhed endvidere er undtaget fra retshåndhæ-

velsesloven, der implementerer retshåndhævelsesdirektivet i

dansk ret, jf. § 1, stk. 2, i retshåndhævelsesloven.

Den foreslåede bestemmelse i § 17, stk. 3 og § 18, stk.

2, indeholder begge bemyndigelse til, at der kan fastsættes

regler op opkrævningen af beløbet efter deres respektive

stk. 1 og stk. 2. Bestemmelserne indeholder begge hjemmel

til, at klima-, energi- og forsyningsministeren, behandler

personoplysninger, idet det ikke kan udelukkes, at enkelt-

mandsvirksomheder, vil være omfattet af reglerne, hvorfor

de vil skulle opkræves gebyr efter reglerne i § 17 og § 18,

ligesom der er behov for kontaktoplysninger på personer i

virksomhedernes regnskabsafdelinger, således der kan ske

korrekt fakturering af virksomheden. Der vil blive behandlet

almindelige personoplysninger, herunder navn, adresse, mai-

ladresse og telefonnummer. Personoplysningerne vil blive

indleveret til klima-, energi- og forsyningsministeren med

henblik på fakturering af virksomhederne for den myndig-

hedsbehandling de har modtaget fra klima-, energi- og for-

syningsministeren.

Behandlingen af almindelige personoplysninger efter den

foreslåede bestemmelser i lovens § 17, stk. 3 og § 18, stk. 2,

kan ske i medfør af databeskyttelsesforordningens artikel 6,

stk. 1, litra c og e, jf. stk. 2 og 3, idet klima-, energi- og for-

syningsministerens behandling af oplysninger i forbindelse

med fakturering af virksomhederne for myndighedsbehand-

ling er en opgave, som henhører under offentlig myndig-

hedsudøvelse, som klima-, energi- og forsyningsministeren

har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 19, stk. 2, nr. 5 og nr. 6

og § 20, stk. 2, indeholder hjemmel til at klima-, energi-

og forsyningsministeren og rådgivende missioner efter § 20,

behandler personoplysninger. Disse kan således kræve at få

udleveret oplysninger og dokumentation, der er nødvendige

for at vurdere foranstaltningerne vedrørende organisatorisk

beredskab, fysisk sikring og cybersikkerhed, som virksom-

heden har indført efter loven og regler udstedt i medfør af

loven idet disse kan. Ligeledes kan disse kræve at få adgang

til data, dokumenter og oplysninger, der er nødvendige for

udførelsen af tilsynsopgaven, herunder til afgørelse af om

et forhold er omfattet af denne lov eller regler udstedt i med-

før af loven. Der vil efter bestemmelserne blive behandlet

almindelige personoplysninger, herunder navn, adresse, tele-

fonnumre, e-mail, arbejdsgiver og -titel, uddannelse. Perso-

noplysningerne vil blive indleveret til de to myndigheder

med henblik på at gennemføre tilsyn med den pågældende

virksomhed.

Behandlingen af almindelige personoplysninger efter den

foreslåede bestemmelser i lovens § 19, stk. 2, nr. 5 og nr.

6 og § 20, stk. 2, kan ske i medfør af databeskyttelsesfor-

ordningens artikel 6, stk. 1, litra c og e, jf. stk. 2 og 3,

idet klima-, energi- og forsyningsministerens og rådgivende

missioners behandling af oplysninger i forbindelse med ud-

førelse af tilsyn med virksomhederne er en opgave, som

henhører under offentlig myndighedsudøvelse, som klima-,

energi- og forsyningsministeren og de rådgivende missioner

har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 21, nr. 5, indeholder hjem-

mel til at virksomhederne, behandler personoplysninger i

forbindelse med gennemførelsen af påbud om offentliggø-

relse af afgørelse om påbud eller forbud efter § 21, nr.

1-4 samt resumeer af domme eller bødeforelæg, hvor der

idømmes eller vedtages en bøde, i ikke-anonymiseret form

og på en nærmere angivet måde. Der etableres dermed

en hjemmel til offentliggørelse af oplysninger, herunder til

offentliggørelse af almindelige personoplysninger, jf. data-

beskyttelsesforordningens artikel 6, stk. 1, og personoplys-

ninger vedrørende strafbare forhold og lovovertrædelser,

jf. databeskyttelsesforordningens artikel 10. Der vil blive

behandlet almindelige personoplysninger i de tilfælde hvor

enkeltmandsvirksomheder vil være omfattet af reglerne, her-

under navn, adresse, telefonnumre og e-mailadresser. Perso-

noplysningerne vil blive offentliggjort af virksomheden som

led i efterlevelse af en forvaltningsretlig afgørelse om påbud

om offentliggørelse.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det følger af databeskyttelsesloven, at det er en forudsæt-

ning, at der skal ligge en særlig og klar lovhjemmel til grund

for systematisk offentliggørelse af oplysninger om kontrol‐

resultater og afgørelser m.v. i ikke-anonymiseret form. Of-

fentliggørelsen af personoplysninger vil være nødvendig for,

at virksomhederne kan udføre den foreslåede offentliggørel-

se som del af sanktioneringen af virksomheden for ikke at

overholde regler, ligesom den foreslåede bestemmelse er

specifik, idet den alene vedrører offentliggørelse inden for

lovforslagets område, jf. databeskyttelsesforordningens arti-

kel 6, stk. 2 og 3. Idet der alene vil blive offentliggjort nød-

vendige personoplysninger, når betingelserne i den foreslåe-

de bestemmelse er opfyldt og andre sanktionsmuligheder,

der som udgangspunkt vil kunne anvendes før offentliggø-

relses sanktionen, vurderer Klima-, Energi- og Forsynings-

ministeriet ligeledes, at bestemmelsen er proportional, jf.

databeskyttelsesforordningens artikel 6, stk. 2 og 3. Da be-

stemmelsen er en forvaltningsretlig afgørelse som partshøres

inden afgørelsen træffes, samt at virksomheden har mulig-

hed for at indbringe afgørelsen for domstolene der vil kunne

fastsætte opsættende virkning, vurderer Klima-, Energi- og

Forsyningsministeriet, at ordningen giver passende garantier

for de registreredes rettigheder og frihedsrettigheder, jf. da-

tabeskyttelsesforordningen artikel 10.

Behandlingen af almindelige personoplysninger efter den

foreslåede bestemmelse i lovens § 21, nr. 5, kan ske i med-

før af databeskyttelsesforordningens artikel 6, stk. 1, litra c

og e, jf. stk. 2 og 3 og efter iagttagelse af forordningens

artikel 10, idet klima-, energi- og forsyningsministerens be-

handling af oplysninger i forbindelse med sanktionering af

virksomhederne er en opgave, som henhører under offentlig

myndighedsudøvelse, som klima-, energi- og forsyningsmi-

nisteren har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 23, stk. 1, nr. 2, indeholder

hjemmel til at klima-, energi- og forsyningsministeren be-

handler personoplysninger. Ministeren kan efter den nævnte

bestemmelse træffe afgørelse om forbud mod enhver fysisk

person med ledelsesansvar på niveau med administreren-

de direktør eller den juridiske repræsentant hos virksomhe-

den at udøve ledelsesfunktioner i den pågældende virksom-

hed. Der vil i forbindelse med behandlingen af afgørelsen

om forbud blive behandlet almindelige personoplysninger,

herunder navn, adresse, telefonnumre, arbejdsgiver og titel,

uddannelse på den eller de ledelsespersoner for hvem for-

buddet går på. Personoplysningerne vil blive behandlet af

klima-, energi- og forsyningsministeren med henblik på at

træffe en forvaltningsretlig afgørelse om forbud efter § 23,

stk. 1, nr. 2.

Behandlingen af almindelige personoplysninger efter den

foreslåede bestemmelse i lovens § 23, stk. 1, nr. 2, kan

ske i medfør af databeskyttelsesforordningens artikel 6, stk.

1, litra c og e, jf. stk. 2 og 3, idet klima-, energi- og for-

syningsministerens behandling af oplysninger i forbindelse

med sanktionering af virksomhederne er en opgave, som

henhører under offentlig myndighedsudøvelse, som klima-,

energi- og forsyningsministeren har fået pålagt efter reglerne

i loven.

Den foreslåede bestemmelse i § 25, stk. 1 giver hjemmel til

at klima- energi- og forsyningsministeren behandler person-

oplysninger i forbindelse med samarbejdet med andre med-

lemsstaters kompetente myndigheder. Det kan ikke udeluk-

kes at der vil blive behandlet almindelige personoplysninger,

som fx videregivet til de andre medlemsstaters kompetente

med henblik på at varetage det myndighedssamarbejde, der

skal være som led i efterlevelsen af NIS 2- og CER-direkti-

vets bestemmelser.

Behandlingen af almindelige personoplysninger efter den

foreslåede bestemmelse i lovens § 25, stk. 1, kan ske i med-

før af databeskyttelsesforordningens artikel 6, stk. 1, litra c

og e, jf. stk. 2 og 3, idet klima-, energi- og forsyningsmini-

sterens behandling af oplysninger i forbindelse med samar-

bejde med andre medlemsstaters kompetente myndigheder

er en opgave, som henhører under offentlig myndighedsud-

øvelse, som klima-, energi- og forsyningsministeren har fået

pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 28, indeholder hjemmel

til at Klima- Energi- og Forsyningsministeriet og andre re-

levante myndigheder behandler personoplysninger som led

i videregivelse af oplysninger til andre medlemsstaters myn-

digheder og til institutioner i EU. Det kan ikke udelukkes, at

der vil blive behandlet almindelige personoplysninger, som

fx navne, adresser, telefonnumre og e-mailadresser. Perso-

noplysningerne vil blive videregivet til de andre medlems-

staters myndigheder og til institutioner i EU med henblik

på at varetage myndighedsopgaver i medfør af denne lov,

Europa-Parlamentets og Rådets direktiv om foranstaltninger

til sikring af et højt fælles cybersikkerhedsniveau i hele Uni-

onen og Europa-Parlamentets og Rådets direktiv om kritiske

enheders modstandsdygtighed.

Behandlingen af almindelige personoplysninger efter den

foreslåede bestemmelser i lovens § 28, kan ske i medfør af

databeskyttelsesforordningens artikel 6, stk. 1, litra c og e,

jf. stk. 2 og 3, idet klima-, energi- og forsyningsministerens

og andre relevante myndigheders behandling af oplysninger

i forbindelse behov for videregivelse til andre medlemssta-

ters myndigheder og til institutioner i EU er en opgave, som

henhører under offentlig myndighedsudøvelse, som klima-,

energi- og forsyningsministeren og andre relevante myndig-

heder har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 30 og § 32, stk. 2, nr. 1,

indeholder bemyndigelse til at hhv. klima-, energi- og for-

syningsministen og erhvervsministeren kan fastsætte regler

om hvordan hhv. klima-, energi- og forsyningsministeren og

Energiklagenævnet behandler personoplysninger, som led

i digital kommunikation mellem hhv. ministeren og virk-

somhederne eller nævnet og virksomhederne. Der vil blive

behandlet almindelige personoplysninger, herunder navn,

adresse, telefonnumre, e-mailadresse, arbejdsgiver og -titel,

uddannelse, økonomiske forhold, rejseaktivitet, strafferetli-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

ge oplysninger. Personoplysningerne vil blive indleveret til

ministeren og Energiklagenævnet med henblik på gennem-

førelse af tilsyn, oprettelse af nødvendige register, videregi-

velse til andre myndigheder og behandling af ansøgning og

andre forvaltningsretlige afgørelser.

Behandlingen af almindelige personoplysninger efter de

foreslåede bestemmelser i lovens § 30 og § 32, stk. 2, nr.

1, kan ske i medfør af databeskyttelsesforordningens artikel

6, stk. 1, litra c og e, jf. stk. 2 og 3, idet klima-, energi- og

forsyningsministerens og Energiklagenævnets behandling af

oplysninger i forbindelse med udførelse af tilsyn, oprettelse

af nødvendige register, videregivelse til andre myndigheder

og behandling af ansøgning og andre forvaltningsretlige af-

gørelser med og for virksomhederne, er en opgave, som

henhører under offentlig myndighedsudøvelse, som klima-,

energi- og forsyningsministeren og Energiklagenævnet har

fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 31, stk. 1 og stk. 6, indehol-

der hjemmel til, at Energiklagenævnet indhenter og behand-

ler personoplysninger. Der vil blive behandlet almindelige

personoplysninger, herunder navn, adresse, telefonnumre,

e-mailadresse, arbejdsgiver og -titel. Personoplysningerne

vil blive indhentet og behandlet af Energiklagenævnet med

henblik på at Energiklagenævnet kan behandle klager over

afgørelser truffet af myndigheder i henhold til denne lov.

Behandlingen af almindelige personoplysninger efter de

foreslåede bestemmelser i lovens § 31, stk. 1 og stk. 6,

kan ske i medfør af databeskyttelsesforordningens artikel 6,

stk. 1, litra c og e, jf. stk. 2 og 3, idet Energiklagenævnets

behandling af oplysninger med henblik på, at Energiklage-

nævnet kan behandle klager over afgørelser truffet af myn-

digheder i henhold til denne lov, er en opgave, som henhører

under offentlig myndighedsudøvelse, som Energiklagenæv-

net har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 35, stk. 1, indeholder hjem-

mel til at klima-, energi- og forsyningsministeren og Ener-

ginet behandler personoplysninger. Der vil blive behandlet

almindelige personoplysninger, herunder navn, adresse, tele-

fonnumre, e-mailadresser, arbejdsgiver og titel og uddannel-

se. Personoplysningerne vil blive indhentet af klima-, ener-

gi- og forsyningsministeren eller Energinet med henblik på

disse kan varetage deres opgaver efter loven og bestemmel-

ser fastsat i henhold til loven eller efter EU-retsakter eller

internationale forpligtelser om forhold omfattet af loven.

Den foreslåede bestemmelse i § 35, stk. 2, nr. 1 og 2, in-

deholder bemyndigelse til, at klima-, energi- og forsynings-

ministeren kan fastsætte regler der indeholder hjemmel til,

at klima-, energi- og forsyningsministeren behandler person-

oplysninger. Der vil blive behandlet almindelige personop-

lysninger, herunder navn, adresse, telefonnumre og e-maila-

dresser. Personoplysningerne vil blive indleveret til klima-,

energi- og forsyningsministeren med henblik på, at ministe-

ren kan etablere og vedligeholde et register over virksomhe-

der omfattet af loven.

Klima-, Energi- og Forsyningsministeriet bemærker endvi-

dere, at det forudsættes, at de grundlæggende principper

i databeskyttelsesforordningen iagttages i forbindelse med

den behandling af personoplysninger, der måtte ske i medfør

af de foreslåede bestemmelser. Det betyder bl.a., at person-

oplysninger skal være tilstrækkelige, relevante og begrænset

til, hvad der er nødvendigt i forhold til de formål, hvortil de

behandles.

Klima-, Energi- og Forsyningsministeriet bemærker afslut-

ningsvis at lovens § 37, stk. 3 indeholder en undtagelse til

strafbestemmelserne, der relaterer sig til databeskyttelsesfor-

ordningen. Der henvises i øvrigt til de almindelige bemærk-

ningers punkt 3.7.4.3. og de specielle bemærkninger til § 37,

stk. 3.

5. Økonomiske konsekvenser og implementeringskonse-

kvenser for det offentlige

Lovforslaget vurderes at have økonomiske konsekvenser for

staten, herunder implementeringskonsekvenser for statslige

myndigheder.

De statsfinansielle meromkostninger forventes at være 3-4

mio. kr. årligt. Meromkostningerne kan henføres til opgaver,

der følger af den nye regulering, herunder generel vejled-

ning om lovgivningen eller koordinering med EU.

Ud over de statsfinansielle konsekvenser, skønnes det, at

der vil være meromkostninger på 8,2 mio. kr., der forventes

gebyrfinansieret.

Gebyromkostningerne dækker både monopolvirksomheder

og konkurrenceudsatte virksomheder. Gebyret efter den

foreslåede § 18 opkræves til at dække bl.a. sagsbehandling

vedr. samordnet beredskab, dispensationer, forhåndstilsagn

om klassificering af anlæg og ansøgning om, at virksomhe-

der selv kan varetage rollen som it-sikkerhedstjeneste. Der-

udover indgår omkostninger ifm. afholdelse af direkte til-

syn, sagsbehandling af beredskabsmateriale, udarbejdelse af

risiko- og sårbarhedsscenarier og sagsbehandling af risiko-

vurderinger af projekter, som opkræves efter den foreslåede

§ 17.

De forventede statslige meromkostninger skyldes bl.a., at

lovforslaget udvider beredskabskravene og tilsynsforpligtel-

sen til at gælde nye sektorer. I dag omfatter tilsynsforpligtel-

sen store dele af el-, gas- og oliesektoren. Fremadrettet skal

beredskabskravene, herunder tilsyn hermed ligeledes omfat-

te fjernvarme-, fjernkøling- og brintsektorerne. Samtidig ud-

vides kredsen af virksomheder i gas-, el- og oliesektorerne,

der omfattes af beredskabskrave efter direktiverne. Dermed

udvides Energistyrelsens vejlednings- og tilsynsforpligtelse

til at gælde nye sektorer.

Som følge af den udvidede kreds af omfattede virksomheder

øges behovet for at kunne administrere dokumentationsma-

teriale ifm. tilsyn og anden kommunikation med virksomhe-

derne. Der forventes derfor behov for at opdatere eksisteren-

de onlineportal, hos Energistyrelsen, som i dag bl.a. benyttes

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

til vidensdeling og sektorspecifikke vejledninger samt ud-

meldinger om beredskabsforanstaltninger. Der er bl.a. behov

for at øge kapaciteten samt sikkerhedshærdning af portalen.

Fsva. efterlevelse af krav i NIS 2 og CER om indberetning

af sikkerhedshændelser forventes fælles statslig løsning an-

vendt, hvilket følger princip nr. 6: anvendelse af offentlig in-

frastruktur, fra Digitaliseringsstyrelsens vejledning om digi-

taliseringsklar lovgivning. Der forventes derfor ikke behov

for at udvikle en ny digital løsning til brug for hændelses-

indberetninger fra energisektoren.

De syv principper for digitaliseringsklar lovgivning er iagt-

taget. Foruden ovenstående i relation til princip nr. 6, gælder

det særligt ift. princip nr. 1: enkle og klare regler, da loven

samler hjemmelsbestemmelser og krav fra andre love i én

lov, samt princip nr. 2: digital kommunikation, da loven

indeholder regler, som understøtter digital kommunikation

med borgere og virksomheder. Loven sikrer også, at fremti-

dige digitale platforme kan anvendes, da hjemlen til digital

kommunikation er formuleret teknologineutralt. Derudover

er der også fokus på princip nr. 5: tryg og sikker datahånd-

tering, da loven understøtter digital kommunikation på en

måde, hvorpå sikkerhed prioriteres højt.

De øvrige principper for digitaliseringsklar lovgivning vur-

deres ikke at være relevante for lovforslaget.

Lovforslaget vurderes at kunne have økonomiske konse-

kvenser for Klima-, Energi- og Forsyningsministeriet, som

følge af forventet øget myndighedsbehandling i navnlig

Energistyrelsen. Herudover kan Energiklagenævnet modtage

flere klagesager.

Energiklagenævnet er i dag klageinstans for afgørelser truf-

fet efter elforsyningsloven, gasforsyningsloven og oliebe-

redskabsloven, herunder i forhold til beredskab. Energikla-

genævnets rolle som klageinstans foreslås overført til den

foreslåede lov om styrket beredskab i energisektoren. Lov-

forslagets udvidelse af omfattede virksomheder kan medføre

en øget mængde klager over Energistyrelsens afgørelser ef-

ter loven eller regler fastsat i medfør af loven. For nuværen-

de vurderes de afledte omkostninger til forøget klagesagsbe-

handling i forbindelse hermed at være ubetydelige da der

ikke forventes mange klagesager på baggrund af lovforsla-

gets klageadgang. Vurderingen er foretage på baggrund af,

at der ikke tidligere er indgivet klager til Energiklagenæv-

net på baggrund af Elforsyningslovens § 85 b og 85 c,

Gasforsyningslovens § 15 a og 15 b eller olieberedskabslo-

ven. Vurderingen er dog undergivet en vis usikkerhed, da

lovforslaget vil omfatte nye typer af virksomheder og nye

sektorer.

Da omkostninger til Energiklagenævnet ikke efter vanlig

praksis gebyrfinansieres, foreslås det, at de potentielle mer-

omkostninger, der vil følge af nærværende lovforslag vil

blive afregnet mellem Energistyrelsen og Nævnenes Hus

kvartalsvis, hvor de medgåede timer afregnes. Den konkrete

model for finansiering af Energiklagenævnets opgaver vil

blive evalueret efter en periode, og herefter om nødvendigt

justeret.

Lovforslaget forventes herudover ikke at medføre økonomi-

ske konsekvenser for stat, kommuner og regioner.

Lovforslaget forventes i øvrigt ikke at medføre implemente-

ringskonsekvenser for staten, kommuner og regioner.

6. Økonomiske og administrative konsekvenser for er-

hvervslivet m.v.

Lovforslaget vurderes at have erhvervsøkonomiske konse-

kvenser, herunder både omstillingsomkostninger og løben-

de omkostninger samt administrative konsekvenser for er-

hvervslivet.

Lovforslaget indebærer enkelte krav, som vil medføre om-

kostninger for erhvervslivet. Det er dog langt overvejende

de nærmere krav, som vil blive fastsat i bekendtgørelse,

der vil medføre omkostninger for erhvervslivet. Det forven-

tes, at de økonomiske og administrative konsekvenser, der

følger af kravene i lovforslaget, vil være under 4 mio. kr.

De administrative konsekvenser består i, at myndighederne

efter den foreslåede § 14, stk. 2 kan kræve, at virksomheder

foretager en offentliggørelse af en hændelse. Dette kan fx

indebære udarbejdelse og udsendelse af en pressemeddelel-

se. Hyppigheden forventes at være lav på samfundsniveau,

da de fleste virksomheder formentligt selv vil offentliggøre

hændelsen, hvis det er nødvendigt og under hensyntagen

til hændelsens karakter og omfang. Der kan desuden være

administrative konsekvenser forbundet med den foreslåede

§ 15, hvorefter enhver kan underrette myndighederne om

væsentlige hændelser, cybertrusler og nærvedhændelser. Der

vil være tale om en frivillig indberetning, og hyppigheden

forventes således at være lav på samfundsniveau. Desuden

kan der være administrative konsekvenser efter den foreslå-

ede § 21, hvor rådgivende missioner kan føre tilsyn med

virksomheder, som er udpeget som enheder af særlig euro-

pæisk betydning. Da der sandsynligvis vil være få enheder

af særlig europæisk betydning, vurderes de administrative

konsekvenser at være begrænsede.

Med lovforslaget skønnes omkring 120-135 private virk-

somheder i energisektoren omfattet inden for el-, gas-, olie-

og brintsektorerne. Derudover skønnes yderligere omkring

110-120 monopolvirksomheder omfattet inden for bl.a. el-

distribution og fjernvarmesektoren. Desuden omfattes ca.

160-170 mindre virksomheder inden for primært fjernvar-

mesektoren af krav om grundlæggende beredskab. Dette in-

debærer, at virksomhederne skal have en beredskabsplan og

et kontaktpunkt ved beredskabshændelser. Iht. Erhvervssty-

relsens vejledninger om erhvervsøkonomiske konsekvenser,

medtages monopolvirksomhederne ikke i de erhvervsøko-

nomiske konsekvensberegninger, som vil blive udarbejdet

ifm. høringen af bekendtgørelserne.

De nærmere forventede erhvervsøkonomiske konsekvenser

vil i samarbejde med Erhvervsstyrelsens Område for Bedre

Regulering (OBR) blive kvantificeret i forbindelse med hø-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

ringen af bekendtgørelserne, der skal udmønte hjemmelsbe-

stemmelserne og de materielle krav i lovforslaget.

7. Administrative konsekvenser for borgerne

Det vurderes, at lovforslaget ikke har administrative konse-

kvenser for borgerne.

8. Klimamæssige konsekvenser

Lovforslagets formål er at styrke det eksisterende beredskab

i energisektoren, herunder øge modstandsdygtigheden over

for fysiske angreb og cybertrusler.

Lovforslaget forventes samlet set ikke at have klimamæssi-

ge konsekvenser.

9. Miljø- og naturmæssige konsekvenser

Lovforslaget vurderes ikke at have miljø- og naturmæssige

konsekvenser.

10. Forholdet til EU-retten

Lovforslaget skal foruden at styrke beredskabsreguleringen

i energisektoren implementere EU-direktiverne NIS 2 og

CER, henholdsvis, Europa-Parlamentets og Rådets direktiv

(EU) 2022/2555 af 14. december 2022 om foranstaltninger

til sikring af et højt fælles cybersikkerhedsniveau i hele

Unionen, om ændring af forordning (EU) nr. 910/2014 og

direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU)

2016/1148, samt Europa-Parlamentets og Rådets direktiv

(EU) 2022/2557 af 14. december 2022 om kritiske enheders

modstandsdygtighed og om ophævelse af Rådets direktiv

2008/114/EF.

Det er hensigten, at implementeringen af direktiverne med

lovforslaget tager hensyn til, at danske virksomheder inden

for energisektoren ikke stilles dårligere konkurrencemæssigt

i international sammenhæng. Det er desuden hensigten,

at udmøntningen af direktiverne ikke går videre end mini-

mumskravene i direktiverne, medmindre den eksisterende

beredskabsregulering sætter større krav, end hvad direktiver-

ne pålægger, eller såfremt sektorspecifikke hensyn, herunder

trusselsbilledet, tilsiger andet.

Af hensyn til at sikre harmonisering af krav og definitioner

på tværs af sektorer sker der tæt koordinering med de an-

svarlige ministerier, der forestår overordnet implementering

af NIS 2 og CER på tværs af ministerområderne. Dette skal

sikre, at bl.a. multiforsyningsvirksomheder, som tilhører fle-

re sektorer, samt multinationale virksomheder ikke utilsigtet

pålægges forskellige krav.

Lovforslaget tager højde for, at der ikke reguleres unødigt

og uproportionelt, herunder at virksomhederne selv foreta-

ger risikovurderinger, således at sikkerhedsforanstaltninger-

ne kan tilpasses de mange forskellige virksomhedstypers

forretningsmodeller og således at der i videst muligt omfang

ikke stilles krav om anvendelse af specifikke teknologier. I

stedet stilles der krav om, at virksomhederne selv kortlæg-

ger deres netværk og kritiske systemer, og på den baggrund

skal leve op til en række beredskabskrav.

Lovforslaget indeholder dele, som er i strid med de 5 prin-

cipper for implementering af EU-regulering.

Den foreslåede bestemmelse om anvendelsesområde i lov-

forslagets § 2, stk. 1-4, går videre end minimumskravene i

CER- og NIS 2-direktiverne. Bestemmelsen er i strid med

princip 1.

Den foreslåede bestemmelse i lovforslagets § 19, stk. 2, nr.

2-4, om tilsynsforanstaltninger går videre end CER-direkti-

vet. Lovforslaget vil implementere både CER- og NIS 2-di-

rektiverne. Lovforslaget vil ikke skelne om virksomhederne

er omfattet efter CER- eller NIS 2-direktivet. Tilsynsforan-

staltninger som følger af NIS 2-direktivet, vil dermed finde

anvendelse ved tilsyn, som udspringer af forhold forbundet

med CER-direktivet.

Den foreslåede bestemmelse i lovforslagets § 19, stk. 2, nr.

2, om regelmæssige kontrol- og tilsynsbesøg hos virksom-

hederne går videre end NIS 2-direktivet. NIS 2-direktivet

differentierer mellem væsentlige og vigtige enheder. Efter

NIS 2-direktivet gælder kravet om regelmæssige tilsyn kun

væsentlige enheder. Det foreslås med lovforslaget, at der

skal gælde de samme tilsynsbestemmelser for alle virksom-

heder. Lovforslaget skelner ikke mellem vigtige og væsentli-

ge enheder. Det foreslås dermed, at der kan føres regelmæs-

sige tilsyn af virksomheder, der efter direktivet vil være

vigtige enheder. Lovforslagets § 19, stk. 2, nr. 2-4 er i strid

med princip 1 og 2.

De foreslåede bestemmelser i lovforslagets § 21, stk. 1, nr.

3-5, om påbud går videre end CER-direktivet. Lovforslaget

vil implementere både CER- og NIS 2-direktiverne. Lovfor-

slaget vil ikke skelne mellem om virksomhederne er omfat-

tet efter CER- eller NIS 2-direktivet. Påbudsmuligheder som

følger af NIS 2-direktivet, vil dermed finde anvendelse i

forhold forbundet med CER-direktivet.

Den foreslåede bestemmelse i lovforslagets § 21, stk. 1, nr.

4, om påbud om at udpege en person med tilsynsansvar går

videre end NIS 2-direktivet. NIS 2-direktivet differentierer

mellem væsentlige og vigtige enheder. Efter NIS 2-direkti-

vet vil det kun være væsentlige enheder, som kan påbydes

at udpege en sådan person. Det foreslås med lovforslaget,

at der skal gælde de samme påbudsbestemmelser for alle

virksomheder. Lovforslaget skelner ikke mellem vigtige og

væsentlige enheder. Det foreslås dermed, at virksomheder,

som efter direktivet vil være vigtige enheder, kan påbydes at

udpege en person med tilsynsansvar. Lovforslagets § 21, stk.

1, nr. 3-5, er i strid med princip 1 og 2.

Den foreslåede bestemmelse i lovforslagets § 22, stk. 1 og

2, om påbud af revision går videre end CER-direktivet. Ef-

ter lovforslaget kan virksomheder påbydes at få foretaget

en revision for forhold forbundet med CER-direktivet. Det

bemærkes, at der kan foretages påbud af revision efter gæl-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

dende regler for el- og gassektorerne. Lovforslagets § 22,

stk. 1 og 2 er i strid med princip 1 og 2.

Den foreslåede bestemmelse i lovforslagets § 23, stk. 1, nr.

2, om midlertidigt forbud for ledelsen om at udøve ledelses-

funktioner, går videre end CER- og NIS 2-direktivet. Lov-

forslaget vil ikke skelne om virksomhederne er omfattet

efter CER- eller NIS 2-direktivet. Efter lovforslaget kan

virksomheder modtage de midlertidige suspenderinger for

forhold forbundet med CER-direktivet. Ifølge NIS 2-direkti-

vet er det alene væsentlige enheder, som kan modtage de

midlertidige suspenderinger. Lovforslaget skelner ikke mel-

lem vigtige og væsentlige enheder. Lovforslagets § 23, stk.

1, nr. 1 og 2, er i strid med princip 1 og 2.

Den foreslåede bestemmelse i lovforslagets § 37, stk. 1,

nr. 2 og 3, om straf går videre end CER-direktivets bestem-

melse. CER-direktivet har ikke en bestemmelse, der fastsæt-

ter en minimumsbeløb i bødesager, hvis foranstaltninger

ikke bliver overholdt. Visse forhold vedrørende foranstalt-

ninger vil indeholde elementer, som udspringer af både

CER- og NIS 2 direktivet. I sådanne tilfælde kan der opstå

tvivl om hvilket direktivs foranstaltninger, der ikke er over-

holdt. Lovforslaget søger dette udbedret ved, at der i disse

tilfælde kan anvendes bøder svarende til minimumsbeløbene

i NIS 2 -direkitvet. Lovforslagets § 37, stk. 1, nr. 2 og 3, er i

strid med princip 1 og 2.

Lovforslaget indeholder dele som er af beredskabsmæssig

karakter, hvor kravene går videre end EU-reguleringen. Kra-

vene udspringer af gældende beredskabskrav for den danske

energisektor, og det er herefter Klima- Energi- og Forsy-

ningsministeriets vurdering, at sådanne krav ikke er udtryk

for overimplementering. Det drejer sig om kravet om sikker-

hedsgodkendelse af personer, der varetager funktioner, der

direkte kan påvirke energiforsyningen i lovforslagets § 16,

stk. 2, 1. pkt.

Den foreslåede bestemmelse i lovforslagets § 23, stk. 1,

nr. 1, om midlertidige suspenderinger af certificeringer eller

godkendelse er også en bestemmelse, der udspringer af gæl-

dende beredskabskrav og som går videre end CER -direkti-

vet.

Lovforslagets § 11 om sektorberedskabsniveauer og bered-

skabsforanstaltninger et beredskabsmæssigt krav som retter

sig mod virksomheder, udspringer endvidere af gældende

beredskabskrav og går videre end CER- og NIS 2-direkti-

verne. Kravet indgår i lovforslaget på baggrund af nationale

forhold. Baggrunden herfor er navnlig et behov for hurtig

og koordineret handling i forbindelse med en beredskabs-

situation, herunder omfattende sikkerhedsrelaterede hændel-

ser. Det er således hensigten, at myndighederne hurtigt

kan fastsætte og udmelde sektorberedskabsniveauer for hele

energisektoren eller én eller flere delsektorer med henblik på

at kunne sikre og eller genoprette forsyning af energi. Det

vurderes derfor, at kravet ikke er i strid med de 5 principper

for implementering af EU-regulering.

11. Hørte myndigheder og organisationer m.v.

Et udkast til lovforslag har i perioden fra den 12. juni

2024 til den 10. juli 2024 (28 dage) været sendt i hø-

ring hos følgende myndigheder og organisationer m.v.:

Accura Advokatpartnerselskab, ADB (Association Dansk

Biobrændsel), Advokatrådet – Advokatsamfundet, Affald

Plus, AffaldVarme Aarhus, Akademikerne, Aktive energi-

forbrugere, Aluminium Danmark, Andel, Ankenævnet på

Energiområdet, Antenneforeningen Vejen, Aramco Trading

Limited, Arbejderbevægelsens Erhvervsråd, Arbejdstilsynet,

Arcturus Sp. z.o.o., ARI (Affald- og ressourceindustrien

under DI), Artelia A/S, BAT-kartellet, Better Energy, Bil-

lund Vand A/S, Biobrændselsforeningen, Biofos A/S, Bio-

fuel Express A/S, BlueNord Energy Denmark A/S, Bopa

Law, Borger Bornholms Energi og Forsyning (BEOF), BP

Aviation A/S, BP Oil International Limited, Branchefor-

eningen for Decentral Kraftvarme, Brancheforeningen for

Skov, Have og Park Forretninger, Brintbranchen, Brunata,

Bryggeriforeningen, Business Region MidtVest (BRMV),

Bygge-, Anlægs- og Trækartellet (BATT-kartellet), Bygge-

centrum, Byggeskadefonden, Bygningssagkyndige & Ener-

gikonsulenter, Bærebro A/S, C4 – Carbon Capture Cluster

Copenhagen, Center for Electric Power and Energy (DTU),

Centrica Energy Trading A/S, CEPOS, Cerius, Cevea, CO-

industri, Concito, Copenhagen Infrastructure Partners, Co-

penhagen Merchants, COWI, Crossbridge Energy Frederi-

cia, CTR, Daka, Daka ecoMotion A/S, DAKOFA, Dana

Petroleum, DANAK (Den Danske Akkrediterings- og Me-

trologifond), Dan-balt Tanklager A/S, Danmarks Almene

Boliger (BL), Danmarks Fiskeriforening, Danmarks Frie

Autocampere, Danmarks Jordbrugsforskning, Danmarks Jæ-

gerforbund, Danmarks Naturfredningsforening, Danmarks

Rederiforening, Danmarks Skibskredit, Danmarks Tekni-

ske Universitet (DTU), Danmarks Vindmølleforening, Da-

noil Exploration A/S, Dansk Affaldsforening, Dansk Ar-

bejdsgiverforening (DA), Dansk Biotek, Dansk Byggeri,

Dansk Ejendomsmæglerforening, Dansk Erhverv, Dansk

Facilities Management (DFM), Dansk Fjernvarme, Dansk

Gartneri, Dansk Gasteknisk Center (DGC), Dansk Indu-

stri, Dansk Landbrugsrådgivning, Dansk Maskinhandlerfor-

ening, Dansk Metal, Dansk Methanolforening, Dansk Miljø-

teknologi, Dansk Producentansvarssystem, Dansk Retursy-

stem A/S, Dansk Shell A/S, Dansk Skovforening, Dansk

Solcelleforening, Dansk Standard, Dansk Told- og Skat-

teforbund, Dansk Transport og Logistik (DLTL), Dansk

Varefakta Nævn, Danske Advokater, Danske Annoncører

og Markedsførere, Danske Arkitektvirksomheder, Danske

Bygningscenter, Danske Commodities A/S, Danske Ener-

giforbrugere (DENFO), Danske halmleverandører, Danske

Havne, Danske Maritime, Danske Mediedistributører, Dan-

ske Regioner, Danske Tegl, Danske Vandværker, DANVA

(Dansk Vand- og Spildevandsforening), DANVAK, DCC

Energi Naturgas, Decentral Energi, DELTA Dansk Elek-

tronik, DI, DKCPC, DOF BirdLife, Dommerfuldmægtig-

foreningen, Drivkraft Danmark, DTU – Myndighedsbetje-

ning, E. ON Danmark A/S, EA Energianalyse, EBO Con-

sult A/S, EmballageIndustrien, Emmelev A/S, Energi Dan-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

mark, Energi Fyn, Energi- og Bygningsrådgivning A/S

(EBAS), Energiforum Danmark, Energifællesskaber, Ener-

giklagenævnet, Energinet, Energisammenslutningen, Energi-

systemer ApS, Energitjenesten, Enyday, Equinor ASA, Er-

hvervsflyvningens Sammenslutning (ES-DAA), Esso Nor-

ge AS, European Energy, EUROPEAN GREEN CITIES,

Eurowind Energy A/S, Everfuel, Evida, EWE Energie AG,

ExxonMobil Asia Pacific Private Ltd., Fagligt Fælles For-

bund (3F), FDO, FH - Fagbevægelsens Hovedorganisati-

on, Finans og Leasing, Finansforbundet, Finansrådet, Re-

alkreditforeningen og Realkreditrådet – FinansDanmark,

Fjernvarme Fyn, Fonden Kraka, Forbrugerrådet Tænk, For-

enede Danske El-bilister (FDEL), Foreningen af Danske

Skatteankenævn, Foreningen af fabrikanter og importører

af elektriske husholdningsapparater (FEHA), Foreningen

af Rådgivende Ingeniører (FRI), Foreningen Biogasbranch-

en, Foreningen Danske Revisorer, Foreningen for Platfor-

msøkonomi i Danmark (FPD), Fors A/S, Forsikring &

Pension, Forsikringsmæglerforeningen, Forsyningstilsynet,

Fredericia Spildevand A/S, Frederiksberg Forsyning, Frede-

riksberg Kommune, Frie Funktionærer, FSE, FSR Danske

revisorer, Gaz-system, Gentofte og Gladsaxe Fjernvarme,

Go´on Gruppen A/S, GRAKOM, Green Power Denmark,

Greenpeace, GreenTech Advisor, Grundfos, GTS (Godkendt

Teknologisk service), Gunvor S. A, H2 Energy Esbjerg, Ha-

varikommissionen for Offshore Olie- og Gasaktiviteter, HK-

Kommunal, HK-Privat, HOFOR A/S, HOFOR el og varme,

HOFOR Fjernkøling A/S, HORESTA, Hulgaard advokater,

IBIS, Ineos Danmark, Ingeniørforeningen i Danmark (IDA),

Institut for produktudvikling (IPU), Inter Terminals, Investe-

ring Danmark, IT-Branchen, Justitia, Kalundborg Refinery

A/S, Kjærgaard A/S, Klimarådet, Kommunernes Landsfor-

ening, Kooperationen (Den Kooperative arbejdsgiver- og

interesseorganisation i Danmark), Kraka, Kræftens Bekæm-

pelse, Københavns Kommune - Teknik- og Miljøforvaltnin-

gen, Københavns Kommune – Økonomiforvaltningen, Kø-

benhavns Kulturcenter, Københavns Universitet, Landbrug

& Fødevarer, Landdistrikternes Fællesråd, Landsbyggefon-

den, Landsforeningen af Solcelleejere, Landsforeningen for

Bæredygtigt Landbrug, Landsforeningen Naboer til Kæm-

12. Sammenfattende skema

pevindmøller, Landsforeningen Polio-, Trafik- og Ulykkes-

skadede, LCA Center, Lederne Søfart, Ledernes Hovedorga-

nisation, Lokale Pengeinstitutter, Macquarie Commodities

Trading SA, Malik Energy A/S, Mellemfolkeligt Samvirke,

Mercuria Energy Trading SA, Musket Europe Sarl, Maa-

bjerg Energy Center – MEC, N1 A/S, Nationalbanken,

Nationalt Center for Miljø og Energi, Nature Energy, Net-

Varme, Niras, NOAH Energi og Klima, Nordisk Energiråd-

givning ApS, Nordisk Folkecenter for Vedvarende Energi,

Nordsøfonden, Noreco, Norlys, NRGi Renewables A/S,

Nuuday, Nærbutikkernes landsforening, OK a.m.b.a., Olie

Gas Danmark, Otto Kjær, Oxfam IBIS, Partnerskabet for

Bølgekraft, Peninsula Trading Limited, Plan og Projekt,

Planenergi, Plastindustrien, Plesner Advokatpartnerselskab,

Procesindustrien, Q8 Danmark A/S, Radius Elnet A/S, Ram-

bøll Regstrup Natur og miljøforening, Rejsearbejdere.dk,

Rejsearrangører i Danmark, Ren Energi Oplysning (REO),

RWE Renewables Denmark A/S, Rådet for Bæredygtig Tra-

fik, Rådet for Bæredygtigt Byggeri, Rådet for grøn omstil-

ling, Samtank A/S, SAS Oil Denmark A/S, SEAS-NVE,

SEGES, Serviceforbundet, Shell International Trading and

Shipping Company Limited, Shell Trading Rotterdam, Sie-

mens Gamesa, SKAD - Autoskade- og Køretøjsopbygger-

branchen i Danmark, SMV danmark, Solaropti, Spirit Ener-

gy, Spyker Energy ApS, SRF Skattefaglig Forening, Statens

ByggeforskningsInstitut, Stena Oil AB, Substain, Synergi,

TEKNIQ Arbejdsgiverne, Teknologisk Institut, Total S. A.,

TotalEnergies Danmark A/S, TOTSA TotalEnergies Trading

S. A., Trafigura Pte Ltd, TREFOR/EWII, T-REGS, Unimot

Paliwa Sp. Z.o.o., Unioil Supply A/S, Uno-X Mobility Dan-

mark A/S, Varmepumpefabrikantforeningen, Vattenfall A/S,

Vedvarende Energi, Vejle Spildevand, VEKS, VELTEK,

VELTEK – VVS- og El-Tekniske Leverandørers Branche-

forening, Verdens Skove, Verdo Randers, Vestforbrænding,

Vin og Spiritus Organisationen i Danmark, Vindenergi Dan-

mark, Vindmølleindustrien, VisitDenmark, Vitol S. A., Wind

Denmark, Wind Estate A/S, Wintershall Nordszee B. V.,

Ældre Sagen, Økologisk Landsforening, Ørsted, Aalborg

Energikoncern, Aalborg Portland A/S, Aalborg Universitet

og 92-Gruppen.

Økonomiske konsekvenser for

stat, kommuner og regioner

Implementeringskonsekvenser for Ingen

Ingen

stat, kommuner og regioner

Økonomiske konsekvenser for er- De økonomiske konsekvenser for erhvervs- De økonomiske konsekvenser for erhvervsli-

hvervslivet m.v.

livet kvantificeres i forbindelse med hørin- vet kvantificeres i forbindelse med høringen

gen af den bekendtgørelse, der vil udmønte af den bekendtgørelse, der vil udmønte lov-

lovforslaget.

forslaget.

Administrative konsekvenser for De administrative konsekvenser for er-

De administrative konsekvenser for erhvervs-

erhvervslivet m.v.

hvervslivet kvantificeres i samarbejder med livet kvantificeres i samarbejder med Er-

Erhvervsstyrelsens Område for Bedre Re- hvervsstyrelsens Område for Bedre Regule-

gulering (OBR) i forbindelse med høringen

Positive konsekvenser/mindreudgifter (hvis Negative konsekvenser/merudgifter (hvis ja,

ja, angiv omfang/hvis nej, anfør »Ingen«) angiv omfang/hvis nej, anfør »Ingen«)

Ingen

3-4 mio. kr. for staten

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

af den bekendtgørelse, der vil udmønte lov- ring (OBR) i forbindelse med høringen af den

forslaget.

bekendtgørelse, der vil udmønte lovforslaget.

Administrative konsekvenser for Ingen

Ingen

borgerne

Klimamæssige konsekvenser

Ingen

Miljø- og naturmæssige konse- Ingen

Ingen

kvenser

Forholdet til EU-retten

Forslaget implementerer EU-regler i form af:

Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foran-

staltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring

af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv

(EU) 2016/1148 (NIS 2-direktivet)

Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kri-

tiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF

(CER-direktivet).

Er i strid med de fem principper

for implementering af erhvervs-

rettet EU-regulering (der i rele-

vant omfang også gælder ved im-

plementering af ikke-erhvervsret-

tet EU-regulering) (sæt X)

[X]

Nej

[]

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Det foreslås i § 1,

stk. 1,

at lovens formål er at fastsætte

en ramme for modstandsdygtighed og beredskab i forhold

til naturskabte, menneskeskabte og teknologiske trusler, der

kan true eller skade energiforsyningen gennem regler om

organisatorisk beredskab, fysisk sikring og cybersikkerhed

for virksomheder i energisektoren.

Den foreslåede bestemmelse angiver en delmængde af lo-

vens formål, jf. § 1, stk. 2.

Bestemmelsen medfører ikke selvstændige pligter og rettig-

heder, men kan anvendes ved fortolkning af lovens andre

bestemmelser.

Den foreslåede bestemmelse reflekterer dele af artikel 1, stk.

1 og 2, litra a-c, i NIS 2-direktivet og dele af artikel 1 i

CER-direktivet, der ligeledes fastsætter dele af formålet med

direktiverne.

Bestemmelsen vil sikre en overordnet forståelsesramme for

lovens bestemmelser, der skal sikre virksomhedernes arbej-

de med modstandsdygtighed og beredskab, samt for myn-

dighedernes rolle i varetagelsen af koordinationen af virk-

somhedernes beredskab.

Det foreslås i § 1,

stk. 2,

at loven endvidere har til formål at

fastsætte en ramme for myndighedstilsyn med overholdelsen

af disse regler og danne grundlag for samarbejde mellem

virksomheder, myndigheder samt øvrige organisationer, der

varetager roller i planlægningen af beredskabet og håndte-

ringen af beredskabshændelser i energisektoren.

Den foreslåede bestemmelse implementerer NIS 2-direkti-

vets artikel 1, stk. 2, litra d, og dele af NIS 2-direktivets

artikel 1, stk. 1 og stk. 2, litra a-c. Den foreslåede bestem-

melse implementerer endvidere dele af CER-direktivets arti-

kel 1. De pågældende direktivbestemmelser fastsætter dele

af direktivernes formål, der angår tilsyns- og håndhævelses-

forpligtigelser.

Den foreslåede bestemmelse angiver den resterende del-

mængde af lovens formål, jf. § 1, stk. 1.

Bestemmelsen medfører ikke selvstændige pligter og rettig-

heder, men kan anvendes ved fortolkning af lovens andre

bestemmelser.

Formålet er at sikre et stærkt samarbejde mellem virksomhe-

der, organisationer og myndigheder, herunder virksomheder,

organisationer og myndigheder, der direkte eller indirekte

varetager en rolle i planlægningen af beredskabet og håndte-

ringen af beredskabshændelser i energisektoren. Her tænkes

særligt på, at der er et stort behov for informationsudveks-

ling i forbindelse med planlægningen af beredskabet, men

også under en hændelse og efter en hændelse.

Til § 2

Efter elforsyningslovens § 85 b, stk. 1, og § 85 c, stk. 1, er

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

følgende virksomheder i elsektoren omfattet af beredskabs-

regulering, herunder krav om at foretage den nødvendige

planlægning og træffe de nødvendige foranstaltninger for at

sikre elforsyningen i beredskabssituationer og andre ekstra-

ordinære situationer samt opretholde et it-beredskab, herun-

der planlægge og træffe nødvendige foranstaltninger for at

sikre beskyttelsen af kritiske it-systemer, der er af betydning

for elforsyningen. Virksomheder, som er bevillingspligtige

efter elforsyningslovens §§ 10 og 19, virksomheder, der har

tilladelse til elproduktion fra anlæg med en kapacitet på over

25 MW efter § 29 i VE-loven eller § 11 i elforsyningsloven,

samt elforsyningsvirksomhed, der varetages af Energinet el-

ler denne virksomheds helejede datterselskaber i medfør af §

2, stk. 2 og 3, i lov om Energinet.

Efter gasforsyningslovens § 15 a og § 15 b, er virksomhe-

der, som er bevillingspligtige efter gasforsyningslovens §

10, Energinet og dennes helejede datterselskaber, som fore-

tager gasforsyningsvirksomhed klassisk beredskab og it-be-

redskab.

I oliesektoren skal virksomheder med positiv lagringspligt

og FDO foretage beredskabsplanlægning, der sikrer forsy-

ningen af olie fra egne beredskabslagre i en beredskabssi-

tuation, jf. olieberedskabslovens § 16, stk. 1, og oliebered-

skabsbekendtgørelsens § 11.

Elforsyningsloven finder anvendelse på land- og søterritoriet

og i den eksklusive zone, jf. lovens § 2, stk. 2. Gasforsy-

ningsloven finder anvendelse på land, søterritoriet, i den

eksklusive økonomiske zone og på dansk kontinentalsokkel-

område, jf. lovens § 2, skt. 3. Gasforsyningsloven finder dog

ikke anvendelse på transmissionssystemer på søterritoriet,

i den eksklusive økonomiske zone og på dansk kontinental-

sokkelområde, der ikke har tilslutning til det danske gassy-

stem, jf. lovens § 2, stk. 4. Offshoresikkerhedsloven finder

anvendelse på offshore olie- og gasaktiviteter.

Der henvises i øvrigt til punkt 3.1.1 i lovforslagets alminde-

lige bemærkninger.

Det foreslås i § 2,

stk. 1,

at loven finder anvendelse på de i

nr. 1-20 oplistede typer af virksomheder, jf. dog stk. 2 og 3.

Begrebet virksomheder vil skulle forstås i overensstemmelse

med begrebet enheder, der anvendes i NIS 2-direktivet, jf.

også lovforslagets § 3, nr. 30, der vil definere virksomhe-

der i overensstemmelse med definitionen af den enslydende

definition af enheder i NIS 2-direktivet. Virksomheder vil

herefter blive den gennemgående referenceramme for lov-

forslagets anvendelse, i overensstemmelse med den hidtil

indarbejdede måde at betegne retssubjekterne i lovgivningen

på energiområdet.

Den foreslåede bestemmelse vil med nr. 1-17 implementere

de dele af artikel 2, stk. 1, i NIS 2- direktivet og artikel

1, stk. 1, litra a og b, i CER-direktivet, som er relevant

for energisektoren. De oplistede virksomheder i nr. 1-17

reflekterer således de enheder i energisektoren, som angivet

i bilag 1 til NIS 2-direktivet, samt de kritiske enheder i

energisektoren, som er angivet i bilaget til CER.

Nr. 18-20 er et udtryk for et nationalt ønske om at operatører

af tankstationer, der er ansvarlige for forvaltningen og drif-

ten af tankstationer, operatører af regionale koordinations-

centre og operatører af bygasnet, omfattes af loven, da disse

virksomheder varetager en række funktioner, der er kritiske

for forsyningen og beredskabet i energisektoren. Der henvi-

ses i øvrigt til bemærkningerne til § 2, stk. 1, nr. 18-20,

nedenfor.

Den foreslåede bestemmelse vil videreføre gældende ret,

idet de virksomheder, som efter elforsyningsloven, gasfor-

syningsloven, varmeforsyningsloven og undergrundsloven

er omfattet af beredskabsregulering, også vil blive omfat-

tet af beredskabsregulering med den foreslåede bestemmel-

se. Bestemmelsen udvider dog samtidig beredskabsregule-

ringen til fremover også at omfatte bl.a. fjernvarmevirksom-

heder, fjernkølingsvirksomheder, brintvirksomheder, bioga-

svirksomheder, virksomheder der udfører forskellige opga-

ver i el- og gasmarkedet og kommercielle virksomheder

i downstream oliesektoren, hvis disse ikke har pligt til at

holde olieberedskabslagre.

Det foreslås i § 2, stk. 1,

nr. 1,

at elektricitetsvirksomheder

omfattes af loven. Elektricitetsvirksomheder skal forstås i

overensstemmelse med den foreslåede definition i § 3, nr.

7, og skal i øvrigt forestås i overensstemmelse med enheds-

kategorien elektricitetsvirksomheder angivet i NIS 2-direkti-

vets bilag I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1,

nr. 2,

at distributionssystemopera-

tører omfattes af loven. Distributionssystemoperatører skal

forstås i overensstemmelse med den foreslåede definition i

§ 3, nr. 6, og skal i øvrigt forstås i overensstemmelse med

enhedskategorien distributionssystemoperatører i hhv. elek-

tricitets- og gassektoren angivet i NIS 2-direktivets bilag I

og CER-direktivets bilag.

Virksomheder, der er omfattet af begrebet ”distributionssel-

skab”, jf. gasforsyningslovens § 6, stk. 1, nr. 6, og virk-

somheder, der er omfattet af begrebet ”netvirksomhed”, jf.

elforsyningslovens § 5, stk. 1, nr. 26, vil blandt andet være

omfattet af den foreslåede bestemmelse. Bestemmelsen vil

hermed blandt andet omfatte virksomheder, der har bevilling

til distributionsvirksomhed efter gasforsyningslovens § 10,

og virksomheder, der har bevilling til netvirksomhed efter

elforsyningslovens § 19, jf. også bemærkningerne til forsla-

gets § 3, stk. 1, nr. 5.

Det foreslås i § 2, stk. 1,

nr. 3,

at transmissionssystemopera-

tører omfattes af loven. Transmissionssystemoperatører skal

forstås i overensstemmelse med den foreslåede definition i

§ 3, nr. 29, og skal i øvrigt forstås i overensstemmelse med

enhedskategorien transmissionssystemoperatører i hhv. elek-

tricitets- og gassektoren angivet i NIS 2-direktivets bilag I

og CER-direktivets bilag.

Det foreslås i § 2, stk. 1,

nr. 4,

at elproducenter omfattes af

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

loven. Elproducenter skal forstås i overensstemmelse med

den foreslåede definition i § 3, nr. 8, og skal i øvrigt fore-

stås i overensstemmelse med enhedskategorien producenter

i elektricitetssektoren angivet i NIS 2-direktivets bilag I og

CER-direktivets bilag.

Det foreslås i § 2, stk. 1,

nr. 5,

at udpegede elektricitetsmar-

kedsoperatører omfattes af loven. Udpegede elektricitets-

markedsoperatører skal forstås i overensstemmelse med den

foreslåede definition i § 3, nr. 30, og skal i øvrigt forestås

i overensstemmelse med enhedskategorien udpegede elektri-

citetsmarkedsoperatører angivet i NIS 2-direktivets bilag I

og CER-direktivets bilag.

Det foreslås i § 2, stk. 1,

nr. 6,

at markedsdeltagere, der leve-

rer tjenester, der vedrører aggregering, fleksibelt elforbrug

eller energilagring, omfattes af loven. Markedsdeltagere der

leverer tjenester, der vedrører aggregering, fleksibelt elfor-

brug eller energilagring, skal forstås i overensstemmelse

med den foreslåede definition i § 3, nr. 19, og skal i øvrigt

forstås i overensstemmelse med enhedskategorien angivet i

NIS 2-direktivets bilag I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1,

nr. 7,

at operatører af ladepunkter,

der er ansvarlige for forvaltningen og driften af et ladepunkt,

som leverer en ladetjeneste til slutbrugere, herunder i en mo-

bilitetstjenesteudbyders navn og på dennes vegne, omfattes

af loven. Begrebet skal forstås i overensstemmelse med en-

hedskategorien operatører af ladestationer, der er ansvarlige

for forvaltningen og driften af et ladepunkt, som leverer en

ladetjeneste til slutbrugere, herunder i en mobilitetstjeneste-

udbyders navn og på dennes vegne, angivet i NIS 2-direkti-

vets bilag I.

Det bemærkes, at NIS 2-direktivet i den danske sprogversi-

on anvender termen ladestationer. Den engelske og franske

sprogversion anvender termen ”ladepunkt”, henholdsvis ”a

recharging point” og ”d’un point de recharge”. Ladepunkt

anvendes i øvrigt i dansk- og EU-lovgivning på transpor-

tområdet. På den baggrund anvendes i nærværende lovfor-

slag termen ladepunkt som en samlebetegnelse, der også vil

omfatte begrebet ladestation.

Det foreslås i § 2, stk. 1,

nr. 8,

at operatører af fjernvarme

eller fjernkøling omfattes af loven. Operatører af fjernvar-

me eller fjernkøling skal forstås i overensstemmelse med

den foreslåede definition i § 3, nr. 23, og skal i øvrigt for-

stås i overensstemmelse med enhedskategorien operatører af

fjernvarme eller fjernkøling angivet i NIS 2-direktivets bilag

I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1,

nr. 9,

at olierørledningsoperatører

omfattes af loven.

Det foreslås i § 2, stk. 1,

nr. 10,

at operatører af olieproduk-

tionsanlæg, -raffinaderier og -behandlingsanlæg, olielagre

og olietransmission omfattes af loven.

Det foreslås i § 2, stk. 1,

nr. 11,

at centrale lagerenheder

omfattes af loven. Centrale lagerenheder skal forstås i over-

ensstemmelse med den foreslåede definition i § 3, nr. 2, og

skal i øvrigt forestås i overensstemmelse med enhedskatego-

rien centrale lagerenheder angivet i NIS 2-direktivets bilag I

og CER-direktivets bilag.

Det foreslås i § 2, stk. 1,

nr. 12,

at gasforsyningsvirksom-

heder omfattes af loven. Gasforsyningsvirksomheder skal

forstås i overensstemmelse med den foreslåede definition i

§ 3, nr. 11, og skal i øvrigt forstås i overensstemmelse med

enhedskategorien gasforsyningsvirksomheder angivet i NIS

2-direktivets bilag I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1,

nr. 13,

at lagersystemoperatører

omfattes af loven. Lagersystemoperatører skal forstås i over-

ensstemmelse med den foreslåede definition i § 3, nr. 17, og

skal i øvrigt forstås i overensstemmelse med enhedskatego-

rien lagersystemoperatører angivet i NIS 2-direktivets bilag

I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1,

nr. 14,

at LNG-systemoperatø-

rer omfattes af loven. LNG-systemoperatører skal forstås

i overensstemmelse med den foreslåede definition i § 3,

nr. 18, og skal i øvrigt forstås i overensstemmelse med

enhedskategorien LNG-systemoperatører angivet i NIS 2-di-

rektivets bilag I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1,

nr. 15,

at naturgasvirksomheder

omfattes af loven. Naturgasvirksomheder skal forstås i over-

ensstemmelse med den foreslåede definition i § 3, nr. 21,

og skal i øvrigt forstås i overensstemmelse enhedskategorien

naturgasvirksomheder angivet i NIS 2-direktivets bilag I og

CER-direktivets bilag.

Det foreslås i § 2, stk. 1,

nr. 16,

at operatører af naturgasraf-

finaderier og -behandlingsanlæg omfattes af loven.

Det foreslås i § 2, stk. 1,

nr. 17,

at operatører inden for

brintproduktion, -lagring og -transmission omfattes af loven.

Det foreslås i § 2, stk. 1,

nr. 18,

at operatører af tankstati-

oner, der er ansvarlige for forvaltningen og driften af en

tankstation omfattes af loven.

Operatører af tankstationer, der er ansvarlige for forvaltnin-

gen og driften af en tankstation foreslås efter nationalt ønske

omfattet af loven, selvom de ikke er omfattet af NIS 2-

og CER-direktivet, idet tankstationer er et væsentligt led i

distributionen af olieprodukter.

Det foreslås i § 2, stk. 1,

nr. 19,

at operatører af regionale

koordinationscentre omfattes af loven. Regionale koordina-

tionscentre skal forstås i overensstemmelse med den foreslå-

ede definition i § 3, nr. 25, og skal i øvrigt forstås i overens-

stemmelse med Europa-Parlamentets og Rådets forordning

(EU) 2019/943 af 5. juni 2019 om det indre marked for

elektricitet.

Med regionale koordinationscentre forstås et regionalt koor-

dinationscenter, som oprettes i Danmark i henhold til artikel

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

35 i Europa-Parlamentets og Rådets forordning om det indre

marked for elektricitet.

Det foreslås i § 2, stk. 1,

nr. 20,

at operatører af bygasnet

omfattes af loven.

Operatører af bygasnet foreslås selvstændigt omfattet af lo-

ven, da disse operatører normalt ikke anses for omfattet af

ordene ”distributionssystemoperatører” eller ”naturgasvirk-

somheder”, når disse bruges i gasforsyningsloven. Derfor er

det fundet nødvendigt eksplicit at omfatte operatører af by-

gasnet, således at der ikke kan opstå tvivl, om de er omfattet

af loven eller ej.

Det foreslås i § 2,

stk. 2,

at loven dog kun finder anvendelse

på typer virksomheder efter stk. 1, som beskæftiger under

50 personer, eller som har en årlig omsætning og en samlet

årlig balance på ikke over 10 mio. euro, såfremt virksomhe-

den opfylder én eller flere af de i nr. 1-8 oplistede betingel-

ser.

Det følger af det forslåede stk. 2, at lovens anvendelsesom-

råde vil blive afgrænset i relation til mikro- og små virksom-

heder i overensstemmelse med artikel 2 i bilaget til henstil-

ling 2003/361/EF, så denne gruppe af virksomheder kun vil

blive omfattet af loven, såfremt de opfylder én eller flere af

de i stk. 2, nr. 1-8, forslåede grænseværdier. De foreslåede

grænseværdier i nr. 1-8, tager udgangspunkt i virksomheder-

nes kritikalitet for energiforsyningen. Disse grænseværdier

er således også udtryk for klima-, energi- og forsynings-

ministerens foreløbige identifikation af kritiske enheder i

henhold til artikel 6 i CER-direktivet. Den foreløbige identi-

fikation vil blive revurderet, når den nationale strategi og

nationale risikovurdering efter CER-direktivets artikel 4 og

5 foreligger. De foreslåede kriterier er endelig også udtryk

for fastholdelse af anvendelsesområdet for de eksisterende

bestemmelser om beredskab og cybersikkerhed fra lov om

elforsyning.

Det foreslås i § 2 stk. 2,

nr. 1,

at loven finder anvendelse

på virksomheder som beskæftiger under 50 personer, eller

som har en årlig omsætning og en samlet årlig balance på

ikke over 10 mio. euro, såfremt virksomhederne leverer tje-

nester, der vedrører aggregering, fleksibelt elforbrug eller

energilagring med en kapacitet på 25 MW eller derover eller

håndterer en kapacitet på 25 MW elforbrug eller derover

eller 25 MW elproduktion eller derover.

Den foreslåede afgrænsning på 25 MW eller derover vil føl-

ge den gældende afgrænsning af elproduktionsvirksomheder

underlagt krav om elproduktionsbevilling efter elforsynings-

lovens § 10 eller krav om elproduktionstilladelse efter § 29 i

VE-loven.

Det foreslås i § 2, stk. 2,

nr. 2,

at loven finder anvendelse

på virksomheder, som beskæftiger under 50 personer, eller

som har en årlig omsætning og en samlet årlig balance på

ikke over 10 mio. euro, såfremt virksomhederne opererer la-

depunkter med en samlet kapacitet på 25 MW eller derover.

Den foreslåede afgrænsning på 25 MW eller derover vil føl-

ge den gældende afgrænsning af elproduktionsvirksomheder

underlagt krav om elproduktionsbevilling efter elforsynings-

lovens § 10 eller krav om elproduktionstilladelse efter § 29 i

VE-loven.

Det foreslås i § 2, stk. 2,

nr. 3,

at loven finder anvendelse

på virksomheder, som beskæftiger under 50 personer, eller

som har en årlig omsætning og en samlet årlig balance på

ikke over 10 mio. euro, såfremt virksomhederne i 2 ud af

de sidste 3 år har haft et årligt salg på mere end 13,9 GWh

fjernvarme eller fjernkøling.

Grænserne i bestemmelsen er en konvertering af 25

MW grænsen til fjernvarmesektoren og fjernkølingssekto-

ren. Grunden til at referenceperioden er sat til 2 af de 3

sidste år, er fordi fjernvarmevirksomhederne kan opleve ud-

sving i salg og produktion alt efter vejret og priserne på

elmarkedet.

Det foreslås i § 2, stk. 2,

nr. 4,

at loven finder anvendelse på

virksomheder som beskæftiger under 50 personer, eller som

har en årlig omsætning og en samlet årlig balance på ikke

over 10 mio. euro, såfremt de årligt producerer mere end 26

mio. Nm3 (normalkubikmeter) gas eller injicerer mere end

26 mio. Nm3 gas i et gasnet.

Det foreslås i § 2, stk. 2,

nr. 5,

at loven finder anvendelse på

virksomheder som beskæftiger under 50 personer, eller som

har en årlig omsætning og en samlet årlig balance på ikke

over 10 mio. euro, såfremt de opererer olieterminaler eller

olielagre med en kapacitet på 100.000 m

eller derover.

Den foreslåede grænseværdi vil frasortere de mindste olie-

lagre og terminaler, så operatører af mindre og ikke kritiske

olieterminaler og -lagre ikke vil blive omfattet af loven.

Det foreslås i § 2, stk. 2,

nr. 6,

at loven finder anvendelse på

virksomheder, som beskæftiger under 50 personer, eller som

har en årlig omsætning og en samlet årlig balance på ikke

over 10 mio. euro, såfremt de opererer brintproduktion, der i

sit tilslutningspunkt til et kollektivt elnet har en kapacitet på

25 MW eller derover.

Den foreslåede grænse på 25 MW kapacitet eller derover for

et anlægs tilslutningspunkt til et kollektivt elnet, er baseret

på vurderingen, at brintproducerende anlæg i dag først og

fremmest er kritiske på grund af deres potentielle negative

indvirkning på elforsyningssikkerheden, fordi pludselig stig-

ning eller fald i elforbruget fra det brintproducerende anlæg

kan føre til udsving i frekvensen af elnettet, hvilket i yder-

ste konsekvens kan føre til black out. Efterhånden som der

opstår et nationalt eller internationalt forbrug af brint, vil

produktionen af brinten også være kritisk for at opretholde

brintforsyningen. Når dette vurderes at være tilfældet, kan

det overvejes, om der skal indføres en grænse for brintpro-

ducerende anlæg, der baserer sig på deres brintproduktions-

kapacitet.

Det foreslås i § 2, stk. 2,

nr. 7,

at loven finder anvendelse på

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

virksomheder, som beskæftiger under 50 personer, eller som

har en årlig omsætning og en samlet årlig balance på ikke

over 10 mio. euro, såfremt de opererer én eller flere tanksta-

tioner, der sammenlagt har et årligt salg af olieprodukter på

600.000 m3 eller derover, eller som opererer flere end 100

tankstationer på nationalt plan.

Den foreslåede grænse er fastsat ud fra det hensyn at beskyt-

te forsyningen af benzin og diesel til vejtransport. Efter den

foreslåede grænse vil kun de største tankstationsoperatører

blive omfattet af loven ud fra antallet af stationer, som de

opererer eller deres samlede årlige salg af olieprodukter

på tværs af tankstationer. Det er således Klima-, Energi-

og Forsyningsministeriets vurdering, at et helt netværk af

tankstationer kan kompromitteres igennem de net- og infor-

mationssystemer, der bruges til at overvåge beholdninger

af olieprodukter på stationerne. Men idet at Danmark er et

af de lande med den største koncentration af tankstationer

pr. indbygger, har Klima-, Energi- og Forsyningsministeriet

valgt at foreslå, at kun de største operatører skal omfattes,

således at der altid være et minimum af forsyning af oliepro-

dukter til understøttelse af vejtransporten.

Det foreslås i § 2, stk. 2,

nr. 8,

at loven finder anvendelse på

virksomheder som beskæftiger under 50 personer, eller som

har en årlig omsætning og en samlet årlig balance på ikke

over 10 mio. euro, såfremt de har en positiv lagringspligt

efter olieberedskabsloven eller regler udstedt i medfør af

loven.

Bestemmelsen medfører, at virksomheder, med positiv lag-

ringspligt efter olieberedskabsloven eller regler udstedt i

medfør heraf, vil blive omfattet af lovforslaget, idet tilgæn-

geligheden af olieberedskabslagrene, som disse virksomhe-

der holder, er et grundlæggende krav for at have et velfunge-

rende og brugbart olielagerberedskab.

Det foreslås i

§ 2, stk. 3,

at lovens kapitel 5 om baggrund-

skontrol og sikkerhedsgodkendelser, endvidere finder an-

vendelse på aktører, der ikke omfattes af stk. 1 og 2, men

som varetager opgaver som direkte led i eller i forbindelse

med leveringen af de tjenester og aktiviteter, der varetages

af virksomhedstyperne opregnet i stk. 1.

Den foreslåede bestemmelse har til formål, at sikre at be-

stemmelserne om baggrundskontrol og sikkerhedsgodken-

delser i lovforslagets § 16, også finder anvendelse på aktø-

rer, der ikke allerede omfattes af loven, men som varetager

opgaver som direkte led i eller i forbindelse med leverin-

gen af de tjenester og aktiviteter, der varetages af virksom-

heder omfattet af loven. Formålet med at omfatte dem af

bestemmelserne i § 16 er ikke at fastsætte krav om, at

sådanne aktører skal have foretaget baggrundskontrol eller

sikkerhedsgodkendelse af deres personale, men blot åbne op

for klima-, energi- og forsyningsministeren har hjemmel til

at modtage, behandle og afgøre ansøgninger om baggrund-

skontrol og sikkerhedsgodkendelse fra ansatte hos sådanne

aktører, når det findes nødvendigt af aktøren selv.

Den foreslåede bestemmelse vil udvide anvendelsesområdet

for de nævnte dele af lovforslaget med henblik på, at aktø-

rer, der ikke omfattes af stk. 1 og 2, kan anmode Klima-,

Energi- og Forsyningsministeriet om at få behandlet ansøg-

ninger om sikkerhedsgodkendelse og baggrundskontrol. Ak-

tører vil i denne kontekst skulle forstås bredt som såvel

fysiske som juridiske personer, der kan dokumentere, at de

varetager, eller vil varetage opgaver som direkte led i eller i

forbindelse med leveringen af de tjenester og aktiviteter, der

varetages af virksomhedstyperne opregnet i stk. 1.

Vurderingen af, hvorvidt en aktør konkret må anses for

at varetage opgaver i forbindelse med leveringen af de tje-

nester og aktiviteter, der varetages af virksomhedstyperne

opregnet i stk. 1, vil blive foretaget af klima, energi og

forsyningsministeren i den konkrete sag, og ministeren kan

afvise ansøgninger, hvis ministeren vurderer, at aktøren ikke

lever op til kravet.

Vurderingen vil blive foretaget under hensyn til, at energi-

sektoren omfatter mange aktører, der ikke nødvendigvis har

en direkte forbindelse til virksomheder omfattet af § 2, stk. 1

og 2 og leveringen af deres tjenester, men som leverer andre

tjenester, services eller indsigter, der bruges i forbindelse

med leveringen af virksomhedens tjeneste eller på andre in-

direkte måder bidrager til at skabe en mere robust og sikker

energisektor. Flere fora anvender således sikkerhedsgodken-

delser som en forudsætning for deltagelse. Dette vil eksem-

pelvis typisk være tilfældet i fora, der diskuterer resiliens og

sikkerhed i energisektoren, eller hvor emner omhandlende

kritisk infrastruktur og kortlægning heraf drøftes. Sådanne

fora vil efter en konkret vurdering for eksempel kunne blive

anset for at udføre opgaver i forbindelse med leveringen af

de tjenester og aktiviteter, der varetages af virksomhedsty-

perne opregnet i stk. 1. Endvidere vil eksempelvis virksom-

heder, som indsamler data om cybertrusler og -angreb af

relevans for energisektoren, ikke være omfattet af stk. 1 og

2, men vil være omfattet af det udvidede anvendelsesområde

for sikkerhedsgodkendelser og baggrundskontrol, samt beta-

ling herfor i lovens kapitel 5, § 18 og regler udstedt i medfør

heraf, da de ligeledes vil blive anset for at udføre opgaver i

forbindelse med leveringen af de tjenester og aktiviteter, der

varetages af virksomhedstyperne opregnet i stk. 1.

Der henvises i øvrigt til pkt. 3.4 om sikkerhedsgodkendelser

og baggrundskontrol samt pkt. 3.5 om gebyrbetaling for

myndighedsbehandling i lovforslagets almindelige bemærk-

ninger.

Det foreslås i § 2,

stk. 4,

at loven finder anvendelse på land-

og søterritoriet, i den danske eksklusive økonomiske zone

samt på den danske kontinentalsokkel, jf. dog stk. 5.

Efter den foreslåede bestemmelse, vil anvendelsesområdet

udstrække sig til at gælde den eksklusive økonomiske zo-

ne. Det vil medføre, at anlæg som er placeret i det areal også

vil være omfattet af kravene, som fremgår af lovens andre

bestemmelser. Lovforslaget vil dermed finde anvendelse på

bl.a. vindmølleparker eller boreplatforme, som er placeret

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

uden for land- eller søterritoriet, men som er inden for den

danske eksklusive økonomiske zone.

Udstrækningen af det geografiske anvendelsesområde vil

medføre, at flere anlæg eller systemer vil skulle leve op til

de nærmere beredskabsmæssige krav.

Den foreslåede bestemmelse er en forsættelse af de bestem-

melser, der findes i en række af de forsyningslove, som

beredskabet tidligere har været forankret i og cementerer, at

loven og regler udstedt i medfør af loven gælder på land- og

søterritoriet, den danske eksklusive økonomiske zone samt

på den danske kontinentalsokkel.

Bestemmelsen skal dog ses i sammenhæng med undtagelsen

i stk. 5.

Det foreslås i § 2,

stk. 5,

at loven ikke finder anvendelse

på transmissionssystemer på søterritoriet, i den eksklusive

økonomiske zone og på den danske kontinentalsokkel, der

ikke har tilslutning til danske forsyningsnet.

Det er vurderingen, at et transmissionssystem, som ikke er

tilsluttet det danske forsyningsnet, men blot passerer dansk

territorium, ikke har betydning for Danmarks energiforsy-

ning. Bestemmelsen præciserer derfor, at loven og regler

udstedt i medfør heraf, ikke finder anvendelse på sådanne

transmissionsnet.

Til § 3

Den foreslåede bestemmelse i § 3 indeholder definitioner af

lovens centrale begreber.

Definitionerne vil implementere de relevante definitioner i

artikel 6 i NIS 2-direktivet. Definitionerne vil endvidere

implementere de relevante definitioner i artikel 2 i CER-

direktivet. Endvidere implementeres definitionerne fra det

enslydende bilag I til de to direktiver, for så vidt angår ener-

gisektorens enhedskategorier. I det omfang der i de relevante

EU-definitioner er henvist til artikler i andre direktiver og

forordninger, er disse indarbejdet i bestemmelserne for lette

referencen.

De foreslåede definitioner vil således svare indholdsmæssigt

til de relevante dele af NIS 2-direktivets artikel 6 og CER-

direktivets artikel 2 og skal forstås og anvendes i overens-

stemmelse hermed.

I de tilfælde, hvor NIS 2- og CER-direktivet ikke anven-

der identiske definitioner for samme begreber, er der med

lovforslaget tilstræbt størst mulig kongruens ved at sammen-

lægge definitionerne.

Således vil definitionen af en »hændelse« efter denne lov

eksempelvis omfatte samme begreb i henholdsvis NIS 2-

og CER-direktivet, selvom direktiverne definerer begrebet

forskelligt.

Det foreslås i § 3, stk. 1,

nr. 1,

at »aggregering« defineres

som en funktion, der varetages af en fysisk eller juridisk

person, der samler flere kunders forbrug eller producerede

elektricitet til salg, køb eller auktion på et elektricitetsmar-

ked. Aggregering er ikke levering af elektricitet.

Bestemmelsen er identisk med den tilsvarende definition i

elforsyningslovens § 5, nr. 3.

Bestemmelsens første punktum er en ordret gengivelse af

artikel 2, nr. 18, i Europa-Parlamentets og Rådets direktiv

(EU) 2019/944 af 5. juni 2019 om fælles regler for det

indre marked for elektricitet og om ændring af direktiv

2012/27/EU og skal forstås i overensstemmelse hermed.

Bestemmelsens andet punktum er medtaget med inspiration

fra elforsyningslovens § 5, nr. 3, idet en elhandelsvirksom-

hed, der sælger elektricitet m.v. kan godt på samme tid være

en virksomhed, der varetager aggregering.

Det foreslås i § 3, stk. 1,

nr. 2,

at »central lagerenhed« defi-

neres som et organ eller tjeneste, som er tildelt beføjelser

til at handle med henblik på at erhverve, holde eller sælge

olielagre, herunder beredskabslager og specifikke lagre.

Den foreslåede definition er en ordret gengivelse af defini-

tionen af central lagerenhed i artikel 2, litra f, i Rådets

direktiv 2009/119/EF af 14. september 2009 om forpligtelse

for medlemsstaterne til at holde minimumslagre af råolie og/

eller olieprodukter.

Den foreslåede bestemmelse vil hermed implementere defi-

nitionen af central lagerenhed i overensstemmelse med defi-

nitionen af centrale lagerenheder i bilag I i NIS 2-direktivet

og bilaget CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Rådets direk-

tiv 2009/119/EF af 14. september 2009 om forpligtelse for

medlemsstaterne til at holde minimumslagre af råolie og/el-

ler olieprodukter, samt NIS 2- og CER-direktivet.

I Danmark vil den centrale lagerenhed, der er udpeget efter

lov nr. 354 af 24. april 2012 om olieberedskab, være omfat-

tet af denne definition.

Det foreslås i § 3, stk. 1,

nr. 3,

at »cybersikkerhed« defineres

som de aktiviteter, der er nødvendige for at beskytte net-

og informationssystemer, brugerne af sådanne systemer og

andre personer berørt af cybertrusler.

Den foreslåede definition er en ordret gengivelse af artikel

2, nr. 1, i Europa-Parlamentets og Rådets forordning (EU)

2019/881 af 17. april 2019 om ENISA (Den Europæiske

Unions Agentur for Cybersikkerhed), om cybersikkerheds-

certificering af informations- og kommunikationsteknologi

og om ophævelse af forordning (EU) nr. 526/2013 (forord-

ningen om cybersikkerhed).

Den foreslåede bestemmelse vil hermed implementere defi-

nitionen af cybersikkerhed i overensstemmelse med definiti-

onen af cybersikkerhed i NIS 2-direktivets artikel 6, nr. 3.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Europa-Parla-

mentets og Rådets forordning (EU) 2019/881 af 17. april

2019 om ENISA (Den Europæiske Unions Agentur for Cy-

bersikkerhed), om cybersikkerhedscertificering af informa-

tions- og kommunikationsteknologi og om ophævelse af

forordning (EU) nr. 526/2013 (forordningen om cybersik-

kerhed) og NIS 2-direktivet.

Det foreslås i § 3, stk. 1,

nr. 4,

at »cybertrussel« defineres

som enhver potentiel omstændighed, begivenhed eller hand-

ling, som kan skade, forstyrre eller på anden måde have

en negativ indvirkning på net- og informationssystemer, bru-

gerne af sådanne systemer og andre personer.

Den foreslåede definition er en ordret gengivelse af artikel

2, nr. 8, i Europa-Parlamentets og Rådets forordning (EU)

2019/881 af 17. april 2019 om ENISA (Den Europæiske

Unions Agentur for Cybersikkerhed), om cybersikkerheds-

certificering af informations- og kommunikationsteknologi

og om ophævelse af forordning (EU) nr. 526/2013 (forord-

ningen om cybersikkerhed).

Den foreslåede bestemmelse vil hermed implementere defi-

nitionen af cybersikkerhed i overensstemmelse med definiti-

onen af cybersikkerhed i NIS 2-direktivets artikel 6, nr. 10.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Europa-Parla-

mentets og Rådets forordning (EU) 2019/881 af 17. april

2019 om ENISA (Den Europæiske Unions Agentur for Cy-

bersikkerhed), om cybersikkerhedscertificering af informa-

tions- og kommunikationsteknologi og om ophævelse af

forordning (EU) nr. 526/2013 (forordningen om cybersik-

kerhed) og NIS 2-direktivet.

Det foreslås i § 3, stk. 1,

nr. 5,

at »distributionssystemope-

ratør« defineres som en fysisk eller juridisk person, der er

ansvarlig for driften, vedligeholdelsen og om nødvendigt

udbygningen af distributionssystemet i et givet område samt

i givet fald dets sammenkoblinger med andre systemer og

for at sikre, at systemet på lang sigt kan tilfredsstille en

rimelig efterspørgsel efter distribution af elektricitet eller

gas.

Den foreslåede definition sammenlægger definitionerne for

distributionssystemoperatør i artikel 2, nr. 29, i Europa-Par-

lamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019

om fælles regler for det indre marked for elektricitet og

om ændring af direktiv 2012/27/EU, og artikel 2, nr. 6, i

Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13.

juli 2009 om fælles regler for det indre marked for naturgas

og om ophævelse af direktiv 2003/55/EF. Den foreslåede

definition gengiver ordret definitionen i førstnævnte direktiv

og svarer indholdsmæssigt til definitionen i sidstnævnte di-

rektiv.

Den foreslåede bestemmelse vil hermed implementere defi-

nitionen af distributionssystemoperatør i overensstemmelse

med definitionen af distributionssystemoperatører i delsek-

torerne elektricitet og gas i bilag I i NIS 2-direktivet og

bilaget CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Europa-Parla-

mentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019

om fælles regler for det indre marked for elektricitet og

om ændring af direktiv 2012/27/EU, Europa-Parlamentets

og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles

regler for det indre marked for naturgas og om ophævelse af

direktiv 2003/55/EF, NIS 2-direktivet og CER-direktivet.

Definitionen i nr. 5, vil blandt andet omfatte begrebet ”dis-

tributionsselskab”, jf. gasforsyningslovens § 6, stk. 1, nr.

6, og begrebet ”netvirksomhed”, jf. elforsyningslovens § 5,

stk. 1, nr. 26. Definitionen vil hermed blandt andet omfatte

virksomheder, der har bevilling til distributionsvirksomhed

efter gasforsyningslovens § 10, og virksomheder, der har

bevilling til netvirksomhed efter elforsyningslovens § 19, jf.

også bemærkninger til 2, stk. 1, nr. 2.

Det foreslås i § 3, stk. 1,

nr. 6,

at »elektricitetsvirksomhed«

defineres som en fysisk eller juridisk person, der driver

mindst en af følgende former for virksomhed: produktion,

transmission, distribution, aggregering, fleksibelt elforbrug,

energilagring, levering eller køb af elektricitet, og som er

ansvarlig for de kommercielle, tekniske eller vedligeholdel-

sesmæssige opgaver i forbindelse med disse aktiviteter, men

som ikke er slutkunde der varetager salg, herunder videre-

salg, af elektricitet til kunder.

Den foreslåede definition er en sammenlægning af definiti-

onen af elektricitetsvirksomhed i artikel 2, nr. 57, i Europa-

Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni

2019 om fælles regler for det indre marked for elektricitet

og om ændring af direktiv 2012/27/EU, og definitionen af

levering i artikel 2, nr. 12, i samme direktiv. Den foreslåede

definition gengiver direktivets definition af elektricitetsvirk-

somhed og inkluderer heri direktivets definition af levering.

Den foreslåede bestemmelse vil hermed implementere defi-

nitionen af elektricitetsvirksomhed i overensstemmelse med

definitionen af elektricitetsvirksomheder i bilag I i NIS 2-di-

rektivet og bilaget i CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Europa-Parla-

mentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019

om fælles regler for det indre marked for elektricitet og

om ændring af direktiv 2012/27/EU, NIS 2-direktivet og

CER-direktivet.

Det foreslås i § 3, stk. 1,

nr. 7,

at »elproducent« defineres

som en fysisk eller juridisk person, der fremstiller elektrici-

tet.

Den foreslåede definition er en ordret gengivelse af definiti-

onen af producent i artikel 2, nr. 38, i Europa-Parlamentet

og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

regler for det indre marked for elektricitet og om ændring af

direktiv 2012/27/EU.

Den foreslåede bestemmelse vil hermed implementere defi-

nitionen af elproducent i overensstemmelse med definitio-

nen af producenter i delsektoren elektricitet i bilag I i NIS

2-direktivet og bilaget i CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet for Europa-Par-

lamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019

om fælles regler for det indre marked for elektricitet og

om ændring af direktiv 2012/27/EU, NIS 2-direktivet og

CER-direktivet.

Det foreslås i § 3, stk. 1,

nr. 8,

at »energilagring« defineres

som i elektricitetssystemet, som udsættelse af den endelige

anvendelse af elektricitet til et senere tidspunkt end det, hvor

den blev produceret, eller konvertering af elektrisk energi til

en energiform, der kan lagres, lagringen af sådan energi og

den efterfølgende rekonvertering af sådan energi til elektrisk

energi eller anvendelse som anden energibærer.

Den foreslåede definition er en ordret gengivelse af definiti-

onen af energilagring i artikel 2, nr. 59, i Europa-Parlamen-

tet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om

fælles regler for det indre marked for elektricitet og om

ændring af direktiv 2012/27/EU.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Europa-Parla-

mentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019

om fælles regler for det indre marked for elektricitet og om

ændring af direktiv 2012/27/EU.

Det foreslås i § 3, stk. 1,

nr. 9,

at »fleksibelt elforbrug« defi-

neres som ændringer i en slutkundes elforbrug i forhold til

det normale eller aktuelle forbrugsmønster som reaktion på

markedssignaler, herunder som reaktion på tidspunktafhæn-

gige elpriser eller finansielle incitamenter, eller som reaktion

på accept af slutkundens bud om at sælge en forbrugsreduk-

tion eller -forøgelse til en bestemt pris på et organiseret mar-

ked, hvad enten dette sker alene eller gennem aggregering.

Den foreslåede definition gengiver definitionen af fleksibelt

elforbrug i artikel 2, nr. 20, i Europa-Parlamentet og Rådets

direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for

det indre marked for elektricitet og om ændring af direktiv

2012/27/EU.

Definitionen af fleksibelt elforbrug i førnævnte direktiv

henviser desuden til definitionen af organiseret marked

i EU-Kommissionens gennemførelsesforordning (EU) nr.

1348/2014 af 17. december 2014 om dataindberetning til

gennemførelse af artikel 8, stk. 2, og artikel 8, stk. 6, i Eu-

ropa-Parlamentets og Rådets forordning (EU) nr. 1227/2011

om integritet og gennemsigtighed på engrosenergimarkeder-

ne. Organiseret marked i den foreslåede definition skal for-

stås i overensstemmelse hermed, jf. også bemærkningerne

til § 3, stk. 1, nr. 24.

Den foreslåede bestemmelse vil skulle forstås og fortolkes

i overensstemmelse med formålet og anvendelsesområdet i

Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5.

juni 2019 om fælles regler for det indre marked for elektrici-

tet og om ændring af direktiv 2012/27/EU.

Det foreslås i § 3, stk. 1,

nr. 10,

at »gasforsyningsvirksom-

hed« defineres som enhver fysisk eller juridisk person, der

varetager forsyningsopgaven.

Den foreslåede definition er en ordret gengivelse af defini-

tionen af forsyningsvirksomhed i artikel 2, nr. 8, i Europa-

Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009

om fælles regler for det indre marked for naturgas og om

ophævelse af direktiv 2003/55/EF.

Den foreslåede bestemmelse vil hermed implementere de-

finitionen af gasforsyningsvirksomhed i overensstemmelse

med definitionen af forsyningsvirksomheder i delsektoren

gas i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Europa-Par-

lamentets og Rådets direktiv 2009/73/EF af 13. juli 2009

om fælles regler for det indre marked for naturgas og om

ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-

direktivet.

Det foreslås i § 3, stk. 1,

nr. 11,

at »hændelse« defineres

som en begivenhed, der har potentiale til i betydelig grad

at forstyrre, eller som forstyrrer, leveringen af en væsentlig

tjeneste, herunder når den påvirker de nationale systemer,

der sikrer retsstatsprincippet, herunder en begivenhed, der

bringer tilgængeligheden, autenticiteten, integriteten eller

fortroligheden af lagrede, overførte eller behandlede data

eller af de tjenester, der tilbydes af eller er tilgængelige via

net- og informationssystemer, i fare.

Bestemmelsen bygger på CER-direktivets artikel 2, nr. 3,

hvorefter der ved »hændelse« forstås en begivenhed, der har

potentiale til i betydelig grad at forstyrre, eller som forstyr-

rer, leveringen af en væsentlig tjeneste, herunder når den

påvirker de nationale systemer, der sikrer retsstatsprincip-

pet. Dog er der tilføjet ”herunder en begivenhed, der bringer

tilgængeligheden, autenticiteten, integriteten eller fortrolig-

heden af lagrede, overførte eller behandlede data eller af

de tjenester, der tilbydes af eller er tilgængelige via net- og

informationssystemer, i fare” for samtidigt at implementere

definitionen af ” hændelse” fra NIS 2-direktivets artikel 6,

nr. 6, med henblik på at gøre det klart, at hændelsesbegrebet

i denne lov omfatter alle hændelser.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med CER- og NIS 2-direktivets formål og anvendel-

sesområde.

Det foreslås i § 3, stk. 1,

nr. 12,

at »håndtering af hændel-

ser« defineres som enhver handling og procedure, der tager

sigte på at forebygge, opdage, analysere og inddæmme eller

at reagere på og reetablere sig efter en hændelse.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Den foreslåede definition er en ordret gengivelse af definiti-

onen i NIS 2-direktivets artikel 6, nr. 8. Den foreslåede be-

stemmelse implementerer hermed NIS 2-direktivets artikel

6, nr. 8.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med NIS 2-direktivets formål og anvendelsesområde.

Det foreslås i § 3, stk. 1,

nr. 13, at

»IKT-proces« defineres

som aktiviteter, der udføres for at udforme, udvikle, levere

eller vedligeholde et IKT-produkt eller en IKT-tjeneste.

Den foreslåede definition er en ordret gengivelse af defini-

tionen i artikel 2, nr. 14, i Europa-Parlamentets og Rådets

forordning (EU) 2019/881 af 17. april 2019 om ENISA

(Den Europæiske Unions Agentur for Cybersikkerhed), om

cybersikkerhedscertificering af informations- og kommuni-

kationsteknologi og om ophævelse af forordning (EU) nr.

526/2013 (forordningen om cybersikkerhed).

Den foreslåede bestemmelse implementerer hermed NIS 2-

direktivets artikel 6, nr. 14.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Europa-Parla-

mentets og Rådets forordning (EU) 2019/881 af 17. april

2019 om ENISA (Den Europæiske Unions Agentur for Cy-

bersikkerhed), om cybersikkerhedscertificering af informa-

tions- og kommunikationsteknologi og om ophævelse af

forordning (EU) nr. 526/2013 (forordningen om cybersik-

kerhed) og NIS 2-direktivet.

Det foreslås i § 3, stk. 1,

nr. 14,

at »IKT-produkt« defineres

som et element eller en gruppe af elementer i net- og infor-

mationssystemer.

Den foreslåede definition er en ordret gengivelse af defini-

tionen i artikel 2, nr. 12, i Europa-Parlamentets og Rådets

forordning (EU) 2019/881 af 17. april 2019 om ENISA

(Den Europæiske Unions Agentur for Cybersikkerhed), om

cybersikkerhedscertificering af informations- og kommuni-

kationsteknologi og om ophævelse af forordning (EU) nr.

526/2013 (forordningen om cybersikkerhed).

Den foreslåede bestemmelse implementerer hermed NIS 2-

direktivets artikel 6, nr. 12.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Europa-Parla-

mentets og Rådets forordning (EU) 2019/881 af 17. april

2019 om ENISA (Den Europæiske Unions Agentur for Cy-

bersikkerhed), om cybersikkerhedscertificering af informa-

tions- og kommunikationsteknologi og om ophævelse af

forordning (EU) nr. 526/2013 (forordningen om cybersik-

kerhed) og NIS 2-direktivet.

Det foreslås i § 3, stk. 1,

nr. 15,

at »IKT-tjeneste« defineres

som en tjeneste, der helt eller hovedsageligt består af over-

førsel, lagring, indhentning eller behandling af oplysninger

ved hjælp af net- og informationssystemer.

Den foreslåede definition er en ordret gengivelse af defini-

tionen i artikel 2, nr. 13, i Europa-Parlamentets og Rådets

forordning (EU) 2019/881 af 17. april 2019 om ENISA

(Den Europæiske Unions Agentur for Cybersikkerhed), om

cybersikkerhedscertificering af informations- og kommuni-

kationsteknologi og om ophævelse af forordning (EU) nr.

526/2013 (forordningen om cybersikkerhed).

Den foreslåede bestemmelse implementerer hermed NIS 2-

direktivets artikel 6, nr. 13.

Bestemmelsen vil skulle fortolkes i overensstemmelse med

formålet og anvendelsesområdet i Europa-Parlamentets og

Rådets forordning (EU) 2019/881 af 17. april 2019 om

ENISA (Den Europæiske Unions Agentur for Cybersikker-

hed), om cybersikkerhedscertificering af informations- og

kommunikationsteknologi og om ophævelse af forordning

(EU) nr. 526/2013 (forordningen om cybersikkerhed) og

NIS 2-direktivet.

Det foreslås i § 3, stk. 1,

nr. 16,

at »lagersystemoperatør«

defineres som enhver fysisk eller juridisk person, der foreta-

ger oplagring af gas og er ansvarlig for driften af en gasla-

gerfacilitet.

Den foreslåede definition er en ordret gengivelse af definiti-

onen af lagersystemoperatør i artikel 2, nr. 10, i Europa-Par-

lamentets og Rådets direktiv 2009/73/EF af 13. juli 2009

om fælles regler for det indre marked for naturgas og om

ophævelse af direktiv 2003/55/EF.

Den foreslåede bestemmelse vil hermed implementere de-

finitionen af lagersystemoperatør i overensstemmelse med

definitionen af lagersystemoperatører i bilag I i NIS 2-direk-

tivet og bilaget i CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Europa-Par-

lamentets og Rådets direktiv 2009/73/EF af 13. juli 2009

om fælles regler for det indre marked for naturgas og om

ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-

direktivet.

Det foreslås i § 3, stk. 1,

nr. 17,

at »LNG-systemoperatør«

defineres som enhver fysisk eller juridisk person, der fore-

tager flydendegørelse af naturgas eller import, losning og

forgasning af LNG og er ansvarlig for driften af en LNG-fa-

cilitet.

Den foreslåede definition er en ordret gengivelse af defini-

tionen af LNG-systemoperatør i artikel 2, nr. 12, i Europa-

Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009

om fælles regler for det indre marked for naturgas og om

ophævelse af direktiv 2003/55/EF.

Den foreslåede bestemmelse vil hermed implementere defi-

nitionen af LNG-systemoperatør i overensstemmelse med

definitionen af LNG-systemoperatører i bilag I i NIS 2-di-

rektivet og bilaget i CER-direktivet.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Europa-Par-

lamentets og Rådets direktiv 2009/73/EF af 13. juli 2009

om fælles regler for det indre marked for naturgas og om

ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-

direktivet.

Det foreslås i § 3, stk. 1,

nr. 18,

at »markedsdeltager der le-

verer tjenester, der vedrører aggregering, fleksibelt elforbrug

eller energilagring« defineres som en fysisk eller juridisk

person, der køber, sælger eller producerer elektricitet, der

udfører aggregering, eller der er en operatør af tjenester

vedrørende fleksibelt elforbrug eller energilagringstjenester,

herunder ved afgivelse af handelsordrer, på et eller flere

elektricitetsmarkeder, herunder på balanceringsenergimarke-

der.

Den foreslåede definition af markedsdeltager der leverer tje-

nester, der vedrører aggregering, fleksibelt elforbrug eller

energilagring gengiver ordret definitionen af markedsdelta-

ger i artikel 2, nr. 25, i Europa-Parlamentets og Rådets for-

ordning (EU) 2019/943 af 5. juni 2019 om det indre marked

for elektricitet.

Den foreslåede bestemmelse vil hermed implementere de-

finitionen af markedsdeltager, der leverer tjenester, der ve-

drører aggregering, fleksibelt elforbrug eller energilagring

i overensstemmelse med definitionen af markedsdeltagere,

der leverer tjenester, der vedrører aggregering, fleksibelt el-

forbrug eller energilagring i bilag I i NIS 2-direktivet og

bilaget i CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Europa-Parla-

mentets og Rådets forordning (EU) 2019/943 af 5. juni 2019

om det indre marked for elektricitet, NIS 2-direktivet og

CER-direktivet.

Det foreslås i § 3, stk. 1,

nr. 19,

at »modstandsdygtighed«

defineres som en enheds evne til at forebygge, beskytte

mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og

sikre genopretning efter en hændelse.

CER-direktivets artikel 2, nr. 2, definerer modstandsdygtig-

hed som en kritisk enheds evne til at forebygge, beskytte

mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og

komme på fode igen efter en hændelse.

Definitionen i den foreslåede bestemmelse er således ikke

en ordret gengivelse af definitionen i CER. Ordet kritisk fra

definitionen i CER-direktivet er ikke medtaget i den foreslå-

ede definition. Det bemærkes desuden, at CER-direktivet

anvender termen ”komme på fode igen”, hvor den engelske

sprogversion anvender termen ”recover”. I den foreslåede

bestemmelse anvendes termen "genopretning" i stedet for

”komme på fode igen”, da det er den anvendte terminologi

den danske energisektor.

Den foreslåede bestemmelse implementerer CER-direktivets

artikel 2, nr. 2.

Den foreslåede bestemmelse vil skulle forstås og fortolkes

i overensstemmelse med CER-direktivets formål og anven-

delsesområde.

Det foreslås i § 3, stk. 1,

nr. 20,

at »naturgasvirksomhed«

defineres som enhver fysisk eller juridisk person, der driver

mindst en af følgende former for virksomhed: produktion,

transmission, distribution, forsyning, køb eller oplagring af

naturgas, herunder LNG, og som er ansvarlig for de kom-

mercielle, tekniske og/eller vedligeholdelsesmæssige opga-

ver i forbindelse med disse aktiviteter, men som ikke er

endelig kunde.

Den foreslåede definition er en ordret gengivelse af definiti-

onen af naturgasvirksomhed i artikel 2, nr. 1, i Europa-Par-

lamentets og Rådets direktiv 2009/73/EF af 13. juli 2009

om fælles regler for det indre marked for naturgas og om

ophævelse af direktiv 2003/55/EF.

Den foreslåede bestemmelse vil hermed implementere de-

finitionen af naturgasvirksomhed i overensstemmelse med

definitionen af naturgasvirksomheder i bilag I i NIS 2-direk-

tivet og bilaget i CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Europa-Par-

lamentets og Rådets direktiv 2009/73/EF af 13. juli 2009

om fælles regler for det indre marked for naturgas og om

ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-

direktivet.

Det foreslås i § 3, stk. 1,

nr. 21,

at »net- og informationssy-

stem« defineres som; a) et elektronisk kommunikationsnet,

hvorved forstås transmissionssystemer, uanset om de bygger

på en permanent infrastruktur eller centraliseret administra-

tionskapacitet, og, hvor det er relevant, koblings- og diriger-

ings-udstyr og andre ressourcer, herunder netelementer, der

ikke er aktive, som gør det muligt at overføre signaler ved

hjælp af trådforbindelse, radiobølger, lyslederteknik eller an-

dre elektromagnetiske midler, herunder satellit-net, jordba-

serede fastnet og mobilnet, elkabelsystemer, i det omfang

de anvendes til transmission af signaler, net, som anvendes

til radio- og tv-spredning, samt kabel-tv-net, uanset hvilken

type information der overføres, b) enhver anordning eller

gruppe af forbundne eller beslægtede anordninger, hvoraf

en eller flere ved hjælp af et program udfører automatisk

behandling af digitale data, og c) digitale data som lagres,

behandles, fremfindes eller overføres af elementer i litra a

og b med henblik på deres drift, brug, beskyttelse og vedli-

geholdelse.

Den foreslåede nr. 21, litra a, gengiver definitionen af elek-

tronisk kommunikationsnet i artikel 2, nr. 1, i Europa-Parla-

mentets og Rådets direktiv (EU) 2018/1972 af 11. december

2018 om oprettelse af en europæisk kodeks for elektronisk

kommunikation. Den foreslåede definition implementerer

hermed NIS 2-direktivets artikel 6, nr. 1, litra a.

Den foreslåede nr. 21, litra a, vil skulle forstås og fortolkes

i overensstemmelse med formålet og anvendelsesområdet i

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Europa-Parlamentets og Rådets direktiv (EU) 2018/1972 af

11. december 2018 om oprettelse af en europæisk kodeks for

elektronisk kommunikation og NIS 2-direktivet.

Den foreslåede nr. 21, litra b og c, er en ordret gengivelse af

NIS 2-direktivets artikel 6, nr. 1, litra b og c, og implemen-

terer hermed NIS 2-direktivets artikel 6, nr. 1, litra a og b.

Den foreslåede nr. 21, litra b og c, vil skulle forstås og

fortolkes i overensstemmelse med NIS 2-direktivets formål

og anvendelsesområde.

Kredsløbs- og pakkekoblede fastnet, herunder i internettet er

også omfattet af jordbaserede fastnet.

Det foreslås i § 3, stk. 1,

nr. 22,

at »nærvedhændelse« de-

fineres som en begivenhed, der kunne have bragt tilgænge-

ligheden, autenticiteten, integriteten eller fortroligheden af

lagrede, overførte eller behandlede data eller af de tjenester,

der tilbydes af eller er tilgængelige via net- og informations-

systemer, i fare, men som det lykkedes at forhindre, eller

som ikke materialiserede sig.

Den foreslåede definition er en ordret gengivelse af artikel

6, nr. 5, i NIS 2-direktivet.

Den foreslåede bestemmelse vil skulle forstås og fortolkes

i overensstemmelse med NIS 2-direktivets formål og anven-

delsesområde.

Det foreslås i § 3, stk. 1,

nr. 23,

at »operatør af fjernvarme

eller fjernkøling« defineres som operatør af distribution af

termisk energi i form af damp, varmt vand eller afkølede

væsker fra centrale eller decentrale produktionssteder gen-

nem et net til flere bygninger eller anlæg til anvendelse ved

rum- eller procesopvarmning eller -køling.

Den foreslåede definition af operatør af fjernvarme eller

fjernkøling indeholder en ordret gengivelse af definitionen

af fjernvarme eller fjernkøling i artikel 2, nr. 19, i Euro-

pa-Parlamentets og Rådets direktiv (EU) 2018/2001 af 11.

december 2018 om fremme af anvendelsen af energi fra

vedvarende energikilder.

Den foreslåede bestemmelse vil hermed implementere defi-

nitionen af operatør af fjernvarme eller fjernkøling i over-

ensstemmelse med definitionen af operatører af fjernvarme

eller fjernkøling i bilag I i NIS 2-direktivet og bilaget i

CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Europa-Parla-

mentets og Rådets direktiv (EU) 2018/2001 af 11. december

2018 om fremme af anvendelsen af energi fra vedvarende

energikilder, NIS 2-direktivet og CER-direktivet.

Det foreslås i § 3, stk. 1,

nr. 24,

at »organiseret marked«

defineres som; a) Et multilateralt system, der samler eller

faciliterer samlingen af flere tredjeparters købs- og salgsin-

teresser i engrosenergiprodukter på en måde, der fører til

indgåelse af en kontrakt, b) Ethvert andet system eller en-

hver anden facilitet, hvor flere købs- og salgsinteresser i

engrosenergiprodukter tilhørende tredjeparter kan interagere

på en måde, der fører til indgåelse af en kontrakt.

Den foreslåede definition gengiver en del af definitionen af

organiseret marked i artikel 2, nr. 4, i EU-Kommissionens

gennemførelsesforordning (EU) nr. 1348/2014 af 17. decem-

ber 2014 om dataindberetning til gennemførelse af artikel 8,

stk. 2, og artikel 8, stk. 6, i Europa-Parlamentets og Rådets

forordning (EU) nr. 1227/2011 om integritet og gennemsig-

tighed på engrosenergimarkederne, jf. artikel 2, nr. 4, litra a

og b.

Det følger derudover af definitionen i den førnævnte gen-

nemførelsesforordning, at et organiseret marked omfatter

elektricitets- og gasbørser, mæglere og andre personer, der

erhvervsmæssigt arrangerer transaktioner, og markedsplad-

ser, som defineret i artikel 4 i Europa-Parlamentets og Rå-

dets direktiv 2014/65/EU.

Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15.

maj 2014 om markeder for finansielle instrumenter og om

ændring af direktiv 2002/92/EF og direktiv 2011/61/EU de-

finerer i artikel 4, nr. 24, markedsplads som ethvert reguleret

marked, en MHF eller en OHF. Med MHF forstås multilate-

ral handelsfacilitet og med OHF forstås organiseret handels-

facilitet, som defineret i direktivets artikel 4, nr. 22 og 23.

Definitionen i den foreslåede bestemmelse omfatter i

overensstemmelse EU-Kommissionens gennemførelsesfor-

ordning (EU) nr. 1348/2014 af 17. december 2014 om data-

indberetning til gennemførelse af artikel 8, stk. 2, og artikel

8, stk. 6, i Europa-Parlamentets og Rådets forordning (EU)

nr. 1227/2011 om integritet og gennemsigtighed på engros-

energimarkederne, elektricitets- og gasbørser, mæglere og

andre personer, der erhvervsmæssigt arrangerer transaktio-

ner, og markedspladser, herunder ethvert reguleret marked,

en MHF eller en OHF.

Den foreslåede bestemmelse vil skulle forstås og fortolkes

i overensstemmelse med formålet og anvendelsesområdet

i EU-Kommissionens gennemførelsesforordning (EU) nr.

1348/2014 af 17. december 2014 om dataindberetning til

gennemførelse af artikel 8, stk. 2, og artikel 8, stk. 6, i Eu-

ropa-Parlamentets og Rådets forordning (EU) nr. 1227/2011

om integritet og gennemsigtighed på engrosenergimarkeder-

ne og Europa-Parlamentets og Rådets direktiv 2014/65/EU

af 15. maj 2014 om markeder for finansielle instrumenter og

om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU.

Det foreslås i § 3, stk. 1,

nr. 25,

at »regionalt koordinati-

onscenter« defineres som et regionalt koordinationscenter,

som oprettes i Danmark i henhold til artikel 35 i Europa-

Parlamentets og Rådets forordning om det indre marked for

elektricitet.

Den foreslåede bestemmelse er en gengivelse af definitionen

af regionalt koordinationscenter i artikel 2, nr. 50, i Europa-

Parlamentets og Rådets forordning (EU) 2019/944 af 5. juni

2019 om fælles regler for det indre marked for elektricitet,

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

med den tilpasning, at det fremgår af bestemmelsens ordlyd,

at det kun finder anvendelse på et regionalt koordinations-

center beliggende i Danmark.

Det foreslås i § 3, stk. 1,

nr. 26,

at »risiko« defineres som

potentialet for tab eller forstyrrelse som følge af en hændel-

se, udtrykt som en kombination af størrelsen af et sådant

tab eller en sådan forstyrrelse og sandsynligheden for, at

hændelsen indtræffer.

Den foreslåede definition sammenlægger definitionen af ri-

siko i NIS 2-direktivets artikel 6, nr. 9, og definitionen

af risiko i CER-direktivets artikel 2, nr. 6. Den foreslåede

definition er en ordret gengivelse af NIS 2-direktivets de-

finition. Den foreslåede definition svarer indholdsmæssigt

til CER-direktivets definition. Den foreslåede bestemmelse

implementerer hermed NIS 2-direktivets artikel 6, nr. 9 og

CER-direktivets artikel 2, nr. 6.

Den foreslåede bestemmelse vil skulle forstås og fortolkes

i overensstemmelse med NIS 2- og CER-direktivets formål

og anvendelsesområde.

Det foreslås i § 3, stk. 1,

nr. 27,

at »risikovurdering« define-

res som den samlede proces med henblik på at bestemme

arten og omfanget af en risiko ved at identificere og analy-

sere potentielle relevante trusler, sårbarheder og farer, der

kunne føre til en hændelse, og ved at evaluere det potentiel-

le tab eller den potentielle forstyrrelse af leveringen af en

væsentlig tjeneste forårsaget af denne hændelse.

Den foreslåede definition er en ordret gengivelse af definiti-

onen af risikovurdering i CER-direktivets artikel 2, nr. 7, og

den foreslåede bestemmelse implementerer hermed CER-di-

rektivets artikel 2, nr. 7.

Den foreslåede bestemmelse vil skulle forstås og fortolkes

i overensstemmelse med CER-direktivets formål og anven-

delsesområde.

Det foreslås i § 3, stk. 1,

nr. 28,

at »transmissionssystemope-

ratør« defineres som en fysisk eller juridisk person, der er

ansvarlig for driften, vedligeholdelsen og om nødvendigt

udbygningen af transmissionssystemet i et givet område

samt i givet fald dets sammenkoblinger med andre systemer

og for at sikre, at systemet på lang sigt kan tilfredsstille en

rimelig efterspørgsel efter transmission af elektricitet eller

gas.

Den foreslåede definition sammenlægger definitionerne for

transmissionssystemoperatør i artikel 2, nr. 35, i Europa-Par-

lamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019

om fælles regler for det indre marked for elektricitet og

om ændring af direktiv 2012/27/EU, og artikel 2, nr. 4, i

Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13.

juli 2009 om fælles regler for det indre marked for naturgas

og om ophævelse af direktiv 2003/55/EF.

Den foreslåede definition er en ordret gengivelse af definiti-

onen af transmissionssystemoperatør i førstnævnte direktiv

og svarer indholdsmæssigt til definitionen af transmissions-

systemoperatør i sidstnævnte direktiv.

Den foreslåede bestemmelse vil hermed implementere defi-

nitionen af transmissionssystemoperatør i overensstemmelse

med definitionen af transmissionssystemoperatører i delsek-

torerne elektricitet og gas i bilag I i NIS 2-direktivet og

bilaget CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Europa-Parla-

mentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019

om fælles regler for det indre marked for elektricitet og

om ændring af direktiv 2012/27/EU, Europa-Parlamentets

og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles

regler for det indre marked for naturgas og om ophævelse af

direktiv 2003/55/EF, NIS 2-direktivet og CER-direktivet.

Det foreslås i § 3, stk. 1,

nr. 29,

at »udpeget elektricitets-

markedsoperatør« defineres som en markedsoperatør, der af

Forsyningstilsynet er blevet udpeget til at udføre opgaver

i forbindelse med den fælles day-ahead- eller intraday-kob-

ling.

Den foreslåede bestemmelse er en tilpasset gengivelse af

definitionen af udpeget elektricitetsmarkedsoperatør i artikel

2, nr. 8, i Europa-Parlamentets og Rådets forordning (EU)

2019/943 af 5. juni 2019 om det indre marked for elektrici-

tet. Tilpasningen består i at ”kompetent myndighed” er ble-

vet af erstattet af Forsyningstilsynet, da Forsyningstilsynet

er den kompetente myndighed i Danmark til at udpege elek-

tricitetsmarkedsoperatører, efter den før nævnte forordning.

Den foreslåede bestemmelse vil hermed implementere defi-

nitionen af udpeget elektricitetsmarkedsoperatør i overens-

stemmelse med definitionen af udpegede elektricitetsmar-

kedsoperatører i bilag I i NIS 2-direktivet og bilaget i CER-

direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstem-

melse med formålet og anvendelsesområdet i Europa-Parla-

mentets og Rådets forordning (EU) 2019/943 af 5. juni 2019

om det indre marked for elektricitet, NIS 2-direktivet og

CER-direktivet.

Det foreslås i § 3, stk. 1,

nr. 30,

at »virksomhed« define-

res som en fysisk eller juridisk person, der er oprettet og

anerkendt som sådan i henhold til den nationale ret på det

sted, hvor den er etableret, og som i eget navn kan udøve

rettigheder og være underlagt forpligtelser.

Den foreslåede definition er en ordret gengivelse af definiti-

onen af enhed i NIS 2-direktivets artikel 2, nr. 38, og den

foreslåede bestemmelse implementerer hermed NIS 2-direk-

tivets artikel 2, nr. 38.

Det foreslås, at loven anvender begrebet "virksomheder" i

stedet for begrebet "enheder", som anvendes i NIS 2-direkti-

vet, da det er den indarbejdede måde at betegne retssubjek-

terne i lovgivningen på energiområdet.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Den foreslåede bestemmelse vil skulle forstås og fortolkes

i overensstemmelse med NIS 2-direktivets formål og anven-

delsesområde.

Det foreslås i § 3, stk. 1,

nr. 31,

at »væsentlig cybertrussel«

defineres som en cybertrussel, som på grundlag af sine tek-

niske karakteristika kan antages at have potentiale til at få

alvorlig indvirkning på en enheds net- og informationssyste-

mer eller på brugerne af enhedens tjenester ved at forårsage

betydelig materiel eller immateriel skade.

Den foreslåede definition er en ordret gengivelse af definiti-

onen af væsentlig cybertrussel i NIS 2-direktivets artikel 6,

nr. 11. Den foreslåede bestemmelse implementerer hermed

NIS 2-direktivets artikel 6, nr. 11.

Den foreslåede bestemmelse vil skulle forstås og fortolkes

i overensstemmelse med NIS 2-direktivets formål og anven-

delsesområde.

Det foreslås i § 3, stk. 1,

nr. 32,

at »væsentlig tjeneste« defi-

neres som en tjeneste, der er afgørende for opretholdelsen af

vitale samfundsmæssige funktioner, økonomiske aktiviteter,

folkesundhed og offentlig sikkerhed eller miljøet.

Den foreslåede definition er en ordret gengivelse af definiti-

onen af væsentlig tjeneste i CER-direktivets artikel 2, nr.

5. Den foreslåede bestemmelse implementerer hermed CER-

direktivets artikel 2, nr. 5.

Den foreslåede bestemmelse vil skulle forstås og fortolkes

i overensstemmelse med CER-direktivets formål og anven-

delsesområde.

Det bemærkes, at EU-Kommissionens delegerede forord-

ning (EU) 2023/2450 af 25. juli 2023, til supplering af Eu-

ropa-Parlamentets og Rådets direktiv (EU) 2022/2557 ved

opstilling af en liste over væsentlige tjenester, opstiller en

ikke-udtømmende lister over væsentlige tjenester i artikel

2. Disse væsentlige tjenester er også omfattet af de ovenstå-

ende definitioner.

Til § 4

Efter § 3, stk. 1, i bekendtgørelse om identifikation og

udpegning af europæisk kritisk infrastruktur på energiområ-

det og vurdering af behovet for bedre beskyttelse, foreta-

ger Energistyrelsen identifikation af europæisk kritisk infra-

struktur. Metoden for udpegelse fremgår af bekendtgørel-

sens § 4, stk. 1. Bekendtgørelsen er udstedt i medfør af

elforsyningsloven, gasforsyningsloven, lov om kontinental-

soklen, offshoresikkerhedsloven og olieberedskabsloven og

implementerer EPCIP-direktivet i energisektoren.

Det følger af it-beredskabsbekendtgørelsens § 9, der er ud-

stedt i medfør af elforsyningsloven og gasforsyningsloven,

at Energistyrelsen skal foretage kategorisering af virksom-

heder.

Ifølge elberedskabsbekendtgørelsens § 11, stk. 1, og natur-

gasberedskabsbekendtgørelsens § 11, stk. 1, skal Energisty-

relsen foretage en klassificering af anlæg i el- og gassekto-

ren.

Kategorisering og klassificering afhænger af anlæggets eller

virksomhedens betydning for energiforsyningen og er afgø-

rende for, hvilke beredskabskrav der stilles til virksomheder-

ne.

For oliesektoren er der ikke indført en egentlig kategorise-

ring af virksomheder. Dog følger det af olieberedskabsbe-

kendtgørelsens § 2, stk. 1, nr.1, at bekendtgørelsen kun

finder anvendelse på lagringspligtige virksomheder, der har

en lagringspligtig omsætning større end nul, dvs. en pligt

til at holde beredskabslagre. Da det kun er ca. halvdelen

af alle virksomheder, som er omfattet af kravene i oliebered-

skabsloven, der har en lagringspligtig omsætning større end

nul, bliver virksomheder i oliesektoren med beredskabslagre

mødt af flere beredskabskrav efter olieberedskabsbekendt-

gørelsen.

Der henvises i øvrigt til afsnit 3.1.1 i lovforslagets alminde-

lige bemærkninger.

Det følger af den foreslåede § 4,

stk. 1,

at klima-, energi-

og forsyningsministeren identificerer kritiske virksomheder,

kritiske systemer og anlæg omfattet af loven, der anvendes

til at levere virksomhedernes tjenester.

Formålet med stk. 1 er implementere kravene til identifice-

ring af kritiske enheder efter CER-direktivet samt kravene

til identificering af væsentlige og vigtige enheder samt en-

heder, der leverer domæne-navnsregistreringstjenester efter

NIS-2-direktivet.

Den foreslåede bestemmelse skal ses i sammenhæng med

den foreslåede § 35, stk. 2, om registrerings- og oplysnings-

pligt for virksomheder, som vil sikre informationsgrundlaget

for ministerens identifikation af væsentlige og vigtige enhe-

der efter bestemmelsen.

Afhængig af identificeringen efter denne bestemmelse vil

enhederne blive underlagt specifikke krav og specifikke til-

syn samt modtage særlig støtte og vejledning over for alle

relevante risici. Den særlige støtte og vejledning vil eksem-

pelvis komme til udtryk i nationale strategier eller risiko- og

sårbarhedsscenarier.

Det bemærkes, at nogle af de mindste virksomheder, der

falder indenfor lovforslagets anvendelsesområde, vil falde

udenfor NIS 2- og CER-direktivernes anvendelsesområde,

og de vil således aldrig blive identificeres som kritiske, væ-

sentlige eller vigtige enheder efter bestemmelsen.

Det bemærkes, at ordet identificering angår designeringen

af virksomheder som hhv. kritiske enheder i henhold til kra-

vene CER-direktivet og væsentlige og vigtige enheder efter

kravene NIS-2 direktivet.

Den foreslåede bestemmelse vil implementere CER-direkti-

vets artikel 6, stk. 1 og 2, hvorefter hver medlemsstat senest

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

den 17. juli 2026 skal have identificeret de kritiske enheder

for de sektorer og delsektorer, der er anført i bilaget til CER-

direktivet, herunder energisektoren. Med bestemmelsen har

klima-, energi- og forsyningsministeren hjemmel til at fore-

tage identificeringen.

Bestemmelsen vil desuden implementere NIS 2-direktivets

artikel 3, stk. 3, hvorefter medlemsstater senest den 17. april

2025 udarbejder en liste over væsentlige og vigtige enhe-

der samt enheder, der leverer domænenavnsregistreringstje-

nester. Medlemsstaterne skal endvidere revidere og, hvor det

er relevant, ajourføre listen med jævne mellemrum, mindst

hvert andet år.

De indsamlede oplysninger efter § 35, stk. 2, vil i relevant

omfang indgå i listen, der udarbejdes til EU-Kommissionen

jf. NIS 2-direktivets artikel 3.

De nærmere regler for hvordan identificeringen af virksom-

hederne og deres systemer og anlæg nærmere vil blive fast-

lagt, jf. den foreslåede bemyndigelse i stk. 3.

Det følger af det foreslåede

stk. 2,

at klima-, energi- og

forsyningsministeren endvidere kategoriserer virksomheder,

deres systemer og anlæg omfattet af loven, der anvendes til

at levere virksomhedernes tjenester.

Formålet med bestemmelsen er, at give hjemmel til klima-,

energi- og forsyningsministeren til at træffe afgørelse om

virksomheders kategorisering og kategorisering af virksom-

hedernes systemer og anlæg som udtryk for en forskellig

kritikaliteten af disse. Dette giver grundlag, for at der kan

differentieres i kritikaliteten af individuelle virksomheder,

deres systemer og anlæg, således at der i de regler der fast-

sættes efter f.eks. § 6-9 og 19, stk. 4, kan fastsættes differen-

tierede krav om foranstaltninger og tilsyn, som tager hensyn

til virksomhedernes kritikalitet for forsyningssikkerheden og

opretholdelse af samfundsvigtige funktioner.

Det bemærkes, at begrebet kategorisering anvendes som

samlebetegnelse for hhv. niveauinddeling og klassificering,

hvor niveauinddeling sker på virksomhedsniveau, mens

klassificering sker på system og anlægs niveau.

Den foreslåede bestemmelse, vil endelig bemyndige klima-

energi-, og forsyningsministeren til at foretage kategorise-

ring af virksomheder, samt deres systemer og anlæg, som

falder uden for anvendelsesområdet af NIS 2- og CER-di-

rektivet. Dette vil være virksomheder, der efter nationalt

ønske er omfattet af loven i fx fjernvarmesektoren.

De nærmere regler, for hvordan kategorisering af virksom-

hederne og deres systemer og anlæg skal ske, vil blive nær-

mere fastlagt, jf. den foreslåede bemyndigelse i stk. 3.

Efter det foreslåede

stk. 3,

fastsætter klima-, energi- og for-

syningsministeren nærmere regler om identifikation og kate-

gorisering af virksomheder og af virksomheders systemer og

anlæg, som anvendes til levering af virksomhedens tjenester

efter stk. 1 og 2.

Formålet med bestemmelsen er at skabe bemyndigelses-

hjemmel for ministeren til at fastsætte de nødvendige regler

om identifikation af visse typer af virksomheder i energisek-

toren, jf. stk. 1, med henblik på, at der vil kunne fastsæt-

tes regler for, hvordan virksomhederne identificeres som

hhv. kritiske enheder og vigtige eller væsentlige enheder

samt fastsættelse af objektive kriterier eller andre regler, der

vil fastsætte, hvilket niveau en virksomhed skal indplaceres

på, og hvilken klasse en virksomheds system eller anlæg

skal tildeles. Dette vil ske for at sikre korrekt implemente-

ring af NIS 2- og CER-direktiverne.

I fastsættelsen af de nærmere regler om identificering og

kategorisering af virksomheder samt net- og informationssy-

stemer og anlæg, herunder dem som falder uden for anven-

delsesområdet af NIS 2- og CER-direktivet, vil følgende

hensyn blive inddraget: 1) den nationale strategi for styrkel-

se af modstandsdygtighed, 2) den nationale risikovurdering

med henblik på kategorisering, 3) om enheden leverer en

eller flere væsentlige tjenester, 4) om enheden opererer og

har sin kritiske infrastruktur beliggende på dansk territorium

og 5) om en hændelse vil have virkning på forsyningssik-

kerheden eller på leveringen af andre væsentlige tjenester i

sektorer i bilag 1 til CER-direktivet, som er afhængige af

denne eller disse væsentlige tjenester.

Bestemmelsen vil således give hjemmel til, at der kan ske

implementering af CER-direktivets artikel 6, stk. 2, i forbin-

delse med fastsættelsen af de nærmere regler for, hvordan

virksomheder identificeres som kritiske enheder.

De nærmere regler om identificering af virksomheder som

kritiske enheder, vil desuden tage hensyn til følgende kriteri-

er: 1) antal brugere, der er afhængige af den væsentlige tje-

neste, som udbydes af den berørte virksomhed, 2) omfanget

af andre i bilaget anførte sektorers og delsektorers afhængig-

hed af den pågældende væsentlige tjeneste, 3) den indvirk-

ning som hændelser kunne have med hensyn til omfang og

varighed på økonomiske og samfundsmæssige aktiviteter,

miljøet, den offentlige sikkerhed eller befolkningens sund-

hed, 4) virksomhedens markedsandel på markedet for den

berørte væsentlige tjeneste eller de berørte væsentlige tjene-

ster, 5) det geografiske område, der kunne blive berørt af en

hændelse, herunder eventuel grænseoverskridende indvirk-

ning, under hensyntagen til den sårbarhed, som er forbundet

med den grad af afsondrethed, der kendetegner visse typer

af geografiske områder, såsom ø-regioner, afsidesliggende

regioner eller bjergområder, og 6) virksomhedens betydning

med hensyn til at opretholde et tilstrækkeligt niveau for den

væsentlige tjeneste under hensyntagen til tilgængelighed af

alternative måder at levere denne væsentlige tjeneste på.

Bestemmelsen vil i denne henseende give hjemmel til, at

der kan ske implementering af CER-direktivets artikel 7,

stk. 1, som opstiller kriterier for, hvornår en hændelse vil

have betydeligt forstyrrende virkninger. At en hændelse vil

have betydeligt forstyrrende virkning vil være et kriterie ved

identifikationen af kritiske enheder.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Endvidere vil bestemmelsen bemyndige klima- energi-, og

forsyningsministeren til at fastsætte regler om, hvornår virk-

somheder anses for væsentlige eller vigtige enheder i hen-

hold til kriterierne i NIS 2-direktivets artikel 3, stk. 1 og 2.

Bemyndigelsen forventes udmøntet ved at fastsætte regler

om, at virksomheder vil være væsentlige enheder, når de er

omfattet af denne lovs § 2, stk. 1 og opfylder en af følgende

kriterier: 1) er den eneste udbyder i en medlemsstat af en

tjeneste, der er væsentlig for opretholdelsen af kritiske sam-

fundsmæssige eller økonomiske aktiviteter, 2) er en tjeneste

hvis forstyrrelse vil kunne have væsentlig indvirkning på

den offentlige sikkerhed eller folkesundheden, 3) er en tje-

neste hvis forstyrrelse vil kunne medføre en væsentlig syste-

misk risiko, navnlig for sektorer, hvor en sådan forstyrrelse

kan have en grænseoverskridende virkning, 4) er kritisk på

grund af sin specifikke betydning på nationalt eller regionalt

plan for den pågældende sektor eller type af tjeneste eller

for andre indbyrdes afhængige sektorer i medlemsstaten, 5)

er identificeret som kritiske enheder i henhold til direktiv

(EU) 2022/2557 (CER-direktivet) eller 6) er identificeret

som operatører af væsentlige tjenester i overensstemmelse

med direktiv (EU) 2016/1148 (NIS 1-direktivet) eller natio-

nal ret inden d. 16. januar 2023.

Bestemmelsen vil i denne henseende endvidere give hjem-

mel til, at der kan ske implementering af NIS-direktivets

artikel 3, stk. 1 og 2, som opstiller samme kriterier.

Det forventes, at bemyndigelsen vil blive brugt til at fastsæt-

te nærmere regler for frekvensen af identificeringen af virk-

somheder, deres systemer og anlæg. Den foreslåede bestem-

melse vil dermed give hjemmel til på bekendtgørelsesniveau

at implementere CER-direktivets artikel 6, stk. 5, 1. pkt.,

hvoraf det fremgår, at medlemsstaterne gennemgår, hvor det

er nødvendigt og under alle omstændigheder mindst hvert

fjerde år, listen over identificerede kritiske enheder. Ligele-

des vil NIS 2-direktivets artikel 3, stk. 3, hvoraf det frem-

går, at listen over væsentlige og vigtige enheder ajourføres

mindst hvert andet år, også kunne implementeres i de nær-

mere fastsatte regler.

Den foreslåede bestemmelse har endvidere til formål at ska-

be bemyndigelseshjemmel til klima- energi-, og forsynings-

ministeren, pga. et nationalt ønske og behov, til at fastsæt-

te de nærmere regler for kategorisering af virksomhederne

samt de systemer og anlæg, de anvender til leveringen af

deres tjeneste.

Det bemærkes, at begrebet kategorisering forsat anvendes

som samlebetegnelse for hhv. niveauinddeling og klassifi-

cering, hvor niveauinddeling sker på virksomhedsniveau,

mens klassificering sker på system og anlægs niveau.

Bestemmelsen forventes i denne henseende udmøntet ved

regler om, at kategoriseringen af virksomheder vil ske ved

at inddele virksomhederne i niveauer på baggrund af forsy-

ningsstørrelse og kritikalitet for forsyningssikkerheden samt

opretholdelsen af samfundsvigtige funktioner. De virksom-

heder, som er mindst kritiske, vil blive indplacet på niveau

1. De virksomheder, som er mest kritiske for forsyningssik-

kerheden og opretholdelsen af samfundsvigtige funktioner

forventes at blive indplaceret på niveau 5.

Kategoriseringen af anlæg og lokationer med betydning for

leveringen af tjenesten vil ske ved at inddele disse i klasser

fra 2-5. Ved klassificeringen forventes de mindst kritiske

anlæg og lokationer at blive indplaceret i klasse 2, mens de

mest kritiske forventes indplaceret i klasse 5.

Endelig vil en række meget små virksomheder, efter den

foreslåede bestemmelse, blive niveauinddelt for sig selv i

det laveste niveau 1 og deres systemer og anlæg vil ikke

blive tildelt en klasse. Dette vil sikre, at der kan fastsættes

regler om, at sådanne virksomheder skal efterleve simplere

beredskabskrav, end hvad der fremgår af direktiverne. De

simplere beredskabskrav vil kunne være krav om en bered-

skabsplan eller kontaktliste og har ikke nærmere sammen-

gæng med CER- eller NIS 2-direktiverne.

Bemyndigelsen forventes at kunne udnyttes dynamisk, såle-

des at der ved udviklinger i energisektoren, f.eks. ift. antal-

let af virksomheder, disses størrelser ift. produktion, antal

af kunder mv., vil kunne tilføjes eller fjernes niveauer og

klasser, hvis der skulle opstå behov for at være mere eller

mindre differentieret i kritikaliteten.

Det forventes, at bemyndigelsen vi blive brugt til at fastsæt-

te regler om niveauinddelingen af virksomheder vil skulle

tage udgangspunkt i, hvilken delsektor virksomheden operer

inden for, og den tjeneste, som virksomheden leverer. Hvis

en virksomhed leverer tjenester i flere delsektorer, fx hvis

den leverer både el og varme, vil virksomheden kun blive

inddelt på ét niveau. Det forventes, at virksomheden vil

blive inddelt i niveauet for den forsyningsart, hvor tjenesten

vil være mest kritisk.

Det forventes desuden, at bemyndigelsen vil blive brugt til

at fastsætte regler om, at virksomhedens samlede betydning

for forsyningssikkerheden og opretholdelse af samfundsvig-

tige funktioner vil have betydning for, hvilket niveau virk-

somheden vil blive inddelt på. Ligeledes vil det have en

betydning, om virksomheden leverer en tjeneste, som påvir-

ker eller kan påvirke andre kritiske sektorer.

Det forventes ligeledes, at bemyndigelsen vil blive brugt til

at fastsætte regler om niveauinddelingen af virksomheder-

nes vil ske ud fra en konkret vurdering med udgangspunkt

i den samlede energimængde, virksomheden kontrollerer,

virksomhedens betydning for energiforsyningen, om virk-

somheden leverer tjenester til andre kritiske sektorer eller

varetager samfundskritiske opgaver.

Det forventes, at bemyndigelsen vil blive brugt til at der

fastsættes regler om, at kategoriseringen af anlæg og syste-

mer sker ved at inddele disse i klasser. Det forventes, at

der ved klassificeringen vil blive taget udgangspunkt i den

tjeneste, som anlægget eller systemer vedrører, mængden af

energi, som de er med til at understøtte, og deres betydning

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

for forsyningssikkerheden eller andre samfundsvigtige funk-

tioner.

Efter bestemmelsen vil der desuden blive fastsat regler om

kategorisering af net- og informationssystemer og anlæg,

som falder uden for anvendelsesområdet af NIS 2- og CER-

direktivet med henblik på, at disse anlæg og systemer kan

blive omfattet af simplere beredskabskrav, end hvad der

fremgår af direktiverne. Sådanne virksomheder vil følgelig

ikke skulle indmeldes til Kommissionen efter NIS 2-direkti-

ets artikel 3, stk. 4 og CER-direktivets artikel 6, stk. 3.

Det forventes, at bemyndigelsen vil blive brugt til at fast-

sætte nærmere regler for frekvensen af kategorisering af

virksomheder, deres systemer og anlæg.

Der henvises i øvrigt til afsnit 3.1 i lovforslagets almindelige

bemærkninger.

Til § 5

Efter § 3, stk. 1, i EPCIP-bekendtgørelsen og vurdering

af behovet for bedre beskyttelse, foretager Energistyrelsen

identifikation af europæisk kritisk infrastruktur. Metoden for

udpegelse fremgår af bekendtgørelsens § 4, stk. 1. Bekendt-

gørelsen er udstedt i medfør af elforsyningsloven, gasforsy-

ningsloven, lov om kontinentalsoklen, offshoresikkerhedslo-

ven og olieberedskabsloven og implementerer EPCIP-direk-

tivet i energisektoren.

EPCIP-bekendtgørelsens §§ 3-8 fastsætter en procedure og

nærmere kriterier for indkredsning af potentiel europæisk

kritisk infrastruktur og eventuel efterfølgende udpegning af

den europæiske kritiske infrastruktur som sådan.

Det følger af EPCIP-bekendtgørelsens § 3, at Energistyrel-

sen foretager identifikation af europæiske kritisk infrastruk-

tur i dialog med operatører af relevante infrastrukturer,

som opfylder nærmere fastsatte tværgående og sektorbase-

rede kriterier og er i overensstemmelse med definitionerne

for ”kritisk infrastruktur” og ”europæisk kritisk infrastruk-

tur”. Metoden for udpegelse fremgår af bekendtgørelsens §

4, stk. 1.

Det følger af den foreslåede § 5,

stk. 1,

at virksomheder be-

tragtes som kritiske enheder af særlig europæisk betydning,

når virksomheden er blevet identificeret som kritisk efter

§ 4, stk. 1, og leverer de samme eller lignende væsentlige

tjenester til eller i seks eller flere medlemsstater.

Formålet med bestemmelsen er at implementere CER-direk-

tivets artikel 17, stk. 1, hvorefter en enhed betragtes som en

kritisk enhed af særlig europæisk betydning, hvis den a) er

blevet identificeret som en kritisk enhed i henhold til direk-

tivets artikel 6, stk. 1 og b) leverer de samme eller lignende

væsentlige tjenester til eller i seks eller flere medlemsstater.

Den første betingelse om at virksomheden skal være identi-

ficeret som kritisk, vil blive opfyldt i forbindelse med identi-

fikation af kritiske virksomheder efter § 4, stk. 1.

Den anden betingelse vil blive opfyldt, når EU-Kommissi-

onen konstaterer, at virksomheden leverer de samme eller

lignende væsentlige tjenester til eller i seks eller flere EU-

medlemsstater efter konsultationsproceduren i CER-direkti-

vets artikel 17, stk. 2, og 3. EU-Kommissionen konsulterer

efter proceduren de kritiske enheder og de kompetente myn-

digheder i de medlemsstater, hvor de pågældende enheder

har oplyst at levere væsentlige tjenester, med henblik på

at undersøge, om enheden leverer de samme eller lignende

væsentlige tjenester i eller til seks eller flere EU-medlems-

stater. EU-Kommissionen vil på den baggrund konstatere,

om den pågældende kritiske virksomhed er at betragte som

en kritisk enhed af væsentlig europæisk betydning og under-

retter Energistyrelsen, der påtænkes som kompetent myndig-

hed for energisektoren i Danmark, samt de kompetente myn-

digheder i de øvrige relevante medlemsstater herom. Klima-,

energi- og forsyningsministeren vil således først kunne iden-

tificere en virksomhed som en kritisk enhed af særlig eu-

ropæisk betydning, når EU-Kommissionen har konstateret,

at betingelserne herfor er opfyldt. Retsvirkningen af, at en

virksomhed er en kritisk enhed af særlig europæisk betyd-

ning vil først indtræde efter underretning af virksomheden

herom efter bestemmelsens stk. 2.

Efter den foreslåede § 5,

stk. 2,

underretter klima-, energi-

og forsyningsministeren virksomheder om, at de betragtes

som kritiske enheder af særlig europæisk betydning i ener-

gisektoren i medfør af reglerne i artikel 17 i Europa-Parla-

mentets og Rådets direktiv (EU) 2022/2557 af 14. december

2022 om kritiske enheders modstandsdygtighed og om op-

hævelse af Rådets direktiv 2008/114/EF (CER-direktivet).

Det følger af bestemmelsen, at klima-, energi- og forsy-

ningsministeren vil underrette virksomheder om, at de be-

tragtes som kritiske enheder af særlig europæisk betyd-

ning. Ministeren vil skulle foretage underretningen, umid-

delbart efter EU-Kommissionen har givet besked om, at en

virksomhed betragtes som en kritisk enhed af særlig euro-

pæisk betydning.

Efter bestemmelsen vil underretningen ske i medfør af reg-

lerne i artikel 17 i Europa-Parlamentets og Rådets direktiv

(EU) 2022/2557 af 14. december 2022 om kritiske enheders

modstandsdygtighed og om ophævelse af Rådets direktiv

2008/114/EF (CER-direktivet).

Retsvirkningerne af, at en virksomhed er en kritisk enhed

af særlig europæisk betydning, vil først indtræde, efter

virksomheden er blevet underrettet herom efter bestemmel-

sen. Forud for underretningen vil virksomheden være orien-

teret herom af EU-Kommissionen i forbindelse med konsul-

tationsproceduren i CER-direktivets artikel 17, stk. 2, og 3,

som beskrevet i bemærkningerne til stk. 1.

Den foreslåede bestemmelse vil implementere CER-direkti-

vets artikel 17, stk. 1, litra c, og artikel 17, stk. 3.

Efter den foreslåede § 5,

stk. 3,

fastsætter klima-, energi- og

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

forsyningsministeren nærmere regler til brug for udpegelsen

af kritiske enheder af særlig europæisk betydning.

Den foreslåede bestemmelse skal ses i sammenhæng med

den foreslåede § 35, stk. 2, om registrerings- og oplysnings-

pligt for virksomheder, som vil sikre informationsgrundlaget

for ministerens identifikation af virksomheder og af kritiske

enheder, der leverer de samme eller lignende væsentlige

tjenester til eller i seks eller flere medlemsstater.

Det forventes, at der på baggrund af bestemmelsen eksem-

pelvis vil blive fastsat nærmere regler om, at relevante virk-

somheder skal underrette Klima-, Energi-, og Forsyningsmi-

nisteriet, såfremt de eller anlæg de ejer leverer væsentlige

tjenester til eller i seks eller flere EU-medlemsstater. I den

forbindelse forventes det, at der vil blive fastsat regler om,

at der ved underretning skal ske oplysning om, hvilke væ-

sentlige tjenester der leveres, og til hvilke EU-medlemssta-

ter der leveres til eller i. Underretning af disse informationer

supplerer således de oplysninger, som virksomheder skal

meddele efter § 35, stk. 2.

På baggrund af de regler der forventes at blive fastsat, vil

det i første omgang være op til de virksomheder, som opfyl-

der kravene for kritiske enheder, at vurdere, om de leverer

væsentlige tjenester til eller i seks eller flere EU-medlems-

stater og derfor er omfattet af underretningspligten. En væ-

sentlig tjeneste er defineret i den foreslåede § 3, stk. 1, nr.

32, som en tjeneste, der er afgørende for opretholdelsen af

vitale samfundsmæssige funktioner, økonomiske aktiviteter,

folkesundhed og offentlig sikkerhed eller miljøet.

Der vil ligeledes kunne blive fastsat nærmere regler om,

hvad der er en væsentlig tjeneste inden for energisektoren,

da dette har betydning for udpegningen af kritiske enheder

af særlig europæisk betydning. Såfremt en virksomhed er i

tvivl om, hvorvidt de måtte levere væsentlige tjenester til

eller i seks eller flere EU-medlemsstater, vil de kunne søge

rådgivning hos Energistyrelsen, der er/vil blive udpeget som

den kompetente myndighed.

Bestemmelsen gennemfører CER-direktivets artikel 17, stk.

2, 1. led, hvorefter medlemsstaterne sikrer, at en kritisk

enhed efter den i direktivets artikel 6, stk. 3, omhandlede

underretning oplyser sin kompetente myndighed, hvis den

leverer væsentlige tjenester til eller i seks eller flere med-

lemsstater. I så fald sikrer medlemsstaterne, at den kritiske

enhed oplyser sin kompetente myndighed om de væsentlige

tjenester, den leverer til eller i disse medlemsstater, og om

de medlemsstater, hvortil eller hvori den leverer sådanne

væsentlige tjenester. Medlemsstaterne underretter uden unø-

digt ophold EU-Kommissionen om identiteten af sådanne

kritiske enheder samt om de oplysninger, de leverer i hen-

hold til nærværende stykke.

Efter den foreslåede § 5,

stk. 4,

kan klima-, energi- og for-

syningsministeren fastsætte nærmere regler om særlige for-

pligtelser for virksomheder, der er eller ejer kritiske enheder

af særlig europæisk betydning.

Formålet med bestemmelsen er at give ministeren bemyndi-

gelse til at fastsætte de nødvendige regler til at implemente-

re visse dele CER-direktivets artikel 18 om gennemførelse

af rådgivende missioner til kritiske enheder af særlig euro-

pæisk betydning, som ikke implementeres efter den foreslå-

ede § 20.

Således forventes det, at bemyndigelsen vil kunne bruges

til at fastsætte regler om, at virksomheden, der er eller

ejer kritiske enheder af særlig europæisk betydning, skal

give oplysninger om, hvilke foranstaltninger der er blevet

gennemført efter den rådgivende missions udtalelse efter

CER-direktivet artikel 18, stk. 4.

Bemyndigelsen vil også kunne bruges til at implementere

eventuelle nødvendige nationale regler til implementering

af den gennemførelsesretsakt, der forventes vedtaget efter

CER-direktivets artikel 18, stk. 6.

Bemyndigelsesbestemmelsen vil også sikre, at der ved større

afhængighed mellem de forskellige systemer på tværs af

EU, kan stilles tidssvarende krav til kritiske enheder af sær-

lig europæisk betydning.

Forså vidt angår de persondataretlige overvejelser, henvises

der til pkt. 4 i de almindelige bemærkninger. Der henvises

i øvrigt til afsnit 3.1. i lovforslagets almindelige bemærknin-

ger.

Til § 6

Det følger af elforsyningslovens § 85 b og § 85 c, at visse

virksomheder med bevilling eller tilladelse til produktion af

elektricitet skal foretage nødvendig planlægning og træffe

nødvendige foranstaltninger for at sikre elforsyningen i be-

redskabssituationer og andre ekstraordinære situationer. Det

samme gælder for Energinet og dennes helejede dattersel-

skaber samt virksomheder, der yder balancering af elsyste-

met. Det følger af gasforsyningslovens § 15 a og § 15 b, at

virksomheder som er bevillingspligtige efter gasforsynings-

lovens § 10 samt Energinet og dennes helejede datterselska-

ber, som foretager gasforsyningsvirksomhed, skal have et

klassisk beredskab og et it-beredskab.

Elforsyningslovens §§ 85 b, stk. 3 og 85 c, stk. 5, og gasfor-

syningslovens §§ 15 a, stk. 3, og 15 b, stk. 5, indeholder

bemyndigelsesbestemmelser om, at klima-, energi- og forsy-

ningsministeren kan fastsætte nærmere regler om klassisk

beredskab og it-beredskabet, herunder regler om organisato-

risk beredskab.

For el- og gassektorerne er de nærmere regler for organisa-

torisk beredskab gennemført i elberedskabsbekendtgørelsen,

naturgasberedskabsbekendtgørelse og it-beredskabsbekendt-

gørelsen.

Det følger blandt andet af bekendtgørelserne, at virksom-

heder i el- og gassektoren skal udpege en beredskabskoor-

dinator og et kontaktpunkt i krisesituationer (operationel

kontakt), ligesom virksomheder med klasse 1 og 2-anlæg

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

efter 11, stk. 1, nr. 1 og 2, skal have en sikringsansvarlig

medarbejder, jf. § 5, stk. 1, i elberedskabsbekendtgørelsen

og § 5, stk. 1, i naturgasberedskabsbekendtgørelsen. Virk-

somhederne skal have en it-beredskabsansvarlig samt sikre,

at der sker koordination mellem det almene beredskab og

it-beredskabet mindst fire gange årligt, jf. § 6, stk. 1 og 3, i

it-beredskabsbekendtgørelsen.

Virksomheder i el- og naturgassektoren skal inden for både

klassisk og it-beredskab derudover blandt andet udarbejde

risiko- og sårbarhedsvurderinger og beredskabsplaner, afhol-

de øvelser med udgangspunkt i beredskabsplanerne og sikre,

at deres medarbejdere modtager den fornødne instruktion og

uddannelse, jf. elberedskabsbekendtgørelsens §§ 6, skt. 1,

og 7, stk. 1, 20 og 21, stk. 1, naturgasberedskabsbekendtgø-

relsens §§ 6, stk. 1, 7, stk. 1, 20 og 21, stk. 1, og it-bered-

skabsbekendtgørelsen §§ 10, stk. 1, og 14, stk. 1, 18 og 19,

stk. 1. Endvidere skal virksomheder etablere procedurer for

leverandørers adgang til forsyningskritiske it-systemer, jf.

it-beredskabsbekendtgørelsens § 24, stk. 2.

Det følger af olieberedskabslovens § 16, stk. 1, at lagrings-

pligtige virksomheder skal foretage nødvendig planlægning

og træffe nødvendige foranstaltninger for at sikre oliefor-

syningen i beredskabssituationer og andre ekstraordinære

situationer. Efter § 16, stk. 3, kan klima-, energi- og for-

syningsministeren fastsætte nærmere regler om beredskabs-

planlægningen efter stk. 1. De nærmere regler er gennemført

i olieberedskabsbekendtgørelsen.

Ifølge olieberedskabsbekendtgørelsens § 5 skal beredskabs-

arbejdet baseres på alle risici, så ledelsen har et samlet risi-

kobillede. Det følger desuden af bekendtgørelsens § 6, at

organisationen skal indrettes, så det sikres, at virksomheden

kan modtage varsler af teknisk karakter med henblik på at

iværksætte relevante tiltag.

Virksomheder og den centrale lagerenhed i oliesektoren

skal blandt andet udarbejde risiko- og sårbarhedsvurderinger

samt beredskabsplaner, sikre at deres beredskabsmedarbej-

dere løbende modtager den fornødne instruktion, uddannelse

og træning, afholde beredskabsøvelser med udgangspunkt i

beredskabsplanerne og etablere procedurer for leverandørers

adgang til forsyningskritisk infrastruktur, jf. olieberedskabs-

bekendtgørelsens §§ 8, stk. 1 og 11, stk. 1, § 12, 13, stk. 1,

og 17, stk. 2.

Der findes i gældende ret ikke regler om fastsættelse af nær-

mere regler om beredskab og it-beredskab for fjernvarme,

fjernkøling og brintsektoren.

Der henvises i øvrigt til afsnit 3.2.1.1 i lovforslagets almin-

delige bemærkninger.

Det foreslås i § 6,

stk. 1,

at virksomheder omfattet af lov-

forslaget skal foretage nødvendig beredskabsplanlægning og

gennemføre passende organisatoriske foranstaltninger for at

beskytte leveringen af deres tjenester og sikre effektiv gen-

oprettelse af deres tjenester.

Formålet med bestemmelsen er at rammesætte de overord-

nede krav til virksomheders modstandsdygtighed og etable-

ringen af et organisatorisk beredskab.

Bestemmelsen vil videreføre gældende ret for så vidt angår

hvem kravene til organisatorisk beredskab vil finde anven-

delse på i medfør af elforsyningsloven, gasforsyningsloven,

varmeforsyningsloven og undergrundsloven. Bestemmelsen

udvider dog samtidig anvendelsesområdet for kravene, idet

kravene efter det foreslåede også vil finde anvendelse på

samtlige virksomheder omfattet af lovforslaget. De virk-

somheder, der i medfør af bestemmelsen som noget nyt

vil blive omfattet af krav til organisatorisk beredskab vil

f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomhe-

der, brintvirksomheder, biogasvirksomheder, virksomheder

der udfører forskellige opgaver i el- og gasmarkedet og

kommercielle virksomheder i downstream oliesektoren, hvis

disse ikke har pligt til at holde olieberedskabslagre.

De nærmere krav vil blive udmøntet i medfør af den foreslå-

ede § 6, stk. 2.

Det foreslås i § 6,

stk. 2,

at klima-, energi- og forsyningsmi-

nisteren, efter forhandling med ministeren for samfundssik-

kerhed og beredskab, fastsætter nærmere regler om bered-

skabsplanlægning og foranstaltninger efter stk. 1, herunder

elementer af organisatorisk beredskab opregnet i stk. 2, nr.

1-12.

Kravene i de regler der forventes fastsat i medfør af den

foreslåede bestemmelse, vil kunne differentieres i intensitet

ift. virksomhedernes niveauinddeling og klassificeringen af

virksomhedernes systemer og anlæg, jf. de regler der for-

ventes udstedt i medfør af lovforslagets § 4, stk. 2. Differen-

tieringen vil således ske ud fra en betragtning om, at en

forstyrrelse af særlig kritiske virksomheders tjenester vil ha-

ve større betydning for samfundet samt ud fra en betragtning

om, at der bør være proportionalitet mellem sikkerhedsef-

fekter og omkostninger forbundet med de konkrete krav.

Ved udmøntningen af bemyndigelsesbestemmelsen forven-

tes det endvidere, at der vil ske en differentiering af, hvilke

virksomheder der skal efterleve de nærmere fastsatte krav,

så de mere kritiske virksomheder skal følge flere elementer

af kravene.

Klima-, energi- og forsyningsministeren skal fastsætte regler

om de nr. 1-12 oplistede emner. Reglerne kan indenfor hvert

emne tilpasses, når det måtte være nødvendigt pga. udvik-

ling i trusselsbilledet mod energisektoren, og når det vurde-

res nødvendigt for at imødegå den teknologiske udvikling i

energisektoren og cybersikkerheden.

Bemyndigelsen forventes udmøntet i en bekendtgørelse, der

blandt andet vil fastsætte nærmere regler for de i nr. 1 - 12

nævnte elementer af organisatorisk beredskab, som beskre-

vet nedenfor.

Det foreslås i § 6, stk. 2,

nr. 1,

at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om ledelsesplig-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

ter, herunder krav om godkendelse af virksomhedens risiko-

og sårbarhedsvurdering samt beredskabsplaner, tilsynsrap-

porter og leverandørkontrakter.

Bestemmelsens formål er at bemyndige klima-, energi- og

forsyningsministeren til at implementere NIS 2-direktivets

krav til væsentlige og vigtige enheders ledelsesorganer samt

til at udvide disse krav til også at omfatte relevante em-

ner udover cybersikkerhedsrisisi, som for eksempel styring

af organisatorisk sikkerhed og fysisk sikring, ud fra en be-

tragtning om, at konsekvensen ved afbrud i leveringen af

de relevante virksomheders tjeneste og omkostninger ved

genopretning er lige kritiske, uagtet om dette skyldes orga-

nisatoriske forhold, manglende fysisk sikring eller cybersik-

kerhed. Denne udvidede bemyndigelse vil endvidere kunne

blive udmøntet ved regler til sikring af en indbyrdes forbin-

delse mellem organisatorisk beredskab, fysisk sikring og

cybersikkerhed, som det i praksis ellers kan være svært at

adskille i forhold til risici.

De nærmere regler om ledelsespligter forventes blandt andet

udmøntet i krav om, at ledelsen aktivt vil skulle forholde

sig til virksomhedens beredskab og niveau af modstands-

dygtighed. Endvidere forventes bestemmelsen for eksempel

at blive udmøntet ved nærmere regler om, at den enkelte

virksomheds ledelse kontinuerligt vil skulle godkende virk-

somhedens beredskabsplaner og risiko- og sårbarhedsvurde-

ringer, herunder bl.a. godkende foranstaltninger for styring

af cybersikkerhedsrisici. Ved udmøntningen af bemyndigel-

sesbestemmelsen vil der herudover blive fastsat regler, der

sikrer, at virksomhedens ledelse vil have et samlet og ajour-

ført billede af beredskabet samt kendte og mulige risici mod

produktion, forsyning eller levering af virksomhedens tjene-

ster.

Udmøntningen af den foreslåede bemyndigelse vil i denne

henseende implementere NIS 2-direktivets artikel 20, stk. 1,

hvorefter medlemsstater sikrer, at de væsentlige og vigtige

enheders ledelsesorganer godkender de foranstaltninger til

styring af cybersikkerhedsrisici, som disse enheder har truf-

fet og fører tilsyn med gennemførelsen af.

Som eksempel på regler, der endvidere forventes fastsat i

medfør af bestemmelsen, udover hvad der følger af NIS

2-direktivet, kan nævnes regler om, at den enkelte virksom-

heds ledelse gøres ansvarlig for foranstaltninger til styring

af organisatorisk sikkerhed, fysisk sikring og cybersikker-

hed. Dette er en udvidelse af NIS 2-direktivets artikel 20,

idet denne udelukkende omhandler styring i forhold til cy-

bersikkerhedsrisici.

Klima-, energi- og forsyningsministeren forventes endvide-

re på baggrund af bestemmelsen, at fastsætte nærmere reg-

ler, der præciserer, at ledelsen har ansvar for at inddrage

sikkerhedshensyn i forbindelse med beslutninger, der vedrø-

rer leverandørkontrakter. Ved leverandørkontrakter forstås

i denne sammenhæng nye projekter samt leverandør- og

serviceaftaler.

Efter den forventede udmøntning af bestemmelsen vil virk-

somheder skulle forholde sig til trusler og sårbarheder i for-

bindelse med fx anlægsprojekter eller systemerhvervelser,

som har potentiale til at påvirke leveringen af virksomhe-

dens tjenester. Det forventes desuden, at der vil blive fastsat

nærmere regler om, at ledelsen skal tage stilling til passen-

de foranstaltninger, der skal mitigere identificerede risici

forbundet med det konkrete projekt eller erhvervelse.

Det følger af den foreslåede § 6, stk. 2,

nr. 2,

at klima-,

energi- og forsyningsministeren efter forhandling med mini-

steren for samfundssikkerhed og beredskab fastsætter nær-

mere regler om, at ledelsesorganer skal tilegne sig viden og

kundskaber inden for risiko- og sårbarhedsstyring.

Den foreslåede bemyndigelse forventes udmøntet ved nær-

mere regler om, at ledelsen skal opbygge viden og kom-

petencer til at træffe kvalificerede beslutninger vedrørende

cybersikkerhed og beredskab. Reglerne vil medføre, at det

vil være ledelsens ansvar at etablere en sikkerhedskultur og

sikre uddannelse i hele organisationen.

Den foreslåede bemyndigelse forventes udmøntet ved nær-

mere regler på bekendtgørelsesniveau, der vil implementere

dele af NIS 2-direktivets artikel 20, stk. 2, hvorefter med-

lemmerne af væsentlige og vigtige enheders ledelsesorganer

er forpligtet til at følge kurser, der gør ledelsen i stand til at

identificere risici og vurdere metoderne til styring af cyber-

sikkerhedsrisici. Den forventede udmøntning vil dog udvide

kravene efter NIS 2-direktivet med henblik på, at ledelsen i

de relevante virksomheder skal kunne identificere risici for-

bundet med både organisatorisk sikkerhed, fysisk sikring og

cybersikkerhed. Dette er en udvidelse af NIS 2-direktivets

artikel 20, idet denne udelukkende omhandler uddannelse og

kurser vedrørende styring i forhold til cybersikkerhedsrisici.

Det følger af den foreslåede § 6, stk. 2,

nr. 3,

at klima-, ener-

gi- og forsyningsministeren, efter forhandling med ministe-

ren for samfundssikkerhed og beredskab, fastsætter nærmere

regler om identifikations- og adgangskontrolpolitikker for

beskyttelse mod uautoriseret adgang.

Den foreslåede bemyndigelse forventes udmøntet ved nær-

mere regler på bekendtgørelsesniveau, der vil implementere

dele af CER-direktivets artikel 13, stk. 1, litra b, hvorefter

kritiske enheder skal sikre tilstrækkelig fysisk beskyttelse af

deres lokaler og kritiske infrastruktur under hensyntagen til

fx adgangskontrol. Reglerne forventes endvidere at imple-

mentere CER-direktivets artikel 13, stk. 1, litra e, hvorefter

kritiske enheder skal sikre passende medarbejdersikkerheds-

styring såsom fastlæggelse af adgangsrettigheder til lokaler,

kritisk infrastruktur og følsomme oplysninger. Desuden vil

de forventede regler implementere NIS 2-direktivets artikel

21, stk. 2, litra i, hvorefter vigtige og væsentlige enheder

skal træffe foranstaltninger om bl.a. personalesikkerhed og

adgangskontrolpolitikker.

Det forventes på baggrund af den foreslåede bestemmelse,

at der vil blive fastsat nærmere regler om, at virksomheder

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

omfattet af loven skal have politikker og procedurer for

identifikation af personel med adgang til virksomhedens an-

læg. Det forventes endvidere, at der vil blive fastsat regler

om, at virksomhederne skal have politikker og procedurer

for at identificere fysiske områder og inddele adgang til

disse områder i zoner som del af en samlet tilgang til fysisk

sikring med henblik på at kunne identificere og verificere,

hvilke personer der må opholde sig i og omkring virksomhe-

dens anlæg.

Det forventes herudover, at der på baggrund af bestemmel-

sen vil blive fastsat nærmere regler om, at virksomheden

skal kunne etablere adgangsstyring baseret på roller og ar-

bejdsbetinget behov med henblik på at sikre klart definerede

regler for, hvilke medarbejdere eller medarbejdergrupper der

kan tilgå forskellige dele af et anlæg eller net- og informa-

tionssystemer. På den baggrund forventes det, at der eksem-

pelvis vil blive fastsat nærmere regler om, at virksomheder-

ne skal have procedurer for, hvordan adgange til kritiske

anlæg og net- og informationssystemer tildeles, ændres og

lukkes for både virksomhedens egne medarbejdere såvel

som for gæster, konsulenter, eksterne samarbejdspartnere og

leverandører.

Det følger af den foreslåede § 6 stk. 2,

nr. 4,

at klima-, ener-

gi- og forsyningsministeren, efter forhandling med ministe-

ren for samfundssikkerhed og beredskab, fastsætter nærmere

regler om udpegelse af personer til at varetage specifikke

beredskabsroller.

Det forventes, at gældende ret for udpegelsen af beredskabs-

roller videreføres i vidt omfang. Dog ændres betegnelsen

it-beredskabsansvarlig til cyberkoordinator, som er et kon-

taktpunkt for kommunikation med myndigheder. Dette er

ikke den samme rolle som det operationelle kontaktpunkt,

som forventes at være døgnbemandet.

Bemyndigelsen forventes udmøntet ved nærmere regler på

bekendtgørelsesniveau, der implementer CER-direktivets ar-

tikel 13, stk. 3, hvorefter medlemsstaterne sikrer, at hver

kritisk enhed udpeger en forbindelsesofficer eller tilsvarende

som kontaktpunkt for de kompetente myndigheder.

Som en udvidelse af CER-direktivets krav vil der efter be-

stemmelsen endvidere kunne blive fastsat regler om roller

vedrørende cyberberedskabet.

Bestemmelsen forventes endvidere udmøntet ved regler om,

at virksomhederne bl.a. vil skulle udpege en beredskabs-

koordinator, en cyberkoordinator, et operationelt kontakt-

punkt og én eller flere sikringskoordinator(er). Det forven-

tes, at disse roller for virksomheder i niveau 4 og 5 efter

reglerne udstedt i medfør af den foreslåede bestemmelse i §

4, stk. 2, ikke vil kunne varetages af samme person.

Det følger af den foreslåede § 6, stk. 2,

nr. 5,

at klima-,

energi- og forsyningsministeren fastsætter nærmere regler

om politikker for informationssystemsikkerhed.

Den foreslåede bemyndigelse forventes udmøntet ved nær-

mere regler på bekendtgørelsesniveau, der vil implementere

dele af NIS 2-direktivets artikel 21, stk. 2, litra a, hvorefter

vigtige og væsentlige enheder skal have politikker for infor-

mationssystemsikkerhed.

Det forventes på baggrund af den foreslåede bestemmelse, at

der vil blive fastsat nærmere regler om, at virksomheder om-

fattet af loven, som del af deres organisatoriske modstands-

dygtighed, skal udarbejde en informationssystemsikkerheds-

politik, der sætter en overordnet ramme for beskyttelse af

virksomhedens informationer, herunder hvordan virksomhe-

den selv forholder sig til relevante aktiviteter for beskyttelse

af anvendte net- og informationssystemer.

Det følger af den foreslåede § 6, stk. 2,

nr. 6,

at klima-,

energi- og forsyningsministeren efter forhandling med mini-

steren for samfundssikkerhed og beredskab fastsætter nær-

mere regler om politikker for og udarbejdelse af risiko- og

sårbarhedsvurderinger, som omfatter nyindkøb, projekter og

etablering af net- og informationssystemer og anlæg.

Bemyndigelsen forventes udmøntet ved nærmere regler på

bekendtgørelsesniveau, der vil implementere dele af NIS 2-

direktivets artikel 21, stk. 2, litra a, hvorefter vigtige og væ-

sentlige enheder skal have politikker for risikoanalyse. Reg-

lerne forventes endvidere at implementere CER-direktivets

artikel 12, stk. 1-2, hvorefter kritiske enheder foretager en

risikovurdering for at vurdere alle relevante risici, der kunne

forstyrre leveringen af deres væsentlige tjenester.

Bemyndigelsen forventes herudover udmøntet ved regler,

der vil implementere artikel 21, stk. 2, litra e, i NIS 2-direk-

tivet om sikkerhed i forbindelse med erhvervelse, udvikling

og vedligeholdelse af net- og informationssystemer. Bemyn-

digelsen går videre end implementering af direktivet, idet

ministeren, efter den foreslåede § 6, stk. 2, nr. 6, vil have

mulighed for at fastsætte regler om både cybersikkerhed

og fysisk sikring i forbindelse med indkøb, projekter og

nyetableringer. Bestemmelsen giver desuden ministeren be-

myndigelse til at fastsætte regler om, at virksomheder skal

foretage risiko- og sårbarhedsvurderinger i forbindelse med

indkøb, projekter og nyetableringer.

På baggrund af bestemmelsen forventes det endvidere, at

der vil blive fastsat nærmere regler om, at virksomheden

skal udarbejde risiko- og sårbarhedsvurderinger, som iden-

tificerer og vurderer risici og sårbarheder i forhold til virk-

somhedens kontinuitet.

Det forventes endvidere, at der fastsættes nærmere regler

om, at risiko- og sårbarhedsvurderingerne og handlingspla-

nerne skal gennemgås med fast interval eller når nye risi-

ci, trusler eller sårbarheder erkendes samt ved væsentlige

ændringer af virksomhedens organisation, kritiske systemer

eller infrastruktur eller ved ændringer i trusselsbilledet. Det

foreslås samtidig, at vurderingen af cybersikkerhedsrisici,

organisatoriske risici og fysiske risici kobles sammen, ved

at virksomhedernes opdateringer af deres risiko- og sårbar-

hedsvurderinger af henholdsvis virksomhedens cybersikker-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

hed og fysiske sikring følger samme kadence for udarbejdel-

se og indsendelse til Energistyrelsen.

Den forventede udmøntning af bestemmelsen vil i vidt om-

fang videreføre gældende ret for udarbejdelse af risiko-

og sårbarhedsvurdering efter elberedskabsbekendtgørelsen,

naturgasberedskabsbekendtgørelsen, olieberedskabsbekendt-

gørelsen og it-beredskabsbekendtgørelsen. Det forventes så-

ledes, at der vil blive fastsat nærmere regler om, at virksom-

hederne vil skulle udarbejde en vurdering af virksomhedens

risici og sårbarheder på baggrund af risiko- og sårbarheds-

scenarier, som Energistyrelsen udarbejder.

Der forventes endvidere fastsat nærmere regler om, at virk-

somhederne, som led i udarbejdelsen af risiko- og sårbar-

hedsvurderinger, skal udarbejde en politik og have en proces

for risikostyring, der skal identificere og vurdere de væsent-

ligste risici for virksomhedens organisation, kritiske net- og

informationssystemer og infrastruktur med henblik på opret-

holdelsen af leveringen af deres tjeneste.

Endeligt forventes der i henhold til bestemmelsen udstedt

nærmere regler om, at virksomhedernes processer for risiko-

styring skal forholde sig til de væsentligste trusler og sårbar-

heder og forankres i organisationen, således at virksomheds-

ledelsen forholder sig til både processerne for risikostyring,

de identificerede risici, samt de foranstaltninger til styring af

risici, som virksomheden iværksætter på baggrund heraf.

Det følger af den foreslåede § 6, stk. 2,

nr. 7,

at klima-, ener-

gi- og forsyningsministeren, efter forhandling med ministe-

ren for samfundssikkerhed og beredskab, fastsætter nærmere

regler om forsyningskædesikkerhed, herunder sikkerhedsre-

laterede aspekter vedrørende forholdene mellem virksomhe-

den og dens direkte leverandører eller tjenesteudbydere.

Bemyndigelsen forventes udmøntet ved nærmere regler på

bekendtgørelsesniveau, der vil implementere NIS 2-direkti-

vets artikel 21, stk. 2, litra d, hvorefter væsentlige og vig-

tige enheder træffer foranstaltninger for forsyningskædesik-

kerhed, herunder sikkerhedsrelaterede aspekter vedrørende

forholdene mellem den enkelte enhed og dens direkte leve-

randører eller tjenesteudbydere. Den foreslåede bestemmel-

se vil desuden danne hjemmel for, at der ved fastsættelse

af nærmere regler på bekendtgørelsesniveau kan ske imple-

mentering af NIS 2-direktivets artikel 21, stk. 3, hvorefter

væsentlige og vigtige enheder tager hensyn til de sårbarhe-

der, der er specifikke for hver direkte leverandør og tjeneste-

udbyder.

På baggrund af den foreslåede bestemmelse vil der blive

fastsat nærmere regler om, at virksomhederne skal etablere

den nødvendige leverandørstyring, herunder at virksomhe-

derne skal iværksætte sikkerhedsrelaterede foranstaltninger

til styring af risici i virksomhedens leverandørkæder.

Den foreslåede bestemmelse indebærer, at der kan fastsættes

nærmere regler om, at virksomhederne skal sikre, at leve-

randører, der varetager opgaver i relation til anlæg, kompo-

nenter og net- og informationssystemer med betydning for

leveringen af tjenesten, overholder samme krav for oprethol-

delse af virksomhedens modstandsdygtighed, som virksom-

heden er underlagt efter den foreslåede lov. Det følger heraf,

at der kan fastsættes regler om, at virksomhederne skal have

politikker og procedurer for kontrol af, at leverandørerne ef-

terlever kravene og opretholder det nødvendige sikkerheds-

niveau i forbindelse med udførelsen af opgaven.

Som følge af bestemmelsen vil ministeren fastsætte nærme-

re regler om, at virksomhederne skal vurdere og håndtere

de risici, der er forbundet med indgåelse af leverandøraf-

taler. Dette vil blandt andet indebære, at virksomhederne

inden indgåelse af en aftale, løbende skal tage stilling til sik-

kerhedsrisici forbundet med kritikaliteten af opgaven eller

leverancen, hvorvidt der sker væsentlige forandringer hos

leverandøren, der kan påvirke leverancen, leverandørernes

villighed til at efterleve kravene i den foreslåede lov og det

aktuelle trusselsbillede.

Det foreslås derudover, at ministeren, efter bestemmelsen,

vil kunne fastsætte nærmere regler om, at leverandører, som

varetager opgaver i relation til anlæg, komponenter og net-

og informationssystemer eller leverandører af net- og infor-

mationssystemer, med betydning for leveringen af tjenesten,

deltager i relevante dele af virksomhedens beredskabsplan-

lægning. Herefter vil ministeren bl.a. kunne fastsætte nær-

mere regler om, at leverandørerne vil skulle deltage i virk-

somhedens arbejde med risiko- og sårbarhedsvurderinger

samt øvelser, der træner de dele af beredskabet, hvor leve-

randørerne har betydning for opretholdelse af leveringen af

virksomhedens tjenester.

Det følger af den foreslåede § 6, stk. 2,

nr. 8,

at klima-, ener-

gi- og forsyningsministeren efter forhandling med ministe-

ren for samfundssikkerhed og beredskab fastsætter nærmere

regler om beredskabsplaner og beredskabsplanlægning for

håndtering af hændelser.

Formålet med bestemmelsen er at bemyndige klima-, ener-

gi- og forsyningsministeren til at fastsætte nærmere regler

for beredskabsplaner og beredskabsplanlægning til brug for

operativ vejledning, når en hændelse bliver varslet eller op-

står. I det omfang, der udarbejdes lignende materiale som

eksempelvis en beredskabsplan efter risikoreguleringen, er

det hensigten, at relevante dele heraf vil kunne genanvendes

til opfyldelse af de relevante beredskabskrav.

Den foreslåede bemyndigelse forventes udmøntet ved nær-

mere regler på bekendtgørelsesniveau, der vil implemen-

tere dele af CER-direktivets artikel 13, stk. 2, hvorefter

medlemsstaterne sikrer, at kritiske enheder har indført og

anvender en plan for modstandsdygtighed eller et eller fle-

re tilsvarende dokumenter. Derudover vil den forventede

udmøntning implementere elementer af NIS 2-direktivets

artikel 21, stk. 2, litra b og c, hvorefter vigtige og væsentlige

enheder skal træffe foranstaltninger, der omfatter håndtering

af hændelser, driftskontinuitet og krisestyring.

Det forventes, at der efter bestemmelsen vil blive fastsat

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

nærmere regler om, at beredskabsplanerne bl.a. skal beskri-

ve virksomhedens krisehåndtering, hvordan virksomhedens

krisehåndteringsorganisation aktiveres, etableres og driftes,

og hvordan der koordineres og udsendes information internt

og eksternt i virksomheden. Desuden forventes det, at der

vil blive fastsat regler, hvorefter virksomhederne skal have

metoder til at sikre, at virksomhederne overholder deres un-

derretnings- og rapporteringsforpligtelser i forbindelse med

en hændelse.

Det foreslås i § 6 stk. 2,

nr. 9,

at klima-, energi- og forsy-

ningsministeren, efter forhandling med ministeren for sam-

fundssikkerhed og beredskab, fastsætter nærmere regler om

øvelsesplanlægning, herunder afholdelse af øvelser og træ-

ning af beredskabsforanstaltninger.

Den foreslåede bemyndigelse forventes udmøntet ved nær-

mere regler på bekendtgørelsesniveau, der vil implementere

CER-direktivets artikel 13, stk. 1, litra f, hvorefter medlems-

staterne sikrer, at kritiske enheder øger bevidstheden blandt

det relevante personale under hensyntagen til øvelser.

NIS 2-direktivet stiller ikke krav om, at vigtige og væsent-

lige enheder afholder øvelser. NIS 2-direktivets artikel 21,

stk. 2, litra c, beskriver i stedet at der skal stilles krav om

tests af enheders planer for driftskontinuitet med henblik

på at sikre deres effektivitet. Klima-, Energi- og Forsynings-

ministeriet vurderer, at øvelser og øvelsesplanlægning efter

den foreslåede bestemmelse dækker over begrebet test i NIS

2-direktivet, hvorfor artikel 21, stk. 2, litra c, også kan im-

plementeres i forbindelse med udstedelsen af de nærmere

regler efter den foreslåede bestemmelse.

På baggrund af bestemmelsen forventes det, at der vil blive

fastsat nærmere regler om, at virksomhederne skal udarbej-

de en øvelsesplan og afholde øvelser efter nærmere fastsatte

kadencer med udgangspunkt i virksomhedens beredskabs-

planer. Det forventes endvidere, at der fastsættes nærmere

regler om revidering af øvelsesplanen, eksempelvis mindst

én gang om året og i forbindelse med særlige sårbarheder

eller væsentlige ændringer i virksomhedens beredskab. Der

forventes også fastsat nærmere regler om, at en evaluering

af en hændelse kan godkendes som en øvelse på øvelses-

planen, hvis hændelsen har afprøvet konkrete forhold i virk-

somhedens beredskab og vurderes at have samme værdi som

en øvelse.

Det forventes endelig, at der vil blive fastsat nærmere regler

om at virksomheden løbende skal sikre, at medarbejdere

modtager den fornødne instruktion og uddannelse i bered-

skab, herunder cybersikkerhed, samt at der stilles krav om,

at virksomheden gennemfører awareness-tiltag om cybersik-

kerhed efter en nærmere fastsat kadence.

Udmøntningen af den foreslåede bemyndigelse forventes

at videreføre gældende ret for øvelsesplanlægning, herun-

der afholdelse af øvelser og træning af beredskabsforanstalt-

ninger, der gælder for virksomheder i el, gas og oliesek-

toren. Dog forventes det som noget nyt, at der vil blive

fastsat nærmere regler om indholdet i øvelsesplanerne, her-

under elementer i beredskabet som skal øves, eksempelvis

krisestyring, mobilisering af ekstra ressourcer og materialer,

henholdsvis intern og ekstern kommunikation, genopretning

af forsyning eller sikring af fortsat drift og iværksættelse af

foranstaltninger i henhold til nyt sektorberedskabsniveau.

Det følger af den foreslåede § 6, stk. 2,

nr. 10,

at klima-,

energi- og forsyningsministeren, efter forhandling med mi-

nisteren for samfundssikkerhed og beredskab, fastsætter

nærmere regler om beredskabstræning, cybersikkerhedsad-

færd- og sikkerhedsuddannelse af ansatte i virksomheden.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, kan ske implementering af CER-direktivets artikel 13,

stk. 1, litra f, hvorefter medlemsstaterne sikrer, at kritiske

enheder øger bevidstheden blandt det relevante personale

under hensyntagen til bl.a. uddannelseskurser og informati-

onsmateriale.

Den foreslåede bestemmelse vil desuden danne hjemmel for,

at der ved fastsættelse af nærmere regler på bekendtgørel-

sesniveau, kan ske implementering NIS 2-direktivets artikel

20, stk. 2, hvorefter ledelsen i vigtige og væsentlige enheder

skal tilskynde deres ansatte at følge kurser, således at de

opnår tilstrækkelige kundskaber og færdigheder til at kunne

identificere risici og vurdere metoderne til styring af cyber-

sikkerhedsrisici. Bestemmelse vil endvidere danne hjemmel

for, at der ved fastsættelse af nærmere regler på bekendtgø-

relsesniveau, kan ske implementering af NIS 2-direktivets

artikel 21, stk. 2, litra g, hvorefter vigtige og væsentlige en-

heder træffer foranstaltninger om grundlæggende cyberhygi-

ejnepraksisser og cybersikkerhedsuddannelse. Det forventes,

at der vil fastsættes nærmere regler, hvorefter virksomheder-

ne stilles krav om at øge sikkerhedsbevidstheden hos med-

arbejderne. Den foreslåede bestemmelse vil medføre, at de

medarbejdere, der deltager i virksomhedens arbejde med be-

redskabsplanlægning, fysisk sikring og sikkerheden i net- og

informationssystemer, skal have tilstrækkelige færdigheder

samt viden til at kunne varetage deres opgaver.

Det forventes herudover, at der vil blive fastsat nærmere

regler om, at medarbejdere skal have kompetence til at

agere sikkerhedsmæssigt forsvarligt i de opgaver, der skal

udføres jf. § 6, stk. 2, nr. 1. Den gældende regulering af

el- og gassektorerne, som stiller krav om at virksomheder-

ne gennemfører awareness-tiltag om it-sikkerhed, forventes

udvidet med krav om, at disse tiltag kan omfatte både cyber-

sikkerhed fx sikker konfigurering af- og test af it-udstyr,

netværk og infrastruktur, cloud-løsninger eller identitets-

og adgangsstyring, såvel som årvågenhed i forhold til fx

spionage, uautoriseret adgang, utilsigtet informationsdeling

og andre forhold, der kan kompromittere forsyningssikker-

heden. De pågældende tiltag skal baseres på medarbejderens

funktion i virksomheden. Den foreslåede ordning vil sikre,

at også medarbejdere med adgang til og på kritiske anlæg og

lokationer, herunder daglig stationsadgang, sikres tilstræk-

kelig viden og sikkerhedsbevidsthed.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Ved udmøntningen af bemyndigelsesbestemmelsen forven-

tes det, at der eksempelvis vil blive fastsat krav om, at med-

arbejdere i relevant omfang skal følge uddannelsesforløb,

samt at virksomheden skal gennemføre awareness-tiltag om

fysisk sikring, cybersikkerhed og beredskab, der øger den

organisatoriske modstandsdygtighed på tværs af virksomhe-

den.

Det følger af den foreslåede § 6, stk. 2,

nr. 11,

at klima-,

energi- og forsyningsministeren, efter forhandling med mi-

nisteren for samfundssikkerhed og beredskab, fastsætter

nærmere regler om kapacitet til at modtage og videreformid-

le advarsler om trusler.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, kan ske implementering dele af NIS 2-direktivets arti-

kel 21, stk. 2, litra e, hvorefter væsentlige og vigtige enheder

træffer foranstaltninger til håndtering og offentliggørelse af

sårbarheder.

På den baggrund forventes der eksempelvis fastsat nærmere

regler om, at virksomheden skal indrette cyberberedskabet

på en måde, der sikrer operationel koordinering af varsler og

alarmer på tværs af virksomhedens forretningsområder og

aktiver. Det forventes blandt andet at indbefatte krav om, at

virksomheden skal have metoder til at identificere sårbarhe-

der, samt at virksomheden skal organisere et beredskab med

evne til at modtage og videreformidle advarsler om trusler

og sårbarheder, der potentielt kan påvirke virksomhedens

evne til at levere deres tjeneste.

Ligeledes foreslås det på baggrund af bemyndigelsesbestem-

melsen, at der vil blive fastsat regler om, at virksomheden

både vil kunne modtage varsler fra samarbejdspartnere, ope-

ratører eller øvrige aktører og videreformidle sådanne data

og information, som en mitigerende foranstaltning for tje-

nesten, samt videregive oplysninger til klima-, energi- og

forsyningsministeren, andre myndigheder og relevante sam-

arbejdspartnere, såsom leverandører og kunder uden unødig

forsinkelse.

Det følger af den foreslåede § 6, stk. 2,

nr. 12,

at klima-,

energi- og forsyningsministeren, efter forhandling med mi-

nisteren for samfundssikkerhed og beredskab, fastsætter

nærmere regler om tilmelding til en it-sikkerhedstjeneste.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, kan implementeres dele af NIS 2-direktivets artikel

21, stk. 2, litra e, hvorefter væsentlige og vigtige enheder

træffer foranstaltninger til sikkerhed i forbindelse med er-

hvervelse, udvikling og vedligeholdelse af net- og informa-

tionssystemer, herunder foranstaltninger til håndtering og

offentliggørelse af sårbarheder. Den foreslåede bestemmelse

vil danne hjemmel for, at der ved fastsættelse af nærmere

regler på bekendtgørelsesniveau, kan ske implementering

den foreslåede bestemmelse NIS 2-direktivets artikel 21,

stk. 2, litra c, hvorefter væsentlige og vigtige enheder træffer

foranstaltninger til bl.a. reetablering og krisestyring. Den

foreslåede bestemmelse går videre end NIS 2-direktivet, idet

der direkte stilles krav om, at virksomhederne skal tilmeldes

en it-sikkerhedstjeneste.

Det forventes på baggrund af den foreslåede bestemmelse,

at der vil blive fastsat nærmere regler om, at virksomheder i

energisektoren indgår aftale om at være tilmeldt en it-sikker-

hedstjeneste. Virksomheden vil herefter skulle være tilmeldt

en it-sikkerhedstjeneste, der yder vejledning om vurdering

og mitigering af sårbarheder. It-sikkerhedstjenesten vil end-

videre skulle give informationer og varsle om relevante it-

sikkerhedstrusler. Supplerende til eksisterende krav foreslås

det, at virksomhedens proaktive indsats skal omfatte viden

om trusler baseret på globale informationer fra anerkendte

kilder, såsom abonnementer på cyber-trusselsfeed, der er

leveret af globale aktører inden for cybersikkerhed. Den

foreslåede bemyndigelsesbestemmelse vil også medføre, at

der skal fastsættes regler om, at virksomheden skal være

tilmeldt en reaktiv it-sikkerhedstjeneste, der bistår virksom-

heden ved nedbrud eller angreb på it-systemer, herunder

assistance til akut skadesbegrænsning, bevisindsamling og

reetablering i akutte sikkerhedsmæssige situationer. Infor-

mation fra it-sikkerhedstjenesten skal kunne videreformidles

til andre virksomheder i energisektoren uden forsinkelse,

såfremt disse oplysninger vurderes at have betydning for

leveringen af andre virksomheders tjenester.

Til § 7

Det følger af elforsyningslovens § 85 b, at visse virksomhe-

der med bevilling eller tilladelse til produktion eller distri-

bution af elektricitet skal have et klassisk beredskab. Det

samme gælder for Energinet og dennes helejede dattersel-

skaber.

Efter elforsyningslovens § 85 b, stk. 4, kan klima-, energi-

og forsyningsministeren fastsætte regler om udførelse af til-

syn med virksomhedernes beredskabsarbejde, herunder om

virksomhedernes fremsendelse af materiale som grundlag

for tilsynet, om tilsynets beføjelser i forhold til virksomhe-

derne og om klageadgang. De nærmere regler er gennemført

i elberedskabsbekendtgørelsen.

Det følger af gasforsyningslovens § 15 a, at virksomheder

som er bevillingspligtige efter gasforsyningslovens § 10,

samt Energinet og dennes helejede datterselskaber, som fo-

retager gasforsyningsvirksomhed, skal have et klassisk be-

redskab.

Efter gasforsyningslovens § 15, a, stk. 4, kan klima-, energi-

og forsyningsministeren fastsætte regler om udførelse af til-

syn med virksomhedernes beredskabsarbejde, herunder om

virksomhedernes fremsendelse af materiale som grundlag

for tilsynet, om tilsynets beføjelser i forhold til virksomhe-

derne og om klageadgang. De nærmere regler er gennemført

i naturgasberedskabsbekendtgørelsen.

Efter elberedskabsbekendtgørelsen og naturgasbekendtgø-

relsen skal virksomhederne udarbejde sikringsplaner, som

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

omfatter kortmateriale, oversigt over anlægs sårbarheder,

m.v., jf. bekendtgørelsernes § 12, stk. 1. Virksomhederne

skal desuden sikre, at anlæg har lav sårbarhed over for

funktionssvigt af offentligt udbudte net og tjenester for elek-

tronisk kommunikation, at anlæg har lav sårbarhed over for

funktionssvigt af væsentlige it-systemer, og at anlæg har

nødstrømsforsyning, som i tilfælde af strømafbrydelse sikrer

anlæggets funktionalitet i perioden frem til strømforsynin-

gens reetablering, jf. bekendtgørelsernes § 13, stk. 1.

Det gælder desuden, at ubemandede anlæg i klasse 1 skal

sikres mod uautoriseret adgang gennem etablering af me-

kaniske og elektroniske sikrings- og overvågningsforanstalt-

ninger, jf. bekendtgørelsernes § 13, stk. 2. Virksomheder

skal desuden etablere et system for styret adgangskontrol til

klasse 1 anlæg, jf. bekendtgørelsernes § 13, stk. 3. Der skal

regelmæssigt og mindst hver måned føres kontrol med den

fysiske sikring af klasse 1 anlæg, hvilket virksomhederne

skal føre en log over, jf. bekendtgørelsernes § 13, stk. 4.

Det følger af olieberedskabslovens § 16, stk. 1, at lagrings-

pligtige virksomheder skal foretage nødvendig planlægning

og træffe nødvendige foranstaltninger for at sikre oliefor-

syningen i beredskabssituationer og andre ekstraordinære

situationer. Efter § 16, stk. 3, kan klima-, energi- og for-

syningsministeren fastsætte nærmere regler, om beredskabs-

planlægningen efter stk. 1.

Ifølge olieberedskabsbekendtgørelsens § 16, stk. 1, skal

virksomhederne og den centrale lagerenhed sikre, at forsy-

ningskritiske anlæg beskyttes i forhold til deres kritikali-

tet. Virksomhederne skal desuden sikre forsyningskritiske

anlæg mod uautoriseret adgang, jf. § 16, stk. 2.

Det følger af den foreslåede § 7,

stk. 1,

at virksomheder

omfattet af lovforslaget skal træffe passende foranstaltninger

for at opretholde nødvendig fysisk sikring af lokationer og

anlæg, der bruges til at levere virksomhedens tjenester, eller

hvorfra drift af net- og informationssystemer finder sted.

Med den foreslåede § 7, stk. 1 rammesættes de overordne-

de krav til virksomhedens fysiske sikring af lokationer og

anlæg, der bruges til at levere virksomhedens tjenester, eller

hvorfra drift af net- og informationssystemer finder sted. De

nærmere krav vil blive fastsat i forbindelse med udmøntnin-

gen af det foreslåede § 7, stk. 2.

Bestemmelsen vil videreføre gældende ret, for så vidt angår

hvem kravene til fysisk sikring vil finde anvendelse på i

medfør af elforsyningsloven, gasforsyningsloven, varmefor-

syningsloven og undergrundsloven. Bestemmelsen udvider

dog samtidig anvendelsesområdet for kravene, idet kravene

efter det foreslåede også vil finde anvendelse på samtlige

virksomheder omfattet af lovforslaget. De virksomheder, der

i medfør af bestemmelsen som noget nyt vil blive omfattet

af krav til fysisk sikring, vil fx være fjernvarmevirksom-

heder, fjernkølingsvirksomheder, brintvirksomheder, bioga-

svirksomheder, virksomheder der udfører forskellige opga-

ver i el- og gasmarkedet og kommercielle virksomheder

i downstream oliesektoren, hvis disse ikke har pligt til at

holde olieberedskabslagre.

Det foreslås i § 7,

stk. 2,

at klima-, energi- og forsynings-

ministeren bemyndiges til at fastsætte nærmere regler om

fysisk sikring.

Bemyndigelsen forventes udmøntet i en bekendtgørelse, der

blandt andet fastsætter nærmere regler for de i nr. 1 – 5

nævnte elementer af fysisk sikring, som beskrevet nedenfor.

Kravene i de regler, der fastsættes i medfør af den foreslåede

bestemmelse, kan differentieres i intensitet ift. virksomhe-

dernes niveauinddeling og klassificeringen af virksomheder-

nes systemer og anlæg, jf. de regler der udstedets i medfør

af lovens foreslåede § 4, stk. 2. Differentieringen vil således

ske ud fra en betragtning om, at en forstyrrelse af særlig kri-

tiske virksomheders tjenester vil have større betydning for

samfundet samt ud fra en betragtning om, at der bør være

proportionalitet mellem sikkerhedseffekter og omkostninger

forbundet med de konkrete krav.

Ved udmøntningen af bemyndigelsesbestemmelsen forven-

tes det endvidere, at der vil ske en differentiering af, hvilke

virksomheder der skal efterleve de nærmere fastsatte krav,

så de mere kritiske virksomheder skal følge flere elementer

af kravene.

Klima-, energi- og forsyningsministeren skal fastsætte regler

om de nr. 1-5 oplistede emner. Reglerne kan indenfor hvert

emne tilpasses, når det måtte være nødvendigt pga. udvik-

ling i trusselsbilledet mod energisektoren og når det vurde-

res nødvendigt for at imødegå den teknologiske udvikling i

energisektoren og cybersikkerheden.

Det foreslås

§ 7 stk. 2,

nr. 1,

at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om fysisk sikring

efter stk. 1, herunder om forhindring af, at hændelser ind-

træffer under behørig hensyntagen til katastroferisikoreduk-

tions- og klimatilpasningsforanstaltninger.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesniveau

vil ske implementering af CER-direktivets artikel 13, stk. 1,

litra a, hvorefter medlemsstaterne sikrer, at kritiske enheder

forhindrer hændelser i at indtræffe under behørig hensynta-

gen til katastroferisikoreduktions- og klimatilpasningsforan-

staltninger.

Ved udmøntningen af bemyndigelsesbestemmelsen forven-

tes det, at der vil blive fastsat regler om, at virksomhederne

skal identificere deres kritiske anlæg og net- og informati-

onssystemer. Det forventes endvidere, at der med bemyndi-

gelsen vil blive fastsat krav til virksomhedernes overblik

over sårbarheder i forhold til naturkatastrofer og ekstreme

vejrforhold, herunder at virksomhederne løbende forholder

sig til risici, der er forbundet med at intensiteten og hyppig-

heden af ekstreme vejrforhold stiger i takt med klimaforan-

dringerne. Det forventes således, at der med bemyndigelsen

vil blive fastsat regler, hvorefter virksomhederne skal iværk-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

sætte foranstaltninger, der tager højde for vurderingen af

de risici, der er forbundet med naturkatastrofer og ekstreme

vejrforhold, og som minimerer risikoen for, at disse hæn-

delser kan forstyrre leveringen af tjenesten. Det forventes

endvidere, at der med bemyndigelsen vil blive fastsat reg-

ler, hvorefter virksomhederne skal tage højde for klimatil-

pasningsforanstaltninger i beslutninger vedrørende hvor og

hvordan anlæg og net- og informationssystemer etableres og

driftes. Ligeledes foreslås på baggrund af bemyndigelsesbe-

stemmelsen, at der vil blive fastsat regler om at beredskabs-

planlægningen i relevant omfang skal vurdere muligheder

for genopretning af leveringen af tjenesten i tilfælde af stør-

re katastrofer og ekstreme vejrforhold.

Ifølge den foreslåede § 7, stk. 2,

nr. 2,

fastsætter klima-,

energi- og forsyningsministeren nærmere regler om fysisk

sikring efter stk. 1, herunder om etablering af foranstaltnin-

ger til overvågning, detektion og reaktion i forbindelse med

uautoriseret adgang til og på anlæg og lokationer.

Den foreslåede bestemmelse vil danne hjemmel for, at

der ved fastsættelse af nærmere regler på bekendtgørelses-

niveau, vil ske implementering af dele af CER-direktivets

artikel 13, stk. 1, litra b, hvorefter kritiske enheder træffer

foranstaltninger til fysisk beskyttelse af deres lokaler og

kritiske infrastruktur under hensyntagen til værktøjer og

rutiner til overvågning af perimetre, detektionsudstyr og ad-

gangskontrol. Den foreslåede bestemmelse går videre end

CER-direktivet, idet der på bekendtgørelsesniveau vil blive

stillet krav om, at virksomhederne desuden skal etablere

overvågning, der kan opdage uautoriseret adgang til net-

og informationssystemer med betydning for leveringen af

tjenesten.

Efter bestemmelsen vil der blandt andet blive fastsat nærme-

re regler om, at virksomheden skal træffe passende tekniske

foranstaltninger og konfigurationer, der sikrer monitorering

og detektion af uautoriseret adgang til net- og informations-

systemer. Det forventes på baggrund af bestemmelsen, at

der vil blive fastsat nærmere regler om, at virksomheden

skal sikre koordination af sikkerhedsniveauet for tekniske

og elektroniske foranstaltninger med fysiske og organisato-

riske sikringsforanstaltninger. Det forventes, at ministeren

også vil fastsætte nærmere regler om brug af videoovervåg-

ning, herunder om elektronisk og fysisk sikring af net- og

informationssystemer, der benyttes til videoovervågning, der

har betydning for leveringen af tjenesten.

Ligeledes forventes det, at der vil blive fastsat regler, hvor-

efter virksomhedernes skal være i stand til at detektere, veri-

ficere og alarmere i tilfælde af utilsigtede hændelser såsom

brand, naturkatastrofer og ekstreme vejrforhold.

De nærmere regler om etablering af foranstaltninger til over-

vågning, detektion og reaktion i forbindelse med uautorise-

ret adgang til og på anlæg og lokationer forventes endvidere

at indeholde krav om, at uautoriseret adgang kan opdages i

realtid, og at virksomhederne skal have fastlagt procedurer

for, hvordan der reageres på forsøg på uautoriseret adgang

til og på lokationer og anlæg med betydning for leveringen

af tjenesten. I denne sammenhæng kan den nødvendige

overvågning og detektion fx omfatte en kombinationen af

kamera, sensorer, alarmer, hegn, vagtordninger eller lignen-

de foranstaltninger. Det forventes på baggrund af bestem-

melsen, at der vil blive fastsat regler om reaktionstid.

Det forventes endvidere, at der på baggrund af bestemmel-

sen, vil blive fastsat nærmere regler om, at virksomheden

skal træffe passende tekniske foranstaltninger og konfigura-

tioner, der sikrer monitorering og detektion af uautoriseret

adgang til net- og informationssystemer. Ved udmøntningen

af bestemmelsen vil der herefter blive stillet krav om, at

uautoriseret adgang til anlæg eller komponenter med net-

værksadgang skal kunne opdages i realtid. Det forventes

herudover, at der vil blive fastsat nærmere regler om, at

virksomheden skal sikre koordination af sikkerhedsniveauet

for tekniske og elektroniske foranstaltninger med fysiske og

organisatoriske sikringsforanstaltninger. Det forventes ende-

ligt, at der vil blive fastsat nærmere regler om brug af fx vi-

deoovervågning, herunder om elektronisk og fysisk sikring

af net- og informationssystemer, der benyttes til videoover-

vågning, der har betydning for leveringen af tjenesten.

Det foreslås i § 7 stk. 2,

nr. 3,

at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om fysisk sikring

efter stk. 1, herunder om tilstrækkelig fysisk sikring af virk-

somhedens anlæg og lokationer, herunder kontrolrum og

kontrolrummets arbejdsstationer.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, vil ske implementering af af CER-direktivets artikel

13, stk. 1, litra b, hvorefter kritiske enheder sikrer tilstræk-

kelig fysisk beskyttelse af deres lokaler og kritiske infra-

struktur under behørig hensyntagen til fx hegn, barrierer,

værktøjer og rutiner til overvågning af perimetre.

På baggrund af bestemmelsen forventes der fastsat nærmere

regler om, at tilstrækkelig fysiske sikring vil skulle etable-

res, uanset om der er tale om anlæg, der allerede er i drift,

er projekterede eller er under etablering. Fysisk sikring vil

efter bestemmelsen skulle forstås som perimeter-, skal- og

cellesikring. Det forventes således, at der vil blive nærmere

regler om krav til sikring af de ydre grænser rundt om an-

lægget, sikring af anlægget, herunder anlæggets bygninger

og ydre mure, og sikring af udvalgte rum eller komponen-

ter. Ved udmøntningen af bemyndigelsesbestemmelsen vil

der blive fastsat krav til sammenhæng mellem virksomhe-

dernes fysiske sikring af anlæg og lokationer og de krav

til overvågnings- og detektionsforanstaltninger, der vil blive

fastsat ved udmøntningen af lovforslagets § 7 stk. 2, nr. 2.

Efter bestemmelsen, vil klima-, energi- og forsyningsmini-

steren endvidere skulle fastsætte nærmere regler om, at

anlæg og komponenter med netværksadgang til net- og

informationssystemer, der har betydning for leveringen af

tjenesten, skal have tilstrækkelig fysisk sikring. Der vil blive

fastsat regler på baggrund af bestemmelsen, hvorefter virk-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

somhederne skal sikre, at der er tilstrækkelig afskærmning

af anlæg, lokationer og komponenter for visuel eksponering,

således at uvedkommende ikke kan få adgang til eller ind-

blik i informationer, der har betydning for leveringen af

virksomhedens tjenester.

Den foreslåede bestemmelse gælder anlæg, lokationer og

komponenter, der er i drift såvel som anlæg, lokationer

og komponenter, der er projekterede eller er under etable-

ring. Der vil blive fastsat regler på baggrund af bestemmel-

sen, hvorefter virksomhederne skal sikre, at deres anlæg og

net- og informationssystemer ikke kompromitteres inden de

er idriftsat og dermed har indbyggede sårbarheder. Således

vil den forventede udmøntning af bestemmelsen indeholde-

krav om, at virksomhederne allerede under projekteringen

vil skulle forholde sig til fysiske sikkerhedsrisici og cyber-

sikkerhedsrisici og mitigere disse i relevant omfang. Det

forventes herudover, at der vil blive fastsat nærmere regler

om, at virksomhederne skal have tilstrækkelig fysisk sikring

samt overvågnings- og detektionsforanstaltninger ved og

omkring de anlæg og lokationer, der benyttes ved en reloke-

ring af kontrolrum eller serverrum.

Det foreslås i § 7, stk. 2,

nr. 4,

at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om fysisk sikring

efter stk. 1, herunder om håndtering af hændelser og genop-

retning efter hændelser.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, vil ske implementering af CER-direktivets artikel 13,

stk. 1, litra c, hvorefter kritiske enheder skal være i stand til

at reagere på, modstå og afbøde følgerne af hændelser under

behørig hensyntagen til gennemførelsen af risiko- og krises-

tyringsprocedurer og -protokoller samt varslingsrutiner. Den

foreslåede bestemmelse vil danne hjemmel for, at der ved

fastsættelse af nærmere regler på bekendtgørelsesniveau kan

ske implementering af CER-direktivets artikel 13, stk. 1, li-

tra d, hvorefter kritiske enheder skal træffe foranstaltninger,

der sikrer genopretning efter hændelser under behørig hen-

syntagen til forretningskontinuitetsforanstaltninger og iden-

tifikation af alternative forsyningskæder.

På baggrund af bemyndigelsesbestemmelsen forventes der

fastsat nærmere regler om virksomhedernes hændelseshånd-

tering. Eksempelvis vil reglerne indeholde krav til planer

og procedurer for, hvordan virksomhederne håndterer en

hændelse. Endvidere vil reglerne indeholde krav til virksom-

hedernes planer for, hvordan de forebygger hændelser, hvor-

dan de opdager, analyserer og varsler hændelser, og hvordan

de inddæmmer eller reagerer på og reetablerer sig efter en

hændelse. Et yderligere eksempel på krav der vil skulle

fastsættes efter den foreslåede bestemmelse, er krav om at

virksomhederne skal have procedurer, der sikrer integriteten

og den fysiske beskyttelse af virksomhedens anlæg i tilfælde

af både tilsigtede og utilsigtede hændelser med henblik på,

at leveringen af tjenesten videreføres.

Ved udmøntningen af den foreslåede bestemmelse vil der

endvidere blive fastsat regler, hvorefter virksomhederne skal

have etableret procedurer og foranstaltninger, der sikrer at

virksomhederne hurtigst muligt kan genoprette leveringen af

tjenesten i tilfælde af, at en hændelse har haft forstyrrende

indvirkning. Det forventes endvidere, at der vil fastsættes

krav om, at virksomhedernes procedurer for genopretning

skal bygge på virksomhedernes egen identifikation af kriti-

ske anlæg og komponenter og deres fysiske sårbarheder. På

baggrund af bestemmelsen forventes det således, at der vil

blive fastsat nærmere regler om, at virksomhederne skal

have overblik over tilgængeligheden af reservedele og iden-

tificere alternative forsyningskæder, der kan sikre, at leve-

ringen af tjenesten genoprettes.

Det foreslås i § 7 stk. 2,

nr. 5,

at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om fysisk sikring

efter stk. 1, herunder om medarbejdersikkerhedsstyring.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, vil ske implementering af CER-direktivets artikel 13,

stk. 1, litra c, hvor efter passende medarbejdersikkerhedssty-

ring skal sikres under behørig hensyntagen til foranstaltnin-

ger såsom fastsættelse af kategorier af personale, der udøver

kritiske funktioner, fastlæggelse af adgangsrettigheder til

lokaler, kritisk infrastruktur og følsomme oplysninger og

fastsættelse af procedurer for baggrundskontrol.

På baggrund af bestemmelsen vil der blive fastsat regler

med krav til virksomhedernes politikker og systemer for

styret adgangskontrol, der vil forpligte virksomhederne til

at tage stilling til, hvilke medarbejdere, herunder eksterne,

der vil have adgang til hvilke dele af anlægget samt hvilke

medarbejdere, herunder eksterne, der vil have fysisk adgang

til net- og informationssystemer. Endvidere forventes regler-

ne at indeholde krav om logning af denne adgang, samt

om løbende kontrol med, at adgangskontrollen virker efter

hensigten. Med den foreslåede bestemmelse vil der endvide-

re blive fastsat regler, hvorefter virksomhederne skal sikre

sammenhæng mellem medarbejderstyringen efter denne be-

stemmelse og bestemmelsen om autentificering og adgangs-

beskyttelse af net- og informationssystemer, jf. den foreslåe-

de § 8 stk. 2, nr. 9.

Til § 8

Det følger af elforsyningslovens § 85 c, at visse virksomhe-

der med bevilling eller tilladelse til produktion af el skal

have et it-beredskab. Det samme gælder for Energinet og

dennes helejede datterselskaber, samt virksomheder der yder

balancering af elsystemet.

It-beredskabsbekendtgørelsen stiller blandt andet krav til

virksomhedernes it-beredskabsplanlægning, jf. § 14. Virk-

somhederne skal således identificere forsyningskritiske it-

systemer samt afhængigheden af andre systemer, beskrive

forebyggende foranstaltninger til at imødegå utilsigtede it-

hændelser, herunder muligheden for segmentering af it-in-

frastruktur og alternative driftsformer. Virksomheder, der

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

anvender fjernadgang til forsyningskritisk it, skal have en

plan for, hvordan angreb på disse systemer opdages og

håndteres. Derudover skal bl.a. den interne ansvarsplace-

ring under krisestyring, ansvaret for systemansvar for for-

syningskritiske it-systemer, kommunikation med Energinet

eller Energistyrelsen og virksomhedens it-sikkerhedstjeneste

beskrives. Planerne skal endvidere beskrive procedurer for

alternativ drift, genopretning af forsyningskritiske it-syste-

mer, planer for dokumentation og opfølgning på hændelser

samt beskrivelse af den operative ansvarsdeling mellem

virksomheden og dens samarbejdsparter. It-beredskabspla-

nerne skal herudover være en del af virksomhedens samlede

beredskabsplanlægning.

Ifølge it-beredskabsbekendtgørelsens § 23, stk. 1, skal virk-

somhederne sikre, at den fysiske opbevaring af forsynings-

kritiske it-systemer beskyttes i forhold til deres kritikali-

tet for forsyningen på nationalalt, regionalt eller lokalt ni-

veau. Virksomhederne skal desuden sikre forsyningskritiske

systemer mod uautoriseret adgang, jf. § 23, skt. 1.

Det følger af it-beredskabsbekendtgørelsens § 25, at virk-

somhederne skal være tilmeldt en proaktiv it-sikkerhedstje-

neste, der yder vejledning og mitigering af sårbarheder samt

giver informationer og varsler om it-sikkerhedstrusler. Der-

udover skal de mest forsyningskritiske virksomheder være

tilmeldt en reaktiv it-sikkerhedstjeneste, der bistår virksom-

heden ved nedbrud eller angreb på it-systemer. Hertil kom-

mer at virksomhederne skal sikre, at oplysninger, der har

sikkerhedsmæssig betydning for andre virksomheder i ener-

gisektoren, kan viderebringes til disse, samt at oplysninger,

der tilvejebringes gennem en it-sikkerhedstjeneste, skal kun-

ne videreformidles til andre virksomheder.

Det følger af olieberedskabslovens § 16, stk. 1, at lagrings-

pligtige virksomheder skal foretage nødvendig planlægning

og træffe nødvendige foranstaltninger for at sikre oliefor-

syningen i beredskabssituationer og andre ekstraordinære

situationer. Efter § 16, stk. 3, kan klima-, energi- og for-

syningsministeren fastsætte nærmere regler om beredskabs-

planlægningen efter stk. 1.

Ifølge olieberedskabsbekendtgørelsens § 16, stk. 1, skal

virksomhederne og den centrale lagerenhed sikre, at forsy-

ningskritiske it-systemer beskyttes i forhold til deres kritika-

litet. Virksomhederne skal desuden sikre forsyningskritiske

it-systemer mod uautoriseret adgang, jf. § 16, skt. 2.

Det følger af den foreslåede § 8,

stk. 1,

at virksomheder om-

fattet lovforslaget skal foretage nødvendig planlægning og

træffe passende cybersikkerhedsforanstaltninger for at sikre

beskyttelsen af net- og informationssystemer, der bruges til

at levere virksomhedens tjenester.

Med den foreslåede bestemmelse rammesættes de overord-

nede krav til virksomhedens cybersikkerhed herunder cyber-

beredskabsforanstaltninger. De nærmere krav vil blive fast-

sat i forbindelse med udmøntningen af det foreslåede § 8,

stk. 2.

Bestemmelsen vil videreføre gældende ret for så vidt angår

hvem kravene til cybersikkerhed vil finde anvendelse på i

medfør af elforsyningsloven, gasforsyningsloven, varmefor-

syningsloven og undergrundsloven. Bestemmelsen udvider

dog samtidig anvendelsesområdet for kravene, idet kravene

efter det foreslåede også vil finde anvendelse på samtlige

virksomheder omfattet af lovforslaget. De virksomheder, der

i medfør af bestemmelsen som noget nyt vil blive omfattet

af krav til cybersikkerhed, vil fx være fjernvarmevirksom-

heder, fjernkølingsvirksomheder, brintvirksomheder, bioga-

svirksomheder og virksomheder, der udfører forskellige op-

gaver i el- og gasmarkedet og kommercielle virksomheder

i downstream oliesektoren, hvis disse ikke har pligt til at

holde olieberedskabslagre.

Det foreslås i § 8,

stk. 2,

at klima-, energi- og forsynings-

ministeren, efter forhandling med ministeren for samfunds-

sikkerhed og beredskab, fastsætter nærmere regler om cy-

bersikkerhedsforanstaltninger efter stk. 1. Bemyndigelsen

forventes udmøntet i en bekendtgørelse, hvor der vil blive

fastsat nærmere regler for de i nr. 1-11 nævnte elementer af

cybersikkerhed og cyberberedskab, som beskrevet nedenfor.

Kravene i de regler, der fastsættes i medfør af den foreslåede

bestemmelse, kan differentieres i intensitet ift. virksomhe-

dernes niveauinddeling og klassificeringen af virksomheder-

nes systemer og anlæg jf. de regler der udstedets i medfør

af lovens foreslåede § 4, stk. 2. Differentieringen vil således

ske ud fra en betragtning om, at en forstyrrelse af særlig kri-

tiske virksomheders tjenester vil have større betydning for

samfundet samt ud fra en betragtning om, at der bør være

proportionalitet mellem sikkerhedseffekter og omkostninger

forbundet med de konkrete krav.

Ved udmøntningen af bemyndigelsesbestemmelsen forven-

tes det, at der vil ske en differentiering af, hvilke virksomhe-

der der skal efterleve de nærmere fastsatte krav, så de mere

kritiske virksomheder skal følge flere elementer af kravene.

Klima-, energi- og forsyningsministeren skal fastsætte regler

om de stk. 2, nr. 1-11 oplistede emner. Reglerne kan inden-

for hvert emne tilpasses, når det måtte være nødvendigt

pga. udvikling i trusselsbilledet mod energisektoren og når

det vurderes nødvendigt for at imødegå den teknologiske

udvikling i energisektoren og cybersikkerheden.

Det foreslås i § 8, stk. 2,

nr. 1,

at klima-, energi- og forsy-

ningsministeren, efter forhandling med ministeren for sam-

fundssikkerhed og beredskab, fastsætter nærmere regler for

cybersikkerhedsforanstaltninger efter stk. 1, herunder om

forvaltning af net- og informationssystemer og passende

teknisk sikkerhed til beskyttelse af enheder med adgang til

virksomhedens netværk.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, vil ske implementering af dele af NIS 2-direktivets

artikel 21, stk. 2, litra i, hvorefter vigtige og væsentlige

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

enheder skal træffe passende foranstaltninger til forvaltning

af aktiver.

Det forventes på baggrund af bestemmelsen, at der vil blive

fastsat nærmere regler med krav til virksomheders overblik

over deres aktiver, der vil medføre forpligtelser til at etable-

re og ajourføre et samlet overblik over blandt andet deres

net- og informationssystemer, anlæg, tilhørende komponen-

ter samt kritiske afhængigheder mellem disse og eventuelle

samarbejdspartnere.

Det forventes endvidere, at der vil blive fastsat nærmere

regler om, at virksomhederne skal etablere den nødvendige

sikring af de identificerede aktiver, samt om at sikkerheds-

niveaet opretholdes i hele aktivets levetid fra erhvervelse

til dekommissionering gennem blandt andet risikobaseret

styring af opdateringer af software.

Endvidere forventes der at blive fastsat regler om, at virk-

somheder skal have et ajourført overblik over virksomhe-

dens internetvendte enheder, brugerkonti med privilegerede

rettigheder og informationsstrømme som understøtter virk-

somhedernes levering af deres tjenester.

Det foreslås i § 8, stk. 2,

nr. 2,

at klima-, energi- og forsy-

ningsministeren, efter forhandling med ministeren for sam-

fundssikkerhed og beredskab, fastsætter nærmere regler for

cybersikkerhedsforanstaltninger efter stk. 1, herunder om

etablering af netværks- og infrastruktursikkerhed samt prin-

cipper for netværksarkitektur og -topologi med henblik på

at minimere risici for virksomhedens net- og informations-

systemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, vil ske implementering af NIS 2-direktivets artikel 21,

stk. 2, litra c, hvorefter vigtige og væsentlige enheder træffer

passende foranstaltninger for driftskontinuitet. Den foreslåe-

de bestemmelse vil desuden danne hjemmel for, at der ved

fastsættelse af nærmere regler på bekendtgørelsesniveau,

kan ske implementering af artikel 21, stk. 2, litra g, som

vedrører grundlæggende cyberhygiejnepraksisser. De regler,

der forventes udformet i bekendtgørelsen på baggrund af

den foreslåede § 8, stk. 2, nr. 2, vil gå videre end NIS

2-direktivet, idet der forventes at blive stillet krav om, at

virksomheder skal etablere bl.a. netværkssegmentering.

Det forventes, at der på baggrund af bestemmelsen vil bli-

ve fastsat nærmere regler med krav til virksomhedernes

procedurer for opbygning af netværksinfrastruktur, der vil

muliggøre det nødvendige sikkerhedsniveau i forhold til net-

værkets kritikalitet for leveringen af tjenesten. Det forven-

tes derudover, at der vil blive fastsat regler med krav om,

at virksomhedernes netværksinfrastruktur skal muliggøre ef-

fektiv monitorering.

På baggrund af bestemmelsen forventes det endvidere, at

der vil blive fastsat regler om, at virksomheder skal etablere

passende tekniske foranstaltninger i netværksarkitekturen,

med henblik på at netværksinfrastrukturen opdeles i forskel-

lige netværkssegmenter og med zoner mellem netværk. Op-

delingen af netværksinfrastrukturen i netværkssegmenter

skal særligt yde beskyttelse af virksomhedens industrielle

kontrolsystemer. Den foreslåede ordning vil bl.a. skulle sik-

re, at datakommunikation mellem netværk kan begrænses og

kontrolleres. Ligeledes vil der på baggrund af bestemmelsen

blive fastsat nærmere regler om segmentering af netværk på

en måde, der muliggør relevante sikkerhedstiltag inden for

de forskellige segmenter.

Ved udmøntningen af bemyndigelsesbestemmelsen vil der

blive fastsat nærmere regler om etablering af fysiske eller

logiske undernetværk såsom demilitariserede netværkszoner

(DMZ), således at datatrafik fra usikre netværk eller admi-

nistrative netværk ikke deler udstyr med eller terminerer

direkte i netværk med fx industrielle kontrolsystemer. På

den baggrund forventes der endvidere fastsat nærmere regler

hvorefter netværksarkitekturen skal opbygges på en måde,

der sikrer barrierer mellem produktionsmiljøer og øvrige

miljøer, herunder, men ikke afgrænset til, test- og udvik-

lingsmiljøer.

Det foreslås i § 8, stk. 2,

nr. 3,

at klima-, energi- og forsy-

ningsministeren, efter forhandling med ministeren for sam-

fundssikkerhed og beredskab, fastsætter nærmere regler for

cybersikkerhedsforanstaltninger efter stk. 1, herunder om

sikkerhedskrav til geografisk placering af drift af net- og

informationssystemer.

Formålet med bestemmelsen er, at kritiske systemer af be-

tydning for energiforsyningen vil blive underlagt EU/EØS-

jurisdiktion, og at der ikke vil kunne skabes afhængigheder,

som kan sætte energiforsyningen under pres, fx i tilfælde

af en ændret geopolitisk situation. Bestemmelsen vil således

ikke indebære et generelt forbud mod outsourcing af opga-

ver eller brug af eksempelvis cloud- og AI-tjenester.

Det foreslås på baggrund af bestemmelsen, at der vil blive

fastsat nærmere regler om, at outsourcing til leverandører

skal ske på baggrund af en risikovurdering, der iagttager

væsentlige risici forbundet herved, og inddrager geopoliti-

ske, organisatoriske og fysiske risici samt cybersikkerhedsri-

sici. Som led heri foreslås det, at virksomhederne bl.a. vil

skulle forholde sig til efterretningstjenesternes trusselsvur-

deringer.

Der forventes bl.a. at blive fastsat nærmere regler med krav

om, at anlæg og net- og informationssystemer med betyd-

ning for leveringen af tjenesten, herunder behandling af da-

ta, vil skulle være placeret i EU/EØS eller i et tredjeland,

som EU-Kommissionen har truffet tilstrækkelighedsafgørel-

se om, jf. artikel 45 i forordning 2016/679/EU (databeskyt-

telsesforordningen).

Det forventes på baggrund af bestemmelsen, at der vil bli-

ve fastsat nærmere regler om, at virksomheders med kon-

trolrum og nødkontrolrum der er placeret uden for dansk

territorium, men bruges til overvågning og drift af dansk

energiinfrastruktur omfattet af dette lovforslag, skal have

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

mulighed for, i tilfælde af en hændelse, at relokere til et

kontrolrum beliggende på dansk territorium med komplet

driftsfunktionalitet.

Der forventes endvidere, at der vil blive fastsat nærmere

regler om hvorfra, der kan ydes service og vedligehold til

virksomheder omfattet af lovforslaget samt regler om hvor-

fra, der må kunne opnås fjernadgang til net- og informati-

onssystemer med betydning for leveringen af tjenesten.

Det foreslås i § 8 stk. 2,

nr. 4,

at klima-, energi- og forsy-

ningsministeren, efter forhandling med ministeren for sam-

fundssikkerhed og beredskab, fastsætter nærmere regler for

cybersikkerhedsforanstaltninger efter stk. 1, herunder om

sikkerhed i forbindelse med erhvervelse, udvikling og vedli-

geholdelse af net- og informationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, vil ske implementering af dele af NIS 2-direktivets

artikel 21, stk. 2, litra e, hvorefter vigtige og væsentlige

enheder træffer passende foranstaltninger til sikkerhed i for-

bindelse med erhvervelse, udvikling og vedligeholdelse af

net- og informationssystemer.

Det forventes på baggrund af bestemmelsen, at der blandt

andet vil blive fastsat nærmere regler med passende krav

om, at virksomheder skal sørge for at opretholde et passen-

de sikkerhedsniveau og sikkerhedsprocedurer i forbindelse

med erhvervelse, udvikling og vedligeholdelse af net- og

informationssystemer. Der vil eksempelvis kunne fastsættes

krav, der vil forpligte virksomheder til at etablere relevante

sikkerhedsforanstaltninger, i deres net- og informationssy-

stemers fulde levetid, herunder i projektfaser.

Dette vil desuden indebære, at der ville skulle foretages vur-

deringer af, om der opretholdes det nødvendige sikkerheds-

niveau. Ligeledes forventes der fastsat nærmere regler, hvor-

efter virksomhederne løbende skal vurdere sikkerhedsrisici

og iværksætte foranstaltninger til at mitigere risici. Dette

gælder fx ved sammenlægning eller opkøb af virksomheder,

ved udbud og licitationer, ved indkøb af net- og informati-

onssystemer, ændringer i systemløsninger eller i forbindelse

med anlægsprojekter.

Derudover forventes der ved udmøntningen af bestemmel-

sen fastsat krav om, at virksomheder skal sikre, at sikkerhed

er integreret i udviklingsdesignet fra begyndelsen, samt at

der sker tilstrækkelig adskillelse mellem net- og informati-

onssystemer, der har betydning for leveringen af tjenesten,

og øvrige miljøer såsom udviklings- og testmiljøer. Der vil

således blive fastsat nærmere regler om, hvorvidt denne ad-

skillelse af miljøer skal være fysisk eller logisk.

Det foreslås i § 8 stk. 2,

nr. 5,

at klima-, energi- og forsy-

ningsministeren, efter forhandling med ministeren for sam-

fundssikkerhed og beredskab, fastsætter nærmere regler for

cybersikkerhedsforanstaltninger efter stk. 1, herunder om

backup-styring og genopretning af net- og informationssy-

stemer til sikring af driftskontinuitet for leveringen af tjene-

sten.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, vil ske implementering af dele af NIS 2-direktivets

artikel 21, stk. 2, litra c, hvorefter vigtige og væsentlige

enheder træffer passende foranstaltninger om driftskontinui-

tet såsom backup-styring og reetablering efter en katastro-

fe. Med bestemmelsen anvendes muligheden efter NIS 2-di-

rektivets artikel 21, stk. 2, litra b, for at stille krav om, at

enheder skal etablere logning.

Det forventes på baggrund af bestemmelsen, at der vil blive

fastsat regler med krav til virksomhedernes tolerancemål

i relation til genopretning og driftskontinuitet for de identi-

ficerede net- og informationssystemer. Reglerne vil eksem-

pelvis indeholde krav til virksomhedernes udarbejdelse af

tekniske genoprettelsesplaner, samt til virksomhedernes test

af, om genopretning er mulig og fungerer efter hensigten på

baggrund af backup-kopien.

Der forventes endvidere fastsat nærmere regler om, at virk-

somhederne vil skulle kunne relokere til fuldt funktions-

dygtige nødkontrolrum, der oppebærer samme redundante

driftskapacitet og sikkerhedsniveau for fysisk sikring og cy-

bersikkerhed som kontrolrum, der benyttes i daglig drift,

herunder at fuldt kompetent personale relokeres og uden for-

sinkelse kan starte op og varetage tilsvarende opgaveudfø-

relse. I denne sammenhæng vil der kunne blive fastsat nær-

mere regler om, at virksomheden skal iagttage behovet for

redundante administrative arbejdspladser og cybersikkerhed

i forbindelse med, at opgaveudførsel er flyttet. Dette vil

bl.a. indebære, at sikringsplaner tager højde for både opret-

holdelse af operationel nøddrift og sikkerhed for forskellige

personalegrupper.

Der forventes endvidere fastsat nærmere regler, hvorefter

virksomheder skal kunne etablere foranstaltninger, der mu-

liggør dekobling af net- og informationssystemer fra inter-

nettet, eller som muliggør isolering af internt kontrollerede

netværk, eller at virksomheden på anden vis kan inddæmme

eller afslutte datakommunikation eller afbryde adgang til

net- og informationssystemer.

Det foreslås i § 8 stk. 2,

nr. 6,

at klima-, energi- og forsy-

ningsministeren, efter forhandling med ministeren for sam-

fundssikkerhed og beredskab, fastsætter nærmere for cyber-

sikkerhedsforanstaltninger efter stk. 1, herunder regler om

etablering af logning til at understøtte alarmer, efterforsk-

ningsarbejde, hændelseshåndtering og monitorering af ure-

gelmæssigheder i net- og informationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, vil ske implementering af dele af NIS 2-direktivets

artikel 21, stk. 2, litra b, hvorefter vigtige og væsentlige

enheder træffer passende foranstaltninger til håndtering af

hændelser. Den foreslåede bestemmelse udnytter således

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

den mulighed i NIS 2-direktivet rummer, hvorefter der di-

rekte vil blive stillet krav om, at virksomhederne skal etable-

re logning.

Det forventes på baggrund af bestemmelsen, at der vil

blive fastsat nærmere regler om logning og monitorering,

som del af virksomheders cyberberedskab. Med bestemmel-

sen vil der således blive fastsat regler, som vil sikre, at

virksomheders logning og monitorering bidrager til effektiv

hændelseshåndtering og muliggør automatiserede tiltag med

henblik på at opdage og reagere på anormal aktivitet, uanset

om der er tale om utilsigtet eller ondsindet aktivitet samt

begrænse konsekvenser heraf.

Derudover forventes der at blive fastsat regler, hvorefter

virksomheder skal træffe passende foranstaltninger, der sik-

rer visibilitet i netværksinfrastrukturen og gør virksomhe-

derne i stand til at opdage og reagere på anormal aktivitet i

net- og informationssystemer.

På den baggrund forventes det således, at der vil blive fast-

sat regler, som påkræver at virksomheder håndterer logda-

ta forsvarligt og på en måde, der opretholder integriteten

og fortroligheden af logdata med henblik på, at disse kan

benyttes i forbindelse med bl.a. efterforskning, dokumenta-

tion og evaluering. Ved udmøntningen af bestemmelsen vil

der endvidere blive fastsat regler, som vil sikre, at bruger-

aktivitet logges med det formål at identificere uautoriseret

adgang til virksomhedens netværk og net- og informations-

systemer. Det følger heraf, at logdata skal beskyttes mod

uautoriseret adgang.

Ved de nærmere regler om logning forventes der at blive

fastsat regler, hvorefter virksomheden vil skulle etablere

logning på en måde, der sikrer alarmer for net- og informati-

onssystemer med betydning for leveringen af tjenesten. Ud

fra en risikobaseret tilgang skal logning kunne fungere på

tværs af virksomhedens samlede aktiviteter uagtet net- og

informationssystemernes placering, og foranstaltningerne vil

skulle sikre, at alarmer kan modtages. Der vil også på bag-

grund af bemyndigelsesbestemmelsen kunne fastsættes nær-

mere regler, hvorefter mønstre i events kan detekteres. Dette

kan fx være eksterne scanningsaktiviteter på virksomhedens

internetvendte løsninger, kritisk portkommunikation og ip-

adresser samt ændringer i industrielle kontrolsystemers sy-

stemopsætning.

Det foreslås i § 8 stk. 2,

nr. 7,

at klima-, energi- og forsy-

ningsministeren, efter forhandling med ministeren for sam-

fundssikkerhed og beredskab, fastsætter nærmere regler for

cybersikkerhedsforanstaltninger efter stk. 1, herunder om

etablering af procedurer for løbende kontrol af cybersikker-

heden i og omkring net- og informationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, vil ske implementering af dele af NIS 2-direktivets

artikel 21, stk. 2, litra f og g, hvorefter vigtige og væsentlige

enheder skal have politikker og procedurer til vurdering af

effektiviteten af foranstaltninger til styring af cybersikker-

hedsrisici og skal have grundlæggende cyberhygiejneprak-

sisser.

På baggrund af bestemmelsen vil der blive fastsat nærme-

re regler om, at virksomhederne skal etablere politikker

og procedurer for kontrol af virksomhedens tekniske foran-

staltninger til at opretholde modstandsdygtighed over for

cybertrusler. Desuden der vil blive fastsat regler om krav,

hvorefter virksomhederne etablerer politikker og procedurer

for vurdering af effektiviteten af virksomhedens tekniske

foranstaltninger og styring af cybersikkerhedsrisici. Ved ud-

møntningen af bemyndigelsesbestemmelsen forventes det,

at der vil blive fastsat nærmere regler om, at virksomheder

eksempelvis skal implementere årshjulsprocedurer til syste-

matisk at foretage sanering og vedligehold af sikkerheden

i net- og informationssystemer. Således implementerer de

nærmere fastsatte regler sammen med den foreslåede § 6,

stk. 2, nr. 6, NIS2-direktivets artikel 21, stk. 2, litra f.

Desuden forventes det, at der vil blive fastsat krav om, at

der er overensstemmelse mellem virksomhedernes overord-

nede beredskabsplan, og at der implementeres procedurer til

systematisk at gennemføre og dokumentere genopretnings-

test.

Herudover forventes det på baggrund af bestemmelsen, at

der vil blive fastsat nærmere regler om, at virksomheder skal

have de nødvendige procedurer for etableringen af sikker-

hedsforanstaltninger på mobile enheder såsom procedurer

for opdatering og anvendelse af antivirusbeskyttelse. Der

vil endelig blive fastsat regler, som vil sikre, at der skal

etableres tilstrækkelig fysisk sikring ved komponenter, der

giver styringsadgang til leveringen af tjenesten. Dette vil

eksempelvis betyde, at mobile enheder og computere der

giver styringsadgang til kontrolrumsfunktioner, skal sikres

på lignende vilkår som kontrolrummet.

Det foreslås i § 8 stk. 2,

nr. 8,

at klima-, energi- og forsy-

ningsministeren, efter forhandling med ministeren for sam-

fundssikkerhed og beredskab, fastsætter nærmere regler for

cybersikkerhedsforanstaltninger efter stk. 1, herunder om

brug af sikret tale-, video- og tekstkommunikation og sikre-

de nødkommunikationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, vil ske implementering af dele af NIS 2-direktivets

artikel 21, stk. 2, litra j, hvorefter vigtige og væsentlige

enheder skal træffe passende foranstaltninger om brug af

løsninger med sikret tale-, video- og tekstkommunikation og

sikrede nødkommunikationssystemer internt i enheden, hvor

det er relevant.

Det forventes, at der vil blive fastsat nærmere regler om

beskyttelse af informationer med henblik på at opretholde

fortrolighed, integritet og tilgængelighed, herunder at infor-

mationer, i transit eller lagret og uanset format fx trykt,

elektronisk eller mundtligt, sikres med passende tekniske

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

foranstaltninger. Det foreslås, at der vil blive fastsat regler,

hvorefter virksomheden skal udarbejde procedurer og tilve-

jebringe en sikkerhedsbevidst kultur, så behandling af net-

og informationssystemer sker forsvarligt.

Det forventes endvidere, at der vil blive fastsat regler med

krav om, at virksomheder skal etablere nødkommunikation

og sikre, at kommunikation kan opretholdes, samt at virk-

somheder skal kunne varetage sektor- og myndighedskom-

munikation i krisesituationer eller ved øvrige hændelser,

hvor denne foranstaltning vil være relevant.

Der forventes samtidig, at der vil blive fastsat regler, som

stiller krav om, at virksomheder skal anvende sikret tale-,

video- og tekstkommunikation og nødkommunikationssyste-

mer, der i relevant omfang er sikret ved kryptografi eller

kryptering.

Det foreslås i § 8 stk. 2,

nr. 9,

at klima-, energi- og forsy-

ningsministeren, efter forhandling med ministeren for sam-

fundssikkerhed og beredskab, fastsætter nærmere regler for

cybersikkerhedsforanstaltninger efter stk. 1, herunder om

brug af kryptering samt politikker og procedurer, der skal

understøtte sikkerheden og fortroligheden af net- og infor-

mationssystemer, der er kritiske for leveringen af virksom-

hedens tjeneste.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, vil ske implementering af NIS 2-direktivets artikel 21,

stk. 2, litra h, hvorefter vigtige og væsentlige enheder skal

have politikker og procedurer vedrørende brug af kryptogra-

fi og, hvor det er relevant, kryptering.

Det forventes på baggrund af bestemmelsen, at der vil blive

fastsat regler nærmere regler for anvendelse af kryptografi

og tekniske krav for adgang til net- og informationssyste-

mer, herunder krav om, at virksomhederne, ud fra en risiko-

baseret tilgang, anvender kryptografi og krypteringsteknik-

ker til at etablere forskellige beskyttelsesformål for kritisk

information og kommunikation, der bl.a. skal sikre fortrolig-

hed, integritet og autenticitet

Det forventes, at der vil blive fastsat regler, hvorefter at

virksomhederne skal etablere tekniske foranstaltninger som

fx sikkerhedsprotokoller, samt procedurer for forvaltning af

administration af eksempelvis nøgler og certifikater. Dette

vil bl.a. sikre backup af data.

Endvidere kan der fastsættes nærmere regler om, at datatra-

fik på virksomhedens trådløse netværk skal være krypteret

med tidssvarende tekniske protokoller og opdaterede krypto-

grafiske løsninger.

Det foreslås i § 8 stk. 2,

nr. 10,

at klima-, energi- og forsy-

ningsministeren, efter forhandling med ministeren for sam-

fundssikkerhed og beredskab, fastsætter nærmere regler om

multifaktorautentificering eller kontinuerlig autentificering

og adgangsbeskyttelse til sikring mod uautoriseret adgang til

virksomhedernes net- og informationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, vil ske implementering af dele af NIS 2-direktivets

artikel 21, stk. 2, litra i og j, hvorefter vigtige og væsentli-

ge enheder skal træffe passende foranstaltninger vedrørende

adgangskontrolpolitikker og brug af løsninger med multifak-

torautentificering eller kontinuerlig autentificering.

Det forventes, at der vil blive stillet krav til begrænsning

af adgang, herunder fjernadgang, til lokationer, kontrolrums-

og serverrumsfaciliteter samt for adgang til net- og informa-

tionssystemer.

Yderligere forventes det, at der vil blive fastsat regler med

krav om, at den fysiske sikring af anlæg, herunder sikringen

af anlæg med netværksadgang, jf. de foreslåede § 7, stk.

2, nr. 2-3, gør brug af elektronisk adgangsstyring, herunder

autentificering og multifaktorgodkendelsesløsninger. Dette

kan fx være en kombination af adgangskort og -kode og

aktivitetsbestemte adgangskoder.

Ved de nærmere regler om beskyttelse af tjenesten mod uau-

toriseret adgang, forventes der fastsat regler om, at virksom-

heden skal sikre at der sker identifikation og autentifikation

af identiteten, i hele brugerens livscyklus. Det forventes des-

uden, at der vil blive fastsat regler om, at virksomheder skal

sikre at den elektroniske adgangsstyring skal muliggøre, at

virksomheden kan modtage alarmer ved anormal aktivitet.

Det forventes, at der vil blive fastsat regler, hvorefter virk-

somheden skal sikre klart definerede regler for, hvilke med-

arbejdere eller medarbejdergrupper, der kan tilgå forskellige

dele af et anlæg eller net- og informationssystemer. Det-

te vil indebære, at virksomhederne skal have procedurer

for, hvordan adgange og fjernadgange til kritiske anlæg

og net- og informationssystemer tildeles, ændres og lukkes

for både virksomhedens egne medarbejdere såvel som for

gæster, konsulenter, eksterne samarbejdspartnere og leveran-

dører. Der forventes endeligt fastsat nærmere regler om, at

fjernadgang til net- og informationssystemer med betydning

for leveringen af tjenesten ikke må ske fra offentligt tilgæn-

geligt Wi-Fi.

Det foreslås i § 8 stk. 2,

nr. 11,

at klima-, energi- og

forsyningsministeren, efter forhandling med ministeren for

samfundssikkerhed og beredskab, fastsætter nærmere regler

for cybersikkerhedsforanstaltninger efter stk. 1, herunder om

foranstaltninger til forebyggelse og håndtering af hændelser.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesni-

veau, vil ske implementering af dele af NIS 2-direktivets

artikel 21, stk. 2, litra b, hvorefter vigtige og væsentlige

enheder skal træffe passende foranstaltninger til håndtering

af hændelser.

Det forventes, at der vil blive fastsat nærmere regler om,

at virksomheder skal sikre en koordineret proces for rappor-

tering af svagheder i virksomhedens cybersikkerhed. Det

forventes endvidere, at der vil blive fastsat regler for hånd-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

tering af cyberhændelser og utilsigtede hændelser, der kan

påvirke sikkerheden af net- og informationssystemer med

betydning for leveringen af tjenesten.

Dette omfatter brug af bl.a. logdata til fx detektion af

anormal og uautoriseret aktivitet i net- og informationssyste-

mer. Ved udmøntningen af bestemmelsen forventes det, at

der vil blive fastsat nærmere regler, hvorefter virksomheden

skal kunne reagere på alarmer eller hændelser uanset, hvor

i organisation en hændelse opstår, herunder hvis en hændel-

se opstår hos en samarbejdspartner, der har adgang til virk-

somhedens net- og informationssystemer. I sådanne tilfælde

skal virksomheden være i stand til at foretage mitigerende

foranstaltninger såsom frakobling af udstyr og afbrydelse af

leverandøradgange.

Det forventes, at der vil blive fastsat regler, hvorefter virk-

somheden skal indføre passende forebyggende foranstaltnin-

ger til at minimere utilsigtet påvirkning af net- og informati-

onssystemer og til at undgå hændelser, der forårsager tab af

visibilitet og kontrol med leveringen af tjenesten.

Det forventes desuden, at der vil blive fastsat regler om,

at der sikres overensstemmelse mellem sikkerhedstiltag hos

virksomheden og samarbejdspartnere med adgang til net-

og informationssystemer med betydning for leveringen af

tjenesten.

Endelig forventes det, at der vil blive fastsat regler, hvoref-

ter virksomheden skal have indgået aftaler om ansvar og

kommunikation i forbindelse med håndtering af cyberhæn-

delser. Ligeledes vil der kunne fastsættes regler, som sik-

rer, at der kan foretages rapportering af hændelser efter en

ensartet metode på tværs af virksomheden, herunder at der

indhentes rapportering om hændelser af betydning for virk-

somhedens leveringen af tjenesten fra samarbejdspartnere.

Til § 9

Gældende beredskabsregulering indeholder ikke regler om

brug af særlige informations- og kommunikationstjenester

(IKT)-produkter, -tjenester og -processer.

Det følger af det foreslåede § 9, at klima-, energi- forsy-

ningsministeren, efter forhandling med ministeren for sam-

fundssikkerhed og beredskab, kan fastsætte regler om, at

virksomheder skal anvende særlige IKT-produkter, -tjenester

og -processer, der er udviklet af virksomheden eller indkøbt

fra tredjeparter, og som er certificeret i henhold til en eu-

ropæisk cybersikkerhedscertificeringsordning for at påvise

overensstemmelse med bestemte krav i § 8, stk. 1, eller

regler om krav til foranstaltninger fastsat i medfør af § 8,

stk. 2.

Den foreslåede bemyndigelse vil kunne udmøntes ved nær-

mere regler på bekendtgørelsesniveau, der vil kunne imple-

mentere artikel 24, stk. 1, i NIS 2-direktivet og som vil

skulle forstås og anvendes i overensstemmelse med direkti-

vets forudsætninger.

Det følger af bestemmelsen, at der kan fastsættes nærmere

krav om, at virksomheder for at påvise overholdelsen af

bestemte krav fastsat i medfør af § 8, stk. 2 ved at bruge

særlige IKT-produkter, -tjenester og -processer, der er udvik-

let af virksomheden, eller indkøbt fra tredjeparter, og som

er certificeret i henhold til europæiske cybersikkerhedscerti-

ficeringsordninger, der er vedtaget i henhold til artikel 49 i

Europa-Parlamentets og Rådets forordning (EU) 2019/881

af 17. april 2019 om ENISA (Den Europæiske Unions

Agentur for Cybersikkerhed), om cybersikkerhedscertifice-

ring af informations- og kommunikationsteknologi og om

ophævelse af forordning (EU) nr. 526/2013 (forordningen

om cybersikkerhed).

Bestemmelsen kan udmøntes, således at der også kan be-

nyttes IKT-produkter, -tjenester og –processer som stilles

gratis til rådighed af tredjeparter, da det er Klima-, Energi-

og Forsyningsministeriets vurdering, at dette vil være i over-

ensstemmelse med intentionen bag artikel 24, stk. 1, i NIS

2-direktivet.

For i videst muligt omfang at sikre ensartethed på tværs

af sektorer, foreslås det, at eventuelle regler, der udstedes

i medfør af den foreslåede bestemmelse, fastsættes efter

forhandling med ministeren for samfundssikkerhed og be-

redskab.

Bestemmelsen er udformet som en kan bestemmelse, da det

af NIS-direktivets artikel 24, stk. 1 fremgår, at medlemssta-

ten kan vælge at fastsætte regler. Da der således ikke består

en forpligtigelse, men artiklen kun bestemmer, at der skal

være en mulighed for at fastsætte nærmere regler, er bestem-

melsen i det foreslåede § 9 ligeledes udformet som en kan

bestemmelse.

Såfremt bestemmelsen ønskes anvendt, vil det være på bag-

grund at konkrete behov for at øge cybersikkerheden i sek-

toren i tillæg til, hvad der allerede skal gøres efter de regler

der fastsættes i medfør af dette lovforslags § 6, stk. 2 og §

8, stk. 2. Det kan eksempelvis være i tilfælde af, at virksom-

hederne for at nedbringe deres omkostninger anvender IKT-

produkter, -tjenester og -processer, som efter Klima-, Ener-

gi- og Forsyningsministeriets eller andre myndigheders råd-

givning vurderes at være usikre pga. kvaliteten, eller hvor

produktet er fremstillet eller hvorfra en IKT-tjeneste/-proces

leveres eller gennemføres fra. Således vil der kunne opstå et

behov for at bringe virksomhedernes cybersikkerhedsniveau

yderligere op, ved at tvinge dem til at bruge IKT-produkter,

-tjenester og -processer, som virksomheden selv har udviklet

eller købt fra en tredjepart, og vigtigst af alt er certificeret

efter en europæiske cybersikkerhedscertificeringsordning.

Reglerne kan potentielt differentieres således, at de afhæn-

ger af virksomhedens niveau eller systemets eller anlæggets

klassificering efter reglerne fastsat i medfør af lovforslagets

§ 4, stk. 2.

Til § 10

I medfør af gældende beredskabsregulering, navnlig elbe-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

redskabsbekendtgørelsen, naturgasberedskabsbekendtgørel-

sens og it-beredskabsbekendtgørelsens, har Energinet de

overordnede, koordinerende planlægningsmæssige og ope-

rative opgaver vedrørende beredskabssituationerne i el- og

gassektoren, herunder ansvaret for at videreformidle rele-

vante meddelelser og informationer mellem myndighederne

og el- og naturgassektorens virksomheder, samt ansvaret for

at fremskaffe data og andre informationer om sektoren af

betydning for samfundets beredskab. De er beskrevet i det

følgende.

Energinet varetager denne koordinerende og operative rolle

i el- og naturgassektorernes beredskab, da Energinet har

det overordnede ansvar for funktionen og balanceringen af

el- og gastransmissionsnettet. Således er det nødvendigt, at

Energinet har visse instruktionsbeføjelser overfor virksom-

hederne i deres beredskab, samt at de modtager information

om sårbarheder, trusler og hændelser i sektorerne, da disse

hurtigt kan påvirke transmissionsnettet og potentielt medfø-

re kaskadeeffekter ud i el- og naturgassektorerne.

Derfor skal Energinet i planlægning af beredskabet i el-

og naturgassektorerne udarbejde en vurdering af sårbarhe-

den for det samlede el- hhv. naturgasforsyningssystem, jf.

§ 6, stk. 2, i elberedskabsbekendtgørelsen og naturgasbered-

skabsbekendtgørelsen. I tillæg hertil skal Energinet årligt

udarbejde vurdering af it-relaterede risici og sårbarheder

for det sammenhængende elforsyningssystem og det sam-

menhængende naturgasforsyningssystem, jf. it-beredskabs-

bekendtgørelsens § 11. I vurderingerne skal indgå risici og

sårbarheder afledt af sammenhænge med nabolandenes for-

syningssystemer.

Desuden skal Energinet, som led i den koordinerende

planlægning af beredskabet i el- og naturgassektorerne,

lave sektorberedskabsplaner for det samlede el- hhv. na-

turgasforsyningssystem, jf. § 8 i elberedskabsbekendtgø-

relsen og naturgasberedskabsbekendtgørelsen. Sektorbered-

skabsplanerne skal udarbejdes under hensyntagen til el- og

naturgassystemernes sammenhænge med nabolandenes sy-

stemer. Sektorberedskabsplanen skal angive, hvordan Ener-

ginet for hhv. el- og naturgassektoren som helhed planlæg-

ger at håndtere en beredskabssituation på en koordineret

måde, herunder sikring af en samordnet situationsopfattelse

hos virksomhederne, samt relevante dele af det indhold,

der er i virksomhedernes egne beredskabsplaner. Endvidere

foreskriver § 16 i it-beredskabsbekendtgørelsen, at sektorbe-

redskabsplanerne skal indeholde en beskrivelse af, hvordan

Energinet planlægger at håndtere en it-beredskabssituation,

der berører flere virksomheder, herunder:1) Ansvarsforde-

lingen mellem virksomheder og Energinet, 2) beskrivelse af

kommunikationsveje og forholdsregler ved kompromittering

af kommunikationsveje, 3) krav, som Energinet i en it-be-

redskabssituation stiller til form, indhold og hyppighed af

situationsrapporter fra virksomhederne, 4) hvorledes Energi-

net vil informere virksomhederne om it-beredskabssituatio-

nen, herunder form, indhold og hyppighed, således at Ener-

ginet kan tilsikre en samordnet situationsopfattelse hos virk-

somhederne i el- og naturgassektorerne, 5) en instruktion

om anvendelse af specifik kryptering af informationer og

driftsordre, hvis relevant, samt 6) planer for segmentering

af fælles it-infrastruktur eller driftsinfrastruktur i relevante

scenarier, hvis relevant.

I krisesituationen har Energinet endvidere ansvaret for at

koordinere sektorens håndtering af krisesituationen og gen-

etableringen af forsyningen i el- og gassektoren, herunder

udpege repræsentanter til de lokale beredskabsstabe og del-

tage i NOST, hvis det er relevant, jf. henholdsvis § 24 i elbe-

redskabsbekendtgørelsen og naturgasberedskabsbekendtgø-

relsen. Desuden har Energinet ansvaret for at informere

Energistyrelsen og andre centrale myndigheder, fx politiet,

via de lokale beredskabsstabe om situationen i sektoren.

Energinet skal tillige sikre, at virksomheden når som helst i

en beredskabssituation kan forestå el- og naturgassektorens

krisehåndtering og kan fremskaffe relevante og opdaterede

informationer om elsektorens forhold til brug for myndighe-

dernes krisehåndtering i el- og naturgassektoren, herunder

om situationen i nabolandenes forsyningssystemer af rele-

vans for denne krisehåndtering.

Herudover skal Energinet gennemføre foranstaltninger for at

sikre, at sandsynligheden for henholdsvis en strømafbrydel-

se og en naturgasafbrydelse holdes på et rimeligt niveau. Ef-

ter samme bestemmelser skal Energinet endvidere gennem-

føre foranstaltninger for at sikre, at der kan udføres en hurtig

og koordineret reetablering af henholdsvis elforsyningen og

naturgasforsyningen i tilfælde af afbrydelser. Tilsvarende

er det Energinets ansvar at sikre, at generne for elforbruger-

ne, naturgasforbrugerne og for samfundet i øvrigt ved en

afbrydelse mindskes i muligt omfang, jf. § 16 i henholds-

vis i elberedskabsbekendtgørelsen og naturgasberedskabsbe-

kendtgørelsen.

Det følger af § 18 i henholdsvis i elberedskabsbekendtgø-

relsen og naturgasberedskabsbekendtgørelsen, at Energinet

skal etablere et formaliseret samarbejde om beredskabsfor-

hold i elsektoren og i naturgassektoren, bl.a. gennem infor-

mationsvirksomhed og møder om beredskabsforhold.

Energinet skal arbejde for at koordinere sine beredskabspla-

ner med de systemansvarlige virksomheder i nabolandene

i muligt omfang og for en hensigtsmæssig informationsud-

veksling med disse virksomheder om planlægningsmæssige

og operative forhold, jf. § 18 i elberedskabsbekendtgørelsen

og naturgasberedskabsbekendtgørelsen.

Det følger af § 19 i henholdsvis elberedskabsbekendtgørel-

sen og naturgasberedskabsbekendtgørelsen, at Energinet se-

nest 1. maj skal fremsende en årlig redegørelse til Energi-

styrelsen om status for henholdsvis elsektorens – og natur-

gassektorens beredskab, herunder om virksomhedens bered-

skabsarbejde i det forløbne år. Energistyrelsen kan fastsætte

nærmere rammer herfor.

Desuden skal Energinet i medfør af § 21, stk. 2, i henholds-

vis elberedskabsbekendtgørelsen og naturgasberedskabsbe-

kendtgørelsen afholde beredskabsøvelser i anvendelse af

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

sektorberedskabsplanen skal heri inddrage væsentlige dele

af virksomhedernes planer.

Endvidere skal Energinet i medfør af § 5 i it-beredskabsbe-

kendtgørelsen varetage de overordnede koordinerende opga-

ver i forbindelse med håndteringen af it-beredskabshændel-

ser, der omfatter flere virksomheder. De skal ligeledes efter

§ 5, stk. 2, etablere et formaliseret samarbejde om it-bered-

skabsforhold, der har til formål at fremme koordineringen af

såvel planlægningen som udøvelsen af it-beredskabet. Efter

§ 5, stk. 3-5, skal Energinet bistå med at skaffe kontaktop-

lysninger til andre virksomheder og myndigheder i en akut

situation, ligesom de skal give virksomhederne oplysninger-

ne om aktuelle driftstilstande, og Energinet skal til enhver

tid kunne modtage og videreformidle informationer af be-

tydning for it-beredskabet til andre virksomheder i el- og

naturgassektorerne.

Endeligt varetager Energinet en række forpligtelser i forbin-

delse med rapportering af evt. hændelser hos sig selv og

andre virksomheder i el- og naturgassektorerne til Energi-

styrelsen og Center for Cybersikkerhed, jf. § 21 i it-bered-

skabsbekendtgørelsen og § 23 i hhv. elberedskabsbekendt-

gørelsen og naturgasberedskabsbekendtgørelsen.

Det foreslås med

§ 10,

at klima-, energi- og forsyningsmini-

steren fastsætter regler om ministerens og Energinets vareta-

gelse af koordinerende planlægningsmæssige og operative

opgaver vedrørende beredskab, jf. §§ 6 – 8.

Det forventes, at de gældende regler angående Energinets

opgavevaretagelse i medfør af beredskabsbekendtgørelserne

for elsektoren og naturgassektoren videreføres for el- og

gassektoren, dog med tilføjelse af brintsektoren såfremt der

måtte blive etableret et brinttransmissionssystem i Danmark,

samt tilføjelse af de nye aktører, der vil blive omfattet af

beredskabsreguleringen i delsektorerne for el-, gas. Disse

aktører er hovedsageligt dikteret af NIS2 og CER-direkti-

vernes bilag om disses anvendelsesområde.

Det forventes dog også, at der vil blive fastsat nærmere

regler om, at de koordinerende planlægningsmæssige og

operative opgaver vedrørende beredskab i oliesektoren og de

nye delsektorer fjernvarme og fjernkøling vil blive varetaget

af Energistyrelsen.

Efter den foreslåede bestemmelse vil klima-, energi- og for-

syningsministeren udstede regler om Energinets varetagelse

af koordinerende planlægningsmæssige og operative opga-

ver vedrørende det beredskab, som er nævnt i det foreslåede

§§ 6 - 8.

Bestemmelsen forventes udnyttet i sammenhæng med den

foreslåede § 35 om, at Energinet kan indhente relevant

information og skabe det fornødne overblik i akutte bered-

skabssituationer. I denne sammenhæng forventes det, at der

vil blive udstedt regler om, hvilke oplysninger og materiale

i øvrigt virksomhederne skal stille til rådighed for Energinet

og herunder bemyndige Energinet til at forlange dette mate-

riale udfyldt i et specifikt format.

Det forventes, at ministeren vil udstede regler, hvorefter

Energinet, som led i det koordinerende arbejde, pålægges at

bidrage til udarbejdelsen af sektorspecifikke trusselsvurde-

ringer. Energi-, forsynings- og klimaministeren vil fastsæt-

te nærmere regler for dette samarbejde, herunder i hvilket

omfang Energinet vil skulle stille kompetente ressourcer til

rådighed i forbindelse med samarbejdet, samt vejlede Ener-

ginet i varetagelsen af denne opgave.

Det forventes samtidig, at der vil blive fastsat nærmere reg-

ler om, at virksomhederne skal formidle såvel øvelseserfa-

ringer og erfaringer efter hændelser, der har aktiveret bered-

skabsplanen i væsentligt omfang til Energinet samt andre

virksomheder.

Til § 11

§ 25 og § 26 i elberedskabsbekendtgørelsen og naturgasbe-

redskabsbekendtgørelsen regulerer Energinet og Energisty-

relsens muligheder for at pålægge og ændre foranstaltninger,

som virksomhederne i el- og naturgassektorerne skal træffe

i tilfælde af beredskabssituationer omfattende sikkerhedsre-

laterede hændelser og beredskabssituationer i bredere for-

stand. Beredskabssituationer omfattende sikkerhedsrelatere-

de hændelser sigter hovedsageligt på situationer, hvor der er

en øget trussel for fysiske angreb mod det danske samfund,

eller hvor et sådan angreb har fundet sted. Beredskabssitua-

tioner i bredere forstand kan være alt fra stormflod, orkaner,

cyberangreb og solstorm til isvinter og tørke.

I tilfælde af beredskabssituationer omfattende sikkerhedsre-

laterede hændelser, og i tilfælde af at der er blevet fastsat

et sikkerhedsberedskabsniveau i henhold til den nationale

beredskabsplan, kan Energinet træffe beslutning om, hvilke

sikkerhedsberedskabsforanstaltninger der skal gennemføres

for el- og naturgassektoren, herunder hvilke virksomheder

og anlæg der skal omfattes heraf, jf. § 25 i elberedskabsbe-

kendtgørelsen og naturgasberedskabsbekendtgørelsen.

Siden reglernes indførelse i 2005 er der sket visse ændrin-

ger i den nationale beredskabsplanlægning, hvorfor der ikke

længere er sikkerhedsberedskabsniveauer i den nationale be-

redskabsplan. Derfor har det været praksis, at Energinet, i

samråd med Energistyrelsen, har fastsat et sektorberedskabs-

niveau som erstatning for et sikkerhedsberedskabsniveau,

ligesom der i den forbindelse har været meldt en eller flere

prædefinerede beredskabsforanstaltninger, som virksomhe-

derne skulle gennemføre.

Sektorberedskabsniveauet består for nuværende af fem eska-

lationstrin for den danske el- og naturgassektor. Et øget

sektorberedskabsniveau er udtryk for, at virksomhederne i

el- og gassektoren skal udvise øget opmærksomhed og er

blevet ledsaget af konkrete foranstaltninger, som relevante

virksomheder i el- og gassektoren skal iværksætte.

Efter § 26 kan Energinet og Energistyrelsen pålægge virk-

somhederne i el- og naturgassektorerne at ændre deres for-

anstaltninger for at sikre en hurtig, koordineret og prioriteret

krisehåndtering, herunder gennemførelse af myndighedernes

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

beslutninger i den nationale krisehåndtering. Det samme

er gældende, hvis der vurderes at være risiko for, at bered-

skabssituation indtræffer. Denne bestemmelse har således et

videre sigte end den gældende § 25, i det den aktiveres,

uagtet om der er tale om beredskabssituation omfattende

sikkerhedsrelaterede hændelser eller ej, og uanset om en

beredskabssituation er opstået, eller det blot vurderes, at der

er risici for at en beredskabssituation opstår.

Det har været forudsat, at det har været en del af bemyndi-

gelsen i elforsyningslovens § 85 b og gasforsyningslovens §

15 a, at der er fornøden hjemmel til fastsætte regler om at

Energinet og Energistyrelsen kan fastsætte og udmelde sek-

torberedskabsniveauer og sektorberedskabsforanstaltninger i

el og gassektoren.

Med det foreslåede

stk. 1,

kan klima-, energi- og forsy-

ningsministeren, i en beredskabssituation omfattende sikker-

hedsrelaterede hændelser, fastsætte og udmelde sektorbered-

skabsniveauer for hele energisektoren eller én eller flere

delsektorer.

Formålet med bestemmelsen er at skabe en klar hjemmel til,

at ministeren kan fastsætte og udmelde sektorberedskabsni-

veauer og i sammenhæng hermed pålægge gennemførelsen

af sektorberedskabsforanstaltninger efter den foreslåede §

11, stk. 2.

En beslutning om at fastsætte og udmelde sektorberedskabs-

niveauer efter § 11, stk. 1, vil ikke være en forvaltningsretlig

afgørelse, men en procesledende beslutning om, hvorvidt

der skal fastsættes sektorberedskabsforanstaltninger efter §

11, stk. 2.

Beredskabssituationer omfattende sikkerhedsrelaterede hæn-

delser vil, som efter gældende ret, forstås som hændelser,

hvor der vurderes at være risiko for at et konkret antago-

nistisk angreb vil finde sted, er i gang eller har fundet

sted. Antagonistiske angreb vil i denne forbindelse eksem-

pelvis være spionage, terrorangreb, hybride angreb eller

konkrete krigshandlinger. Det vil ikke være nødvendigt, at

angrebet eller risikoen for et angreb kan tilskrives en kon-

kret aktør. En mistanke om at et angreb er nærtforestående,

igangværende eller har været udført vil være tilstrækkeligt

grundlag til at fastsætte og udmelde et sektorberedskabsni-

veau. Det vil heller ikke være et krav, at angreb eller risiko

for angreb vedrører et dansk område. Et angreb eller risiko

for et angreb uden for Danmarks grænser vil således godt

kunne danne grundlag for at fastsætte og udmelde et sektor-

beredskabsniveau efter bestemmelsen. Angrebet eller risiko-

en for angreb vil heller ikke behøve at være rettet mod ener-

giinfrastruktur, men vil også kunne være i andre sektorer,

der varetager samfundskritiske funktioner. Det vil endvidere

ikke kun være fysiske angreb, men også cyberangreb, der vil

kunne afstedkomme brugen af bestemmelsen.

Beredskabssituationer vil fortsat skulle forstås i bredere for-

stand, og kan være alt fra stormflod, orkaner og solstorm til

isvinter og tørke.

Det forudsættes med bestemmelsen, at der forsat vil blive

anvendt sektorberedskabsniveauer, der indikerer, hvor sand-

synligt det vurderes, at en beredskabssituation vedrørende

en sikkerhedsrelateret hændelse vil eller kan indtræffe i

energisektoren.

Det forventes, at klima-, energi- og forsyningsministeren

vil fastsætte og udmelde sektorberedskabsniveauet på bag-

grund af en konkret vurdering, der vil basere sig på alle

tilgængelige informationer om sikkerhedstruslen mod ener-

gisektoren. Det kan således være offentlige kilder, såsom

nyhederne, faglige tidsskrifter, offentliggjorte trusler fra ter-

rorgrupper eller statsmagter mv. Det vil også kunne inddra-

ges efterretninger, både statslige og private. Der tænkes

således på trusselsvurderinger fra fx Politiets Efterretnings-

tjeneste og Center for Cybersikkerhed, men også fra private

it-sikkerhedstjenester.

Klima-, energi- og forsyningsministeren vil efter bestem-

melsen ikke være forpligtiget til at udmelde beredskabsni-

veauer til offentligheden og vil kun være forpligtiget til

at udmelde beredskabsniveauer til de relevante delsektorer

og virksomhederne omfattet af lovforslaget. Ministeren kan

dog vælge at udmelde sektorniveauer bredt til offentlighe-

den.

Til forskel fra gældende ret, hvor kun elektricitet og gassek-

torerne i dag er omfattet af beredskabsniveauer, omfattes

også fjernvarme, fjernkøling, brint og oliesektorerne af den

foreslåede bestemmelse.

Der kan således fastsættes og udmeldes sektorberedskabsni-

veau for energisektoren som helhed, hvis det vurderes, at

truslen ikke er afgrænset til en eller flere af de førnævnte

delsektorer. Omvendt kan ministeren også vælge kun at fast-

sætte og udmelde et sektorberedskabsniveau til en eller flere

delsektorer, hvis vurderingen er, at truslen er meget konkret

rettet.

Med det foreslåede

stk. 2,

kan klima-, energi- forsyningsmi-

nisteren i en beredskabssituation omfattende sikkerhedsrela-

terede hændelser fastsætte og pålægge sektorberedskabsfor-

anstaltninger for hele energisektoren, delsektorer, én eller

flere virksomheder og for bestemte anlæg.

For el- og gassektoren samt brintsektoren ved etablering

af et brinttransmissionsnet, forventes fastsættelsen af bered-

skabsforanstaltninger at ske efter faglig kommentering fra

Energinet.

Sikkerhedsrelaterede hændelser vil, som efter gældende ret,

forstås som hændelser, hvor der vurderes at være risiko

for, at et konkret antagonistisk angreb vil finde sted, er

i gang eller har fundet sted. Antagonistiske angreb vil i

denne forbindelse eksempelvis være spionage, terrorangreb,

hybride angreb eller konkrete krigshandlinger. Det vil ikke

være nødvendigt, at angrebet eller risikoen for et angreb kan

tilskrives en konkret aktør. En mistanke om at et angreb

er nærtforestående, igangværende eller har været udført vil

være tilstrækkeligt grundlag til at fastsætte og pålægge sek-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

torberedskabsforanstaltninger efter bestemmelsen. Det vil

heller ikke være et krav at angreb eller risiko for angreb

vedrører et dansk område. Et angreb eller risiko for et an-

greb uden for Danmarks grænser kan således godt danne

grundlag for at fastsætte og pålægge sektorberedskabsforan-

staltninger efter bestemmelsen. Angrebet eller risikoen for

angreb behøver heller ikke at være rettet mod energiinfra-

struktur men vil også kunne være i andre sektorer, der vare-

tager samfundskritiske funktioner. Det er endvidere ikke kun

fysiske angreb, men også cyberangreb, der kan afstedkom-

me brugen af den foreslåede bestemmelse.

Det forventes endvidere, på baggrund af de foreslåede be-

stemmelser i stk. 1 og 2, at klima-, energi- og forsynings-

ministeren fremover vil træffe beslutning om sektorbered-

skabsniveau og -foranstaltninger for alle energiarter, som

efterfølgende udmeldes til virksomheder af et operationelt

kontaktpunkt. Det forventes, at Energinet vil få delegeret

kompetencen til at udmelde sektorberedskabsniveauer og

sektorberedskabsforanstaltninger for el- og gassektoren ef-

ter den foreslåede § 33, så Energinet vil kunne fastholde

sin nuværende rolle som operationelt kontaktpunkt for el-

og gassektoren samt brintsektoren ved etablering af et brint-

transmissionsnet. Det forventes, at Energistyrelsen vil få de-

legeret opgaverne med at fastsætte sektorberedskabsniveauet

på tværs for hele energisektoren eller delsektorer, samt op-

gaver i forbindelse med at agere operationelt kontaktpunkt

for olie, fjernvarme/-køling og brint ved decentral brintfor-

syning, efter den foreslåede bestemmelse i § 33.

En beslutning om at fastsætte og pålægge sektorberedskabs-

foranstaltninger efter § 11, stk. 2, vil være en forvaltnings-

retlig afgørelse, hvorfor forvaltningslovens regler, herunder

bl.a. bestemmelserne i kapitel 3 (om vejledning og repræ-

sentation mv.), kapitel 5 (om partshøring), kapitel 6 (om be-

grundelse mv.) og kapitel 7 (om klagevejledning) i udgangs-

punktet vil finde anvendelse. Forvaltningslovens § 19, stk.

2, nr. 1-6, fastsætter dog regler for, i hvilke tilfælde parts-

høringsreglerne ikke finder anvendelse. Således vil undta-

gelsen i § 19, stk. 2, nr. 3, formentligt kunne finde anven-

delse, hvis partens interesse i at sagens afgørelse udsættes,

findes at burde vige for væsentlige hensyn til offentlige eller

private interesser, der taler imod en sådan udsættelse. Det

vurderes således, at offentlighedens interesse i, at der hur-

tigst muligt fastsættes øgede foranstaltninger til de konkrete

virksomheders beskyttelse, således at forsyningen af energi

kan forsætte uforstyrret til slutbrugerne, vil kunne betyde, at

retten til partshøring må bortfalde. Endvidere vurderes det,

at undtagelsen i § 19, stk. 2, nr. 5, vil finde anvendelse,

hvis den påtænkte afgørelse vil berøre en videre, ubestemt

kreds af personer, virksomheder m.v., eller hvis forelæggel-

sen af oplysningerne eller vurderingerne for parten i øvrigt

vil være forbundet med væsentlige vanskeligheder. Det vur-

deres således, at der grundet den potentielle klassifikation af

de oplysninger, der danner grundlag for, hvilke sektorbered-

skabsvurderinger der er nødvendige for at imødegå truslen

mod virksomhederne, kun kan forelægges det meget store

antal virksomheder omfattet af loven ved en uforbeholden

vanskelig proces. Det skal dog konkret vurderes fra gang

til gang om de nævnte undtagelser finder anvendelse i den

konkrete situation.

Undtagelsesmulighederne i forvaltningslovens § 8, stk. 2,

ift. fravigelse af retten til repræsentation og § 24, stk. 3,

ift. fravigelse af begrundelseskravet, vurderes også at kunne

finde anvendelse efter en konkret vurdering på afgørelser

truffet efter den foreslåede bestemmelse.

Konkret vil en beslutning om et øget sektorberedskabsni-

veau efter stk. 1 betyde, at der udmeldes konkrete sektorbe-

redskabsforanstaltninger, som virksomhederne i energisekto-

ren, eller delsektorer skal implementere med henblik på at

øge sikkerheden på fx anlæg, bygninger, installationer og

net- og informationssystemer. Den konkrete implementering

af de enkelte sektorberedskabsforanstaltninger for hver virk-

somhed vil afhænge af virksomhederne og deres anlæg, idet

fysiske indretninger, kontraktforhold og anden lovgivning

forventeligt vil medføre, at visse beredskabsforanstaltninger

ikke vil kunne gennemføres fuldt ud eller i øvrigt må modi-

ficeres for at passe til virksomheden, med tilhørende anlæg

og net- og informationssystemer. Der vil af sikkerhedsmæs-

sige årsager ikke blive kommunikeret offentligt om sektor-

beredskabsforanstaltningerne, men disse vil blive kommuni-

keret direkte til virksomhederne, der er omfattet af loven.

Det foreslås i § 11,

stk. 3,

at klima-, energi- forsyningsmini-

steren i en beredskabssituation kan bestemme, at de i § 11,

stk. 2 nævnte sektorberedskabsforanstaltninger, samt andre

foranstaltninger der skal foretages efter loven eller regler

udstedt i medfør af loven, midlertidigt skal intensiveres og

suppleres med yderligere foranstaltninger for at sikre en

hurtig, koordineret og prioriteret krisehåndtering, herunder

gennemførelse af myndighedernes beslutninger i den natio-

nale krisehåndtering.

Det foreslåede stk. 3 vil i udgangspunktet være en videre-

førelse af den gældende § 26 i elberedskabsbekendtgørel-

sen og naturgasberedskabsbekendtgørelsen. Dog med den

ændring, at beføjelsen i udgangspunktet vil tilfalde klima-,

energi- og forsyningsministeren og ikke Energinet, jf. dog

den foreslåede stk. 4.

Bestemmelsen vil fungere som en opsamlingsbestemmelse

med et bredere anvendelsesområde end det foreslåede § 11,

stk. 1 og 2, sigter på. Således vil der efter bestemmelsen

også kunne fastsættes andre foranstaltninger i tilfælde af

fx stormflod, orkan, pandemier etc., som ikke er antagoni-

stiske sikkerhedshændelser. Andre foranstaltninger vil efter

bestemmelsen, ud over de i stk. 1 og 2 nævnte situationer,

således omfatte relevante foranstaltninger, der går på at

mitigere beredskabshændelse eller genoprette efter en bered-

skabshændelse. Udover midlertidigt at intensivere eller sup-

plere foranstaltninger som nævnt i stk. 2, vil bestemmelsen

på denne baggrund også kunne anvendes til at nedjustere

sådanne foranstaltninger igen efter beredskabssituationen er

håndteret. Det foreslåede stk. 3 har endelig til formål at

sikre, at virksomhedernes ressourcer i form af personale,

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

materiel, kritiske reservedele m.m. vil kunne indsættes på en

måde, som bedst muligt sikrer genetableringen af energifor-

syning og markedsmekanismerne i energisektorerne.

Det foreslås med

stk. 4,

at Energinet i en beredskabssitua-

tion omfattende sikkerhedsrelaterede hændelser, i særlige

tilfælde, hvor klima-, energi- og forsyningsministeren ikke

kan fastsætte og udmelde sektorberedskabsniveauer og for-

anstaltninger, jf. stk. 1, 2 og 3, kan varetage opgaven på

ministerens vegne. Energinet kan kun varetage opgaven for

el-, gas- og brintsektorerne.

Det foreslåede stk. 4, har karakter af en delegation fra kli-

ma-, energi- og forsyningsministeren til Energinet. Det fore-

slåede stk. 4 vil kunne finde anvendelse i situationer, hvor

klima-, energi- og forsyningsministeren måtte være afskåret

fra at varetage sine opgaver efter stk. 1-3. Det kunne således

være, hvor klima-, energi- og forsyningsministeren er ramt

af en beredskabssituation, der gør det umuligt at bruge de

normale kommunikationsveje til el-, gas- og brintvirksom-

hederne. Energinet vil herefter i særlige situationer, fx større

hændelser i telesektoren, kunne varetage denne opgave, hen-

set til at Energinet har særlige kommunikationsveje direkte

til en række virksomheder i el-, gas- og brintsektoren, der vil

kunne sikre en særlig redundans for deres kommunikation.

Det bemærkes, at Energinet A/S er en selvstændig offentlig

virksomhed (SOV) under Klima-, Energi- og Forsyningsmi-

nisteriet oprettet ved lov. Energinet varetager som SOV også

myndighedsopgaver, jf. lov om Energinet, § 2, stk. 6, mod-

sætningsvist.

Til § 12

For el- og gassektorerne er der fastsat regler om at indberet-

te beredskabshændelser, som vedrører det klassiske bered-

skab i elberedskabsbekendtgørelsen og naturgasberedskabs-

bekendtgørelsen. Ifølge bekendtgørelsernes § 22, stk. 1,

skal virksomheder udarbejde en evaluering af større eller

usædvanlige hændelser, som i væsentligt omfang har aktive-

ret virksomhedens beredskab. Der stilles krav til indhold

af evalueringen, samt at der senest 3 måneder efter hæn-

delsen skal fremsendes til Energistyrelsen. Energistyrelsen

kan pålægge virksomheder at udarbejde sådanne evaluerin-

ger. Virksomheder skal efter § 23 i bekendtgørelserne omgå-

ende underrette Energinet om nærmere angivne hændelser af

relevans for beredskabssituationer i overensstemmelse med

sektorberedskabsplanen.

Regler om indberetning af beredskabshændelser om it-be-

redskab for virksomheder i el- og gassektorerne fremgår af

it-beredskabsbekendtgørelsen. Det fremgår af bekendtgørel-

sens § 21, stk. 1, at it-sikkerhedshændelser, der i væsentligt

grad reducerer virksomhedens funktionalitet eller funktiona-

liteten af andre dele af el- og gassektoren, omgående skal

meddeles Energinet. Virksomheder skal desuden ifølge be-

kendtgørelsens § 22, stk. 1, udarbejde evalueringer af hæn-

delser, der i væsentligt omfang aktiverer virksomhedens it-

beredskab. Der opstilles nærmere scenarier, hvor det kræves,

at der udarbejdes en evaluering. Der er fastsat indholdsmæs-

sige krav til evalueringen i § 22, stk. 2, mens der i § 22, stk.

3, stilles krav om, at evalueringen senest 3 måneder efter

hændelsen fremsendes til Energistyrelsen.

De nærmere regler om at indberette beredskabshændelser

for oliesektoren fremgår af olieberedskabsbekendtgørelsens

§§ 14 og 15. Bestemmelserne regulerer både klassiske be-

redskabshændelser og it-beredskabshændelser. Ifølge § 14,

stk. 1, skal virksomheder og den centrale lagerenhed uden

ugrundet ophold meddele Energistyrelsen om hændelser, der

i væsentlig grad reducerer deres funktionalitet eller funktio-

naliteten af andre dele af oliesektoren. Efter § 15, stk. 1,

skal virksomheder og den centrale lagerenhed udarbejde en

evaluering af hændelser, som meddeles i medfør af § 14, stk.

1. Hændelsesevalueringen skal fremsendes senest 3 måneder

efter hændelsen til energistyrelsen, jf. § 15, stk. 3.

Der stilles ikke krav om indberetning af beredskabshændel-

ser i andre delsektorer i energisektoren.

Det følger af den foreslåede

§ 12,

at klima-, energi- og

forsyningsministeren kan fastsætte regler for underretning

og indrapportering af hændelser, væsentlige cybertrusler og

nærvedhændelser.

Formålet med bestemmelsen er at skabe hjemmel til at mi-

nisteren vil kunne fastsætte de nødvendige regler om under-

retning og indrapportering af hændelser, der eksempelvis

vil forpligte virksomheder til at foretage underretning om

enhver væsentlig hændelse uden unødigt ophold, samt ved

at stille krav til indholdet af en sådan underretning, herun-

der at den for eksempel vil skulle indeholde oplysninger,

der gør det muligt at fastslå eventuelle grænseoverskridende

virkninger af hændelsen.

Det forventes på den baggrund, at der eksempelvis vil blive

fastsat nærmere regler om, at underretning af hændelser og

nærvedhændelser med cyberelementer, vil skulle sendes til

Energistyrelsen, der forventes udpeget som den kompetente

myndighed for energisektoren i Danmark i overensstemmel-

se med NIS 2-direktivets artikel 8, stk. 3 samt Center for

Cybersikkerhed.

Center for Cybersikkerhed (CFCS) blev ved implementerin-

gen af NIS 1-direktivet udpeget som CSIRT i Danmark, og

opgaven har hidtil været varetaget som en del af Netsikker-

hedstjenesten i CFCS.

Med den kongelige resolution af 29. august 2024 er Cen-

ter for Cybersikkerhed, bortset fra Netsikkerhedstjenesten,

blevet overdraget til Ministeriet for Samfundssikkerhed og

Beredskab. Det betyder, at Forsvarsministeriet, herunder FE,

indtil videre bibeholder ansvaret for CSIRT-funktionen.

Det forventes, at der vil blive fastsat nærmere regler om,

at underretning om sådanne hændelser, vil skulle ske via

virk.dk og at underretning vil skulle sendes samtidig til

Energistyrelsen og Center for Cybersikkerhed via en fælles

digital indgang, såsom Virk.dk. De berørte virksomheder

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

vil herefter alene skulle foretage én samlet underretning,

som sendes samtidigt til de relevante myndigheder. Ordnin-

gen vil sikre, at både den Energistyrelsen og Center for

Cybersikkerhed hurtigt og effektivt vil kunne varetage deres

myndighedsopgaver.

Den foreslåede bestemmelse vil danne hjemmel for, at der

ved fastsættelse af nærmere regler på bekendtgørelsesniveau

vil implementeres artikel 23, stk. 1 og stk. 6 i NIS 2-direk-

tivet og artikel 15, stk. 1, 1. pkt., i CER-direktivets forplig-

telser til at foretage underretning ved hændelser, væsentlige

cybertrusler og nærvedhændelser, herunder ved væsentlige

hændelser berører to eller flere medlemsstater.

Bemyndigelsen forventes endvidere udmøntet ved nærmere

regler om, at de ovenfor beskrevne forpligtelser til at fo-

retage underretning ved hændelser, væsentlige cybertrusler

og nærvedhændelser, der forventes fastsat i medfør af be-

stemmelsen, finder anvendelse på virksomheder, uanset om

virksomhederne selv vedligeholder deres net- og informati-

onssystemer eller outsourcer vedligeholdelsen deraf, i over-

ensstemmelse med NIS 2-direktivets præambelbetragtning

nr. 83, 2. pkt. Såfremt der måtte ske en hændelse i et net-

og informationssystem, som eksempelvis er outsourcet, vil

det herefter fortsat være virksomhedens ansvar, at der sker

underretning i fornødent omfang.

Ministeren forventes på baggrund af bestemmelsen endvide-

re at fastsætte nærmere regler der præciserer, hvilke hændel-

ser virksomheder skal underrette myndighederne om. Disse

regler vil implementere CER-direktivets artikel 15, stk. 1,

3. pkt., og NIS 2-direktivers artikel 23, stk. 3, om hvilke

hændelser der skal foretages underretning om, der fastlæg-

ger de kriterier, der skal tages i betragtning for at fastslå en

hændelses omfang, herunder hvornår en hændelse anses som

væsentlig.

Ministeren vil herudover kunne fastsætte regler, hvor tærsk-

len for at virksomheder skal foretage underretninger af hæn-

delser er mindre, end hvad der følger af CER- og NIS 2-di-

rektiverne, da dette ville kunne understøtte et bedre indblik

i det aktuelle trusselsbillede. Et mere præcist trusselsbillede

vil kunne anvendes til at foretage de nødvendige nationale

foranstaltninger, for at opretholde en mere robust energisek-

tor.

Med den foreslåede bestemmelse vil klima-, energi- og for-

syningsministeren kunne fastsætte nærmere regler til form-

krav af underretninger, herunder hvilke informationer, der

vil skulle fremgå af underretninger og hvilke frister vil gæl-

de i forhold til underretning. Ministeren vil desuden med

baggrund i bestemmelsen, kunne fastsætte regler, om hvem

der udover den Energistyrelsen og Center for Cybersikker-

hed evt. vil skulle underrettes ved hændelser.

Ved de nærmere regler om underretning af hændelser for-

ventes det, at der vil blive fastsat regler om at underretning

vil skulle ske på følgende måde; 1) en tidlig varsling, som

skal angive, om hændelsen mistænkes at være forårsaget af

ulovlige eller ondsindede handlinger eller kunne have en

grænseoverskridende virkning, sendes uden unødigt ophold

og under alle omstændigheder inden for 24 timer efter, at

virksomheden har fået kendskab til hændelsen, til Energisty-

relsen og Center for Cybersikkerhed, 2) en hændelsesunder-

retning, som skal ajourføre oplysningerne fra den tidlige

varsling, jf. nr. 1, og give en indledende vurdering af hæn-

delsen, herunder dens alvor og indvirkning samt kompromit-

teringsindikatorerne, hvor sådanne foreligger, sendes uden

unødigt ophold og under alle omstændigheder inden for 72

timer efter, at den pågældende har fået kendskab til hændel-

sen, til den kompetente myndighed og CSIRT’en, 3) efter

anmodning fra kompetente myndighed og CSIRT’en sendes

en foreløbig rapport med relevante statusopdateringer til

den anmodende myndighed, 4) en endelig rapport sendes til

kompetente myndighed og CSIRT’en senest en måned efter

fremsendelsen af den i nr. 2 omhandlede hændelsesunderret-

ning. Rapporten skal indeholde følgende; a) en detaljeret be-

skrivelse af hændelsen, herunder dens alvor og indvirkning,

b) den type trussel eller grundlæggende årsag, der sandsyn-

ligvis har udløst hændelsen, c) anvendte og igangværende

afbødende foranstaltninger og d) de eventuelle grænseover-

skridende virkninger af hændelsen, og 5) såfremt hændelsen

fortsat pågår på tidspunktet for fremsendelsen af den endeli-

ge rapport, jf. nr. 4, skal den berørte virksomhed forelægge

en statusrapport på det pågældende tidspunkt og en endelig

rapport senest en måned efter, at hændelsen er håndteret, til

kompetente myndighed og CSIRT’en .

Med udmøntningen af den foreslåede bemyndigelsesbestem-

melse forventes der fastsat nærmere regler, hvorefter der

vil blive fastlagt en flertrinstilgang for underretninger om

væsentlige hændelser, som følger NIS 2- direktivets artikel

23, stk. 4. De nærmere regler, som udmøntes på baggrund af

bestemmelsen, skal dermed forstås og anvendes i overens-

stemmelse med direktivernes forudsætninger.

De regler, der vil blive udstedt på baggrund af bestemmelsen

om fremgangsmåden for underretningen vil desuden imple-

mentere CER-direktivets artikel 15, stk. 1, 1. og 2. pkt.,

hvoraf det fremgår, at medlemsstaterne sikrer, at kritiske

enheder uden unødigt ophold underretter den kompetente

myndighed om hændelser, der i betydelig grad forstyrrer

eller har potentiale til i betydelig grad at forstyrre leveringen

af væsentlige tjenester. Medlemsstaterne sikrer, at kritiske

enheder, med mindre det operationelt ikke er muligt, indgi-

ver den første underretning senest 24 timer efter at være ble-

vet opmærksom på en hændelse, efterfulgt, hvor det er rele-

vant, af en detaljeret rapport senest 1 måned derefter. Det

fremgår endvidere af artikel 15, stk. 2, at underretninger

efter artiklen ikke medfører et øget ansvar for kritiske enhe-

der, hvilket vil være gældende for underretninger efter den

foreslåede § 12.

Det forventes desuden, at der vil blive fastsat nærmere reg-

ler om, at virksomhederne også skal rette henvendelse til

den nationale CSIRT, såfremt en hændelse måtte have græn-

seoverskridende karakter. Bemyndigelse vil endvidere kun-

ne blive udmøntet ved regler, hvorefter den nationale CSIRT

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

via Energistyrelsen (som nationalt kontaktpunkt) uden unø-

digt ophold skulle underrette de øvrige berørte medlemssta-

ter og ENISA om den væsentlige hændelse, navnlig hvor

den væsentlige hændelse berører to eller flere medlemssta-

ter.

Forså vidt angår de persondataretlige overvejelser, henvises

der til pkt. 4 i de almindelige bemærkninger.

Til § 13

Der er i dag ikke fastsat regler i energisektoren om, i hvilket

omfang operatører af væsentlige tjenester skal underrette

modtagerne af deres tjenester om væsentlige hændelser, der

påvirker de tjenester, som operatørerne leverer.

Det foreslås i

§ 13,

at klima-, energi- og forsyningsmini-

steren kan fastsætte regler om virksomheders pligt til at

underrette modtagere af deres tjenester, myndigheder eller

juridiske personer, som udfører myndighedsopgaver, om tru-

sler eller hændelser, der kan påvirke eller har potentiale til at

påvirke virksomhedens levering af tjenester.

Formålet med bestemmelsen er at skabe hjemmel for mini-

steren til at fastsætte de nødvendige regler om virksomhe-

ders underretningspligt, herunder med henblik på at risici

fra en væsentlig cybertrussel eller en væsentlig hændelse vil

kunne blive håndteret effektivt.

De kommende regler vil skulle implementere artikel 23, stk.

1, 2. pkt., i NIS 2-direktivet, som fastsætter en forpligtelse

for medlemsstaterne til at sikre, at væsentlige og vigtige

enheder i relevant omfang underretter modtagerne af deres

tjenester om væsentlige hændelser, der sandsynligvis vil på-

virke leveringen af disse tjenester negativt.

Desuden vil de kommende regler skulle implementere NIS

2-direktivets artikel 23, stk. 2, der fastsætter en forpligtelse

for medlemsstaterne til at sikre, at væsentlige og vigtige

enheder i givet fald uden unødigt ophold meddeler modta-

gerne af deres tjenester, som potentielt kan være berørt af

en væsentlig cybertrussel, eventuelle foranstaltninger eller

modforholdsregler, som disse modtagere kan træffe som

reaktion på den pågældende trussel. Hvor det er relevant,

skal enhederne også informere de pågældende modtagere

om selve den væsentlige trussel.

Ved udmøntningen af bemyndigelsesbestemmelsen forven-

tes ministeren i overensstemmelse med NIS 2-direktivets

præambelbetragtning nr. 103, at fastsætte nærmere regler,

hvorefter virksomheder uden unødigt ophold vil skulle un-

derrette deres tjenestemodtagere om enhver foranstaltning

eller modforholdsregel, de vil kunne træffe for at afbøde

risici fra en væsentlig cybertrussel. Virksomhederne vil her-

efter være forpligtede til også at informere deres tjeneste-

modtagere om selve truslen, i det omfang det vil være hen-

sigtsmæssigt, og navnlig hvor den væsentlige cybertrussel

sandsynligvis vil materialisere sig. Disse forpligtelser vil

ikke fritage disse virksomheder for forpligtelsen til for egen

regning at træffe passende og øjeblikkelige foranstaltninger

til at forebygge eller afhjælpe enhver trussel af denne art og

genoprette tjenestens normale sikkerhedsniveau.

Ministeren forventes endvidere på baggrund af bestemmel-

sen og i overensstemmelse med præambel betragtning nr.

103 i NIS 2-direktivet, hvorefter oplysninger om væsentlige

cybertrusler blandt andet bør stilles gratis til rådighed for

modtagerne, at fastsætte nærmere regler om at oplysninger

om væsentlige cybertrusler vil skulle stilles gratis til rådig-

hed for modtagerne i et let forståeligt sprog.

Til § 14

It-sikkerhedshændelser, der i væsentlig grad reducerer en

virksomheds funktionalitet eller funktionaliteten af andre

dele af el- og naturgassektoren, skal omgående medde-

les Energinet, jf. it-beredskabsbekendtgørelsens § 21, stk.

1. Energinet kan efter høring af den meddelende virksomhed

oplyse offentligheden om den konkrete hændelse, hvis of-

fentlighedens kendskab hertil er nødvendigt for at forebygge

en hændelse eller håndtere en igangværende hændelse, jf. §

21, stk. 7.

Visse virksomheder i oliesektoren og den centrale lageren-

hed skal uden ugrundet ophold meddele Energistyrelsen om

hændelser, der i væsentlig grad reducerer deres funktionali-

tet eller funktionaliteten af andre dele af oliesektoren, jf. §

14, stk. 1 i olieberedskabsbekendtgørelsen. Energistyrelsen

kan efter høring af den meddelende virksomhed i stk. 1

oplyse offentligheden om konkrete it-beredskabshændelser,

hvis offentlighedens kendskab hertil er nødvendigt for at

forebygge en hændelse eller håndtere en igangværende hæn-

delse, jf. § 14, stk. 3.

Efter det foreslåede

stk. 1,

kan Klima-, energi- og forsy-

ningsministeriet efter høring af en virksomhed, der er eller

bliver ramt af en hændelse, informere offentligheden om

hændelsen, hvis det er nødvendigt for at forebygge eller

håndtere hændelsen, eller hvor informeringen af offentlig-

heden om hændelsen på anden måde er i offentlighedens

interesse.

Bestemmelsen har til formål sammen med den foreslåede

stk. 2 at implementere artikel 23, stk. 7, i NIS 2-direkti-

vet. Bestemmelsen implementerer også artikel 15, stk. 4,

2. punktum i CER-direktivet, hvorefter medlemsstaterne ori-

enterer offentligheden, hvor de vurdere, at det vil være i

offentlighedens interesse at gøre det.

Bestemmelsen skal derfor forstås og anvendes i overens-

stemmelse med NIS 2- og CER-direktivernes forudsætnin-

ger.

For en nærmere beskrivelse af begrebet hændelse, henvises

til de specielle bemærkninger til den foreslåede § 3, nr. 11.

Klima-, Energi- og Forsyningsministeriet har overvejet, om

den foreslåede bestemmelse har karakter af en offentliggø-

relsesordning, som behandlet i betænkning nr. 1516 af 2010

om offentlige myndigheders offentliggørelse af kontrolresul-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

tater, afgørelse mv. (betænkning 1516), der vil fordre, at mi-

nisteriet gennemgik betænkningens ”tjekliste” til brug ved

indførelse af ordninger med systematisk offentliggørelse af

oplysning om kontrolresultater, afgørelser mv. på internettet

i ikke anonymiseret form.

Det fremgår af betænkningens side 105, at det kun er ord-

ninger, hvor der sker offentliggørelse af indholdet af kon-

trolresultaterne, afgørelser mv. i ikke-anonymiseret form,

som er omfattet af udvalgets arbejde. Det fremgår endvide-

re af side 107 i betænkningen, at der med ”systematisk

offentliggørelse” forstås, at der på et givent område sker

offentliggørelse enten af alle afgørelse eller af en flerhed af

afgørelser efter nærmere retningslinjer. Det fremgår dernæst,

at i modsætning hertil står for eksempel en myndigheds

offentliggørelse af oplysninger om en enkelt afgørelse for

eksempel på grund af stor forudgående presseomtale eller

politisk interesse for sagen.

Som det fremgår nedenfor vedrørende bestemmelsens ma-

terielle indhold, er der ikke tale om offentliggørelse af et

kontrolresultat eller en afgørelse, men offentliggørelse af en

hændelse med henblik på hændelsen kan forebygges eller

håndteres ved informeringen af offentligheden, eller hvor in-

formeringen af offentligheden om hændelsen på anden måde

er i offentlighedens interesse. Det kan dog ikke udelukkes,

at en sådan ordning vil være omfattet af betænkningens

”m.v.”, særligt fordi der er en sandsynlighed for, at offentlig-

gørelsen af hændelsen kan vise, at den fysiske eller juridiske

person har overtrådt konkret bestemmelser i lovforslaget

eller regler fastsat i medfør af forslaget, hvilket, jf. andet

afsnit af betænkningens side 105 medfører en formodning

om, at der tale om en offentliggørelsesordning omfattet af

betænkningen.

Det kan dog udelukkes på baggrund af nedenstående beskri-

velse af bestemmelsens materielle indhold, at der med ord-

ningen vil være tale om systematisk offentliggørelse. Der

lægges således op til, at det kun sjældent vil være relevant

for slutbrugere at blive informeret om en hændelse, ligesom

behovet for offentliggørelse af hændelsen vil bero på en

konkret vurdering, hvilket taler imod at der er tale om syste-

matisk offentliggørelse. Klima-, Energi- og Forsyningsmini-

steriet vurderer på den baggrund, at det ikke er nødvendigt

at overveje hensynene fra betænkning 1516’s ”tjekliste”.

Klima-, Energi- og Forsyningsministeriet, vil i det følgende

kort redegøre for behovene og hensynene fra betænkning

1516’s tjekliste, der begrunder den foreslåede offentliggørel-

sesordning, om end den ikke vurderes omfattet af betænk-

ning 1516, for fuldstændighedens skyld.

Det er således Klima-, Energi- og Forsyningsministeriets

vurdering, at der er behov for, at der kan ske offentliggørelse

af hændelser, hvor navne på særligt juridiske personer, og

i meget sjældne tilfælde fysiske personer, fremgår. Det vil

således være en væsentlig information for offentlighedens

forståelse af hændelsens konsekvenser, at det fremgår hos

hvilken virksomhed hændelsen har fundet sted. En række

energivirksomheder er således naturlige monopoler, hvorfor

en hændelse hos sådanne virksomheder vil være med til at

identificere, om hændelsen vil have konsekvenser på lokalt,

regionalt, nationalt eller europæisk plan.

Der vil potentielt blive offentliggjort oplysninger, som be-

tragtes som særligt indgribende, og derfor i udgangspunktet

vil tale i mod at etablere en offentliggørelsesordning. Det

kan således ikke udelukkes, at der som led i offentliggørelse

af hændelsen oplyses, hvad årsagen til hændelsen måtte væ-

re, hvilket indirekte kan indikere, at virksomheden potentielt

har overtrådt reglerne i lovforslaget eller regler udstedt i

medfør af forslaget.

Der er dog tungtvejende samfundsmæssige interesser, som

opvejer hensynet til offentliggørelse af oplysninger om

de fysiske og juridiske personers potentielle strafbare for-

hold. Således vil en hændelse hos en virksomhed have store

og meget direkte konsekvenser for samfundets forsyning af

forskellige energiarter. En hændelse hos en elektricitetsvirk-

somhed vil således kunne føre til strømafbrydelse i større

dele af Danmark, en hændelse hos visse fjernvarmeoperatø-

rer vil kunne føre til, at tusindvis af mennesker står uden

varmeforsyning i deres privathjem og på deres arbejde. I

sådanne tilfælde har offentligheden en tungtvejende interes-

se i at blive bekendt med muligheden for og årsagen til,

strømsvigt eller manglende varmeforsyning, samt interesse

i hvornår hændelsen forventes håndteret og forsyningen af

energi genoprettet.

Med den foreslåede bestemmelse sikres hjemmel til at of-

fentliggøre information om potentielle eller konkrete hæn-

delser, og det er nærmere afgrænset neden for, hvornår

bestemmelsen kan anvendes, herunder at der ved offentlig-

gørelse særligt skal tages hensyn til virksomhedernes særligt

følsomme oplysninger, og at tavshedspligten i forvaltnings-

loven § 27, stk. 1, lige, som er straffebelagt i straffelovens §

152 og §§ 152 c-152 f, skal overholdes.

Det er således Klima-, Energi- og Forsyningsministeriet vur-

dering, at samtlige seks punkter i betænkning 1516’s tjeklis-

te vil være overholdt, hvorfor den foreslåede offentliggørel-

sesordning vil være i overensstemmelse med betænkningens

kriterier for sådanne ordninger.

Den foreslåede bestemmelse vil indebære, at klima-, energi-

og forsyningsministeren vil kunne orientere offentligheden

om en hændelse, hvis orienteringen er i offentlighedens in-

teresse. Der skal skelnes mellem om offentliggørelse er nød-

vendig for at forebygge eller håndtere en hændelse, hvilket

er i overensstemmelse med NIS 2-direktivets artikel 23, stk.

7, eller hvorvidt offentliggørelse af hændelsen på anden vis

er i offentlighedens interesse hvilket er i overensstemmelse

med CER-direktivets artikel 15, stk. 4, 2. pkt.

I vurderingen af om der skal ske offentliggørelse, vil der

skulle ske inddragelse af følgende hensyn; 1) antallet af

brugere som er berørt af hændelsen, 2) hvilke sektorer som

er ramt af hændelsen, 3) hvilke tjenester, der er påvirket af

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

100

hændelsen, 4) hvilke typer af oplysninger som hændelsen

vedrører, 5) den indvirkning, som hændelser kunne have på

økonomiske og samfundsmæssige aktiviteter, miljøet, den

offentlige sikkerhed eller befolkningens sundhed. Desuden

vil der efter den foreslåede bestemmelse skulle foretages en

afvejning af hensynet til den konkrete virksomhed over for

hensynet til orientering af offentligheden.

Offentliggørelse vil også kunne ske til en afgrænset del af

offentligheden, eksempelvis sådan at offentliggørelse kun

sker til andre virksomheder i energisektoren eller dele af

denne sektor. Ligeledes vil offentliggørelsen kunne afgræn-

ses til relevante aktører ud fra en vurdering af klima-, ener-

gi- og forsyningsministeren. Det er sjældent, at offentliggø-

relse af en hændelse vil være relevant for slutbrugere.

Klima-, Energi- og Forsyningsministeriet vil i medfør af

bestemmelsen skulle høre den berørte virksomhed, før der

sker offentliggørelse af hændelsen. Det forudsættes, at virk-

somheden så vidt muligt vil skulle have en rimelig frist til at

afgive bemærkninger til høringen, dog uden at formålet med

offentliggørelsen forspildes. To hensyn understøttes ved at

offentliggørelse vil ske efter høring af virksomheden. For

det første vil det sikre, at det er korrekte informationer der

bliver meddelt til offentligheden. For det andet vil det sikre,

at der ikke vil blive offentliggjort oplysninger som er særligt

følsomme for virksomhederne.

I tilfælde, hvor ministeren har vurderet om der skal ske of-

fentliggørelse af en hændelse eller ej og har fundet at orien-

tering af offentligheden er nødvendigt for at forebygge eller

forhindre en hændelse, vil der være helt særlige og meget

tungtvejende grunde til, at der skal ske offentliggørelse. Et

svar fra en høring af virksomheden vil i disse tilfælde derfor

kun i helt ekstraordinære situationer føre til, at der ikke skal

ske offentliggørelse.

I tilfælde, hvor ministeren har vurderet om der skal ske

offentliggørelse af en hændelse eller ej og har fundet at der

skal ske orientering af offentligheden fordi informationerne

på anden vis er i offentlighedens interesse, vil der i større

grad lægges vægt på virksomhedens forhold. En høring af

virksomheden i disse tilfælde, vil dermed i større grad kunne

lede til, at ministeren undlader at informere offentligheden.

Det bemærkes i den forbindelse, at hensynene i forvalt-

ningslovens § 27, om offentlige ansattes tavshedspligt, vil

skulle iagttages ved vurderingen af, hvorvidt der skal ske

orientering af offentligheden. Dette omfatter bl.a. hensynet

til enkeltpersoners private forhold, forretningshemmelighe-

der samt hensynet til forebyggelse, efterforskning og for-

følgning af lovovertrædelser. En offentliggørelse efter den

foreslåede bestemmelse vil ikke kunne udgøre et brud på

tavshedspligten efter forvaltningslovens § 27. I tillæg hertil

skal de hensyn som fremgår af lovforslagets kapitel 10 om

fortrolighed indgå i overvejelser om orientering af offentlig-

heden.

Der stilles ikke i bestemmelsen nærmere krav til formen

for orienteringen. Orientering af offentligheden vil således

kunne ske på den måde, som klima-, energi- og forsynings-

ministeren finder bedst egnet under hensyn til den berørte

virksomhed, hændelsens karakter, den geografiske udstræk-

ning, den forventede betydning for bestemte dele af offent-

ligheden m.v.

Rammer en hændelse flere sektorer, eller har en hændelse

potentiale til at ramme flere sektorer, forudsættes det, at

der forud for offentliggørelse vil skulle ske en koordinering

mellem klima-, energi- og forsyningsministeren og de andre

relevante kompetente myndigheder efter hhv. NIS 2- og

CER-direktivet.

Det forventes, at det som udgangspunkt vil være klima-,

energi- og forsyningsministeren, der foretager offentliggø-

relsen af en hændelse, jf. dog det foreslåede stk. 2, idet

ministeren vil være nærmest til at foretage afvejningen af

virksomhedens eventuelle interesse i, at der ikke sker offent-

liggørelse over for hensynet til offentligheden.

Efter det foreslåede

stk. 2,

kan klima-, energi- og forsy-

ningsministeren i situationer efter stk. 1 påbyde virksomhe-

der at informere offentligheden om hændelsen.

Den foreslåede bestemmelse har til formål give hjemmel til

klima-, energi- og forsyningsministeren til at give påbud til

virksomheden om selv at informere offentligheden om hæn-

delsen. Den foreslåede bestemmelse har endvidere til formål

at implementere NIS 2-direktivets artikel 23, stk. 7, 2. punk-

tum, hvorefter medlemsstater efter høring af en virksomhed,

kan kræve at virksomheden informerer offentligheden om

hændelsen.

Efter den foreslåede bestemmelse vil en afgørelsen efter stk.

1 om, at der skal ske offentliggørelse kunne ledsages af en

meddelelse af påbud til virksomheden om, selv at informere

om hændelsen.

Bestemmelsen forventes anvendt i situationer, hvor det en-

ten af ministeren eller af virksomheden i forbindelse med

høringen efter stk. 1, er blevet vurderet mest hensigtsmæs-

sigt, at virksomheden selv offentliggør hændelsen. Det kan

f.eks. være fordi at virksomheden allerede selv arbejder på

at informere offentligheden som det nogle gange er tilfældet

når virksomheder bliver ramt af større hændelser.

Påbuddet der gives efter bestemmelsen vil endvidere skul-

le specificere hvilke informationer der offentliggøres, hvil-

ken detaljegrad informationerne skal have, hvornår, hvor og

hvordan offentliggørelsen skal finde sted.

Bestemmelsen kan også bruges til at påbyde virksomheden

at supplere ministerens offentliggørelse af hændelsen, og

dermed offentliggøre yderligere oplysninger eller blot gen-

give ministerens offentliggørelse.

Der henvises i øvrigt til bemærkningerne til § 14, stk. 1.

Til § 15

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

101

Der er i dag ikke fastsat regler i energisektoren, der regu-

lerer, frivillige indberetninger til Klima-, Energi- og Forsy-

ningsministeriet om hændelser, med henblik på, at ministeri-

et kan udnytte erfaringer med cybertrusler og sikkerhedsrisi-

ci på tværs af samfundet.

Det følger af det foreslåede

stk. 1,

at enhver kan underret-

te Klima-, Energi- og Forsyningsministeriet om væsentlige

hændelser, cybertrusler og nærvedhændelser, der negativt

påvirker eller vurderes at kunne påvirke tilgængelighed, in-

tegritet eller fortrolighed af data, informationssystemer, digi-

tale netværk eller digitale servicer i energisektoren.

For en nærmere beskrivelse af begreberne hændelse, cy-

bertrusler og nærvedhændelser henvises til de specielle be-

mærkninger til den foreslåede § 3, nr. 11, 4 og 22.

Den foreslåede bestemmelse har til formål at implementere

NIS 2-direktivets artikel 30, stk. 1, litra a og b. Det følger

derfor af den foreslåede bestemmelse, at der i tilgift til

underretningsforpligtelsen der vil blive fastsat i medfør af

den foreslåede § 12 og § 13 kan indgives underretninger til

Klima-, Energi- og Forsyningsministeriet på frivillig basis

af virksomheder omfattet af loven for så vidt angår hændel-

ser, cybertrusler og nærvedhændelser, samt virksomheder

og personer der ikke er omfattet af loven for så vidt angår

væsentlige hændelser, cybertrusler og nærvedhændelser.

Den foreslåede bestemmelse vil indebære, at alle offentlige

og private virksomheder samt privatpersoner vil kunne un-

derrette Klima-, Energi- og Forsyningsministeriet om hæn-

delser, der negativt påvirker, eller vurderes at kunne påvirke

tilgængelighed, integritet eller fortrolighed af data, informa-

tionssystemer, digitale netværk eller digitale services, hvil-

ket indholdsmæssigt svarer til begrebet »sikkerhedshændel-

se« efter § 2, nr. 1, i lov om Center for Cybersikkerhed,

jf. lovbekendtgørelse nr. 836 af 7. august 2019 (CFCS-lo-

ven). Det bemærkes i den forbindelse, at begrebet »digitale

services« skal forstås i overensstemmelse med begrebet »di-

gitale tjenester« i CFSF-loven.

Det er Klima-, Energi- og Forsyningsministeriets vurdering,

at underretning af ministeriet ved større sikkerhedshændel-

ser skaber de bedst mulige forudsætninger for, at Klima-,

Energi- og Forsyningsministeriet kan udnytte erfaringer med

cybertrusler og sikkerhedsrisici på tværs af samfundet –

og dermed skabe et samlet overblik over den aktuelle sik-

kerhedstilstand i energisektoren i Danmark. Underretninger

vil således sætte Klima-, Energi- og Forsyningsministeriet i

stand til at varsle hurtigere om trusler og styrke grundlaget

for rådgivningen om risici og passende sikkerhedstiltag.

Det bemærkes, at frivillige underretninger foreslås undtages

fra aktindsigt efter lovforslagets § 27, jf. de specielle be-

mærkninger til denne bestemmelse.

Det følger af den foreslåede

stk. 2,

at klima-, energi- og

forsyningsministeren uden unødigt ophold skal videresende

underretninger efter stk. 1, til den danske CSIRT.

Den foreslåede bestemmelse, vil medføre, at klima-, energi-

og forsyningsministeren uden unødigt ophold vil skulle vi-

deresende underretninger efter stk. 1, til den danske såkaldte

CSIRT.

Det forventes derfor, at klima-, energi- og forsyningsmini-

steren vil skulle videresende underretninger efter den fore-

slåede stk. 1 til Center for Cybersikkerhed, således NIS 2-

direktivets artikel 30, stk. 1, litra a og b, kan implementeres

fuldt ud.

Center for Cybersikkerhed (CFCS) blev ved implementerin-

gen af NIS 1-direktivet udpeget som CSIRT i Danmark,

og opgaven har hidtil været varetaget som en del af Netsik-

kerhedstjenesten i CFCS. Med den kongelige resolution af

29. august 2024 er Center for Cybersikkerhed, bortset fra

Netsikkerhedstjenesten, blevet overdraget til Ministeriet for

Samfundssikkerhed og Beredskab. Det betyder, at Forsvars-

ministeriet, herunder FE, indtil videre bibeholder ansvaret

for CSIRT-funktionen.

Det forventes, at Energistyrelsen vil skulle varetage opgaven

som kompetent myndighed på energiområdet for Danmark i

overensstemmelse med NIS 2-direktivets artikel 8, stk. 3.

Forså vidt angår de persondataretlige overvejelser i relation

til den foreslåede bestemmelse, henvises der til pkt. 4 i de

almindelige bemærkninger.

Til § 16

Det foreslås i

§ 16, stk. 1,

at klima-, energi- og forsynings-

ministeren efter forhandling med justitsministeren kan fast-

sætte nærmere regler om, på hvilke betingelser en virksom-

hed kan få foretaget baggrundskontrol af personer i ener-

gisektoren, der: 1) varetager følsomme opgaver i eller til

fordel for en kritisk enhed, navnlig vedrørende den kriti-

ske enheds modstandsdygtighed, 2) er bemyndiget til at få

direkte adgang, indirekte adgang eller fjernadgang til en

kritisk enheds lokaler, oplysninger eller kontrolsystemer,

herunder i forbindelse med den kritiske enheds sikkerhed

eller 3) overvejes ansat i stillinger, der indebærer opgaveva-

retagelse efter nr. 1 og/eller nr. 2.

Den foreslåede bestemmelse har til formål at implementere

artikel 14 i Europa-Parlamentets og Rådets direktiv (EU)

2022/2557 af 14. december 2022 om kritiske enheders

modstandsdygtighed og om ophævelse af Rådets direktiv

2008/114/EF (CER-direktivet), hvorefter medlemsstaterne

efter artiklens stk. 1 angiver, på hvilke betingelser en kritisk

enhed i behørigt begrundede tilfælde og under hensyntagen

til medlemsstatsrisikovurderingen har tilladelse til at indgi-

ve anmodninger om baggrundskontrol af personer, der a)

varetager følsomme opgaver i eller til fordel for en kritisk

enhed, navnlig vedrørende den kritiske enheds modstands-

dygtighed, b) er bemyndiget til at få direkte adgang eller

fjernadgang til en kritisk enheds lokaler, oplysninger eller

kontrolsystemer, herunder i forbindelse med den kritiske

enheds sikkerhed, c) overvejes ansat i stillinger, der hører

under kriterierne i litra a) eller b).

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

102

Den foreslåede bestemmelse svarer i det væsentlige ind-

holdsmæssigt til CER-direktivets artikel 14, stk. 1, og skal

forstås og anvendes i overensstemmelse med direktivets for-

udsætninger.

Det fremgår af CER-direktivets præambelbetragtning nr. 32,

at risikoen for at ansatte i kritiske enheder eller deres kontra-

henter misbruger for eksempel deres adgangsret inden for

den kritiske enheds organisation til at skade og forvolde

skade, giver anledning til stigende bekymring. Derfor bør

medlemsstaterne angive de betingelser, på hvilke kritiske

enheder i behørigt begrundede tilfælde og under hensynta-

gen til medlemsstatsrisikovurderinger har tilladelse til at

indgive anmodninger om baggrundskontrol af personer, der

tilhører specifikke kategorier af deres personale.

Det foreslås, at klima-, energi- og forsyningsministeren be-

myndiges til at fastsætte nærmere regler om, på hvilke betin-

gelser en virksomhed i energisektoren vil kunne anmode om

baggrundskontrol af visse personer i energisektoren.

Efter den foreslåede bestemmelse vil klima-, energi- og for-

syningsministeren efter forhandling med justitsministeren

kunne fastsætte nærmere regler, der vil udmønte den nærme-

re ordning for gennemførelse af CER-direktivets artikel 14

om baggrundskontrol i energisektoren.

Det bemærkes, at gennemførelse af baggrundskontrol vil ske

på baggrund af en ansøgning fra en virksomhed i energisek-

toren og forudsætter, at den pågældende person har meddelt

samtykke dertil.

Det fremgår bl.a. af CER-direktivets artikel 14, stk. 2, at

anmodninger om baggrundskontrol vurderes inden for en

rimelig frist og behandles i overensstemmelse med natio-

nal ret og nationale procedurer samt relevant og gældende

EU-ret, herunder EU-regulering om beskyttelse af personop-

lysninger. Baggrundskontrol skal være forholdsmæssig og

strengt begrænset til, hvad der er nødvendigt. Den foretages

udelukkende med henblik på at vurdere en potentiel sikker-

hedsrisiko for den berørte kritiske enhed.

CER-direktivets artikel 14, stk. 3, fastsætter bl.a., at bag-

grundskontrollen mindst skal bekræfte identiteten af den

person, som er genstand for baggrundskontrollen, og at der

skal foretages en kontrol af strafferegistre for den pågæl-

dende person for lovovertrædelser, der er relevante for en

bestemt stilling.

Det er forventningen, at den nærmere udmøntning af ord-

ningen for baggrundskontrol som udgangspunkt vil ske i

overensstemmelse med kravene i CER-direktivets artikel 14,

stk. 2 og 3, men at der i den nærmere udmøntning vil kunne

være mulighed for, at indføre krav om udvidet baggrund-

skontrol, i lighed med ordningen for udvidet baggrundskon-

trol på luftfartsområdet, jf. pkt. 3.4.1 ovenfor. Som det også

fremgår af CER-direktivets præambelbetragtninger, vil ud-

formningen af baggrundskontrollen desuden skulle fastsæt-

tes under hensyntagen til medlemsstaternes risikovurderin-

ger.

Det bemærkes i den forbindelse, at CER-direktivets krav

om baggrundskontrol har til formål at imødegå risikoen for,

at ansatte i kritiske enheder misbruger eksempelvis deres

adgangsret inden for den kritiske enheds organisation til

at forvolde skade. Dette vil derfor også være styrende for

den nærmere vurdering af, hvilke kriterier der skal indgå i

overvejelserne om godkendelsesniveauet, samt hvilke straf-

bare eller personlige forhold, der skal have betydning for

baggrundskontrollen i forhold til den konkrete stilling.

Som beskrevet i pkt. 3.1.3 og de specielle bemærkninger

til § 4, stk. 2 forventes det, at de af loven omfattede virk-

somheder inddeles i fem niveauer på baggrund af deres for-

syningsstørrelse og kritikalitet for forsyningssikkerheden i

energisektoren. Niveau 1–virksomheder forventes at være de

mindst kritiske for forsyningssikkerheden og niveau 5-virk-

somheder forventes at være det mest kritiske.

Efter den foreslåede bestemmelse forventes der fastsat nær-

mere regler om, at personale med en indirekte mulighed for

at påvirke forsyningssikkerheden i virksomheder i niveau

3, 4 og 5 skal have opnået tilfredsstillende resultat ved ud-

videt baggrundskontrol. Indirekte mulighed for at påvirke

energiforsyningen forventes eksempelvis at være personer

med uledsaget adgang til virksomhedens kontrolcenter (fx

rengøringspersonale eller konsulenter) eller adgang til anlæg

(fx gartnere og vagter) samt softwareudviklere og andre per-

soner som sidder med fx test og udvikling af systemer, som

anvendes til at styre produktion, lagring, transmissionen el-

ler distribution af energi.

For virksomheder i niveau 2, som har betydning for energi-

forsyningen på regionalt eller lokalt niveau, forventes der

i relevant omfang fastsat nærmere regler om, at personale

som enten har direkte eller indirekte mulighed for at påvir-

ke forsyningssikkerheden, omfattes af krav om udvidet bag-

grundskontrol.

For virksomheder i niveau 1 lægges der op til, at virksom-

heden ikke omfattes af krav om udvidet baggrundskontrol,

men at virksomheden i relevant omfang selv foretager bag-

grundskontrol i form af ID/CV-kontrol.

Afgørelser om, hvorvidt en person har gennemgået en udvi-

det baggrundskontrol med et tilfredsstillende resultat og om

tilbagekaldelse af en afgørelse om udvidet baggrundskon-

trol, vil skulle træffes af Energistyrelsen. Disse afgørelser vil

træffes på baggrund af oplysninger om pågældende person,

som politiet tilvejebringer.

Det foreslås i

stk. 2, 1. pkt.,

at klima-, energi- og forsynings-

ministeren efter forhandling med justitsministeren og mini-

steren for samfundssikkerhed og beredskab kan fastsætte

regler om, at personer, der er omfattet af stk. 1, skal sikker-

hedsgodkendes af Klima-, Energi- og Forsyningsministeriet.

Med den foreslåede bestemmelse vil der således i loven

være en særskilt hjemmel til fastsættelse af regler om sik-

kerhedsgodkendelse af ansatte i energisektoren.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

103

Baggrunden for det foreslåede stk. 2, er, at Klima-, Energi-

og Forsyningsministeriet vurderer, at udvidet baggrundskon-

trol i visse tilfælde ikke vil være tilstrækkelig til at sikre den

fornødne personelsikkerhed i energisektoren. Det skyldes

bl.a., at nogle ansatte i energisektoren i deres konkrete op-

gaveløsning har mulighed for potentielt at påvirke energifor-

syningen på fx regionalt, nationalt eller europæisk niveau,

og at der derfor for disse ansatte er behov for en mere

omfattende personelsikkerhedsundersøgelse end fx udvidet

baggrundskontrol. Efter den foreslåede bestemmelse forven-

tes der fastsat nærmere regler om, at ansatte i virksomheder

i niveau 3, 4 og 5, som har direkte adgang til at påvirke

energiforsyningen i energisektoren, skal sikkerhedsundersø-

ges af Politiets Efterretningstjeneste med henblik på afgørel-

se om vedkommende kan sikkerhedsgodkendes til graden

FORTROLIGT.

Der lægges op til, at sikkerhedsundersøgelsen i udgangs-

punktet er til klassifikationsgraden FORTROLIGT, medmin-

dre der er en konkret og særlig begrundelse for at foretage

en undersøgelse til klassifikationsgraden HEMMELIG eller

YDERST HEMMELIGT. Ved valg undersøgelse til klassifi-

kationsgraden HEMMELIGT eller YDERST HEMMELIGT

i stedet for FORTROLIGT lægges der vægt på, at virksom-

heden indgår i fx samarbejde med efterretningstjenesterne

eller indgår i tværgående beredskabsarbejde, hvor der kan

være krav om godkendelse til klassifikationsgraden HEM-

MELIGT eller YDERST HEMMELIGT for deltagelse.

Det lægges op til, at det er Energistyrelsen, som har kom-

petence til at vælge om sikkerhedsundersøgelsen i særlige

tilfælde er til HEMMELIGT eller YDERST HEMMELIGT

i stedet for FORTROLIGT.

Ved direkte adgang til at påvirke energiforsyningen for-

stås, at den pågældende ansatte eller konsulent har væsent-

lige fysiske eller logiske adgange og rettigheder, fx at

vedkommende har ubegrænset fysisk adgang til virksom-

hedens anlæg eller kontrolrum eller at vedkommende har

domænerettigheder eller lign. privilegerede rettigheder til

virksomhedens kritiske systemer.

Efter den foreslåede bestemmelse forventes der endvidere

fastsat nærmere regler om kriterier for, på hvilke betingel-

ser en virksomhed i energisektoren vil kunne anmode om

sikkerhedsgodkendelse. Det bemærkes i den forbindelse, at

gennemførelse af sikkerhedsgodkendelse vil ske på grund-

lag af en ansøgning fra virksomheden og forudsætter, at

vedkommende har meddelt samtykke dertil.

Efter det foreslåede

stk. 2, 2. pkt.,

kan klima-, energi- og

forsyningsministeren efter forhandling med justitsministeren

og ministeren for samfundssikkerhed og beredskab fastsætte

regler om ansøgninger om sikkerhedsgodkendelser, herun-

der betingelser for indgivelse af sådanne ansøgninger samt

meddelelse og tilbagekaldelse af sikkerhedsgodkendelser.

Det forventes, at der fastsættes nærmere regler om ansøg-

ning og afgørelser om sikkerhedsgodkendelser, samt medde-

lelse om og tilbagekaldelse af afgørelser om sikkerhedsgod-

kendelser. Dette omfatter bl.a. administrative krav i forbin-

delse med indgivelse af en ansøgning, hvilken myndighed

der træffer afgørelse, krav om afmelding, hvis en person

ikke længere har en funktion, som forudsætter en sikker-

hedsgodkendelse, og bestemmelser om, at afgørelsen tilba-

gekaldes, hvis en person ikke længere opfylder kravene til

godkendelsen.

Det bemærkes i forlængelse heraf, at ansøgninger om sik-

kerhedsgodkendelse – i overensstemmelse med den gælden-

de praksis på området – vil skulle indgives til Klima-,

Energi- og Forsyningsministeriet, som træffer afgørelse på

baggrund af en sikkerhedsundersøgelse foretaget af Politiets

Efterretningstjeneste.

For så vidt angår de persondataretlige overvejelser, henvises

der til pkt. 4 i de almindelige bemærkninger.

Til § 17

Det følger af elforsyningslovens § 51 d og gasforsyningslo-

vens § 30 a, stk. 5-7, at de virksomheder, der i dag er pålagt

krav om beredskabsplanlægning, fysisk sikring og cybersik-

kerhed i el- og gassektorerne halvårligt skal betale et beløb

til Klima-, Energi- og Forsyningsministeriet til dækning af

omkostningerne af ministeriets tilsyn med virksomhedernes

overholdelse af regler udstedt i medfør af elforsyningslo-

vens §§ 85 b, stk. 4, og 85 c, stk. 6, samt gasforsyningslo-

vens §§ 15 a, stk. 4, og 15 b, stk. 6.

Gebyrernes størrelse er fastsat i gebyrbekendtgørelsen jf. ge-

byrbekendtgørelsens § 10, stk. 2. Gebyrerne er fastsat som

generelle grundbeløb fordelt på fire kategorier, gradueret

således, at gebyret er størst for virksomheder i kategori 1

og lavest for virksomheder i kategori 4 jf. gebyrbekendtgø-

relsens § 10.

Efter forarbejderne til § 51 d i elforsyningsloven og § 30

a, stk. 5-7 er følgende aktiviteter og opgaver gebyrfinansie-

ret: Godkendelse af beredskabsmateriale, herunder dialog

om mangler, fejl, rykkere efter indsendelse til tilsyn, fysisk

tilsyn, herunder forberedelse af tilsyn, udarbejdelse af ska-

beloner, gennemgå beredskabsmateriale, bookning af rejse

o.lign., rejsetid til og fra virksomheden, udarbejdelse af til-

synsrapport samt nødvendig uddannelse af medarbejdere,

der skal foretage tilsyn.

Følgende opgaver og aktiviteter er ikke gebyrfinansieret ef-

ter gældende ret, da de ikke er nævnt i de ovennævnte forar-

bejder: udarbejdelse af vejledningsmateriale, vejledning om

krav til beredskabsmateriale før indsendelse til tilsyn, udar-

bejdelse af påbud eller politianmeldelser, og udarbejdelse og

revision af lovgivning.

Klima-, energi- og forsyningsministerens tilsyn med det al-

mene beredskab og it-beredskabet hos Energinet finansieres

via et lovfastsat grundbeløb i elforsyningslovens § 51 b

og gasforsyningslovens § 30 a, stk. 3, hvor beløbet er en

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

104

delmængde af et større beløb, der opkræves for tilsyn med

Energinets aktiviteter efter de to love.

Der henvises i øvrigt til afsnit 3.5.1 i lovforslagets alminde-

lige bemærkninger.

Efter det foreslåede

stk. 1,

betaler virksomheder et fast beløb

til Klima-, Energi- og Forsyningsministeriet til dækning af

omkostninger til tilsyn med virksomheder efter reglerne i

lovforslaget og regler udstedt i medfør af lovforslaget.

Det er formålet med bestemmelsen at sikre fuld omkost-

ningsdækning for Energistyrelsen, der forventes at få dele-

geret tilsynet med virksomhederne. Det betyder, at udgifter-

ne forbundet med tilsynet og administrationen af ordningen

modsvares af de samlede opkrævninger. Ordningen vil der-

med hvile i sig selv. Dette vil sikre, at princippet om propor-

tionalitet mellem den ydelse, som virksomheden får, og det

gebyr, der opkræves herfor, overholdes.

Bestemmelsen vil videreføre gældende ret fra § 51 d i

elforsyningsloven og § 30 a, stk. 5 i gasforsyningsloven,

der foreslås ophævet, fsva. elproducerende virksomheder,

netvirksomheder, produktionsbalanceansvarlige virksomhe-

der i elsektoren, gasdistributionsselskaber og gaslagerselska-

ber. Derudover vil bestemmelsen udvide anvendelsesområ-

det ift. gældende til også at omfatte de resterende virksom-

heder i el- og gassektoren samt fjernvarme-, fjernkøling-,

olie- og brintsektorerne som oplistet i den foreslåede § 2,

stk. 1.

Den halvårlige betaling er en fortsættelse af den hidtidi-

ge frekvens for betaling for tilsyn med virksomhedernes

beredskabsarbejde efter de ovennævnte bestemmelser. Den

halvårlige frekvens sikrer, at der ikke skal betales for sto-

re beløb ad gangen, samt at opkrævningen kan finde sted

i samme frekvens som andre betalinger for myndigheds-

behandling efter elforsyningsloven, gasforsyningsloven og

olieberedskabsloven.

Konsekvensen af det foreslåede stk. 1 er som beskrevet, at

der sker en udvidelse af den gebyrordning der i dag finansie-

rer klima-, energi- og forsyningsministerens tilsyn med el-

og naturgasvirksomhedernes beredskab efter § 85 b og 85 c

i elforsyningsloven og § 15 a og b i gasforsyningsloven og

regler udstedt i medfør af disse paragraffer.

Efter den forslåede § stk. 1, skal virksomhederne betale ad-

ministrativt fastsatte gebyrer for det tilsyn, de modtager. Ge-

byrerne vil blive fastsat som generelle grundbeløb, der dæk-

ker de udgifter som Energistyrelsen afholder i forbindelse

med, at der forventes delegeret tilsynet med virksomhederne

fra klima-, energi- og forsyningsministeren, har med admi-

nistration og tilsyn med ordningen. De gældende § 51 d

i elforsyningsloven og § 30 a, stk. 5 i gasforsyningsloven

foreslås samtidigt ophævet i disse love, da de erstattes af

den foreslåede stk. 1.

Omkostninger, der vil dækkes af den foreslåede stk. 1, vil

være forbundet med det direkte tilsyn med virksomhedernes

overholdelse af reglerne i lovforslaget og regler udstedt i

medfør heraf som føres efter en fast kadance, fastsat på

bekendtgørelsesniveau med hjemmel i den foreslåede § 19,

stk. 4, samt andre processkridt der er nødvendige for at der

kan føres dette tilsyn med virksomhederne. Det vil eksem-

pelvis være forberedelse af tilsyn, såsom indhentning af ma-

teriale, udsendelse af selvevalueringsskemaer, planlægning

af tilsyn i dialog med virksomheden, effektiv transport til

og fra virksomheder, afholdelsen af selve det fysiske tilsyn,

udgift til eventuel kost og logi i forbindelse med tilsynet,

opfølgning på tilsynet, nødvendig uddannelse, efteruddan-

nelse, certificering og recertificering af medarbejderne til

at føre tilsyn samt udarbejdelse af påbud eller politianmel-

delser. Hertil kommer udgifter til skrivebordstilsyn, der bli-

ver ført i forbindelse med godkendelse af virksomhedernes

konklusioner fra risiko og sårbarhedsvurderingerne, bered-

skabsplaner, it-beredskabsplaner øvelsesplaner, øvelsesind-

beretninger og hændelser-som-øvelser samt kontrakter med

proaktive og reaktive it-sikkerhedstjenester.

Omkostninger til tilsyn med virksomhederne vil endvidere

omfatte udgifter som Energistyrelsen afholder i forbindelse

med, at der forventes delegeret tilsynet med virksomheder-

ne fra klima-, energi- og forsyningsministeren, vil afholde

som led i administrationen af tilsynsordningen, da disse ad-

ministrative processkridt er en forudsætning for at der kan

føres tilsyn med virksomheder. Disse er eksempelvis udgif-

ter til klassificering af virksomhedernes anlæg og niveauind-

deling af virksomhederne efter reglerne i den foreslåede §

4, udarbejdelse af risiko og sårbarhedsscenarier, som virk-

somhederne skal bruge i deres risiko og sårbarhedsvurde-

ringsarbejde, den halvårlige gebyropkrævning af virksomhe-

derne, herunder indhentelse af faktureringsoplysninger fra

virksomhederne, vejledningen af virksomhederne i reglernes

konkrete anvendelse på deres virksomhed, samt håndtering

af hændelsesindberetninger fra virksomhederne.

Udgifter til udarbejdelse af generelt vejledningsmateriale og

udarbejdelse/revision af lovgivning vil forsat ikke finansie-

res af det foreslåede gebyr i stk. 1, men afholdes inden for

ministeriets almindelige bevilling.

Der er efter gældende ret ikke muligt at opkræve gebyrer

fra virksomhederne til finansiering af ad-hoc tilsyn der føres

uden for den normale tilsynskadence.

Efter det foreslåede

stk. 2,

betaler virksomheder for ad-hoc-

tilsyn halvårligt et beløb til Klima-, Energi- og Forsynings-

ministeriet til dækning af omkostningerne for ad-hoc-tilsy-

net med virksomheden efter reglerne i denne lov eller efter

regler udstedt i medfør af loven.

For beskrivelse af ad-hoc tilsyn ift. almindeligt tilsyn hen-

vises til pkt. 3.6.4 i de almindelige bemærkninger og de

specielle bemærkninger til § 19.

Beløbet vil blive beregnet som et individuelt gebyr for hver

virksomhed, der måtte modtage ad-hoc tilsyn efter § 19,

stk. 2, nr. 3, med overholdelsen af reglerne i lovforslaget

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

105

eller efter regler udstedt i medfør af lovforslaget. Gebyret vil

være et aktivitetsbaseret gebyr, og vil derfor blive beregnet

ud fra antallet af timer, der er medgået til udførelsen af

aktiviteten (ad-hoc tilsynet), ganget med den budgetterede

timesats tillagt en forholdsmæssig andel af andre udgifter

der måtte pågå som led i udførelsen af aktiviteten (ad-hoc

tilsynet). De omkostninger, der vil kunne henregnes til dette

gebyr, er de samme som for de generelle grundbeløb virk-

somhederne vil skulle betale efter stk. 1, med undtagelse

af udgifter og timer brugt til nødvendig uddannelse, efterud-

dannelse, certificering og recertificering af medarbejderne,

da disse udgifter allerede vil være dækket af de generelle

grundbeløb.

Virksomheder vil efter det foreslåede stk. 2 blive faktureret

for alle timer, der er pågået frem til den endelige afgørelse

om ad-hoc tilsynet fremsendes til virksomheden. Herunder

også timer, der er brugt i forbindelse indhentning af oplys-

ninger, nærmere undersøgelse af faktiske forhold og vurde-

ring af om ad-hoc tilsyn skal indledes med den pågældende

virksomhed, dog kun i de tilfælde hvor der faktisk indledes

ad-hoc tilsyn med virksomheden. Fører indhentning af op-

lysninger, undersøgelse af faktiske forhold og vurdering af

om ad-hoc tilsyn skal indledes til, at der ikke skal indledes

ad-hoc tilsyn, vil omkostningen blive indregnet i omkostnin-

ger der dækkes efter gebyrerne efter stk. 1.

Det foreslås i

stk. 3,

at klima-, energi- og forsyningsministe-

ren fastsætter regler om størrelsen, betaling og opkrævning

af beløb efter stk. 1 og 2, herunder om fordelingen af om-

kostningerne på kategorier af virksomheder.

Den foreslåede bestemmelse vil indebære, at størrelsen af

gebyrerne for både stk. 1 og stk. 2 som hidtil vil blive fastsat

administrativt ved bekendtgørelse.

Det forventes, at klima-, energi- og forsyningsministeren vil

udmønte bemyndigelsen i § 17, stk. 3, ved at fastsætte regler

om, at gebyrerne efter § 17, stk. 1, som det er tilfældet

i dag, vil blive fastsat som generelle grundbeløb, der dæk-

ker de udgifter som Energistyrelsen afholder i forbindelse

med, at der forventes delegeret tilsynet med virksomhederne

fra klima-, energi- og forsyningsministeren, har med tilsyn

med virksomhederne og dækning af de omkostninger, der

er til administration af ordningen. Det forventes, at gebyr-

størrelserne vil blive differentieret i minimum 6 gebyrkate-

gorier, hvor gebyret vil være lavest for gebyrkategori 1 og

højest for gebyrkategori 6, således at disse vil svare til den

niveauinddeling, der vil ske af virksomhederne i reglerne

udmøntet efter den foreslåede bestemmelse i § 4, stk. 2

om kategorisering af virksomheder samt virksomhedernes

systemer og anlæg, dog med indførelsen af en ekstra gebyr-

kategori (kategori 6).

Denne niveauinddeling vil som beskrevet være bestemmen-

de for, hvor stort et reguleringstryk virksomheden vil blive

underlagt efter disse regler, ligesom det også vil være be-

stemmende for, hvor ofte og hvor mange timers tilsyn som

Energistyrelsen afholder i forbindelse med, at der forventes

delegeret tilsynet med virksomhederne fra klima-, energi-

og forsyningsministeren i gennemsnit forventer at bruge på

virksomhederne på det givne niveau. Klima-, energi og for-

syningsministeren forventes endvidere at udmønte bemyndi-

gelsen i § 17, stk. 3 til at indføre en ekstra gebyrkategori

6, som vil skulle bruges specifikt til Energinet som trans-

missionssystemoperatør for elektricitet og transmissionssy-

stemoperatør for gas, samt andre virksomheder, der grundet

deres helt særlige ansvar for funktionen af energisystemerne

i Danmark, vil skulle modtage et væsentligt mere grundigt

og dybdegående tilsyn end alle andre virksomheder.

I tillæg hertil vil gebyrkategorierne, som det er tilfældet i

dag, tage højde for antallet af anlæg som virksomhederne

ejer. Virksomheder i niveau 5 med mange klasse 4 og 5

anlæg vil således blive indplaceret i en højere gebyrkategori,

end virksomheder i niveau 5 med kun få klasse 4 og 5

anlæg.

Det forventes endvidere, at ministeriet vil kunne justere ge-

byrerne, så de afspejler antallet og størrelsen af de virksom-

heder i sektorerne, der føres tilsyn med.

Det forventes endvidere, at klima-, energi- og forsyningsmi-

nisteren bruger bemyndigelsen i stk. 3 til at fastsætte, at

gebyrer opkrævet efter den foreslåede stk. 2, vil blive op-

krævet som aktivitetsberegnet gebyrer, baseret på det samle-

de antal medgåede timer til ad-hoc tilsyn ganget med den

budgetterede timepris i Energistyrelsen, idet Energistyrelsen

forventes delegeret tilsynet med virksomhederne fra klima-,

energi- og forsyningsministeren, i det år hvor ad-hoc tilsynet

afholdes tillagt en forholdsmæssig andel af andre udgifter

der måtte pågå som led i udførelsen af aktiviteten, idet

tilsynet som beskrevet i den foreslåede § 19, stk. 2, nr. 3

forventes delegeret til Energistyrelsen fra klima-, energi- og

forsyningsministeren.

Der vil således være en fuld omkostningsdækning for Ener-

gistyrelsen, der forventes delegeret tilsynet med virksomhe-

derne fra klima-, energi- og forsyningsministeren, hvilket

betyder, at udgifterne forbundet med tilsynet og admini-

strationen ordningen modsvares af de samlede opkrævnin-

ger. Ordningen vil dermed hvile i sig selv. Dette vil sikre,

at princippet om proportionalitet mellem den ydelse, som

virksomheden får, og det gebyr, der opkræves herfor, over-

holdes.

Det følger af endvidere af det foreslåede stk. 3, at energi-,

forsynings- og klimaministeren vil kunne fastsætte nærmere

regler om betaling og opkrævning af det i stk. 1 og stk. 2

nævnte beløb. Det forventes, at der vil blive fastsat regler

om, at betalingerne skal ske efter halvårlige fakturaer. Det

forventes også, at der vil blive fastsat regler om, at betalin-

gerne skal ske til Energistyrelsen.

Det forventes desuden, at klima-, energi- og forsyningsmi-

nisteren vil udmønte bemyndigelsen i § 17 stk. 3, til at

fastsætte, at gebyrerne efter stk. 1 og 2, skal indbetales

senest 30 dage efter fakturaens udstedelse, og der såfremt

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

106

beløbet ikke betales rettidigt, betales renter af det opkrævede

beløb i medfør af renteloven. Det forventes herudover, at der

fastsættes regler om efterregulering af beløbet, der betales,

så det sikres, at virksomhederne ikke betaler for meget eller

for lidt.

Kompetencen til at fastsætte regler om størrelsen, betaling

og opkrævning af beløb efter stk. 1 og 2, herunder om forde-

ling af omkostningerne på kategorier af virksomheder, efter

det foreslåede stk. 3, forventes ikke delegeret til Energisty-

relsen eller anden underlæggende myndighed, idet klima-,

energi- og forsyningsministeren også efter de andre forsy-

ningslove har valgt at fastholde denne kompetence selv.

Forså vidt angår de persondataretlige overvejelser, henvises

der til pkt. 4 i de almindelige bemærkninger. Der henvises

øvrigt til pkt. 3.5 i de almindelige bemærkninger.

Til § 18

Der er ikke i gældende ret fastsat regler om betaling af

gebyrer for behandling af ansøgninger og dispensationer i

forbindelse med beredskab, fysisk sikring og cybersikkerhed

i energisektoren. Således behandles ansøgninger til Energi-

styrelsen om hhv. sikkerhedsgodkendelser efter sikkerheds-

ciruklærets § 13, ansøgning om dispensation efter hhv. elbe-

redskabsbekendtgørelsens § 33, naturgasberedskabsbekendt-

gørelsens § 33, it-beredskabsbekendtgørelsens § 31 og olie-

beredskabsbekendtgørelsens § 20, samt ansøgninger om

personsammenfald efter it-beredskabsbekendtgørelsens § 6,

stk. 5, vederlagsfrit. Endvidere behandles ansøgninger til

Energistyrelsen om samordnet beredskab efter elberedskabs-

bekendtgørelsens § 30, stk. 2, naturgasberedskabsbekendt-

gørelsens § 30, stk. 2 og it-beredskabsbekendtgørelsens §

17, vederlagsfrit.

Efter det foreslåede

stk. 1,

betaler virksomheder for indgi-

velse af ansøgninger og dispensationer et beløb for behand-

ling heraf efter reglerne i lovforslaget eller efter regler ud-

stedt i medfør heraf.

Det er formålet med bestemmelsen at sikre fuld omkost-

ningsdækning for Energistyrelsen, der forventes at få dele-

geret opgaven med behandle og afgøre ansøgninger og dis-

pensationer fra virksomhederne. Det betyder, at udgifterne

forbundet med at behandle og afgøre ansøgninger og dispen-

sationer fra virksomhederne modsvares af de samlede op-

krævninger. Ordningen vil dermed hvile i sig selv. Dette vil

sikre, at princippet om proportionalitet mellem den ydelse,

som virksomheden får, og det gebyr, der opkræves herfor,

overholdes.

Efter bestemmelsen vil virksomheder skulle betale et fast

vederlag pr. ansøgning, differentieret alt efter hvad det er der

ansøges om. Herefter vil virksomheder være forpligtiget til,

at på et senere tidspunkt at skulle betale et fast vederlag ved

indgivelse af f.eks. ansøgninger om samordnet beredskab,

ansøgninger om personsammenfald, ansøgning om dispen-

sation efter den generelle dispensationsregel samt andre an-

søgninger, der er virksomhedens egen interesse. Reglen vil

finde anvendelse på ansøgninger, uagtet om virksomhederne

er forpligtet til at ansøge om den konkrete godkendelse eller

dispensation pga. krav herom i reglerne i dette lovforslag

eller regler udstedt i medfør af dette lovforslag eller ej.

Såfremt en virksomhed ikke skulle betale for ansøgningen

eller dispensationen, eller skulle betale for sent herfor, vil

det ikke have indflydelse på retsvirkningen af den godkend-

te/eller afviste dispensation eller ansøgning. Energistyrelsen,

der forventes at få delegeret opgaven med behandle og af-

gøre ansøgninger og dispensationer fra virksomhederne, vil

dog kunne retsforfølge virksomheden for manglende beta-

ling ved domstolene.

Det foreslås i

stk. 2,

at klima-, energi- og forsyningsministe-

ren fastsætter regler om størrelsen, betaling og opkrævning

af beløb efter stk. 1.

Det forventes af denne bemyndigelse vil blive udmøntet

ved at klima-, energi- og forsyningsministeren administrativt

fastsætter et engangsvederlag, der skal betales pr. ansøgning,

som virksomheden indgiver til Energistyrelsen, der forven-

tes at få delegeret opgaven med behandle og afgøre ansøg-

ninger og dispensationer fra virksomhederne. Betalingkravet

afhænger ikke af, om virksomheden opnår godkendelse af

deres ansøgning eller ej. Der skal således betales blot, fordi

Energistyrelsen, der forventes at blive delegeret behandlin-

gen af sådanne ansøgninger, skal realitetsbehandle en ansøg-

ning. Det forventes, at ansøgningstyper, der estimeres til

gennemsnitligt at have det samme sagsomfang og derfor

også sagsbehandlingstid, får fastsat det samme størrelse en-

gangsvederlag. Det forventes, at gebyrerne for de enkelte

ansøgningstyper i første omgang vil blive fastsat på bag-

grund af klima-, energi- og forsyningsministerens initiale

estimering af hvor mange timer det gennemsnitligt tager at

behandle en sådan ansøgning ganget med den budgetteret

timepris tillagt en forholdsmæssig andel af andre udgifter

der måtte pågå som led i udførelsen af aktiviteten (behand-

ling af ansøgningen). Efter der er opbygget et tilstrækkeligt

datagrundlag gennem medarbejdernes tidsregistrering, vil

den initiale estimering blive erstattet af de reelle omkost-

ninger baseret på det konkrete gennemsnitlige tidsforbrug

pr. ansøgningstype, hvorefter de fastsatte gebyrer vil blive

op- eller nedjusteret på dette grundlag, ligesom hvis den

budgetterede timepris ændrer sig, idet gebyrordningen skal

balancere over en 4-årig periode i overensstemmelse med

Finansministeriets budgetvejledning.

Klima-, energi- og forsyningsministeren bemyndiges derfor

i medfør af den forslåede bemyndigelse i stk. 2 til at an-

vende den til enhver tid gældende budgetterede timepris

hos Energistyrelsen til hvem sagsbehandlingen delegeres

til, til fastsættelsen af beløbene der skal betales. Den bud-

getterede timepris fastsættes på grundlag af gennemsnitlige

lønudgifter tillagt en forholdsmæssig andel af generelle fæl-

lesomkostninger, relevante henførbare, indirekte omkostnin-

ger og direkte øvrige driftsomkostninger, der er forbundet

med myndighedsbehandlingen i det pågældende regnskabs-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

107

år. Energistyrelsens omkostningsfordeling vil følge Finans-

ministeriets vejledninger herfor.

Der vil således være en fuld omkostningsdækning for Ener-

gistyrelsen, hvilket betyder, at udgifterne forbundet med

tilsynet og administrationen af ordningen modsvares af de

samlede opkrævninger. Ordningen vil dermed hvile i sig

selv. Dette vil sikre, at princippet om proportionalitet mel-

lem den ydelse, som virksomheden får, og det gebyr, der

opkræves herfor, overholdes.

Det forventes derfor ligeledes, at klima-, energi- og forsy-

ningsministeren udmønter bemyndigelsen i stk. 2, således at

hvis virksomheden indleverer en mangelfuld ansøgning, så

betales der gebyr for behandlingen (afvisningen) af både den

ufuldstændige og den endelige ansøgning.

Det følger af endvidere af det foreslåede stk. 2, at klima-,

energi- og forsyningsministeren vil kunne fastsætte nærmere

regler om betaling og opkrævning af beløb efter stk. 1. Det

forventes, at der vil blive fastsat regler om, at betalingerne

skal ske efter halvårlige fakturaer. Således skal der ikke

ske betaling af beløbet samtidig med, at ansøgningen indgi-

ves. Det forventes også, at der vil blive fastsat regler om, at

betalingerne skal ske til Energistyrelsen, der forventes at få

delegeret opgaven med behandle og afgøre ansøgninger og

dispensationer fra virksomhederne.

Det forventes desuden, at klima-, energi- og forsyningsmi-

nisteren vil udmønte bemyndigelsen i § 17 stk. 3, til at

fastsætte, at gebyrerne efter stk. 1 og 2, skal indbetales

senest 30 dage efter fakturaens udstedelse, og der såfremt

beløbet ikke betales rettidigt, betales renter af det opkrævede

beløb i medfør af renteloven. Det forventes herudover, at der

fastsættes regler om efterregulering af beløbet, der betales,

så det sikres, at virksomhederne ikke betaler for meget eller

for lidt.

Kompetencen til at fastsætte regler om størrelsen, betaling

og opkrævning af beløb efter stk. 1, efter det foreslåede

stk. 2, forventes ikke delegeret til Energistyrelsen eller an-

den underlæggende myndighed, idet klima-, energi- og for-

syningsministeren også efter de andre forsyningslove har

valgt at fastholde denne kompetence selv.

Forså vidt angår de persondataretlige overvejelser, henvises

der til pkt. 4 i de almindelige bemærkninger. Der henvises i

øvrigt til pkt. 3.5 i de almindelige bemærkninger.

Til § 19

Efter elforsyningslovens § 85 b, stk. 4, kan Klima-, energi-

og forsyningsministeriet fastsætte nærmere regler for udfø-

relsen af tilsyn med virksomhedernes nødvendigealmene

beredskabsarbejde. De nærmere regler for tilsyn er fastsat

i elberedskabsbekendtgørelsens kapitel 10. Efter bekendtgø-

relsen er Energistyrelsen tilsynsmyndigheden, jf. § 28, stk.

1, 1. pkt. og § 29, stk. 1, 1.pkt.

Klima-, energi- og forsyningsministeren kan på baggrund

af gasforsyningslovens § 15 a, stk. 4, fastsætte nærmere

regler for udførelsen af selskabernes almene beredskabsar-

bejde. De nærmere regler for tilsyn er fastsat i naturgasbe-

redskabsbekendtgørelsen. Energistyrelsen er tilsynsmyndig-

heden for selskabernes overholdelse af beredskabsregulerin-

gen, jf. § 28, stk. 1, 1. pkt. og § 29, stk. 1, 1.pkt.

Efter elforsyningslovens § 85 c, stk. 6, og gasforsynings-

lovens § 15 b, stk. 6, fastsætter klima-, energi- og forsy-

ningsministeren nærmere regler for udførelsen af tilsyn med

virksomhedernes it-beredskab. De nærmere regler for tilsyn

er fastsat i it-beredskabsbekendtgørelsen. Efter bekendtgø-

relsen er Energistyrelsen tilsynsmyndigheden, jf. bekendtgø-

relsens § 26, stk. 1 og § 27, stk. 1.

Ifølge olieberedskabslovens § 17, stk. 1, fører klima-, ener-

gi- og forsyningsministeren tilsyn med, at loven og regler

udstedt i medfør af loven overholdes. Olieberedskabslovens

indeholder i § 16 beredskabspligter for virksomheder om-

fattet af loven. Klima-, energi- og forsyningsministeren fø-

rer således tilsyn med olievirksomhedernes beredskab efter

olieberedskabsbekendtgørelsen. Efter olieberedskabslovens

§ 17, stk. 5, kan klima-, energi og forsyningsministeren

fastsætte nærmere regler om fremsendelse af oplysninger til

brug for tilsyn, om virksomhedernes medvirken i tilsyn og

om virksomhedernes fremsendelse af revisorerklæring. De

nærmere regler er fastsat i olieberedskabsbekendtgørelsens §

18.

Der er ikke nærmere regler for tilsyn af virksomheders be-

redskab i fjernvarme- og kølesektoren eller virksomhedernes

beredskab efter undergrundsloven.

Det foreslås i

stk. 1,

at tilsyn med, at virksomhederne opfyl-

der deres forpligtelser i henhold til loven og regler udstedt i

medfør af loven.

Den foreslåede bestemmelse har til formål at fastlægge hvil-

ken myndighed, der har tilsynsforpligtigelsen med de af

loven omfattet virksomheder i el-, gas-, olie-, fjernvarme-,

fjernkøling- og brintsektoren og denne myndighed tilfalder,

at klima-, energi- og forsyningsministeren.

Tilsynsforpligtigelsen forventes dog at blive delegeret til

Energistyrelsen i medfør af den foreslåede bestemmelse i §

33.

Det foreslås i

stk. 2,

at klima-, energi og forsyningsministe-

ren, som led i sin tilsynsforpligtelse kan anvende de i be-

stemmelsens nr. 1-6 oplistede tilsyns- og kontrolforanstalt-

ninger.

Den foreslåede bestemmelse har til formål fastlægge hvilke

tilsynsbeføjelser Klima-, Energi- og Forsyningsministeriet

har til at løfte tilsynsforpligtigelsen efter stk. 1 med de af

loven omfattet virksomheder i el-, gas-, olie-, fjernvarme-,

fjernkøling- og brintsektoren. Den foreslåede bestemmelse

har endvidere til formål at implementere artikel 32, stk. 1, i

NIS 2-direktivet og artikel 21, stk. 1 og 2, i CER-direktivet.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

108

Bestemmelsen vil sikre, at de tilsynsforanstaltninger, der

kan anvendes af Klima-, Energi- og Forsyningsministeriet er

effektive og står i rimeligt forhold til overtrædelsen og har

afskrækkende virkning under hensyntagen til omstændighe-

derne i hver enkelt sag.

Bestemmelsen vil sikre at Klima-, Energi- og Forsyningsmi-

nisteriet i medfør af beføjelserne i nr. 1-6, har beføjelser og

midler til, at ministeriet kan vurdere, om virksomhederne

der er omfattet af loven, opfylder forpligtelserne.

Bestemmelsen vil endvidere sikre at Klima-, Energi- og For-

syningsministeriet, hvor det er nødvendigt for udførelsen af

ministeriets tilsynsopgaver i henhold til stk. 1, har beføjel-

ser og midler til at virksomhederne inden for en rimelig

tidsfrist, der fastsættes af ministeriet, giver de informationer,

der kan kræves for føre tilsyn med virksomheden.

Der gives med den foreslåede bestemmelse hjemmel til, at

klima-, energi- og forsyningsministeren kan anvende de til-

synsbeføjelser, der er oplistet i § 19, stk. 2, nr. 1-6. Bestem-

melsen oplister således nogle af de værktøjer, som klima-,

energi- og forsyningsministeren har til rådighed til at løfte

sin tilsynsforpligtigelse fastsat i § 19, stk. 1.

Det forudsættes, at der ved valget om en af de i § 19,

stk. 2, nr. 1-6, tvangsindgreb vil skulle anvendes at klima-,

energi- og forsyningsministeren iagttager proportionalitets-

princippet i retssikkerhedslovens § 2, og således kun anven-

der foranstaltninger hvis indgreb står i rimeligt forhold til

formålet med indgrebet.

Det forudsættes ligeledes, at retssikkerhedslovens § 3 til § 8

iagttages ved anvendelsen af det valgte tvangsindgreb. Såle-

des skal der ske underretning af virksomheden, og formkra-

vene i § 5, stk. 2 skal overholdes medmindre undtagelserne i

§ 5, stk. 4, måtte finde anvendelse.

Det bemærkes endeligt generelt set til de foreslåede bestem-

melser i § 19, stk. 2, nr. 1-6, at de dele af direktivernes be-

stemmelser, der angår rent myndighedsinterne forhold, eller

som allerede følger af almindelige forvaltningsretlige prin-

cipper eller den almindelige adgang til domstolsprøvelse,

ikke er afspejlet i lovteksten. Den foreslåede bestemmelse

vil således fokusere på, hvilke konkrete tilsynsforanstaltnin-

ger de kompetente myndigheder vil kunne anvende over for

enhederne.

Eksempelvis er CER-direktivets artikel 21, stk. 4, ikke af-

spejlet direkte i lovteksten. Det følger af den nævnte artikel,

at medlemsstaterne skal sikre, at de tillagte beføjelser kun

kan udøves med forbehold af passende beskyttelsesforan-

staltninger, og at disse beskyttelsesforanstaltninger navnlig

skal sikre, at en sådan udøvelse finder sted på en objektiv,

gennemsigtig og forholdsmæssig måde, og at de berørte kri-

tiske enheders rettigheder og legitime interesser såsom be-

skyttelse af forretningshemmeligheder garanteres behørigt,

herunder deres ret til at blive hørt, til et forsvar og til ef-

fektive retsmidler ved en uafhængig domstol. Det samme

gælder eksempelvis CER-direktivets artikel 21, stk. 5, som

overordnet fastsætter krav til samarbejde mellem de kom-

petente myndigheder efter henholdsvis NIS 2-direktivet og

CER-direktivet.

Ligeledes fremgår det af NIS 2-direktivets artikel 32, stk.

2, litra a, om at kontrollerne skal udføres af uddannede

fagfolk, ikke afspejlet direkte i lovteksten. Det samme gæl-

der eksempelvis den del af direktivets artikel 32, stk. 2,

litra d, hvorefter sikkerhedsscanninger skal være baseret på

objektive, ikke-diskriminerende, fair og gennemsigtige risi-

kovurderingskriterier.

I overensstemmelse med forudsætningerne i NIS 2-direkti-

vets præambelbetragtning nr. 123 bør udførelsen af tilsyns-

opgaven ikke unødigt hæmme den berørte virksomheds for-

retningsaktiviteter. Hvor en tilsynsmyndighed udfører sin

tilsynsopgave vedrørende en virksomhed, herunder i form

af kontrol på stedet og administrativt tilsyn på skriftligt

grundlag, efterforskning af overtrædelser af direktivet og

udførelse af sikkerhedsaudits eller -scanninger, bør tilsyns-

myndigheden myndighed minimere indvirkningen på den

berørte enheds forretningsaktiviteter.

Det foreslås i § 19, stk. 2,

nr. 1,

at Klima-, Energi og Forsy-

ningsministeriet som led i sin tilsynsforpligtelse kan foreta-

ge tilsyn og kontrol hos virksomheden ved at inspicere de

lokaler, som virksomheden bruger til at levere sine tjenester

og foretage stikprøvekontroller.

Formålet med bestemmelsen er give hjemmel til at Klima-,

Energi- og Forsyningsministeriet kan som led i sin tilsyns-

forpligtelse kan foretage tilsyn og kontrol hos virksomhe-

den ved at inspicere de lokaler, som virksomheden bruger

til at levere sine tjenester og foretage stikprøvekontroller,

således at der kan føres et effektivt tilsyn med virksomhe-

dernes overholdelse af loven og regler udstedt i medfør af

loven. Bestemmelsens formål er samtidig at implementere

artikel 32, stk. 2, litra a, i NIS 2-direktivet og artikel 21, stk.

1, litra a, i CER-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt an-

går, hvordan der kan føres tilsyn med overholdelsen af

beredskabskravene fastsat i medfør af elforsyningsloven,

gasforsyningsloven, varmeforsyningsloven og undergrund-

sloven. Bestemmelsen udvider dog samtidig anvendelses-

området i forhold til, hvem der kan føres tilsyn med på

denne måde, idet bestemmelsen efter det foreslåede vil

finde anvendelse på samtlige virksomheder omfattet af lov-

forslaget. De virksomheder, der i medfør af bestemmelsen

som noget nyt vil blive omfattet denne tilsynsmulighed vil

f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomhe-

der, brintvirksomheder, biogasvirksomheder, virksomheder

der udfører forskellige opgaver i el- og gasmarkedet og

kommercielle virksomheder i downstream oliesektoren, hvis

disse ikke har pligt til at holde olieberedskabslagre.

Det bemærkes, at NIS 2-direktivets artikel 32, stk. 2, litra a,

anvender udtrykket »på stedet«. Klima-, Energi- og Forsy-

ningsministeriet vurderer, at dette udtryk kan forstås i over-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

109

ensstemmelse med CER-direktivets artikel 21, stk. 1, litra

a. Bestemmelsen gør dog brug af udtrykket »hos virksomhe-

den«, da det vil lede til mindre fortolkningstvivl og samtidig

dække over udtrykket »på stedet«. Det foreslås derfor, at

bestemmelsen anvender udtrykket »hos virksomheden«.

Bestemmelsens omfatter derfor når skrives tilsyn hos

virksomheden« derfor NIS2-direktivets og CER-direktivets

»kontrol på stedet« og omfatter således konkret, at der efter

bestemmelsen kan føres tilsyn med både; 1) områder, hvor

virksomhederne har materiale eller anlæg, som anvendes

til at levere virksomhedens tjeneste og 2) lokaler, som virk-

somheden anvender til at levere sine tjenester.

Det bemærkes endvidere, at der af direktivernes bestemmel-

ser fremgår, at der kan foretages »eksternt tilsyn«, hvilket

er en formulering, der kan give anledning til fortolknings-

tvivl. I den engelske sprogversion af NIS 2-direktivet anven-

des formuleringen »off-site supervision«.

Bestemmelsen brug af »tilsyn og kontrol« omfatter både

eksternt tilsyn, forstået som off-site supervision, samt et til-

syn uden fysisk tilstedeværelse

på stedet,

altså eksempelvis

udført på skriftligt grundlag. Disse former for tilsyn kan

beskrives som administrative tilsyn.

Bestemmelsen giver således hjemmel til, at der kan føres

tilsyn på områder, hvor virksomhederne har materiale eller

anlæg, som anvendes til at levere virksomhedens tjeneste og

lokaler, som virksomheden anvender til at levere sine tjene-

ster. Bestemmelsen vil ligeledes give hjemmel til, at dele

af tilsynet kan føres som administrativt tilsyn. Endelig vil

bestemmelsen give hjemmel til, at tilsynet kan gennemføres

med stikprøvekontroller, altså at tilsynet kan ske stikprøve-

vis, således at klima-, energi- og forsyningsministeren vil

kunne udvælge et repræsentativt antal områder eller lokaler,

der inspiceres på baggrund af ministerens risikovurdering af,

hvilke områder og lokaler der måtte være mest kritiske.

Tilsynet efter denne bestemmelse vil skulle anmeldes og

aftales med en repræsentant for virksomheden, inden det

gennemføres.

Det foreslås i

nr. 2,

at Klima-, Energi og Forsyningsministe-

riet som led i sin tilsynsforpligtelse kan foretages regelmæs-

sige kontrol- og tilsynsbesøg hos virksomheder.

Formålet med bestemmelsen er at give hjemmel til, at Kli-

ma-, Energi- og Forsyningsministeriet som led i sin tilsyns-

forpligtelse kan foretage regelmæssige kontrol- og tilsynsbe-

søg hos virksomheder, således at der kan føres et effektivt

tilsyn med virksomhedernes overholdelse af loven og regler

udstedt i medfør af loven. Bestemmelsen fastsætter således

mulighed for at ministeriet kan bestemme hyppigheden i

brugen af kontrol og tilsynsbeføjelser efter § 19, stk. 2, nr. 1

og 3-5. Bestemmelsens formål er samtidig at implementere

artikel 32, stk. 2, litra b, i NIS 2-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt an-

går, hvordan der kan føres tilsyn med overholdelsen af be-

redskabskravene fastsat i medfør af elforsyningsloven og

gasforsyningsloven. Bestemmelsen udvider dog samtidig

anvendelsesområdet, i forhold til hvem der kan føres tilsyn

med på denne måde, idet bestemmelsen efter det foreslåe-

de vil finde anvendelse på samtlige virksomheder omfattet

af lovforslaget. De virksomheder, der i medfør af bestem-

melsen som noget nyt vil blive omfattet denne tilsynsmu-

lighed vil f.eks. være fjernvarmevirksomheder, fjernkølings-

virksomheder, brintvirksomheder, biogasvirksomheder, virk-

somheder der udfører forskellige opgaver i el- og gasmarke-

det og kommercielle virksomheder i downstream oliesekto-

ren, hvis disse ikke har pligt til at holde olieberedskabslagre

m.fl.

Som det fremgår ovenfor implementerer bestemmelsen kun

en artikel fra NIS-2 direktivet. Desuagtet finder bestemmel-

sen efter nationalt ønske anvendelse på alle forhold omfat-

tet af loven, uagtet de relaterer sig til implementering af

NIS2-direktivets og CER-direktivets krav eller udtryk for

nationale ønsker. Den foreslåede bestemmelse vil dermed gå

videre end minimumskravene i NIS2- og CER-direktiverne.

Den foreslåede bestemmelse vil give hjemmel til, at Klima-,

Energi- og Forsyningsministeriet kan besøge virksomheder-

ne regelmæssigt med henblik på at gennemføre tilsyn med

virksomheden. Bestemmelsen gælder i forhold til tilsyn med

alle aspekter af virksomhedernes overholdelse af loven eller

regler udstedt i medfør at loven og er ikke indskrænket til

de dele af loven, der angår cybersikkerhed. Der forventes, at

bestemmelsen vil blive anvendt i forbindelse den foreslåede

bestemmelse i nr. 1 og nr. 3-5.

Det foreslås i § 19, stk. 2,

nr. 3,

at Klima-, Energi og

Forsyningsministeriet som led i sin tilsynsforpligtelse kan

foretage ad hoc-tilsyn.

Formålet med bestemmelsen er at give hjemmel til, at Kli-

ma-, Energi- og Forsyningsministeriet som led i sin tilsyns-

forpligtelse kan foretage ad hoc-tilsyn, således at der kan

føres et effektivt tilsyn med virksomhedernes overholdelse

af loven og regler udstedt i medfør af loven. Bestemmelsens

formål er samtidig at implementere artikel 32, stk. 2, litra c,

i NIS 2-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt an-

går hvordan der kan føres tilsyn med overholdelsen af

beredskabskravene fastsat i medfør af elforsyningsloven,

gasforsyningsloven, varmeforsyningsloven og undergrund-

sloven. Bestemmelsen udvider dog samtidig anvendelses-

området, i forhold til hvem der kan føres tilsyn med på

denne måde, idet bestemmelsen efter det foreslåede vil finde

anvendelse på samtlige virksomheder omfattet af lovforsla-

get. De virksomheder, der i medfør af bestemmelsen, som

noget nyt vil blive omfattet af denne tilsynsmulighed vil

f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomhe-

der, brintvirksomheder, biogasvirksomheder, virksomheder

der udfører forskellige opgaver i el- og gasmarkedet og

kommercielle virksomheder i downstream oliesektoren, hvis

disse ikke har pligt til at holde olieberedskabslagre.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

110

Den foreslåede bestemmelse vil således give hjemmel til, at

klima-, energi- og forsyningsministeren på ad hoc basis vil

kunne føre tilsyn med virksomhedernes overholdelse af lo-

ven og regler udstedt i medfør af loven. Bestemmelsen for-

ventes brugt i tilfælde, hvor klima-, energi- og forsynings-

ministeren imellem de regelmæssige tilsyn efter nr. 2, måtte

blive opmærksom på mulige overtrædelser af loven eller

regler udstedt i medfør af loven. Her vil der kunne være

behov for at føre tilsyn, fordi det vurderes af ministeren, at

den potentielle overtrædelse af reglerne er så slem, at tilsyn

ikke kan vente til det regelmæssige tilsyn. I vurderingen af

om ad hoc-tilsyn skal indledes, vil der af klima-, energi-

og forsyningsministeren lægges særligt vægt på, om den/de

formode overtrædelse medfører en direkte trussel mod leve-

ringen af virksomhedens tjeneste.

Tilsyn efter denne bestemmelse vil skulle anmeldes og af-

tales med en repræsentant for virksomheden, inden det gen-

nemføres.

Det foreslås i § 19, stk. 2,

nr. 4,

at Klima-, Energi og Forsy-

ningsministeriet som led i sin tilsynsforpligtelse kan foreta-

ge sikkerhedsscanninger og penetrationstests af virksomhe-

dens net- og informationssystemer samt fysiske lokationer.

Formålet med bestemmelsen er give hjemmel til, at Klima-,

Energi- og Forsyningsministeriet som led i sin tilsynsfor-

pligtelse kan foretage sikkerhedsscanninger og penetrations-

tests af virksomhedens net- og informationssystemer samt

fysiske lokationer, således at der kan føres et effektivt tilsyn

med virksomhedernes overholdelse af loven og regler ud-

stedt i medfør af loven. Bestemmelsens formål er samtidig

at implementere artikel 32, stk. 2, litra d i NIS 2-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt an-

går, hvordan der kan føres tilsyn med overholdelsen af

beredskabskravene fastsat i medfør af elforsyningsloven,

gasforsyningsloven, varmeforsyningsloven og undergrund-

sloven. Bestemmelsen udvider dog samtidig anvendelses-

området, i forhold til hvem der kan føres tilsyn med på

denne måde, idet bestemmelsen efter det foreslåede vil

finde anvendelse på samtlige virksomheder omfattet af lov-

forslaget. De virksomheder, der i medfør af bestemmelsen

som noget nyt vil blive omfattet denne tilsynsmulighed vil

f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomhe-

der, brintvirksomheder, biogasvirksomheder, virksomheder

der udfører forskellige opgaver i el- og gasmarkedet og

kommercielle virksomheder i downstream oliesektoren, hvis

disse ikke har pligt til at holde olieberedskabslagre.

Bestemmelsen skal anvendes i overensstemmelse med NIS

2 direktivets præambel betragtning nr. 87 forudsættes det,

at de kompetente myndigheder i forbindelse med deres til-

synsopgaver vil gøre brug af cybersikkerhedstjenester til at

foretage sikkerheds audits og penetrationstest.

Bestemmelsen vil således give hjemmel til, at klima-, ener-

gi og forsyningsministeren som led i sit tilsyn vil kunne

gøre brug af sikkerhedsscanninger og penetrationstest af

virksomhedens net- og informationssystemer. Bestemmelsen

foreslås udvidet ift. NIS 2-direktivets ordlyd, således at pen-

etrationstests også vil kunne anvendes til at teste den fysiske

sikring af fysiske lokationer, som virksomhederne anvender

i leveringen af deres tjeneste.

Bestemmelsen forventes anvendt i samarbejde med virk-

somhederne, således at ingen penetrationstest eller sikker-

hedsscanning vil blive foretaget uden forudgående varsling

af virksomheden, herunder hvad/hvor, hvornår og hvor læn-

ge scanningen eller penetrationstesten vil pågå af hensyn til

sikring af den fortsatte drift i virksomheden, i overensstem-

melse med NIS 2-direktivets præambelbetragtning nr. 123

om at sikkerhedsscanning og penetrationstest alene vil ske

varslet af hensyn til sikring af den fortsatte drift i virksom-

heden.

Ministeren forventes altid at benytte sig af akkrediterede

virksomheder til at gennemføre scanninger og tests efter

bestemmelsen, og personalet vil som minimum skulle være

sikkerhedsgodkendt til fortrolig efter sikkerhedscirkulæret,

inden planlægningen af scanningen eller penetrationstesten

vil kunne påbegyndes. Det vil være væsentligt hensyn, at

driften af virksomheden ikke må påvirkes negativt, og plan-

lægningen og gennemførelsen vil skulle således varetage

dette hensyn.

Hvordan ministeren administrativt og processuelt vil gøre

brug af bestemmelsen vil blive yderligere præciseret i vej-

ledningsmateriale, der vil blive udarbejdet af klima-, energi-

og forsyningsministeren.

Det foreslås i

nr. 5,

at Klima-, Energi og Forsyningsministe-

riet som led i sin tilsynsforpligtelse kan kræve at få udleve-

ret oplysninger og dokumentation, der er nødvendige for

at vurdere foranstaltninger vedrørende organisatorisk bered-

skab, fysisk sikring og cybersikkerhed, som virksomheden

har indført efter lovforslaget og regler udsted i medfør af

lovforslaget.

Formålet med bestemmelsen er give hjemmel til, at Klima-,

Energi- og Forsyningsministeriet kan som led i sin tilsyns-

forpligtelse kræve at få udleveret oplysninger og dokumen-

tation, der er nødvendige for at vurdere foranstaltninger ved-

rørende organisatorisk beredskab, fysisk sikring og cyber-

sikkerhed, som virksomheden har indført efter lovforslaget

og regler udsted i medfør af lovforslaget, således at der kan

føres et effektivt tilsyn med virksomhedernes overholdelse

af loven og regler udstedt i medfør af loven. Bestemmelsens

formål er samtidig at implementere artikel 32, stk. 2, litra

e, i NIS 2-direktivet og artikel 21, stk. 2, litra a og b, i

CER-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt an-

går hvordan der kan føres tilsyn med overholdelsen af

beredskabskravene fastsat i medfør af elforsyningsloven,

gasforsyningsloven, varmeforsyningsloven og undergrund-

sloven. Bestemmelsen udvider dog samtidig anvendelses-

området, i forhold til hvem der kan føres tilsyn med på

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

111

denne måde, idet bestemmelsen efter det foreslåede vil

finde anvendelse på samtlige virksomheder omfattet af lov-

forslaget. De virksomheder, der i medfør af bestemmelsen

som noget nyt vil blive omfattet denne tilsynsmulighed vil

f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomhe-

der, brintvirksomheder, biogasvirksomheder, virksomheder

der udfører forskellige opgaver i el- og gasmarkedet og

kommercielle virksomheder i downstream oliesektoren, hvis

disse ikke har pligt til at holde olieberedskabslagre.

Den foreslåede bestemmelse vil give hjemmel til, at klima-,

energi- og forsyningsministeren kan kræve at få udleveret

oplysninger og dokumentation, der er nødvendige for at

vurdere foranstaltningerne vedrørende organisatorisk bered-

skab, fysisk sikring og cybersikkerhed, som virksomheden

har indført efter loven og regler udstedt i medfør af loven.

Det forventes, at bestemmelsen blandt andet i praksis vil

blive anvendt ved, at virksomhederne vil skulle udfylde et

selvevalueringsskema forud for gennemførelse af tilsyn med

virksomheden efter nr. 1, 2 og 3. Virksomheden vil i den

forbindelse vurdere, hvordan den lever op til de forskellige

krav til organisatorisk beredskab, fysisk sikring og cybersik-

kerhed. Bestemmelsen vil også kunne bruges til at påbyde

virksomhederne at udlevere dokumenter såsom beredskabs-

planer, øvelsesplaner, politikker, netværks-topologier samt

andet materiale, som virksomhederne er forpligtet til at ud-

arbejde i medfør af lovforslaget eller regler fastsat i medfør

heraf.

Det foreslås i

nr. 6,

at Klima-, Energi og Forsyningsministe-

riet som led i sin tilsynsforpligtelse kan kræve at få adgang

til data, dokumenter og oplysninger, der er nødvendige for

udførelsen af tilsynsopgaven, herunder til afgørelse af om et

forhold er omfattet af denne lov eller regler udstedt i medfør

af loven.

Formålet med bestemmelsen er give hjemmel til, at Klima-,

Energi- og Forsyningsministeriet som led i sin tilsynsfor-

pligtelse kan kræve at få adgang til data, dokumenter og

oplysninger, der er nødvendige for udførelsen af tilsynsop-

gaven, herunder til afgørelse af om et forhold er omfattet af

denne lov eller regler udstedt i medfør af loven, således at

der kan føres et effektivt tilsyn med virksomhedernes over-

holdelse af loven og regler udstedt i medfør af loven. Be-

stemmelsens formål er samtidig at implementere artikel 32,

stk. 2, litra f og litra g, i NIS 2-direktivet og artikel 21, stk. 1

og 2, i CER-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt an-

går, hvordan der kan føres tilsyn med overholdelsen af

beredskabskravene fastsat i medfør af elforsyningsloven,

gasforsyningsloven, varmeforsyningsloven og undergrund-

sloven. Bestemmelsen udvider dog samtidig anvendelses-

området, i forhold til hvem der kan føres tilsyn med på

denne måde, idet bestemmelsen efter det foreslåede vil

finde anvendelse på samtlige virksomheder omfattet af lov-

forslaget. De virksomheder, der i medfør af bestemmelsen

som noget nyt vil blive omfattet denne tilsynsmulighed vil

f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomhe-

der, brintvirksomheder, biogasvirksomheder, virksomheder

der udfører forskellige opgaver i el- og gasmarkedet og

kommercielle virksomheder i downstream oliesektoren, hvis

disse ikke har pligt til at holde olieberedskabslagre.

Bestemmelsen vil give hjemmel til, at klima-, energi- og

forsyningsministeren kan påbyde at få adgang til andre data,

dokumenter og oplysninger som ikke nødvendigvis er om-

fattet af den foreslåede bestemmelse i nr. 5. Bestemmelsen

vil kunne anvendes til at få adgang til kontrakter med leve-

randører, få forevist data om energianlægs produktions-, dis-

tributions-, transmissions- og lagringskapaciteter samt antal-

let af forbrugere, og om virksomheden leverer sine ydelser

til kritiske forbrugere såsom sygehuse.

Det foreslås i

stk. 3,

at Klima-, Energi- og Forsyningsmini-

steriet er ansvarlig for eventuelle skader, som en virksomhed

måtte lide i forbindelse med scanninger og tests efter stk. 2,

nr. 4.

Det følger af den foreslåede bestemmelse, at Klima-, Ener-

gi- og Forsyningsministeriet vil bære et objektivt ansvar, for

skader som virksomheden vil blive pådraget i forbindelse

med scanninger og tests foretaget på baggrund af § 19,

stk. 2, nr. 4. Erstatningsbeløbet vil skulle opgøres efter de

almindelige regler om erstatning uden for kontrakt i dansk

ret. Klima-, Energi- og Forsyningsministeriet skal betale er-

statningen, omkostningen til en sådan erstatning kan ikke

indregnes i gebyrerne der opkræves efter de foreslåede be-

stemmelser i § 17 og § 18.

Det foreslås i

stk. 4,

at klima-, energi- og forsyningsmini-

steren kan fastsætte nærmere regler om tilsyn og kontrol

af virksomhederne, herunder omfanget, udførelsen og hyp-

pigheden af tilsyns- og kontrolbesøg. Med den foreslåede

bestemmelse bemyndiges ministeren til at fastsætte nærmere

regler både for det administrative tilsyn og for kontrol- og

tilsynsbesøg hos virksomhederne.

Formålet med bestemmelsen er at give en ramme for Ener-

gistyrelsens tilsynsarbejde, da de forventes at få delegeret

tilsynsopgaven i stk. 1 efter den foreslåede § 33. Ram-

men skal således sikre at tilsynet er forankret i en stærk

beredskabs- og cybersikkerhedsfaglighed, der ligger vægt

på at være værdiskabende for virksomhederne, således at

udgangspunktet tilsynet er at gøre den enkelte virksomheds

beredskab og cybersikkerhed bedre efter fuldendt tilsyn.

Efter bestemmelsen vil de nærmere regler, som ministeren

vil kunne fastsætte, blandt andet være »omfanget« af til-

syns- og kontrolbesøg efter § 19, stk. 2, nr. 1-6. Udtryk-

ket omfanget skal forstås bredt, i den forstand at det både

kan relatere sig til det tidsmæssige omfang af tilsynet og

i hvilken geografisk udstrækning, der skal ske tilsyn med

virksomheden.

Ministeren vil efter bestemmelsen desuden kunne fastsætte

nærmere regler om udførelsen af tilsyn. Bestemmelsen vil

medføre, at ministeren vil kunne fastsætte nærmere regler

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

112

om, hvorvidt tilsynet vil skulle ske ved et fysisk tilsyn med

fremmøde hos virksomheden, eller om tilsynet vil skulle

ske som et eksternt tilsyn. Ministeren vil ligeledes kunne

fastsætte nærmere regler om hvad et fysisk tilsyn vil inde-

bære. Eksempelvis vil der kunne fastsættes regler om, at

tilsynsmyndigheden skal have adgang til særlige områder

som serverrum for at observere, at der er den korrekte sik-

kerhed. Tilsyn forudsættes alene at være anmeldte med et

nærmere fastsat varsel. Ministeren vil kunne fastsætte nær-

mere regler om varsling af anmeldelse af tilsyn.

Efter bestemmelsen vil ministeren også kunne fastsætte nær-

mere regler om hyppigheden af tilsyn, denne del af bestem-

melsen skal derfor også læses i sammenhæng med den

foreslåede bestemmelse i § 19, stk. 2, nr. 2. Der vil i den

forbindelse kunne fastsættes regler om, at tilsyn skal ske

årligt eller efter anden frekvens, som kan være forskellig alt

efter hvilket niveau virksomheden er inddelt på efter regler

udstedt i medfør af den i loven foreslåede bestemmelse i §

4, stk. 2. Der vil desuden kunne fastsættes regler om, at der

kan ændres op og ned i frekvensen af tilsyn for virksomhe-

der på baggrund af tidligere tilsyn af samme virksomhed.

Den foreslåede bemyndigelsesbestemmelse vil også medfø-

re, at der vil kunne fastsættes regler om den tidsmæssige

og geografiske udstrækning af tilsyn der føres efter den

foreslåede § 19, stk. 2, nr. 1-6, der er proportionelle med

den type virksomhed, som der skal føres tilsyn hos. Dette

findes hensigtsmæssigt af hensyn til at virksomheder inden

for energisektoren, der kontroller energimængder af en vis

størrelse, kan have en betydelig effekt på den samlede for-

syningssikkerhed i Danmark. Sådanne virksomheder kan an-

vende komplekse net- og informationssystemer, som kræver

et længerevarende tilsyn for, at systemer i tilstrækkeligt grad

kan undersøges for, om virksomheden efterlever de gælden-

de krav. Størrelsen af virksomheder og mængden af tjenester

som virksomheden leverer, kan også påvirke den samlede

kompleksitet, som bør understøttes af regler om længere og

mere dybdegående tilsyn. Desuden kan virksomheder også

strække sig over mange lokaliteter, hvor hver lokation hos

virksomheden kan introducere nye og særegne trusler. Mod-

satvis findes der også virksomheder inden for sektoren,

som kun i mindre grad kan påvirke energiforsyning. Disse

virksomheder kan være mindre komplekse og et tilsyn kan

udføres i tilstrækkelig grad på mindre tid og i begrænset

geografisk udstrækning. Bestemmelsen har derfor til formål,

at der med udviklingen i sektoren kan fastsættes regler om

den tidsmæssige og geografiske udstrækning af tilsyn, der

er proportionelle med den type virksomhed der skal føres

tilsyn hos.

På baggrund af ovenstående, forventes det, at den foreslåede

bestemmelse vil blive anvendt til at fastsætte differentierede

regler om tilsyn på baggrund af en risikobaseret tilgang. Det

forventes, at der vil blive fastsat regler, hvorefter virksom-

heder inddeles i forskellige kategorier eller niveauer, som

fastsættes ud fra både objektive og skønsmæssige kriteri-

er om virksomhedens kritikalitet. Omfanget, udførelsen og

hyppigheden af tilsyn hos virksomheder forventes som ud-

gangspunkt at blive baseret på denne niveauinddeling.

Det forventes med den foreslåede bestemmelse, at tilsyns-

myndigheden vil videreføre den tilsynspraksis, der har væ-

ret gældende inden for de allerede omfattede virksomheder

og sektorer. Praksis har hidtil været, at tilsynsmyndigheden

har ført tilsyn ud fra en dialogbaseret og værdiskabende

tilgang. Formålet med tilsyn er således at dele erfaringer

mellem myndigheder og virksomheder for at opnå en mere

sikker sektor. Hensynet til samarbejde og værdiskabelse af

sikkerhed i energisektoren, bør således også indgå i en pro-

portionalitetsvurdering ved anvendelsen af tilsynsforanstalt-

ninger, håndhævelsesforanstaltninger eller sanktioner.

Det foreslås i § 19,

stk. 5,

at klima-, energi- og forsynings-

ministeren kan fastsætte regler om udlevering af materiale

til brug for tilsyn samt formkrav hertil, herunder regler om

hvilke sprog materialet skal udarbejdes på.

Efter bestemmelsen vil ministeren kunne fastsætte regler

om, at oplysninger eller materiale til brug for tilsyn udarbej-

des af virksomheden og udleveres på en bestemt måde, på et

bestemt sprog og i en bestemt form. Bestemmelsen supple-

rer således de i stk. 2, nr. 5 og 6 foreslåede bestemmelser,

i det der kan fastsættes nærmere regler for hvilken form og

sproget materialet skal have, samt processen herfor. Eksem-

pelvis vil der kunne fastsættes regler om, at virksomhederne

skal anvende bestemte skemaer eller skabeloner ved udleve-

ringen af tilsynsmateriale. Ligeledes vil der kunne fastsættes

regler om, at virksomhederne forpligtes til at registrere visse

oplysninger ved brug af en bestemt hjemmeside eller it-løs-

ning. Endeligt vil bestemmelsen også kunne bruges til at

fastsætte regler om at dokumentation og oplysninger til brug

for klima-, energi- og forsyningsministeren skal indgive i

en dansk version uagtet hvad virksomhedens organisations-

sprog måtte være.

Forså vidt angår de persondataretlige overvejelser, henvises

der til pkt. 4 i de almindelige bemærkninger. Der henvises

i øvrigt til afsnit 3.6 i lovforslagets almindelige bemærknin-

ger.

Til § 20

Der er i gældende lovgivning for energisektoren ikke fastsat

regler, der indeholder bestemmelser om rådgivende EU-de-

legationers adgang til oplysninger, systemer og faciliteter.

Det foreslås i

stk. 1,

at rådgivende missioner, som er ned-

sat i medfør af Europa-Parlamentets og Rådets direktiv om

kritiske enheders modstandsdygtighed, kan efter tilladelse

fra klima-, energi- og forsyningsministeren vurdere de for-

anstaltninger, som virksomheder der er kritiske enheder af

særlig europæisk betydning efter § 5, stk. 1, for at opfylde

sine forpligtelser i henhold til loven og regler udstedt i med-

før heraf.

Den foreslåede bestemmelse vil implementere CER-direkti-

vets artikel 18, stk. 1 og 2, om den særlige tilsynsordning for

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

113

kritiske enheder af særlig europæisk betydning. Det følger

af CER-direktivets artikel 18, stk. 2, at EU-Kommissionen

på eget initiativ eller efter anmodning fra én eller flere med-

lemsstater kan tilrettelægge en rådgivende mission, under

forudsætning af at den medlemsstat, som har identificeret

den pågældende kritiske enhed, samtykker.

Rådgivende missioner vil efter bestemmelsen bestå af eks-

perter fra den medlemsstat, hvor den kritiske enhed af

særlig europæisk betydning er beliggende, eksperter fra de

medlemsstater, hvortil eller hvori den væsentlige tjeneste

leveres, og repræsentanter fra EU-Kommissionen, i overens-

stemmelse med CER-direktivets artikel 18, stk. 5.

Det forventes, at klima-, energi- og forsyningsministeren

vil tillade rådgivende missioner at vurdere virksomheder

efter bestemmelsen, såfremt ministeren selv, Kommissionen

eller en medlemsstat, hvortil den væsentlige tjeneste leveres,

måtte tage initiativ til en sådan rådgivende mission, i over-

ensstemmelse med CER direktivets artikel 18, stk. 1-2, i

det omfang det ikke vil kompromittere hensyn til 1) Statens

sikkerhed eller rigets forsvar. 2) Rigets udenrigspolitiske

eller udenrigsøkonomiske interesser, herunder forholdet til

fremmede magter eller mellemfolkelige institutioner. 3) Pri-

vate og offentlige interesser, hvor hemmeligholdelse efter

forholdets særlige karakter er påkrævet.

Det foreslås i

stk. 2,

at rådgivende missioner kan anvende

tilsynsforanstaltninger efter § 19, stk. 2, nr. 1 og 5, i det om-

fang det er nødvendigt for at gennemføre den pågældende

rådgivende mission.

Den foreslåede bestemmelse vil sikre rådgivende missioner

den adgang til oplysninger, systemer og faciliteter, der ve-

drører levering af væsentlige tjenester fra kritiske enheder

af særlig europæisk betydning, og som er nødvendige for at

gennemføre den pågældende rådgivende mission. Bestem-

melsen vil hermed implementere CER-direktivets artikel 18,

stk. 7.

Det fremgår af den foreslåede bestemmelse i § 20, stk. 2, at

den rådgivende mission vil kunne bruge de tilsynsforanstalt-

ninger, der er nødvendige for at gennemføre den pågælden-

de mission. Det forventes, at alene tilsynsforanstaltninger,

der er egnede til at gennemføre den konkrete mission, vil

kunne anvendes. Eksempelvis vil den rådgivende mission,

der kun har til formål at undersøge overholdelsen af kravene

i CER-direktivets kapitel 3 jf. CER direktivets artikel 18,

stk. 1, kan missionen således ikke også få adgang til virk-

somhedens net- og informationssystemer eller informationer

om virksomhedens foranstaltninger til overholdelse af NIS

2-direktivet.

Det foreslås i

stk. 3,

at klima-, energi og forsyningsministe-

ren kan træffe afgørelse om at begrænse rådgivende missio-

ners tilsynsforanstaltninger efter § 19, stk. 2, nr. 1 og 5, i

det omfang, det er nødvendigt til beskyttelse af væsentlige

hensyn til følgende:

Den foreslåede undtagelsesbestemmelse medfører, at der vil

kunne ske begrænsning af tilsynsforanstaltninger, som den

rådgivende mission kan anvende ud over den begrænsning,

som er indeholdt i den foreslåede bestemmelse i stk. 2.

Den foreslåede bestemmelse implementerer og kodificerer

CER-direktivets artikel 18, stk. 8, hvoraf det følger, at rådgi-

vende missioner gennemføres i overensstemmelse med gæl-

dende national ret i den medlemsstat, hvor de finder sted,

idet den pågældende medlemsstats ansvar for national sik-

kerhed og beskyttelse af sine sikkerhedsmæssige interesser

respekteres. Ligeledes understøttes den foreslåede bestem-

melse af CER-direktivets artikel 1, stk. 6, hvorefter det gæl-

der, at direktivet ikke berører medlemsstaternes ansvar for

at beskytte national sikkerhed og forsvar og deres beføjelse

til at beskytte andre væsentlige statslige funktioner, herunder

sikring af statens territoriale integritet og opretholdelse af

lov og orden.

Ifølge den foreslåede bestemmelse, vil klima-, energi- og

forsyningsministeren kunne træffe afgørelser om, at den råd-

givende mission ikke kan anvende visse tilsynsforanstaltnin-

ger eller begrænses i anvendelsen af en specifik tilsynsfor-

anstaltning. Eksempelvis vil klima-, energi- og forsynings-

ministeren kunne træffe afgørelse om, at den rådgivende

mission kun kan kræve at få udleveret visse oplysninger.

En afgørelse om at begrænse rådgivende missioners brug af

tilsynsforanstaltningerne i § 19, stk. 2, nr. 1 og 5, vil være en

forvaltningsretlig afgørelse, hvorfor forvaltningslovens reg-

ler, herunder bl.a. bestemmelserne i kapitel 3 (om vejledning

og repræsentation mv.), kapitel 5 (om partshøring), kapitel

6 (om begrundelse mv.) og kapitel 7 (om klagevejledning) i

udgangspunktet vil finde anvendelse. Det er forventningen,

at EU-Kommissionen, som repræsentant for den rådgivende

mission, vil være part i afgørelsessagen.

Klima-, energi- og forsyningsministeren vil over for virk-

somheden, som er udpeget som kritisk enhed af europæisk

betydning, kunne træffe afgørelse om, at de ikke skal ef-

terleve visse tilsynsforanstaltninger fra den rådgivende mis-

sion. Som eksempel vil der kunne meddeles afgørelse til den

pågældende virksomhed om, at de ikke skal efterleve visse

tilsynsforanstaltninger eller dele af tilsynsforanstaltninger,

som anvendes af den rådgivende mission.

Det forventes med den foreslåede bestemmelse, at afgørelser

om begrænsning af tilsynsforanstaltninger, som anvendes

af den rådgivende mission, i vidt muligt omfang skal foreta-

ges inden den rådgivende mission påbegynder et tilsyn. Det-

te betyder, at klima-, energi- og forsyningsministeren, ved

anmodning om en rådgivende mission, vil kunne foretage

tilsyn og kontrol af en kritisk enhed af særlig europæisk

betydning med det formål at afgrænse, om information hos

den kritiske enhed af særlig europæisk betydning er beskyt-

telsesværdig information efter stk. 3, nr. 1-3.

Klima-, energi- og forsyningsministeren vil i tilfælde af

tvivl, om information vedrørende den kritiske enhed af sær-

lig europæisk betydning er beskyttelsesværdig, kunne rette

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

114

henvendelse til Politiets Efterretningstjeneste, som er natio-

nal sikkerhedsmyndighed, eller til Forsvarets Efterretnings-

tjeneste, som er national sikkerhedsmyndighed på Forsvars-

ministeriets område.

Efter den foreslåede

stk. 3, nr. 1,

kan den rådgivende missi-

ons tilsynsforanstaltninger efter § 19, stk. 2, nr. 1-6, begræn-

ses i det omfang, det er nødvendigt til beskyttelse af væsent-

lige hensyn til statens sikkerhed eller rigets forsvar. Statens

sikkerhed eller rigets forsvar i denne lov skal fortolkes i

overensstemmelse med offentlighedslovens § 31, jf. lovbe-

kendtgørelse nr. 145 af 24. februar 2020.

Efter den foreslåede

stk. 3, nr. 2,

kan den rådgivende missi-

ons tilsynsforanstaltninger efter § 19, stk. 2, nr. 1-6, begræn-

ses i det omfang, det er nødvendigt til beskyttelse af væsent-

lige hensyn til rigets udenrigspolitiske eller udenrigsøkono-

miske interesser, herunder forholdet til fremmede magter

eller mellemfolkelige institutioner. Rigets udenrigspolitiske

eller udenrigsøkonomiske interesser, herunder forholdet til

fremmede magter eller mellemfolkelige institutioner, skal i

denne lov fortolkes i overensstemmelse med offentligheds-

lovens § 32.

Efter den foreslåede

stk. 3, nr. 3,

kan den rådgivende mis-

sions tilsynsforanstaltninger efter § 19, stk. 2, nr. 1-6, be-

grænses i det omfang, det er nødvendigt til beskyttelse af

væsentlige hensyn til private og offentlige interesser, hvor

hemmeligholdelse efter forholdets særlige karakter er på-

krævet. Private og offentlige interesser, hvor hemmelighol-

delse efter forholdets særlige karakter er påkrævet skal i

denne lov fortolkes i overensstemmelse med offentligheds-

lovens § 33, nr. 5.

For så vidt angår de persondataretlige overvejelser, henvises

der til pkt. 4 i de almindelige bemærkninger. Der henvises i

øvrigt til bemærkningerne til den foreslåede § 5.

Til § 21

Bekendtgørelse nr. 11 af den 7. januar 2011 om identifi-

kation og udpegning af europæisk kritisk infrastruktur på

energiområdet og vurdering af behovet for bedre beskyttel-

se indeholder håndhævelsesbeføjelser i form af påbud. Der

kan således gives påbud om at udarbejde en sikkerhedsplan,

ændre denne og andre dele af operatørens beredskabsarbejde

jf. § 16, stk. 2.

Elforsyningsloven og gasforsyningsloven indeholder begge

håndhævelsesforanstaltningerne om påbud jf. § 85 d, inddra-

gelse af bevilling jf. § 54 og it-revision jf. § 85 c, stk.

2. Efter de gældende regler skal forhold, der strider mod den

gældende regulering bringes i orden straks eller inden for en

af klima- energi- og forsyningsministeren nærmere angivet

frist.

Gasforsyningsloven indeholder ligeledes håndhævelsesfor-

anstaltninger om påbud jf. § 47 b, inddragelse af bevilling jf.

§ 33 og it-revision jf. § 15 b, stk. 2. Efter de gældende reg-

ler skal forhold, der strider mod den gældende regulering,

bringes i orden straks eller inden for en af klima- energi- og

forsyningsministeren nærmere angivet frist.

Olieberedskabsloven indeholder håndhævelsesforanstaltnin-

ger, om at klima- energi- og forsyningsministeren kan an-

vende påbud jf. § 18 ved manglende overholdelse af bered-

skabsreglerne.

Det følger af den foreslåede

stk. 1,

at klima- energi og for-

syningsministeren ud fra en konkret vurdering af omstæn-

dighederne i hver enkelt sag kan anvende nr. 1-5 oplistede

påbud og forbud over for virksomhederne.

Den foreslåede bestemmelse medfører, at Klima- Energi og

Forsyningsministeriet vil skulle foretage en konkret vurde-

ring af omstændighederne i hver enkelt sag, når der anven-

des påbud og forbud over for virksomheder.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 7,

skal de kompetente myndigheder, når de træffer håndhæ-

velsesforanstaltninger, overholde retten til forsvar og tage

hensyn til omstændighederne i hver enkelt sag og som mini-

mum tage behørigt hensyn til de forhold som er oplistet i

litra a-h.

Efter bestemmelsen i CER-direktivets artikel 21, stk. 3, skal

de kompetente myndigheder i anvendelsen af påbud navnlig

tage hensyn til overtrædelsens grovhed.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4,

skal medlemsstaterne sikre, at de kompetente myndigheder

som minimum har beføjelser og midler som oplistet i litra a-

h, med henblik på, at de kompetente myndigheder effektivt

kan håndhæve, forpligtelserne som fremgår af dette direktiv.

Efter bestemmelsen i CER-direktivets artikel 21, stk. 3, kan

de kompetente myndigheder pålægge de enheder, som med-

lemsstaterne har identificeret som kritiske i henhold til arti-

kel 6, stk. 1, påbud og forbud for at opfylde forpligtelserne i

dette direktiv.

Den foreslåede bestemmelse vil finde anvendelse på en

bredere kreds, men i øvrigt svare indholdsmæssigt til NIS

2-direktivets artikel 32, stk. 4, litra a-h. Den foreslåede

bestemmelse vil også gå videre, end hvad der fremgår af

CER-direktivets artikel 21, stk. 3. Bestemmelsen skal der-

udover forstås og anvendes i overensstemmelse med direkti-

vernes forudsætninger og eventuelle fortolkningsbidrag fra

EU-Kommissionen, ENISA eller andre af EU’s institutio-

ner. Den foreslåede bestemmelse går dermed videre end NIS

2- og CER-direktiverne.

Der vil i forbindelse med en afgørelse om påbud eller for-

bud efter den foreslåede bestemmelse blive fastsat en frist,

inden for hvilken virksomheden skal efterkomme indholdet

i afgørelsen. Fristen for hvornår virksomheden skal efterleve

håndhævelsesforanstaltningerne skal være proportionel med

de anvendte foranstaltninger. I tilfælde af en overhængende

fare for, at en hændelse kan indtræde på baggrund af virk-

somhedens forhold, kan der anvendes strakspåbud.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

115

En virksomhed, der modtager en afgørelse om påbud eller

forbud efter den foreslåede bestemmelse, vil i overensstem-

melse med den foreslåede bestemmelse i § 37 som vil im-

plementere CER-direktivets artikel 22 og NIS 2-direktivets

artikel 34, stk. 2, også kunne ifalde straf for en eventuel

overtrædelse af denne lov eller regler udstedt i medfør af

loven.

Det foreslås i stk. 1,

nr. 1,

at klima- energi- og forsyningsmi-

nisteren kan påbyde virksomheden at træffe foranstaltninger,

der er nødvendige for at forhindre eller afhjælpe en hændel-

se.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4,

litra b, skal medlemsstater sikre, at de kompetente myndig-

heder har beføjelser til at udstede bindende instrukser, her-

under vedrørende foranstaltninger, der er nødvendige for at

forhindre eller afhjælpe en hændelse, samt frister for gen-

nemførelse af sådanne foranstaltninger og for rapportering

om deres gennemførelse eller pålægge de pågældende enhe-

der at afhjælpe de konstaterede mangler eller overtrædelser-

ne af dette direktiv

Klima-, Energi- og Forsyningsministeriet vil i medfør af det

foreslåede nr. 1, eksempelvis kunne give virksomhederne

påbud om at foretage en fornøden softwareopdatering med

henblik på at forhindre eller imødegå en hændelse.

Det foreslås med

nr. 2,

at klima- energi- og forsyningsmini-

steren kan meddele virksomheden påbud og forbud for at

sikre overholdelsen af de krav, der er fastsat i loven eller

regler udstedt i medfør af loven.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4,

litra c, skal medlemsstater sikre, at de kompetente myndig-

heder har beføjelser til at pålægge de pågældende enheder at

ophøre med at udvise adfærd, der overtræder direktivet, og

afstå fra at gentage denne adfærd.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4,

litra d, skal medlemsstater sikre, at de kompetente myndig-

heder har beføjelser til at pålægge de pågældende enheder,

på en nærmere angivet måde og inden for en nærmere angi-

vet frist til, at sikre, at deres foranstaltninger til styring af

cybersikkerhedsrisici overholder artikel 21, eller at efterleve

underretningsforpligtelserne i artikel 23.

Efter den foreslåede nr. 2, vil klima-, energi- og forsynings-

ministeren kunne angive, hvilke nærmere foranstaltninger

virksomheden skal træffe i tilfælde af, at virksomheden ikke

lever op til de krav, der er fastsat i loven. Ministeren vil

ligeledes efter bestemmelsen kunne forbyde virksomheder at

foretage visse dispositioner, såfremt det vurderes, at det kan

udgøre en trussel for virksomhedens sikkerhed og beredskab

eller på anden måde kompromittere virksomhedens evne

til at levere tjenester eller udføre sine aktiviteter. Sådanne

forbud vil kunne omfatte anvendelsen af materiale eller ser-

vices fra aktører fra tredjelande, hvis det kan begrundes at

der er en konkret trussel mod forsyningssikkerheden. I trus-

selsvurderingen vil det aktuelle trusselsbillede eller konkrete

oplysninger fra efterretningstjenester kunne inddrages.

Det foreslås med

nr. 3,

at klima-, energi- og forsyningsmi-

nisteren kan påbyde virksomheden at underrette de fysiske

eller juridiske personer, til hvilke den leverer tjenester el-

ler udfører aktiviteter, som potentielt kan være berørt af

en væsentlig cybertrussel, om denne trussels karakter samt

om eventuelle beskyttelsesforanstaltninger eller afhjælpende

foranstaltninger, som de fysiske eller juridiske personer kan

træffe som reaktion på denne trussel.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4,

litra e, skal medlemsstater sikre, at de kompetente myndig-

heder har beføjelser til, at pålægge de pågældende enheder

at underrette de fysiske eller juridiske personer med hensyn

til hvilke de leverer tjenester eller udfører aktiviteter, som

potentielt er berørt af en væsentlig cybertrussel, om denne

trussels karakter samt om eventuelle beskyttelsesforanstalt-

ninger eller afhjælpende foranstaltninger, som disse fysiske

eller juridiske personer kan træffe som reaktion på denne

trussel.

Bestemmelsen skal ses i sammenhæng med den foreslåede

bestemmelse i § 13, som indeholder en forpligtelse for virk-

somheder til i relevant omfang at underrette modtagerne af

deres tjenester, som potentielt er berørt af en væsentlig cy-

bertrussel, om eventuelle foranstaltninger eller modforholds-

regler, som modtagerne kan træffe som reaktion på den på-

gældende trussel. Hvor det er relevant, skal virksomhederne

også informere de pågældende modtagere om den væsentli-

ge cybertrussel.

Med det foreslåede nr. 3, vil klima- energi- og forsyningsmi-

nisteren kunne påbyde, at der skal foretages underretning af

modtagerne af virksomhedens tjenester, uanset om virksom-

heden selv vurderer, at det er relevant.

Det foreslås med

nr. 4,

at klima- energi- og forsyningsmini-

steren kan påbyde virksomheden, at udpege en person med

ansvar for i en nærmere fastsat periode at føre tilsyn med

virksomhedens overholdelse af §§ 6-9 og §§ 12-14, samt

regler udstedt i medfør heraf.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4,

litra g, skal medlemsstater sikre, at de kompetente myndig-

heder har beføjelser til at udpege en overvågningsansvarlig

med veldefinerede opgaver til i en nærmere fastsat periode

at føre tilsyn med de pågældende enheders overholdelse af

artikel 21 og 23.

Den foreslåede bestemmelse vil medføre, at virksomheden

enten vil kunne udpege en ansat eller en ekstern person. Den

pågældende person vil skulle monitorere virksomhedens

overholdelse af krav til foranstaltninger til styring af en-

ten fysiske eller logiske risici i medfør af de foreslåede be-

stemmelser om foranstaltningerne og underretning. Klima-,

Energi- og Forsyningsministeriet vil kunne påbyde virksom-

heden at udpege flere personer til at føre tilsyn med overhol-

delse af §§ 6-9 og §§ 12-14, hvis virksomhedens størrelse

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

116

eller særlig teknisk forståelse for foranstaltninger kræver

det, eller hvis det i øvrigt findes relevant for at sikre et

tilstrækkelig grundigt tilsyn.

Det foreslås med

nr. 5,

at klima-, energi- og forsyningsmini-

steren kan påbyde virksomheden i ikke-anonymiseret form

og på en nærmere angiven måde at offentliggøre afgørelser

om håndhævelsesforanstaltninger efter nr. 1-5 samt resume-

er af domme eller bødevedtagelser, hvor der idømmes eller

vedtages en bøde efter lovforslagets § 37.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4,

litra h, skal medlemsstater sikre, at de kompetente myndig-

heder har beføjelser til, at pålægge de pågældende enheder

at offentliggøre aspekter af overtrædelser af dette direktiv på

en nærmere angivet måde.

Den foreslåede bestemmelse vil medføre, at klima-, energi-

og forsyningsministeren vil kunne pålægge en virksomhed

at offentliggøre afgørelser om håndhævelsesforanstaltninger

i ikke-anonymiseret form. Det betyder, at virksomheden

vil skulle offentliggøre navngivne oplysninger om, hvilke

sanktioner de har modtaget, herunder afgørelser om tvangs-

foranstaltninger og eventuelle bøder. Offentliggørelsen vil

skulle ske på en specificeret måde, som kan fastsættes af

ministeren.

Det bemærkes, at forvaltningslovens § 27, om offentlige

ansattes tavshedspligt, vil skulle overholdes ved vurderingen

af, hvorvidt og hvordan der skal pålægges offentliggørelse

efter den foreslåede bestemmelse. Dette omfatter bl.a. hen-

synet til enkeltpersoners private forhold, forretningshemme-

ligheder samt hensynet til forebyggelse, efterforskning og

forfølgning af lovovertrædelser. Desuden skal de hensyn

som fremgår af lovforslagets kapitel 10 om fortrolighed ind-

gå i overvejelser om orientering af offentligheden.

Det forudsættes, at virksomheden ikke pålægges at offent-

liggøre oplysninger om tekniske indretninger eller frem-

gangsmåder eller om drifts- eller forretningsforhold eller

lignende, for så vidt det er af væsentlig økonomisk betyd-

ning for den virksomhed, som oplysningerne angår. Definiti-

onen af oplysninger vedrørende tekniske indretninger m.v.

skal forstås i overensstemmelse med § 30, nr. 2, i offentlig-

hedsloven og skal fortolkes i overensstemmelse med denne

bestemmelses forarbejder og relevant praksis.

Det forudsættes desuden, at virksomheden ikke pålægges at

offentliggøre oplysninger, der kan udnyttes af ondsindede

aktører og derved udgøre en sikkerhedsmæssig risiko for

virksomheden. Sådanne oplysninger kan eksempelvis være

nærmere information om, hvilke foranstaltninger der ikke er

blevet fundet tilstrækkelige på baggrund af tilsyn og kontrol.

Det forudsættes endvidere, at virksomheden ikke pålæg-

ges at offentliggøre oplysninger om enkeltpersoners for-

hold, medmindre disse oplysninger indgår i virksomhedens

navn. Oplysninger om enkeltpersoners forhold kan eksem-

pelvis være oplysninger om navne, adresser eller private

telefonnumre på medarbejdere eller andre berørte parter.

Klima-, Energi- og Forsyningsministeriet har overvejet om

den foreslåede bestemmelse har karakter af en offentliggø-

relsesordning, som behandlet i betænkning nr. 1516 af 2010

om offentlige myndigheders offentliggørelse af kontrolresul-

tater, afgørelse mv. (betænkning 1516), der vil fordre at mi-

nisteriet gennemgik betænkningens ”tjekliste” til brug ved

indførelse af ordninger med systematisk offentliggørelse af

oplysning om kontrolresultater, afgørelser mv. på internettet

i ikke anonymiseret form.

Det fremgår af side 107 i betænkningen, at der med ”syste-

matisk offentliggørelse” forstås, at der på et givent område

sker offentliggørelse enten af alle afgørelse eller af en fler-

hed af afgørelser efter nærmere retningslinjer.

Som det fremgår af ovenstående beskrivelse af bestemmel-

sens materielle indhold, er der tale om offentliggørelse af

et kontrolresultat eller en afgørelse, som eksempelvis afgø-

relser om påbud eller forbud efter nr. 1-4 samt resumeer af

domme eller bødeforlæg, hvor der idømmes eller vedtages

en bøde.

Det kan heller ikke udelukkes, at der med ordningen vil

være tale om systematisk offentliggørelse.

Klima-, Energi- og Forsyningsministeriet har derfor fundet

det nødvendigt at vurdere, om behovet og hensynene fra

betænkning 1516’s er opfyldt i forbindelse med indførelsen

af den foreslåede offentliggørelsesordning.

Klima-, Energi- og Forsyningsministeriets vurderer, at der

behov for at kunne påbyde en virksomhed, at offentliggøre

afgørelser om påbud eller forbud efter nr. 1-4 samt resumeer

af domme eller bødeforlæg, hvor der idømmes eller vedta-

ges en bøde, i ikke-anonymiseret form og på en nærmere an-

given måde. Det skyldes, at det er et krav i NIS 2-direktivets

artikel 32, stk. 4, nr. 5, om at: ”Medlemsstaterne sikrer, at

deres kompetente myndigheder, når de udøver deres hånd-

hævelsesbeføjelser over for væsentlige enheder, som mini-

mum har beføjelse til at pålægge de pågældende enheder

at offentliggøre aspekter af overtrædelser af dette direktiv

på en nærmere angivet måde”. Det er Klima-, Energi- og

Forsyningsministeriets vurdering, at den foreslåede offent-

liggørelsesordning vil være en effektiv håndhævelsesforan-

staltning overfor en virksomhed og samtidig sikre overhol-

delsen af NIS 2-direktivets artikel 32, stk. 4, nr. 5. Således

vil den blotte mulighed for at benytte denne håndhævelses-

foranstaltning kunne tilskynde virksomhederne til at over-

holde deres forpligtigelser efter loven. Endvidere vil offent-

ligheden, særligt privatforbrugere og virksomheder, der er

afhængig af de forskellige energiforsyninger, have interesse

i at vide hvilke virksomheder, der ikke opfylder kravene til

organisatorisk beredskab, fysisk sikring og cybersikkerhed,

således at de aktivt kan vælge en potentielt anden udbyder. I

det tilfælde, at forbrugeren ikke har mulighed for at vælge

en anden udbyder eller energiforsyning, vil forbrugeren kun-

ne foretage sin egen beredskabsplanlægning, således forbru-

geren kan klare sig uden den konkrete energiforsyning i et

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

117

antal dage, hvilket vil gøre forbrugeren mere robust overfor

energiforsyningsafbrud.

Det vil således være en væsentlig information for offentlig-

heden, at blive gjort bekendt med, hvilke virksomheder, der

ikke kan overholde kravene til organisatorisk beredskab, fy-

sisk sikring og cybersikkerhed fastsat i denne lov eller regler

udstedt i medfør af denne lov.

Ordningen indebærer, at der vil blive offentliggjort oplys-

ninger, som betragtes som særligt indgribende, og derfor

i udgangspunktet vil tale i mod at etablere en offentliggø-

relsesordning. Der kan således ske offentliggørelse af navn-

givne oplysninger om, hvilke sanktioner virksomheden har

modtaget, herunder afgørelser om tvangsforanstaltninger og

eventuelle bøder, ligesom virksomhedens navn vil fremgå.

Der er dog tungtvejende samfundsmæssige interesser, som

opvejer hensynet til ikke i udgangspunktet at offentliggøre

de fysiske og juridiske personers oplysninger om strafbare

forhold. Således vil en hændelse hos en virksomhed, som

følge af virksomhedens manglende overholdelse af lovfor-

slagets regler eller regler udstedt i medfør af lovforslaget,

potentielt have omfattende og meget direkte konsekvenser

for samfundets forsyning af forskellige energiarter. Således

vil en hændelse hos elektricitetsvirksomhed kunne føre til

black out i større dele af Danmark, igennem en hændelse

hos visse fjernvarmeoperatører vil kunne føre til, at tusind-

vis af mennesker står uden varmeforsyning i deres privat-

hjem og på deres arbejde. Offentligheden har således en

tungtvejende interesse i at blive bekendtgjort med virksom-

heder, der ikke overholder lovgivningen, således at de gen-

nem valg af udbyder eller energiforsyning kan minimere

risikoen for forsyningssvigt. Såfremt en anden udbyder eller

energiforsyning ikke kan vælges pga. monopolforhold kan

forbrugeren foretage beredskabsplanlægning for sin egen

husholdning, således at forbrugeren kan træffe foranstaltnin-

ger, der gør forbrugeren i stand til at klare sig uden energi-

forsyningen i en rum tid.

Med den foreslåede bestemmelse sikres hjemmel til at of-

fentliggøre information om hændelsen. Det er nærmere af-

grænset ovenfor, hvornår bestemmelsen kan anvendes, her-

under at der ved offentliggørelse særligt skal tages hensyn til

virksomhedernes særligt følsomme oplysninger, og at reg-

lerne om tavshedspligt i anden lovgivning skal overholdes.

Klima-, Energi- og Forsyningsministeriet vurderer på bag-

grund af ovenstående overvejelser, at de seks punkter i be-

tænkning 1516’s tjekliste vil være overholdt, hvorfor den

foreslåede offentliggørelsesordning vil være i overensstem-

melse med betænkningens kriterier for sådanne ordninger.

Forså vidt angår de persondataretlige overvejelser, henvises

der til pkt. 4 i de almindelige bemærkninger. Der henvises

i øvrigt til afsnit 3.7 i lovforslagets almindelige bemærknin-

ger.

Til § 22

Ifølge elforsyningslovens § 85 c, stk. 2, og gasforsynings-

lovens § 15 b, stk. 2, kan klima-, energi- og forsyningsmi-

nisteren påbyde virksomheder, som ikke har efterkommet

påbud om overholdelse af krav til virksomhedernes it-bered-

skab, at foretage en it-revision af kritiske it-systemer ved en

uafhængig revisor godkendt af tilsynsmyndigheden.

Efter olieberedskabslovens § 17, stk. 4, kan klima-, energi-

og forsyningsministeren bestemme, at virksomheder skal

fremsende en revisorerklæring om rigtigheden af fremsendte

oplysninger om virksomhedens salg, køb og lagerbeholdnin-

ger af olie.

Det foreslås i

stk. 1,

at klima-, energi- og forsyningsministe-

ren ved manglende opfyldelse af påbud efter § 21, stk. 1, nr.

1-5, kan påbyde virksomheder at få foretaget en revision af

net- og informationsforanstaltninger, modstandsdygtigheds-

foranstaltninger og kritiske systemer ved en uafhængig revi-

sor. Udgifterne til revisionen afholdes af virksomheden.

Efter bestemmelsen i CER-direktivets artikel 21, stk. 1, litra

b, skal medlemsstater sikre, at de kompetente myndigheder

har beføjelser og midler til at foretage eller kræve revision

af kritiske enheder.

Den foreslåede bestemmelse vil bygge videre på gældende

bestemmelser fra el- og gassektoren, hvor ministeren kan

påbyde virksomheder at foretage en revision. Den foreslå-

ede bestemmelse vil kunne anvendes i flere tilfælde end

tidligere. Som efter gældende regulering vil bestemmelsen

finde anvendelse på net- og informationssystemer, svarende

til it-beredskab, desuden vil klima-, energi- og forsynings-

ministeren påbyde virksomheder at få foretaget revision af

modstandsforanstaltninger, som anvendes ved den fysiske

sikring af virksomheden.

Revisionen vil adskille sig fra det generelle tilsyn, der er

foreslået i lovforslagets § 19, ved at revisionen vil skulle ud-

føres af en uafhængig revisor fremfor tilsynsmyndigheden,

og at revisionen ikke vil være bundet af de tilsyns- og kon-

trolrammer, som anvendes af tilsynsmyndigheden.

Efter den foreslåede bestemmelse, vil klima-, energi- og for-

syningsministeren kunne påbyde en revision, når håndhæ-

velsesforanstaltninger, der er meddelt efter den foreslåede §

21, nr. 1-5, ikke vurderes tilstrækkeligt efterlevet. Påbud vil

dermed kunne ske på baggrund af tilsyn, hvor tilsynsmyn-

digheden bliver opmærksom på manglende overholdelse af

påbud hos virksomheder eller hvis sådan viden opnås gen-

nem andre kanaler.

Det foreslåede vil medføre, at Klima-, energi og forsynings-

ministeren vil skulle foretage en konkret vurdering af om-

stændighederne i hver enkelt sag, hvor virksomheden påby-

des at foretage en revision. Et påbud om revision vil skulle

være proportionelt med de mangler, som er konstateret hos

virksomheden.

Det forudsættes, at ministeren i sin vurdering af, om der vil

skulle meddeles et påbud, vil skulle tage hensyn til overtræ-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

118

delsens grovhed og vigtigheden af de overtrådte bestemmel-

ser. Ved vurderingen af overtrædelsens grovhed skal følgen-

de handlinger betragtes som alvorlige overtrædelser; gentag-

ne overtrædelser, manglende underretning om eller afhjælp-

ning af væsentlige hændelser, manglende afhjælpning af

mangler efter bindende instrukser og afgivelse af urigtige el-

ler klart unøjagtige oplysninger vedrørende net- og informa-

tionssikkerhedsrisikostyringsforanstaltninger, modstandsfor-

anstaltninger eller rapporteringsforpligtelser, der er fastsat i

de foreslåede bestemmelser i §§ 6-9, 12, 13, 15 og 16. End-

videre vil ministeren i sin vurdering af, om der vil skulle

meddeles et påbud, skulle tage hensyn til overtrædelsens

varighed, den pågældende virksomheds relevante tidligere

overtrædelser, enhver materiel eller immateriel skade, der er

forårsaget, herunder ethvert finansielt eller økonomisk tab,

virkninger for andre tjenester og antallet af brugere, der er

berørt, hvorvidt der ved overtrædelsen er handlet forsætligt

eller uagtsomt, enhver foranstaltning truffet af enheden for

at forebygge eller afbøde den materielle eller immaterielle

skade, hvorvidt godkendte adfærdskodekser eller godkendte

certificeringsmekanismer er overholdt, og i hvilken udstræk-

ning de fysiske eller juridiske personer, der holdes ansvarli-

ge for overtrædelsen, samarbejder med de kompetente myn-

digheder.

Revisionen vil være afgrænset til de net- og informations-

systemer, modstandsdygtighedsforanstaltninger og kritiske

it-systemer, der indgår i virksomhedens opfyldelse af regler

efter lovforslaget og regler udstedt i medfør af lovforsla-

get. Dermed vil en revision påbudt efter den foreslåede be-

stemmelse, ikke omfatte virksomhedens generelle regnska-

ber. Generelle administrative it-systemer vil være omfattet

af en sådan revision, da cyberangreb ofte bruger sådanne

systemer som en angrebsvinkel, til eksempelvis at tilegne

sig adgang til andre systemer. Desuden vil revisionen få

kompetence til at undersøge virksomhedens modstandsdyg-

tighedsstyringsforanstaltninger.

Det forudsættes ved gennemførelsen af revisionen efter den

foreslåede bestemmelse, at revisionen vil munde ud i en

rapport, der vil indeholde en række anbefalinger fremsat

af revisoren, der opstiller de tiltag som den pågældende

virksomhed efter revisorens faglige vurdering, skal bringe

i orden for at overholde lovforslagets regler om organisato-

risk beredskab, fysisk sikring og cybersikkerhed og regler

udstedt i medfør af dette lovforslag om disse emner.

Det forudsættes ligeledes ved gennemførelsen af bestem-

melsen, at tilsynsmyndigheden, på baggrund af indholdet af

revisorens rapport, kan blive tilsikret i den faglige kvalitet

af revisionen, hvorved tilsynsmyndighedens afgørelse efter

den foreslåede bestemmelse i stk. 2, kan underbygges med

konkret faglig indsigt.

Det forudsættes endeligt ved gennemførelsen af bestemmel-

sen, at der er en vis fleksibilitet i bestemmelsen, i det den

teknologiske udvikling på dette område gør, at der er behov

for at kunne ændre på rammen for revisionen af virksomhe-

den samt indholdet af revisorens rapport.

Det følger af den foreslåede

stk. 2,

at klima-, energi og for-

syningsministeren kan påbyde virksomheder at gennemføre

tiltag, som på baggrund af en revision efter stk. 1, vurderes

nødvendige for at opretholde et tilstrækkeligt beredskab.

Efter den foreslåede bestemmelse, vil virksomheder dermed

ikke allerede i medfør af revisionen være bundet af konklu-

sionerne efter en afholdt revision. Virksomhederne vil med

hjemmel i den foreslåede stk. 2 kunne påbydes at gennemfø-

re tiltag på baggrund af revisionen. Bestemmelsen indebærer

dermed, at klima-, energi- og forsyningsministeren konkret

vil skulle gennemgå rapporter udarbejdet på baggrund af en

revision, og vil efterfølgende kunne træffe afgørelse om at

påbyde tiltag fra revisionen gennemført.

Det følger af den foreslåede

stk. 3,

at klima-, energi- og for-

syningsministeren kan fastsætte nærmere regler for, hvordan

den uafhængige revisor udpeges og godkendes.

Bestemmelsen har til formål at sikre, at der kan fastsættes

regler, som understøtter, at den udpegede revisor er uafhæn-

gig af den virksomhed, som skal have foretage revision.

Med den foreslåede bestemmelse forventes det at der af

klima-, energi- og forsyningsministeren vil kunne blive fast-

sat regler om af den uafhængige revisor, skal godkendes

af klima-, energi- og forsyningsministeren forud for at revi-

sionen må påbegyndes. For at lette godkendelsesprocessen

forudsættes det, at konsekvensen af de regler, der fastsættes

efter stk. 3, vil være, at klima-, energi- og forsyningsmini-

steren kan udarbejde en liste med forhåndsgodkendte revi-

sorer, hvor forhåndsgodkendelsen er af revisorens faglige

niveau. Således vil vurderingen i det enkelte tilfælde kun

være af om revisoren er uafhængig ift. den virksomhed der

skal revideres.

Med den foreslåede bestemmelse forventes det, at der ligele-

des vil kunne fastsættes regler om, hvilke kriterier en revisor

skal opfylde for kunne sige at være uafhængig fra virksom-

heden, der skal revideres. Eksempelvis hvor lang tid siden

revisoren senest må have foretaget arbejde for virksomhe-

den eller nogle af virksomhedens andre koncernforbundne

virksomheder.

Til § 23

Elforsyningslovens § 54, stk. 4, fastsætter regler om, at

klima-, energi- og forsyningsministeren midlertidigt kan

inddrage visse elektricitetsvirksomheders bevilling, dvs.

virksomhedens autorisation til at drive elektricitetsvirksom-

hed. Ifølge bestemmelsen kan en bevilling midlertidigt ind-

drages i tilfælde af, at en virksomhed gentagne gange over-

træder bestemmelser, vilkår eller påbud efter elforsyningslo-

ven eller VE-loven eller regler udstedt i medfør af disse

love, eller i tilfælde af at en netvirksomhed groft eller gen-

tagne gange tilsidesætter vilkår stillet af Energinet i medfør

af § 31, stk. 2, der vedrører virksomhedens bevillingspligti-

ge aktivitet, såfremt overtrædelsen indebærer tilsidesættelse

af væsentlige hensyn til elforsyningssikkerheden.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

119

Elforsyningsloven indeholder ikke en bestemmelse om, at

fysiske personer med ledelsesansvar midlertidigt kan forby-

des at udøve ledelsesfunktioner.

Efter gasforsyningslovens § 33, stk. 1, nr. 1, kan bevillinger

til gasvirksomheder inddrages af retten, hvis bestemmelser,

vilkår eller påbud efter gasforsyningsloven eller regler ud-

stedt i medfør af loven gentagne gange overtrædes.

Gasforsyningsloven indeholder ikke en bestemmelse om, at

fysiske personer med ledelsesansvar midlertidigt kan forby-

des at udøve ledelsesfunktioner.

Straffelovens § 79 indeholder regler om rettighedsfrakendel-

se ved dom for strafbare forhold, og bestemmelsen udgør

den almindelige regel i dansk ret om rettighedsfrakendelse.

Det følger af bestemmelsen, at når særlige omstændigheder

taler herfor, kan den, som udøver virksomhed, ved dom for

strafbart forhold frakendes retten til fortsat at udøve den

pågældende virksomhed eller til at udøve den under visse

former, såfremt det udviste forhold begrunder en nærliggen-

de fare for misbrug af stillingen, jf. straffelovens § 79. stk.

2. Efter samme regel kan der ske frakendelse af retten til

at deltage i ledelsen af en erhvervsvirksomhed her i landet

eller i udlandet uden at hæfte personligt og ubegrænset for

virksomhedens forpligtelser. Frakendelsen sker på tid fra et

til fem år regnet fra endelig dom, eller indtil videre, jf. § 79,

stk. 3.

Efter straffelovens § 79, stk. 4, kan retten under behandlin-

gen af de i straffelovens § 79, stk. 1 og 2, nævnte sager ved

kendelse udelukke den pågældende fra at udøve virksomhe-

den, indtil sagen er endeligt afgjort. Det kan ved dommen i

sagen bestemmes, at anke ikke har opsættende virkning.

Det foreslås i § 23,

stk. 1,

at hvis en virksomhed overtræder

et påbud og forbud, der er meddelt i medfør af § 21, nr.

1-4, og § 22, stk. 1 og 2, kan klima-, energi- og forsynings-

ministeren fastsætte en frist, inden for hvilken virksomheden

skal foretage de nødvendige tiltag for at afhjælpe manglerne

eller opfylde myndighedernes krav. Er tiltagene ikke fore-

taget inden for den fastsatte frist, kan klima-, energi- og

forsyningsministeren træffe afgørelse om håndhævelsesfor-

anstaltninger oplistet i nr. 1 og 2.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 5,

skal medlemsstaterne sikre, at de kompetente myndigheder

i en situation, hvor håndhævelsesforanstaltninger anvendt i

medfør af direktivets artikel 32, stk. 4, litra a-d og f, er

virkningsløse, skal have beføjelse til at fastsætte en frist,

inden for hvilken den væsentlige enhed skal tage de nødven-

dige tiltag for at afhjælpe manglerne eller opfylde myndig-

hedernes krav. Hvis de ønskede tiltag ikke tages inden for

den fastsatte frist, skal de kompetente myndigheder have

beføjelse håndhævelsesforanstaltninger efter artikel 32, stk.

5, litra a og b.

Den foreslåede bestemmelse vil medføre, at klima-, energi-

og forsyningsministeren kan udstede en frist, inden for hvil-

ken virksomheden skal foretage de nødvendige tiltag for at

afhjælpe manglerne eller opfylde myndighedernes krav, i de

påbud eller forbud, der meddelt i medfør af § 21, nr. 1-4 og

§ 22, stk. 1 og 2.

Den foreslåede bestemmelse vil medføre, at klima-, energi-

og forsyningsministeren, såfremt fristen overskrides, kan

træffe afgørelse om de stk. 1, nr. 1 og 2, nævnte suspensio-

ner og forbud, der vil blive gennemgået nedenfor.

Bestemmelsen vil ligeledes finde anvendelse på forhold om-

kring fysisk sikring, som falder inden for CER-direktivets

område.

Den foreslåede bestemmelse går videre end minimumskra-

vene i NIS 2 direktivet, idet at bestemmelsen også kan

anvendes, hvis virksomheden ikke har foretaget påbudt revi-

sion eller gennemført tiltag efter revisionen for så vidt angår

modstandsdygtighedsforanstaltninger, som ikke er et krav

der stammer fra NIS 2-direktivet. Bestemmelsen skal der-

udover forstås og anvendes i overensstemmelse med direk-

tivets forudsætninger og eventuelle fortolkningsbidrag fra

EU-Kommissionen, ENISA eller andre af EU’s institutioner.

Det bemærkes i den forbindelse, at det af den danske over-

sættelse af NIS 2-direktivets artikel 32, stk. 5, 1. afsnit,

fremgår, at bestemmelsen kan anvendes, hvor de relevan-

te håndhævelsesforanstaltninger er »virkningsløse«. Denne

oversættelse vurderes imidlertid ikke at være forenelig med

den engelske udgave af direktivet, hvori »ineffective« er

anvendt. Det er således Klima-, Energi- og Forsyningsmi-

nisteriets vurdering, at formuleringen »virkningsløse« vil

udgøre en indholdsmæssig forskydning i forhold til den

engelske sprogversion. Det er desuden Klima-, Energi- og

Forsyningsministeriets vurdering, at et kriterium om, at for-

anstaltningerne er »virkningsløse«, vil indebære, at enhver

virkning af de anvendte foranstaltninger – uanset om virk-

ningen måtte være utilstrækkelig eller endda negativ – vil

betyde, at bestemmelsen ikke vil kunne anvendes. Det vur-

deres, at dette reelt vil gøre bestemmelsen uanvendelig i

praksis i strid med direktivets forudsætninger. Det foreslås

på den baggrund, at der i stedet anvendes et kriterie om, at

virksomhederne har »overtrådt« håndhævelsesforanstaltnin-

gerne, da dette i en dansk juridisk sammenhæng vurderes at

svare til »ineffektive« og afspejler et indbygget proportiona-

litetsprincip.

Det følger på den baggrund af den foreslåede bestemmelse,

at det vil være en forudsætning for at anvende bestemmel-

sen, at håndhævelsesforanstaltninger pålagt i medfør af den

foreslåede § 21, stk. 1-4, og § 22, stk. 1 og 2, er blevet

overtrådt. Det er dermed en forudsætning, at mindre indgri-

bende midler har været forsøgt og vist sig utilstrækkelige

til at sikre, at enheden foretager de nødvendige tiltag for

at afhjælpe mangler, som den kompetente myndighed har

konstateret, eller opfylder den kompetente myndigheds krav.

Det bemærkes i den forbindelse, at Klima-, Energi- og For-

syningsministeriet efter omstændighederne og i relevant om-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

120

fang vil kunne træffe afgørelse om anvendelse af flere hånd-

hævelsesforanstaltninger på én gang. Der er således ikke i

medfør af den foreslåede § 23 et krav om, at relevante hånd-

hævelsesforanstaltninger anvendes tidsmæssigt forskudt af

hinanden, såfremt det vurderes, at flere foranstaltninger i

kombination er nødvendige for at sikre, at reglerne efterle-

ves.

Der vil efter bestemmelsen skulle fastsættes en nærmere

angivet frist, inden for hvilken enheden skal have truffet

de nødvendige tiltag for at afhjælpe manglerne eller opfyl-

de den kompetente myndigheds krav. Varigheden af fristen

vil afhænge af en konkret vurdering, som foretages af den

kompetente myndighed. Fastsættelsen af en nærmere angi-

vet frist vil være en selvstændig forvaltningsretlig afgørel-

se, der træffes i tillæg til en afgørelse efter § 21, nr. 1-4,

og § 22, stk. 1 og 2, hvorfor forvaltningslovens regler, her-

under bl.a. bestemmelserne i kapitel 3 (om vejledning og

repræsentation mv.), kapitel 5 (om partshøring), kapitel 6

(om begrundelse mv.) og kapitel 7 (om klagevejledning) i

udgangspunktet vil finde anvendelse.

Bestemmelsen vil skulle anvendes i overensstemmelse med

NIS 2-direktivets forudsætninger som udtrykt i præambelbe-

tragtning nr. 133, hvorefter bestemmelsen kun bør anvendes

som en sidste udvej, dvs. først efter at de øvrige, relevante

håndhævelsesforanstaltninger er udtømt. Det fremgår videre

af samme præambelbetragtning, at i betragtning af deres

alvor og indvirkning på virksomhedens aktiviteter og i sids-

te ende brugerne, bør sådanne midlertidige suspensioner el-

ler forbud kun anvendes proportionalt med overtrædelsens

alvor og under hensyntagen til omstændighederne i hvert

enkelt tilfælde, herunder i lyset af, om overtrædelsen var

forsætlig eller uagtsom, og ethvert tiltag, der er iværksat for

at forebygge eller afbøde den materielle eller immaterielle

skade.

Det foreslås, at afgørelse om suspension eller forbud træffes

af klima-, energi- og forsyningsministeren. Det skal ses i

lyset af, at muligheden for suspension og forbud ligger i for-

længelse af anvendelsen af de øvrige håndhævelsesmulighe-

der, og at der i en afgørelse om suspension eller forbud for-

udsættes at skulle indgå en begrundelse for, hvorfor allerede

pålagte håndhævelsesforanstaltninger er utilstrækkelige.

Det følger af NIS 2-direktivets artikel 32, stk. 7, at klima-,

energi- og forsyningsministeren ved anvendelsen af hånd-

hævelsesforanstaltninger, såsom suspension eller forbud ef-

ter den foreslåede bestemmelse, skal inddrage de oplistede

hensyn i litra a-h.

Det foreslås med § 23, stk. 1,

nr. 1,

at overtræder en virk-

somhed et påbud eller forbud, der er meddelt i medfør af

§ 21, nr. 1-4, og § 22, stk. 1 og 2, kan klima-, energi-

og forsyningsministeren fastsætte en frist, inden for hvilken

virksomheden skal foretage de nødvendige tiltag for at af-

hjælpe manglerne eller opfylde myndighedernes krav. Er

tiltagene ikke foretaget inden for den fastsatte frist, kan

klima-, energi- og forsyningsministeren træffe afgørelse om

midlertidigt at suspendere en certificering eller godkendelse

vedrørende dele af eller alle de relevante tjenester, virksom-

heden leverer, eller aktiviteter, der udføres af virksomheden.

Den foreslåede bestemmelse i § 23, stk. 1, nr. 1, indebæ-

rer, at såfremt virksomheden ikke har iværksat tiltag for

at afhjælpe manglerne eller efterkomme den kompetente

myndigheds krav inden for den fastsatte frist, kan klima-,

energi- og forsyningsministeren træffe afgørelse om midler-

tidigt at suspendere en certificering eller godkendelse vedrø-

rende dele af eller alle de relevante tjenester, virksomheden

leverer, eller aktiviteter, der udføres af virksomheden. Det

kan eksempelvis være elproduktionsbevilling efter elforsy-

ningslovens § 10, bevilling til at drive netvirksomhed efter

elforsyningslovens § 19, tilladelse til at producere elektri-

citet i medfør af VE-lovens 29 eller elforsyningslovens §

11, tilladelse til efterforskning og udvinding af råstoffer

efter undergrundslovens § 5, samt bevillinger til transmissi-

ons-, distributions-, lager- og LNG-virksomhed efter gasfor-

syningslovens 10. Der findes også andre relevante certifice-

ringen, godkendelser, tilladelser og bevillinger, f.eks. efter

miljølovgivningen, der også vil kunne suspenderes med den-

ne bestemmelse.

En afgørelse efter § 23, stk. 1, nr. 1, vil være en forvalt-

ningsretlig afgørelse, hvorfor forvaltningslovens regler, her-

under bl.a. bestemmelserne i kapitel 3 (om vejledning og

repræsentation mv.), kapitel 5 (om partshøring), kapitel 6

(om begrundelse mv.) og kapitel 7 (om klagevejledning) i

udgangspunktet vil finde anvendelse.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 5,

litra a, skal medlemsstater sikre, at de kompetente myndig-

heder har beføjelser til at midlertidigt at suspendere eller

anmode et certificerings- eller godkendelsesorgan eller en

domstol om i overensstemmelse med national ret midlerti-

digt at suspendere, en certificering eller godkendelse vedrø-

rende dele af eller alle de relevante tjenester, der leveres,

eller aktiviteter, der udføres, af en væsentlig enhed.

En afgørelse efter nr. 1 vil være af midlertidig karakter. Der

henvises i øvrigt til det foreslåede stk. 2, hvorefter afgø-

relsen kun kan opretholdes, så længe virksomheden ikke

har truffet de nødvendige tiltag for at afhjælpe de mangler

eller efterleve de krav fra klima-, energi- og forsyningsmi-

nisteren, som gav anledning til, at foranstaltningerne blev

anvendt.

Den foreslåede bestemmelse skal ses i sammenhæng

med den foreslåede bestemmelse i stk. 5, hvorefter

vedkommende minister efter forhandling med ministeren

for samfundssikkerhed og beredskab vil kunne fastsætte

nærmere regler for, hvilke certificeringer og godkendelser,

som bestemmelsen i stk. 1, nr. 1, finder anvendelse på. Det

forudsættes, at den foreslåede bestemmelse i 1, nr. 1, ikke

anvendes, før bemyndigelsen i den foreslåede stk. 5, er an-

vendt.

Det foreslås med § 23, stk. 1,

nr. 2,

at overtræder en virk-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

121

somhed et påbud og forbud, der er meddelt i medfør af §

21, nr. 1-4, og § 22, stk. 1 og 2, kan klima-, energi- og for-

syningsministeren fastsætte en frist, inden for hvilken virk-

somheden skal foretage de nødvendige tiltag for at afhjælpe

manglerne eller opfylde myndighedernes krav. Er tiltagene

ikke foretaget inden for den fastsatte frist, kan klima-, ener-

gi- og forsyningsministeren træffe afgørelse om midlertidigt

at forbyde enhver fysisk person med ledelsesansvar på ni-

veau med administrerende direktør eller den juridiske repræ-

sentant hos virksomheden at udøve ledelsesfunktioner i den

pågældende virksomhed.

Den foreslåede bestemmelse i § 23, stk. 1, nr. 2, indebæ-

rer, at såfremt virksomheden ikke har iværksat tiltag for

at afhjælpe manglerne eller efterkomme klima-, energi- og

forsyningsministerens krav inden for den fastsatte frist, kan

klima-, energi- og forsyningsministeren træffe afgørelse om

midlertidigt at forbyde enhver fysisk person med ledelsesan-

svar på niveau med administrerende direktør eller den juridi-

ske repræsentant hos enheden at udøve ledelsesfunktioner i

den pågældende virksomhed.

En afgørelse efter § 23, stk. 1, nr. 2, vil være en forvalt-

ningsretlig afgørelse, hvorfor forvaltningslovens regler, her-

under bl.a. bestemmelserne i kapitel 3 (om vejledning og

repræsentation mv.), kapitel 5 (om partshøring), kapitel 6

(om begrundelse mv.) og kapitel 7 (om klagevejledning) i

udgangspunktet vil finde anvendelse.

Efter NIS 2-direktivets artikel 32, stk. 5, litra b, skal med-

lemsstater sikre, at de kompetente myndigheder har beføjel-

ser til at anmode de relevante organer eller domstole om

i overensstemmelse med national ret midlertidigt at forby-

de enhver fysisk person med ledelsesansvar på direktionsni-

veau eller som juridisk repræsentant i den pågældende væ-

sentlige enhed at udøve ledelsesfunktioner i den pågældende

enhed.

Det bemærkes i denne forbindelse, at det af den danske

oversættelse af NIS 2-direktivets artikel 32, stk. 5, litra b,

bl.a. fremgår, at de personer med ledelsesansvar, der midler-

tidigt kan suspenderes, omfatter »enhver fysisk person med

ledelsesansvar på direktionsniveau«. Denne oversættelse er

efter Klima-, Energi- Forsyningsministeriets opfattelse imid-

lertid ikke forenelig med den engelske udgave af direktivet,

hvori »any natural person who is responsible for discharging

managerial responsibilities at chief executive officer or legal

representative level in the essential entity from exercising

managerial functions in that entity« er anvendt. Den franske

sprogversion anvender en tilsvarende formulering som den

engelske. I den foreslåede bestemmelse anvendes på den

baggrund betegnelsen »enhver fysisk person med ledelses-

ansvar på niveau med administrerende direktør«.

I det omfang en virksomhed eller organisation ikke har

en administrerende direktør, vil bestemmelsen omfatte den

øverste leder af den pågældende væsentlige enhed, fx en

generalsekretær, direktør, koncernchef eller managing part-

ner. En afgørelse efter nr. 2, vil være af midlertidig karak-

ter. Der henvises i øvrigt til det foreslåede stk. 2, hvorefter

afgørelsen kun kan opretholdes, så længe virksomheden ik-

ke har truffet de nødvendige tiltag for at afhjælpe de mang-

ler eller efterleve de krav fra klima- energi- og forsynings-

ministeren, som gav anledning til, at foranstaltningerne blev

anvendt.

I det omfang en virksomhed eller organisation ikke har

en administrerende direktør, vil bestemmelsen omfatte den

øverste leder af den pågældende væsentlige enhed, fx en ge-

neralsekretær, direktør, koncernchef eller managing partner.

En afgørelse efter nr. 2 vil være af midlertidig karakter, jf.

også det foreslåede stk. 2, hvorefter afgørelsen kun kan op-

retholdes, så længe enheden ikke har truffet de nødvendige

tiltag for at afhjælpe de mangler eller efterleve de krav fra

myndigheden, som gav anledning til, at foranstaltningerne

blev anvendt.

Det foreslås i § 23,

stk. 2,

at midlertidige suspensioner eller

forbud, som er pålagt i medfør af stk. 1, kun kan anvendes,

indtil virksomheden træffer de nødvendige foranstaltninger

til at afhjælpe de mangler eller til at opfylde de krav, som

gav anledning til at foranstaltningerne blev anvendt.

Den foreslåede bestemmelse vil implementere NIS 2-direk-

tivets artikel 32, stk. 5, 2. led, 1. pkt., hvoraf det følger, at

midlertidige suspensioner eller forbud, som er pålagt i hen-

hold til dette stykke, kun anvendes, indtil den pågældende

virksomhed træffer de nødvendige foranstaltninger til at af-

hjælpe manglerne eller opfylde den kompetente myndigheds

krav, som gav anledning til at disse håndhævelsesforanstalt-

ninger blev anvendt.

Klima-, Energi- og Forsyningsministeriet har ikke fundet

grundlag for at gå videre end direktivet. Den foreslåede be-

stemmelse svarer således indholdsmæssigt til NIS 2-direkti-

vets artikel 32, stk. 5, 2. led, og skal forstås og anvendes i

overensstemmelse med direktivets forudsætninger.

Bestemmelsen indebærer, at klima-, energi- og forsynings-

ministeren, der har truffet afgørelse om midlertidigt at su-

spendere en certificering eller midlertidigt har forbudt en

fysisk person med ledelsesansvar på niveau med administre-

rende direktør eller den juridiske repræsentant hos enheden

at udøve ledelsesfunktioner i den pågældende enhed, skal

træffe afgørelse om at ophæve foranstaltningen, når enheden

har truffet de nødvendige tiltag for at afhjælpe de mangler

eller opfylde de krav, som gav anledning til, at foranstaltnin-

gen blev anvendt. En sådan afgørelse bør træffes hurtigst

muligt.

Det foreslås i § 23,

stk. 3,

at en afgørelse efter stk. 1 kan af

virksomheden eller den fysiske person, afgørelsen vedrører,

forlanges indbragt for domstolene. Klima-, energi- og forsy-

ningsministeren anlægger i givet fald sag mod den virksom-

hed eller person, som har forlangt sagen indbragt.

Den foreslåede bestemmelse vil implementere NIS 2-direk-

tivets artikel 32, stk. 5, 2. led, 2. pkt., hvoraf det følger,

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

122

at pålæggelse af midlertidige suspensioner eller forbud skal

være underlagt passende proceduremæssige garantier i over-

ensstemmelse med de generelle principper i EU-retten og

chartret, herunder retten til effektive retsmidler og til en

retfærdig rettergang, uskyldsformodningen og retten til et

forsvar.

Det vil efter den foreslåede bestemmelse være muligt for

virksomheden eller den fysiske person, som afgørelsen om

suspension eller forbud vedrører, at forlange afgørelsen ind-

bragt for retten. Når en sådan sag indbringes for retten, vil

bestemmelserne i retsplejeloven finde anvendelse, hvilket

vil sikre de nødvendige retssikkerhedsgarantier.

Den foreslåede bestemmelse vil ikke afskære enheden eller

den fysiske person, som afgørelsen vedrører, fra at påklage

afgørelsen som led i almindelig administrativ rekurs og efter

§ 31 om klage til Energiklagenævnet.

Det vil efter bestemmelsen være muligt for enheden at for-

lange afgørelsen indbragt for retten, uanset om der er truffet

en administrativ afgørelse i 2. instans.

Det følger af det foreslåede § 23,

stk. 4,

at klima-, energi-

og forsyningsministeren, efter forhandling med ministeren

for samfundssikkerhed og beredskab, kan fastsætte nærmere

regler om, hvilke certificeringer og godkendelser der er om-

fattet af stk. 1, nr. 1.

Den foreslåede bestemmelse indebærer, at der vil kunne

fastsættes regler, der vil skulle sikre, at det vil være nærmere

regler i bekendtgørelsesform sikres det, at det vil være klart

og forudsigeligt for enhederne, hvilke certificerings- og god-

kendelsesordninger, der vil kunne medføre suspension. Det

sikres endvidere, at reglerne løbende kan tilpasses den ud-

vikling, der er på området, fx i tilfælde af, at der indføres en

ny cybersikkerhedscertificering i EU-regi.

Det forventes, at eksempelvis elproduktionsbevilling efter

elforsyningslovens § 10, bevilling til at drive netvirksomhed

efter elforsyningslovens § 19, tilladelse til at producere elek-

tricitet i medfør af VE-lovens 29 eller elforsyningslovens

§ 11, tilladelse til efterforskning og udvinding af råstoffer

efter undergrundslovens § 5, samt bevillinger til transmissi-

ons-, distributions-, lager- og LNG-virksomhed efter gasfor-

syningslovens 10, vil kunne suspenderes midlertidigt. Der

findes dog også andre relevante certificeringen, godkendel-

ser, tilladelser og bevillinger, f.eks. efter miljølovgivningen,

der også vil kunne omfattes i de nærmere fastsatte regler.

Det forudsættes, at den foreslåede bestemmelse i stk. 1, nr.

1, ikke anvendes, før bemyndigelsen i den foreslåede stk. 5,

er anvendt.

For så vidt angår de persondataretlige overvejelser, henvises

der til pkt. 4 i de almindelige bemærkninger.

Til § 24

Det følger af forvaltningslovens § 19, stk. 1, at såfremt en

part ikke kan antages at være bekendt med, at myndigheden

er i besiddelse af bestemte oplysninger om en sags faktiske

grundlag eller eksterne faglige vurderinger, må der ikke

træffes afgørelse, før ministeriet har gjort parten bekendt

med oplysningerne eller vurderingerne og givet denne lejlig-

hed til at fremkomme med en udtalelse. Det gælder dog kun,

hvis oplysningerne eller vurderingerne er til ugunst for den

pågældende part og er af væsentlig betydning for sagens

afgørelse. Ministeriet kan fastsætte en frist for afgivelsen af

den nævnte udtalelse, jf. forvaltningslovens § 19, stk. 1, jf.

dog undtagelserne i stk. 2.

Det foreslås i § 24,

stk. 1,

at inden Klima- Energi- og Forsy-

ningsministeriet træffer afgørelse om at anvende håndhævel-

sesforanstaltninger efter §§ 21-23, underrettes den berørte

virksomhed om de påtænkte håndhævelsesforanstaltninger

og begrundelsen herfor. Klima- Energi- og Forsyningsmini-

steriet skal give virksomheden en rimelig frist til at frem-

sætte bemærkninger, undtagen i tilfælde hvor formålet med

foranstaltningen ellers ville forspildes.

Den foreslåede bestemmelse vil skærpe kravene for, hvornår

myndigheden har pligt til at foretage høring. Efter foreslåe-

de bestemmelse, vil der være pligt til at høre den berørte

virksomhed, uagtet om virksomheden måtte være bekendt

med oplysninger om en sags faktiske oplysninger eller ej

før der træffes afgørelse. Bestemmelsen indeholder dermed

en mere objektiv høringspligt end forvaltningslovens § 19,

stk. 1. Derudover vil mængden af undtagelsesbestemmelser

begrænses.

Den foreslåede bestemmelse skal ses i sammenhæng med

lovens mekanisme for anvendelse af håndhævelsesforan-

staltninger. Lovforslaget indeholder en eskalation af anven-

delsen af håndhævelsesforanstaltninger. En afgørelse efter

lovforslagets § 22 eller § 23 vil dermed kunne træffes på

grundlag af, at en virksomhed ikke har overhold et forbud

eller påbud, som er afgivet i medfør af § 21. Der vil dermed

ikke være tale om nye oplysninger, men en fortsættelse af

tidligere forhold. Bestemmelsen vil i den forbindelse sikre,

at den pågældende part vil skulle høres, inden der træffes

afgørelse om eskalation af håndhævelsesforanstaltninger.

Den foreslåede bestemmelse vil implementere artikel 32,

stk. 8, i NIS 2-direktivet. Artikel 32, stk. 8, fastsætter, at

de kompetente myndigheder giver en detaljeret begrundelse

for deres håndhævelsesforanstaltninger. Inden de kompeten-

te myndigheder træffer sådanne foranstaltninger, underretter

de kompetente myndigheder de berørte enheder om deres

foreløbige resultater. De giver også disse enheder en rime-

lig frist til at fremsætte bemærkninger, undtagen i behørigt

begrundede tilfælde, hvor øjeblikkelige foranstaltninger til

at forebygge eller reagere på hændelser ellers ville blive

hindret.

Den foreslåede bestemmelse svarer således indholdsmæssigt

til NIS 2-direktivets artikel 32, stk. 8, og skal forstås og an-

vendes i overensstemmelse med direktivets forudsætninger.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

123

Efter den foreslåede bestemmelse vil Klima-, Energi- og

Forsyningsministeriet skulle sende en såkaldt agterskrivelse

til en virksomhed, før der træffes beslutning om at anvende

en påtænkt håndhævelsesforanstaltning efter §§ 21-23.

Agterskrivelsen vil skulle være ledsaget af en nærmere

begrundelse for den påtænkte håndhævelsesforanstaltning,

ligesom det vil skulle fremgå klart, at der er tale om en

høring, at der ikke er truffet afgørelse i sagen endnu, at virk-

somhedens bemærkninger til høringen kan få indflydelse

på resultatet, og at Klima-, Energi- og Forsyningsministeri-

et lader agterskrivelsen få virkning som en afgørelse, hvis

virksomheden ikke kommer med bemærkninger til høringen

inden dennes udløb.

Agterskrivelsen vil skulle indeholde en rimelig frist for virk-

somheden til at afgive bemærkninger til agterskrivelsens

indhold.

Høringsskrivelsen vil skulle indeholde en rimelig frist for

enheden til at afgive bemærkninger til agterskrivelsens ind-

hold. Kravet om at fastsætte en rimelig frist vil dog ikke

gælde i behørigt begrundede tilfælde, hvor øjeblikkelige

foranstaltninger til at forebygge eller reagere på hændelser

ellers ville blive hindret.

Der henvises i øvrigt til afsnit 3.7 i lovforslagets almindelige

bemærkninger.

Til § 25

Der er ikke beredskabsregulering inden for energisektoren,

der indeholder bestemmelser om gensidig bistand om cyber-

sikkerhed mellem medlemsstaters kompetente myndigheder.

Det foreslås i

§ 25, stk. 1, 1. pkt.,

at klima-, energi og

forsyningsministeren samarbejder med de andre medlems-

staters kompetente myndigheder i relevant omfang, når en

virksomhed leverer tjenester i mere end én medlemsstat i

Den Europæiske Union, eller hvor virksomheden leverer

tjenester i én eller flere medlemsstater, og virksomhedens

net- og informationssystemer er beliggende i en eller flere

andre medlemsstater.

Den foreslåede bestemmelse har til formål at danne rammen

for gensidig bistand om cybersikkerhed mellem at klima-,

energi og forsyningsministeren og andre medlemsstaters

kompetente myndigheder i de tre tilsyns- og håndhævelses-

situationer der er oplistet i stk. 1, nr. 1 – 3.

Bestemmelsen vil implementere artikel 37, stk. 1, i NIS

2-direktivet, hvoraf det følger, at hvor en enhed leverer tje-

nester i mere end én medlemsstat, eller hvor den leverer

tjenester i en eller flere medlemsstater, og dens net- og

informationssystemer er beliggende i en eller flere andre

medlemsstater, samarbejder de kompetente myndigheder i

de pågældende medlemsstater med og bistår hinanden ef-

ter behov. Det fremgår af direktivet, at dette samarbejde

indebærer mindst; a) at de kompetente myndigheder, der an-

vender tilsyns- eller håndhævelsesforanstaltninger i en med-

lemsstat, via det fælles kontaktpunkt underretter og hører de

kompetente myndigheder i de øvrige berørte medlemsstater

om de tilsyns- og håndhævelsesforanstaltninger, der er truf-

fet, b) at en kompetent myndighed kan anmode en anden

kompetent myndighed om at træffe tilsyns- eller håndhævel-

sesforanstaltninger, og c) at en kompetent myndighed efter

modtagelse af en begrundet anmodning fra en anden kompe-

tent myndighed yder bistand til den anden kompetente myn-

dighed, der står i et rimeligt forhold til dens egne ressourcer,

således at tilsyns eller håndhævelsesforanstaltningerne kan

gennemføres på en effektiv, virkningsfuld og konsekvent

måde.

Den foreslåede bestemmelse indebærer, at Klima-, Energi-

og Forsyningsministeriet i relevant omfang skal samarbejde

med de kompetente myndigheder i andre medlemsstater om

deres opgaveudførelse vedrørende enheder, der leverer tje-

nester i én eller flere medlemsstater, og enheder, hvis net- og

informationssystemer er beliggende i én eller flere medlems-

stater.

Det foreslås i § 25, stk. 1,

2. pkt., nr. 1,

at klima-, energi-

og forsyningsministeren via det centrale kontaktpunkt, der

er klima-, energi- og forsyningsministeren via det centrale

kontaktpunkt, der er udpeget af regeringen i medfør af, Eu-

ropa-Parlamentets i medfør af NIS 2-direktivet, underretter

de kompetente myndigheder i relevante medlemsstater om

anvendte tilsyns- og håndhævelsesforanstaltninger,

Det følger af den foreslåede bestemmelse i § 25, stk. 1, 2.

pkt., nr. 1, at samarbejdet om cybersikkerhed indebærer, at

der skal ske underretning til de kompetente myndigheder

i medlemsstater, hvor enheden leverer tjenester, eller hvor

dens net- og informationssystemer er beliggende.

Det foreslås i § 25, stk. 1, 2. pkt.,

nr. 2,

at klima-, energi-

og forsyningsministeren kan anmode en anden medlemsstats

kompetente myndigheder om at anvende tilsyns- og hånd-

hævelsesforanstaltninger.

Men den foreslåede bestemmelse kan klima-, energi- og

forsyningsministeren anmode en anden medlemsstats kom-

petente myndigheder om at anvende tilsyns- og håndhævel-

sesforanstaltninger overfor virksomheder omfattet af den an-

den medlemsstats regler der implementerer NIS 2-direktivet

i det pågældende land. Bestemmelsen tænkes fx anvendt i

situationer, hvor klima-, energi- og forsyningsministeren i

forbindelse med et tilsyn efter denne lov eller regler udstedt

i medfør af loven, af en dansk virksomhed, der er ejet eller

på anden måde kontrolleret af en virksomhed i anden med-

lemsstat, har konstateret en overtrædelse af lovgivningen,

der udspringer fra den udenlandske virksomhed. Det kunne

også tænkes relevant i den omvendte situation, hvor den

danske virksomhed er virksomheden der ejer eller kontrolle-

rer en virksomhed i en anden medlemsstat.

Det foreslås i § 25, stk. 1, 2. pkt.,

nr. 3,

at klima-, energi-

og forsyningsministeren i rimeligt omfang yder bistand til

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

124

en anden medlemsstats kompetente myndighed efter modta-

gelse af en begrundet anmodning herom.

Det følger af NIS 2-direktivets artikel 37, stk. 1, 2. led, at

den gensidige bistand, der er omhandlet i litra c, kan omfat-

te anmodninger om oplysninger og tilsynsforanstaltninger,

herunder anmodninger om at foretage inspektioner på stedet

eller eksternt tilsyn eller målrettede sikkerhedskontroller. En

kompetent myndighed, som en anmodning om bistand er

rettet til, må ikke afvise anmodningen, medmindre det er

fastslået, at den ikke er kompetent til at yde den ønskede bi-

stand, at den bistand, der anmodes om, ikke står i et rimeligt

forhold til den kompetente myndigheds tilsynsopgaver, eller

anmodningen vedrører oplysninger eller indebærer aktivite-

ter, som, hvis de blev videregivet eller udført, ville stride

mod den medlemsstats væsentlige interesser med hensyn til

national sikkerhed, offentlige sikkerhed eller forsvar. Før

den kompetente myndighed afslår en sådan anmodning, hø-

rer den de øvrige berørte kompetente myndigheder samt, ef-

ter anmodning fra en af de berørte medlemsstater, EU-Kom-

missionen og ENISA.

Bistanden efter den foreslåede bestemmelse i § 25, stk. 1,

2. pkt., nr. 3, kan omfatte anmodninger om oplysninger og

tilsynsforanstaltninger, herunder eksempelvis anmodninger

om at foretage inspektioner på stedet eller målrettede sikker-

hedskontroller.

En anmodning om bistand vil kunne afvises, hvis anmodnin-

gen ikke står i rimeligt forhold til den kompetente myndig-

heds tilsynsopgaver og ressourcer.

En anmodning om bistand vil desuden kunne afvises, hvis

anmodningen vedrører videregivelse af oplysninger eller in-

debærer udførelsen af aktiviteter, som ville stride mod væ-

sentlige interesser med hensyn til national sikkerhed, offent-

lige sikkerhed eller forsvar. Før der vil kunne ske afvisning

af en anmodning, vil den kompetente myndighed skulle høre

de relevante kompetente myndigheder i andre medlemsstater

samt, efter anmodning fra en af de relevante kompetente

myndigheder i andre medlemsstater, EU-Kommissionen og

ENISA.

Det foreslås i § 25,

stk. 2,

at klima-, energi- og forsynings-

ministeren efter nærmere aftale med kompetente myndighe-

der fra andre medlemsstater i Den Europæiske Union, kan

gennemføre fælles tilsynstiltag.

Den foreslåede bestemmelse vil implementere NIS 2-direk-

tivets artikel 37, stk. 2, hvoraf det følger, at de kompetente

myndigheder fra forskellige medlemsstater, hvor det er hen-

sigtsmæssigt og efter fælles overenskomst, kan gennemføre

fælles tilsynstiltag.

Der stilles med den foreslåede bestemmelse ikke nærmere

formkrav til den aftale, der indgås om udførelsen af fælles

tilsynstiltag.

Den foreslåede bestemmelse indebærer ikke, at andre med-

lemsstaters myndigheder selvstændigt kan udøve tilsynsbe-

føjelser her i landet.

Til § 26

Efter elforsyningslovens § 85 c, stk. 4 og gasforsyningslo-

vens § 15 b, stk. 4, er informationer, herunder vurderinger,

planer og data, vedrørende sikkerhedsforhold for kritiske

it-systemer i virksomheder, omfattet af § 85 c, stk. 1 og § 15

b, stk. 1, fortrolige, hvis oplysningerne er væsentlige af hen-

syn til driften af virksomheden eller det sammenhængende

hhv. elsystem og gassystem.

Det er nærmere fastsat i § 29 i it-beredskabsbekendtgørel-

sen, at følsomme oplysninger skal behandles med fortrolig-

hed, og at der ved følsomme oplysninger forstås oplysninger

om konkrete risici og sårbarheder, planmateriale, kritiske

dele af beredskabsplaner, herunder hvordan virksomheden

eller sektoren vil agere i givne beredskabssituationer, mate-

riale af tilsvarende karakter, der af virksomheden eller Ener-

ginet vurderes følsomt. Endvidere fastsætter § 29, stk. 3, at

forsendelse og håndtering af følsomt materiale skal ske på

en måde, der sikrer fortrolighed og integritet af materialet,

mens § 29, stk. 4, bestemmer at følsomt materiale, som ikke

længere benyttes, skal destrueres.

Det er endvidere i § 32 i hhv. elberedskabsbekendtgørelsen

og naturgasberedskabsbekendtgørelsen, med hjemmel i el-

forsyningslovens § 85 b, stk. 3 og 4, og gasforsyningslovens

§ 15 a, stk. 3 og 4, angivet, at sårbarhedsvurderinger og

klassificering efter § 11, stk. 1 og 2, samt kritiske dele af

beredskabsplaner og andet materiale af tilsvarende karakter

skal behandles fortroligt og ikke må komme uvedkommende

i hænde.

Næsten tilsvarende bestemmelser som ovenfor findes i olie-

beredskabsbekendtgørelsens § 19, der dog har den ekstra

tilføjelse i stk. 3, 2. pkt., at udstederen af følsomme oplys-

ninger har pligt til at gøre modtageren opmærksom på even-

tuelle krav til håndteringen af følsomt materiale.

Det foreslås i

stk. 1,

at informationer om sikkerhedsgodken-

delse og baggrundskontrol samt forhold vedrørende organi-

satorisk beredskab, fysisk sikring og cybersikkerhed i virk-

somheder, der er omfattet af loven eller informationer om

energisektoren generelt, som udarbejdes i medfør af denne

lov, er fortrolige i de tilfælde der er oplistet i de foreslåede

nr. 1-5.

Den foreslåede bestemmelse i stk. 1, skal i udgangspunktet

ses som en videreførelse af de ovenstående bestemmelser

i hhv. elforsyningsloven, gasforsyningsloven og de fire be-

redskabsbekendtgørelser, med undtagelse af bestemmelserne

om kommercielt følsomme oplysninger.

Først og fremmest er formålet at fastlægge, at en lang række

informationer, der bliver udarbejdet og bruges som led i

denne lov af både virksomheder og myndigheder, herunder

EU-Kommissionen og dennes rådgivende missioner efter §

20, indeholder informationer, som er beskyttelsesværdige,

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

125

og derfor skal behandles med fortrolighed, af alle der er

besiddelse af disse informationer.

Det vil som udgangspunkt være udstederen eller ejeren

af oplysningerne, der vurderer oplysningernes fortrolighed

samt drager nødvendige foranstaltninger for at beskytte dis-

se.

Bestemmelsen i det foreslåede stk. 1 ændrer ikke ved, at

virksomhederne vil skulle udlevere informationer til Ener-

gistyrelsen eller EU-Kommissionen og dennes rådgivende

missioner efter den foreslåede § 20, i tilsynsøjemed.

Den foreslåede bestemmelse har endvidere som formål at

sikre, at personer, der virker inden for den offentlige forvalt-

ning, har tavshedspligt omkring de beskyttelsesværdige in-

formationer, i henhold til forvaltningslovens § 27, stk. 2, 2.

pkt., såfremt informationerne ikke allerede er omfattet af en

af de andre bestemmelser i forvaltningslovens § 27. Infor-

mationerne falder således, grundet klassificeringen som for-

trolig ved lov og bekendtgørelse, ind under anvendelsesom-

rådet for forvaltningslovens § 27, stk. 2, 2. pkt. Det betyder,

at personer, der virker inden for den offentlige forvaltning,

vil kunne ifalde strafansvar efter straffelovens § 152 og §§

152 c-152 f, såfremt personen bryder sin tavshedspligt om

disse informationer.

Den foreslåede bestemmelse indskrænker ikke, at informati-

oner, der ved tilsyn eller på anden vis kommer Energistyrel-

sen i hænde, vil være omfattet af reglerne om aktindsigt i

henhold til lov om offentlighed i forvaltningen, forvaltnings-

loven samt lov om aktindsigt i miljøoplysninger i de tilfæl-

de, hvor det skønnes, at oplysningerne er miljøoplysninger

efter definitionen i § 3 i miljøoplysningsloven.

Der skal således ved vurderingen af, om der kan gives

aktindsigt, efter reglerne i offentlighedsloven, forvaltnings-

loven og miljøoplysningsloven, i de nævnte typer informati-

oner, vurderes om disse informationer falder ind under disse

loves undtagelsesbestemmelser, fx angående undtagelse af

oplysninger af hensyn til statens sikkerhed eller rigets for-

svar, undtagelse af oplysninger af hensyn til rigets udenrigs-

politiske interesser m.v. og undtagelse af oplysninger om

private forhold og drifts- eller forretningsforhold m.v.

Endvidere vil den foreslåede bestemmelse have den virk-

ning, at der vil være en formodning om, at arkivlovens § 27,

stk. 1, nr. 1, 2, 5 og 6, finder anvendelse på de nævnte in-

formationer, som myndigheder, samt selskaber, institutioner,

foreninger m.v., efter arkivloven er forpligtiget til at afleve-

re til offentligt arkiv i henhold til arkivlovens regler. Det

betyder, at disse myndigheder, samt selskaber, institutioner,

foreninger m.v. vil være forpligtiget til at drøfte med det

modtagne arkiv om fastsættelse af en tilgængelighedsfrist,

der er så lang som mulig i henhold til den foreslåede § 27,

stk. 1.

Det foreslås i

nr. 1,

at informationerne er fortrolige i det

tilfælde, at informationerne indgår i vurderingen af sikker-

hedsgodkendelser.

Med den foreslåede bestemmelse vil alle oplysninger der

tilgår klima-, energi- og forsyningsministeren i forbindelse

med behandlingen af en ansøgning om sikkerhedsgodken-

delse efter § 16, stk. 2, være omfattet.

Det foreslås i

nr. 2,

at informationerne er fortrolige i det til-

fælde, at informationerne indgår i vurderingen af baggrund-

skontrol.

Med den foreslåede bestemmelse vil alle oplysninger der

tilgår klima-, energi- og forsyningsministeren i forbindelse

med behandlingen af en ansøgning om baggrundskontrol

efter § 16, stk. 1, være omfattet.

Det foreslås i

nr. 3,

at informationerne er fortrolige i det

tilfælde, at informationerne er væsentlige af hensyn til drif-

ten af virksomheden. Bestemmelsen vedrører eksempelvis

risiko og sårbarhedsvurderinger, planmateriale, beredskabs-

planer, sikringsplaner, tekniske informationer om opbygning

af anlæg og netværksstrukturer samt data der bruges af virk-

somhederne til at levere deres tjenester.

Ved risiko og sårbarhedsvurderinger forstås i denne bestem-

melse beskrivelser af konkrete sårbarheder eller scenarier,

der kan afstedkomme en krisesituation eller et angreb, her-

under cyberangreb. Vurderinger henviser både til virksom-

hedens egne vurderinger af egne systemer samt vurderinger

af det samlede energisystems sårbarheder.

Ved planmateriale, beredskabsplaner og sikringsplaner for-

stås i denne sammenhæng beskrivelser af procedure, hand-

linger eller foranstaltninger, der skal forhindre eller forebyg-

ge en krisesituation eller et angreb, herunder cyberangreb.

Ved data forstås i denne sammenhæng følsomme informati-

oner bl.a. data om systemets drift, adgange eller brugersty-

ring. Disse data beskriver systemers opsætning og adgangs-

styring.

Det foreslås i

nr. 4,

at informationerne er fortrolige i det til-

fælde, at informationerne er væsentlige af hensyn til driften

af andre virksomheder omfattet af loven.

Informationer, som er væsentlige af hensyn til driften af

andre virksomheder omfattet af loven, er de samme typer

af informationer der nævnt i forslaget til nr. 3. Forskellen

mellem de to bestemmelser er, at der i nr. 4 er formodning

om, at den der har informationen i hænde i dette tilfælde

ikke er virksomheden som oplysningerne handler om.

Det foreslås i

nr. 5,

at informationerne er fortrolige i det

tilfælde, at informationerne er væsentlige af hensyn til drif-

ten af energiforsyningen lokalt, regionalt, nationalt eller på

europæisk niveau.

Informationerne, som er væsentlige af hensyn til driften af

energiforsyningen lokalt, regionalt, nationalt eller på euro-

pæisk niveau, er de samme typer af oplysninger som nævnt

i forslaget til nr. 3, men i stedet for at være en virksomheds

beredskabsplan eller risiko- og sårbarhedsvurdering, så vil

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

126

det i denne sammenhæng være f.eks. en beredskabsplan

eller risiko- og sårbarhedsvurdering angående beredskabet

på lokalt, regionalt, nationalt eller europæisk niveau. Det

kan også være andre oplysninger der udarbejdes som led i

overholdelsen af loven eller regler udstedt i medfør af loven,

som indeholder informationer, der er væsentlige af hensyn

til driften af energiforsyningen på lokalt, regionalt, nationalt

eller europæisk niveau.

Det foreslås i

stk. 2,

at klima-, energi- og forsyningsministe-

ren fastsætter nærmere regler om, hvordan virksomheder og

myndigheder behandler informationer som nævnt i stk. 1.

Den foreslåede bestemmelse har den virkning, at klima-,

energi- og forsyningsministeren bemyndiges til administra-

tivt at fastsætte de nærmere regler for, hvordan virksomhe-

der og myndigheder opbevarer, behandler og deler den type

informationer, som der er blevet designeret som fortrolige

efter stk. 1.

Det er forventningen, at ministeren vil fastsætte bestemmel-

ser, der pålægger virksomheder og myndigheder selv at gøre

opmærksom på, hvordan de forventer, at deres fortrolige

informationer bliver behandlet af myndighederne og andre

virksomheder, når sådanne fortrolige informationer deles

og udveksles. Det forventes dog samtidigt, at ministeren

fastsætter regler om, at virksomhederne, desuagtet sådanne

instruktioner, skal udlevere de fortrolige informationer, når

det er påkrævet i henhold til lovforslagets bestemmelser

eller i regler udstedt i medfør i loven, fx i tilsynsøjemed og

som led i overholdelsen af underretningspligter.

Endvidere er det forventningen, at ministeren fastsætter be-

stemmelser om at fortrolige informationer ikke må komme

uvedkommende i hænde og at informationer skal udarbej-

des, opbevares og deles på en sådan måde, at der ikke kan

opnås uautoriseret adgang, ske sletning, ødelæggelse, æn-

dring eller utilsigtet offentliggørelse af disse informationer.

Det er desuden forventningen, at ministeren fastsætter be-

stemmelser om at fortrolige informationer, som ikke længere

benyttes, skal destrueres, medmindre det forsat skal kunne

udleveres til tilsyn, i forbindelse med efterforskning eller

påkræves bevaret i anden lovgivning såsom arkivloven, for-

valtningsloven og offentlighedsloven.

Endeligt er det forventningen, at ministeren fastsætter be-

stemmelser om, at hvis fortrolige informationer kompromit-

teres eller mistænkes for at være kompromitteret, så skal

skadevirkningerne opgøres og vurderes, ligesom virksomhe-

den skal underrette tilsynsmyndigheden og andre virksom-

heder, hvor kompromitteringen potentielt kan få konsekven-

ser for disse virksomheders levering af deres tjenester.

Det er ikke hensigten at fastsætte regler, som overlapper

indholdsmæssigt med de regler for klassificeret materiale,

som fremgår af sikkerhedscirkulæret.

Til § 27

Der er ikke i gældende ret for energisektoren fastsat regler

om, at underretninger er undtaget fra aktindsigt efter lov om

offentlighed i forvaltningen og partsaktindsigt efter forvalt-

ningsloven.

Det foreslås i

§ 27,

at underretning efter den foreslåede §

15 er undtaget fra aktindsigt efter lov om offentlighed i

forvaltningen og partsaktindsigt efter forvaltningsloven.

Den foreslåede bestemmelse implementerer NIS 2-direkti-

vets art. 30, nr. 2, 2. afsnit, 1 pkt. som anfører, at ”[…]

samtidig med at den vil sikre fortroligheden og passende

beskyttelse af de oplysninger, der er afgivet af den underret-

tende enhed”.

Særligt for virksomheder kan oplysninger om, at der fx er

gennemført et vellykket hackerangreb, hvor virksomheden

har mistet data, i høj grad skade virksomhedens omdømme,

og det kan i praksis afholde mange virksomheder fra frivil-

ligt at underrette Energistyrelsen, som kompetent myndig-

hed, om et sådant hackerangreb. Derfor foreslås det med be-

stemmelsen, at underretningerne i deres helhed undtages fra

reglerne om aktindsigt efter lov om offentlighed i forvaltnin-

gen og forvaltningsloven, herunder partsaktindsigt efter for-

valtningsloven. Undtagelsen vil omfatte underretningssagen

som helhed og vil derfor også omfatte de processkridt, der

tages af på baggrund af underretningen efter den foreslåede

§ 15.

Undtagelsen fra aktindsigt vil derimod ikke omfatte virk-

somheders eller fysiske personers adgang til at gøre sig

bekendt med oplysninger, herunder personoplysninger, der

vedrører deres egne forhold. En part i en sag vil således

kunne søge om aktindsigt efter forvaltningslovens § 9 om

partsaktindsigt.

Den foreslåede undtagelse fra aktindsigt i underretning ef-

ter § 15 vil ikke omfatte retten til aktindsigt efter miljø-

oplysningsloven, såfremt den enkelte underretning efter §

15, skulle indeholde miljøoplysninger. Man vil således for-

sat kunne få aktindsigt i miljøoplysninger efter miljøoplys-

ningslovens regler, såfremt underretningen efter § 15 inde-

holder miljøoplysninger. Det er således Klima-, Energi- og

Forsyningsministeriets vurdering at en sådan undtagelse vil-

le være i strid med miljøoplysningsdirektivet.

Det er Klima-, Energi- og Forsyningsministeriets vurdering,

at konsekvenserne ved den i bestemmelsen foreslåede und-

tagelse til offentlighedsloven i praksis er relativt begræn-

set. Således vil de fleste oplysninger, der vil indgå i en

underretning efter den foreslåede § 15, alligevel kunne und-

tages efter flere af offentlighedslovens undtagelsesbestem-

melser.

Der tænkes således særligt på undtagelserne i § 30 om en-

keltpersoners forhold og virksomheders tekniske indretnin-

ger eller fremgangsmåder eller om drifts- eller forretnings-

forhold el.lign. for så vidt det er af væsentlig økonomisk

betydning for den person eller virksomhed, oplysningerne

angår, at anmodningen ikke imødekommes. Således vil den

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

127

nævnte type hændelser meget ofte relatere sig til meget føl-

somme it-systemer, der bruges til drift af de tjenester, som

virksomheden leverer. Offentliggørelse af sådanne oplysnin-

ger vil derfor kunne have stor økonomisk betydning for

virksomheden. Dette gælder både ift. konkurrenters indsigt

i driften af virksomhederne, men derudover vil tekniske op-

lysninger også kunne bruges til at forværre et igangværende

angreb. Derudover vil oplysningerne kunne bruges til at de-

signe et succesfuld angreb mod virksomheden, med henblik

på gennemførsel på et senere tidspunkt.

Det vil også være oplysninger, der vil kunne undtages efter

offentlighedslovens § 31 om undtagelse af oplysninger i det

omfang, det er af væsentlig betydning for statens sikkerhed

eller rigets forsvar.

Grundet de typer af virksomheder, som loven vil omfatte,

og som leverer essentielle energiforsyninger til brug for

samfundets funktion, vil der være oplysninger i underretnin-

ger efter § 15, som vil kunne bruges til at skade statens

sikkerhed og rigets forsvar. Potentielt vil oplysningerne kun-

ne bruges til at ramme national elektricitetsforsyning eller

gasforsyning eller mindre virksomheder, som leverer elektri-

citet til kaserner, folketinget, sygehuse, teleinfrastruktur m.v.

Endvidere vil oplysninger i underretninger efter den foreslå-

ede § 15 også kunne undtages efter offentlighedslovens § 32

om undtagelse af oplysninger af hensyn til rigets udenrigs-

politiske interesser m.v.

Der kan være oplysninger i underretninger efter § 15,

der kan bruges til at skade rigets udenrigspolitiske interes-

ser. Det kan fx være, hvis underretningen angår en væsentlig

hændelse på energiinfrastruktur, der bruges til at eksportere

energi til udlandet. Her kan der være et udenrigspolitisk

hensyn til at holde hændelsen fortrolig så længe som muligt,

således at det andet land kan koordinere sine foranstaltnin-

ger og kommunikation til offentligheden i det pågældende

land om, hvordan situationen skal håndteres.

Endeligt vil oplysninger også kunne undtages efter offentlig-

hedslovens § 33 nr. 1, om forebyggelse, efterforskning og

forfølgning af lovovertrædelser, straffuldbyrdelse og lign. og

beskyttelse af sigtede, vidner eller andre i sager om straffe-

retlig eller disciplinær forfølgning samt nr. 5, om undtagelse

af hensyn til private og offentlige interesser, hvor hemmelig-

holdelse efter forholdets særlige karakter er påkrævet.

Der kan være oplysninger i underretninger efter § 15, som

vil indgå i opklaring af en eventuel forbrydelse begået af en

eller flere hackere, der har forårsaget den væsentlige hæn-

delse hos virksomheden. Det samme kan gøre sig gældende

i en situation, hvor Center for Cybersikkerhed ønsker at

imødegå og dermed forhindre, at en cybertrussel udvikler

sig til en væsentlig hændelse hos virksomheden. Mulighe-

derne for at imødegå sådanne cybertrusler kan forspildes,

såfremt der sker en offentliggørelse af oplysninger, mens der

er en efterforskning af politiet eller Center for Cybersikker-

hed i gang. Ligeledes kan det ikke udelukkes, at der er andre

særlige hensyn til private eller offentlige interesser, som der

kræver at der skal ske hemmeligholdelse af underretningen.

Af ovenstående grunde er det derfor vurderingen, at der i

praksis kun vil være mindre konsekvenser ved den foreslåe-

de undtagelse til offentlighedsloven.

Til § 28

Forvaltningslovens §§ 28-32 fastsætter rammerne for for-

valtningsmyndigheders videregivelse af oplysninger til en

anden forvaltningsmyndighed. Det følger af forvaltningslo-

vens § 28, stk. 1, at for videregivelse af oplysninger om en-

keltpersoner (personoplysninger) til en anden forvaltnings-

myndighed gælder reglerne i databeskyttelseslovens §§ 6-8,

§ 10, § 11, stk. 1, § 38 og § 40. Det følger af § 28, stk. 2, at

oplysninger af fortrolig karakter, som ikke er omfattet af stk.

1, kun må videregives til en anden forvaltningsmyndighed,

når: 1) den, oplysningen angår, udtrykkeligt har givet sit

samtykke, 2) det følger af lov eller bestemmelser fastsat

i medfør af lov, at oplysningen skal videregives, eller 3)

det må antages, at oplysningen vil være af væsentlig betyd-

ning for myndighedens virksomhed eller for en afgørelse,

myndigheden skal træffe. Bestemmelsen regulerer imidlertid

ikke videregivelse til udenlandske myndigheder.

Derudover reguleres videregivelse af oplysninger, der ville

stride mod væsentlige interesser af hensyn til den nationale

sikkerhed, offentlige orden eller forsvar bl.a. i sikkerheds-

cirkulæret, forvaltningslovens regler om tavshedspligt og

videregivelse af oplysninger samt straffelovens regler om

tavshedspligt.

Det foreslås i

§ 28,

at Klima-, Energi- og Forsyningsmi-

nisteriet og andre relevante myndigheder kan videregive

oplysninger til andre medlemsstaters myndigheder og til

institutioner i Den Europæiske Union for at varetage de

myndighedsopgaver, der foreslås med dette lovforslag, NIS

2-direktivet og CER-direktivet.

Den foreslåede bestemmelse indebærer, at de relevante myn-

digheder, CSIRT’en og det centrale kontaktpunkt som led i

den nationale gennemførelse af direktiverne, kan videregive

oplysninger til andre medlemsstater eller EU-institutioner,

hvis det er nødvendigt for at sikre overholdelsen af forplig-

telserne i NIS 2- og CER-direktiverne.

Formålet med bestemmelsen er at implementere underret-

ningskravene efter NIS 2-direktivets artikel 3, stk. 5 og stk.

6, samt at implementere øvrige bestemmelser om videregi-

velse af oplysninger til andre medlemsstaters myndigheder

og til institutioner i Den Europæiske Union efter NIS-2-di-

rektivets artikel 23, stk. 6, CER-direktivets artikel 7, stk. 2,

artikel 9, stk. 3, artikel 11, stk. 1 og 2, artikel 15, stk. 3, arti-

kel 17, stk. 2, artikel 18, stk. 3 og stk. 4. Disse bestemmelser

er beskrevet nedenfor.

Det fremgår af NIS 2-direktivets artikel 3, stk. 5, at de kom-

petente myndigheder senest den 17. april 2025 og derefter

hvert andet år underretter: a) EU-Kommissionen og samar-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

128

bejdsgruppen om antallet af væsentlige og vigtige enheder,

der er opført på den i stk. 3 omhandlede liste for hver af de

sektorer og delsektorer, der er omhandlet i bilag I eller II,

samt b) EU-Kommissionen om relevante oplysninger med

hensyn til antallet af væsentlige og vigtige enheder, der er

identificeret i medfør af artikel 2, stk. 2, litra b) -e), hvilke af

sektorerne og delsektorerne i bilag I eller II, som de tilhører,

hvilken type tjeneste de leverer, og hvilken af bestemmelser-

ne i artikel 2, stk. 2, litra b) -e), i medfør af hvilken de

blev identificeret. Efter artikel 3, stk. 6 kan medlemsstaterne

frem til den 17. april 2025, på anmodning efter af EU-Kom-

missionen, underrette EU-Kommissionen om navne på de

væsentlige og vigtige enheder, der er omhandlet af stk. 5,

litra b, som gengivet ovenfor.

Det følger endvidere af NIS 2-direktivets artikel 23, stk. 6,

at hvor det er relevant, informerer CSIRT�½en, den kompeten-

te myndighed eller det centrale kontaktpunkt uden unødigt

ophold de øvrige berørte medlemsstater og ENISA om den

væsentlige hændelse, navnlig hvor den væsentlige hændelse

berører to eller flere medlemsstater. Det følger af samme be-

stemmelse, at sådan information omfatter den type af oplys-

ninger, der er modtaget i overensstemmelse med artikel 23,

stk. 4, om enhedernes underretninger om væsentlige hæn-

delser, og at CSIRT�½en, den kompetente myndighed eller det

centrale kontaktpunkt i den forbindelse i overensstemmelse

med EU-retten eller national ret sikrer enhedens sikkerhed

og kommercielle interesser samt fortrolig behandling af de

afgivne oplysninger.

Efter bestemmelsen i artikel 23, stk. 6, skal CSIRT’en, Kli-

ma-, Energi- og Forsyningsministeriet eller det centrale kon-

taktpunkt således i relevant omfang videregive oplysninger,

som er modtaget i medfør af de foreslåede bestemmelser i

§§ 12 og 15 om hændelsesunderretninger, til øvrige berørte

medlemsstater og ENISA.

Det følger af CER-direktivets artikel 7, stk. 2, at medlems-

staterne efter identifikationen af de kritiske enheder i hen-

hold til artikel 6, stk. 1, sender følgende oplysninger uden

unødigt ophold til EU-Kommissionen: a) en liste over væ-

sentlige tjenester i pågældende medlemsstat, hvis der er

yderligere væsentlige tjenester sammenlignet med den i arti-

kel 5, stk. 1, omhandlede liste over væsentlige tjenester, b)

antallet af identificerede kritiske enheder for hver sektor og

delsektor anført i bilaget og for hver væsentlig tjeneste, c)

eventuelle tærskler, der anvendes til at specificere et eller

flere af kriterierne i stk. 1. Tærskler som omhandlet i første

afsnits litra c) kan forelægges som de er eller i aggregeret

form.

I den forbindelse vil klima-, energi og forsyningsministeren

have hjemmel i den foreslåede bestemmelse i § 28 til at

kunne videresende igennem det centrale kontaktpunkt de

ovennævnte oplysninger til EU-Kommissionen.

Det følger af CER-direktivets artikel 9, stk. 3, at de centrale

kontaktpunkter senest den 17. juli 2028 og derefter hvert an-

det år forelægger en sammenfattende rapport for EU-Kom-

missionen og for Gruppen for Kritiske Enheders Modstands-

dygtighed omhandlet i artikel 19 om de underretninger, de

har modtaget, herunder antallet af underretninger, arten af de

hændelser, der er underrettet om, og de tiltag, der er taget i

overensstemmelse med artikel 15, stk. 3.

I den forbindelse vil klima-, energi- og forsyningsministeren

have hjemmel i den foreslåede § 28, til at videregive de

nævnte informationer til det centrale kontaktpunkt for Dan-

mark efter CER-direktivet, således at disse informationer

kan indgå i den sammenfattende rapport til EU-Kommissio-

nen og Gruppen for Kritiske Enheders Modstandsdygtighed.

Det følger endvidere af CER-direktivets artikel 11, stk. 1

og 2, at når det er relevant, konsulterer medlemsstaterne

hinanden vedrørende kritiske enheder med henblik på at

sikre en konsekvent anvendelse af dette direktiv. Sådanne

konsultationer skal navnlig finde sted vedrørende kritiske

enheder, der: a) anvender kritisk infrastruktur, som er fysisk

sammenkoblet mellem to eller flere medlemsstater, b) er en

del af selskabsstrukturer, som er sammenkoblet eller forbun-

det med kritiske enheder i en anden medlemsstat, c) er ble-

vet identificeret som kritiske enheder i en medlemsstat, og

som leverer væsentlige tjenester til eller i andre medlemssta-

ter. De i stk. 1 omhandlede konsultationer tager sigte på at

styrke kritiske enheders modstandsdygtighed og, hvor det er

muligt, mindske disses administrative byrde.

Her vil klima-, energi- og forsyningsministeren have hjem-

mel i den foreslåede § 28 til at konsultere med kompetente

myndigheder, CSIRT’er og Centrale Kontaktpunkter i andre

medlemsstater for at sikre konsekvent anvendelse af direkti-

vet på kritiske enheder.

Det følger endvidere af CER-direktivets artikel 15, stk. 3, at

på grundlag af oplysninger leveret af en kritisk enhed i en

underretning om en hændelse, jf. den foreslåede § 12, orien-

terer den relevante kompetente myndighed via det centrale

kontaktpunkt andre berørte medlemsstaters centrale kontakt-

punkter, hvis hændelsen har eller kunne have betydelig ind-

virkning på kritiske enheder og kontinuiteten i leveringen

af væsentlige tjenester til eller i en eller flere andre med-

lemsstater. Det følger af samme bestemmelse, at centrale

kontaktpunkter, der fremsender og modtager sådanne oplys-

ninger, i overensstemmelse med EU-retten eller national ret

skal behandle disse oplysninger på en måde, der respekterer

deres fortrolighed og beskytter den berørte kritiske enheds

sikkerhed og kommercielle interesser.

Efter bestemmelsen i CER-direktivets artikel 15, stk. 3, vil

Klima-, Energi- og Forsyningsministeriet således i relevant

omfang skulle videregive oplysninger, som er modtaget i

medfør af de foreslåede bestemmelser i §§ 12 og 15 om

hændelsesunderretninger, til øvrige berørte medlemsstater.

På baggrund af CER-direktivets artikel 17, stk. 2, skal myn-

dighederne endvidere videregive oplysninger til EU-Kom-

missionen om identiteten af kritiske enheder, som leverer

væsentlige tjenester til eller i seks eller flere medlemsstater,

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

129

samt om de oplysninger, som enhederne leverer i henhold til

den foreslåede bestemmelse i § 5, stk. 2.

Det følger af CER-direktivets artikel 18, stk. 3, om rådgi-

vende missioner, at medlemsstaten efter en begrundet an-

modning fra EU-Kommissionen, eller en eller flere med-

lemsstater, hvortil eller hvori den væsentlige tjeneste leve-

res, som har identificeret en kritisk enhed af særlig europæ-

isk betydning som en kritisk enhed i henhold til artikel 6,

stk. 1, skal give EU-Kommissionen følgende: a) de relevan-

te dele af den kritiske enheds risikovurdering, b) en oversigt

over relevante foranstaltninger, der er truffet i overensstem-

melse med artikel 13, c) tilsyns- eller håndhævelsestiltag,

herunder vurderinger af overholdelse eller udstedte påbud,

som den kompetente myndighed har taget i henhold til arti-

kel 21 og 22 med hensyn til den pågældende kritiske enhed.

Her vil klima-, energi- og forsyningsministeren have hjem-

mel i den foreslåede § 28 til at fremsende de oplysninger,

der er nævnt ovenfor, til EU-Kommissionen eller til andre

EU-medlemsstater, jf. dog § 29, stk. 1, i lovforslaget.

Endeligt følger det af CER-direktivets artikel 18, stk. 4, at

medlemsstater, hvor det er nødvendigt, skal kunne rådgive

EU-Kommissionen om, hvorvidt den kritiske enhed af sær-

lig europæisk betydning opfylder sine forpligtelser i henhold

til direktivet kapitel III og, hvis det er relevant, hvilke foran-

staltninger der kunne træffes for at forbedre den pågældende

kritiske enheds modstandsdygtighed.

Artikel 18, stk. 4, fastsætter endvidere, at den kompetente

myndighed, der har identificeret en kritisk enhed i henhold

til artikel 6, stk. 1, i CER-direktivet, skal give EU-Kommis-

sionen og de medlemsstater, hvortil eller hvori den væsent-

lige tjeneste leveres, oplysninger om de foranstaltninger,

som den kompetente myndighed og kritiske enhed af særlig

europæisk betydning har truffet i medfør af den udtalelse

EU-Kommissionen har givet den kritiske enhed af særlig

europæisk betydning og den kompetente myndighed efter

artikel 18, stk. 4, 3. afsnit.

Her vil klima-, energi- og forsyningsministeren have hjem-

mel i den foreslåede § 28 til at fremsende oplysninger til

EU-Kommissionen eller til andre EU-medlemsstater, som

CER-direktivets artikel 18, stk. 4, påkræver, jf. dog § 29,

stk. 1, i lovforslaget.

For så vidt angår de persondataretlige overvejelser, henvises

der til pkt. 4 i de almindelige bemærkninger.

Til § 29

Det foreslås i

§ 29, stk. 1,

at de forpligtelser, der er fastsat

i denne lov eller i regler udstedt i medfør af loven, ikke

omfatter meddelelse af oplysninger, når videregivelse ville

stride mod væsentlige interesser af hensyn til den nationale

sikkerhed, offentlige sikkerhed eller forsvar.

Den foreslåede bestemmelse vil implementere artikel 2, stk.

11, i NIS 2-direktivet, og artikel 1, stk. 8, i CER-direktivet,

som fastsætter, at de forpligtelser, der er fastsat i de to direk-

tiver, ikke omfatter meddelelse af oplysninger, hvis videre-

givelse ville stride mod væsentlige interesser med hensyn til

medlemsstaternes nationale sikkerhed, offentlige sikkerhed

eller forsvar.

Artikel 2, stk. 11, i NIS 2-direktivet vil skulle implementeres

i overensstemmelse med direktivets præambelbetragtning nr.

9, 4. pkt., hvor det fremgår, at ingen medlemsstat bør være

forpligtet til at meddele oplysninger, hvis videregivelse efter

dens opfattelse ville stride mod dens væsentlige interesser

med hensyn til national sikkerhed, offentlig sikkerhed eller

forsvar. Det følger samme sted, at nationale regler eller EU-

regler om beskyttelse af fortrolige oplysninger, hemmelig-

holdelsesaftaler og uformelle hemmeligholdelsesaftaler, fx

Traffic Light Protocol, bør tages i betragtning i denne sam-

menhæng. Traffic Light Protocol skal forstås som et middel

til at informere om eventuelle begrænsninger, for så vidt

angår den videre spredning af oplysninger. Den anvendes

i næsten alle enheder, der håndterer it-sikkerhedshændelser

(CSIRT�½er), og i nogle informationsanalyse- og informati-

onsdelingscentre.

Artikel 1, stk. 8, i CER-direktivet, vil skulle implementeres

i overensstemmelse med direktivets præambelbetragtning

nr. 11, hvoraf det fremgår, at ingen medlemsstat bør være

forpligtet til at meddele oplysninger, hvis videregivelse vil

stride mod væsentlige interesser med hensyn til dens natio-

nale sikkerhed, og at EU-regler eller nationale regler om

beskyttelse af klassificerede informationer og hemmelighol-

delsesaftaler er relevante.

Der foretages en direktivnær minimumsimplementering af

bestemmelsen. Den foreslåede bestemmelse vil svare ind-

holdsmæssigt til NIS 2-direktivets artikel 2, stk. 11, og

CER-direktivets artikel 1, stk. 8, og skal forstås og anvendes

i overensstemmelse med direktivets forudsætninger.

Bestemmelsen vil primært være relevant for oplysninger, der

udveksles mellem medlemsstaterne og institutioner i Den

Europæiske Union. Bestemmelsen vil på denne baggrund

hovedsageligt være relevant i forhold til den foreslåede § 28,

der udgør Klima-, Energi- og Forsyningsministeriets videre-

givelseshjemmel hertil.

Under hensyn til bestemmelsen i NIS 2-direktivets artikel

2, stk. 7 (om at direktivet ikke finder anvendelse på offentli-

ge forvaltningsenheder, der udfører aktiviteter inden for na-

tional sikkerhed, offentlig sikkerhed, forsvar eller retshånd-

hævelse), er det Klima-, Energi- og Forsyningsministeriets

opfattelse, at den foreslåede bestemmelse i § 29, stk. 1, for

virksomheders vedkommende vil have et yderst begrænset

anvendelsesområde.

Bestemmelsen vil desuden alene vedrøre meddelelsen af op-

lysninger, som efter en konkret vurdering vil stride mod væ-

sentlige interesser med hensyn til den nationale sikkerhed,

offentlige sikkerhed eller forsvar. Bestemmelsen vil således

eksempelvis ikke medføre, at en virksomhed mere generelt

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

130

kan undlade at efterkomme oplysningsforpligtelserne over

for de kompetente myndigheder, herunder som led i myn-

dighedernes tilsyn. Det er Klima-, Energi- og Forsyningsmi-

nisteriets opfattelse, at det kun vil være i yderst sjældne

tilfælde, at videregivelse af en virksomheds oplysninger til

Klima-, Energi- og Forsyningsministeriet eller CSIRT’en vil

stride mod væsentlige interesser af hensyn til den nationale

sikkerhed, offentlige sikkerhed eller forsvar.

Det foreslås i § 29

stk. 2,

at oplysninger, der modtages

eller hidrører fra myndigheder i andre EU-medlemsstater,

behandles som fortrolige, såfremt den afgivende myndighed

betragter oplysningerne som fortrolige i henhold til EU-reg-

ler eller nationale regler.

Den foreslåede bestemmelse vil bl.a. sikre, at oplysninger,

som de danske myndigheder modtager fra andre medlems-

stater eller EU-institutioner i medfør af NIS 2-direktivets

artikel 23, stk. 6, og artikel 15, stk. 3, i CER-direktivet, vil

blive behandlet med den fornødne fortrolighed.

Der er tale om oplysninger vedrørende væsentlige hændel-

ser, der berører to eller flere medlemsstater, jf. NIS 2-direk-

tivets artikel 23, stk. 6, og oplysninger leveret af en kritisk

enhed i en underretning om en hændelse, jf. CER-direktivets

artikel 15, stk. 3.

Den foreslåede bestemmelse vil finde anvendelse, uanset

om oplysningerne modtages direkte fra den pågældende na-

tionale myndighed eller via andre, herunder EU-Kommissi-

onen.

Til § 30

Der er i elforsyningslovens § 92 b, gasforsyningslovens §

44 b og varmeforsyningslovens § 25 a fastsat bemyndigelse

til, at klima-, energi- og forsyningsministeren kan udstede

regler om, at kommunikation om forhold, som er omfattet

af loven, af bestemmelser fastsat i henhold til loven eller

af EU-retsakter om forhold omfattet af loven, skal ske digi-

talt. Ministeren kan herunder udstede regler om anvendelsen

af et bestemt digitalt system og fritagelse for obligatorisk

anvendelse for visse personer.

Der er i undergrundslovens § 34 b fastsat bemyndigelse til,

at klima-, energi- og forsyningsministeren kan udstede reg-

ler om, at skriftlig kommunikation til og fra ministeren om

forhold, som er omfattet af denne lov eller regler fastsat i

medfør heraf, skal foregå digitalt. Ministeren kan endvidere

fastsætte nærmere regler om digital kommunikation, herun-

der om anvendelse af bestemte it-systemer, særlige digitale

formater og digital signatur el.lign.

Det foreslås i

§ 30,

at klima-, energi- og forsyningsministe-

ren kan fastsætte regler om digital kommunikation, herunder

om anvendelsen af bestemte it-systemer og særlige digitale

formater samt digital signatur eller lignende.

Den foreslåede bestemmelse indebærer, at ministeren for

eksempel kan fastsætte regler om at gøre det obligatorisk for

virksomheder at anvende bestemte internetløsninger, herun-

der selvbetjeningsløsninger til fremsendelse af dokumenter

og oplysninger, anden kommunikation med myndighederne.

Der vil eksempelvis med hjemmel i bestemmelsen kunne

fastsættes regler om, hvem der eventuelt omfattes af pligten

til at kommunikere digitalt, om hvilke forhold, og på hvil-

ken måde.

Det er hensigten, at bestemmelsen endvidere skal anvendes

til at fastsætte regler om, hvordan virksomheder skal fore-

tage underretninger om hændelser i medfør af de foreslåe-

de §§ 12-15. Der vil eksempelvis kunne fastsættes regler

om anvendelse af bestemte digitale internetløsninger såsom

Virk.dk. Det kan eksempelvis også være relevant at fastsætte

regler om, at bl.a. registreringspligterne i den foreslåede §

35 skal efterkommes ved anvendelse af bestemte internet-

løsninger, såsom Virk.dk.

Der vil med hjemmel i bestemmelsen kunne fastsættes reg-

ler om, at skriftlige henvendelser til relevante myndigheder,

herunder Energistyrelsen, Energinet, CSIRT’en m.v., om

forhold, som er omfattet af et krav om digital kommunika-

tion, ikke anses for behørigt modtaget af myndighederne,

hvis de indsendes på anden vis end den foreskrevne digitale

måde.

Hvis en virksomhed retter henvendelse til en myndighed på

anden måde end den foreskrevne digitale måde, følger det af

den almindelige vejledningspligt, jf. forvaltningslovens § 7,

stk. 1, at myndigheden skal vejlede om reglerne på området,

herunder om pligten til at kommunikere digitalt.

Der vil desuden kunne fastsættes regler om fritagelse for

pligten til digital kommunikation. Fritagelsesmuligheden

tænkes navnlig anvendt, hvor det er påkrævet at anvende

en dansk digital signatur, men der er tale om en virksomhed

med hjemsted i udlandet, og som dermed ikke kan få udstedt

en dansk digital signatur. Det bemærkes i den forbindelse,

at fritagelsesmuligheden er stærkt begrænset, idet der er tale

om kommunikation om erhvervsforhold, og idet virksomhe-

der med hjemsted i udlandet kun i begrænset omfang vil

høre under dansk jurisdiktion.

Det forhold, at en virksomheds computere ikke fungerer, at

enheden har mistet koden til sin digitale signatur, eller at der

opstår lignende hindringer, som det er op til virksomheden

at overvinde, vil ikke kunne føre til fritagelse for pligten til

digital kommunikation. I så fald vil den pågældende enhed

eksempelvis skulle anmode en rådgiver om at varetage kom-

munikationen på virksomhedens vegne.

Der vil efter bestemmelsen også kunne fastsættes regler om,

at en digital meddelelse anses for at være kommet frem til

adressaten for meddelelsen på det tidspunkt, hvor meddelel-

sen er tilgængelig digitalt for adressaten. Dermed er der tale

om samme retsvirkning som ved fysisk post, der anses for

at være kommet frem, når den pågældende meddelelse m.v.

er lagt i adressatens fysiske postkasse. En meddelelse vil

normalt anses for at være kommet frem, når meddelelsen er

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

131

tilgængelig digitalt for adressaten, således at vedkommende

har mulighed for at behandle meddelelsen. Dette tidspunkt

vil normalt blive registreret automatisk i adressatens it-sy-

stem.

Det bemærkes, at EU-Kommissionen på visse punkter er til-

lagt kompetence til at fastsætte nærmere regler om, hvordan

oplysninger skal afgives fra enhederne. EU-Kommissionen

kan således bl.a. fastsætte nærmere regler om formatet og

proceduren for en underretning indgivet i henhold til artikel

23, stk. 1 (underretning af myndighederne om hændelser),

og artikel 30 (frivillig meddelelse af relevante oplysninger),

og for en meddelelse, der er indgivet i henhold til artikel

23, stk. 2 (oplysning til modtagerne af tjenester). Såfremt

EU-Kommissionen måtte vælge at udnytte denne kompeten-

ce til at fastsætte nærmere regler, vil det skulle sikres, at

regler om digital kommunikation, der måtte være udstedt

eller siden udstedes i medfør af den foreslåede bestemmelse,

er i overensstemmelse med EU-Kommissionens retsakter.

For så vidt angår de persondataretlige overvejelser, henvises

der til pkt. 4 i de almindelige bemærkninger.

Til § 31

Det følger af elforsyningslovens § 89, gasforsyningslovens

§ 51, VE-lovens § 66, og olieberedskabslovens § 21, at

Energiklagenævnet behandler klager over afgørelser truffet

af klima-, energi-, og forsyningsministeren efter disse love

eller regler udstedt i medfør af disse love. Desuden regulerer

bestemmelserne, hvilke formelle krav der er til klager.

Det foreslås i

§ 31, stk. 1,

at Energiklagenævnet behandler

klager over afgørelser truffet af klima-, energi- og forsy-

ningsministeren eller anden statslig myndighed efter denne

lov eller regler udstedt i medfør af loven.

Det bemærkes i den forbindelse, at hvis klima-, energi- og

forsyningsministeren har bemyndiget en under ministeriet

oprettet institution eller anden myndighed til at udøve befø-

jelserne, vil klageadgangen følge denne bemyndigelse. Kla-

ger over afgørelser efter denne lov truffet af en myndighed

under ministeriet, kan således påklages direkte til Energik-

lagenævnet. Klageren skal ikke udnytte den ulovbestemte

rekursmulighed, før der kan ske klage til energiklagenævnet.

Det foreslås i § 31,

stk. 2,

at afgørelser nævnt i stk. 1 ik-

ke kan indbringes for anden administrativ myndighed end

Energiklagenævnet. Afgørelserne kan ikke indbringes for

domstolene, før den endelige administrative afgørelse fore-

ligger, jf. dog § 23, stk. 3.

Den foreslåede bestemmelse svarer til de gældende bestem-

melser om Energiklagenævnet i elforsyningslovens, gasfor-

syningsloven, olieberedskabsloven m.v., som regulerer ener-

gisektoren. Det foreslås, at disse regler om administrativ

klageadgang ligeledes anvendes i beredskabsreguleringen

for energisektoren.

Den foreslåede bestemmelse svarer til de gældende bestem-

melser om Energiklagenævnet i elforsyningslovens, gasfor-

syningsloven, olieberedskabsloven m.v., som regulerer ener-

gisektoren. Det foreslås, at disse regler om administrativ

klageadgang ligeledes anvendes i beredskabsreguleringen

for energisektoren.

Den foreslåede bestemmelse har dog i medfør af den fore-

slåede tilføjelse af jf. dog § 23, stk. 3, en undtagelse til

hovedreglen. Således medfører undtagelsen at afgørelse ef-

ter § 23, stk. 1 altid vil kunne blive forlangt indbragt for

domstolene som bestemt i den foreslåede § 23, stk. 3, uagtet

den foreslåede bestemmelse i § 31, stk. 2.

Det foreslås i § 31,

stk. 3,

at klage efter stk. 1 skal være

indgivet skriftligt til Energiklagenævnet inden 4 uger fra

tidspunktet, hvor afgørelsen er meddelt.

Den foreslåede bestemmelse svarer til de gældende bestem-

melser om Energiklagenævnet i elforsyningslovens, gasfor-

syningsloven, olieberedskabsloven m.v., som regulerer ener-

gisektoren. Det foreslås, at samme regler om klagefrist an-

vendes i beredskabsreguleringen for energisektoren.

Klagefristen vil først begynde at løbe fra en endelig admi-

nistrativ afgørelse er truffet. Er afgørelsen offentliggjort,

regnes fristen dog fra offentliggørelsen. Udløber klagefristen

på en lørdag, søndag eller helligdag, forlænges fristen til

den følgende hverdag. Hvis klageren har anvendt rekursmu-

ligheden, vil fristen da først løbe fra den dato, hvor rekurs-

myndigheden meddeler klageren afgørelsen.

Det foreslås i § 31,

stk. 4,

at Energiklagenævnets formand

efter aftale med nævnet kan træffe afgørelse på nævnets

vegne i sager, der behandles efter denne lov eller regler

udstedt i medfør af loven.

Henset til, at ikke alle sager, som nævnet skal behandle efter

loven eller regler udstedt i medfør af loven, nødvendigvis

kræver stillingtagen fra et samlet nævn, foreslås det med

bestemmelsen, at der gives formanden mulighed for efter

aftale med de øvrige nævnsmedlemmer selv at træffe afgø-

relse i nogle sager eller typer af sager.

Den foreslåede bestemmelse svarer til de gældende bestem-

melser om Energiklagenævnet i elforsyningslovens, gasfor-

syningsloven, olieberedskabsloven m.v., som regulerer ener-

gisektoren. Det foreslås, at samme regler om formandens

kompetence til at træffe afgørelser på vegne af nævnet, an-

vendes i beredskabsreguleringen for energisektoren.

Det foreslås i § 31,

stk. 5,

at søgsmål til prøvelse af afgø-

relser truffet af Energiklagenævnet efter loven eller regler

udstedt i medfør af loven, skal være anlagt inden 6 måneder

efter, at afgørelsen er meddelt den pågældende. Er afgørel-

sen offentliggjort, regnes fristen dog altid fra offentliggørel-

sen.

Den foreslåede bestemmelse svarer til de gældende bestem-

melser om Energiklagenævnet i elforsyningslovens, gasfor-

syningsloven, olieberedskabsloven m.v., som regulerer ener-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

132

gisektoren. Det foreslås, at samme regler om frist for ind-

bringelse hos domstolene anvendes i beredskabsregulerin-

gen for energisektoren.

Energiklagenævnet har udtrykt ønske om, at der indsættes

en 6 måneders frist for indbringelse af Energiklagenævnets

afgørelser for domstolene. Formålet med bestemmelsen er

at give Energiklagenævnet et rimeligt tidsrum, efter hvilket

deres afgørelser bliver endelige.

Det foreslås i § 31,

stk. 6,

at Energiklagenævnet i forbindel-

se med behandling af en klage kan indhente oplysninger, der

er nødvendige for behandling af klagen fra virksomheder

omfattet af loven samt myndigheder, der træffer afgørelser

efter loven eller regler udstedt i medfør af loven.

Den foreslåede bestemmelse sikrer, at Energiklagenævnet

vil kunne indhente de oplysninger, der er nødvendige for at

behandle klagesager.

For så vidt angår de persondataretlige overvejelser, henvises

der til pkt. 4 i de almindelige bemærkninger.

Til § 32

Ifølge elforsyningslovens § 90, gasforsyningslovens § 52

og olieberedskabslovens § 21, stk. 5, kan klima-, energi-

og forsyningsministeren fastsætte nærmere regler om: 1) ad-

gang til at klage over afgørelser, 2) at visse afgørelser ikke

skal kunne indbringes for klima-, energi- og forsyningsmini-

steren, og 3) betaling af gebyr for at indbringe en klage til

Energiklagenævnet.

Det foreslås i

§ 32, stk. 1,

at klima-, energi- og forsynings-

ministeren kan fastsætte regler om adgangen til at klage

over afgørelser, der efter loven eller regler udstedt i medfør

af loven træffes af klima-, energi- og forsyningsministeren,

herunder at visse afgørelser ikke skal kunne indbringes for

Energiklagenævnet.

Det forventes på baggrund af den foreslåede bestemmelse

i § 32, stk. 1, at der fastsættes nærmere regler om, at af-

gørelser truffet efter lovens kapitel 5 om baggrundskontrol

og sikkerhedsgodkendelser eller regler udstedt i medfør af

kapitel 5 ikke kan påklages til Energiklagenævnet.

Afgørelser om baggrundskontrol og sikkerhedsgodkendelser

for energisektoren anvendes som en foranstaltning til at

sikre mod eksempelvis insider trusler eller for at sikre, at

der ikke snydes med personers identitet, når de skal have

adgang til kritisk infrastruktur. Baggrundskontrol og sikker-

hedsgodkendelser vedrører således områder knyttet til sta-

tens sikkerhed.

Afgørelser vedrørende baggrundskontrol og sikkerhedsgod-

kendelser er ikke noget, der knytter sig særligt til Energikla-

genævnets kendskab til juridiske eller tekniske spørgsmål på

energiområdet.

Da afgørelser om sikkerhedsgodkendelser vedrører statens

sikkerhed og falder uden for Energiklagenævnets almindeli-

ge kompetenceområde, vurderes det, at Energiklagenævnet

ikke skal være klageinstans for denne type af afgørelser.

Det bemærkes i den forbindelse, at afgørelser om baggrund-

skontrol og sikkerhedsgodkendelser kan indbringes for dom-

stolene, jf. grundlovens § 63, stk. 1.

Det forventes endvidere, at bestemmelsen i stk. 1 vil blive

brugt til at fastsætte nærmere regler om, at afgørelser der

vedrører virksomhedernes overholdelse af reglerne i loven

eller udstedt i medfør af loven for så vidt angår myndig-

hedernes faglige vurderinger angående organisatorisk bered-

skab, fysisk sikring og cybersikkerhed, ikke kan påklages til

Energiklagenævnet. Afgørelser vedrørende faglige vurderin-

ger om organisatorisk beredskab, fysisk sikring og cybersik-

kerhed er ikke noget, der knytter sig særligt til Energiklage-

nævnets kendskab til juridiske eller tekniske spørgsmål på

energiområdet.

Det forventes dog, at bestemmelsen i stk. 1 vil blive brugt

til at fastsætte nærmere regler om, at virksomheder dog

forsat vil kunne påklage retlige spørgsmål til Energiklage-

nævnet. Med retlige spørgsmål menes der bl.a. overholdelse

af forvaltningslovens regler til afgørelser, herunder partshø-

ring, begrundelse og klagevejledning samt andre relevante

dele af dansk forvaltningsret, som myndigheder er forpligtet

til at overholde i afgørelsessager.

Det bemærkes i den forbindelse, at afgørelser om organisa-

torisk beredskab, fysisk sikring og cybersikkerhed kan ind-

bringes for domstolene, jf. grundlovens § 63, stk. 1.

Det foreslås i § 32,

stk. 2, nr. 1,

at erhvervsministeren

kan fastsætte regler om, at kommunikation med Energik-

lagenævnet skal ske digitalt samt at erhvervsministeren

kan udstede regler om anvendelse af et bestemt digitalt

system. Herudover foreslås det i bestemmelsen, at hvis er-

hvervsministeren fastsætter regler om, at kommunikation

med Energisklagenævnet skal ske digitalt, skal erhvervsmi-

nisteren også fastsætte regler om fritagelse for obligatorisk

anvendelse for visse personer og virksomheder.

Den foreslåede bestemmelse vil medføre, at erhvervsmini-

steren kan fastsættes regler om, at borgere og virksomheder

har pligt til at kommunikere digitalt med Energiklagenæv-

net, og at svaret fra Energiklagenævnet sendes digitalt. Be-

stemmelsen vil også kunne anvendes til at fastsætte undta-

gelser for kravet om digital kommunikation til enkeltperso-

ner og enkelt mandsvirksomheder.

Den foreslåede bestemmelse vil indebære, at erhvervsmini-

steren kan anvende bestemmelsen til at fastsætte regler om

f.eks. pligtmæssig brug af et digitalt system, herunder f.eks.

Klageportalen, ved indgivelse af klage i medfør af loven, og

at svar fra Energiklagenævnet sendes digitalt. Med digitalt

system menes, at der kan laves regler om brug af bestemte

digitale systemer, herunder selvbetjeningsløsninger, særlige

digitale formater, digital signatur eller lignende.

Det foreslås, at bemyndigelsen til fastsættelse af regler ved-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

133

rørende Energiklagenævnet tillægges erhvervsministeren, da

ressortansvaret for Energiklagenævnet er tillagt erhvervsmi-

nisteren, jf. kongelig resolution af 8. juni 2016.

Det foreslås i § 32, stk. 2,

nr. 2,

at erhvervsministeren kan

fastsætte regler om betaling af gebyr ved indbringelse af en

klage for Energiklagenævnet.

Den foreslåede bestemmelse vil medføre, at erhvervsmini-

steren vil kunne fastsætte regler om betaling af gebyr ved

indbringelse af en klage for Energiklagenævnet.

Det foreslås, at bemyndigelsen til fastsættelse af regler ved-

rørende Energiklagenævnet tillægges erhvervsministeren, da

ressortansvaret for Energiklagenævnet er tillagt erhvervsmi-

nisteren, jf. kongelig resolution af 8. juni 2016.

Det foreslås i § 32, stk. 2,

nr. 3,

at erhvervsministeren kan

fastsætte nærmere regler om Energiklagenævnets sammen-

sætning ved nævnets behandling af afgørelser efter denne

lov eller regler udstedt i medfør af loven.

Den foreslåede bestemmelse vil indebære, at erhvervsmini-

steren kan fastsætte nærmere regler om sammensætningen

af Energiklagenævnet, der sikre den korrekte sagkundskab

ved behandling af klagesager over afgørelser vedrørende

beredskab og cybersikkerhed i energisektoren.

Det foreslås, at beføjelsen til at fastsætte nærmere regler

om Energinævnets sammensætning tillægges erhvervsmini-

steren, da ressortansvaret for Energiklagenævnet er tillagt

erhvervsministeren, jf. kongelig resolution af 8. juni 2016.

Forså vidt angår de persondataretlige overvejelser, henvises

der til pkt. 4 i de almindelige bemærkninger.

Til § 33

Efter elforsyningslovens § 92, gasforsyningslovens § 54,

varmeforsyningsloven § 24 b, stk. 1, fjernkølingslovens §

8 d, stk. 1, undergrundslovens § 37, kan klima-, energi- og

forsyningsministeren bemyndige Energistyrelsen og andre

statslige myndigheder til at udøve beføjelser, der ved de

respektive love er tillagt klima-, energi- og forsyningsmini-

steren.

Delegationen af opgaver fra klima-, energi- og forsynings-

ministeren til Energistyrelsen efter olieberedskabsloven føl-

ger af den ulovbestemte adgang til at delegere til en under-

ordnet myndighed.

Det foreslås i § 33, at klima-, energi- og forsyningsministe-

ren kan bemyndige en institution eller en anden myndighed

oprettet under ministeriet til at udøve de beføjelser, der i

denne lov er tillagt ministeren.

Den foreslåede bestemmelse vil indebære, at klima-, energi-

og forsyningsministeren kan bemyndige en under Klima-,

Energi- og Forsyningsministeriet oprettet offentlig myndig-

hed eller institution, fx Energistyrelsen, til at udøve beføjel-

ser, der i loven er tillagt ministeren.

Energinet A/S er en selvstændig offentlig virksomhed

(SOV) oprettet ved lov. Energinet varetager som SOV også

myndighedsopgaver, jf. lov om Energinet, § 2, stk. 6, mod-

sætningsvist. Med den foreslåede bestemmelse vil klima-,

energi- og forsyningsministeren ligeledes kunne bemyndige

Energinet til at udøve beføjelser, der i loven er tillagt mini-

steren.

På baggrund af den foreslåede bestemmelse og den foreslå-

ede § 11, stk. 2 forventes det, at Energinet vil blive dele-

geret kompetencen til at udmelde sektorberedskabsniveauer

og sektorberedskabsforanstaltninger for el- og gassektoren,

så Energinet kan fastholde rollen som operationelt kontakt-

punkt for el- og gassektoren samt brintsektoren ved etable-

ring af et brinttransmissionsnet. Der henvises i øvrigt til de

specielle bemærkninger til § 11, stk. 2.

Endvidere foreslås det med § 11, stk. 4, at Energinet i en be-

redskabssituation omfattende sikkerhedsrelaterede hændel-

ser, i særlige tilfælde, hvor klima-, energi- og forsynings-

ministeren ikke kan fastsætte og udmelde sektorberedskabs-

niveauer og foranstaltninger, jf. § 11, stk. 1, 2 og 3 kan

varetage opgaven på ministerens vegne. Energinet kan kun

varetage opgaven for el-, gas- og brintsektorerne.

Det foreslåede § 11, stk. 4, har karakter af en delegation

til fra klima-, energi- og forsyningsministeren til Energi-

net. Det foreslåede stk. 4 vil kunne finde anvendelse i situa-

tioner, hvor klima-, energi- og forsyningsministeren måtte

være afskåret fra at varetage sine opgaver efter stk. 1-3. Det

kunne således være, hvor klima-, energi- og forsyningsmini-

steren er ramt af en beredskabssituation, der gør det umuligt

at bruge de normale kommunikationsveje til el-, gas- og

brintvirksomhederne.

Den kompetence der med de foreslåede §§ 17 – 18 ved-

rørende gebyrer foreslås tillagt klima-, energi- og forsy-

ningsministeren forventes dog ikke delegeret til Energisty-

relsen. Kompetencen på gebyrområdet efter denne lov vil

således fortsat følge kompetencefordelingen på gebyrområ-

det efter elforsyningsloven, gasforsyningsloven og varme-

forsyningsloven.

Øvrige bemyndigelser og forpligtigelser tillagt klima-, ener-

gi- og forsyningsministeren efter denne lov, forventes at

blive delegeret til Energistyrelsen.

Bestemmelsen vil desuden kunne anvendes til, at klima-,

energi- og forsyningsministeren kan indgå i forhandlinger

med andre ministre om at bemyndige statslige myndigheder

oprettet under vedkommende ministerie til at udøve beføjel-

ser tillagt til klima-, energi- og forsyningsministeren i denne

lov.

Lovgivningen vil således være fremtidssikret i det tilfælde,

at det i fremtiden vurderes, at en anden statslig myndighed

vil være bedre passende til at udøve visse af ministerens

beføjelser, end den oprindeligt udpegede myndighed.

Det skal dog bemærkes, at et sådant pålæg ikke kan medde-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

134

les Forsyningstilsynet i forhold til de opgaver, som tilsynet

skal varetage efter loven, herunder også henset til Forsy-

ningstilsynets uafhængighed, jf. § 2 i lov om Forsyningstil-

synet. Grænserne for Energistyrelsens beføjelser i henhold

til loven vil fremgå af delegationsbekendtgørelsen.

Til § 34

Det følger af elforsyningslovens § 2 a, at klima-, energi- og

forsyningsministeren fastsætter regler eller træffer bestem-

melser med henblik på at gennemføre eller anvende interna-

tionale konventioner og EU-regler om forhold, der er omfat-

tet elforsyningsloven, herunder forordninger, direktiver og

beslutninger om naturbeskyttelse på søterritoriet og i den

eksklusive økonomiske zone.

Det følger af varmeforsyningslovens § 2 a, at klima-, ener-

gi- og forsyningsministeren kan fastsætte regler eller træffe

bestemmelser med henblik på at gennemføre eller anvende

internationale konventioner og EU-regler om forhold, der er

omfattet varmeforsyningsloven.

Det følger af olieberedskabslovens § 3, at klima-, energi-

og bygningsministeren (nu klima-, energi- og forsynings-

ministeren) kan fastsætte regler eller træffe bestemmelser

med henblik på at gennemføre eller anvende internationale

konventioner og EU-regler om forhold, der er omfattet af

olieberedskabsloven, herunder forordninger, direktiver og

beslutninger.

Det følger af undergrundslovens § 2 a, at klima-, energi- og

forsyningsministeren fastsætter regler eller træffer bestem-

melser med henblik på at gennemføre eller anvende interna-

tionale konventioner og EU-regler om forhold, der er omfat-

tet undergrundsloven, herunder forordninger, direktiver og

beslutninger om naturbeskyttelse på dansk søterritorium, i

dansk eksklusiv økonomisk zone og på dansk kontinental-

sokkelområde.

Der findes ikke en tilsvarende bestemmelse i gasforsynings-

loven.

Det foreslås i

§ 34,

at klima-, energi- og forsyningsmini-

steren kan fastsætte regler eller træffe bestemmelser med

henblik på at gennemføre eller anvende internationale kon-

ventioner og EU-regler om forhold, der er omfattet af denne

lov, herunder forordninger, direktiver og beslutninger om

beredskab og beskyttelse af energiinfrastruktur på søterrito-

riet og den eksklusive økonomiske zone.

Den foreslåede bestemmelse i § 34 vil bygge videre på

gældende bestemmelser i forsyningslovene, hvorefter mini-

steren kan fastsætte regler eller træffer bestemmelser med

henblik på at gennemføre eller anvende internationale kon-

ventioner og EU-regler, herunder om beredskab for energi-

sektoren.

EU-Kommissionen er flere steder i CER- og NIS 2-direkti-

verne tillagt kompetence til at vedtage retsakter, der nærme-

re udmønter bestemte dele af direktivet. Energisektoren er

desuden underlagt anden regulering fra EU om beredskab i

energisektoren.

Det følger bl.a. af CER-direktivets artikel 5, stk. 1, at EU-

Kommissionen tillægges beføjelse til at vedtage en delegeret

retsakt i overensstemmelse med direktivets artikel 23 senest

den 17. november 2023 for at supplere CER-direktivet ved

at udarbejde en ikke-udtømmende liste over væsentlige tje-

nester i sektorerne og delsektorerne anført i direktivets bi-

lag. EU-Kommissionen har ved sin delegerede forordning

(EU) 2023/2450 af 25. juli 2023 til supplering af Europa-

Parlamentets og Rådets direktiv (EU) 2022/2557 opstillet en

ikke-udtømmende liste over væsentlige tjenester.

Desuden følger det af CER-direktivets artikel 13, stk. 6,

at EU-Kommissionen vedtager gennemførelsesretsakter med

henblik på at fastsætte de nødvendige tekniske og metodiske

specifikationer vedrørende anvendelsen af modstandsdygtig-

hedsforanstaltninger efter artikel 13, stk. 1.

Det følger endvidere af CER-direktivets artikel 18, stk. 6, at

EU-Kommissionen vedtager en gennemførelsesretsakt med

regler for de proceduremæssige ordninger for tilrettelæggel-

se af rådgivende EU-delegationer.

Det fremgår derudover af CER-direktivets artikel 19, stk. 6,

at EU-Kommissionen kan vedtage gennemførelsesretsakter,

hvori der fastlægges proceduremæssige ordninger, som er

nødvendige for Gruppen for Kritiske Enheders Modstands-

dygtigheds funktion.

I medfør af artikel 21, stk. 5, 2. led, i NIS 2-direktivet,

kan EU-Kommissionen vedtage gennemførelsesretsakter,

der fastsætter de tekniske og metodologiske samt om nød-

vendigt sektorspecifikke krav til de foranstaltninger, der er

omhandlet i direktivets artikel 21, stk. 2 (foranstaltninger til

styring af cybersikkerhedsrisici).

Ved udarbejdelsen af gennemførelsesretsakter om foranstalt-

ninger til styring af cybersikkerhedsrisici følger EU-Kom-

missionen i videst muligt omfang europæiske og internatio-

nale standarder samt relevante tekniske specifikationer. EU-

Kommissionen samarbejder med samarbejdsgruppen som er

nedsat i medfør af NIS 2 artikel, stk. 1, og ENISA om

udkastene til gennemførelsesretsakter.

Det følger desuden af NIS 2-direktivets artikel 23, stk. 11,

at EU-Kommissionen kan vedtage gennemførelsesretsakter,

der yderligere præciserer typen af oplysninger, formatet og

proceduren for en underretning indgivet i henhold til artikel

23, stk. 1 (underretning af myndighederne om hændelser),

og artikel 30 (frivillig meddelelse af relevante oplysninger)

og for en meddelelse, der er indgivet i henhold til artikel 23,

stk. 2 (oplysning til modtagerne af tjenester).

Det følger endvidere af NIS 2-direktivets artikel 24, stk.

2, at EU-Kommissionen tillægges beføjelser til at vedtage

delegerede retsakter for at supplere NIS 2-direktivet ved

at præcisere, hvilke kategorier af væsentlige og vigtige en-

heder der skal anvende visse certificerede IKT-produkter,

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

135

-tjenester og -processer eller indhente en attest i henhold

til en europæisk cybersikkerhedscertificeringsordning, der

er vedtaget i henhold til artikel 49 i Europa-Parlamentets

og Rådets forordning (EU) 2019/881 af 17. april 2019 om

ENISA (Den Europæiske Unions Agentur for Cybersikker-

hed), om cybersikkerhedscertificering af informations- og

kommunikationsteknologi og om ophævelse af forordning

(EU) nr. 526/2013 (forordningen om cybersikkerhed). Disse

delegerede retsakter vedtages, når der er identificeret util-

strækkelige cybersikkerhedsniveauer og de skal indeholde

en gennemførelsesperiode.

Den foreslåede bestemmelse vil give klima-, energi- og for-

syningsministeren hjemmel til at gennemføre EU-Kommis-

sionens retsakter og internationale konventioner om bered-

skab for energisektoren.

Til § 35

Efter gældende ret i elforsyningslovens § 84, varmeforsy-

ningslovens § 23 d, fjernkølingslovens § 8 c, oliebered-

skabslovens § 17, stk. 2, undergrundslovens § 26 og gas-

forsyningslovens § 45, kan klima-, energi- og forsynings-

ministeren indhente oplysninger som er nødvendige for va-

retagelsen af alle opgaver eller nogle specifikke opgaver

ministeren har efter disse love, fra virksomheder omfattet af

disse love. I forarbejderne til de nævnte paragraffer fremgår

det, at der bl.a. er tale om regnskaber, regnskabsmateriale,

udskrift af bøger, andre forretningspapirer og elektronisk

lagrede data.

Det foreslås i

§ 35, stk. 1,

at klima-, energi- og forsynings-

ministeren og Energinet kan fra virksomheder omfattet af

loven indhente oplysninger, der er nødvendige for varetagel-

sen af deres opgaver efter loven, efter bestemmelser fastsat

i medfør af loven eller efter EU-retsakter eller internationale

forpligtelser om forhold omfattet af loven.

Klima-, energi- og forsyningsministeren og Energinet kan

med hjemmel i den foreslåede bestemmelse kræve alle op-

lysninger, som skønnes nødvendige for deres virksomhed

efter loven, eller til afgørelse af om et forhold er omfattet af

lovens bestemmelser, herunder regnskaber, regnskabsmate-

riale, udskrift af bøger, andre forretningspapirer, elektronisk

lagrede data m.m. Med den foreslåede bestemmelse kan

ministeren og Energinet også kræve sammenstilling af eksi-

sterende data, således det gøres tilgængelig og forståelig og

således anvendelig ift. den opgave der skal varetages. Ende-

lig kan den foreslåede bestemmelse også bruges til at kræve

generering af nye oplysninger hos virksomheden, såfremt

virksomheden ikke allerede har gjort sig bekendt med egne

forhold. Her tænkes således på situationer, hvor virksomhe-

den fx ikke allerede måtte være bekendt med hvor meget

salg, kapacitet, produktion etc. virksomheden har/har haft,

som er data der er nødvendigt for at klima-, energi- og

forsyningsministeren kan determinere om virksomheden er

omfattet af loven eller ej.

Endelig bemærkes det, at bestemmelsens anvendelse er af-

grænset af retssikkerhedslovens § 10 om forbud mod selv-

inkriminering. Virksomheden vil aldrig være forpligtiget til

at aflevere informationer til klima-, energi- og forsynings-

ministeren og Energinet efter den foreslåede bestemmelse,

der vil kunne inkriminere virksomheden. Dette vil skulle

oplyses til virksomheden ved fremsendelse af anmodningen

om oplysningerne, medmindre det efter klima-, energi- og

forsyningsministerens eller Energinets vurdering vil være

garanteret at de oplysninger der efterspørges ikke kan inkri-

minere virksomheden.

Det foreslås i

§ 35, stk. 2,

at klima-, energi- og forsynings-

ministeren fastsætter regler om, at virksomheder omfattet af

loven skal registrere sig, og om hvilke oplysningerne som

virksomheder i den forbindelse skal oplyse, herunder de i nr.

1-4 oplistede oplysninger.

Bestemmelsen gennemfører NIS 2-direkitvets artikel 3, stk.

3 og 4, hvorefter medlemsstaterne senest den 17. april

2025 udarbejder en liste over væsentlige og vigtige enhe-

der samt enheder, der leverer domænenavnsregistreringstje-

nester. Medlemsstaterne reviderer og, hvor det er relevant,

ajourfører derefter listen med jævne mellemrum, mindst

hvert andet år. Med henblik på udarbejdelsen af listes pålæg-

ger medlemsstaterne enhederne, at indgive mindst følgende

oplysninger til de kompetente myndigheder; a) enhedens

navn, b) ajourførte kontaktoplysninger, herunder e-maila-

dresser, IP-intervaller og telefonnumre, c) i givet fald den

relevante sektor og delsektor i bilag I eller II, samt d) i givet

fald en liste over de medlemsstater, hvor enheden leverer

tjenester, der er omfattet af dette direktivs anvendelsesom-

råde. De omhandlede enheder skal i tilfælde af ændringer

af de oplysninger, de har indgivet, straks give underretning

herom og under alle omstændigheder senest to uger efter

datoen for ændringen.

Efter den foreslåede bestemmelse vil klima-, energi- og for-

syningsministeren fastsætte regler for, hvilke virksomheder

der skal registrere sig, og hvordan registreringen skal foregå.

Ministeren vil på baggrund af den foreslåede bestemmelse

kunne fastsætte den nærmere dato for, hvornår virksomhe-

der senest skal indgive oplysninger efter bestemmelsen og

regler udsted i medfør af bestemmelsen. Virksomheder, der

omfattes af denne lov, efter den fastsatte dato, vil skulle

indgive oplysninger efter en nærmere angiven frist.

Bestemmelsen vil gennemføre dele af NIS 2-direktivets arti-

kel 3, stk. 3, hvorefter medlemsstaterne senest den 17. april

2025 skal udarbejde en liste over væsentlige og vigtige en-

heder samt enheder, der leverer domænenavnsregistrerings-

tjenester.

Ministeren vil derudover, for at sikre, at oplysningerne er

tilstrækkeligt ajourførte, kunne fastsatte en frist for, hvornår

virksomheder skal oplyse om ændringer af oplysninger. Mi-

nisteren vil fastsætte en frist for virksomheder, for underret-

ning om ændringer i oplysninger.

Bestemmelsen vil gennemføre NIS 2-direktivets artikel 3,

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

136

stk. 4, 2. pkt., som fastsætter, at væsentlige og vigtige en-

heder, samt enheder, der leverer domænenavnsregistrerings-

tjenester, i tilfælde af ændringer af de oplysninger, de har

indgivet i henhold til artikel 3, stk. 4, 1. pkt., straks skal give

underretning herom og under alle omstændigheder senest to

uger efter datoen for ændringen.

Klima-, energi- og forsyningsministeren vil derfor som mi-

nimum fastsætte en frist på to uger for nye virksomheder at

indgive oplysninger. Ministeren vil desuden som minimum

fastsætte en frist på to uger for underretning om ændringer i

oplysninger til brug for registrering af virksomheden.

Klima-, energi- og forsyningsministeren vil kunne fastsætte

en kortere frist for virksomheder på baggrund af deres be-

tydning for energiforsyningen. Ministeren vil dermed kun-

ne fastsætte en differentieret frist for virksomhederne på

baggrund af kritikalitet. Denne differentierede frist vil som

udgangspunkt kun gælde for den underretning, som virk-

somhederne skal foretage om ændringer i allerede indmeldte

oplysninger.

Baggrunden for registreringspligten i artikel 3, stk. 4, er,

at medlemsstaterne efter NIS 2-direktivets artikel 3, stk.

3, senest den 17. april 2025 skal udarbejde en liste over

væsentlige og vigtige enheder samt enheder, der leverer do-

mænenavnsregistreringstjenester.

Med de indsamlede oplysninger sikres der således et over-

blik over de energivirksomhederne, som er omfattet af lo-

vens anvendelsesområde. Det forudsættes, at virksomheder,

der leverer tjenester i flere sektorer, vil skulle foretage én

samlet registrering via en fælles digital indgang, såsom

Virk.dk. Dette vil sikre, at disse enheder alene skal foreta-

ge én indledende registrering, som fordeles samtidigt til de

relevante myndigheder. Det forudsættes, at CSIRT’en kan

tilgå oplysningerne, således at CSIRT’en har et samlet over-

blik over de registrerede enheder på tværs af sektorer.

De kompetente myndigheder, herunder Klima-, Energi- og

Forsyningsministeriet vil, via det centrale kontaktpunkt, i

overensstemmelse med NIS 2-direktivets artikel 3, stk. 5,

bl.a. orientere EU-Kommissionen og Samarbejdsgruppen

om antallet af virksomheder, som opfylder kravene for væ-

sentlige og vigtige enheder for hver sektor og delsektor.

Det foreslås i § 35, stk. 2,

nr. 1,

at virksomheden skal op-

lyse virksomhedens navn. Det forudsættes, at der vil blive

fastsat regler om, at virksomheden skal oplyse det navn

på virksomheden, som virksomheden er registeret under

i CVR-registeret, herunder andre navne virksomheden er

kendt under. Såfremt virksomheden er udenlandsk, registre-

res det navn virksomheden er registreret under det pågæl-

dendes lands udgave af CVR-registret og hvor disse ikke

findes det navn som virksomheden benytter på andre offici-

elle dokumenter.

Det foreslås i § 35, stk. 2,

nr. 2,

at virksomheden skal oplyse

adresse og ajourførte kontaktoplysninger, herunder e-maila-

dresser, IP-intervaller og telefonnumre. Det forudsættes, at

der vil blive fastsat regler om, at virksomheden skal oply-

se virksomhedens adresse og ajourførte kontaktoplysninger

på ledelsen og andre relevante personer med ansvar for

organisatorisk beredskab, fysisk sikring og cybersikkerhed,

herunder e-mailadresser og telefonnumre samt hvor det er

relevant IP-intervaller, som virksomheden anvender.

Det foreslås i § 35, stk. 2,

nr. 3,

at virksomheden skal oplyse

den relevante sektor og delsektor, som virksomheden er om-

fattet af. Det forudsættes, at der vil blive fastsat regler om,

at virksomheden skal oplyse, at virksomheden er omfattet

af energisektoren, og at virksomheden agerer i en eller flere

af følgende delsektorer, elektricitet, fjernvarme, fjernkøling,

olie, gas og brint.

Det foreslås i § 35, stk. 2,

nr. 4,

at virksomheden skal

oplyse de medlemsstater i Den Europæiske Union, hvor

virksomheden leverer tjenester. Det forudsættes, at der vil

blive fastsat regler om, at virksomheden skal oplyse om de

medlemsstater i Den Europæiske Union, hvor virksomheden

også eventuelt måtte levere deres tjenester.

For så vidt angår de persondataretlige overvejelser, henvises

der til pkt. 4 i de almindelige bemærkninger.

Til § 36

Efter § 30, stk. 2, i henholdsvis elberedskabsbekendtgørel-

sen og naturgasberedskabsbekendtgørelse samt § 17 i it-be-

redskabsbekendtgørelsen, kan virksomheder ansøge om at

etablere samordnet beredskab, der medfører, at beredskabs-

arbejdet organiseres for flere virksomheder under ét. An-

søgninger skal fremsendes til Energistyrelsen til godkendel-

se. Ansøgninger skal suppleres med en skriftlig begrundelse

samt en beskrivelse af konsekvenser ved samordnet bered-

skab, herunder vurdering af aftalens konsekvenser for det

almene beredskabsarbejde.

Det foreslås i

§ 36,

at klima-, energi- og forsyningsministe-

ren kan fastsætte nærmere regler om samordnet beredskab

med henblik på, at beredskabsarbejdet efter denne lov og

regler udstedt i medfør heraf, varetages af flere virksomhe-

der i fællesskab eller af den ene part.

Det foreslås, at ordningen for samordnet beredskab videre-

føres med mindre tilpasninger.

Det forventes, at der vil blive fastsat nærmere regler om

ansøgningsprocessen for samordnet beredskab og ansøgnin-

gens indhold, samt at Energinet høres om ansøgninger om

samordnet beredskab i el – og gassektoren. Endvidere for-

ventes der fastsat regler, om hvilke forhold der vil blive lagt

vægt på ved afgørelsen om samordnet beredskab. Endelig

forventes der fastsat regler om, at der efter godkendelse

kan træffes afgørelse om tildeling af et nyt niveau til det

samordnede beredskab, herunder kriterierne for tildeling af

det nye niveau.

Til § 37

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

137

Det følger af elforsyningslovens § 87, stk. 1, nr. 7, at

medmindre højere straf er forskyldt efter anden lovgivning,

straffes med bøde den, der undlader at efterkomme påbud

eller forbud efter loven, herunder påbud om at berigtige et

ulovligt forhold. Desuden kan der efter elforsyningslovens

§ 88, stk. 1, i regler, som udstedes i henhold til loven,

fastsættes bødestraf for overtrædelse af bestemmelserne i el-

ler vilkår og påbud udstedt i henhold til reglerne. I elbered-

skabsbekendtgørelsens § 35, stk. 1, er der fastsat nærmere

regler for bødestraf.

Det følger af gasforsyningslovens § 49, stk. 1, nr. 6, at

medmindre højere straf er forskyldt efter anden lovgivning,

straffes med bøde den, der undlader at efterkomme påbud

eller forbud efter loven, herunder påbud om at berigtige et

ulovligt forhold. Desuden kan der efter gasforsyningslovens

§ 50, stk. 1 i regler, som udstedes i henhold til loven,

fastsættes bødestraf for overtrædelse af bestemmelserne i

eller vilkår og påbud udstedt i henhold til reglerne. I natur-

gasberedskabsbekendtgørelsens § 35, stk. 1, er der fastsat

nærmere regler for bødestraf.

Efter olieberedskabslovens § 23, stk. 1, nr. 5, gælder det, at

medmindre højere straf er forskyldt efter anden lovgivning,

straffes med bøde den, der undlader at efterkomme påbud

efter loven eller regler udstedt i medfør af loven. Af oliebe-

redskabslovens § 23, stk. 2, følger det, at der kan fastsættes

bødestraf for overtrædelse af bestemmelserne i reglerne eller

vilkår fastsat i henhold til reglerne og for manglende over-

holdelse af påbud meddelt i henhold til reglerne. I oliebered-

skabsbekendtgørelsens § 22 er der fastsat nærmere regler for

bødestraf.

Der henvises i øvrigt til afsnit 3.7.1 i lovforslagets alminde-

lige bemærkninger.

Det foreslås i § 37,

stk. 1,

at med bøde straffes den, der måt-

te udføre de i nr. 1-6 oplistede undladelser og handlinger.

Den foreslåede bestemmelse vil implementere artikel 36,

stk. 1, i NIS 2-direktivet. Artikel 36, stk. 1, forpligter med-

lemsstaterne til at fastsætte regler om sanktioner, der skal

anvendes i tilfælde af overtrædelser af de nationale foran-

staltninger, der er vedtaget i medfør af NIS 2-direktivet og

til at træffe alle nødvendige foranstaltninger for at sikre,

at de gennemføres. NIS-direktivet bestemmer ligeledes at

sanktionerne skal være effektive, stå i rimeligt forhold til

overtrædelsen og have afskrækkende virkning.

Den foreslåede bestemmelse vil endvidere implementere

NIS 2-direktivets artikel 34, hvoraf det følger, at medlems-

staterne sikrer, at de administrative bøder, der pålægges væ-

sentlige og vigtige enheder i henhold til artiklen, for så vidt

angår overtrædelser af direktivet, er effektive, står i rimeligt

forhold til overtrædelsen og har afskrækkende virkning, un-

der hensyntagen til omstændighederne i hver enkelt sag.

Med det foreslåede § 37, stk. 1 gennemføres artikel 34, stk.

2 i NIS-2 direktivet således, at kan administrative bøder på-

lægges i tillæg til en hvilken som helst af foranstaltningerne

omhandlet i artikel 32, stk. 4, litra a-h, artikel 32, stk. 5, og

artikel 33, stk. 4, litra a-g.

Efter NIS 2-direktrivets artikel 34, stk. 4, skal medlemssta-

terne sikre, at hvor væsentlige enheder overtræder artikel 21

(foranstaltninger til styring af cybersikkerhedsrisici) eller 23

(rapporteringsforpligtelser), straffes de i overensstemmelse

med artiklernes stk. 2 og 3 med administrative bøder med et

maksimum på mindst 10.000.000 euro eller et maksimum på

mindst 2 pct. af den samlede globale årsomsætning i det fo-

regående regnskabsår i den virksomhed, som den væsentlige

enhed tilhører alt efter, hvad der er højest.

Det følger af NIS 2-direkitvets artikel 34, stk. 5, at med-

lemsstaterne sikrer, at hvor vigtige enheder overtræder arti-

kel 21 (foranstaltninger til styring af cybersikkerhedsrisici)

eller 23 (rapporteringsforpligtelser), straffes de i overens-

stemmelse med artiklernes stk. 2 og 3 med administrative

bøder med et maksimum på mindst 7.000.000 euro eller et

maksimum på mindst 1,4 pct. af den samlede globale årsom-

sætning i det foregående regnskabsår i den virksomhed, som

den vigtige enhed tilhører alt efter, hvad der er højest.

Det følger af NIS 2-direktivets artikel 34, stk. 8, 1. og 2.

pkt., at hvis en medlemsstats retssystem ikke giver mulighed

for at pålægge administrative bøder, sørger den pågældende

medlemsstat for, at artiklen anvendes på en sådan måde,

at den kompetente myndighed tager skridt til bøder, og de

kompetente nationale domstole pålægger dem, idet det sik-

res, at disse retsmidler er effektive, og at deres virkning

svarer til virkningen af administrative bøder, som pålægges

af de kompetente myndigheder. De bøder, der pålægges,

skal under alle omstændigheder være effektive, stå i rimeligt

forhold til overtrædelsen og have afskrækkende virkning.

Den foreslåede bestemmelse vil herudover, i kombination

med den foreslåede bestemmelse i § 7, stk. 1, gennemføre

NIS 2-direktivets artikel 20, stk. 1, hvoraf det følger, at

medlemsstaterne sikrer, at de væsentlige og vigtige enheders

ledelsesorganer godkender de foranstaltninger til styring af

cybersikkerhedsrisici, som disse enheder har truffet med

henblik på at overholde artikel 21, fører tilsyn med dens

gennemførelse og kan gøres ansvarlige for enhedernes over-

trædelser af forpligtelserne i nævnte artikel.

Den foreslåede bestemmelse vil desuden gennemføre artikel

22, 1. og 2. pkt., i CER-direktivet, hvoraf følger, at med-

lemsstaterne fastsætter regler om sanktioner, der skal anven-

des i tilfælde af overtrædelser af de nationale foranstaltnin-

ger, der er vedtaget i medfør af dette direktiv, og træffer

alle nødvendige foranstaltninger for at sikre, at de gennem-

føres. Sanktionerne skal være effektive, stå i et rimeligt

forhold til overtrædelsen og have afskrækkende virkning.

Det forudsættes, at det alene er de bestemmelser ,der speci-

fikt henvises til, som vil have særlig betydning for så vidt

angår udmålingen af bøders størrelse. Det samme gælder

eventuel udmåling af bøder til fysiske personer, hvor det dog

i overensstemmelse med NIS 2-direktivets præambelbetragt-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

138

ning nr. 130, 2. pkt., forudsættes, at der vil blive lagt vægt

på det generelle indkomstniveau og personens økonomiske

stilling.

For virksomheder svarende til væsentlige enheder efter NIS

2-direktivet, forudsættes det i overensstemmelse med NIS

2-direktivets artikel 34, stk. 4, at bødens størrelse for virk-

somheders overtrædelse af bestemmelserne i §§ 6-10, § 11,

stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr. 1-7, §§ 21

og 22, maksimalt vil udgøre et beløb svarende til 10.000.000

euro eller 2 pct. af den væsentlige enheds samlede globale

årsomsætning i det foregående regnskabsår, alt efter hvad

der er højest.

For virksomheder svarende til vigtige enheder efter NIS

2-direktivet, forudsættes det i overensstemmelse med NIS

2-direktivets artikel 34, stk. 5, at bødens størrelse for virk-

somheders overtrædelse af bestemmelserne i §§ 6-10, § 11,

stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr. 1-7, §§ 21

og 22, maksimalt vil udgøre et beløb svarende til 7.000.000

euro eller 1,4 pct. af den væsentlige enheds samlede globale

årsomsætning i det foregående regnskabsår, alt efter hvad

der er højest.

Det forudsættes i overensstemmelse med CER-direktivets

artikel 22 og NIS 2-direktivets artikel 34, stk. 3, jf. artikel

32, stk. 7, at der vil blive lagt vægt på en række strafskær-

pende og strafformildende omstændigheder ved pålæg af

en bøde og ved udmåling af bødens størrelse, herunder

overtrædelsens grovhed og vigtigheden af de overtrådte be-

stemmelser. Således vil gentagne overtrædelser, manglende

underretning om eller afhjælpning af væsentlige hændelser,

manglende afhjælpning af mangler efter bindende instruk-

ser fra kompetente myndigheder, hindringer for audits eller

overvågningsaktiviteter påbudt af den kompetente myndig-

hed efter konstatering af en overtrædelse og afgivelse af

urigtige eller klart unøjagtige oplysninger vedrørende cyber-

sikkerhedsrisikostyringsforanstaltninger eller rapporterings-

forpligtelser, der er fastsat i § 6, §§ 12-13 og §§ 15-16,

under alle omstændigheder vil skulle betragtes som alvorli-

ge overtrædelser, i overensstemmelse med CER-direktivets

artikel 22 og NIS 2-direktivets artikel 34, stk. 3, jf. artikel

32, stk. 7.

Endvidere vil der blive lagt vægt på fx overtrædelsens varig-

hed, den pågældende virksomheds relevante tidligere over-

trædelser ved pålæg af en bøde og ved udmåling af bødens

størrelse. Ligesom der vil blive lagt vægt på, om der er ind-

truffet en materiel eller immateriel skade, der er forårsaget,

herunder ethvert finansielt eller økonomisk tab, virkninger

for andre tjenester og antallet af brugere, der er berørt.

De almindelige regler i straffelovens kapitel 10 om hen-

holdsvis strafskærpende og strafformildende omstændighe-

der vil ligeledes iagttages ved anvendelsen af nærværende

strafbestemmelser.

Den fastsatte bøde skal i overensstemmelse med NIS 2-di-

rektivets artikel 34, stk. 1 og CER-direktivets artikel 22,

være effektiv, stå i et rimeligt forhold til overtrædelsen og

have afskrækkende virkning under hensyntagen til omstæn-

dighederne i den konkrete sag.

Bøder vil i overensstemmelse med NIS 2-direktivets artikel

34, stk. 2, kunne pålægges i tillæg til håndhævelsesforan-

staltningerne i de foreslåede §§ 20, 22 og 23.

Der lægges med loven ikke op til at omfatte virksomheder

baseret på antal ansatte og virksomhedens årlige omsætning

eller bruttofortjeneste. Det skyldes, at denne afgrænsning

ikke inddrager virksomhedernes forsyningsmæssige størrel-

se og kritikalitet, og at kun få energivirksomheder vil bli-

ve omfattet. Eksempelvis kan koncernkonstruktioner med

datterselskaber indebære, at energivirksomheder med stor

kritikalitet kan have få ansatte eller lav omsætning eller ba-

lance. I stedet lægges der op til for begge direktiver at følge

den nuværende afgrænsningsmodel i energisektoren, som er

den model, der bl.a. er blevet brugt ved implementering af

NIS 1-direktivet i energisektoren. Herved er det forsynings-

størrelsen, forstået som fx den samlede energiproduktion,

produktions- eller lagerkapacitet eller antal kunder, og i nog-

le tilfælde virksomhedens eller anlæggets rolle i energisyste-

merne, der er afgørende for, om virksomheden omfattes af

beredskabsregulering. Dette skyldes, at forsyningsstørrelsen

i højere grad afspejler virksomhedens kritikalitet for energi-

forsyningen der primært er afgørende for, om virksomheden

omfattes af beredskabsregulering. Det vurderes, at denne

afgrænsning stadig lever op til direktiverne.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS

2-direktivets artikel 35, stk. 2, for så vidt angår væsentli-

ge enheder. Bestemmelsen fastsætter desuden bødestraf for

overtrædelser af bestemmelser, som implementerer CER-di-

rektivet og går dermed videre end minimumskravene i CER-

direktivets artikel 22. Bestemmelsen skal derudover forstås

og anvendes i overensstemmelse med direktivernes forud-

sætninger.

Om valg af ansvarssubjekt henvises til afsnit 3.5.2.3 i lov-

forslagets almindelige bemærkninger.

Det foreslås i § 37, stk. 1,

nr. 1,

at der med bøde straffes den,

der undlader at efterkomme påbud efter § 14, stk. 2.

Den foreslåede bestemmelse medfører, at virksomheder kan

straffes med bøde, såfremt virksomheden undlader at efter-

komme klima-, energi- og forsyningsministerens påbud om,

at virksomheden skal informere offentligheden om den hæn-

delse, som virksomheden måtte være ramt af.

Det foreslås i § 37, stk. 1,

nr. 2,

at der med bøde straffes den,

der hindrer myndighederne i at føre kontrol efter § 19, stk.

2, nr. 1-6,

Den foreslåede bestemmelse medfører, at virksomheder vil

kunne straffes med bøde, såfremt virksomheden hindrer

at klima-, energi- og forsyningsministeren eller rådgiven-

de missioner efter § 20 kan gennemføre sit tilsyn eller

rådgivende mission. Virksomheden vil kunne straffes med

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

139

bøde, såfremt virksomheden helt nægter eller obstruerer kli-

ma-, energi- og forsyningsministeren eller den rådgivende

mission i at foretage tilsyn og kontrol hos virksomheden

ved at inspicere de lokaler, som virksomheden bruger til

at levere sine tjenester. Derudover vil virksomheden kunne

straffes med bøde, såfremt virksomheden helt nægter eller

obstruerer klima-, energi- og forsyningsministeren eller den

rådgivende mission i at foretage stikprøvekontroller, fore-

tage regelmæssige kontrol- og tilsynsbesøg hos virksomhe-

der, foretage ad hoc-tilsyn, foretage sikkerhedsscanninger

og penetrationstest af virksomhedens net- og informations-

systemer samt fysiske lokationer, at udlevere oplysninger

og dokumentation, der er nødvendige for at vurdere foran-

staltningerne vedrørende organisatorisk beredskab, fysisk

sikring og cybersikkerhed, som virksomheden har indført ef-

ter loven og regler udstedt i medfør af loven, at give adgang

til data, dokumenter og oplysninger, der er nødvendige for

udførelsen af tilsynsopgaven, herunder til afgørelse af om et

forhold er omfattet af denne lov eller regler udstedt i medfør

af loven.

Bestemmelsen vil finde anvendelse også ved delvis nægtelse

af de ovenstående. Obstruktionen, der udløser en bødestraf

efter denne bestemmelse, kan være at virksomheden er så

lang tid om at efterkomme myndighedernes kontrolbeføjel-

ser, at tilsynet ikke kan gennemføres effektivt.

Det foreslås i § 37, stk. 1,

nr. 3,

at der med bøde straffes den,

der undlader at efterkomme påbud efter § 21 og § 22, stk. 1

og 2.

Den foreslåede bestemmelse medfører, at virksomheder vil

kunne straffes med bøde, såfremt virksomheden undlader

at efterkomme klima-, energi- og forsyningsministerens på-

bud eller forbud om, at virksomheden skal træffe foranstalt-

ninger, der er nødvendige for at forhindre eller afhjælpe

en hændelse, og som anses for nødvendige for at sikre

overholdelsen af krav fastsat i loven og regler udstedt i

medfør af loven. Det gælder navnlig, at virksomheden skal

underrette de fysiske eller juridiske personer, til hvilke den

leverer tjenester eller udfører aktiviteter, og som potentielt

kan være berørt af en væsentlig cybertrussel, om denne trus-

sels karakter, samt at virksomheden skal underrette disse

om eventuelle beskyttelsesforanstaltninger eller afhjælpende

foranstaltninger, som de fysiske eller juridiske personer kan

træffe som reaktion på denne trussel. Det gælder desuden

kravet om, at virksomheden skal udpege en person med

ansvar for i en nærmere fastsat periode at føre tilsyn med

virksomhedens overholdelse af lovens §§ 6-9 og §§ 12-14,

samt regler udstedt i medfør heraf, samt at virksomheden

skal offentliggøre afgørelser om påbud eller forbud efter nr.

1-4 samt resumeer af domme eller bødeforlæg, hvor der

idømmes eller vedtages en bøde, i ikke-anonymiseret form

og på en nærmere angiven måde.

Den foreslåede bestemmelse medfører desuden, at virksom-

heder vil kunne straffes med bøde, såfremt virksomheden

undlader at efterkomme klima-, energi- og forsyningsmini-

sterens påbud om, at virksomheden skal få foretaget en

revision af net- og informationsforanstaltninger, modstands-

dygtighedsforanstaltninger og kritiske systemer ved en uaf-

hængig revisor, såfremt virksomheden ikke har opfyldt et

eller flere påbud udstedt efter § 21.

Den foreslåede bestemmelse medfører desuden, at virksom-

heder vil kunne straffes med bøde, såfremt virksomheden

undlader at efterkomme klima-, energi- og forsyningsmini-

sterens påbud om at gennemføre tiltag, som på baggrund af

en revision efter § 22, stk. 1, vurderes nødvendige for at

opretholde et tilstrækkeligt beredskab.

Det foreslås i § 37, stk. 1,

nr. 4,

at der med bøde straffes den,

der undlader at efterkomme en afgørelse efter § 23, stk. 1,

nr. 1 eller 2,

Den foreslåede bestemmelse medfører, at virksomheder vil

kunne straffes med bøde, såfremt virksomheden undlader

at efterkomme klima-, energi- og forsyningsministerens af-

gørelse om at midlertidigt suspendere en certificering eller

godkendelse vedrørende dele af eller alle de relevante tje-

nester, virksomheden leverer, eller aktiviteter, der udføres

af virksomheden eller afgørelse om midlertidigt at forbyde

enhver fysisk person med ledelsesansvar på niveau med

administrerende direktør eller den juridiske repræsentant hos

virksomheden at udøve ledelsesfunktioner i den pågældende

virksomhed.

Det foreslås i § 37, stk. 1,

nr. 5,

at der med bøde straffes

den, der meddeler Energiklagenævnet urigtige, vildledende

oplysninger eller undlader, at meddele oplysninger efter an-

modning i medfør af § 31, stk. 6.

Den foreslåede bestemmelse medfører, at virksomheder vil

kunne straffes med bøde, såfremt virksomheden meddeler

Energiklagenævnet urigtige, vildledende oplysninger eller

undlader, at meddele oplysninger efter anmodning i medfør

af § 31, stk. 6.

Det foreslås i § 37, stk. 1,

nr. 6,

at der med bøde straffes

den, der meddeler klima-, energi- og forsyningsministeren

eller Energinet urigtige eller vildledende oplysninger eller

undlader at meddele oplysninger i medfør af § 35, stk. 1.

Den foreslåede bestemmelse medfører, at virksomheder vil

kunne straffes med bøde, såfremt virksomheden meddeler

klima-, energi- og forsyningsministeren eller Energinet urig-

tige eller vildledende oplysninger eller undlader at meddele

oplysninger i medfør af § 35, stk. 1

Det foreslås i § 37,

stk. 2,

at der kan pålægges selskaber m.v.

(juridiske personer) strafansvar efter reglerne i straffelovens

5. kapitel.

Den foreslåede bestemmelse indebærer, at selskaber m.v.

(juridiske personer) vil kunne ifalde strafansvar for overtræ-

delse af denne lov efter reglerne i straffelovens kapitel 5.

Det foreslås i § 37,

stk. 3,

at der ikke kan pålægges bøde

efter denne lov, hvor der er pålagt en bøde for overtrædelse

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

140

af databeskyttelsesforordningen eller databeskyttelsesloven,

hvis overtrædelsen skyldes den samme adfærd som den, der

var genstand for bøden i medfør af databeskyttelsesforord-

ningen eller databeskyttelsesloven.

Den foreslåede bestemmelse vil implementere NIS 2-direk-

tivets artikel 35, stk. 2, hvoraf det følger, at tilsynsmyndig-

hederne efter Europa-Parlamentets og Rådets forordning af

27. april 2016 om beskyttelse af fysiske personer i forbin-

delse med behandling af personoplysninger og om fri ud-

veksling af sådanne oplysninger (databeskyttelsesforordnin-

gen) har pålagt en bøde i henhold til forordningens artikel

58, stk. 2, litra i, må de kompetente myndigheder efter NIS

2-direktivet ikke pålægge en bøde i henhold til NIS 2-direk-

tivets artikel 34, der skyldes den samme adfærd som den,

der var genstand for bøden efter databeskyttelsesforordnin-

gen.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS

2-direktivets artikel 35, stk. 2, og skal således forstås og an-

vendes i overensstemmelse med direktivets forudsætninger.

Klima-, energi- og forsyningsministeren vil fortsat kunne

anvende håndhævelsesforanstaltninger i medfør af denne

lov, uagtet at der måtte være pålagt en bøde for overtrædelse

af databeskyttelseslovgivningen.

Det foreslås i § 37,

stk. 4,

at der i forskrifter, der udstedes i

medfør af loven, kan fastsættes straf af bøde for overtrædel-

se af bestemmelser i forskrifterne.

Bestemmelsen vil indeholde hjemmel til fastsættelse af

straffebestemmelser i forskrifter, som vil skulle medvirke

til at sikre overholdelse af reglerne, der forventes udmøntet

ved administrativ regulering i form af bekendtgørelser.

De strafbestemmelser, der måtte fastsættes i forskrifter, skal

overholde de i til § 37, stk. 1, beskrevne rammer for bøde-

størrelsens fastsættelse. Bestemmelsen forventes anvendt til

at supplere den foreslåede bestemmelse i § 37, stk. 1. Be-

stemmelsen forventes kun anvendt i begrænset omfang, da

§ 37, stk. 1, sammen med §§ 21-24, udgør en god sankti-

onstrappe, der umiddelbart vurderes tilstrækkelig til at hånd-

hæve loven og regler udstedt i medfør af loven overfor

virksomhederne.

Til § 38

Det foreslås i § 38,

stk. 1,

at loven skal træde i kraft den 1.

marts 2025.

Det foreslås i § 38,

stk. 2,

at regler udstedt i medfør af § 15

a, stk. 3 og 4, § 15 b, stk. 5 og 6, og § 30 a, stk. 5 og 6,

i lov om gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16.

august 2023, forbliver i kraft indtil de ophæves eller afløses

af regler udstedt i medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk.

2, § 8, stk. 2, § 10, § 12, § 13, § 17, stk. 3, § 18, stk. 2, §

19, stk. 4 og 5, § 22, stk. 3, § 26, stk. 2, i lov om styrket

beredskab i energisektoren.

Den foreslåede bestemmelse vil medføre, at de regler, der

er udstedt i medfør af § 15 a, stk. 3 og 4, § 15 b, stk. 5 og

6, § 30 a, stk. 5 og 6 i gasforsyningsloven, i bekendtgørelse

nr. 821 af 14. august 2019 om beredskab for gassektoren

og bekendtgørelse nr. 2647 af 28. december 2021 om it-be-

redskab for el- og naturgassektoren, forbliver i kraft indtil

de ophæves eller afløses af en ny samlet bekendtgørelse om

modstandsdygtighed og beredskab i energisektoren udstedt i

medfør af reglerne i denne lov. Ligeledes vil reglerne i §§

9-12 i bekendtgørelse nr. 805 af 14. juni 2023 om betaling

for myndighedsbehandling i Energistyrelsen også forblive

i kraft indtil de ophæves eller afløses af regler i en ny

selvstændig bekendtgørelse om betaling for myndighedsbe-

handling efter § 17, stk. 3 og § 18, stk. 2 i denne lov.

Det foreslås i § 38,

stk. 3,

at regler udstedet i medfør af §

30 a, stk. 7, i gasforsyningsloven forbliver i kraft indtil de

ophæves eller afløses af regler udstedt i medfør af § 30 a,

stk. 5, i gasforsyningsloven, jf. denne lovs § 41, nr. 3.

Den foreslåede bestemmelse vil medføre, at de regler der

udstedt i medfør af § § 30 a, stk. 7, i gasforsyningsloven,

forbliver i kraft til de ophæves eller afløses af regler udstedt

i medfør af § 30 a, stk. 5, i gasforsyningsloven, jf. denne

lovs § 41, nr. 3.

Det foreslås i § 38,

stk. 4,

at regler udstedt i medfør af § 51

d, stk. 2, § 85 b, stk. 3 og 4 og § 85 c, stk. 5 og 6, i lov om

elforsyning, jf. lovbekendtgørelse nr. 1248 af 24. oktober

2023, forbliver i kraft, indtil de ophæves eller afløses af

regler udstedt i medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, §

8, stk. 2, § 10, § 12, § 13, § 17, stk. 3, § 18, stk. 2, § 19, stk.

4 og 5, § 22, stk. 3, § 26, stk. 2, i lov om styrket beredskab i

energisektoren.

Den foreslåede bestemmelse vil medføre, at de regler ,der

er udstedt i medfør af § 51 d, stk. 2, § 85 b, stk. 3 og 4,

§ 85 c, stk. 5 og 6, i elforsyningsloven, i i bekendtgørelse

nr. 2646 af 28. december 2021 om beredskab for elsektoren

og bekendtgørelse nr. 2647 af 28. december 2021 om it-be-

redskab for el- og naturgassektoren, forbliver i kraft indtil

de ophæves eller afløses af en ny samlet bekendtgørelse om

modstandsdygtighed og beredskab i energisektoren udstedt i

medfør af reglerne i denne lov. Ligeledes vil reglerne i §§

9-12 i bekendtgørelse nr. 805 af 14. juni 2023 om betaling

for myndighedsbehandling i Energistyrelsen også forblive

i kraft indtil de ophæves eller afløses af regler i en ny

selvstændig bekendtgørelse om betaling for myndighedsbe-

handling efter § 17, stk. 3 og § 18, stk. 2 i denne lov.

Det foreslås i § 38,

stk. 5,

at regler udstedt i medfør af § 16,

i lov nr. 354 af 24. april 2012 om olieberedskab, forbliver

i kraft, indtil de ophæves eller afløses af regler udstedt i

medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2,

§ 10, § 12, § 13, § 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og

5, § 22, stk. 3, § 26, stk. 2, i lov om styrket beredskab i

energisektoren.

Den foreslåede bestemmelse hjemler, at de regler der er ud-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

141

stedt i medfør af § 16, i olieberedskabsloven i bekendtgørel-

se nr. 424 af 25. april 2018 om beredskab for oliesektoren,

forbliver i kraft indtil de ophæves eller afløses af en ny sam-

let bekendtgørelse om modstandsdygtighed og beredskab i

energisektoren udstedt i medfør af reglerne i denne lov.

Til § 39

Det følger af § 16 i olieberedskabsloven, at lagringspligtige

virksomheder skal foretage den nødvendige planlægning og

træffe de nødvendige foranstaltninger for at sikre forsynin-

gen af råolie og olieprodukter i beredskabssituationer og

andre ekstraordinære situationer. Det følger endvidere af §

16, stk. 2, at den centrale lagerenhed skal varetage de over-

ordnede, koordinerende planlægningsmæssige og operative

opgaver vedrørende det beredskab, der er anført i stk. 1. Kli-

ma-, energi- og forsyningsministeren kan fastsætte regler

om varetagelse af de i stk. 1 nævnte opgaver samt om vare-

tagelse af de overordnede, koordinerende planlægningsmæs-

sige og operative opgaver vedrørende beredskabet, jf. § 16,

stk. 3, i olieberedskabsloven. For en nærmere beskrivelse af

gældende ret efter bestemmelserne henvises til pkt. 3.2.1. i

de almindelige bemærkninger til lovforslaget.

Det foreslås, at

§ 16

ophæves.

Olieberedskabslovens § 16 om, at lagringspligtige virksom-

heder skal foretage den nødvendige planlægning og træffe

de nødvendige foranstaltninger for at sikre forsyningen af

råolie og olieprodukter i beredskabssituationer og andre eks-

traordinære situationer, vil blive videreført i lovforslagets §

6, stk. 1, § 7, stk. 1 og § 8, stk. 1, mens § 16, stk. 3, vil blive

videreført i § 6, stk. 2, § 7, stk. 2 og § 8, stk. 2.

Bestemmelsen foreslås ophævet af hensyn til, at det er vur-

deret mere hensigtsmæssigt at samle bestemmelserne om

beredskab i energisektoren i nærværende lovforslag, i stedet

for at der findes regler herom i de forskellige forsyningslo-

ve.

Til § 40

Til nr. 1

Det følger af § 51 d, i elforsyningsloven, at virksomheder

med elproduktionsbevilling efter § 10, stk. 1, eller med tilla-

delse til elproduktion fra anlæg med en kapacitet på over 25

MW efter § 29 i VE-loven eller § 11 i elforsyningsloven,

netvirksomheder og virksomheder, der yder balancering af

elsystemet, halvårligt betaler et beløb til Klima-, Energi- og

Forsyningsministeriet til dækning af omkostninger til tilsyn

med virksomhederne efter regler udstedt i medfør af § 85

b, stk. 4, og § 85 c, stk. 6. For en nærmere beskrivelse af

gældende ret efter bestemmelserne henvises til pkt. 3.5.1. i

de almindelige bemærkninger til lovforslaget.

Det foreslås, at

§ 51 d

ophæves.

Elforsyningslovens § 51 d, stk. 1 om, at virksomheder med

elproduktionsbevilling efter § 10, stk. 1, eller med tilladel-

se til elproduktion fra anlæg med en kapacitet på over 25

MW efter § 29 i VE-loven eller § 11 i elforsyningsloven,

netvirksomheder og virksomheder, der yder balancering af

elsystemet, halvårligt betaler et beløb til Klima-, Energi- og

Forsyningsministeriet til dækning af omkostninger til tilsyn

med virksomhederne, vil blive videreført i lovforslagets §

17, stk. 1. For så vidt angår henvisningen i elforsyningslo-

vens § 51 d, til regler om tilsyn med virksomhederne udstedt

i medfør af elforsyningslovens § 85 b, stk. 4, og § 85 c, stk.

6, videreføres ordningen med lovforslagets § 19 og regler

udstedt i medfør af bestemmelsens stk. 4. Elforsyningslo-

vens § 51 d, stk. 2 om, at klima-, energi- og forsyningsmini-

steren fastsætter regler om størrelsen af beløb efter stk. 1,

herunder om fordelingen af omkostningerne på kategorier

af virksomheder. Klima-, energi- og forsyningsministeren

kan fastsætte nærmere regler om betaling og opkrævning

af beløb efter stk. 1, vil blive videreført i lovforslagets §

17, stk. 3. Elforsyningslovens §§ 85 b og 85 c ophæves jf.

lovforslagets § 40, nr. 2.

Til nr. 2

Kapitel 12 i elforsyningsloven har overskriften ”Beredskab,

fortrolighed, kontrol, oplysningspligt og påbud”.

Det foreslås, at overskriften ændres til ”Fortrolighed,

kon-

trol, oplysningspligt og påbud”,

som konsekvens af at elfor-

syningslovens bestemmelser om beredskab foreslås ophævet

og overført til nærværende lovforslag.

Der henvises til lovforslagets § 40, nr. 1, og bemærkninger-

ne hertil.

Til nr. 3

Det følger af elforsyningslovens § 85 b, stk. 1, at virksom-

heder, som er bevillingspligtige efter §§ 10 og 19 eller har

tilladelse til elproduktion fra anlæg med en kapacitet på over

25 MW efter § 29 i VE-loven eller § 11 i elforsyningsloven,

samt elforsyningsvirksomhed, der varetages af Energinet el-

ler denne virksomheds helejede datterselskaber i medfør af §

2, stk. 2 og 3, i lov om Energinet, skal foretage nødvendig

planlægning og træffe nødvendige foranstaltninger for at

sikre elforsyningen i beredskabssituationer og andre ekstra-

ordinære situationer.

Energinet skal varetage de overordnede, koordinerende

planlægningsmæssige og operative opgaver vedrørende det i

stk. 1 nævnte beredskab, jf. elforsyningsloven § 85 b, stk. 2.

Klima-, energi- og forsyningsministeren kan fastsætte regler

om varetagelse af de i § 85 b, stk. 1 og 2 nævnte opgaver, jf.

elforsyningslovens § 85 b, stk. 3, ligesom klima-, energi- og

forsyningsministeren i medfør af § 85 b, stk. 4, kan fastsætte

regler om udførelse af tilsyn med det beredskabsarbejde,

der udføres efter stk. 1 og 2, herunder om virksomhedernes

fremsendelse af materiale som grundlag for tilsynet, om

tilsynets beføjelser i forhold til virksomhederne og om kla-

geadgang.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

142

Det følger af elforsyningsloven § 85 c, stk. 1, at samme

virksomheder som nævnt ovenfor skal opretholde et it-be-

redskab, herunder planlægge og træffe nødvendige foran-

staltninger for at sikre beskyttelsen af kritiske it-systemer,

der er af betydning for elforsyningen.

Klima-, energi- og forsyningsministeren kan efter elforsy-

ningslovens § 85 c, stk. 2 ved manglende opfyldelse af

et påbud efter elforsyningslovens § 85 d om at overholde

stk. 1 påbyde virksomheder at foretage en it-revision af

kritiske systemer ved en uafhængig revisor godkendt af til-

synsmyndigheden. Klima-, energi- og forsyningsministeren

kan derefter, jf. elforsyningsloven § 85 c, stk. 3, påbyde

virksomheder at gennemføre tiltag, som på baggrund af en

it-revision, jf. stk. 2, skønnes nødvendige for at opretholde

et it-beredskab, jf. stk. 1.

Klima-, energi- og forsyningsministeren fastsætter efter el-

forsyningslovens § 85 c, stk. 5 nærmere regler for it-bered-

skab, jf. § 85 c, stk. 1, herunder regler om: 1) organisering af

virksomhedens it-beredskab og evne til at modtage advars-

ler om trusler mod it-sikkerheden, 2) planlægning og bered-

skabsarbejde, som virksomhederne skal udføre for at mod-

virke trusler mod it-sikkerheden, herunder virksomhedernes

pligt til at videregive oplysninger til Energinet og relevan-

te myndigheder, 3) virksomhedernes risikostyring, herunder

inddragelse af andre virksomheder i risikovurderinger, 4)

tilmelding til en it-sikkerhedstjeneste, der yder varsler og

informationer om it-sikkerhedstrusler, 5) Energinets vareta-

gelse af overordnede, koordinerende planlægningsmæssige

og operative opgaver vedrørende it-beredskab, jf. stk. 1, og

6) krav til indholdet og planlægningen af en it-revision ved

en uafhængig revisor, jf. stk. 2.

Klima-, energi- og forsyningsministeren fastsætter desuden

nærmere regler for udførelsen af tilsyn med virksomheders

it-beredskab, jf. elforsyningslovens § 85 c, stk. 6.

For en nærmere beskrivelse af gældende ret efter bestem-

melserne henvises til pkt. 3.2.1. i de almindelige bemærk-

ninger til lovforslaget.

Det foreslås, at

§ 85 b

§ 85 c

ophæves.

Elforsyningslovens § 85 b, stk. 1 om, at virksomheder, som

er bevillingspligtige efter §§ 10 og 19 eller har tilladelse til

elproduktion fra anlæg med en kapacitet på over 25 MW

efter § 29 i lov om fremme af vedvarende energi eller §

11, samt elforsyningsvirksomhed, der varetages af Energinet

eller denne virksomheds helejede datterselskaber i medfør

af § 2, stk. 2 og 3, i lov om Energinet, skal foretage nød-

vendig planlægning og træffe nødvendige foranstaltninger

for at sikre elforsyningen i beredskabssituationer og andre

ekstraordinære situationer, vil blive videreført i lovforslagets

§ 6, stk. 1 og § 7, stk. 1.

Elforsyningslovens § 85 b, stk. 2 og 3 om, at Energinet skal

varetage de overordnede, koordinerende planlægningsmæs-

sige og operative opgaver vedrørende det i stk. 1 nævnte

beredskab, og om at klima-, energi- og forsyningsministeren

kan fastsætte regler om varetagelse af de i stk. 1 og 2 nævn-

te opgaver, vil blive videreført i lovforslagets § 6, stk. 2, § 7,

stk. 2 og § 8, stk. 2, § 10, § 11 og § 36.

Elforsyningslovens § 85 b, stk. 4 om, at klima-, energi- og

forsyningsministeren kan fastsætte regler om udførelse af

tilsyn med det beredskabsarbejde, der udføres efter stk. 1 og

2, herunder om virksomhedernes fremsendelse af materiale

som grundlag for tilsynet, om tilsynets beføjelser i forhold

til virksomhederne og om klageadgang, vil blive videreført i

lovforslagets § 19, § 30, § 32 og § 35, stk. 1.

Elforsyningslovens § 85 c, stk. 1 om, at virksomheder, som

er bevillingspligtige efter §§ 10 og 19 eller har tilladelse til

elproduktion fra anlæg med en kapacitet på over 25 MW

efter § 29 i lov om fremme af vedvarende energi eller § 11,

Energinet og dennes helejede datterselskaber samt virksom-

heder, der yder balancering af elsystemet, skal opretholde et

it-beredskab, herunder planlægge og træffe nødvendige for-

anstaltninger for at sikre beskyttelsen af kritiske it-systemer,

der er af betydning for elforsyningen, vil blive videreført i

lovforslagets § 6, stk. 1, § 7, stk. 1 og § 8, stk. 1.

Elforsyningslovens § 85 c, stk. 2, stk. 3 og stk. 5, nr. 5 om,

at klima-, energi- og forsyningsministeren ved manglende

opfyldelse af et påbud efter § 85 d om at overholde stk.

1 kan påbyde virksomheder at foretage en it-revision af

kritiske it-systemer ved en uafhængig revisor godkendt af

tilsynsmyndigheden og om, at klima-, energi- og forsynings-

ministeren kan påbyde virksomheder at gennemføre tiltag,

som på baggrund af en it-revision, jf. stk. 2, skønnes nød-

vendige for at opretholde et it-beredskab, jf. stk. 1, samt at

klima-, energi- og forsyningsministeren fastsætter nærmere

regler om krav til indholdet og planlægningen af en it-revi-

sion ved en uafhængig revisor, jf. stk. 2, vil blive videreført i

lovforslagets § 22.

Elforsyningslovens § 85 c, stk. 4 om, at informationer, her-

under vurderinger, planer og data, vedrørende sikkerhedsfor-

hold for forsyningskritiske it-systemer i virksomheder, som

er omfattet af stk. 1, er fortrolige, hvis oplysningerne er

væsentlige af hensyn til driften af virksomheden eller det

sammenhængende elsystem, vil blive videreført i lovforsla-

gets § 26.

Elforsyningslovens § 85 c, stk. 5, nr. 1-5 om, at klima-,

energi- og forsyningsministeren fastsætter nærmere regler

for it-beredskab, jf. stk. 1, herunder regler om 1) organise-

ring af virksomhedens it-beredskab og evne til at modtage

advarsler om trusler mod it-sikkerheden, 2) planlægning og

beredskabsarbejde, som virksomhederne skal udføre for at

modvirke trusler mod it-sikkerheden, herunder virksomhe-

dernes pligt til at videregive oplysninger til Energinet og til

klima-, energi- og forsyningsministeren, 3) virksomhedernes

risikostyring, herunder inddragelse af andre virksomheder

i risikovurderinger, 4) tilmelding til en tjeneste, der yder

varsler og informationer om it-sikkerhedstrusler, 5) Ener-

ginets varetagelse af overordnede, koordinerende planlæg-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

143

ningsmæssige og operative opgaver vedrørende it-beredska-

bet, jf. stk. 1, vil blive videreført i lovforslagets § 8, stk. 2.

Elforsyningslovens § 85 c, stk. 6 om, at klima-, energi- og

forsyningsministeren fastsætter regler for udførelse af tilsyn

med det beredskabsarbejde, der udføres efter stk. 1, videre-

føres i lovforslagets § 19, § 30, og § 35, stk. 1. Bestemmel-

sen foreslås ophævet, fordi det vurderes mere hensigtsmæs-

sigt at samle bestemmelserne om beredskab i energisektoren

i nærværende lovforslag, end at der findes regler herom i de

forskellige forsyningslove.

Ændringen vil således medføre, at hjemmelsgrundlaget for

beredskab i energisektoren fremadrettet vil være samlet i én

lov, hvilket vil give et samlet overblik over beredskabsregu-

leringen for de omfattede virksomheder, hvoraf en del er

multiforsyningsvirksomheder eller har aktiviteter i flere del-

sektorer. Ændringen vil dermed gøre det lettere for virksom-

hederne at navigere i den regulering, som de er underlagt

med hensyn til beredskab.

Til § 41

Til nr. 1

Overskriften før § 15 a i gasforsyningsloven har overskriften

”Beredskab”.

Overskriften foreslås ophævet, som konsekvens af at gasfor-

syningslovens bestemmelser om beredskab foreslås ophævet

og overført til nærværende lovforslag.

Til nr. 2

Det følger af gasforsyningslovens § 15 a, stk. 1, at selskaber,

der er bevillingspligtige efter § 10, samt Energinet og denne

virksomheds helejede datterselskaber, der varetager gasvirk-

somhed i medfør af § 2, stk. 2 og 3, i lov om Energinet,

skal foretage nødvendig planlægning og træffe nødvendige

foranstaltninger for at sikre gasforsyningen i beredskabssi-

tuationer og andre ekstraordinære situationer.

Energinet skal varetage de overordnede, koordinerende

planlægningsmæssige og operative opgaver vedrørende det i

stk. 1 nævnte beredskab, jf. gasforsyningsloven § 15 a, stk.

Klima-, energi- og forsyningsministeren kan fastsætte regler

om varetagelse af de i § 15 a stk. 1 og 2 nævnte opgaver,

herunder om udveksling af nødvendige data i de i stk. 1

nævnte situationer og for at undgå sådanne situationer, jf.

gasforsyningslovens § 15 a , stk. 3, ligesom klima-, energi-

og forsyningsministeren i medfør af § 15 a, stk. 4, kan

fastsætte regler om udførelse af tilsyn med det beredskabs-

arbejde, der udføres efter stk. 1 og 2, herunder om selska-

bernes fremsendelse af materiale som grundlag for tilsynet,

om tilsynets beføjelser i forhold til virksomhederne og om

klageadgang.

Det følger af gasforsyningsloven § 15 b, stk. 1, at samme

selskaber som nævnt ovenfor skal opretholde et it-bered-

skab, herunder planlægge og træffe nødvendige foranstalt-

ninger for at sikre beskyttelsen af kritiske it-systemer, der er

af betydning for elforsyningen.

Klima-, energi- og forsyningsministeren kan efter gasforsy-

ningslovens § 15 b, stk. 2 ved manglende opfyldelse af et

påbud efter gasforsyningslovens § 47 b om at overholde

stk. 1, påbyde virksomheder at foretage en it-revision af

kritiske systemer ved en uafhængig revisor godkendt af til-

synsmyndigheden. Klima-, energi- og forsyningsministeren

kan derefter, jf. gasforsyningsloven § 15 b, stk. 3, påbyde

virksomheder at gennemføre tiltag, som på baggrund af en

it-revision, jf. stk. 2, skønnes nødvendige for at opretholde

et it-beredskab, jf. stk. 1.

Klima-, energi- og forsyningsministeren fastsætter efter gas-

forsyningslovens § 15 b, stk. 5 nærmere regler for it-bered-

skab, jf. § 15 b, stk. 1, herunder regler om: 1) organisering

af virksomhedens it-beredskab og evne til at modtage ad-

varsler om trusler mod it-sikkerheden, 2) planlægning og

beredskabsarbejde, som virksomhederne skal udføre for at

modvirke trusler mod it-sikkerheden, herunder virksomhe-

dernes pligt til at videregive oplysninger til Energinet og re-

levante myndigheder, 3) virksomhedernes risikostyring, her-

under inddragelse af andre virksomheder i risikovurderinger,

4) tilmelding til en it-sikkerhedstjeneste, der yder varsler og

informationer om it-sikkerhedstrusler, 5) Energinets vareta-

gelse af overordnede, koordinerende planlægningsmæssige

og operative opgaver vedrørende it-beredskab, jf. stk. 1, og

6) krav til indholdet og planlægningen af en it-revision ved

en uafhængig revisor, jf. stk. 2.

Klima-, energi- og forsyningsministeren fastsætter desuden

nærmere regler for udførelsen af tilsyn med virksomheders

it-beredskab, jf. gasforsyningslovens § 15 b, stk. 6. For en

nærmere beskrivelse af gældende ret efter bestemmelserne

henvises til pkt. 3.2.1. i de almindelige bemærkninger til

lovforslaget.

Det foreslås, at

§ 15 a

§ 15 b

ophæves.

Gasforsyningslovens § 15 a, stk. 1 om at selskaber, der

er bevillingspligtige efter § 10, samt Energinet og denne

virksomheds helejede datterselskaber, der varetager gasvirk-

somhed i medfør af § 2, stk. 2 og 3, i lov om Energinet skal

foretage nødvendig planlægning og træffe de nødvendige

foranstaltninger for at sikre gasforsyningen i beredskabssi-

tuationer og andre ekstraordinære situationer, og at klima-,

energi- og forsyningsministeren kan bestemme, at opstrøms-

anlæg og bygasnet tilsvarende skal foretage sådan planlæg-

ning og træffe sådanne foranstaltninger, vil blive videreført i

lovforslagets § 6, stk. 1 og § 7, stk. 1.

Gasforsyningslovens § 15 a, stk. 2 og 3 om, at Energinet

skal varetage de overordnede, koordinerende planlægnings-

mæssige og operative opgaver vedrørende det i stk. 1 nævn-

te beredskab, og om at klima-, energi- og forsyningsministe-

ren kan fastsætte regler om varetagelse af de i stk. 1 og

2 nævnte opgaver, herunder om udveksling af nødvendige

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

144

data i de i stk. 1 nævnte situationer og for at undgå sådanne

situationer, vil blive videreført i lovforslagets § 6, stk. 2, § 7,

stk. 2 og § 8, stk. 2, § 10, § 11 og § 36.

Gasforsyningslovens § 15 a, stk. 4 om, at klima-, energi-

og forsyningsministeren kan fastsætte regler om udførelse af

tilsyn med det beredskabsarbejde, der udføres efter stk. 1 og

2, herunder om selskabernes fremsendelse af materiale som

grundlag for tilsynet, om tilsynets beføjelser i forhold til

selskaberne og om klageadgang, vil blive videreført i lovfor-

slagets § 19, § 30, § 32 og § 35, stk. 1. Gasforsyningslovens

§ 15 b, stk. 1 om, at selskaber, der er bevillingspligtige efter

§ 10, samt Energinet og dennes helejede datterselskaber, der

varetager gasforsyningsvirksomhed i henhold til § 2, stk. 2

og 3, i lov om Energinet, skal opretholde et it-beredskab,

herunder planlægge og træffe nødvendige foranstaltninger

for at sikre beskyttelsen af kritiske it-systemer, der er af

væsentlig betydning for gasforsyningen, vil blive videreført

i lovforslagets § 6, stk. 1, § 7, stk. 1 og § 8, stk. 1.

Gasforsyningslovens § 15 b, stk. 2, stk. 3 og stk. 5, nr. 5 om,

at klima-, energi- og forsyningsministeren ved manglende

opfyldelse af et påbud efter § 47 b om at overholde stk.

1, kan påbyde virksomheder at foretage en it-revision af

kritiske it-systemer ved en uafhængig revisor godkendt af

tilsynsmyndigheden og om, at klima-, energi- og forsynings-

ministeren kan påbyde virksomheder at gennemføre tiltag,

som på baggrund af en it-revision, jf. stk. 2, skønnes nød-

vendige for at opretholde et it-beredskab, jf. stk. 1, samt at

klima-, energi- og forsyningsministeren fastsætter nærmere

regler om krav til indholdet og planlægningen af en it-revi-

sion ved en uafhængig revisor, jf. stk. 2, vil blive videreført i

lovforslagets § 22.

Gasforsyningslovens § 15 b, stk. 4 om, at informationer,

herunder vurderinger, planer og data, vedrørende sikker-

hedsforhold for forsyningskritiske it-systemer i virksomhe-

der, som er omfattet af stk. 1, er fortrolige, hvis oplysninger-

ne er væsentlige af hensyn til driften af virksomheden eller

gassystemet, vil blive videreført i lovforslagets § 26.

Gasforsyningslovens § 15 b, stk. 5, nr. 1-5 om, at klima-,

energi- og forsyningsministeren fastsætter nærmere regler

for it-beredskab, jf. stk. 1, herunder regler om 1) organise-

ring af virksomhedens it-beredskab og evne til at modtage

advarsler om trusler mod it-sikkerheden, 2) planlægning og

beredskabsarbejde, som virksomhederne skal udføre for at

modvirke trusler mod it-sikkerheden, herunder virksomhe-

dernes pligt til at videregive oplysninger til Energinet og til

klima-, energi- og forsyningsministeren, 3) virksomhedernes

risikostyring, herunder inddragelse af andre virksomheder

i risikovurderinger, 4) tilmelding til en tjeneste, der yder

varsler og informationer om it-sikkerhedstrusler, 5) Ener-

ginets varetagelse af overordnede, koordinerende planlæg-

ningsmæssige og operative opgaver vedrørende it-beredska-

bet, jf. stk. 1, vil blive videreført i lovforslagets § 8, stk. 2.

Gasforsyningslovens § 15 b, stk. 6 om, at klima-, energi-

og forsyningsministeren fastsætter regler for udførelse af

tilsyn med det beredskabsarbejde, der udføres efter stk. 1,

videreføres i lovforslagets § § 19, § 30, og § 35, stk. 1.

Bestemmelserne foreslås ophævet, da det vurderes mere

hensigtsmæssigt at samle bestemmelserne om beredskab i

energisektoren i nærværende lovforslag, end at der findes

regler herom i de forskellige forsyningslove.

Ændringen vil således medføre, at hjemmelsgrundlaget for

beredskab i energisektoren fremadrettet vil være samlet i én

lov, hvilket vil give et samlet overblik over beredskabsregu-

leringen for de omfattede virksomheder, hvoraf en del er

multiforsyningsvirksomheder eller har aktiviteter i flere del-

sektorer. Ændringen vil dermed gøre det lettere for virksom-

hederne at navigere i den regulering, som de er underlagt

med hensyn til beredskab.

Til nr. 3.

Det følger af § 30, a, stk. 5, i gasforsyningsloven, at Energi-

net og denne virksomheds helejede datterselskaber i medfør

af § 2, stk. 2 og 3, i lov om Energinet, der driver lagervirk-

somhed, og selskaber, der driver distributionsvirksomhed

efter bevilling, betaler halvårligt et beløb til Klima-, Energi-

og Forsyningsministeriet til dækning af omkostninger til

tilsyn med selskaberne efter regler udstedt i medfør af § 15

a, stk. 4, og § 15 b, stk. 6.

I medfør af § 30 a, stk. 6, i gasforsyningsloven, kan klima-,

energi- og forsyningsministeren fastsætter størrelsen af be-

løbet efter stk. 5, herunder fordelingen af omkostningerne

på kategorier af selskaber. For en nærmere beskrivelse af

gældende ret efter bestemmelserne henvises til pkt. 3.5.1. i

de almindelige bemærkninger til lovforslaget.

Det foreslås, at

§ 30 a, stk. 5 og 6

ophæves.

Stk. 6 og 7 bliver herefter stk. 5 og 6. Den foreslåede

ændring vil medføre, at virksomheder omfattet af gasforsy-

ningslovens af § 30, a ikke vil blive opkrævet et halvårligt

gebyr efter gasforsyningsloven til dækning af Klima-, Ener-

gi- og Forsyningsministeriets omkostninger til tilsyn med

virksomhedernes organisatoriske beredskab, fysiske sikring

og cybersikkerhed, samt til dækning af de omkostninger, der

er til administration af ordningen.

Gasforsyningslovens § 30 a, stk. 5 om, at Energinet og

denne virksomheds helejede datterselskaber i medfør af §

2, stk. 2 og 3, i lov om Energinet, der driver lagervirksom-

hed, og selskaber, der driver distributionsvirksomhed efter

bevilling, betaler halvårligt et beløb til Klima-, Energi- og

Forsyningsministeriet til dækning af omkostninger til tilsyn

med selskaberne, vil blive videreført i lovforslags § 17, stk.

1. For så vidt angår henvisningen i gasforsyningslovens § 30

a, stk. 5, til regler om tilsyn med virksomhederne udstedt i

medfør af gasforsyningslovens § 15 a, stk. 4, og § 15 b, stk.

6, videreføres ordningen med lovforslagets § 19 og regler

udstedt i medfør af bestemmelsens, stk. 4. Gasforsyningslo-

vens § 30 a, stk. 6 om klima-, energi- og forsyningsmini-

steren fastsætter størrelsen af beløbet efter stk. 5, herunder

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

145

fordelingen af omkostningerne på kategorier af selskaber, vil

blive videreført i lovforslagets § 17, stk. 3.

Gasforsyningslovens §§ 15 a og 15 b ophæves jf. lovforsla-

gets § 41, nr. 2.

Klima-, Energi- og Forsyningsministeriets vil dermed frem-

adrettet opkræve et halvårligt gebyr hos virksomhederne

til dækningen af tilsvarende opgaver efter nærværende lov-

forslags § 18, stk. 1, hvorved der sker en videreførelse

af den eksisterende gebyrordning for tilsynet med gasvirk-

somhedernes organisatoriske beredskab, fysiske sikring og

cybersikkerhed og dækning af de omkostninger, der er til

administration af ordningen.

Ophævelsen af § 30 a, stk. 5 og 6 vil derfor ikke medføre

nogen ændringer i praksis på området, da den erstattes af

nærværende lovforslags § 18, stk. 1

Til § 42

Til nr. 1

Anvendelsesområdet for prisreguleringen i varmeforsy-

ningsloven fremgår af § 20, stk. 1. Bestemmelsen finder an-

vendelse på virksomheder, der leverer opvarmet vand, damp

eller gas bortset fra naturgas til det indenlandske marked

med det formål at levere energi til bygningers opvarmning

og forsyning med varmt vand. Det drejer sig blandt andet

om kollektive varmeforsyningsanlæg, jf. § 2, i varmeforsy-

ningsloven.

Bestemmelsen i § 20, stk. 1, indeholder princippet om nød-

vendige omkostninger. Princippet indebærer, at de varme-

forsyningsvirksomheder, der er omfattet af bestemmelsen,

kan opkræve de nødvendige omkostninger, der er forbundet

med levering af det opvarmede vand m.m. til rumvarmefor-

mål. De omkostninger, der må indregnes i priserne, skal ud

over at være nødvendige, også efter deres art være indreg-

ningsberettigede.

Det foreslås i

§ 20, stk. 1, 1. pkt.

at indsætte en henvisning

til omkostninger til beredskab efter lov om styrket bered-

skab i energisektoren.

Den foreslåede ændring vil medføre, at varmeforsynings-

virksomheder omfattet af § 20, stk. 1, som udgangspunkt vil

kunne indregne omkostninger til beredskab som en nødven-

dig omkostning i sine varmepriser.

Varmeforsyningsvirksomhedernes omkostninger til bered-

skab vil fortsat skulle være nødvendige efter § 20, stk.

1. Derudover må prisen ikke være urimelig, jf. § 21, stk.

4, i varmeforsyningsloven. En varmeforsyningsvirksomheds

omkostninger til beredskab vil således fortsat være under-

lagt Forsyningstilsynets tilsyn og indgrebsbeføjelse efter §

21, stk. 4.

Det er ikke hensigten med lovforslaget derudover at ændre

den måde, som Forsyningstilsynet i dag fører tilsyn i medfør

af § 21, stk. 4, i varmeforsyningsloven. Forsyningstilsynet

vil derfor skulle føre sit sædvanlige tilsyn på omkostninger

til beredskab.

Der henvises til i øvrigt lovforslagets almindelige bemærk-

ninger i afsnit 3.8.

Til nr. 2

Det følger af § 29 a i varmeforsyningsloven, at virksomhe-

der, som driver anlæg til produktion og fremføring af bygas,

skal foretage nødvendig planlægning og træffe de nødven-

dige foranstaltninger for at sikre bygasforsyningen i bered-

skabssituationer og andre ekstraordinære situationer. Klima,

energi- og forsyningsministeren kan fastsætte regler om va-

retagelse af de i stk. 1 nævnte opgaver samt om varetagelse

af de overordnede, koordinerende planlægningsmæssige og

operative opgaver vedrørende beredskabet, jf. § 29 a, stk.

2, i varmeforsyningsloven. For en nærmere beskrivelse af

gældende ret efter bestemmelserne henvises til pkt. 3.2.1. i

de almindelige bemærkninger til lovforslaget.

Det foreslås, at

§ 29 a

ophæves.

Varmeforsyningslovens § 29 a om, at virksomheder, som

driver anlæg til produktion og fremføring af bygas, skal

foretage nødvendig planlægning og træffe de nødvendige

foranstaltninger for at sikre bygasforsyningen i beredskabs-

situationer og andre ekstraordinære situationer og om, at

klima, energi- og forsyningsministeren kan fastsætte regler

om varetagelse af de i stk. 1 nævnte opgaver samt om vare-

tagelse af de overordnede, koordinerende planlægningsmæs-

sige og operative opgaver vedrørende beredskabet, vil blive

videreført i lovforslags § §§ 6-8 og § 10.

Bestemmelserne foreslås ophævet, da det vurderes mere

hensigtsmæssigt at samle bestemmelserne om beredskab i

energisektoren i nærværende lovforslag, end at der findes

regler herom i de forskellige forsyningslove.

Til § 43

Det følger af § 17 a, stk. 1 i undergrundsloven, at rettig-

hedshavere med tilladelse til efterforskning og indvinding

af kulbrinter eller tilladelse til etablering og drift af rørled-

ningsanlæg i forbindelse med indvinding af kulbrinter skal

planlægge med hensyn til opretholdelse og videreførelse af

forsyningen af kulbrinter til samfundet i tilfælde af krisesi-

tuationer, herunder udarbejde beredskabsplaner og gennem-

føre nødvendige foranstaltninger til sikring af egne anlæg,

rørledninger, kritiske systemer og data m.v. Dette gælder

også ejere af tilstødende olie- og naturgasrørledningsanlæg,

separationsfaciliteter og terminalanlæg for råolie, jf. § 1 i

lov om etablering og benyttelse af en rørledning til transport

af råolie og kondensat og §§ 3 a og 4 i lov om kontinen-

talsoklen og visse rørledningsanlæg på søterritoriet. Rettig-

hedshavere og ejere skal koordinere dette beredskab med

beredskab efter anden lovgivning.

I medfør af § 17 a, stk. 2 i undergrundsloven, hvis rettig-

hedshaveren eller ejeren består af en eller flere fysiske eller

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

146

juridiske personer i forening, gælder stk. 1 for hver enkelt af

disse.

Det følger af § 17 a, stk. 3 i undergrundsloven, at klima-,

energi- og forsyningsministeren kan fastsætte nærmere reg-

ler om varetagelse af de opgaver, som er anført i stk. 1, her-

under om fremsendelse af oplysninger af relevans for dette

arbejde til ministeren, og nærmere regler om gennemførelse

af EU-regler.

Med bemyndigelsen er der tilvejebragt hjemmel til at fast-

sætte regler om bl.a. følgende forhold af betydning for sam-

fundets energiforsyning:

– Virksomhedernes beredskabsplanlægning. Det er hensig-

ten at fastsætte regler om den beredskabsplanlægning, som

skal foretages af virksomhederne. Denne beredskabsplan-

lægning omfatter især forhold om udarbejdelse af risiko-

og sårbarhedsvurderinger, udarbejdelse af beredskabsplaner,

afholdelse af øvelser om de væsentligste dele af beredskabs-

planerne, evaluering af hændelser af betydning for dette

beredskab samt medvirken i myndighedernes beredskab på

energiområdet.

– Virksomhedernes fremsendelse af oplysninger til myndig-

hederne. Det er hensigten at fastsætte regler herom, idet

sådanne oplysninger, primært om kritiske situationer samt

deres udvikling og håndtering, er centrale for myndigheder-

nes beredskab efter den nationale beredskabsplan. Tilsvaren-

de er det centralt, at virksomhederne på en effektiv måde

kan modtage oplysninger herom fra myndighederne.

– Identifikation af kritisk infrastruktur. Det er hensigten at

fastsætte regler herom, idet en central del af beredskabsar-

bejdet er identifikation af anlæg, rørledninger, kritiske syste-

mer og data m.v., som har kritisk betydning for samfundets

energiforsyning.

– Sikring af kritisk infrastruktur. Det er hensigten at fastsæt-

te regler om sikring af kritisk infrastruktur over for naturgiv-

ne og menneskabte hændelser som led i beredskabsarbejdet.

– Virksomhedernes arbejde om cyber- og informationssik-

kerhed. Det er hensigten at fastsætte regler om virksomhe-

dernes arbejde med beskyttelse af deres centrale aktiviteter

over for cybertrusler samt deres beskyttelse af kritiske infor-

mationer, både på digital form og på anden form.

Hjemlen anvendes også til gennemførelse af EU-regler om

beredskab af betydning for de nævnte forsyningsmæssige

forhold.

Reglerne i medfør af stk. 3 udarbejdes i samarbejde med

oliebranchen.

For en nærmere beskrivelse af gældende ret efter bestem-

melserne henvises til pkt. 3.2.1. i de almindelige bemærk-

ninger til lovforslaget.

Med lovforslaget foreslås § 17 a ophævet.

Undergrundslovens § 17 a, stk. 1, om at rettighedshavere

med tilladelse til efterforskning og indvinding af kulbrinter

eller tilladelse til etablering og drift af rørledningsanlæg

i forbindelse med indvinding af kulbrinter skal planlægge

med hensyn til opretholdelse og videreførelse af forsyningen

af kulbrinter til samfundet i tilfælde af krisesituationer, her-

under udarbejde beredskabsplaner og gennemføre nødvendi-

ge foranstaltninger til sikring af egne anlæg, rørledninger,

kritiske systemer og data m.v. og om, at dette gælder også

ejere af tilstødende olie- og naturgasrørledningsanlæg, sepa-

rationsfaciliteter og terminalanlæg for råolie, jf. § 1 i lov

om etablering og benyttelse af en rørledning til transport

af råolie og kondensat og §§ 3 a og 4 i lov om kontinental-

soklen og visse rørledningsanlæg på søterritoriet, samt at

rettighedshavere og ejere skal koordinere dette beredskab

med beredskab efter anden lovgivning, vil blive videreført i

lovforslagets § § 6, stk. 1, § 7, stk. 1 og § 8, stk. 1.

Undergrundslovens § 17 a, stk. 3 om, at klima-, energi-

og forsyningsministeren kan fastsætte nærmere regler om

varetagelse af de opgaver, som er anført i stk. 1, herunder

om fremsendelse af oplysninger af relevans for dette arbejde

til ministeren, og nærmere regler om gennemførelse af EU-

regler, vil blive videreført i lovforslagets § 4, § 5, § 6, stk. 2,

§ 7, stk. 2, § 8, stk. 2, § 34 og § 35, stk. 1.

Bestemmelsen foreslås ophævet af hensyn til, at det er vur-

deret mere hensigtsmæssigt at samle bestemmelserne om

beredskab i energisektoren i nærværende lovforslag, end at

der findes regler herom i de forskellige forsyningslove.

Ændringen vil således medføre, at hjemmelsgrundlaget for

beredskab i energisektoren fremadrettet vil være samlet i én

lov, hvilket vil give et samlet overblik over beredskabsregu-

leringen for de omfattede virksomheder, hvoraf en del er

multiforsyningsvirksomheder eller har aktiviteter i flere del-

sektorer. Ændringen vil dermed gøre det lettere for virksom-

hederne at navigere i den regulering, som de er underlagt

med hensyn til beredskab.

Til § 44

Det følger af § 2, stk. 2, at Energinet varetager en sammen-

hængende og helhedsorienteret planlægning efter reglerne i

denne lov, elforsyningsloven, VE-loven og gasforsyningslo-

ven og driver systemansvarlig virksomhed, eltransmissions-

virksomhed og gastransmissionsvirksomhed.

Energinets opgavevaretagelse på beredskabsområdet er nær-

mere fastlagt i elberedskabsbekendtgørelsen, naturgasbe-

redskabsbekendtgørelsen og it-beredskabsbekendtgørelsen,

hvorefter Energinet blandt andet varetager de overordnede,

koordinerende planlægningsmæssige og operative opgaver

vedrørende beredskabssituationerne i el- og gassektoren.

Det foreslås i

§ 20, stk. 1, 1. pkt.

at indsætte en henvisning

til lov om styrket beredskab i energisektoren.

Bestemmelsen foreslås ændret som konsekvens af, at be-

stemmelserne om beredskab i energisektoren samles i nær-

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

147

værende lovforslag, således at der ikke fremover findes reg-

ler herom i de forskellige forsyningslove.

Det forventes, at de gældende regler angående Energinets

opgavevaretagelse i medfør af beredskabsbekendtgørelserne

for elsektoren og naturgassektoren videreføres for el- og

gassektoren, dog med tilføjelse af brintsektoren såfremt der

måtte etableres et brinttransmissionssystem i Danmark, samt

tilføjelse af de nye aktører, der vil omfattes af beredskabs-

reguleringen i delsektorerne for el-, gas. Disse aktører er

hovedsageligt dikteret af NIS 2 og CER-direktivernes bilag

om disses anvendelsesområde.

Til § 45

Det foreslås i

§ 45,

at loven ikke skal gælde for Færøerne og

Grønland.

De hovedlove, der ændres i kapitel 15, gælder ikke for Fær-

øerne og Grønland, og kan ikke ved kongelig anordning

sættes i kraft for Færøerne og Grønland.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

148

Bilag 1

Lovforslaget sammenholdt med gældende lov

Gældende formulering

Lovforslaget

§ 39

I olieberedskabslov, jf. lov nr. 354 af 24. april 2012, fore-

tages følgende ændringer:

§ 16.

Lagringspligtige virksomheder skal foretage den

nødvendige planlægning og træffe de nødvendige foranstalt-

ninger for at sikre forsyningen af råolie og olieprodukter i

beredskabssituationer og andre ekstraordinære situationer.

Stk. 2.

Den centrale lagerenhed skal varetage de overord-

nede, koordinerende planlægningsmæssige og operative op-

gaver vedrørende det beredskab, der er anført i stk. 1.

Stk. 3.

Klima-, energi- og bygningsministeren kan fast-

sætte nærmere regler om virksomhedernes beredskabsplan-

lægning efter stk. 1 og den centrale lagerenheds overordne-

de, koordinerende planlægningsmæssige og operative bered-

skabsopgaver efter stk. 2.

§ 16

ophæves.

§ 40

I lov om elforsyning, jf. lovbekendtgørelse nr. 1248 af 24.

oktober 2023, foretages følgende ændringer:

§ 51 d.

Virksomheder med elproduktionsbevilling efter §

10, stk. 1, eller med tilladelse til elproduktion fra anlæg med

en kapacitet på over 25 MW efter § 29 i lov om fremme af

vedvarende energi eller § 11, netvirksomheder og virksom-

heder, der yder balancering af elsystemet, betaler halvårligt

et beløb til Klima-, Energi- og Forsyningsministeriet til dæk-

ning af omkostninger til tilsyn med virksomhederne efter

regler udstedt i medfør af § 85 b, stk. 4, og § 85 c, stk. 6.

Stk. 2.

Klima-, energi- og forsyningsministeren fastsætter

regler om størrelsen af beløb efter stk. 1, herunder om

fordelingen af omkostningerne på kategorier af virksomhe-

der. Klima-, energi- og forsyningsministeren kan fastsætte

nærmere regler om betaling og opkrævning af beløb efter

stk. 1.

Kapitel 12

Beredskab, fortrolighed, kontrol, oplysningspligt og påbud

§ 85 b.

Virksomheder, som er bevillingspligtige efter §§

10 og 19 eller har tilladelse til elproduktion fra anlæg med

en kapacitet på over 25 MW efter § 29 i lov om fremme af

vedvarende energi eller § 11, samt elforsyningsvirksomhed,

der varetages af Energinet eller denne virksomheds heleje-

de datterselskaber i medfør af § 2, stk. 2 og 3, i lov om

Energinet, skal foretage nødvendig planlægning og træffe

§ 51 d

ophæves.

Overskriften

til kapitel 12 affattes således:

»Kapitel 12

Fortrolighed, kontrol, oplysningspligt og påbud«

§§ 85 b og 85 c

ophæves.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

149

nødvendige foranstaltninger for at sikre elforsyningen i be-

redskabssituationer og andre ekstraordinære situationer.

Stk. 2.

Energinet skal varetage de overordnede, koordine-

rende planlægningsmæssige og operative opgaver vedrøren-

de det i stk. 1 nævnte beredskab.

Stk. 3.

Klima-, energi- og forsyningsministeren kan fast-

sætte regler om varetagelse af de i stk. 1 og 2 nævnte opga-

ver.

Stk. 4.

Klima-, energi- og forsyningsministeren kan fast-

sætte regler om udførelse af tilsyn med det beredskabsarbej-

de, der udføres efter stk. 1 og 2, herunder om virksomhe-

dernes fremsendelse af materiale som grundlag for tilsynet,

om tilsynets beføjelser i forhold til virksomhederne og om

klageadgang.

§ 85 c.

Virksomheder, som er bevillingspligtige efter §§

10 og 19 eller har tilladelse til elproduktion fra anlæg med

en kapacitet på over 25 MW efter § 29 i lov om fremme af

vedvarende energi eller § 11, Energinet og dennes helejede

datterselskaber samt virksomheder, der yder balancering af

elsystemet, skal opretholde et it-beredskab, herunder plan-

lægge og træffe nødvendige foranstaltninger for at sikre

beskyttelsen af kritiske it-systemer, der er af betydning for

elforsyningen.

Stk. 2.

Klima-, energi- og forsyningsministeren kan ved

manglende opfyldelse af et påbud efter § 85 d om at over-

holde stk. 1 påbyde virksomheder at foretage en it-revision

af kritiske systemer ved en uafhængig revisor godkendt af

tilsynsmyndigheden.

Stk. 3.

Klima-, energi- og forsyningsministeren kan påby-

de virksomheder at gennemføre tiltag, som på baggrund af

en it-revision, jf. stk. 2, skønnes nødvendige for at oprethol-

de et it-beredskab, jf. stk. 1.

Stk. 4.

Informationer, herunder vurderinger, planer og da-

ta, vedrørende sikkerhedsforhold for kritiske it-systemer i

virksomheder omfattet af stk. 1 er fortrolige, hvis oplysnin-

gerne er væsentlige af hensyn til driften af virksomheden

eller det sammenhængende elsystem.

Stk. 5.

Klima-, energi- og forsyningsministeren fastsætter

nærmere regler for it-beredskab, jf. stk. 1, herunder regler

1) organisering af virksomhedens it-beredskab og evne til at

modtage advarsler om trusler mod it-sikkerheden,

2) planlægning og beredskabsarbejde, som virksomhederne

skal udføre for at modvirke trusler mod it-sikkerheden,

herunder virksomhedernes pligt til at videregive oplys-

ninger til Energinet og relevante myndigheder,

3) virksomhedernes risikostyring, herunder inddragelse af

andre virksomheder i risikovurderinger,

4) tilmelding til en it-sikkerhedstjeneste, der yder varsler og

informationer om it-sikkerhedstrusler,

5) Energinets varetagelse af overordnede, koordinerende

planlægningsmæssige og operative opgaver vedrørende

it-beredskab, jf. stk. 1, og

6) krav til indholdet og planlægningen af en it-revision ved

en uafhængig revisor, jf. stk. 2.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

150

Stk. 6.

Klima-, energi- og forsyningsministeren fastsætter

regler for udførelse af tilsyn med virksomheders it-bered-

skab, jf. stk. 1.

§ 41

I lov om gasforsyning, jf. lovbekendtgørelse nr. 1100 af

16. august 2023 som bl.a. ændret ved § 2 i lov nr. 1787 af

28. december 2023 og senest ved § 2 i lov nr. 674 af 11. juni

2024, foretages følgende ændringer:

Beredskab

§ 15 a.

Selskaber, der er bevillingspligtige efter § 10, samt

Energinet og denne virksomheds helejede datterselskaber,

der varetager gasvirksomhed i medfør af § 2, stk. 2 og 3,

i lov om Energinet skal foretage nødvendig planlægning

og træffe de nødvendige foranstaltninger for at sikre gasfor-

syningen i beredskabssituationer og andre ekstraordinære

situationer. Klima-, energi- og forsyningsministeren kan be-

stemme, at opstrømsanlæg og bygasnet tilsvarende skal fore-

tage sådan planlægning og træffe sådanne foranstaltninger.

Stk. 2.

Energinet skal varetage de overordnede, koordine-

rende planlægningsmæssige og operative opgaver vedrøren-

de det i stk. 1 nævnte beredskab.

Stk. 3.

Klima-, energi- og forsyningsministeren kan fast-

sætte regler om varetagelse af de i stk. 1 og 2 nævnte opga-

ver, herunder om udveksling af nødvendige data i de i stk. 1

nævnte situationer og for at undgå sådanne situationer.

Stk. 4.

Klima-, energi- og forsyningsministeren kan fast-

sætte regler om udførelse af tilsyn med det beredskabsarbej-

de, der udføres efter stk. 1 og 2, herunder om selskabernes

fremsendelse af materiale som grundlag for tilsynet, om

tilsynets beføjelser i forhold til selskaberne og om klagead-

gang.

§ 15 b.

Selskaber, der er bevillingspligtige efter § 10, samt

Energinet og dennes helejede datterselskaber, der varetager

gasforsyningsvirksomhed i henhold til § 2, stk. 2 og 3, i

lov om Energinet, skal opretholde et it-beredskab, herunder

planlægge og træffe nødvendige foranstaltninger for at sik-

re beskyttelsen af kritiske it-systemer, der er af væsentlig

betydning for gasforsyningen.

Stk. 2.

Klima-, energi- og forsyningsministeren kan ved

manglende opfyldelse af et påbud efter § 47 b om at over-

holde stk. 1 påbyde virksomheder at foretage en it-revision

af kritiske it-systemer ved en uafhængig revisor godkendt af

tilsynsmyndigheden.

Stk. 3.

Klima-, energi- og forsyningsministeren kan påby-

de virksomheder at gennemføre tiltag, som på baggrund af

en it-revision, jf. stk. 2, skønnes nødvendige for at oprethol-

de et it-beredskab, jf. stk. 1.

Stk. 4.

Informationer, herunder vurderinger, planer og

data, vedrørende sikkerhedsforhold for forsyningskritiske it-

systemer i virksomheder, som er omfattet af stk. 1, er fortro-

lige, hvis oplysningerne er væsentlige af hensyn til driften af

virksomheden eller gassystemet.

Overskriften

før § 15 a ophæves.

§§ 15 a

15 b

ophæves.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

151

Stk. 5.

Klima-, energi- og forsyningsministeren fastsætter

nærmere regler for it-beredskab, jf. stk. 1, herunder regler

1) organisering af virksomhedens it-beredskab og evne til at

modtage advarsler om trusler mod it-sikkerheden,

2) planlægning og beredskabsarbejde, som virksomhederne

skal udføre for at modvirke trusler mod it-sikkerheden,

herunder virksomhedernes pligt til at videregive oplys-

ninger til Energinet og til klima-, energi- og forsynings-

ministeren,

3) virksomhedernes risikostyring, herunder inddragelse af

andre virksomheder i risikovurderinger,

4) tilmelding til en tjeneste, der yder varsler og informatio-

ner om it-sikkerhedstrusler,

5) Energinets varetagelse af overordnede, koordinerende

planlægningsmæssige og operative opgaver vedrørende

it-beredskabet, jf. stk. 1, og

6) krav til indholdet og planlægningen af en it-revision ved

en uafhængig revisor, jf. stk. 2.

Stk. 6.

Klima-, energi- og forsyningsministeren fastsætter

regler for udførelse af tilsyn med det beredskabsarbejde, der

udføres efter stk. 1.

§ 30 a.

---

Stk. 2-4.

---

Stk. 5.

Energinet og denne virksomheds helejede dattersel-

skaber i medfør af § 2, stk. 2 og 3, i lov om Energinet,

der driver lagervirksomhed, og selskaber, der driver distribu-

tionsvirksomhed efter bevilling, betaler halvårligt et beløb

til Klima-, Energi- og Forsyningsministeriet til dækning af

omkostninger til tilsyn med selskaberne efter regler udstedt i

medfør af § 15 a, stk. 4, og § 15 b, stk. 6.

Stk. 6.

Klima-, energi- og forsyningsministeren fastsætter

størrelsen af beløbet efter stk. 5, herunder fordelingen af

omkostningerne på kategorier af selskaber.

Stk. 7.

Klima-, energi- og forsyningsministeren kan fast-

sætte regler om betaling og opkrævning af beløb til dækning

af omkostningerne efter stk. 1, 2, 5 og 6.

§ 30 a, stk. 5 og 6,

ophæves

stk. 7 bliver herefter stk. 5.

§ 30 a, stk. 7,

der bliver stk. 5, ændres »stk. 1, 2, 5 og

6.« til: »stk. 1 og 2.«

§ 42

I lov om varmeforsyning, jf. lovbekendtgørelse nr. 124 af

2. februar 2024, som ændret ved § 4 i lov nr. 673 af 11. juni

2024, (L77) og (L78), foretages følgende ændringer:

§ 20.

Kollektive varmeforsyningsanlæg, industrivirksom-

heder, kraftvarmeanlæg med en eleffekt over 25 MW samt

geotermiske anlæg m.v. kan i priserne for levering til det

indenlandske marked af opvarmet vand, damp eller gas

bortset fra naturgas med det formål at levere energi til

bygningers opvarmning og forsyning med varmt vand ind-

regne nødvendige udgifter til energi, lønninger og andre

driftsomkostninger, efterforskning, administration og salg,

omkostninger som følge af pålagte offentlige forpligtelser,

herunder omkostninger til energispareaktiviteter efter §§ 28

a, 28 b og 29, samt finansieringsudgifter ved fremmedkapi-

tal, herunder ved et statsfinansieret lån, og underskud fra

§ 20, stk. 1, 1. pkt.,

indsættes efter »§§ 28 a, 28 b og

29«: »og omkostninger til beredskab efter lov om styrket

beredskab i energisektoren«.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

152

tidligere perioder opstået i forbindelse med etablering og

væsentlig udbygning af forsyningssystemerne, jf. dog stk.

7-19 og §§ 20 b, 20 c og 20 e. 1. pkt. finder tilsvarende

anvendelse på levering af opvarmet vand til andre formål

fra et centralt kraft-varme-anlæg, jf. § 10, stk. 6, i lov om

elforsyning. 1. pkt. finder ikke anvendelse på virksomheder,

der leverer overskudsvarme, hvor anlægget, der udnytter og

leverer overskudsvarme, har en kapacitet på under 0,25 MW.

Skt. 2-19.

---

§ 29 a.

Virksomheder, som driver anlæg til produktion og

fremføring af bygas, skal foretage nødvendig planlægning

og træffe de nødvendige foranstaltninger for at sikre bygas-

forsyningen i beredskabssituationer og andre ekstraordinære

situationer.

Stk. 2.

Klima-, energi- og forsyningsministeren kan fast-

sætte regler om varetagelse af de i stk. 1 nævnte opgaver

samt om varetagelse af de overordnede, koordinerende plan-

lægningsmæssige og operative opgaver vedrørende bered-

skabet.

§ 29 a

ophæves.

§ 43

I lov om anvendelse af Danmarks undergrund, jf. lovbe-

kendtgørelse nr. 1461 af 29. november 2023, som senest

ændret ved § 34 i lov nr. 612 af 11. juni 2024, foretages

følgende ændring:

§ 17 a.

Rettighedshavere med tilladelse til efterforskning

og indvinding af kulbrinter eller tilladelse til etablering og

drift af rørledningsanlæg i forbindelse med indvinding af

kulbrinter skal planlægge med hensyn til opretholdelse og

videreførelse af forsyningen af kulbrinter til samfundet i

tilfælde af krisesituationer, herunder udarbejde beredskabs-

planer og gennemføre nødvendige foranstaltninger til sikring

af egne anlæg, rørledninger, kritiske systemer og data m.v.

Dette gælder også ejere af tilstødende olie- og naturgasrør-

ledningsanlæg, separationsfaciliteter og terminalanlæg for

råolie, jf. § 1 i lov om etablering og benyttelse af en rør-

ledning til transport af råolie og kondensat og §§ 3 a og

4 i lov om kontinentalsoklen og visse rørledningsanlæg på

søterritoriet. Rettighedshavere og ejere skal koordinere dette

beredskab med beredskab efter anden lovgivning.

Stk. 2.

Hvis rettighedshaveren eller ejeren består af en

eller flere fysiske eller juridiske personer i forening, gælder

stk. 1 for hver enkelt af disse.

Stk. 3.

Klima-, energi- og forsyningsministeren kan fast-

sætte nærmere regler om varetagelse af de opgaver, som er

anført i stk. 1, herunder om fremsendelse af oplysninger af

relevans for dette arbejde til ministeren, og nærmere regler

om gennemførelse af EU-regler.

§ 17 a

ophæves.

§ 44

I lov om Energinet jf. lovbekendtgørelse nr. 271 af 9.

marts 2023, som bl.a. ændret ved § 35 i lov nr. 612 af 11.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

153

juni 2024 og senest ved § 6 i lov nr. 673 af 11 juni 2024,

foretages følgende ændring:

§ 2.

---

Stk. 1.

---

Stk. 2.

Energinet varetager en sammenhængende og hel-

hedsorienteret planlægning efter reglerne i denne lov, lov om

elforsyning, lov om fremme af vedvarende energi og lov om

gasforsyning og driver systemansvarlig virksomhed, eltrans-

missionsvirksomhed og gastransmissionsvirksomhed. End-

videre varetager Energinet administrative opgaver vedrøren-

de miljøvenlig elektricitet i medfør af lov om elforsyning,

administrative opgaver vedrørende gas fra vedvarende ener-

gikilder i medfør af lov om gasforsyning, administrative

opgaver vedrørende miljøvenlig elektricitet i medfør af lov

om fremme af vedvarende energi og administrative opgaver

i medfør af lov om pilotudbud af pristillæg for elektricitet

fremstillet på solcelleanlæg. Energinet kan endvidere vareta-

ge gasdistributions-, gaslager- og gasopstrømsrørlednings-

og gasopstrømsanlægsvirksomhed. Endvidere kan Energinet

varetage opgaver vedrørende CO

-transportnet og CO

-lag-

ringslokaliteter. Energinet kan tillige efter pålæg fra klima-,

energi- og forsyningsministeren varetage opgaver vedrøren-

de forundersøgelser og koblingsanlæg. Endelig kan Energi-

net varetage olierørledningsvirksomhed og dertil knyttet se-

parationsvirksomhed.

Stk. 3-6.

---

§ 2, stk. 2, 1. pkt.,

indsættes efter »reglerne i denne lov«:

»lov om styrket beredskab i energisektoren«.