L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Klima-, Energi- og Forsyningsudvalget 2024-25
L 111 Bilag 1
Offentligt

Energistyrelsen

Carsten Niebuhrs Gade 43

1577 København V

Energistyrelsens journalnummer 2023 - 6652

Sendt pr. e-mail til:

[email protected]

med kopi til

[email protected]

al-

[email protected].

Better Energy A/S

Gammel Kongevej 60, 14th

1850 Frederiksberg C

Denmark

Cvr.nr. 3695676

+45 71 99 02 03

[email protected]

www.betterenergy.com

04.07.2024

Høringssvar til forslag til lov om styrket beredskab i ener-

gisektoren

Better Energy takker for muligheden for at afgive høringssvar til lovforslag om styrket

beredskab i energisektoren.

Better Energy bakker op om at der kommer øget fokus på at styrke energisektorens

beredskab med henblik på at forebygge og modstå hændelser, som truer energifor-

syningen. Vi vil gerne rose det grundige arbejde med nærværende lovforslag. Vi vil

ligeledes gerne takke Energistyrelsen for at sikre en god aktørinddragelse, som sik-

rer, at aktører er klædt godt på til at give deres input til nærværende lovforslag. Ne-

denfor gennemgår vi vores bemærkninger til lovforslaget.

Savner klare rammer for koncernforbundne virksomheder

Med lovforslaget udvides anvendelsesområdet for beredskabsbestemmelserne til

flere virksomhedstyper inden for energisektoren.

Der tages dog ikke stilling til, hvordan man skal sikre overholdelse af reglerne i en

koncernforbundet virksomhed. Mange energivirksomheder varetager flere af de ak-

tiviteter, som er omfattet af lovforslagets anvendelsesområde. Herunder varetager

Better Energy på koncernniveau både elproduktion, elhandel, energilagring og

operation af ladestandere. De respektive aktiviteter varetages i forskellige selska-

ber, som alle ultimativt er ejet af Better Energy Holding A/S.

Energistyrelsen bedes præcisere, om lovforslaget skal forstås således, at det kun

er de selskaber, som ejer de respektive aktiviteter, der er omfattet af lovforslaget,

og at lovforslaget ikke angår andre selskabers aktiviteter eller medarbejdere i

samme koncern. Endvidere bedes Energistyrelsen bekræfte i høringsnotatet, at

der fortsat er mulighed for at en virksomhed, som er omfattet af anvendelsesområ-

det, kan overdrage ansvaret for overholdelse af beredskabskravene til et andet sel-

skab inden for samme koncern ved en privatretlig aftale.

Desuden opfordrer vi til, at bekendtgørelser med nærmere udpegning af omfattede

virksomheder offentliggøres hurtigst muligt med henblik på, at vi som virksomhed

kan igangsætte vores indsats for at efterkomme kravene.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Derudover bør der gives en rimelig frist til at implementere kravene i virksomhe-

derne efter kundgørelse af bekendtgørelserne. Der er fortsat stor usikkerhed om

anvendelsesområdet for lovgivningen. Overholdelse af de nye regler vil for mange

virksomheder indebære ændringer, som tager tid at implementere. Derfor kan det

ikke forventes, at virksomhederne kan efterleve reglerne med kort varsel.

Krav begrænset til kritiske områder

Better Energy er opmærksom på, at virksomheder skal risikovurdere og iværksætte

nødvendige tiltag. Dertil er vores forståelse, at de fastsatte krav ikke vil gælde for

hele virksomheden eller alle dele af anlæg, men alene de dele, som er kritiske for

leveringen af virksomhedens ydelse/tjeneste. Dette kan dog med fordel præcise-

res.

Eksempelvis fremgår det af de specielle bemærkninger til § 7, stk. 2, nr. 3, s 157,

at ”Bestemmelsen

vil medføre, at den fysiske sikring skal etableres uanset, om der

er tale om anlæg, der allerede er i drift eller anlæg, som er projekterede eller under

etablering. Her forstås fysisk sikring som perimeter-, skal- og cellesikring. Det vil

sige, at der skal være sikring af den ydre grænse rundt om anlægget, sikring af an-

lægget, herunder anlæggets bygninger og ydre mure og sikring af udvalgte rum el-

ler komponenter.”

Disse bemærkninger kan læses således, at der skal være en fy-

sisk sikring af hele anlægget, inklusive solcellemodulerne, og at denne sikring skal

iagttages allerede på tidspunktet for etableringen af anlægget.

Det anbefales generelt at tydeliggøre i bemærkningerne, at kravene alene gælder

for de dele af virksomheden, som er kritisk for leveringen af virksomhedens

ydelse/tjeneste. Vi anbefaler ligeledes, at dette vil fremgå tydeligt i de kommende

bekendtgørelser. Dette kunne eksempelvis fremgå af formålsbestemmelsen.

Baggrundstjek

Efter den foreslåede bestemmelse i § 16 i lovforslaget, kan klima-, energi- og forsy-

ningsministeren fastsætte nærmere regler om sikkerhedsgodkendelser og bag-

grundskontrol. Lovforslagets specielle bemærkninger til denne bestemmelse frem-

hæver, at reglerne implementerer CER-direktivet. Better Energy vil gerne opfordre

til, at bemærkningerne også referer til NIS2-direktivet. Når reglerne, som imple-

menterer CER-direktivet, ikke finder anvendelse på en pågældende virksomhed,

bør der fortsat være adgang til at foretage baggrundskontrol af en relevant medar-

bejder, når pågældende virksomhed er omfattet af regler, som implementerer

NIS2-direktivet. På den måde kan den fornødne sikkerhed i virksomheden sikres i

tråd med reglerne.

Ved de kommende bekendtgørelser anbefales det, at der fastsættes en udtrykkelig

hjemmel til, at virksomheder kan foretage baggrundskontrol af medarbejdere samt

jobansøgere, som potentielt vil blive ansat i virksomheden. En klar hjemmel sikrer

ligeledes, at reglerne om databeskyttelse ikke bliver en barriere herfor.

Ledelsesansvar

Det fremgår af § 23, stk. 1, at såfremt håndhævelsesforanstaltningerne pålagt i

medfør af § 21, nr. 1-4 og § 22, stk. 1 og stk. 2, har vist sig at være utilstrækkelige,

kan klima-, energi- og forsyningsministeren fastsætte en frist, inden for hvilken virk-

somheden skal foretage de nødvendige tiltag for at afhjælpe manglerne eller op-

fylde myndighedernes krav. Er tiltagene ikke foretaget inden for den fastsatte frist,

kan klima-, energi- og forsyningsministeren træffe afgørelse om en midlertidig

Better Energy A/S

Gammel Kongevej 60, 14th

1850 Frederiksberg C

Denmark

Cvr.nr. 3695676

+45 71 99 02 03

[email protected]

www.betterenergy.com

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

suspendering af en certificering eller godkendelse af virksomhedens tjenester eller

aktiviteter, jf. nr. 1. Derudover kan der træffes afgørelse om at forbyde enhver fy-

sisk person med ledelsesansvar på niveau med administrerende direktør eller den

juridiske repræsentant hos virksomheden at udøve ledelsesfunktioner i den pågæl-

dende virksomhed, jf. nr. 2.

Det fremgår af de specielle bemærkninger til bestemmelsen, side 225, at

”I det om-

fang en virksomhed eller organisation ikke har en administrerende direktør, vil be-

stemmelsen omfatte den øverste leder af den pågældende væsentlige enhed,

f.eks. en generalsekretær, direktør, koncernchef eller managing partner.”

Vi er opmærksomme på, at bestemmelsen er en tekstnær direktiv-implementering

af NIS2-direktivets artikel 32, stk. 5. Det anbefales dog præciseret yderligere i tråd

med direktivets rammer, hvilke fysiske personer, som vil kunne drages til ansvar.

Det fremgår af direktivets artikel 32, stk. 6, at ”medlemsstaterne

sikrer, at enhver

fysisk person, der er ansvarlig for eller optræder som juridisk repræsentant for en

væsentlig enhed på grundlag af beføjelsen til at repræsentere den, beføjelsen til at

træffe afgørelser på dennes vegne eller beføjelsen til at udøve kontrol over den,

har beføjelse til at sikre, at den overholder dette direktiv. Medlemsstaterne sikrer, at

det er muligt at drage sådanne fysiske personer til ansvar for tilsidesættelse af de-

res forpligtelser til at sikre overholdelse af dette direktiv.”

Better Energy anbefaler

at det præciseres i bemærkningerne, at bestemmelsen skal forstås i tråd med arti-

kel 32, stk. 6.

Det fremgår endvidere af direktivets præambelbetragtning nr. 133, at:

”I

betragtning af deres alvor og indvirkning på enhedernes aktiviteter og i sidste

ende på brugerne bør sådanne midlertidige suspensioner eller forbud kun anven-

des

proportionalt

med overtrædelsens alvor og under hensyntagen til omstændig-

hederne i hver enkelttilfælde, herunder i lyset af, om overtrædelsen var

forsætlig

eller uagtsom,

og ethvert tiltag, der er iværksat til at

forebygge eller afbøde

den

materielle eller immaterielle skade.”

I lyset af ovenstående præambelbetragtning er Better Energys forståelse endvi-

dere, at den øverste ansvarlige leder i pågældende virksomhed kan drages til an-

svar, når der er tale om en forsætlig handling. Med andre ord, skal den øverste le-

der, som har de øverste instruktionsbeføjelser, modsætte sig eller hindre en

efterlevelse af de nationalt fastsatte krav, førend denne leder kan forbydes midlerti-

digt at udøve ledelsesfunktioner. Kan Energistyrelsen bekræfte denne forståelse?

Better Energy A/S

Gammel Kongevej 60, 14th

1850 Frederiksberg C

Denmark

Cvr.nr. 3695676

+45 71 99 02 03

[email protected]

www.betterenergy.com

Vi står naturligvis til rådighed for uddybning af ovenstående.

Med venlig hilsen

Evelyn Kozak

Legal Counsel

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Energistyrelsen

Carsten Niebuhrs Gade 43

1577 København V

Att.: [email protected];[email protected]; [email protected].

Biogas Danmark

Axeltorv 3

1609 København V

10. juli 2024

Høring over forslag til lov om Lov om styrket beredskab i energisektoren

Energistyrelsen har den 12. juni 2024 udsendt ovennævnte høring vedrørende styrket beredskab i energisektoren,

J. nr. 2023-6652.

Generelle bemærkninger

Biogas Danmark finder det yderst bekymrende, at så mange biogasanlæg, som reelt ikke har betydning for forsy-

ningssikkerheden med gas, bliver omfattet af de mange meget omfattende administrative byrder, der følger af

implementeringen af NIS2 og CER direktiverne.

Biogas Danmark anbefaler, at indsatsen koncentreres der, hvor den egentlige risiko for forsyningssvigt er. I stedet

for at pålægge de mange anlæg, staten og samfundsøkonomien store administrative byrder for noget der reelt er

uden betydning for forsyningssikkeheden.

Forsyningssikkerheden i gassektoren er koncentreret om gaslagrene, der dækker 90 pct. af forsyningen i de kolde

måneder og hertil, at transmissions- og distributionssystemet holdes kørende. Udfald af en række biogasanlæg af

en uges varighed en gang i mellem flytter ikke på fyldningsgraden af gaslagrene.

Derimod kan biogasanlæggene ikke levere den producerede biogas, hvis ikke både distributionsnettet og trans-

missionsnettet er kørende. Der er ikke nødstrømsforsyning til Evida´s anlæg, som åbner og lukker for gassen ude

ved de enkelte biogasanlæg, og ligesom der ikke er nødstrømsanlæg ved de mange kompressoranlæg, der ligele-

des er nødvendige for at få gassen tilført til distributionsnettet.

Specifikke bemærkninger

Virksomheder og anlæg omfattet af loven.

I §2 angives først, at det er biogasanlæg og virksomheder, der leverer mere end 26 mio. Nm

gas, der er omfattet

af loven. Men i i §2 stk 3. fastlægges det, at også virksomheder, der beskæftiger mere end 50 ansatte er omfattet

plus uafhængig af dette krav, hvis de har en balance OG en omsætning der overstiger 10 mio. EUR.

En meget stor del af beskæftigelsen i biogasbranchen består af lastbiler, der kører biomasse til og fra biogasan-

læggene. Nogle biogasanlæg har outsourcet denne aktivitet, og holder sig fint under denne tærskel, mens andre,

der har ansat chaufførerne, kan blive ramt.

Biogas Danmark skal derfor anbefale, at kravet ændres til ansatte, der har adgang til anlæggenes IT-systemer og

kontrolrum. Her må det så være op til virksomhederne at dokumentere dette for de enkelte ansatte.

Side 1 af 3

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Størstedelen af de danske biogasanlæg har en balance, der er over 10 mio. EUR. og en god del af dem har også en

omsætning, der overstiger 10 mio. EUR (det svarer til en årsproduktion på 10 mio. Nm

), hvilket ligger markant

under kravet om en årsproduktion på 26 mio. Nm3.

Biogas Danmark skal derfor kraftigt opfordre til, at Energistyrelsen arbejder for at få reduceret de administrative

byrder for såvel Energistyrelsen, som de anlæg der leverer mindre end tærskelværdien på 26 mio. Nm

pr. år, samt

at denne tærskelværdi ikke gælder i tilfælde, hvor flere anlæg under samme ejerskab, hvis anlæggenes IT-syste-

mer er adskilte.

For CER direktivets krav om fysisk sikkerhed giver det heller ingen mening at stille de mange krav til biogasanlæg

der jo er fysisk adskilte blot fordi de har et fælles ejerskab.

Det skal i den forbindelse påpeges, at rigtig mange af de mindre og mellemstore biogasanlæg er placeret i tilknyt-

ning til landbrug, der har såvel husdyrproduktion som planteavl og derfor dækker et stort areal med mange tilkør-

selsforhold til veje og marker, hvor det vil være meget omfattende med indhegning, adgangskontrol og kamera-

overvågning. Sådanne krav er ude af proportioner med anlæggenes betydning for forsyningssikkerheden.

Endvidere savnes en præcisering af, at omsætnings- og omsætningskravene alene gælder for den gasproduce-

rende virksomhed, og ikke for ejere, der ejer 50 pct. eller mere af en biogasvirksomhed, som traditionel SMV-for-

tolkning angiver.

Opdeling på niveauer

Implementeringen opdeler virksomhederne i niveauer efter, hvor forsyningskritiske de er, hvor niveau 1 har den

laveste kritikalitet og niveau 5 den højeste. Virksomheder, der leverer mere end 26 mio. Nm

gas om året er place-

ret i niveau 2 eller højere, hvis større leverance.

Som det fremgår ovenfor, er der med virksomhedskriterierne for omsætning og balance risiko for, at en række

mindre biogasanlæg bliver omfattet selv om de er uden betydning for forsyningssikkerheden.

Biogas Danmark hilser derfor de mange bemærkninger i og til lovforslaget om at differentiere kravene mellem de

forskellige niveauer som virksomhederne inddeles i særdeles velkomment.

F.eks. følgende der er citater:

Citat 1:

På baggrund af det ovenstående, forventes det, at den foreslåede bestemmelse vil blive anvendt til at fastsætte diffe-

rentierede regler om tilsyn. Det forventes, at der vil blive fastsat regler, hvorefter virksomheder inddeles i forskellige

kategorier eller niveauer, som fastsættes ud fra både objektive og skønsmæssige kriterier om virksomhedens kritikali-

tet. Omfanget, udførelsen og hyppigheden af tilsyn hos virksomheder forventes at blive baseret på denne niveauindde-

ling

Citat 2:

Dette vil være virksomheder i de laveste niveauer og net- og informationssystemer i de laveste klasser. Dette sikrer, at

der kan fastsættes regler om, at visse virksomheder skal efterleve simplere beredskabs krav, end hvad der fremgår af

Side 2 af 3

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

direktiverne. Det bemærkes, at virksomheder som placeres i de lave kategorier ikke vil skulle indmeldes til kommissio-

nen efter NIS 2-direktiets artikel 3, stk. 4 og CER-direktivets artikel 6, stk. 3.

Citat 3:

Det vurderes hensigtsmæssigt at videreføre inddelingen, som sikrer et differentieret reguleringstryk. Af pædagogiske

årsager videreføres klassificeringen af anlæg, mens der fremover vil ske niveauinddeling af virksomheder, som erstat-

ter den gældende kategorisering. Reglerne forventes udformet således, at antallet af niveauer og klasser kan udvides, i

det omfang udviklingen af energisektoren kræver det.

Biogas Danmark finder det derfor det ikke er i overensstemmelse med hensigten og stærkt uheldigt, når der i lov-

forslaget lægges op til, at alle tilsynsforanstaltninger skal gælde alle - uanset niveau og dermed kritikalitet, som

det fremgår at dette Citat:

Der skelnes i NIS 2-direktiver mellem vigtige og væsentlige enheder i forhold til, hvilke tilsynsforanstaltninger

der skal kunne anvendes. Det er dog ministeriet vurdering, at alle tilsynsforanstaltninger som udgangspunkt

skal kunne anvendes overfor alle virksomheder uagtet virksomhedens niveau, for at sikre en robust energisek-

tor. I dag føres der tilsyn, med henblik på at skabe værdi i sektoren, for at højne det fælles sikkerhedsniveau i

energisektoren. Denne værdiskabende tilgang til tilsynet skal være grundstenen i den måde de forskellige til-

synsforanstaltninger skal anvendes.

Biogas Danmark anbefaler, at de virksomheder, der eventuelt bliver omfattet, men som leverer under 26 mio. Nm

gas om året placeres i et niveau 1, hvor der så skal gælde lempeligere krav til såvel fysisk sikkerbed som de mange

administrative byrder med at lave ROS analyser og beredskabsplaner.

Afsluttende bemærkninger

Biogas Danmark står naturligvis til rådighed for en uddybning og forbeholder sig muligheden for at fremsende

yderligere bemærkninger.

Med venlig hilsen

Bruno Sander Nielsen

2724 5967

[email protected]

Side 3 af 3

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

10. juli 2024

Journalnummer: HØJ-11.1.73

Høringssvar vedr. forslag til

Lov om styrket beredskab i energisektoren

Brancheforeningen Cirkulær takker for muligheden for at kommentere på

ovennævnte lovforslag, hvor vi bakker op om et styrket beredskab i energisektoren.

Vi er desuden meget enige i, at krav til beredskab opdeles i niveauer alt efter hvor

kritiske virksomhederne er for den danske energiforsyning.

Brancheforeningen Cirkulær har kommunale affaldsvirksomheder som medlemmer,

herunder affaldsforbrændingsanlæg, som leverer en stor del af fjernvarmen i

Danmark og en mindre del af elektriciteten. Vores høringssvar tager konkret

udgangspunkt disse anlægs særlige forhold, mens vi i øvrigt henviser til høringssvar

fra Dansk Fjernvarme omkring beredskab generelt for fjernvarmeforsyning.

Udover beredskabet for levering af energi, så har affaldsforbrændingsanlæggene

også ansvar for at kunne modtage og forbrænde ikke genanvendeligt affald på

daglig basis. Samtidig er affald netop af en karakter, som indebærer relativ høj risiko

for nedbrud pga. fejlsorterede produkter. Derfor har anlæggene i forvejen stor fokus

på sikkerhed mod og håndtering af nedbrud.

I fht beredskabet for fysisk sikkerhed vil det derfor være hensigtsmæssigt at

samtænke de kommende krav til planer, sikkerhed og beredskab med de

sikkerhedsprocedurer, som allerede findes på affaldsforbrændingsanlæggene.

Vi bidrager gerne med erfaringer på dette område, når loven udmøntes i de mere

konkrete krav i bekendtgørelser.

Mvh

Hanne Johnsen

Brancheforeningen Cirkulær

Tlf. 23472678

Email: hjo@cirkulær.dk

Brancheforeningen Cirkulær

Vester Farimagsgade 1, 5. sal

DK-1606 København V

+ 45 72 31 20 70

[email protected]

cirkulaer.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

DBI Høringssvar til forslag om styrket beredskab i energisektoren

Beredskab

Krisehåndtering:

Der er behov for en klar definition af krisehåndtering og eskalationsniveauer, som angiver, hvornår vi går fra

dagligt beredskab til krisesituationer. Det mangler en afsnit om, hvordan man forholder sig til amplituden af

krisesituationer. Se evt. op- og nedskalering i HOB.

Identificering af kritiske kunder:

Det er essentielt at identificere kritiske kunder inden for forsyningsområderne, såsom sygehuse og andre

vitale institutioner. Evt. udpegelse af kritisk infrastruktur iht. CER-direktivet som bilag til lovgivningen.

Kommunikation:

Der er behov for mere hjælp og vejledning til både ekstern og intern beredskabs- og krisekommunikation,

på både strategisk, taktisk og operationelt niveau til myndigheder, kunder og leverandører.

Beredskabsplanlægning som helhed:

Beredskabsplanlægningen bør betragtes som en helhed, der omfatter både it-beredskab og ordinært

beredskab.

Vi forstår ikke kravet om, at den it-beredskabsansvarlige og koordinatoren for det ordinære beredskab ikke

må være den samme person. Dette kan være næsten umuligt at overholde for mindre selskaber.

Vi foreslår, at mindre selskaber får mulighed for at kombinere disse roller ved at fastholde

beredskabskoordineringen for hele selskabet i én rolle (beredskabskoordinator).

BIA på kritiske services:

Det anbefales at gennemføre Business Impact Analysis (BIA) på kritiske services for at forstå og minimere

potentielle konsekvenser af hændelser. BIA er et vigtigt værktøj, der generelt fylder for lidt i den nuværende

beredskabsplanlægning. Ved at foretage en grundig BIA kan virksomhederne identificere de kritiske

processer og ressourcer, der er nødvendige for at opretholde driften under og efter en krise. Dette vil sikre,

at der er en klar forståelse af, hvilke områder der skal prioriteres, og hvilke afbødende foranstaltninger der

skal implementeres for at minimere forstyrrelser.

Brug af ROS-data til øvelsesplanlægning

Data fra ROS-analyserne skal bruges til at planlægge øvelser, så de dækker de mest kritiske områder og

risici.

•

Integration af ROS-data i øvelser:

Brug data fra ROS-analyserne direkte til at udvikle øvelser, der

adresserer de identificerede risici og sårbarheder.

Evaluering og justering:

Efter hver øvelse skal der udarbejdes en evaluering for at identificere

styrker og svagheder. Resultaterne fra evalueringen skal bruges til at justere både ROS-analyserne

og fremtidige øvelser.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

•

Uddannelse:

Øvelsernes kompleksitet skal øges i takt med, at beredskabsteamet får mere erfaring.

Nye medarbejdere har behov for et struktureret uddannelsesforløb, som sikrer, at de hurtigt

kommer op på niveau med de erfarne medarbejdere.

Fysisk sikring

Helt overordnet mener vi, at lovforslaget ikke tager tilstrækkeligt udgangspunkt i de etablerede danske

sikringsstandarder. Der er allerede udført omfattende og grundigt arbejde på dette område nationalt,

og det virker som et skridt tilbage at definere alle aspekter af fysisk sikring udelukkende fra et EU-

perspektiv. Vi anbefaler derfor, at der i højere grad tages udgangspunkt i de etablerede termer og

retningslinjer fra Forsikring & Pension (F&P). Dette vil gøre det betydeligt nemmere for installatører og

fagfolk i sikringsbranchen at forstå og anvende reglerne korrekt og effektivt. Ved at bruge velkendte

fagtermer og standarder kan vi sikre en smidig implementering og bedre overholdelse af

sikkerhedskravene.

Krav til sikringsplan for faciliteter

Vi anbefaler, at der i loven indarbejdes krav til en detaljeret sikringsplan for sikring af faciliteter.

Inspiration kan hentes fra F&P’s sikringsguiden.dk. En sikringsplan bør omfatte følgende elementer:

•

En detaljeret oversigt over de implementerede sikringsforanstaltninger.

Procedurer for håndtering af alarmer, herunder instruktioner til vagtpersonale.

Specifikation af krav til detektionsudstyr og deres funktionalitet.

Standarder for de anvendte sikringsudstyr.

Sikring af, at alle systemer og it-infrastruktur er tilstrækkeligt overvåget.

Dokumentation for korrekt installation af sikringsudstyr.

Retningslinjer for regelmæssig vedligeholdelse af sikringsudstyr.

Krav til adgangskontrolsystemer, både elektroniske og mekaniske.

Krav til service og genetablering ved fejl/skade

Fysisk sikring i lag

Her forstås fysisk sikring som perimeter-, skal- og cellesikring. Dette omfatter:

•

Perimetersikring:

Sikring af den ydre grænse rundt om anlægget.

Skalsikring:

Sikring af anlæggets bygninger og ydre mure.

Cellesikring:

Sikring af udvalgte rum eller komponenter.

Vi foreslår, at der også inkluderes beskrivelser af sikringszoner og objekter for at skabe en

helhedsorienteret tilgang til sikring i lag.

Adgangsveje og fagtermer

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Der mangler en beskrivelse af adgangsveje til og fra site/lokation, såsom porte, bomme og

fodgængere. Vi anbefaler at anvende samme fagtermer som F&P, da disse er genkendelige for

installatørerne og allerede er en del af det eksisterende regime. Dette inkluderer:

•

Differentiering mellem mekanisk sikring og elektronisk overvågning.

Brug af termer som pir (passiv infrarød detektor), sikringsplan, og forholdsordre til vagt.

Krav om verificerede alarmer til politiet.

Fokus på service, drift og vedligehold.

Kontakt til godkendte kontrolcentraler.

Detektering og overvågning

Der bør præciseres, hvad der menes med detektering. Er der tale om overvågning af genstande eller

detektering af personer på området?

Overordnede rammer

Vi foreslår, at loven peger mod en overordnet ramme, der inkluderer:

•

Autoriserede vagter.

Certificerede installatører.

Politi-godkendte kontrolcentraler.

Afskrækkelse og forsinkelse

Fysisk sikring af anlæg bør ikke kun medvirke til at forsinke eller besværliggøre hændelser, men også

inkludere elementer af afskrækkelse og forsinkelse for at forbedre den samlede sikkerhed.

Mvh.

Dansk Brand- og sikringsteknisk Institut

Jernholmen 12, 2650 Hvidovre

Andreas Norstedt

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Side

Energistyrelsen - Center for Beredskab

Via e-mail:

[email protected]

(cc:

[email protected]

[email protected])

Journalnummer 2023 - 6652

Dok. ansvarlig: JDP

Sekretær: KMA

Sagsnr: 2024

–

710

Doknr: Høringssvar 2023-6652

10-07-2024

Høringssvar: Forslag til Lov om styrket beredskab i energisektoren

Energistyrelsen (herefter ENS) har fremsendt høringsudkast til forslag til Lov

om styrket beredskab i energisektoren, og Dansk e-Mobilitet takker for mu-

ligheden for at afgive høringssvar.

Dansk e-Mobilitet er brancheforening for en stor del af ladeoperatørerne i

Danmark, og vi hilser det velkomment, at branchen er omfattet af det styr-

ket beredskab i energisektoren. Antallet af rene elbiler i Danmark har netop

rundet 260.000, og tallet er stærkt stigende. Derfor er der behov for øget fo-

kus på sikkerhed og beredskab i forbindelse med opladningen af elbilerne

og på fælles retningslinjer for branchen.

Vores høringssvar består dels af overordnede bemærkninger til forslaget, og

dels af en række specifikke bemærkninger rettet mod konkrete afsnit og for-

muleringer i teksten. Vores bemærkninger er nummereret, men nummere-

ringen er ikke udtryk for en prioritering af bemærkningerne.

Vi henviser desuden til høringssvaret fra Green Power Denmark, som vi til

fulde kan tilslutte os.

Overordnede bemærkninger

I daglig tale er betegnelsen

for en ”operatør af ladestationer” en ”lade-

operatør”, og sidstnævnte anvendes i dette høringssvar.

Dansk e-Mobilitet medvirker meget gerne til en øget opmærksomhed

på fælles løsninger og fokus på udfordringerne omkring cybersikker-

hed, og vi opfodrer til, at der også i loven lægges meget stor vægt for

forebyggelse og rådgivning om både emnet generelt og konkrete til-

tag til håndtering af udfordringerne. VI tager udgangspunkt i, at lade-

operatører er omfattet af lovforslaget, men dette fremgår ikke direkte,

hverken af lovtekstens ordlyd eller af lovbemærkninger. Det bør derfor

præciseres, at ladeoperatører, der forvalter, drifter og leverer

Dansk e-Mobilitet - en del af Green Power Denmark

Langebrogade 3H, 1411 København K, +45 35 300 400. www.danskemobilitet.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Side

ladetjenester til slutbrugere er omfattet af bestemmelsen, og ligele-

des at der gælder en tærskelværdi for ladeoperatører (jf. §2, stk. 2, pkt.

1).

Markedet for opladning af elbiler er i rivende udvikling, og Danmark er

et af de lande, der er længst fremme mht. en dækkende ladeinfra-

struktur. Derfor har mange operatører været nødt til at udvikle helt

nye løsninger, og har ikke kunnet trække på erfaringer fra andre lande

eller lignende markeder. Det betyder, at der kan være et stort behov

for at skabe en fælles teknisk ramme eller platform for arbejdet med

cybersikkerhed, men det betyder også, at nogle operatører skal have

lidt længere tid til at rette deres løsninger til, så de matcher med de

øgede krav til cybersikkerhed.

Vi vurderer i den sammenhæng, at omkostninger for virksomheder vil

være betydelige, men der mangler i lovforslaget overblik over hvilke

dele af forslaget, der går videre end minimumsharmoniseringen i hen-

holdsvis NIS2- og CER-direktiverne, og hvad disse vil pålægge virk-

somhederne af yderligere omkostninger. Vi opfodrer til, at myndighe-

derne optager tæt dialog med branchen om de mest effektive løsnin-

ger på udfordringerne, så der ikke pålægges virksomhederne unød-

vendige ekstraomkostninger.

ENS bruger begrebet ”ladestation”,

men definerer ikke begrebet nær-

mere. Den normale definition af en ladestation er

”et

enkelt fysisk an-

læg på et bestemt sted bestående af en eller flere ladestandere” (se fx

AFIR i dansk udgave). Begrebet følger i forlængelse af begrebet

”tank-

station”, men det skal bemærkes, at vi i Danmark

også anvender be-

grebet ”ladepark” i stedet for ”ladestation”,

og at sidstnævnte nogle

gange også benyttes om en enkelt ladestander.

Cybersikkerhed kan have mange former, og det er ikke risikoen for, at

elbiler forhindres i opladning i kort tid, der er den største fare. En langt

større risiko er, at elnettet kan tage stor skade, hvis mange elbilers op-

ladning kan styres og uhensigtsmæssigt kan kobles til og fra med

korte intervaller, hvilket kan udgøre en betydelig belastning for elnet-

tet.

Generelt bemærkes, at det er fornuftigt at samle beredskabet for

energisektoren i en lov. Vi finder generelt lovforslaget godt og dæk-

kende for intentionen, og vores bemærkninger skal alene opfattes

som forslag til at styrke beredskabet på sektoren for opladning til elek-

trisk transport.

Dansk e-Mobilitet - en del af Green Power Denmark

Langebrogade 3H, 1411 København K, +45 35 300 400. www.danskemobilitet.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Side

Vi opfordrer til, at forpligtelserne og viden om beredskabet for de sek-

torer, der er omfattet af loven, samles et sted, fx hos Energinet, der i

forvejen løfter denne opgave for nogle sektorer. Det er helt afgørende,

at den enhed, der løfter denne opgave, har fingeren på pulsen i det

daglige og kan se på tværs af flere sektorer

–

derfor peger vi i denne

sammenhæng på Energinet.

Specifikke bemærkninger

Vi har en række specifikke bemærkninger til lovforslaget, der følger

rækkefølgen i lovforslaget.

§1: Et væsentlig formål med loven er at forebygge de nævnte trusler,

og det bør derfor overvejes om forebyggelse mere eksplicit skal

fremgå af formålsbeskrivelsen.

§2, stk. 2, og § 4, stk. 2: I §2, stk. 2, punkt 1)

anføres ”producerer,

forbru-

ger eller

kontrollerer mere end 25 MW”.

Formuleringen bør uddybes

og præciseres, idet der for ladeoperatører er meget stor forskel på

”for-

bruger” og

”kontrollerer”.

For eksempel vil 25 MW svare til at kontrol-

lere 100 stk. 250 kW lynladestandere eller knap 2.100 stk. 11 kW nor-

malladere, mens forbruget vil være noget mindre end 100% af kapaci-

teten. En løsning kunne være at fastsætte grænsen som en andel mel-

lem 0 og 1 af den af ladeoperatøren kontrollerede elektricitet, idet an-

delen kunne tage udgangspunkt i den gennemsnitlige belastning på

ladestandere i Danmark

–

jf. formuleringerne øverst side 132 i kom-

mentarer til lovforslaget. Vi hjælper gerne med at indhente data til

fastsættelse af sådanne andele.

Det skal i forbindelse med niveauinddeling af virksomhederne baseret

på størrelse klart fremgå, hvordan størrelsen beregnes, og om kravene

om energiomfang og kundebaser er et

”og/eller-krav”.

10. §3: vi savner definition af en række væsentlige nøgleord og begreber,

herunder

”ledelse”, ”ledelsesorganer”, ”ledende

medarbejdere”,

”forsy-

ningskritiske” og

”informationer,

mens definitionen af

”væsentlige

tje-

nester” bør strammes væsentlig op for at være operationel.

11.

§4: Det bør overvejes, om det ikke kun bør være virksomheder, der ka-

tegoriseres, men tillige koncerner, der i nogle tilfælde bruger eller på-

lægger koncernselskaber at bruge fælles IT-platforme eller -systemer.

Der kunne fx åbnes for, at koncerner kan ansøge om adgang til at be-

tragte koncernforbundne selskaber under samme paraply, og sådan

at det koncern-forretningsområde, som er indplaceret på højeste

Dansk e-Mobilitet - en del af Green Power Denmark

Langebrogade 3H, 1411 København K, +45 35 300 400. www.danskemobilitet.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Side

niveau, afgør koncernens niveau (jf. den på sektormødet viste niveau-

inddeling, slide 12).

Det er i øvrigt svært at forholde sig til den angivne niveauinddeling, da

disse ret beset ikke specificeres nærmere, herunder heller ikke hvilke

parametre og/eller kriterier og størrelseskrav, der vil være styrende for

niveauinddelingen og derved for reguleringstrykket. Det rejser tillige

spørgsmålet om, hvilke betingelser og procedurer, der vil blive fastsat,

hvis en virksomhed rykkes fra ét niveau til et andet.

Vi opfodrer til, at niveauinddelingen fremgår direkte af lovteksten, og

at det snarest meddelelses de omfattede virksomheder, så disse har

en rimelig tidshorisont til at indrette sig på nye og skærpede krav.

12. §6, stk. 2, punkt 2):

det fastsættes, at ”ledelsesorganer tilegner sig vi-

den”.

Det bør defineres, hvad der

menes med ”ledelsesorganer”,

formuleringen

”tilegner”

kunne overvejes erstattet af en pligt til at

have viden og kundskaber indenfor risiko- og sårbarhedsstyring. Der

bør tillige udarbejdes klare oversigter over minimumskravene til virk-

somhederne, når formuleringen

”politikker for…” benyttes.

Det er helt afgørende, at begrebet ledelsesansvar defineres og af-

grænses, så det er klart, hvor langt i organisationen ledelsesansvaret

rækker, og om det er forankret hos anlægsejer eller den driftsansvar-

lige virksomhed (som ikke altid er sammenfaldende).

Det er desuden uklart, hvorvidt kravet til viden er relateret til hvert en-

kelt medlem af ledelsesgruppen, og hvor omfattende kravet er. Det

fremgår af NIS2-direktivet (art. 20), at ledelsens medlemmer er forplig-

tet til at følge kurser, men det specificeres ikke, at hvert eneste med-

lem skal have præcist samme indsigt og vidensniveau. Det vigtigste

må være, at ledelsen skal kunne træffe beslutninger på et oplyst

grundlag og stille kritiske spørgsmål. Udgangspunktet må være, at le-

delsen har et overordnet ledelsesansvar og dermed et overordnet

overblik over de krav og forpligtelser, som virksomhedens beredskabs-

niveau medfører.

13. §7: For ladeoperatører er det fysiske produktionsapparat også de en-

kelte ladestandere, og de optræder i flere forskellige sammenhænge,

fx enten som en del af en ladepark, en del af et offentligt tilgængeligt

område med flere ladepunkter, en enkeltstående ladestander eller la-

debokse på private matrikler, fx en villa. Dette er et særkende for lade-

operatørerne, og det skal der tages hensyn til, når der fastsættes

Dansk e-Mobilitet - en del af Green Power Denmark

Langebrogade 3H, 1411 København K, +45 35 300 400. www.danskemobilitet.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Side

nærmere regler om den fysiske sikring, overvågning og detektion af

lokationer.

Vi bemærker desuden, at fysisk sikring altid bør ske ud fra en risikoba-

seret tilgang, og at hverken fysisk sikkerhed eller cybersikkerhed (jf.

§§8-9) må overimplementeres eller give anledning til en omfattende

detailregulering.

14. §11: Vi opfordrer til, at der forud for

”beredskabssituationer” opstilles

scenarier på delsektorniveau, der gør det muligt for aktører at træne

og forberede sig på disse. Vi støtter, at det evt. kan være Energinet, der

kan varetage denne opgave (jf. §11, stk. 4), men opfodrer samtidig til, at

Energinet bør forpligtes til at opstille eller operere med

sådanne ”be-

redskabsscenarier”

på delsektorniveau

–

se også pkt. 7 ovenstående.

Vi opfordrer til, at der er en klar og entydig arbejdsdeling mellem mi-

nisteren og Energistyrelsen på den ene side og Energinet og virksom-

hederne på den anden. Det bør være en klar myndighedsopgave at

udarbejde trusselsvurderinger til ladeoperatørerne, herunder at identi-

ficere og stille krav om, hvilke trusler sektorer skal være robuste og be-

redte overfor. Det bør samtidig overvejes om etablerede velfunge-

rende, operationelle samarbejdsrelationer (fx SektorCERT) kan løfte

opgaven også for nye virksomheder under NIS2/CER-rammerne

–

her-

under ladeoperatørerne

–

med at understøtter, overvåger og leverer

tjenester og varsler til tilsluttede virksomheder.

15. §§12-15: Formuleringerne i kapital 4 (§§12-15) om underretningspligt er

væsentlig for at sikre, at andre virksomheder er opmærksomme på ak-

tuelle trusler eller læringspunkter fra konkrete hændelser. Som sup-

plement til loven vil vi i regi af branchen afholde jævnlige netværks-

møder, med drøftelse af forbyggende tiltag og konkrete hændelser i

Danmark eller erfaringer fra andre lande. Sådanne drøftelser begræn-

ses ikke

til hændelser ”der i væsentlig grad reducerer

virksomheder-

nes funktionalitet”,

men vil også omfatte mindre hændelser, der kan

være forløber for større lignende hændelser.

Der bør nærmere defineres, hvad der menes med en

”nærvedhæn-

delse”, så begrebet gøres mere operationelt for virksomhederne. Lige-

ledes bør formuleringen

”modtagere

af deres tjenester” defineres

nærmere, herunder om der reelt menes, at virksomhedernes slutkun-

der skal informeres.

Dansk e-Mobilitet - en del af Green Power Denmark

Langebrogade 3H, 1411 København K, +45 35 300 400. www.danskemobilitet.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Side

Det skal bemærkes, at underretningspligten også må gælde myndig-

hederne ift. fx opbevarede data om virksomhederne eller myndighe-

ders oplevelse af eller erfaring med hændelser, der kan være relevante

for virksomhedernes arbejde med cybersikkerhed eller sikkerhed ge-

nerelt.

16. §15: Det skal bemærkes, at muligheden for at rette henvendelse til mi-

nisteriet om væsentlige hændelser i sig selv kan åbne for mulighed for

cybersikkerhedslignende hændelser i form at et stort antal grundløse

henvendelser eller chikanøst motiverede anklager uden hold i virke-

ligheden. Vi frygter, at dette kan blive en stor administrativ byrde for

virksomhederne, hvis der ikke fra myndighedernes side sorteres grun-

digt og kompetent i henvendelserne.

17. §16:Vi efterlyser klare retningslinjer for, hvilke virksomheder som for-

ventes at skulle sikkerhedsgodkende medarbejdere og til hvilket sik-

kerhedsniveau disse medarbejdere vil skulle godkendes til. Vi hører

om sagsbehandlingstider på 6-8 måneder eller mere for en sikker-

hedsgodkendelse, og det er naturligvis uholdbart. Myndighederne bør

der garantere en maksimal sagsbehandlingstid og rammer, som er

operationelle for virksomhederne.

18. §17: Det forekommer rigtigt, at virksomhederne skal finansiere en del

af de omkostninger, der er ved et styrket beredskab, men det skal be-

mærkes, at ladeoperatørerne ikke både skal finansiere de direkte

øgede omkostningerne ved et styrket beredskab i denne del af ener-

gisektoren, og samtidig skal finansiere det offentlige tilsyn med bran-

chen, der følger af lovforslaget. Det anføres i forslaget (s. 198ø), at det

sikres,

”at

princippet om proportionalitet mellem den ydelse, som virk-

somheden får, og det gebyr, der opkræves herfor, overholdes”; men

det er ikke vores opfattelse, at ladeoperatørerne vil opfatte tilsynet

som en værdiskabende ydelse, virksomhederne selv skal betale for. I

stedet bør en væsentlig del af tilsynet finansieres af relevante myndig-

heder, og kun en meget virksomhedsspecifik del af tilsynsomkostnin-

ger bør afholdes af virksomhederne. Samtidig bemærkes, at der bør

fastsættes et maksimum for de gebyrer, der opkræves af virksomhe-

derne, og at der ikke bør være forskelle betinget af, hvor langt virk-

somheders befinder sig fra ENS eller andre relevante myndigheder.

De bemærkes (se fx side 72n), at gebyrer kan have en adfærdsregule-

rende virkning, fx ift. sikkerhedsgodkendelser, men også at disse i dag

ikke er gebyrfinansieret. Man kan ikke helt afvise, at en sådan adfærds-

regulering kan eftervises, men lige nu, hvor loven skal implementeres,

forekommer det ikke relevant aktivt at søge begrænsninger på sikker-

hedsgodkendelser, der skal være med til at holde hånden under loven.

Dansk e-Mobilitet - en del af Green Power Denmark

Langebrogade 3H, 1411 København K, +45 35 300 400. www.danskemobilitet.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Side

Vi opfodrer derfor til, at indførelse af mange af de nævnte gebyrer helt

sløjfes eller i det mindste udskydes, til loven er bedre implementeret.

19. §19: Vi bemærker med tilfredshed, at tilsynsopgaven ikke unødigt må

hæmme den berørte virksomheds forretningsaktiviteter, og at tilsyn

skal baseres på en dialogbaseret og værdiskabende tilgang til virk-

somhederne, med det formål at dele erfaringer mellem myndigheder

og virksomheder/branchen for at opnå større sikkerhed for både den

enkelte virksomhed og branchen/sektoren.

Vi bemærker dog, at sikkerhedsscanninger og penetrationstest af

virksomhedens net- og informationssystemer m.v. er en meget vidt-

gående kontrolforanstaltning, der er meget omkostningstungt at

gennemføre, ligesom risikoen for omfattende skader ved scanninger

og penetrationstests er stor. Brugen af disse bør derfor meget stærkt

begrænses, og vi ser at formuleringerne om dette er i overensstem-

melse med ordlyden i CER-direktivet eller NIS2-direktivet.

Vi bakker op om muligheden for differentierede tilsyn, herunder ud-

strakt mulighed for at anvendere administrative tilsyn for mindre virk-

somheder.

20. §19, stk. 4: Det må være underforstået, at tilsynsmateriale fra virksom-

hederne altid kan udarbejdes på dansk, men evt. kan affattes på et an-

dre sprog end dansk - fx og helt oplagt engelsk - for grænseoverskri-

dende virksomheder.

21. §20: Flere

steder anføres ”efter

§ 19, stk. 2, nr. 1-7”,

men dette bør vel ret-

telig være efter § 19, stk. 2, nr. 1-6? Det skal desuden bemærkes, at der

for rådgivende missioner bør gælde samme tilgang mht. tilsyn som

for danske myndigheder, så tilsyn er dialogbaseret og med udgangs-

punkt i en værdiskabende tilgang.

22. §§23: Det er ret vidtgående, at ministeren kan træffe afgørelse om ret-

tighedsfrakendelse mht. virksomhedens tjenester eller ledelsesfunkti-

onen, og dette skal alene kunne ske via domstolene eller et domstols-

lignende organ, og bør have opsættende virkning. Det skal i den sam-

menhæng nærmere specificeres, hvordan en evt. midlertidig suspen-

sion eller et forbud håndteres overfor slutbrugerne og deres behov for

fx opladning af elbil, samt at sådanne tiltag altid skal ske med rimelige

frister og efter forudgående dialog.

23. §25: Denne paragraf udgør lovforslagets kapitel 9 med overskriften

”Gensidigt bistand om cyber”

med fokus på grænseoverskridende

Dansk e-Mobilitet - en del af Green Power Denmark

Langebrogade 3H, 1411 København K, +45 35 300 400. www.danskemobilitet.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Side

tilsyns- og håndhævelsesforpligtelser. Det er vigtigt, at virksomheder

med aktiviteter i flere medlemsstater oplever et ensartet og samarbej-

dende tilsyn, og det bør være en forpligtelse for myndighederne at

sørge for dette.

Vi finder det desuden særdeles vigtigt, at det ved gensidig bistand om

cyber ikke kan kræves at danske virksomheder udleverer fortrolig in-

formation om virksomhedens beredskab til en anden medlemsstats

tilsynsmyndighed.

24. §§26-30: Det skal bemærkes, at også virksomhederne kan have oplys-

ninger, hvis videregivelse ville stride mod væsentlige interesser for

virksomheden, og at sådanne vitale virksomhedsoplysningen tillige

bør være omfattet af fortrolighed, også selvom de ikke umiddelbart

vurderes væsentlige af hensyn til virksomhedens eller andre virksom-

heders direkte drift.

Der bør desuden være krav om, at myndighederne informerer virk-

somheder både om de data, der opbevares om den enkelte virksom-

hed, og hvordan/hvor de opbevares.

25. §§31-36: Det bør overvejes om en klage skal have opsættende virkning,

og det bør sikres, at klagenævnet har den nødvendige faglige eksper-

tise til at håndtere klager indenfor de

”nye”

sektorer, herunder lade-

operatørerne.

26. §37: Det angives, at loven træder i kraft pr. 1. januar 2025, men der bør

tillige fastsættes nærmere bestemmelser for ikrafttræden, overgangs-

regler og implementeringsfrister, herunder fx mht. hvornår virksom-

hederne skal være klar til fuld implementering af loven, og hvornår de

mange forskellige organisatoriske og tekniske foranstaltninger skal

være på plads

–

jf. punkt 3 ovenstående.

Ved yderligere spørgsmål eller behov for uddybning til ovenstående, er ENS

velkomne til at kontakte undertegnet.

De bedste hilsner

John Dyrby Paulsen

Direktør i Dansk e-Mobilitet

m: +45 35 30 04 84

Dansk e-Mobilitet - en del af Green Power Denmark

Langebrogade 3H, 1411 København K, +45 35 300 400. www.danskemobilitet.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

DANSK ERHVERV

Børsen

1217 København K

www.danskerhverv.dk

[email protected]

T. + 45 3374 6000

Energistyrelsen

Center for beredskab

Carsten Niebuhrs Gade 43

1577 København

Journalnummer 2023

–

6652

Den 10. juli 2024

Høringssvar til forslag om lov om styrket beredskab i energisektoren

Dansk Erhverv takker for muligheden for at give input til lov om styrket beredskab i energisekto-

ren.

Generelle bemærkninger

I takt med at vedvarende energi udgør en stadig større del af vores energiforsyning, at stadig

større dele af dansk erhvervsliv er elektrificeret, og at sektoren i det hele taget i stor grad gør brug

af digitale teknologier, er der behov for at ændre rammerne for beredskabet i energisektoren.

Også i lyset af det forhøjede trusselsniveau mod energisektoren fra bl.a. cyberangreb som følge af

den geopolitiske situation i Europa, er det meget positivt, at reguleringen omkring energisekto-

rens beredskab nu styrkes. Danmarks høje forsyningssikkerhed er et vigtigt konkurrenceparame-

ter og rammevilkår for flere af vores virksomheder, og den er derfor afgørende at stå vagt om.

På den korte bane er cybertruslen den mest konkrete og alvorlige trussel mod Danmark, og den

hastige digitale udvikling åbner nye flanker for kriminelle og statslige aktører. Derfor er det godt,

at myndighederne nu implementerer de fælleseuropæiske cybersikkerhedsregler med målsætnin-

gen om at styrke cybersikkerheden og øge modstandsdygtigheden i energisektoren.

Dansk Erhverv bakker op om lovforslagets holistiske tilgang, hvor NIS2 og CER-direktiverne tæn-

kes sammen, ligesom beredskabsbestemmelser i andre forsyningslove samles her. Det giver mere

transparens i lovkravene til virksomhederne, ensartede krav og bidrager til en sikker og smidig

implementering. Samtidig giver det god mening, eftersom enhedernes sikkerhedsforanstaltninger

fsva. cybertruslen såvel som enhedernes generelle modstandsdygtighed bør baseres på en risiko-

baseret tilgang.

Imidlertid er der en risiko for, at den deskriptive tilgang til at stille krav til cybersikkerhed, som

lovforslaget reflekterer, kan være ineffektiv og i værste fald kontraproduktiv for at fremme forsy-

ningssikkerheden. En risikobaseret tilgang, som også er reflekteret i NIS2-direktivet og CER-di-

rektivet, med processuelle krav vil kunne skabe en fleksibilitet, som er afgørende for en effektiv

implementering af NIS2 og opretholdelse af et værn mod fremtidige cybertrusler.

Industripolitiske konsekvenser

Side 1/4

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

DANSK ERHVERV

Lovforslaget giver Energistyrelsen vide muligheder for at udforme og udvikle deskriptive krav til

virksomhederne. De vide beføjelsesrammer risikerer at bremse investeringer i den grønne omstil-

ling, fordi der skabes en usikkerhed om fremtidige sikkerhedskrav til energiteknologi. På den bag-

grund kan der være en risiko for, at investorer vil anse de uklare krav som en usikkerhed, der kan

føre til potentielle fremtidige omkostninger. Yderligere vil de nationalt sikkerhedsbetingede krav,

som ikke er sammenlignelige med direktivernes risikobaserede tilgang, være afgrænsede til at

have national, dansk betydning. For internationale virksomheder vil der dermed ikke være mulig-

hed for at føre fælleseuropæisk tilsyn. Dermed kan der være en risiko for, at de tiltag, som en ope-

ratør foretager i ét land, ikke kan anses for fyldestgørende for overholdelse af NIS2-krav i et andet

land.

Samtidig er det væsentligt, at det løbende arbejde med at foretage risikovurderinger og bestemme

niveauet af sikkerhedsforanstaltninger sker i tæt samarbejde mellem myndigheder og omfattede

enheder. Det er bl.a. vigtigt, at myndigheder

i højere grad samarbejder med erhvervslivet om ud-

givelsen af mere detaljerede og operationelle trusselsvurderinger for alle samfundskritiske sekto-

rer.

Dermed ligger vurderingen ikke alene ved enhederne.

Erhvervspolitiske konsekvenser

Det bemærkes, at de nationalt sikkerhedsbetingede krav kan medføre øgede omkostninger. F.eks.

kan kravene til sikkerhedsgodkendelser, baggrundstjek og datalokation være omkostningsdri-

vende for leverandører og producenter, da højt specialerede kompetencer skal dubleres. Desuden

virker det ikke til, at de erhvervsøkonomiske konsekvenser for virksomhedernes internationale

aktiviteter er med i de beregnede konsekvenser.

Grundig lovteknisk gennemgang af lovforslaget

Der bør gennemføres en grundig lovteknisk gennemgang af lovforslaget. Gennemgangen skal bl.a.

sikre, at tiltænkte virksomheder er omfattet af loven, at de anvendte begreber stemmer overens

med anden gældende dansk lovgivning på området, samt at der er en intern konsistens mellem de

anvendte begreber.

F.eks. at brugen af begreberne ’enheder’ og ’virksomheder’ ensrettes.

Gen-

nemgangen skal yderligere sørge for, at lovforslagets bemærkninger giver en klar og entydig vej-

ledning til fortolkning af loven og de dertilhørende bemyndigelser

–

der er forståelig for omfat-

tede virksomheder.

Konkrete bemærkninger

Det bemærkes, at det er uklart, hvordan distributionsselskaber omfattes af § 2, stk. 2, da de hver-

ken producerer, forbruger eller kontrollerer elektricitet, men i stedet transporterer det.

Energisektoren er i stigende grad præget af en decentralisering, hvor mange forskellige aktører

står for produktion og forbrug. Det er derfor positivt, at der er fastsat minimumskriterier i loven,

så meget små producenter eller ladeoperatører ikke omfattes unødigt.

Der er desuden behov for, at lovforslagets afsnit om identifikation, kategorisering og konsekvens

af kategorisering af enheder/virksomheder og enhedernes/virksomhedernes systemer og anlæg

bliver præciseret. Yderligere bør koblingen mellem identifikation, kategorisering og konsekvens

blive tydeliggjort.

Side 2/4

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

DANSK ERHVERV

I § 5 beskrives virksomheder, som betragtes som kritiske enheder af særlig europæisk betydning.

Det er uklart, hvorvidt virksomheder selv skal rette henvendelse angående en vurdering af, om

virksomheden er kritisk og/eller kritisk af europæisk betydning, samt hvad tidshorisonten er ift.

en underretning fra ministeriet til virksomheder om deres status. Derudover er der behov for kla-

rere vejledning om, hvilken betydning en status som kritisk og/eller kritisk af særlig europæisk

betydning vil have ift. foranstaltninger og tilsyn.

I kapitel 5 beskrives kravene til sikkerhedsgodkendelserne af medarbejdere. Erfaringer fra bran-

chen har vist, at processen kan være meget langvarig med over 6 måneders behandlingstid. Det er

uholdbart i en branche, der mangler arbejdskraft, og i fremtidig opskalering af både forbrug, pro-

duktion og handel vil den udfordring kun tage til i omfang. Derfor bør der implementeres en langt

mere smidig proces.

Dansk Erhverv anerkender, at brintproducerende anlæg qua deres høje strømforbrug kan være

kritiske, men minder om, at brintproduktion i Danmark endnu er en gryende branche, hvor der er

stort fokus på at sænke omkostninger. Derfor bør der ikke stilles uforholdsmæssigt store krav til

beredskabsreguleringen af brintsektoren, som på nuværende stadie ikke kan siges at producere et

produkt, som er kritisk for energiforsyningen. At brint sidestilles med naturgas, tager ikke højde

for forskellene i pris, kunder og udbredelse.

Dansk Erhverv bemærker desuden, at elnetselskabers omkostninger til at leve op til et kommende

krav om fysisk sikkerhed og cybersikkerhed kan karakteriseres som et myndighedspålæg, og at

gebyrer og meromkostninger til opfyldelsen af pålægget medfører en justering af elnetselskabers

omkostningsramme, hvilket lovforslaget bør gøre gældende. Det bør også omfatte omkostninger,

der er foranlediget forud for den endelige implementering af loven, og som er udført med direkte

henvisning til at leve op til forpligtelser i loven og de bagvedliggende initiativer.

For så vidt angår håndhævelsen af lovgivningen, har erfaringer fra energi- og telesektoren vist, at

det vil lette den administrative byrde markant, hvis man følger samme tilsynskoncept/-metodik,

hvis timingen for tilsyn koordineres mellem myndigheder, samt hvis man sammenlignet med

håndhævelse under NIS-loven opnår en bedre sammenhæng og harmonisering af tilsyn mellem

de forskellige tilsynsførende myndigheder. Tilsyn kan ses som et redskab til konstruktiv og proak-

tiv dialog og fungerer bedst i følgeskab med rådgivning i form af f.eks. operative risikovurderin-

ger, vejledninger, kurser og standardhenvisninger. Den rolle har Energistyrelsen indtil nu udfyldt

tilfredsstillende.

Sidst vil Dansk Erhverv anføre, at omtalen af ledelsesansvar i bemærkningerne til lovforslaget er

vidtgående, og særligt er der tvivl om, om der er den rigtige balance mellem det overordnede le-

delsesansvar, der ligger hos direktion og bestyrelse og en specifik godkendelse af nogle meget de-

taljerede og tekniske risiko- og sårbarhedsvurderinger og beredskabsplaner mv. Den overordnede

ledelses rolle bør i højere grad ligge i mere generelle vurderinger af sikkerhedsniveauet som ek-

sempelvis en modenhedsanalyse af sikkerhedsberedskabet og af hensyn til ressourceallokering.

Side 3/4

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

DANSK ERHVERV

Dansk Erhverv opfordrer til grundig og konstruktiv markedsdialog om udmøntningen af lovgiv-

ningen i kommende bekendtgørelser, f.eks. ift. hvilke virksomheder, der er kritiske, fysisk sikring,

mv.

Dansk Erhverv står selvfølgelig til rådighed i tilfælde af opfølgende spørgsmål.

Med venlig hilsen

Malene Mortensen

Chefkonsulent

Nanna Skovgaard Mortensen

Politisk konsulent

Joen Magieres

Politisk konsulent

Side 4/4

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Klima-, Energi- og forsyningsministeriet

Energistyrelsen

Carsten Niebuhrs gade 43

1577 København V

Mail:

[email protected]; [email protected]; [email protected]

Fjernvarmens Hus

Merkurvej 7

DK-6000 Kolding

Tlf. +45 7630 8000

[email protected]

www.danskfjernvarme.dk

cvr dk 55 83 10 17

Høring over forslag til Lov om styrket beredskab i energi-

sektoren - journalnummer 2023 - 6652

Dansk Fjernvarme repræsenterer fjernvarmesektoren og fjernkølingssektoren i Danmark.

Fjernkøling har sin egen lovregulering, men der er ikke etableret fjernkølig aktiviteter

uden at det er ejet og drevet direkte eller indirekte af fjernvarmeselskaber. Fjernkølings-

sektoren er således også organiseret i Dansk Fjernvarme.

Fjernvarmesektoren består af en række forskellige selskaber. Hovedparten af selska-

berne direkte forbrugerejede andelsselskaber (A.m.b.a.) dertil kommer en række kommu-

nale selskaber typisk organiseret som aktieselskaber (A/S), hvor kommunen ejer alle akti-

erne. Der er endelig nogle få selskaber, som har anden ejerform som f.eks. ejet af en

fond eller kommercielle ejere. Der er desuden nogle selskaber, som er kommunale inte-

ressentskaber (I/S), også kaldet § 60 selskaber, det er bl.a. de tre store transmissions-

selskaber.

En række fjernvarmeselskaber er en del af multiforsyningsselskaber med flere typer for-

syning f.eks. vand, spildevand, el, gas, fibernet m.v. Der er tale om store og små selska-

ber, med overvægt i antal af små selskaber, målt ud fra leveret mængde varme (TJ). Der

er ca. 160 selskaber med under 50 TJ leveret varme om året, eller svarende til 750 stan-

dardhuse. Der er 170 selskaber med over 50 og under 700 TJ varme, eller svarende til

op imod 10.000 standardhuse. Og endelig er der de resterende 50 selskaber med meget

store mængder varme i transmission eller levering.

Nogle fjernvarmeselskaber har kraftvarme med samproduktion af el og varme, heraf er

der nogle med over 25 MW elkapacitet og derfor omfattet af eksisterende beredskabslov-

givning i elsektoren. Der er selskaber med affaldsenergianlæg, hvor restaffald bliver til el

og varme. Nogle selskaber er blevet meget store elkunder med elkedler og store varme-

pumper.

Dansk Fjernvarme støtter den nye ”Lov om styrket beredskab” med regler for såkaldt

klassisk beredskab og implementering af de to EU direktiver for NIS2 og CER. Selvom

fjernvarmesektoren har leveret stabil varmeforsyning med høj forsyningssikkerhed i over

120 år, så er behovet for en egentlig beredskabslovgivning relevant og nødvendigt.

Mangfoldigheden af forskellige selskaber gør det vanskeligt at lave faste ensartede reg-

ler. Dansk Fjernvarme tilbyder Energistyrelsen et tæt samarbejde når loven skal

5. juli 2024

Side 1/8

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

udmøntes i bekendtgørelser og vejledninger. For at sikre fjernvarmeselskabernes opbak-

ning og positive engagement inden for beredskabsområdet er det vigtigt at reglerne kom-

mer til at give mening, er overkommelige og praktisk anvendelige frem for juridiske papir-

øvelser.

Dansk Fjernvarme er tilfreds med beskrivelsen på side 34 om vigtigheden af fjernvarme

og fjernkøling. Der mangler dog tre væsentlige forhold.

For det første

bliver en stigende andel af fjernvarmen leveret som overskudsvarme til

genbrug. Det giver særlige afhængigheder af eksterne leverandører af fjernvarme og der-

for også behov for beredskabsmæssige overvejelser.

For det andet

er der sektorkoblingen, hvor fjernvarme bliver store elkunder, store biogas-

kunder m.v. Denne sektorkobling gør beredskabsarbejdet mere kompleks, da der skal ta-

ges hensyn til kaskadeeffekter i en krisesituation.

For det tredje

sker der en bekymrende hurtig udfasning af termiske kraftvarmeværker,

hvis vitale elproduktion kan blive afhørende for forløbet af en krise. Det bør i anden sam-

menhæng få opmærksomhed før det er for sent. Dette lovforslag er en god anledning til

at understrege vigtigheden af en diversificeret el, varme og energiforsyning.

Hvad angår fjernkøling, så er sektoren under udvikling. Derfor skal vi anvende erfaringer

fra fjernvarmesektoren til at sikre optimerede løsninger.

Dansk Fjernvarme vil gerne rose Energistyrelsen for at indføre den nye niveauinddeling

af fjernvarme- og fjernkølingsselskaberne. Særligt set i lyset af det kommende prisloft for

fjernvarme, er det fornuftigt at have en nedre bagatelgrænse på 50 TJ, som friholder

mange selskaber for at skulle lave beredskabsplaner. Ikke fordi disse selskaber ikke er

vigtige og deres kunder har krav på høj forsyningssikkerhed. Imidlertid er mange af disse

selskaber så små at de enten ikke har ansatte eller kun 1-2 ansatte, udover en arbej-

dende bestyrelse. Disse meget små selskaber vil ikke kunne løfte opgaven med store

komplette beredskabsplaner.

Dansk Fjernvarme vil endvidere rose det tætte samarbejde omkring tilblivelsen af reg-

lerne for beredskabsarbejdet i fjernvarme- og fjernkølingssektoren. Dansk Fjernvarme har

igangsat en del informations- og uddannelsesaktiviteter, som vil fortsætte i Q4 2024 og

ind i 2025. Stor tak til Energistyrelsen for at være til rådighed med undervisning og ind-

læg.

Fjernvarmesektoren i Danmark er i gang med en omfattende digitalisering, med det for-

mål at reducere omkostningerne og gøre det muligt at optimere driften, teknisk, miljø-

mæssigt og med reducerede klimabelastning. Alle har i dag fjernaflæste digitale fjernvar-

memålere. Data anvendes til afregningsformål, men også til driftsoptimering i Machine

Learning. Gradvis bliver disse IT og OT systemer mere avancerede og de første selska-

ber er begyndt at anvende AI i såvel administrative og tekniske opgaveløsninger. Digitali-

seringen har mange fordele, men åbner desværre også for øget risiko inden for cyberkri-

minalitet og cyberangreb. Tilbage i april 2020 var Dansk Fjernvarme sammen med

Side 2/8

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Energinet og Dansk Energi (nu Green Power Denmark) om at etablere en dansk Ener-

giCERT. Nu er også DANVA kommet med og der er derfor tale om en SektorCERT. Det

er et meget vigtigt initiativ til forebyggelse og beskyttelse mod cyberangreb, særligt inden

for OT systemerne. Der er også her et tæt og fortroligt samarbejde med Energistyrelsen

som tilsynsmyndighed.

Arbejdet med cybersikkerhed er ikke nyt i fjernvarme- og fjernkølingssektoren. Der arbej-

des dagligt med at hindre kriminelle og andre fjendtlige angreb både mod IT og særligt de

vigtige OT systemer. Kravene i lovgivningen inden for klassisk IT/OT sikkerhed og de

mere vidtgående regler i NIS2 direktivet kræver en omstilling til en ny måde at arbejde på

og ny måde at få dokumenteret indsatsen.

Økonomien omkring den nye beredskabslovgivning er afgørende for hastighed og takt u

udbredelse af de nye regler i fjernvarmesektoren. Fjernvarme er non-profit forretning,

uanset ejerform. Der er kun fjernvarmekunderne til at betale for indsatsen og de nye inve-

steringsbehov. Dertil kommer at der er ikke mange ansatte, som har tid til denne nye ind-

sats. Derfor skal tilgangen være at hjælpe selskaberne gennem uddannelse og praktisk

assistance til at kunne overkomme de nye krav. At noget bliver forsinket skyldes ikke

modvilje, men budget og tidsmæssige muligheder.

Dansk Fjernvarme er tilfreds med at der kommer en direkte hjemmel for selskaberne til at

afholde omkostninger til beredskabsarbejdet, og de nødvendige investeringer.

Der er ikke tid og interesse for at skulle kæmpe med Forsyningstilsynet om nødvendighe-

den af f.eks. beskyttelsen af vitale energianlæg eller at Tilsynet underkender risiko- og

sårbarhedsanalyser (ROS). Selskaberne skal have frihed til selv at tilrettelægge arbejdet

med beredskab, under respekt for at fjernvarmeprisen ikke må stige unødvendigt for det

enkelte selskab.

Udover fjernvarme- og fjernkølingsselskabernes behov for at afholde udgifter til både in-

vesteringer og drift af beredskabsområdet, så vil der de første år være ekstra udgifter til

kortlægning, analyser og administration. Det er alt sammen noget, der sker inden for sel-

skabets egne aktiviteter.

Der kan komme situationer, hvor kritiske eller ikke-afbrydelige kunder direkte eller indi-

rekte stiller krav om beskyttet forsyningssikkerhed og dette udløser investeringsbehov

ude hos kunden. Da skal der være mulighed for at kunden også bidrager direkte med fi-

nansiering af den ekstra sikkerhed.

Eksempel:

Hvis et sygehus beder om at der etableres kedler for nødforsyning eller større

tanke med fjernvarme på sygehuset som en del af deres beredskabsplan, da kan det ikke

kun være fjernvarmeselskabet og dets øvrige kunder, som skal betale den investering.

Da skal der være mulighed for fælles finansiering fra kunden, uanset om det er et offent-

lige kunder som et sygehus, et fængsel, en ambulancestation eller en kaserne.

Dette princip skal også kunne praktiseres når det gælder ikke-afbrydelige private kunder

inden for f.eks. medicinalindustrien, våbenproduktion eller anden vital infrastruktur. Det

Side 3/8

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

afgørende må være at det ikke kun er fjernvarmekunderne, der belastes økonomisk, kun-

den skal også bidrage.

Fjernvarmesektoren har et særligt forhold. Alle projekter skal udarbejdes og godkendes i

henhold til Projektbekendtgørelsen (BEK nr 697 af 06/06/2023). For at et projekt kan god-

kendes skal der kunne påvises positiv samfundsøkonomi, selskabsøkonomi og bruger-

økonomi. Der bliver behov for at få indarbejdet en særlig bestemmelse, der tager hensyn

til at investeringer i anlæg og løsninger i henhold til beredskabslovgivningen ikke nødven-

digvis kan påvise positiv økonomi.

I det hele taget skal der i Projektbekendtgørelse også tages højde for at fjernvarmesel-

skabet ikke får underkendt ansøgninger om anlæg, der er resultat af aftale med Energi-

styrelsen om beredskabsinitiativer. Særligt det forhold at fjernvarmeselskaberne skan an-

vende ROS metoden til vurdering af behov gør det vanskeligt, hvis kommunen efterføl-

gende lægger en anden vurdering til grund. Da må det være således, at projekter til opfyl-

delse af aftalt beredskabsinitiativer, med Energistyrelsen, ikke kan underkendes af kom-

munen.

Lovforslaget tager ikke i tilstrækkelig grad hensyn til det forhold, at der allerede i fjernvar-

mesektoren findes dedikerede transmissionsselskaber. Det er TVIS, CTR og VEKS.

Disse selskaber har en afgørende betydning for fjernvarmeforsyningen i de mange tilknyt-

tede kommuner og fjernvarmedistributionsselskaber. Dertil kommer at også andre selska-

ber har transmissionsaktiviteter i deres koncern. Det gælder f.eks. Kredsløb i Aarhus, der

har Kredsløb Transmission som datterselskab sammen med Kredsløb Distribution osv. I

de kommende år er der forventninger om at der vil komme mange flere fjernvarmetrans-

missions-løsninger, i takt med at overskudsvarme fra bl.a. brintproduktion, CCSU aktivite-

ter og egentlig PtX produktion vil udgøre meget store punktkilder. Som eksempel kan

nævnes den planlagte ammoniakfabrik i Esbjerg, der vil have så meget overskudsvarme

til genbrug i fjernvarmesektoren at det formentlig skal i transmissionsrør over til Østkysten

og videre mod de større købstæder mod nord.

Disse nye transmissionsselskaber bliver formentlig ikke etableret som kommunale §60

selskaber i I/S form, men vil finde andre konstruktioner f.eks. med pensionskasser og lig-

nende. Derfor skal Lov om styrket beredskab have en særlig opmærksomhed på disse

nuværende og kommende transmissionsselskaber og deres vitale rolle i fjernvarmeforsy-

ningen.

For fjernkøling etableres det første store anlæg med transmission af fjernkøling i Aalborg,

men der kan sagtens komme flere store anlæg med udnyttelse af særlige punktkilder.

Et særligt opmærksomhedspunkt er mulighederne for at fjernvarme- og fjernkølingssel-

skaber kan tegne forsikringer.

Selskaber har i dag bestyrelsesansvarsforsikringer og i den forbindelse også cyberan-

svarsforsikring til bestyrelsen. Dertil kommer så forsikring af de IT og OT tekniske anlæg

med henblik på genopretning i tilfælde af cyberangreb.

Side 4/8

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Nu stiger kravene til bestyrelserne (ledelsen som beskrevet på side 50). Særligt i EU di-

rektivernes straffebestemmelser er der betydelige bødeniveauer m.v. Det kan derfor for-

ventes at prisen på bestyrelsesansvarsforsikringerne, herunder for cybersikkerhed vil

stige betydeligt. Til gengæld kan forsikringerne af de tekniske IT/OT anlæg måske blive

billigere, når der foreligger beredskabsplaner m.v. I henhold til det klassiske beredskab

med beskyttelse mod voldsomt vejr, naturkatastrofer osv. så oplever fjernvarmeselskaber

allerede i dag at forsikringsselskaberne trækker sig i forhold til skybrud, oversvømmelse

og stormflod. Hvis fjernvarmeselskaber skal lave beredskabsplaner, hvor ROS scenari-

erne er større hyppighed ved storme, skybrud, oversvømmelser, stormflod og andet vold-

somt vejrlig, da kan det være vanskeligt at få forsikringsdækning. På side 55 nævnes ri-

sici for infrastruktur forbundet med naturkatastrofer og i mange forsikringspolicer er netop

naturkatastrofer undtaget fra dækning.

Dansk Fjernvarme opfordrer Energistyrelsen til at indlede dialog med forsikringsbranchen

for at få afdækket om fjernvarmeselskaberne rent faktisk kan tegne de nødvendige for-

sikringer til en overkommelig pris og særligt hvad de voldsomme strafbestemmelser i EU

direktiverne kan medføre af begrænsninger på forsikringsdækninger for bestyrelserne.

Konkrete punkter:

På side 5 punkt 12 bliver ”hændelser” beskrevet og på side 6 under punkt 23 bliver nær-

vedhændelser beskrevet, og yderligere forklaring på side 181.

Dansk Fjernvarme skal opfordre til at grænsen mellem hændelse og nærvedhændelse

bliver beskrevet tydeligt i bekendtgørelser og/eller vejledninger så de praktiske medarbej-

dere ude hos fjernvarmeselskaberne ikke er i tvivl. Særligt når der bliver indberetnings-

pligt er det vigtigt.

Dansk Fjernvarme opfordrer til at bemærkningerne i punkt 24 på side 6 tager højde for de

særlige vilkår for transmissionsselskaber.

I § 41 øverst på side 23 er bestemmelsen om at fjernvarmeselskaber kan afholde om-

kostninger til beredskab efter lov om styrket beredskab.

Dansk Fjernvarme opfordrer til at det klart defineres, at arbejde med beredskab ikke kun

er de administrative procedurer, men også er de erkendte og nødvendige investeringer i

tekniske løsninger til sikring af beredskabet.

I punkt 2 om lovforslagets baggrund, øverst side 28 fremgår meget rigtigt at produktionen

af el ikke længere er koncentreret om få kraftværker, men vil i stedet blive spredt ud på

mange små og store anlæg.

Dansk Fjernvarme skal i den forbindelse påpege vigtigheden af at vilkårene for fortsat ek-

sistens og driftsmulighed for de mange hundrede decentrale kraftvarmesektoren er helt

afgørende.

Lov om styrket beredskab og en ROS analyse er ikke grundlag nok for at opretholde de

vigtige og samfundskritiske decentrale elproduktionsanlæg i fork af decentrale kraftvar-

meværker. Disse forhold skal reguleres og forbedres i anden sammenhæng. Ellers vil det

Side 5/8

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

får afledte konsekvenser til beredskabsarbejdet, robustheden og forsyningssikkerheden,

hvis de mange decentrale og velfungerende elproduktionsenheder lukkes de kommende

år som konsekvens af de økonomiske vilkår disse værker arbejder under.

Angående ”væsentlig cybertrussel” punkt 30 side 7 har en kort beskrivelse. Og på side 12

§13 er der beskrivelse af underretningspligten. Også på side 12 er der § 14 om offentlig-

gørelse af hændelser.

Dansk Fjernvarme skal opfordre til at begrebet ”væsentlig cybertrussel” defineres bedre.

Der må ude hos praktikerne ikke være tvivl om, hvad der menes med ”væsentlig” og sær-

ligt når der er underretningspligt. Desuden skal der være forsigtige regler om offentliggø-

relse. Risikoen er at selskaber afstår fra at lave vigtige underretninger, hvis de efterføl-

gende får sagen lagt frem ved offentliggørelse.

Under punkt 3.1.2 på side 32 fremgår at der skal være særlig opmærksomhed omkring

multiforsyningsvirksomheder.

Dansk Fjernvarme deler synspunktet. Der er mange fjernvarmeselskaber, der store eller

små er koncernforbundne eller på anden vis i samarbejde som multiforsyning. Det er ikke

kun de meget store multiforsyningsselskaber, men kan også være et lille fjernvarme- og

vandselskab, der har hensigtsmæssig fælles servicevirksomhed eller anden organisering.

Særligt de udfordringer, som vand og spildevand oplever i relation til deres beredskabs-

vilkår kan blive en særligudfordring når selskaber er samlet som multiforsyning. Dansk

Fjernvarme støtter i den forbindelse de bemærkninger vores kolleger i DANVA og Danske

Vandværker har fremført.

Nederst på side 32 er der bemærkninger om PtX-anlæg, varmepumper og smartstyring af

virksomheder. Bemærkningen er ikke direkte henledt til fjernvarmesektoren. Men Fjern-

varmen er stærkt involveret, da overskudsvarme fra PtX skal genanvendes som fjern-

varme, store varmepumper er installeret i betydeligt omfang i fjernvarmeværkerne og virk-

somheders energioptimering giver overskudsvarme til fjernvarmeformål.

Dansk Fjernvarme skal derfor anmode om, at blive inddraget i de vilkår, som påtænkes

under dette punkt.

Dansk Fjernvarme deler bemærkningerne på side 36 om at NIS2 og CER direktiverne im-

plementeres samtidigt og selskaberne dermed får mulighed for ensartet implementering.

Dansk fjernvarme deler bemærkningerne på side 37 om at få selskaberne omfattet af lo-

ven i henhold til den udmeldte niveaudeling. Dog må det være således at der ved tvivlstil-

fælde om niveau placering startes med de lave niveau og selskaberne så senere kan

rykke op i niveau når kræfterne er til det. Hellere god beredskabsudmøntning på niveau 1

end utilfredsstillende beredskabsløsninger på niveau 2, fordi selskaberne ikke har kræf-

terne.

På side 38 er der bemærkninger om at fjernvarmeselskaber 2 ud af 3 seneste år skal op-

gøre deres varmelevering og at det danner grundlag for niveau-placeringen. Der skal i

den forbindelse være opmærksomhed på at der i disse år sker en del konsolidering i

fjernvarmesektoren, hvor selskaber går sammen og endda fusionerer.

Side 6/8

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Dansk Fjernvarme beder om at krav i beredskabslovgivningen ikke giver begrænsninger

på arbejdet med konsolidering, blot for at undgå højere niveau-placering. Både i forhold til

en egentlige niveau-placering, det klassiske beredskabsarbejde og NIS2 samt CER direk-

tivets regler, så skal Energistyrelsen have hjemmel til fleksibelt og gennem konkret kon-

takt at hjælpe selskaberne f.eks. gennem dispensationer.

På side 40 er der bemærkninger om alle de funktioner, hvortil der skal udpeges medar-

bejdere. Beredskabskoordinator, IT-beredskabsansvarlig, Operationel kontakt, en eller

flere sikringsansvarlige medarbejdere. For mange selskaber vil dette være en og samme

person, lige som der er udpræget anvendelse af underleverandører. Når en eller flere af

disse funktioner i øvrigt kræver sikkerhedsgodkendte personer kan det blive vanskeligt

Dansk Fjernvarme opfordre til at den konkrete udmøntning tager højde for at de medar-

bejder, som skal have særlige funktioner kan være en og samme i de mindste, men om-

fattende selskaber. Særligt når der tages højde for bemærkningerne på side 41 om ud-

dannelse og awareness-træning, så skal der igen tages højde for at der ikke er nok med-

arbejderressourcer til der kan være tid til deltagelse i uddannelse m.v. Derfor skal der

etableres smidige modeller.

Dansk Fjernvarme deler bemærkningerne på side 42 og 43 angående vigtigheden og nyt-

ten af beredskabsøvelser.

Til bemærkningerne på side 49 om kontrolrum er det nødvendigt at gøre opmærksom på,

at begrebet kontrolrum dækker alt fra kraftværkers døgnbemandede SCADA systemer

med flere folk i vagt og så ned til det mest almindelige med SRO anlæg uden fast beman-

ding.

Dansk Fjernvarme skal også her bede om at reglerne udmøntes så de passer til den

praktiske virkelighed og de forhold selskaberne kan genkende sig selv i.

På side 51 er der angivet at ledende medarbejdere og ledelserne (bestyrelserne) skal

følge kurser og anden uddannelse. Det er dog ikke angivet hvilke kurser og med hvilke

faglige standarder.

Dansk Fjernvarme opfordrer til at der bliver en afklaring af om det skal være anerkendte

kurser, om det kan være i regi af brancheforeninger m.v.

Så side 54 er bemærkninger om risikovurdering af projekter. Det kan her blive en udfor-

dring at projekterne samtidigt skal behandles og godkendes i henhold til Projektbekendt-

gørelsen som minimum. Der kan også være større projekter, hvor der er krav om VVM

eller anden miljøvurdering for projekterne. Kravene her om at projekter skal bidrage til at

højne forsyningssikkerheden er fair og rimeligt.

Dansk Fjernvarme opfordrer til at det gøres helt klart, hvordan hierarkiet bliver. Vil en mil-

jøgodkendelse kunne overskygge en beredskabsinvestering som følge af forsyningssik-

kerheden? Vil kommunens sagsbehandling i henhold til Projektbekendtgørelsen over-

skygge beredskabsinvesteringer?

Outsurcing er nævnt på side 58. I fjernvarmesektoren benytter ca. 325 selskaber et fæl-

les selskab, Softværket til IT opgaver som afregning, hjemmesider, GIS registrering, BBR

Side 7/8

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

anmeldelser LER indberetninger osv. For en del større kommunale selskaber er det til-

svarende KMD, der er stor leverandør.

Inden for OT anlæg er der også udbredt anvendelse af outspurcing af både etablering,

drift og service på disse anlæg.

Dansk Fjernvarme skal bede om at det i reglerne ikke tages udgangspunkt i at fjernvar-

meselskaberne selv har store IT/OT afdelinger. Det er undtagelsen. Reglen er outsourc-

cing.

Side 62 angående sikkerhedsgodkendelse og baggrundskontrol. Det er en vanskelig op-

gave. Der er mange underleverandører, der er gensidig hjælp fra naboværker m.v. Disse

krav må ikke komme til at ødelægge de hensigtsmæssige daglige rutiner.

Dansk Fjernvarme opfordrer til at der indledes dialog med flere selskaber, med flere stør-

relser osv. om, hvordan en praksis kan blive hensigtsmæssig – inden de endelige be-

kendtgørelser skrives.

Dansk Fjernvarme takker for muligheden for at kommentere på forslaget.

Med venlig hilsen

Nicolai Kipp

Afdelingschef

Dansk Fjernvarme

[email protected]

Side 8/8

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

10. juli 2024

DI-2024-03365

Deres sagsnr.: 2023-06652

Klima-, Energi- og Forsyningsministeriet

Sendt pr. mail til:

[email protected]

(cc)

[email protected]

(cc)

Vedr. høring over

forslag til Lov om styrket beredskab i energisektoren

DI har 12. juni 2024 modtaget Energistyrelsens høringsbrev vedr. ”Høring

over forslag til Lov om

styrket beredskab i energisektoren.

Vi takker Energistyrelsen for muligheden for at give høringssvar.

Indledningsvis må vi nævne, at vi påskønner Regeringens tiltag på beredsskabsområdet og at vi som

helhed er tilfredse med lovforslaget. Nedenfor følger vores kommentarer.

Kapitel 1: Formål, anvendelsesområde og definitioner

Der er i forslaget til lovens §2, stk. 2 fastlagt nogle grænseværdier for om en virksomhed er omfattet

af loven, og DI vil i den forbindelse gerne henstille til, at der sikres en høj grad af proportionalitet

mellem de omfattede virksomheders betydning for forsyningssikkerheden og de pålagte

forholdsregler.

I Definitionen af Elektricitetsvirksomhed (§3, nr. 7) fremgår følgende: ”..

men som ikke er slutkunde

der varetager salg, herunder videresalg, af elektricitet til kunder”.

DI finder det uklart hvad der

menes. Herudover finder vi pkt. 22 på side 6 svært forståeligt, ligesom der synes at mangle noget

tekst i § 5, nr. 2.

DI savner desuden en overordnet beskrivelse af hvordan beredskabsansvaret er fordelt mellem

myndigheder og erhverv, herunder hvad forsvarets hhv. kystvagternes rolle er Energistyrelsen er

gået rent juridisk til implementeringen, men vi savner koordinerede meldinger fra myndighederne,

der forholder sig til helheden.

Endelig noterer vi os, at loven vil give Klima-, energi- og forsyningsministeren et betydeligt mandat

til at fastsætte nærmere regler på en række områder. Da disse bekendtgørelser vil være afgørende

for lovens påvirkning af de berørte enheder, ser vi frem til, at disse bekendtgørelser sendes i høring.

Kapitel 3: Cybersikkerhed

Overordnet set støtter DI støtter initiativerne for at styrke cybersikkerheden i energisektoren, som

foreslået i det nye lovudkast. Initiativerne er i tråd med anbefalingerne fra SektorCERT-rapporten

og adresserer mange af de udfordringer, der er fremhævet i rapporten.

H. C. Andersens Boulevard 18

1553 København V

Danmark

(+45) 3377 3377

[email protected]

di.dk

CVR-nr.: 16077593

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

I forhold til definering af cyberrelaterede begreber (§ 3, stk. 1) finder DI det positivt at se klare

definitioner af nøglebegreber som "cyberhændelse", "cybersikkerhed" og "cybertrussel". Dette

skaber en fælles forståelse og sikrer, at alle aktører i sektoren arbejder ud fra samme terminologi.

DI ser overordnet set, at kravet om, at virksomheder skal foretage nødvendig planlægning og træffe

passende cybersikkerhedsforanstaltninger (§ 8), som et skridt i den rigtige retning. Det sikrer, at

virksomheder tager en proaktiv tilgang til cybersikkerhed.

Vi ser dog enkelte områder, hvor der er behov for yderligere afklaring eller forbedringer.

I §8, stk. 2 finder vi, at de nærmere regler, der skal fastsættes efter forhandling med

forsvarsministeren, bør henvise til de rammeværktøjer og it-sikkerhedsstander, der allerede

eksisterer og bliver brugt i energisektoren i dag. Det er fx særligt vigtig med standarder og

retningslinjer for hvilket niveau af krav og kontrol, der skal stilles til underleverandører, samt

specifikationer af grænsen for hvilke underleverandører, der vil blive omfattet og til hvilken grad.

Videre finder vi, at der i forhold til § 8, stk. 2, nr. 1 er behov for mere specifikke retningslinjer og

vejledning for, hvordan forvaltningen af net- og informationssystemer skal foregå, især med hensyn

til adgangskontrol og overvågning.

Endelig finder vi, at det i forhold til håndtering af hændelser (§ 8, stk. 2, nr. 11) bør præciseres, hvilke

procedurer og værktøjer der skal anvendes til håndtering af cyberhændelser. Dette inkluderer

brugen af logdata til detektion af anormal aktivitet og krav til rapportering af hændelser.

Kapitel 4: Underretningspligt

DI finder det positivt, at, at Klima-, Energi- og Forsyningsministeren med forslaget kan fastsætte

regler for underretning og indrapportering af hændelser (§12), da vi anser det vigtigt for at sikre en

hurtig og effektiv respons på cybertrusler.

Vi finder dog også, at det bør specificeres under hvilke omstændigheder ministeren kan kræve, at

en virksomhed offentliggør en hændelse (§14), idet klarere retningslinjer vil hjælpe virksomheder

med at forstå deres forpligtelser og forberede sig bedre på sådanne krav.

Kapitel 5: Sikkerhedsgodkendelser og Baggrundskontrol

DI finder, at kravene til baggrundskontrol og adgangsstyring (§16) er vigtige for at sikre, at kun

betroede personer har adgang til kritiske systemer.

Kapitel 10: Fortrolighed, udveksling af oplysninger og digital kommunikation

DI finder, at forslaget om, at oplysninger om sikkerhedsgodkendelse, baggrundskontrol og andre

sikkerhedsforhold skal være fortrolige (§26), er afgørende for at beskytte følsomme data og sikre

tillid blandt aktørerne i sektoren.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Bemærkningerne

Vi savner en bedre erhvervsøkonomisk beregning af de samlede omkostninger for erhverv ved de

nye regler. I bemærkningerne anslås 650 mio. kr., men det er behæftet med usikkerhed.

Usikkerheden kommer bl.a. af, at den foreslåede lovgivning sætter rammerne for ministerens

bemyndigelse, og uden viden om hvor linjen kommer til at ligge, er det vanskeligt at budgettere. Vi

savner et bedre datagrundlag, som klarlægger as-is situationen i erhverv og som gætter på et

praktisk beredskabsniveau og hvad det måtte koste.

Herudover finder DI, at der vil være behov for et vist omfang af rådgivning til virksomhederne.

DI’s Konklusion

DI værdsætter indsatsen for at forbedre cybersikkerheden i energisektoren og ser frem til fortsat

dialog om implementeringen af disse forslag. Vi står til rådighed for yderligere drøftelser og bidrag

til at styrke sektorens modstandsdygtighed mod cybertrusler.

DI har ikke yderligere bemærkninger.

Med venlig hilsen

Peter Fausbøll

Chefkonsulent

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Til:

Cc:

Fra:

Titel:

Sendt:

beredskab ([email protected])

[email protected] ([email protected]), Alexander Berg ([email protected]), [email protected] ([email protected])

Kim Gersager Henriksen ([email protected])

Høringssvar Journalnummer 2023-6652

10-07-2024 09:56

[EKSTERN E-MAIL]

Denne e-mail er sendt fra en ekstern afsender.

Vær opmærksom på, at den kan indeholde links og vedhæftede dokumenter, som ikke er sikre,

medmindre du stoler på afsenderen.

Hej,

Nedenstående er FDO’s kommentarer/bemærkninger til lovforslaget.

§3 23): Der er behov for en mere præcis definition. Det vil blive tolket forskelligt. Der kunne findes

inspiration i definitionen fra miljølovgivningen( BEK nr. 372 af 25/4/2016 §4 11)

§6 stk2. : Er der klare krav til IT sikkerhedstjenesten? Vil der kun være få der kan løfte opgaven?

§9: Er der eksempler på hvilke tjenester og leverandører det kunne være. Det virker lidt som ”one size fits

all”.

§10: Måske skulle det stå i loven at Energinet kun kan ivaretage el & gas.

§11: Definition af sektorberedskabs niveauerne skal være defineret for alle sektorer på forkant.

§19 stk 2 4):Hvis der foretages PEN test skal virksomheden være informeret, da nødberedskabet vil blive

aktiveret.

§35: Energinet kan vel kun indhente for el & gas

3.2.1.1 Organisatorisk beredskab: I mindre organisationer kan det være vanskeligt at besætte alle rollerne

med forskellige personer. Det kan blive mere af navn end af gavn.

3.2.1.1 Risiko og sårbarhedsanalyser: Hvordan hænger hele dette sammen med risikobekendtgørelsen

(BEK nr. 372 af 25/4/2016)? I den er der også krav til risiko og sårbarhedsanalyser §4, §8, §11.

Til §2 side 116. : Der tales om lager kapacitet og ikke om hvor meget der oplagres, men antager at det er

med vilje.

Til §6 side 145: Der er rigtig mange roller der skal besættes for små selskaber.

Til §23 side: 223: Fristens varighed må foretages i samarbejde med virksomheden.

Til §23 side: 226: Hvad sker der mens en eventuel sag behandles ved energiklagenævnet eller domstolen.

Vil personer være suspenderet eller ej?

Med venlig hilsen

Kim Gersager Henriksen

M: +45 2149 8154

T: +45 3345 6543

www.fdo.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Energistyrelsen

Center for Beredskab

Carsten Niebuhrs Gade 43

1577 København V

(Sendt elektronisk til:

[email protected]

og i kopi til:

[email protected]

[email protected])

Høringssvar vedr. forslag til lov om styrket beredskab i energisek-

toren – Journalnummer 2023-6652

Danske Rederier (i høringslisten anført under vores tidligere navn, Dan-

marks Rederiforening) kvitterer hermed for modtagelsen af høringsbrev

af 12. juni 2024 om forslag til lov om styrket beredskab i energisektoren,

journalnummer 2023-6652. Da Danske Rederiers medlemskreds både

omfatter virksomheder, som direkte vil blive omfattet af lovforslaget, og

virksomheder, som evt. indirekte kan blive omfattet af lovforslaget ved at

være underleverandører til virksomheder i energisektoren, har vi neden-

stående kommentarer til lovforslaget.

Indledningsvis finder Danske Rederier det positivt, at lovforslaget adres-

serer behovet for at sikre kritisk infrastruktur med ensartede EU-regler på

tværs af grænserne i den Europæiske Union. Lovgivning angående sik-

ring af kritisk infrastruktur kan have stor betydning for den grønne omstil-

ling med nye teknologier og PtX-produkter, men også for eksisterende

energiformer som eksempelvis vindenergi og olie og gas, samt rammer-

ne og kriterier for udbud indenfor disse.

Samtidigt er energi- og sikkerhedspolitik blevet tættere forbundet, og der-

for hilser vi lovforslagets fokus på både fysisk sikring og cybersikring vel-

kommen. Vi havde dog gerne set, at lovforslaget vedr. styrket beredskab

(implementering af NIS 2 og CER-direktiverne) inden for Forsvarsmini-

steriets ressort havde været sendt i høring samtidig med dette lovforslag,

så der havde været bedre mulighed og tid til at sammenholde de to lov-

forslag.

10. juli 2024

Sagsnummer:

EMN-2024-00343

1/4

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Af mere specifikke kommentarer ønsker Dansk Rederier at gøre op-

mærksom på følgende:

Definition af kritisk infrastruktur

Lovforslaget har fokus på fastsættelsen af klare definitioner af kritisk in-

frastruktur og hvem der er omfattet. Danske Rederier mener, at det er

vigtigt for at sikre klarhed og en tydelig ansvarsfordeling. Ud over defini-

tion af hvad der skal sikres, er det afgørende, at der er fokus på, hvornår

og i hvilket omfang kritisk infrastruktur skal sikres. Vi noterer os i den

forbindelse, at der i bemærkningerne til § 1 (ref. formål, side 111) står, at

der ”ikke vil blive stillet krav til virksomhederne om, at de aktivt skal kun-

ne beskytte sig mod terrorangreb el. angreb af en militaristisk natur. Det

er således i udgangspunktet kun den civile sektors ansvar at have passi-

ve beskyttelsesforanstaltninger [til at] kunne beskytte sig mod kriminelle,

idet staten har til opgave [at] beskytte Danmark igennem suverænitets-

hævelse…”. I den forbindelse skal det dog bemærkes, at der foregår ak-

tiviteter (eksempelvis vindenergi samt olie- og gasindvinding) i den øko-

nomiske zone og dermed uden for territorialgrænsen. Lovforslaget tager

dog højde for dette ved at sidestille både VE- og olie- og gasanlæg, samt

ved at have ensartede regler på henholdsvis søterritoriet, den eksklusive

økonomiske zone og kontinentalsokkelen. Der bør dog foretages en klar

stillingtagen til, hvornår noget er et angreb af militaristisk natur på Dan-

mark – med særlig vægt på, hvordan et angreb på installationer i den

eksklusive økonomiske zone betragtes. Ligeledes kan det med fordel

tydeliggøres, hvorvidt beskyttelse mod eksempelvis klima- eller miljøakti-

visme, der potentielt, enten tilsigtet eller utilsigtet, vil kunne lukke et an-

læg ned eller forårsage skader, er omfattet af lovforslaget.

Trusselsvurderinger

For at virksomhederne kan udarbejde de krævede beredskabsplaner,

skal der tages udgangspunkt i udarbejdede risiko- og sårbarhedsvurde-

ringer, som bør baseres på aktuelle sektorbasserede trusselsvurderin-

ger. Det må forventes, at det fra myndighedernes side sikres, at relevant

information om trusselsbilledet - evt. også på klassificeret niveau - tilgår

de virksomheder, som er udpegede som kritiske enheder. Dette vil være

2/4

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

med til at sikre, at forskellige virksomheders beredskabsplaner udarbej-

des med baggrund i samme trusselsvurdering.

Leverandørstyring

I forbindelse med udarbejdelse af virksomhedens risikovurdering peges

der på, at risici for forsyningssikkerheden skal tages i betragtning, når

der indgås leverandøraftaler. I den forbindelse nævnes der i bemærknin-

gerne (ref. side 53) at virksomhederne ”stiller krav til deres leverandører”

og at ”leverandøren overholder beredskabsreguleringen, samt at virk-

somhederne fører kontrol hermed”. Umiddelbart virker det som en poten-

tiel stor udbredelse af lovforslagets rammer, da det bør bemærkes, at en

leverandør kan komme fra en anden sektor (og ressortområde), hvor der

måske stilles andre lovmæssige krav end for energisektoren. Yderligere

kan der være kommercielle forhold, som kan begrænse hvad en virk-

somhed med rimelighed kan kræve at kontrollere hos sin leverandør. Der

bør, af hensyn til leverandører, være klarhed over omfanget af krav, der

inden for rimelighedens grænser kan stilles af en virksomhed til dens

leverandør, uden at virksomheden forbryder sig mod beredskabsloven

for energisektoren. Desuden bør det præciseres, hvilke regler og krav

der gælder for underleverandører, som kommer fra en anden sektor,

uden at denne lovgivning kommer i strid med sektoransvarsprincippet.

Omkostninger og gebyrer

Lovforslaget mangler klarhed omkring omkostningerne forbundet med

sikring af kritisk infrastruktur. Vi noterer os, at gebyrordningen bygger på

allerede eksisterende praksis. Men som det også anføres i bemærknin-

ger om de økonomiske konsekvenser for erhvervslivet, må det forventes,

at de nye regler vil medføre ikke ubetydelige udgifter for de omfattede

virksomheder og potentielt deres leverandører. På den baggrund fore-

kommer det, at der lægges uforholdsvis meget vægt på myndighedernes

finansiering af tilsyn og håndhævelse i lovforslaget.

Danske Rederier opfordrer til, at der sikres en balanceret fordeling af

udgifterne mellem virksomheder og myndigheder, samt en klar skillelinje

mellem hvem der har ansvaret for at afholde hvilke omkostninger i for-

bindelse med sikringen af kritisk infrastruktur – snarere end snævert fo-

3/4

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

kus på udgifter og gebyr i forbindelse med øget tilsyn. Yderligere bør der

være specifik klarhed omkring, hvad der fra staten stilles til rådighed for

virksomhederne, og hvilke forpligtigelser virksomhederne pålægges i

forbindelse med sikringen.

Ikrafttræden

Det noteres, at loven forventes at træde i kraft 1. januar 2025. Ligeledes

forventes det, at der med lovforslaget er en række erhvervsøkonomiske

konsekvenser til bl.a. omstillingsomkostninger. Desuden er det forståel-

sen, at lovforslaget vil blive fulgt op af nærmere regler fastsat på be-

kendtgørelsesniveau. Derfor bør der både af budget-, planlægnings- og

investeringsmæssige hensyn, ikke mindst for de virksomheder, der ikke

tidligere har været beredskabsreguleret, være en rimelig og realistisk

implementeringsfase. Umiddelbart fremgår der ikke noget om overvejel-

ser i den retning i bemærkningerne til lovforslaget.

Danske Rederier ser frem til den videre dialog om udformningen af

nærmere regler og lovgivning i forlængelse af implementeringen af direk-

tiverne ved dette lovforslag.

Med venlig hilsen

Morten Glamsø

Sikringschef

[email protected]

4/4

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Energistyrelsen

Center for beredskab

[email protected]

DATO:

1. juli 2024

PROJEKTNR.:

7043

sv/cvhc/hka

Lov om styrket beredskab i energisektoren

Dansk Vand og Spildevandsforening, DANVA, takker for muligheden for at bidrage i hø-

ringsfasen og invitationen til interessentmødet 18.06.2024. Vand og spildevand er i nær-

værende sammenhæng ikke defineret som tilhørende energisektoren og er dermed ikke di-

rekte berørt af den foreslåede lovgivning. De facto vil adskillige af vores medlemmer, der

er multi-forsyninger dog blive berørt.

Vi vil derfor gerne fremføre følgende budskaber:

-Det uhensigtsmæssige, fragmenterede sektoransvar inden for forsyningsbranchen bør

snarest muligt afklares /genovervejes.

-Folketinget bør vedgå, at implementeringen af beredskabsdirektiverne er et pionerar-

bejde, som fordrer, at der sker en evaluering af reguleringen inden for en kort tidshorisont

(2-3 år).

-Obligatorisk, lokal beredskabskoordinering mellem beredskabsmyndigheden og repræsen-

tanter for de kritiske/vigtige enheder inden for de forskellige forsyningsbrancher er et vig-

tigt element i at sikre et robust lokalsamfund – og dermed virkeliggørelse af de overord-

nede formål med de to beredskabsdirektiver.

Uddybning

Uhensigtsmæssig fragmenteret sektoransvar

Der er gensidig afhængighed mellem forsyningsarterne: Alle de øvrige forsyningsarter har

et afhængighedsforhold til El. Vand skal bruges til køling, som varmeselskaberne har an-

svaret for, og endvidere forventes omfattende levering af bl.a. spildevand til PtX-produkti-

onsselskaber, der producerer brint.

De faktiske rammevilkår er sammenlignelige, hvilket SektorCert er et eksempel på. Her er

der et tæt samarbejde mellem sektorerne, som er afgørende for at sikre it-sikkerhed for

kritisk infrastruktur i Danmark.

De danske forsyningsarter har desværre ikke samme sektormyndighed, når det gælder

beredskab. Dette afspejler efter vores vurdering ikke virkelighedens behov, idet der er

multi-forsyninger, som inkluderer flere forskellige forsyningsarter, som er omfattet af dels

NIS2 dels CERD.

VANDHUSET

Godthåbsvej 83, 8660 Skanderborg

KØBENHAVN

| Vester Farimagsgade

1, 5. sal., 1606 København V | Tlf. 7021 0055

[email protected]

www.danva.dk

Side 1 af 2

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det betyder, at der er koncerner, der har flere forskellige forsyningsarter, og som reelt vil

blive omfattet af forskellige reguleringer udformet af flere ministerier, som tilmed forven-

tes at have forskellige tilgange til implementeringen (overimplementering contra mini-

mumsimplementering).

Det er afgørende, at der i tilblivelse af lovgivningen, sker en prioritering af koordineringen

mellem de relevante ministerier, og at der dermed sikres sammenlignelighed i f.eks. ter-

mer, krav, tilsyn og håndhævelse. Det bør være et klart mål, at multiforsyningerne ikke

oplever uhensigtsmæssig administration eller ekstra omkostninger pga. det fragmenterede

sektoransvar. Der er risiko for ekstra omkostninger, som forsyningerne ikke kan få dækket

pga. den økonomiske regulering af vand- og spildevandssektoren. Et eksempel kunne

være, hvis en multiforsyning vælger at lade hele koncernen følge den mere ambitiøse re-

gulering for energisektoren.

Evaluering indenfor kort tidshorisont

Implementering af de to beredskabsdirektiver er et pionerarbejde, som fordrer, at der er

vilje til at sikre evaluering af reguleringen inden for rimelig kort tid på 2-3 år. Der kan gi-

vetvis ske en optimering af organisering mm., og dette vil være synligt og mærkbart i

praktikken ret hurtigt. Nogle optimeringstiltag vil kunne ske via ændring af bekendtgørel-

ser, men der vil også være emner, som er lovbaseret og derfor kræver Folketingets invol-

vering.

Lokal beredskabskoordinering øger sikkerheden og samfundets robusthed

DANVA vil kraftigt opfordre til at benytte implementeringen af de to beredskabsdirektiver

til at fremme lokal beredskabskoordinering, hvor omdrejningspunktet er den lokale kompe-

tente beredskabsmyndighed/kommunalbestyrelsen og repræsentanter for de udpegede kri-

tiske enheder/vigtige enheder.

Beredskabsmyndigheden har en kommunal beredskabsplan, der har talrige snitflader til

forsyningernes beredskabsplaner og ansvarsområder. En drøftelse af snitflader, forventnin-

ger og muligheder er essentiel såfremt, at beredskabet skal kunne fungere. Dertil kommer,

at der vil være mulighed for, at der mellem de sikkerhedsgodkendte deltagere sker en ud-

veksling af erfaringer og identifikation af områder, hvor forsyningerne måske kan være

hinanden behjælpelige.

Da alle sektorer og myndigheder er presset opgavemæssige, er det nødvendigt med et ob-

ligatorisk krav om koordinering hvis tiltaget skal kunne fungere og bidrage til lokal ro-

busthed.

Med venlig hilsen

Carl-Emil Larsen

DANVA

Side 2 af 2

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Til:

Cc:

Fra:

Titel:

Sendt:

beredskab ([email protected])

Clara Næsborg Olsen ([email protected]), Alexander Berg ([email protected])

Michael Mücke Jensen ([email protected])

Journalnummer 2023-6652. Høring om forslag til lov om styrket beredskab i energisektoren

10-07-2024 10:53

[EKSTERN E-MAIL]

Denne e-mail er sendt fra en ekstern afsender.

Vær opmærksom på, at den kan indeholde links og vedhæftede dokumenter, som ikke er sikre,

medmindre du stoler på afsenderen.

Til Energistyrelsen Beredskab

Indledningsvis skal vi takke for Energistyrelsens inddragelse af de berørte sektorer i processen frem til den endelige

udformning af lovforslaget om styrket beredskab i energisektoren. Det har været en meget konstruktiv dialog med stor

lydhørhed for de særlige forhold, der gør sig gældende i forhold til forsyningen af brændstoffer.

Vi støtter generelt lovforslaget, som vil medvirke til at sikre, at vitale samfundsfunktioner kan opretholdes i en

krisesituation.

Vi har nedenfor givet vores konkrete kommentarer til lovforslaget.

Udmøntning i bekendtgørelser

Der er overordnet tale om en bemyndigelseslov, hvor de konkrete bestemmelser/anvisninger vil blive præciseret i

efterfølgende bekendtgørelser.

Vi har forstået, at disse vil komme i høring til efteråret og træde i kraft samtidig med selve loven.

Vi skal derfor opfordre Energistyrelsen til at inddrage de relevante sektorer, når de konkrete bestemmelser for disse skal

udmøntes i bekendtgørelserne, så bestemmelser kan blive så præcise som muligt og tage behørigt hensyn til de forhold, der

måtte gøre sig gældende i de berørte sektorer.

Vores medlemmer er kommercielle virksomheder og har derfor en åbenlys interesse i at opretholde en sikker forsyning af

deres produkter til forbrug i samfundet. Risiko-, sårbarheds- og beredskabsarbejde er derfor allerede i dag en afgørende del

af virksomhedernes daglige drift. Men, da de konkrete regler og anvisninger først vil være kendt meget tæt op til 1. januar

2025, er der behov for en overgangsperiode efter 1. januar 2025 for de enkelte virksomheder til at tilpasse og indrette sig på

de nye regler.

Tankstationer bør ikke omfattes

Som noget nyt er der i lovforslaget lagt op til, at hele forsyningskæden med brændstoffer – fra raffinaderi og ud til

tankstationen - er omfattet af lovforslaget. Vi er meget enige med Energistyrelsen i forhold til, at det samlede ”system” for

forsyning af brændstoffer er kritisk for at opretholde et velfungerende samfund.

Men den enkelte enhed i forsyningen udgør ikke i sig selv en kritisk enhed. Det gælder uanset om der er tale om et

raffinaderi, et depot eller for eksempel en kæde af tankstationer. I alle tilfælde vil der være andre dele af systemet, der kan

tage over og sikre forsyningen af brændstoffer ud til den enkelte forbruger.

Vi er derfor uforstående overfor, at lovforslaget går videre en NIS-/CER-direktiverne og inkluderer tankstationerne i

reguleringen. Uanset antallet af tankstationer eller produktomsætningen, som den enkelte virksomhed driver, vil det ikke

være kritisk for forsyningen af brændstoffer. Danmark hører til de lande i Europa med den tætteste koncentration af

tankstationer – både i forhold til afstande mellem stationerne og antal stationer per indregistreret køretøj. Så selvom en hel

kæde af tankstationer skulle ”falde ud”, vil der i umiddelbar nærhed være en tankstation fra en anden kæde af tankstationer,

som en bilist i givet tilfælde ville kunne tank fra.

Vi skal i øvrigt bemærke, at der ikke er konsistens mellem selve lovteksten, § 2 stk. 2, 5, hvor der både er angivet 600.000 m

eller 100 tankstationer som grundlag for at være omfattet af loven. Mens lovbemærkningerne til samme, for eksempel

nederst side 115 og 116, alene angiver omsætningen på 600.000 m

, som grundlaget for hvilke selskaber, som vil være

omfattet af bestemmelsen, og ikke grænsen på minimum 100 tankstationer.

Vi kan i den forbindelse oplyse, at der er seks selskaber, OK, Q8, DCC/Shell, Circle K, UnoX og Go’on, som driver mere end

100 tankstationer i et landsdækkende netværk. Derudover er der et selskab, Oil Tank&Go, som driver mindre end 100

tankstationer i et landsdækkende netværk. Endelig findes der mindre end 10 operatører af tankstationer, der driver stationer

i regionale/lokale netværk – typisk meget få stationer.

Af de seks selskaber er det kun to selskaber, OK og Circle K, der har et årligt salg på mere end 600.000 m

brændstof fra

deres tankstationer. Selv om begge disse selskabers stationer skulle ”falde ud”, vil de øvrige selskabers landsdækkende

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

netværk af stationer og den bagvedliggende distribution/forsyning være i stand til at opretholde forsyningen af brændstoffer

til vejtransport i hele landet.

Vi skal derfor endnu engang opfordre til, at denne del fjernes fra lovforslaget, så tankstationer ikke bliver omfattet.

Fastholdes denne del af lovforslaget, må det være en forudsætning, at Energistyrelsens tilsyn for denne del koordineres med

det øvrige beredskabstilsyn, som de pågældende virksomheder er underlagt – vi har fra vores hidtidige dialog med

Energistyrelsen forstået, at dette også vil være tilfældet. Det bør i givet fald derfor også afspejle sig i det gebyrniveau, som et

sådan tilsyn vil blive pålagt.

Vi står selvfølgelig til rådighed for en uddybning af ovenstående. I så fald kan undertegnede kontaktes.

Med venlig hilsen

Michael Mücke Jensen

Teknik- og miljøchef

T: +45 3345 6514

M: +45 2042 2636

www.drivkraftdanmark.dk

Twitter LinkedIn Facebook Instagram YouTube

Fra:

Beredskab, Energistyrelsen <[email protected]>

Sendt:

12. juni 2024 11:47

Til:

Beredskab, Energistyrelsen <[email protected]>

Emne:

Høring om forslag til lov om styrket beredskab i energisektoren

Nogle personer, der har modtaget denne meddelelse, modtager sjældent mails fra

[email protected]. Få mere at vide om,

hvorfor dette er vigtigt

Til rette vedkommende

Hermed sendes forslag til lov om styrket beredskab i energisektoren i offentlig høring. Lovforslaget kan findes

her:

https://hoeringsportalen.dk/Hearing/Details/68792.

Vedhæftet denne mail er:

1. Høringsversion af forslag til lov om styrket beredskab.

2. Høringsbrev.

3. Høringsliste.

Med venlig hilsen / Best regards

Center for Beredskab / Centre for Risk Preparedness

Danish Energy Agency -

www.ens.dk

- part of The Ministry of Climate, Energy and Utilities

Energistyrelsen er ansvarlig for behandlingen af de personoplysninger, vi modtager om dig. Du kan læse mere om, hvordan vi behandler dine

personoplysninger på vores hjemmeside

https://ens.dk/om-os/energistyrelsens-behandling-af-personoplysninger

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

beredskab ([email protected])

Clara Næsborg Olsen ([email protected]), Alexander Berg ([email protected]), Søren Büchmann Petersen

([email protected])

[email protected] ([email protected])

Fra:

Titel:

SV: Høring om forslag til lov om styrket beredskab i energisektoren - journalnummer 2023 - 6652

Sendt:

03-07-2024 08:54

Til:

Cc:

Til

Center for beredskab

Carsten Niebuhrs Gade 43

1577 København

Hermed bemærkninger fra DTL-Danske Vognmænd, der er brancheforening for ca. 1.400 vognmænd, der

kører gods for fremmed regning med lastbiler og varebiler.

Transporterhvervet, herunder de der kører med varebiler og lastbiler, står over for en stor omstilling fra

anvendelse af primært dieselolie i forbrændingsmotorer til anvendelse af elektricitet i el-motorer, og i et

endnu uvist omfang anvendelse af brint. Biogas og Power2Fuel kan også blive vigtige alternativer herunder

hvis sårbarheden af forsyningssikkerheden ønskes nedsat.

Vi noterer, at der i lovforslaget ikke er meget direkte om fx vejtransport, men der er et afsnit om benzin og

diesel ift. vejtransport, hvor vi med tilfredshed noterer

hensynet til at beskytte forsyningen af benzin og

diesel til vejtransport. Vi noterer også, at Danmark er et af de lande med den største koncentration af

tankstationer pr. indbygger, og at Klima-, Energi- og Forsyningsministeriet har valgt at foreslå, at kun de

største operatører skal omfattes, således der altid være et minimum af forsyning af olieprodukter til

understøttelse af vejtransporten. I den forbindelse skal DTL foreslå, at tankstationerne, der er færre i antal,

og som betjener lastbiler (truck-anlæg) får en særlig prioritet.

Vi ser ikke noget specifikt om el-forsyning til vejtransport i lovforslaget, men noterer med tilfredshed

opmærksomheden på (

§ 3, stk. 1, nr. 9), at »energilagring« defineres som i elektricitetssystemet,

udsættelse af den endelige anvendelse af elektricitet til et senere tidspunkt end det, hvor den blev

produceret, eller konvertering af elektrisk energi til en energiform, der kan lagres, lagringen af sådan energi

og den efterfølgende rekonvertering af sådan energi til elektrisk energi eller anvendelse som anden

energibærer.

Et fremtidigt vejtransportsystem, der er vidt omfang måtte blive baseret på elektricitet, vil selv med udbredt

anvendelse af store batterier i lastbiler og ved el-ladeanlæg være langt mere sårbart i forhold til

forsyningssikkerhed end det nuværende dieselolie-baserede vejtransportsystem.

Vi noterer også i lovforslaget, at i

takt med at brint bliver en vigtigere del af det danske energisystem, bør

modstandsdygtigheden af brintforsyningen også understøttes. DTL er enig i , at der på sigt i Danmark må

forventes være en del af de danske forbrugere og virksomheder – herunder i vognmandserhvervet, der vil

være afhængige af den brint, som produceres på de brintproducerende anlæg. Beredskabsreguleringen af

brintsektoren bør tage højde for denne forudsete udvikling af brintsektorens kritikalitet, hvor

brintproducerende anlæg går fra at være kritiske for elforsyningssikkerheden på baggrund af deres forbrug

af el til i stigende grad også at være kritiske på baggrund af den brint og dermed de PtX-produkter, som

elektriciteten omdannes til på anlæggene.

DTL-sag: 24-212

Med venlig hilsen

Ove Holm

Underdirektør

Erhvervspolitisk chef

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

DTL - Danske Vognmænd

Grønningen 17, mezz

1270 København K

Tlf.:

+45 7015 9500

Mobil: +45 2344 2909

Fra:

Beredskab, Energistyrelsen <[email protected]>

Sendt:

12. juni 2024 11:47

Til:

Beredskab, Energistyrelsen <[email protected]>

Emne:

Høring om forslag til lov om styrket beredskab i energisektoren

Til rette vedkommende

Hermed sendes forslag til lov om styrket beredskab i energisektoren i offentlig høring. Lovforslaget kan findes

her:

https://hoeringsportalen.dk/Hearing/Details/68792.

Vedhæftet denne mail er:

1. Høringsversion af forslag til lov om styrket beredskab.

2. Høringsbrev.

3. Høringsliste.

Med venlig hilsen / Best regards

Center for Beredskab / Centre for Risk Preparedness

Danish Energy Agency -

www.ens.dk

- part of The Ministry of Climate, Energy and Utilities

Energistyrelsen er ansvarlig for behandlingen af de personoplysninger, vi modtager om dig. Du kan læse mere om, hvordan vi behandler dine

personoplysninger på vores hjemmeside

https://ens.dk/om-os/energistyrelsens-behandling-af-personoplysninger

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Energi Danmark A/S høringssvar til forslag til Lov om styrket beredskab

Vi takker for muligheden for at give bemærkninger til høringen vedrørende forslag til Lov om styrket

beredskab i energisektoren.

Energi Danmark A/S hilser det velkomment, at Klima-, Energi- og Forsyningsministeriet foreslår en

direktivnær implementering, som i store træk holder sig til en minimumsimplementering af kravene i

NIS2 og CER direktiverne.

Energi Danmark har imidlertid noteret sig, at der i lovforslagets § 8, stk. 2, nr. 2 foreslås bemyndigelse

til, at Klima-, energi- og forsyningsminilsteren efter forhandling med forsvarsministeren, fastsætter

nærmere regler for etablering af netværks- og infrastruktursikkerhed, herunder principper for

netværksarkitektur og -topologi med henblik på at minimere risici for virksomheders net- og

informationssystemer. Vi konstaterer, at kravene om netværkssegmentering udgør et tillæg til NIS2

direktivet, som ikke konkret behandler dette. Samtidig bakker vi op om, at der deﬁneres krav til

netværkssegmentering.

I sammenhæng med ovenstående vil vi opfordre til, at der, ved udarbejdelsen af de nærmere regler,

indtænkes en præcis deﬁnition af OT-netværk, idet dette vil være afgørende i forhold til at deﬁnere,

hvornår der stilles krav om fysisk segmentering. Dette synes ikke præcist deﬁneret i lovforslagets

almindelige bemærkninger, specielle bemærkninger eller som redegjort for ved sektormøde afholdt af

Energistyrelsen den 18. juni 2024. Energi Danmark A/S vil gerne benytte lejligheden til at opfordre til, at

der ved udarbejdelsen af de nærmere regler, i henhold til lovforslagets § 8, stk. 2., indarbejdes

anerkendte principper for netværkssegmentering. Kravet om, at VLAN ikke er tilstrækkelige for

segmentering mellem IT- og OT-netværk, bør således klart relateres til et speciﬁkt framework, der

deﬁnerer "IT Netværk" og "OT Netværk." Dette er især relevant, da værdikæden inkluderer

internetforbindelse, uden reelle alternativer, hvilket gør situationen kompleks.

Værdikæden for produktionsbalanceansvarlige består af en række integrationer og processer, der i

sidste ende påvirker strømproduktionen. Dette indebærer at modtage og sende data til API'er, såsom

vejrdata, der styrer forecastmodeller, eller beskeder om at øge/sænke produktionen. Dette inkluderer

også datalag, som lokale databaser eller prognosedata, der styrer de algoritmer, som sætter signalerne.

Vi foreslår at tage udgangspunkt i Purdue-modellen, som opstiller et anerkendt framework for

dannelsen af deﬁnitioner.

Purdue Modellens Struktur:

Niveau 5: Enterprise Netværk

Niveau 4: Forretningslogistiksystemer (Kontornetværksarbejdsstationer)

Niveau 3.5: IT/OT DMZ

Niveau 3: Driftsstyring

Niveau 2: Supervisory Control (SCADA Systemer, OPC-kommunikation)

Niveau 1: Basisstyring (PLC'er, RTU'er)

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Niveau 0: Proces (Sensorer, Aktuatorer)

Med henvisning til Purdue-modellen foreslår vi en tilgang, hvor deﬁnitionen af ”OT-netværk” placerer sig

mellem Niveau 3 og 4 i Purdue-modellen skitseret ovenfor. Kravet om fysisk segmentering bør ﬁnde sted

mellem Niveau 2 og 3, da dette vil sikre, at der ikke er PC'er i et kontrolcenter, som har direkte forbindelse

til SCADA-systemer, PLC'er eller andre systemer uden adgangskontrol som en ﬁrewall.

En upræcis eller for vidtgående deﬁnition af ”OT-netværk” kan føre til, at alle netværk og datalag

betragtes som relevante for beslutningsprocessen om start/stop af produktion. Dette inkluderer

API'er/webservices og datatjenester på internettet, som driver integrationer, der i sidste ende sender

kommandoer til kontrolsystemer eller OPC. Et alternativ kunne være et dedikeret nationalt

kontrolnetværk. Mens det er logisk at kræve, at der ikke må være fysiske forbindelser til omverdenen, er

det nødvendigt at speciﬁcere den præcise grænse i værdikæden. Ellers opfyldes segmenteringskravet

ikke, medmindre vi opgiver brugen af internettet, som alle produktionsbalanceansvarlige er afhængige

af.

Slutteligt vil vi henstille til, at hensynet til sikkerhed på passende vis balanceres med hensynet til fair

konkurrence, idet for strenge krav til sikkerhedsniveau vil kunne begrænse antallet af aktører og dermed

hæmme en fair prissætning.

Med venlig hilsen

Martin Lindholst

Energi Danmark

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

1/3

Energinet

TonneKjærsvej

DK-7000

Fredericia

NOTAT

+45 70 10 22 44

[email protected]

CVR-nr.

28980671

Dato:

8. juli 2024

HØRINGSSVAR

- FORSLAG LOVOM STYRKET

TIL

BEREDSKAB

I ENERGISEKTOREN

Energinettakker for mulighedenfor at komme med bemærkninger forslagtil lov om styrket

til

beredskab energisektoren.

Energinethar gennemgået

forslagetmed fokus på de elementer,der har særligbetydningfor

Energinet,

oghar målrettet kommenteringen lovforslagets

til

enkeltebestemmelser.

Forfatter:

SGL/SGL

Energinets

bemærkninger

§2

Energinethar i forhold til lovensanvendelsesområde

glædeligtbemærket,at hele gassektoren,

operatøreraf ladestationersamt fremtidigeoperatørerinden for brintproduktion,-lagring og -

transmission,

omfattesaf lovforslaget.

Det står dog ikke Energinethelt klart, hvorledesman vil opgøreleveringsomfang selskaber,

fra

som måtte have en fællesSCADA-løsning, om der fortsat er mulighedfor samordnetbe-

altså

redskab.Dette bør der tagesstilling til i forhold til kategorisering det selskab,der har den

samlende

kontrolrumsfunktion.

Derudoverbør det fremgåmere udtrykkeligt,at NordicRCC omfattet af lov om styrket bered-

skabi energisektoren, Nordic RCC til opgavebl.a. at koordinereregionalesikkerhedsbe-

har

regninger,TSO’ernes

tiltag til sikringaf systemsikkerhed

samt opfølgningog rapporteringi til-

fældeaf blackout.

§7

Med tankepå Energinets

lokationerog anlæger det ikkegivet,at klasserne el-og gasområdet

på

vil blive anvendtoptimalt i forhold til intentioneni lovforslaget. er f.eks.meget stor forskel

Det

på kritikalitetenaf en 60 kV-stationog et kabelskab.

Dette kunnetale for at deleden nuværende

klasse i 2, så den øvre del bliver den fremtidigeklasse2 og den nedre del blive den fremtidige

klasse1. Ligeledes det Energinetsbekymring,om klassernes

inddelingsikrer, at de kritiske

anlægfaktiskkommeri klasse5.

Dok.18/06595-233

Offentlig/Public

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

2/3

Energinet har desuden noteret sig, at der på en række områder, jf. lovforslagets bemærkninger,

vil være behov for betydelige stramninger set i forhold til den eksisterende regulering, som for-

venteligt vil kræve en del investeringer, samt en passende tidshorisont til at udføre i praksis.

§ 8, stk. 2, nr. 3

Med lovforslaget vil ministeren fastsætte nærmere sikkerhedskrav til geografisk placering af drift

af net- og informationssystemer.

Med bemærkningerne hertil noterer Energinet sig, at der vil blive fastsat nærmere regler om en

risikobaseret tilgang til outsourcing til leverandører, hvorefter virksomhederne skal forholde sig

til efterretningstjenesternes trusselsvurderinger, geografiske placering, kontrolrum og nødkon-

trolrum, service og vedligehold samt fjernadgang.

Energinet imødeser udmøntningen af de konkrete sikkerhedskrav for nærmere vurdering og

drøftelse af kravenes rækkevidde/konsekvens for Energinet.

§9

Det fremgår af lovforslaget, at der kan fastsættes regler om europæisk cybersikkerhedscertifice-

rede IKT-produkter, - tjeneste og -processer. Vil der være en overgangsfase og/eller dispensati-

onsadgang i forbindelse med kravets udmøntning? Og hvilken betydning har kravet for de ener-

givirksomheder, som måtte have egenudviklede applikationer og processer?

§ 11, stk. 2

Energinet ser meget gerne, at den nuværende praksis på området afspejles i lovforslagets be-

mærkninger, så det fremgår af lovbemærkningerne, at fastsættelsen af beredskabsforanstalt-

ninger sker efter faglig kommentering fra Energinet. Det er Energinets opfattelse givet erfarin-

gerne, at en sådan faglig kommentering også i krisesituationer kan håndteres hurtigt.

§ 11, stk. 4

Ifølge ordlyden kan Energinet i en beredskabssituation omfattende sikkerhedsrelaterede hæn-

delser melde sektorberedskabsniveauer og foranstaltninger ud. Ifølge den nuværende regule-

ring kan Energinet ligeledes hæve beredskabsniveauet under storm, oversvømmelser, gasrør-

svigt mv. Energinet ser gerne, at der fortsat er mulighed for at anvende disse mere driftsnære

værktøjer.

§ 14

Energinet noterer sig, at offentliggørelse kun vil ske i det omfang, at det er i offentlighedens

interesse og efter forudgående høring af virksomheden. En risiko for pålæg om offentliggørelse

kan i værste fald være kontraproduktivt i forhold til at få indberetninger omkring hændelser,

som er nødvendige for at kunne forebygge og håndtere hændelser. En mulighed kan være at

anonymisere virksomheden og det konkrete omfang – men transparent om den konkrete trus-

sel.

§ 16

Med denne bestemmelse vil der blive fastsat nye regler om adgang og betingelser for sikker-

hedsgodkendelser. Disse vil betyde en ændring i forhold til Energinets nuværende praksis for

sikkerhedsgodkendelser, idet der vil blive fastsat nye betingelser for virksomhedernes sikker-

hedsgodkendelser og baggrundskontrol.

Dok.18/06595-233

Offentlig/Public

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

3/3

Det er påkrævet, at der findes et levedygtigt set up, der sikrer, at virksomhederne kan få indhen-

tet de nødvendige sikkerhedsgodkendelser og baggrundstroller, så der kan foretages en rettidig

vurdering af, om personer kan gives adgang til virksomhederne.

§ 23

Det fremgår af lovforslagets ordlyd, at der kan ske midlertidig suspendering af en certificering.

Hvilke certificeringsordninger hentydes der i den forbindelse til?

Hvis nærværende høringssvar giver anledning til spørgsmål eller noget ønskes uddybet, kan

Energinet kontaktes på

[email protected]

Med venlig hilsen

Sisse Guldager Larsen

Energinet Myndighedsenheden

Dok.18/06595-233

Offentlig/Public

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Klima-, Energi- og Forsyningsministeriet, Energistyrelsen

Carsten Niebuhrs Gade 43

1577 København V

Fremsendt til [email protected] med kopi til [email protected] og

[email protected].

9. juli 2024

Sagsnr.: EMN-2024-01590

Tlf. direkte: 6225 9125

[email protected]

Evidas høringssvar om Lov om styrket beredskab i energisektoren – j.nr. 2023-6652

Klima-, Energi- og Forsyningsministeriet har den 12. juni 2024 sendt forslag til Lov om styrket

beredskab i energisektoren i høring med svarfrist den 10. juli 2024, j.nr. 2023-6652.

Evida takker for muligheden for at afgive høringssvar i forbindelse med ovennævnte.

1. Definitioner

1.1. §§ 2 og 3

Det fremgår af forslagets § 2, stk. 1, at loven finder anvendelse på følgende virksomheder, når

disse leverer deres tjenester eller udfører deres aktivitet inden for Danmark: (…), 2) Distributi-

onssystemoperatører.

Det fremgår af § 3, at

§ 3.

I denne lov forstås ved følgende:

6) Distributionssystemoperatører: En fysisk eller juridisk person, der er ansvarlig for

driften, vedligeholdelsen og om nødvendigt udbygningen af distributionssystemet i et

givet område samt i givet fald dets sammenkoblinger med andre systemer og for at

sikre, at systemet på lang sigt kan tilfredsstille en rimelig efterspørgsel efter distribution

af elektricitet eller gas.

11) Gasforsyningsvirksomheder: Enhver fysisk eller juridisk person, der varetager forsy-

ningsopgaven.

21) Naturgasvirksomheder: Enhver fysisk eller juridisk person, der driver mindst en af

følgende former for virksomhed: produktion, transmission, distribution, forsyning, køb

eller oplagring af naturgas, herunder LNG, og som er ansvarlig for de kommercielle, tek-

niske og/eller vedligeholdelsesmæssige opgaver i forbindelse med disse aktiviteter,

men som ikke er endelig kunde.

Det bemærkes indledningsvist, at ”distributionssystemoperatør” og ”gasforsyningsvirksom-

hed” alene anvendes i relation til definitionsafsnittene i forslaget, mens ”naturgasvirksomhed”

endvidere anvendes i bemærkningerne.

Det fremgår af Gasforsyningsloven, LBKG nr. 1100 af 16.08.2023, at et distributionsselskab er

enhver fysisk eller juridisk person, der varetager distribution og er ansvarlig for driften og ved-

ligeholdelsen og om nødvendigt etablering og ændring af selskabets infrastruktur for at sikre,

at distributionssystemet på lang sigt kan tilfredsstille en rimelig efterspørgsel efter distribution

af gas, jf. § 6, nr. 6.

I henhold til Gasforsyningsloven er Evida Nord A/S, Evida Syd A/S og Evida Fyn A/S således

distributionsselskaber.

Evida

www.evida.dk

Vognmagervej 14

8800 Viborg

Tlf. +45 7789 9000

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det er Evidas opfattelse, at der bør være overensstemmelse mellem lovteksterne, herunder

definitionerne, hvorfor det bør præciseres, hvornår der er tale om andre definitioner.

I den forbindelse er det ligeledes relevant at nævne, at det virker uigennemsigtigt med tre

definitioner, der i større eller mindre grad kan omfatte de samme selskaber, og hvor der ikke

er en entydig og klar opdeling i forhold til, hvornår det ene anvendes frem for det andet.

1.1.1.

§ 3, nr. 17

Det fremgår af forslagets § 2, stk. 1, nr. 17, at loven finder anvendelse på operatører inden for

brintproduktion, -lagring og -transmission.

Det bemærkes i den forbindelse, at nr. 17 ligeledes bør indeholde en henvisning til operatører

inden for brintdistribution, da der i dansk kontekst er tale om såvel transmission som distribu-

tion på brintsiden.

2. Bemærkninger til Kapitel 3

2.1. Ad § 6. Organisatorisk beredskab

Det fremgår af forslagets § 6, stk. 1, at virksomheder skal foretage nødvendig beredskabsplan-

lægning og gennemføre passende organisatoriske foranstaltninger for at beskytte leveringen

af deres tjenester og sikre effektiv genoprettelse af deres tjenester.

Det bør præciseres, hvad begrebet ”tjenester” dækker over. Det er således ikke helt tydeligt,

tjenester

i f.eks. Evidas tilfælde vil omfatte gasdistribution som helhed, eller om det er

samtlige underliggende (del)tjenester. Det er dog Evidas umiddelbare forståelse af begrebet,

at det dækker over tjenesten som helhed.

2.2. Ad § 7. Fysisk sikring

Det fremgår af forslagets § 7, stk. 1, at virksomheder skal træffe passende foranstaltninger for

at opretholde nødvendig fysisk sikring af lokationer og anlæg, der bruges til at levere virksom-

hedens tjenester, eller hvorfra drift af net- og informationssystemer finder sted.

Det fremgår endvidere af § 7, stk. 2, nr. 3, at der kan fastsættes nærmere regler om fysisk

sikring, herunder om tilstrækkelig fysisk sikring af virksomhedens anlæg og lokationer, herun-

der kontrolrum og kontrolrummets arbejdsstationer.

Det følger af bemærkningerne, at

Den foreslåede bestemmelse vil gennemføre dele af CER-direktivets artikel 13, stk. 1,

litra b, hvorefter kritiske enheder sikrer tilstrækkelig fysisk beskyttelse af deres lokaler

og kritiske infrastruktur under behørig hensyntagen til f.eks. hegn, barrierer, værktøjer

og rutiner til overvågning af perimetre.

Bestemmelsen vil medføre, at den fysiske sikring skal etableres uanset, om der er tale

om anlæg der allerede er i drift eller anlæg, som er projekterede eller under etablering.

Her forstås fysisk sikring som perimeter-, skal- og cellesikring. Det vil sige, at der skal

være sikring af den ydre grænse rundt om anlægget, sikring af anlægget, herunder an-

læggets bygninger og ydre mure og sikring af udvalgte rum eller komponenter. Med

den foreslåede ordning, sikres der sammenhæng mellem virksomhedens fysiske sikring

af anlæg og lokationer og de overvågnings- og detektionsforanstaltninger, der er fore-

slået i § 7, stk. 2, nr. 3.

2/3

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

(…) Ifølge den foreslåede bestemmelse skal virksomhederne derudover sikre, at der er

tilstrækkelig afskærmning af anlæg, lokationer og komponenter for visuel eksponering,

således at uvedkommende ikke kan få adgang til eller indblik i informationer, der har

betydning for leveringen af virksomhedens tjenester.

I relation til ovenstående bemærkes det, at Evida som gasdistributionsselskab adskiller sig væ-

sentligt fra elnettet, idet Evida har mere end 1000 stationer, hvilket er flere end på elnettet.

Det er ikke helt tydeligt for Evida hvilket niveau af sikkerhed, der skal etableres og i hvilket

omfang.

Det bør således præciseres, hvad

tilstrækkelig

dækker over.

2.3. § 19

Det fremgår af forslagets § 19, stk. 2, nr. 4, at klima-, energi- og forsyningsministeriet som led

i sin tilsynsforpligtelse kan foretage sikkerhedsscanninger og penetrationstest af virksomhe-

dens net- og informationssystemer samt fysiske lokationer.

Det bemærkes i den forbindelse, at det bør præciseres under hvilke omstændigheder, penet-

rationstests vil forekomme.

Det bør endvidere præciseres, om penetrationstests sker med eller uden varsel. Det er Evidas

vurdering, at penetrationstests alene skal ske varslet af hensyn til sikring af fortsat drift i virk-

somheden.

Det er ligeledes væsentligt, at tests ikke kompromitterer forsyningssikkerheden.

***

Evida står til rådighed, hvis der er spørgsmål til ovenstående.

Med venlig hilsen

Evida

3/3

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Til:

Fra:

Titel:

Sendt:

Energistyrelsen ([email protected])

Anna Præcius Lunde ([email protected])

VS: Høring - Forslag til Lov om styrket beredskab i energisektoren

02-07-2024 15:09

Kære Energistyrelse

Jeg skriver til jer i anledning af, at vi i forsyningen har nogle spørgsmål, som jeg har indsat nedenfor:

1. Jeg håber, at I kan hjælpe med at bekræfte, at høringen ikke gælder for vand og spildevand? For så

må der vel forventes en mere?

Høringsversion af forslag til lov om styrket beredskab.pdf

(prodstoragehoeringspo.blob.core.windows.net)

2. Er det korrekt læst, at der generelt ikke er noget ift. NIS2, der er ”revolutionerende” ift. direktivet –

udover at der stadig er meget, der er overladt til fortolkning?

3. Det præciseres, hvor stor en produktion man skal have på forsyningsarterne for at være omfattet

El produktion: 25 MW el (Stk.2 - 1) ) - så vidt jeg kan se i årsrapporten 2023 producerer vores

vindmøller 69.000 MW –

så gælder NIS2 vel også for vedvarende energi ?

Gas: 26 mio.Nm3 (Stk.2 - 3) – vi bruger under 1 mio. m3 –

så tænker ikke bygassen er

omfattet?

Er i tvivl ift. fjernkøl – der er omfattet (jf. stk.1, 8) ), men det er ikke præciseret hvor stor

produktionen skal være.

Er det samme grænse som der nævnes for fjernvarmen?

På forhånd mange tak for jeres tid!

Venlig hilsen

Anna Præcius Lunde

Jurist

Frederiksberg Forsyning A/S

Stæhr Johansens Vej 38

2000 Frederiksberg

Direkte +45 38 18 52 29

Mobil +45 30 76 62 29

Hovednummer +45 38 18 50 00

Web www.frb-forsyning.dk

CVR-nr. 28500769

Vi passer godt på dine personoplysninger

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Energistyrelsen

Center for beredskab

Carsten Niebuhrs Gade 43

1577 København V

Att.: Kontorchef Jesper Rode Tholstrup

Pr. e-mail:

[email protected];

cc:

[email protected]; [email protected]

10. juli 2024

Høring over forslag til lov om styrket beredskab i energisektoren

–

jour-

nalnummer: 2023-6652

Tak for muligheden for at kommentere denne høring. Vi har følgende bemærkninger:

Side 16 (§ 22, stk. 1 og 3) + side 217-219 (§ 22)

Vi har bemærket, at der henvises til ”uafhængig revisor”. Vores forslag er, at

termen

”godkendt uafhængig revisor” anvendes

i stedet for.

Side 49 + side 53, afsnit Leverandørstyring

Risici i relation til leverandører bliver beskrevet, hvilket er fint. Vi foreslår, at der overve-

jes mere konkrete mekanismer til overvågning af leverandør til kritisk infrastruktur, ek-

sempelvis via revisionserklæringer udarbejdet af godkendt uafhængig revisor. Til inspi-

ration henvises til template ”Uafhængig revisors ISAE 3000-erklæring

med begrænset

sikkerhed om foranstaltninger til styring af risici i relation til net- og informationssyste-

mer og rapporteringsforpligtelser i henhold til aftale med [Kunde]”

udarbejdet af FSR

–

danske revisorer:

https://www.fsr.dk/fsr-danske-revisorer-lancerer-en-ny-nis2-net-og-

informationssystemer-erklaeringstemplate-i-relation-til-leverandoerer-eller-tjenesteudby-

dere

Side 57, afsnit ”Cybersikkerhedsforanstaltninger”

Vi foreslår, at der tilføjes krav til opbevaring af backup på anden lokation end produkti-

onssitet.

Side 156

Krav om overvågning, der kan opdage uautoriseret adgang til net- og informationssyste-

mer, er blevet beskrevet. Vi foreslår, at kravet udvides til også at omfatte overvågning af

privilegerede brugere for at reducere risikoen for misbrug af disse adgange.

Generelle bemærkninger

Vi foreslår, at krav til opbevaring af beredskabsplan i form af Action Cards eller hard-

copy tilføjes for at sikre tilgængelighed af planen i tilfælde af systemnedbrud.

Vi foreslår, at krav til formaliseret opfølgning på resultatet af beredskabsøvelserne og

udbedring af eventuelle svagheder tilføjes.

Relevansen af risici ved anvendelse af kunstig intelligens i energisektoren bør overve-

jes.

FSR

–

danske revisorer

Slotsholmsgade 1, 4. sal

DK - 1216 København K

Telefon +45 7225 5703

[email protected]

www.fsr.dk

CVR. 55 09 72 16

Danske Bank

Reg. 9541

Konto nr. 2500102295

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Vi står naturligvis gerne til rådighed, hvis vores bemærkninger giver anledning til spørgs-

mål eller uddybning.

På vegne af FSR

–

danske revisorers Cybersikkerhedsudvalg

Med venlig hilsen

Kasper Frølich Kristensen

Fagchef for revision og regnskab, statsaut. revisor

Side 2

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

10. JULI 2024

GREEN POWER DENMARK

LANGEBROGADE 3H

1411 KØBENHAVN K

Energistyrelsen

Center for beredskab

Carsten Niebuhrs Gade 43

1577 København

Til:

[email protected]

Cc:

[email protected]

DOK. ANSVARLIG: PHA/CMH

SEKRETÆR: MAK

SAGSNR.: S2024-587

DOKNR: D2024-2574228-06-2024

Høringssvar på udkast til lov om styrket beredskab i energi-

sektoren (Vedr.: Journalnummer 2023

–

6652)

Green Power Denmark takker for muligheden for at afgive bemærkninger i forbin-

delse med høring over forslag til Lov om styrket beredskab i energisektoren. Green

Power Denmark vil i den forbindelse tillige kvittere for de afholdte sektormøder og

den konstruktive tilgang til efterfølgende dialog. Vi vil gerne benytte lejligheden

med denne høring til at kvittere for et godt samarbejde på beredskabsområdet

gennem årene. Som branche håber vi, at I vil læse vores bemærkninger i den ånd,

som bemærkningerne er tænkt og skrevet, nemlig ud fra et ønske om fortsat kon-

struktiv dialog og en fælles ambition om at sikre en høj forsynings- og leveringssik-

kerhed i Danmark, hvor samfundet i endnu højere grad end i dag gør brug af grøn

strøm, også i krise- og beredskabssituationer.

Efter en detaljeret gennemlæsning og drøftelse med vores medlemskreds af lov-

forslaget står Green Power Denmark desværre tilbage med mange uafklarede

spørgsmål. Det rejser en alvorlig bekymring for de konkrete konsekvenser, som en

forhastet proces kan få for en beredskabsregulering, der gerne skal kunne stå di-

stancen mange år fremover. Green Power Denmark vil derfor anbefale, at der tages

en fornyet drøftelse med os og branchen på baggrund af de indkomne bemærk-

ninger.

Ud fra det faktum at trusselsniveauet mod Danmark, både fysisk og cyber, er hævet

i flere omgange gennem den senere tid, er energipolitik nu også sikkerhedspolitik.

Derfor anbefaler Green Power Denmark, at myndighederne herunder klima-,

energi- og forsyningsministeren og forsvarsministeren m.fl. benytter opgaven med

implementering af NIS2- og CER-direktiverne til i fællesskab og i dialog med repræ-

sentanter fra de samfundskritiske sektorer at afdække sektorernes gensidige af-

hængigheder. På den baggrund bør det defineres, hvad som reelt anses som sam-

fundskritisk infrastruktur, og hvad som derfor skal beskyttes som sådan. En sådan

fælles drøftelse skal også være med til at afklare og forventningsafstemme både på

lokalt, regionalt og nationalt niveau, hvilket beredskabs- og sikkerhedsniveau, som

energisektoren skal have og hvilke beredskabsforanstaltninger andre

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

samfundskritiske sektorer i Danmark skal indrette sig med, hvis strømmen går i

kortere eller længere tid

–

både i freds- og i krisetid.

Vi har noteret os, at Forsvarsministeriet har sendt dels deres udkast til forslag til lov

om kritiske enheders modstandsdygtighed, dels deres udkast til forslag til lov om

foranstaltninger til sikring af et højt cybersikkerhedsniveau i offentlig høring fredag

den 5. juli 2024. Den sene fremsendelse taget i betragtning har der kun i meget be-

grænset omfang været mulighed for at læse de to lovforslag for at undersøge om

der er konsistens mellem lov om styrket beredskab for energisektoren og de to lov-

forslag fra Forsvarsministeriet, der alle har til formål at implementere samme EU-

lovgivning. Det er i vores optik altafgørende, at landets samfundskritiske sektorer,

qua udviklingen i truslerne mod Danmark og qua sektorernes gensidige afhængig-

heder, anskuer opgaven med at understøtte statens sikkerhed og rigets forsvar på

en ensartet måde gennem

de nationale ”forposter”, som virksomheder og organisa-

tioner inden for de samfundskritiske sektorer er.

Vi appellerer derfor til, at fremsættelsen af hovedlovene fra henholdsvis klima-,

energi- og forsyningsministeren og forsvarsministeren fremsættes for Folketinget,

som én samlet pakke. Derved sikres, at reglerne på områderne koordineres i nød-

vendigt omfang, og at der ikke skabes forskellige regler, definitioner og fortolknin-

ger qua forskellige hovedlove.

Green Power Denmark noterer sig også, at forslaget til lov om styrket beredskab i

energisektoren ikke forholder sig til Kommissionens forordning (EU) 2024/1366 af 11.

marts 2024, om supplerende regler til fastsættelse af netregler om sektorspecifikke

regler for cybersikkerhedsmæssige aspekter af grænseoverskridende elektricitets-

strømme

(også benævnt som ”Network code for cybersikkerhed”),

som trådte i kraft

medio juni 2024. Vi finder det nødvendigt, at loven også behandler forholdet til

denne EU-forordning, så der sikres rimelig konsistens mellem denne forordning og

lov om styrket beredskab i energisektoren herunder anvendelsesområde, definitio-

ner, kategorisering og klassificering af virksomheder og anlæg mv.

Med dette væsentlige forbehold følger vores bemærkninger til lovforslagets be-

stemmelser.

Indledende bemærkninger om formål, klarhed, afgrænsning og proportionalitet

Green Power Denmark noterer, at formålet med lovforslaget er at implementere de

sikkerheds- og beredskabskrav, som følger af NIS2- og CER-direktiverne i dansk lov-

givning samt en række supplerende krav til energivirksomheders beredskab af så-

vel fysisk, teknisk og organisatorisk karakter, der går videre end de gældende krav

fra EU-lovgivningen, med henblik på at sikre en høj robusthed i energisektoren.

Green Power Denmark anerkender vigtigheden af at sikre energisektorens bered-

skab med henblik på at forebygge og modstå hændelser, som truer energiforsynin-

gen

–

ikke mindst i lyset af det forhøjet trusselsniveau, som er realiteten i dag. Green

Power Denmark bakker op om intentionerne med lovforslaget, og konstaterer at

der er flere gode takter og konkrete forslag til at sikre et stærkt beredskab på tværs

af de forskellige forsyningsarter.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Lovforslaget er dog samtidig en rammelovgivning med en lang række ministerbe-

myndigelser, der gør det meget vanskeligt at vurdere omfanget, rækkevidden og

proportionaliteten af de krav og forpligtelser, som vil blive udmøntet i de kom-

mende bekendtgørelser. Den manglende identificering af og kategorisering af be-

rørte virksomheder/anlæg bidrager naturligvis heller ikke til øget klarhed.

Dertil kommer, at der ses at være en manglende konsistens i forhold til de an-

vendte begreber i lovteksten og bemærkningerne, hvilket giver anledning til forvir-

ring, ligesom det er nødvendigt at fastsætte fælles betegnelser for de virksomhe-

der, der er omfattet af lovforslagets bestemmelser og niveauinddeling i tråd med

den sammenhængende tilgang til implementeringen af direktiverne. Vi oplever at

inkonsistensen i begreber og definitioner i nogen grad er en konsekvens af forsøg

på tekstnær implementering af NIS2- og CER-direktiverne, hvilket samtidig besvær-

liggøres af, at der anvendes forskellige betegnelser og formuleringer i direktiverne,

uagtet at der er tale om samme nøglebegreber. Denne tilgang bidrager desværre

hverken til læsbarheden eller forståelsen af lovens helt centrale bestemmelser.

Endelig er det afgørende at have fokus på, at lovforslaget på balanceret vis sikrer

det nødvendige og stærke operative beredskab og samtidig ikke indfører dispro-

portionale krav til energisektoren, som helhed eller dele heraf. Det er derfor vigtigt

at supplerende krav til virksomhedernes fysiske, tekniske og organisatoriske foran-

staltninger, der rækker udover minimumsharmonisering, tager afsæt i en risikovur-

dering med henblik på at undgå, at uforholdsmæssige krav fordyrer den grønne

omstilling og vanskeliggør samarbejdet på tværs af den Europæiske Union. Dette

med risiko for konkurrenceforvridning til ugunst for aktører, der leverer eller udfører

deres tjenester i Danmark. Green Power Denmark savner i den forbindelse et sam-

let overblik af de dele af lovforslaget, der går videre end minimumsharmoniserin-

gen i henholdsvis NIS2- og CER-direktiverne.

De nye og/eller skærpede krav til et styrket beredskab, der foreløbigt er skitseret,

forventes at være omkostningstunge for såvel konkurrenceudsatte virksomheder

som netvirksomheder. I Green Power Denmark finder vi det derfor vigtigt, at kon-

krete krav baseres på den foretagede risikovurdering i den kommende udmønt-

ning af beredskabsbekendtgørelser.

Det er ligeledes væsentligt, at der er sikkerhed for, at en forøgelse af beredskabs-

omkostningerne giver anledning til indtægtsrammeforhøjelse for netvirksomheder.

Med ovennævnte betragtninger in mente ønsker Green Power Denmark i sit hø-

ringssvar at fremhæve de elementer i lovforslaget, der umiddelbart ikke fremstår

proportionale og/eller tilstrækkelig klare og afgrænsede, samt at drøfte de princi-

pielle overvejelser/ betragtninger, der bør vægtes tungt i arbejdet med at få en til-

strækkelig robust, rimelig og hensigtsmæssig regulering af beredskabet i energi-

sektoren i naturlig kobling til de andre samfundskritiske sektorer qua sektorernes

gensidige afhængigheder.

Green Power Denmark vil i den forbindelse særligt fremhæve følgende centrale te-

maer, der berøres i vores høringssvar:

•

At beskrivelsen af centrale begreber af betydning for anvendelsesområdet

og identificering og kategorisering af virksomheder er uklare, ligesom kate-

goriseringens betydning for de efterfølgende beredskabskrav.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

•

At der sikres konsistens på tværs af alle samfundskritiske sektorer i tæt

samarbejde med Forsvarsministeren.

At virksomhedernes mulighed for samordnet beredskab herunder multifor-

syning og koncerner sikres.

Myndighedernes rolle ift. trusselsvurdering og i det operationelle bered-

skab og ved krisehåndtering.

Balancen mellem en risikobaseret tilgang vs. myndighedsbestemt detail-

krav i relation til organisatoriske forhold, fysisk sikring og cybersikkerhed.

Vidtgående håndhævelsesbestemmelser, herunder administrativ ret-

tighedsfrakendelse.

Ikrafttræden og behovet for overgangsregler og udskudt håndhævelse.

Manglende overblik over økonomiske konsekvenser og omkostningsdæk-

ning for net- og konkurrenceudsatte virksomheder.

Ovenstående samt bemærkninger til andre aspekter af lovforslaget uddybes i det

følgende med henvisning til de kapitler og paragraffer, som omhandler det enkelte

tema.

Kapitel 1

–

Anvendelsesområde og definitioner

Green Power Denmark støtter ønsket om at sikre og opretholde et højt niveau af

modstandsdygtighed i energisektoren, med henblik på at sikre forsyningssikkerhe-

den i Danmark. Vi anerkender i den sammenhæng, at et forhøjet trusselsbillede

nødvendiggør, at karakteren og omfanget af en virksomheds sikkerhedsforanstalt-

ninger ikke kan være en statisk størrelse, men løbende må vurderes og tilpasses for

at sikre tilstrækkelig modstandsdygtighed til at afværge de trusler og risici, der kan

opstå og som skal håndteres på betryggende vis af virksomhedernes organisatori-

ske beredskab og beredskabsforanstaltninger ift. fysisk sikring og cybersikkerhed.

Det er samtidig Green Power Denmarks opfattelse, at det er afgørende, at den dan-

ske model med et dialogbaseret beredskab og tilsyn fastholdes og indarbejdes i ud-

møntningen af de kommende beredskabsregler. Et tillidsbaseret og tæt samar-

bejde samt en konstruktiv dialog mellem forsyningssektorens aktører og de kom-

petente myndigheder er et væsentligt element i det fælles arbejde med at styrke

energisektorens modstandsdygtighed overfor naturskabte, menneskeskabte og

teknologiske trusler. Det er af samme grund positivt, at samarbejdets betydning be-

tones i § 1, stk. 2.

2 Lovens anvendelsesområde

Det anføres i lovforslaget, at lovens anvendelsesområde i høj grad er dikteret af

NIS2- og CER-direktiverne, og at de typer af virksomheder, der er nævnt i lovforsla-

gets § 2, stk. 1 modsvarer de virksomheder, der er omfattet af bilag I i NIS2- og CER-

direktiverne for energisektoren. Det er muligt, at dette er intentionen, men dette af-

spejles desværre ikke i tilstrækkelig grad i lovteksten, der i bedste fald er uklar.

§ 2, stk. 1, nævner en lang række virksomhedstyper, der som udgangspunkt er om-

fattet af lovens anvendelsesområde. Anvendelsesområdet indsnævres herefter i stk.

2 (minimumskriterier), og i stk. 3, indføres der en ”bagatelgrænse”, der skal sikre, at

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

relevante virksomheder, der falder uden for kriterierne i stk. 2, alligevel omfattes, når

de har en vis størrelse og omsætning.

Den valgte formulering giver imidlertid anledning til bekymring, idet afgrænsnin-

gen af hvilke virksomheder, der er omfattet af loven, på flere måder er tvetydig.

Dette skyldes dels bestemmelsens ordlyd og dels fraværet af tydelig præcisering i

lovbemærkningerne af hvilke virksomheder, der reelt er omfattet. Herunder hvilke

virksomheder, der uanset anvendte tærskelværdier, alligevel vil være omfattet af lo-

vens krav og forpligtelser.

Elektricitet

Ud fra ordlyden af stk. 2, nr. 1, følger det fx at loven kun finder anvendelse på fx elek-

tricitetsvirksomheder og distributionsoperatører, hvis de pågældende virksomhe-

der ”producerer,

forbruger eller kontrollerer mere end 25 MW elektricitet”.

I be-

mærkningerne til bestemmelsen er alene omtalt produktionsvirksomheder. Dette

efterlader tvivl om, hvorvidt bestemmelsen omfatter netvirksomheder, som distri-

buerer, men også andre typer elektricitetsvirksomheder, herunder elhandelsvirk-

somheder (detail), idet det ikke

er klart, hvad, der forstås ved at ”kontrollere”

elektri-

citet, og om dette vil omfatte fx transport og salg af elektricitet. Det er i så fald også

nødvendigt at få klarlagt, hvilke nærmere aktiviteter og systemer, der udgør det kri-

tiske element.

Lovteksten og lovbemærkningerne afspejler heller ikke de betragtninger og foreslå-

ede tærskelværdier, der blev fremlagt på en oversigtslide til sektormøderne, hvor

inddelingen af niveauer også inkluderede antal af slutbrugere, og en note om, at di-

stributionsvirksomheder er omfattet, uanset størrelse (tærskelværdi).

Sidstnævnte ville i så fald tage højde for, at de enheder, som er identificeret som kri-

tiske enheder i CER-direktivet, herunder netvirksomheder, pr. automatik anses som

væsentlige enheder i NIS2-direktivet og derved

ikke

omfattes af undtagelsen for

virksomheder, der beskæftiger mindre end 50 ansatte eller årlige omsætning er

mindre end 10. mio. EUR m.v. Denne antagelse understøttes dog ikke af de nuvæ-

rende bemærkninger, og skal derfor adresseres.

Green Power Denmark undrer sig i øvrigt over, at ”bevillings-begrebet” i Elforsy-

ningslovens §§ 10 (elproduktion) og 19 (transmission- og netvirksomhed) er blevet

udeladt af lovtekstens anvendelsesområde. At beredskabsbestemmelserne frem-

over er samlet i én lov fremfor i flere forskellige forsyningslove, ændrer ikke på, at de

pågældende aktiviteter kræver bevilling, og at dette i sig selv medfører en entydig

identifikation af de pågældende virksomheder.

Operatører af ladestationer

Ladestanderaktiviteter er omfattet af elforsyningsloven, og den logiske slutning er

derfor, at ladeoperatører, ligesom andre elektricitetsvirksomheder, er omfattet af

lovforslagets § 2, stk. 2, nr. 1. Dette kan dog ikke læses ud af hverken lovtekstens ord-

lyd eller af lovbemærkninger til bestemmelsen, og det bør derfor præciseres, at la-

deoperatører, der forvalter, drifter og leverer ladetjenester til slutbrugere er omfat-

tet af bestemmelsen. Såfremt det er intentionen, at der skal gælde en tærskelværdi

for ladeoperatører, bør dette ligeledes fremstå klart.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Som det fremgår af de forrige bemærkninger, er det essentielt for lovens fremtidige

anvendelse og gennemslagskraft, at det er helt klart, hvilke parametre, der afgør,

hvorvidt en virksomhed og/eller anlæg er omfattet af lovens anvendelsesområde.

Det kan i den forbindelse undre, at antallet af elkunder/brugere ikke umiddelbart

ses at indgå i vurderingen af en virksomheds kritikalitet, i og med at dette er en pa-

rameter, der i forvejen benyttes i reguleringen af elektricitetsvirksomheder. Tilsva-

rende betragtning gør sig gældende for de øvrige energisektorer.

Green Power Denmark anbefaler, at der inddeles en branchedialog mhp. at defi-

nere, hvilke kriterier, som ladeoperatører skal niveauinddeles på baggrund af både

på kort og langt sigt.

Gas

Det er ligeledes uklart, hvilke virksomheder, der som følge af ordlyden i § 2, stk. 2, nr.

3 ,reelt

er omfattet af begrebet ”gasforsyningsvirksomheder”. Hvad forstås ved

”..el-

ler injicerer mere end 26 mio. Nm3 i et gasnet”.

Gælder dette også virksomheder,

der sælger gas til slutkunder. Det er tillige uklart, hvorfor bevillingsbegrebet, som

også er relevant i relation til naturgas (Naturgasforsyningslovens § 10) ligeledes er

udeladt af lovteksten.

Der må selvsagt ikke være tvivl om, hvorvidt en virksomhed i energisektoren også

fortsat er omfattet af lovens anvendelsesområde eller ej. Lovteksten må derfor revi-

deres med henblik på, at der opnås en tilsvarende tydelighed og klarhed, som der

er i de nuværende bekendtgørelser for beredskab for el og gassektoren.

Udvides kredsen af pligtsubjekter bør dette tillige stå meget klart.

Brint

Det fremgår af lovens § 2, stk. 1, nr. 17, at lovens anvendelsesområde omfatter opera-

tører inden for brintproduktion, -lagring og

–

transmission. Lovens anvendelsesom-

råde ses ikke at være modificeret for PtX, uanset størrelse.

Green Power Denmark anbefaler, at der inddeles en branchedialog mhp. at defi-

nere, hvilke kriterier, som brintvirksomheder skal niveauinddeles på baggrund af

både på kort og langt sigt.

§ 3 Definitioner

Green Power Denmark finder det afgørende, at der skabes en fælles forståelse for

de anvendte begreber og udtryk i lovforslaget, så der ikke opstår uklarheder i rets-

anvendelsen, der kan svække forudsigeligheden og de enkelte aktørers retssikker-

hed.

Green Power Denmark noterer sig, at lovforslagets § 3 har til hensigt at indeholde

definitioner af lovens centrale begreber, der afspejles af tilsvarende definitioner i

NIS2- og CER-direktiverne og andre EU-retsakter, som direktiverne henviser til. Ved

nærlæsning af lovteksten samt lovbemærkningerne savnes der dog en række defi-

nitioner af relevante begreber, ligesom der anvendes overlappende begreber. Der

henvises fx til begreberne ”cyberhændelse” (nr. 3) og ”Hændelse”

(nr. 12). Sidst-

nævnte inkluderer begrebet

”cyberhændelse”,

som en delmængde. Green Power

Denmark er opmærksom på, at der ved implementering af direktiver tilstræbes, at

den nationale lov holder sig så tæt op ad formuleringen af direktivernes

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

bestemmelser som muligt. Vi må dog konstatere, at ovennævnte overlap ikke frem-

mer forståelsen.

Det er i

øvrigt uklart, hvad ”væsentlig

tjeneste”

i praksis dækker over. Begrebet an-

vendes i nr. 12 og som særskilt begreb i nr. 31. Green Power Denmark antager, at det

hidrører fra CER-direktivets artikel 2, nr. 5, hvor det fremgår, at det drejer sig om

”en

tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktio-

ner, økonomiske aktiviteter, folkesundhed og offentlig sikkerhed eller miljøet.”

ganske bred og overordnet formulering, der bør uddybes med henblik på at blive

operationel i en beredskabssammenhæng på tværs af de samfundskritiske sekto-

rer. Eksempler på en sådan tjeneste er dog ikke angivet i lovbemærkningerne, men

må antages at kunne blive det, når klima-, energi- og forsyningsministeren (Energi-

styrelsen) har identificeret de kritiske virksomheder, samt kritiske systemer og an-

læg i energisektoren i henhold til § 4. Vi noterer os, at det i Forsvarsministeriets hø-

ring til lov om kritiske enheders modstandsdygtighed alene skrives om ”væsentlige

tjenester”,

hvor der i lov om styrket beredskab

i energisektoren i altovervejende

grad (kun) skrives ”tjenester”. Denne nuanceforskel kan efterlade læseren med ind-

trykket af, at energisektoren er mindre væsentlig end alle andre samfundskritiske

sektorer, hvilket vi stiller os tvivlende overfor.

Green Power Denmark skal derfor generelt opfordre til, at der ”saneres” i overlap-

pende begreber, samt at omfanget af definitioner udvides for at sikre en ensartet

forståelse af relevante begreber, som anvendes i lovteksten og i lovbemærknin-

gerne. Vi opfordrer og appellerer til, at dette arbejde sker i tæt samarbejde med

Forsvarsministeriet.

Til illustration har Green Power Denmark fx (ikke udtømmende liste) bemærket:

•

Begrebet

”enhed”

anvendes flere steder såvel i lovteksten som i bemærk-

ningerne hertil. Begrebet er dog ikke nærmere defineret, og der er derfor

også her behov for, at det præciseres, hvad der menes med udtrykket.

•

Begrebet

”forsyningskritiske”

i alt 55 gange i lovbemærkningerne i relation

til virksomheder, it-systemer samt anlæg, men uden en nærmere definition

og/eller afgrænsning af begrebet.

•

Anvendelsen af ordet ”kontrolrum” i lovforslagets § 7, stk. 2, nr. 3, bør også

forklares nærmere, hvis ikke som en selvstændig definition i § 3, så i det

mindste i bemærkninger til paragraffen.

•

Begrebet ”informationer”

er centralt for fortolkningen af § 26, men er ikke at

finde blandt definitionerne i § 3. Det foreslås derfor, at begrebet i, og defini-

tionerne anvendt i såvel elforsyningslovens § 85 c, samt gasforsyningslovens

§ 15 b, stk. 4, med fordel kan anvendes som inspiration i og med, at den fore-

slåede § 26 netop skal ses som en videreførelse af de ovenstående paragraf-

fer.

•

Begrebet

”ledelse”

er uklar (jf. bemærkninger til § 6, stk. 2, nr. 1) og bør ligele-

des defineres i § 3. Det bemærkes i den forbindelse, at det foreslåede straf-

ansvar for ledelsen som bekendt fordrer, at ansvarssubjektet er tilstrække-

ligt præcist beskrevet.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Kapitel 2 Identificering og kategorisering af virksomheder

§4

Det fremgår af lovforslagets indledende bemærkninger, at intentionen er, at identi-

ficering af kritiske virksomheder efter CER-direktivet vil ske sideløbende med NIS2

direktivet, så det er de samme virksomheder, der omfattes af krav for begge direkti-

ver baseret på forsyningsstørrelse. Dette begrundes bl.a. med, at forsyningsstørrelse

i højere grad afspejler virksomhedens kritikalitet for energiforsyningen.

NIS2-direktivet skelner som bekendt mellem væsentlige og vigtige enheder, og

dette er en central afgrænsning i direktivet med afgørende betydning for de krav

og pligter, som de pågældende aktører skal opfylde, ligesom der er et afgørende

samspil med definitionen af kritiske enheder i CER-direktivet.

Denne sondring er imidlertid svær at genfinde i lovforslagets anvendelsesområde, i

definitionerne i § 3 eller i kapitel 2 om identificering og kategorisering af virksomhe-

der. Det bliver heller ikke lettere af, at de endelige kriterier for den kommende iden-

tificering og kategorisering lader vente på sig. Det er således på nuværende tids-

punkt usikkerhed om det nærmere indhold af

listen over ”væsentlige

tjenester”,

jf. §

3, stk. 1, nr. 31, samt om den faktiske udmøntning sker med kobling til CER-direkti-

vet.

I bemærkningerne til § 4 anføres det desuden, at der skal indføres et differentieret

reguleringstryk, som vil være afhængig af, hvilke niveauer de pågældende virksom-

heder inddeles i. Dette kan i og for sig være berettiget, men det er vanskeligt at vur-

dere, når det på nuværende tidspunkt ret beset står hen i det uvisse, hvilke para-

metre og/eller kriterier samt størrelseskrav, der vil være udslagsgivende for den fak-

tiske niveauinddeling og derved i sidste ende for reguleringstrykket.

Det rejser også et nærliggende spørgsmål om, hvilke betingelser og procedurer, der

forventes at blive fastsat i det tilfælde, at den kompetente myndighed finder det

nødvendigt at rykke en virksomhed fra ét niveau til et andet, herunder også i hvilket

omfang dette kan ske fordi virksomheden leverer en (væsentlig) tjeneste til en iden-

tificeret enhed i en anden kritisk sektor

–

og omvendt. Dette spørgsmål udspringer

af, at det under ét af sektormøderne blive nævnt, at det formentlig vil være muligt

for en aktør i anden kritisk sektor (fx sundhedsområdet) at få løftet en virksomhed i

energisektoren op på et højere niveau. I sådanne situationer ser Green Power Den-

mark behov for, at der indføres en rimelig høringsfrist, så den pågældende virksom-

hed har mulighed for at fremkomme med bemærkninger, herunder indgive en risi-

kobaseret vurdering, ligesom der ud fra en samfundsøkonomisk overvejelse bør

vurderes, hvorvidt den pågældende anden virksomhed/enhed i energisektoren/i

den anden sektor i stedet bør anvises til selv at mitigere sin risiko og/eller indføre

egne beredskabsforanstaltninger (fx reserve-/nødforsyning) førend der sker en

”op-

klassificering”

af virksomheden i energisektoren. Dertil kommer, at der naturligvis

også her skal være mulighed for at klage over en sådan afgørelse, herunder med

opsættende virkning.

Vi opfordrer til, at principperne for identificering, kategorisering og niveauinddeling

af virksomhederne samt for klassificering af anlæg fremgår direkte af lovens be-

mærkninger. Dette vil understøtte Green Power Denmarks og vores medlemmers

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

ønske om, at lov til styrket beredskab i energisektoren funderes i langsigtede prin-

cipper. Vi indgår meget gerne i en fælles dialog herom.

§5

Green Power Denmark anbefaler at § 5, stk. 2 ændres, så virksomheder, der er iden-

tificeret som kritisk virksomhed efter § 4, stk. 1, har pligt til at oplyse den kompe-

tente myndighed om, at virksomheden leverer de samme eller lignende tjenester til

eller i seks eller flere medlemsstater. På den måde følger energisektoren samme

princip, som gælder for de enheder, som er underlagt § 4, stk. 2 i Forsvarsministeri-

ets udkast til lov om kritiske enheders modstandsdygtighed.

Det er med § 5, stk. 4, uklart hvilke krav, som potentielt kan blive stillet til virksomhe-

der af særlig europæisk betydning. Vi henleder også her opmærksomheden på vo-

res sidste afsnit om forholdet til øvrig EU-regulering.

Fremrykning af tidspunkt for identificering og kategorisering påkrævet

Da inddelingen i niveauer er af betydning for reguleringstrykket, og dermed omfan-

get af tiltag og/skærpelser af samme, der skal efterleves, kan Green Power Denmark

kun på det kraftigste understrege den åbenlyse nødvendighed af, at der snarest

sker en afklaring heraf og tilsvarende meddelelse til de omfattede og identificerede

virksomheder, så disse har en rimelig tidshorisont for at indrette sig på nye eller

skærpede krav. En afklaring af dette ses også påkrævet i forhold den kommende

drøftelse af de tre bekendtgørelser, der forventes fremsendt i høring i september.

Kapitel 3

–

Virksomhedernes modstandsdygtighed og beredskab

Green Power Denmark finder det vigtigt, at virksomhedernes modstandsdygtighed,

beredskabsplanlægning og beredskabsforanstaltninger bygger på og tager ud-

gangspunkt i en risikobaseret tilgang. Vi anerkender nødvendigheden af, at myn-

dighederne definerer en overordnet ramme indenfor hvilken, at virksomhederne ri-

sikovurderer, planlægger og tilrettelægger deres egne og sektorens beredskab her-

under fx at virksomhederne skal tage stilling til obligatoriske ROS-scenarier. Vi an-

befaler dog grundlæggende, at myndighederne ikke forledes til detailregulering

som derved løbende vil skulle justeres og tilpasses, som følge af ændrede trusler,

teknologisk udvikling, behov for nye beredskabsforanstaltninger og nye metoder,

principper og standarder for effektivt beredskab og krisehåndtering.

Samordnet beredskab

Green Power Denmark finder det vigtigt, at virksomhederne får mulighed for at

kunne indgå samordnet beredskab. Vi og vores medlemmer ser flere potentielle

konstellationer for samordnet beredskab, som kan være med til sikre, at de nye virk-

somheder, som nu står til at blive omfattet af loven, hurtigt og omkostningseffektivt

kan leve op til lovens krav og forpligtelser. Vi ser flere konstellationer baseret på hi-

storiske virksomhedssamarbejder:

Mellem virksomhederne af samme type (fx netvirksomheder)

Internt i virksomhedskoncerner som varetager multiforsyning herunder el,

vand/spildevand, varme og fibernet

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Internt i virksomhedskoncerner, som har eldistribution, elhandel, elproduk-

tion og/eller er operatør af ladeinfrastruktur.

Muligheden for samordnet beredskab ser vi som en anledning til at styrke virksom-

heders, koncerners og sektorens beredskabs- og sikkerhedsarbejde, idet mindre or-

ganisationer derved vil kunne udnytte synergier på tværs og dermed skabe grund-

lag for i fællesskab at opbygge (og fastholde) dedikeret beredskabs- og sikkerheds-

mæssig kompetence. Vi forventer, at det særligt vil være mindre virksomheder, som

vil kunne have interesse i at søge om samordnet beredskab. Vi anbefaler dog, at alle

størrelser af virksomheder, evt. som en del af samme koncern, får mulighed for at

indgå i samordnet beredskab.

Kriterierne for at kunne indgå samordnet beredskab bør understøtte særligt min-

dre organisationer, hvorfor det anbefales, at det ikke bliver summen af kapacitet,

energimængde eller kunder, som de samordnede virksomheder repræsenterer til

sammen, som afgør, hvilket niveau, som de samordnede virksomheder efterføl-

gende kategoriseres indenfor jf. den foreslåede § 4, men derimod en særskilt risiko-

vurdering af virksomhederne. En automatisk summering af virksomheder vil kunne

afskrække mindre organisationer i at søge sammen, hvorved muligheden for en

hurtig og effektiv implementering og en styrket sikkerhedskultur

–

alt andet lige,

forpasses.

I Green Power Denmark ser vi ikke, at kravene om funktionel adskillelse bør være en

hindring for samordnet beredskab. Det bemærkes i den forbindelse af beredskabs-

planlægningen handler om at sikre tilstrækkelig modstandsdygtighed og beskyt-

telse af kritiske enheder, anlæg og systemer

–

og ikke om at give adgang til data,

herunder fx fortrolige netvirksomhedsdata. Historisk har mange virksomheder delt

IT-funktioner på tværs af deres koncern. Opretholdelse af IT-sikkerhed og IT-bered-

skab er naturlige delopgaver for disse koncern-IT-funktioner for at understøtte de-

res respektive forretningsenheder. Med implementeringen af NIS2-direktivet udvi-

des typen af omfattede virksomheder, som ikke tidligere har været omfattet af

energisektorens beredskabslovgivning. Disse nye virksomheder vil således kunne

have stor glæde af at trække på og stå på skuldrene af historiske, koncern-interne

erfaringer frem for at skulle starte fra nul uagtet om de historiske erfaringer ud-

springer af konkurrenceudsatte aktiviteter eller netvirksomhedsaktiviteter.

Green Power Denmarks anbefaling om samordnet beredskab skal ses i det lys, at

sikkerhed og beredskab ikke bør være et konkurrenceparameter. Alle aktører i

energisektoren har en fælles interesse og opgave i at sikre og beskytte samfunds-

kritisk infrastruktur og virksomhedernes tjenester for at understøtte en høj forsy-

nings- og leveringssikkerhed i Danmark. Hvis Energistyrelsen vurderer at reglerne

om funktionel adskillelse, herunder også anden konkurrencelovgivning, anses som

en hindring for samordnet beredskab, anbefaler vi, at der indledes en tættere dialog

med branchen og relevante myndigheder herom, så dette bliver muligt.

§ 6 organisatorisk beredskab

Med lovforslaget om styrket beredskab i energisektoren udvides pligten til at fore-

tage den nødvendige beredskabsplanlægning til flere typer af virksomheder, lige-

som omfanget af krav og forpligtelser skærpes og udvides.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Lovens § 6, stk. 2, indeholder i den forbindelse en ministerbemyndigelse til at fast-

sætte nærmere regler om det organisatoriske beredskab, og angiver en række om-

råder, der er omfattet af denne bemyndigelse, herunder enkelte helt nye begreber.

Blandt de nye begreber, er spørgsmålet om ledelsesansvar. Formålet er ifølge be-

mærkningerne at understrege et krav om, at ledelsen i en virksomhed omfattet af

loven, aktivt forholder sig til virksomhedens beredskab og niveau af modstandsdyg-

tighed. Det fremgår af NIS2-direktivet, at der skal fastsættes krav herom, men det

ser ud til, at ledelsens ansvar udvides i forhold til direktivets krav. Vi foreslår, at direk-

tivets ordlyd anvendes.

Det er også vigtigt, at begrebet ledelsesansvar defineres og afgrænses, så det er

klart, hvor langt i organisationen ledelsesansvaret rækker, og om det er forankret

hos anlægsejer eller den driftsansvarlige virksomhed. Dette er nemlig ikke nødven-

digvis sammenfaldende. Det bemærkes i den forbindelse, at det er vigtigt at være

konsekvent i brug af termer, idet dette ellers modvirker forståelsen og fortolknin-

gen af begrebets rækkevidde

–

ikke mindst i forhold til muligheden for personligt

strafansvar. I bemærkningerne

anvendes fx ordene ”ledelsesorganer”,

”virksomhe-

dens ledelse”

og ”virksomhedens

beslutningstagere”.

Det er uklart om det dækker

over de samme ledelsesroller/funktioner, herunder om bestyrelsen er omfattet af

ledelsesansvaret. Ledelsesbegrebet skal desuden være entydigt også i koncernsam-

menhænge.

Green Power Denmark har dernæst noteret, at der er et krav om, at ledelsen skal

have ”tilstrækkelig viden”. Ud fra lovforslagets bemærkninger lægges der op til, at

denne viden skal være inden for styring af risici, der relaterer sig til cybersikkerhed

såvel som fysisk sikring, god sikkerhedskultur og beredskab. Det er derimod uklart,

hvorvidt dette videnskrav er relateret til hvert enkelt medlem af ledelsesgruppen

samt hvor omfattende kravet er. Det fremgår af NIS2-direktivet, art. 20, at medlem-

mer af ledelsesorganet er forpligtet til at følge kurser, men det specificeres ikke, at

hvert eneste medlem skal have præcist samme indsigt og vidensniveau. Det vigtige

er, at ledelsen skal kunne træffe beslutninger på et oplyst grundlag og stille kritiske

spørgsmål. Omfanget af ledelsesansvaret forekommer i den forbindelse ikke at

være hensigtsmæssigt afgrænset. Udgangspunktet må være, at ledelsen har et

overordnet ledelsesansvar og dermed et overordnet overblik over de krav og for-

pligtelser, som virksomhedens beredskabsniveau medfører. Derudover må der

kunne fæstes lid til, at ledelsen inddrager egne, fagspecifikke medarbejdere, herun-

der de særlige beredskabsfunktioner, eksterne konsulenter m.fl. til at kunne belyse

hvilke tekniske og fysiske sikkerhedsforanstaltninger, der vurderes egnet til styring

af den organisatoriske sikkerhed, fysisk sikring og cybersikkerhed. Dette taler for en

nuanceret tilgang til krav om tilstrækkelig viden. Hvis bestyrelser anses som omfat-

tet af ledelsesbegrebet, kan der i øvrigt med fordel skeles til formuleringen i netvirk-

somhedsbekendtgørelsen

§ 5, stk. 6, hvor kravet til bestyrelsen formuleres som

”samlet

set

skal have tilstrækkelig viden om”.

BKG 2023-12-04 nr. 1655 Varetagelse af netvirksomhedsaktiviteter

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Yderligere savner vi, hvad der ligger under de 11 punkter, der angives under § 6 stk. 2

herunder:

•

Nr. 4: I hvilket omfang bliver det muligt, særligt for mindre organisationer,

at én person kan varetage flere beredskabsroller, dog sådan er der sikres et

”armslængdeprincip” mellem virksomhedens ledelse og virksomhedens

mere operationelle opgaver. Samtidig skal der dog også sikres et

”nærheds-

princip”,

hvor beredskabskoordinatoren eller cyberberedskabskoordinato-

ren kan udføre deres funktioner, og hvor de har det nødvendige mandat og

kompetencer til at træffe beslutninger, hvilket ofte vil kræve en lederrolle.

•

Nr.

5 og 6: Om der med ”Politikker for informationssystemsikkerhed” reelt

ligger en forventning om, at virksomhederne skal etablere og opretholde et

informationssikkerhedsledelsessystem (ISMS) iht. en anerkendt internatio-

nal standard i stil med ISO27001 eller tilsvarende herunder evt. krav om cer-

tificering.

•

Nr. 7: Myndighedernes forventninger til, hvor langt ud og ned i forsynings-

kæderne, som virksomhederne skal gå i virksomhedens risikoafdækning af

forsyningskæder herunder myndighedernes forventningerne til virksomhe-

dernes muligheder for at leve op til danske, nationale særkrav og at føre til-

syn med globalt, anerkendte leverandører fx cloudleverandører.

•

Nr. 8: Myndighedernes forventninger til virksomhedernes responstider

Nr. 9: Myndighedernes ambitioner og forventninger til afholdelse af øvelser

herunder virksomhedsinterne øvelser, sektorøvelser og tværgående og na-

tionale kriseøvelser.

•

Nr. 11: Myndighedernes forventninger til virksomhedernes evne, til at kunne

kommunikere under en krise med relevante myndigheder, andre virksom-

heder i sektoren, relevante samarbejdspartnere og leverandører herunder

nødvendigheden af, at have adgang til mere end én kommunikationskanal.

•

Nr. 12: Myndighedernes forventninger til, hvilke proaktive og reaktive tjene-

ster, som fremtidige it-sikkerhedstjenester skal kunne levere til virksomhe-

derne, herunder responstider.

Green Power Denmark fremhæver ovenstående, idet vi finder, at den nuværende

uklarhed gør det svært for virksomheden dels at vurdere om der er tale om nye krav

og opgaver, dels hvilke omkostninger, som disse krav og opgaver vil føre med sig.

§ 7

–

Fysisk sikring

Green Power Denmark noterer sig, at der med § 7 lægges op til at virksomhederne

skal sikre og beskytte lokationer og anlæg, herunder hvorfra drift af net- og infor-

mationssystemer finder sted mod katastrofer, klimaforandringer og uønsket og

uautoriseret adgang.

Vi savner mere klarhed over, hvilke krav og forventede opgaver, som gemmer sig

under de fem punkter herunder arbejdsdelingen mellem virksomhederne og myn-

dighederne. Vi savner således mere klarhed ift.:

•

Nr. 1: Hvilke typer af katastrofer og hvilke klimaforandringer

–

og til hvilket

niveau, skal virksomhederne og energisektoren være robuste og beredte.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

•

Nr. 2 og 3: Myndighedernes forventninger til, hvilke anlæg og lokationer,

både bemandede og ubemandede og både på land eller til vands, som

tænkes omfattet af kravet om overvågning, detektion og reaktion herunder

krav om reaktionstider. En generel risikovurdering af anlæg og lokationer

bør lægges til grund for hvilke myndighedskrav, som stilles til hvilke typer af

anlæg og lokationer, idet der er betydelig risiko for at generelle krav vil

medføre ikke proportionale omkostninger til overvågning, detektion og re-

aktion. Green Power Denmark mener, at fysisk sikring altid skal ske ud fra

en risikobaseret tilgang, og at fysiske foranstaltninger skal være lagdelt. Vi

anbefaler derfor, at principperne for fysisk sikring herunder perimetersik-

ring, områdekontrol, skalsikring, zoneinddeling, cellesikring og objektsik-

ring, der sammen med responsekapacitet (politi, vagt, etc.) skal virke af-

skrækkende og sikre tidligt varsling/detektering, forsinkelse, alarmering og

imødegåelse og dermed være skadeforhindrende eller reducerende frem-

går af loven. Vi anbefaler at principperne fastholdes i bemærkningerne jf.

nuværende ordlyd side 156/157. Under dette punkt ligger også et ønske om

mere klarhed over, hvad følgekravet om begrænsning for visuel ekspone-

ring jf. bemærkningerne side 157 betyder og vil kræve i praksis.

•

Nr. 1 og 4: Myndighedernes forventninger til, hvem som håndterer og om

muligt forhindrer, at en hændelse indtræffer, både på land, til vands eller

under vandet herunder hvilke opgaver og roller, som varetages af virksom-

hederne, af Politiet eller anden beredskabsmyndighed og/eller af Forsvaret.

Vi noterer os, at der lægges op til, at det alene er Klima-, energi- og forsyningsmini-

steren, som forventes at skulle fastsætte reglerne til fysisk sikring og håndtering af

hændelser, trods at der ses meget naturlige koblinger og relationer til andre myn-

digheder for at afværge og/eller håndtere hændelser, herunder forsvars-, politi-,

brand-, beredskabs- og person- og el-sikkerhedsmæssigt. Vi anbefaler derfor, at kra-

vene, som ender med at følge af den foreslåede § 7 fastsættes efter dialog med

branchen og andre relevante ministerområder.

§§ 8 og 9

–

Cybersikkerhed

Green Power Denmark noterer sig, at der lægges op til at klima-, energi- og forsy-

ningsministeren efter forhandling med forsvarsministeren fastsætter regler for at

sikre beskyttelsen af net- og informationssystemer og regler om anvendelse af sær-

lige IKT-produkter, -tjenester og -processer.

Udgangspunktet for NIS2-direktivet er, at virksomhederne skal arbejde ud fra en ri-

sikobaseret tilgang og implementere ”passende nødvendig planlægning og træffe

passende cybersikkerhedsforanstaltninger”. Green Power Denmark ser en risiko for,

at der med §§ 8 og 9 er udsigt til omfattende detailregulering af virksomhederne og

energisektoren, hvilket bekymrer os.

Vores bekymring går bl.a. på:

•

Om tekniske detailkrav risikerer at begrænse teknologisk udvikling og virk-

somhedernes brug af ny teknologi, eller kræver omfattende og omkost-

ningstunge tilpasninger af eksisterende anlæg og systemer.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

•

At der indføres nationale krav om geografisk placering af systemer, medar-

bejdere og leverandører herunder brug af cloud, som ikke er afstemt på EU-

niveau. Nationale krav risikerer at pålægge virksomhederne endog meget

store ekstraordinære omkostninger som konsekvens af myndighedspå-

lagte ændringer af allerede indgåede kontrakter og serviceaftaler samt ek-

sisterende filialer og driftsorganisationer uden for Danmarks grænser. I vo-

res optik er der med den foreslåede ordlyd tale om en implementering, der

går langt ud over en minimumsimplementering, dertil savner proportionali-

tet ligesom vi heller ikke er bekendt med at der i andre EU-medlemsstater

lægges op til lignende nationale krav.

•

Krav til virksomhedens evne til genopretning, som synes væsentligt skær-

pet herunder bl.a. krav om etablering af et fuldskalatestmiljø identisk med

produktionsmiljøet, derudover kravet om fuldt funktionsdygtige nødkon-

trolrum, der oppebærer samme redundante driftskapacitet og sikkerheds-

niveau for fysisk sikring og cybersikkerhed, som kontrolrum, der benyttes i

daglig drift.

•

Om brugen af sikret tale-, video- og tekstkommunikation og sikrede nød-

kommunikationssystemer

–

både til sektorintern kommunikation og til

kommunikation med andre sektorer og til myndigheder, reelt kan forventes

at være tilgængeligt og muligt i en omfattende krise qua sektorerne gensi-

dige afhængigheder.

•

Om brug af kryptering, nøgler og certifikater er tilstrækkeligt teknologisk

modent, til at virksomhederne kan anvende disse i alle typer af systemer og

miljøer, som anvendes til virksomhedens tjenester. Det er vores vurdering,

at prisen for disse ekstra funktionaliteter for nuværende er uforholdsmæs-

sig høj. Virksomhedens tjenester kan opretholdes, og evt. risici vil kunne mi-

tigeres billigere og på anden vis.

•

At der kan stilles krav om brug af særlige IKT-produkter, -tjenester og

–pro-

cesser, uden at det synes nærmere beskrevet, hvad som potentielt ligger

heri. Herunder også sikkerhed og dokumentation for, at der reelt er leveran-

dører, som kan og vil tilbyde disse særlige produkter, tjenester og processer

samt prisen herfor. Dette rejser også spørgsmålet om omkostningsdæk-

ning ved krav om indkøb og brug af særlige IKT-produkter herunder force-

ret udskiftning af nuværende komponenter, anlæg og systemer.

§§ 10 og 11

–

Koordinerende og operative opgaver og Sektorberedskabsniveauer og

sektorberedskabsforanstaltninger

Fra Green Power Denmarks side opfordrer vi til en klar og entydig arbejdsdeling

mellem ministeren og Energistyrelsen på den ene side og Energinet og virksomhe-

derne på den anden.

I Green Power Denmark mener vi, at det bør være en klar myndighedsopgave at

udarbejde trusselsvurderinger til energisektoren, herunder at identificere og stille

krav om, hvilke trusler virksomhederne og sektorerne skal være robuste og beredte

overfor. Virksomhederne har behov for dimensionerende trusselsvurderinger for at

kunne dimensionere, designe, etablere og drive nye energianlæg og systemer, og

om nødvendigt også for at kunne tilpasse eksisterende anlæg og systemer. Uanset

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

energiform ønsker vi som branche at levere energi til rimelige priser og med højest

mulig forsynings- og leveringssikkerhed, både på land og til vands. Men det forud-

sætter, at myndighederne har taget stilling til og defineret i hvilke situationer, un-

der hvilke forhold og til hvilket niveau virksomhederne og sektoren forventes, at

være i stand til at opretholde sine tjenester

–

særligt under kriser og udefrakom-

mende påvirkninger. Den drøftelse og forventningsafstemning mener vi udestår. Vi

opfordrer derfor til en sådan drøftelse.

Det bør omvendt alene være virksomhederne og sektoren selv

–

baseret på en risi-

kovurdering på baggrund af myndighedernes trusselsvurdering, som afgør, hvilke

beredskabsniveauer og beredskabsforanstaltninger, som virksomhederne og sekto-

ren skal implementere i en krisesituation, det såkaldte nærhedsprincip. Green Po-

wer Denmark anbefaler derfor, at ministeren og Energistyrelsen fremadrettet arbej-

der efter et ”armslængdeprincip”, som giver virksomhederne og Energinet størst

muligt rum til at være de operationelle aktører, mens Energistyrelsen er den kom-

petente og tilsynsførende myndighed for energisektoren.

Green Power Denmark finder det vigtigt, at vi i energisektoren værner om den ope-

rationelle beredskabs- og sikkerhedskultur og -struktur. Herunder fx elsektorens

kontrolstruktur, som igennem rigtig mange år har vist sig robust og effektiv til kri-

sehåndtering og krisekommunikation med Energinet, som omdrejningspunkt.

Med etableringen af SektorCERT (tidl. EnergiCERT) tilbage i foråret 2020 og frem til i

dag indgik Green Power Denmark, Dansk Fjernvarme, Energinet og DANVA aftale

om i fællesskab at etablere dette vigtige og operationelle samarbejdsorgan ift. cy-

bersikkerhed, som i dag understøtter, overvåger og leverer tjenester og varsler til til-

sluttede virksomheder inden for både el, gas, vand og varme samt andre associe-

rede virksomheder.

Disse konkrete eksempler på til dato velfungerende, operationelle samarbejdsrelati-

oner bør ny lovgivning, herunder implementering af NIS2- og CER-direktiverne ikke

ændre på, men snarere støtte op om og dermed skabe rum til, at virksomhederne i

energisektoren kan udbygge fx ved også at inkludere alle virksomheder, som står til

at blive omfattet af loven herunder fjernvarme, olie, ladeinfrastruktur, PtX m.fl.

Kapitel 4

–

Underretningspligt

Med den foreslåede § 12 lægges der op til at der kan fastsættes regler for underret-

ning og indrapportering af bl.a. nærvedhændelser. Green Power Denmark opfor-

drer til at inddrage branchen

i arbejdet med at konkretisere ”nærvedhændelse”-be-

grebet, så denne underretning og indrapportering bliver værdiskabende for virk-

somhederne og sektoren, fremfor potentielt at blive en tung, administrativ byrde,

som reelt ikke skaber højere sikkerhed i energisektoren.

Med den foreslåede §

13 er det uklart, hvordan ”… modtagere af deres tjenester…”

skal tolkes og om det reelt menes at virksomhedernes slutkunder skal informeres.

Vi opfordrer til en nærmere drøftelse af formålet med denne regel ift. virksomhe-

derne i energisektoren.

Efter den foreslåede § 14 er det ministerens opgave

–

efter høring af virksomheden,

at orientere offentligheden om oplevede hændelser. Green Power Denmark

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

anbefaler, at den foreslåede § 14 vendes om, så det i stedet er virksomhedens an-

svar, evt. under påbud, at orientere offentligheden om oplevede hændelser, hvis

hændelsen er af en sådan karakter, at offentliggørelse

–

ud fra en risikobaseret til-

gang, herunder varsomhed med fortrolige informationer, forretningsfølsomme op-

lysninger, tavshedsbelagte kundeforhold og GDPR-forpligtelser, vurderes nødven-

digt. Green Power Denmark savner, at det fremgår af lovens bemærkninger, at visse

sektorer i energisektoren er omfattet af offentlighedsloven, og derved også kan på-

kalde sig bestemmelser, der taler imod offentliggørelse.

Efter § 15 lægges der op til at enhver kan underrette ministeren

–

endda undtaget

aktindsigt jf. den foreslåede § 27, om væsentlige hændelser, cybertrusler og nær-

vedhændelser, som virksomhederne før eller siden formentlig vil skulle forholde sig

til. Green Power Denmark vurderer, at det potentielt kan blive en stor administrativ

byrde foruden at vi frygter, at denne mulighed for underretning kan misbruges og i

værste fald blive anvendt som chikane, som kan trække beredskabs- og sikkerheds-

mæssige ressourcer væk fra det arbejde og de opgaver, som virksomhederne reelt

burde have fokus på. Vi opfordrer derfor til der fra myndigheds side sker en kompe-

tent, faglig vurdering af og ”sortering” i de indberetninger, som måtte komme ind.

Kapitel 5

–

Sikkerhedsgodkendelser og baggrundskontrol

Green Power Denmark efterlyser mere klarhed over, hvilke virksomheder som for-

ventes at skulle sikkerhedsgodkende medarbejdere og til hvilket sikkerhedsniveau

disse nøglemedarbejdere vil skulle godkendes til. Potentielt set er der tale om rigtig

mange medarbejdere i energisektoren, som vil skulle igennem en godkendelses-

proces, hvilket vil være en ikke-uvæsentlig administrativ byrde for både myndighe-

derne, virksomheder og medarbejdere.

Det bemærkes, at der i nyere tid er eksempler på sagsbehandlingstider på mere

end 6-8 måneder for sikkerhedsgodkendelse af nøglepersoner. Differentierede god-

kendelsesniveauer afhængig af opgavens karakter med henblik på at reducere

sagsbehandlingstiden for godkendelse bør derfor overvejes. Virksomhederne vil

ikke kunne leve med en uforholdsmæssig lang sagsbehandlingstid for sikkerheds-

godkendelse af nøglemedarbejdere, hvis det i praksis betyder, at nøglemedarbej-

dere (og også leverandører) ikke kan og må varetage den opgave, som virksomhe-

derne har ansat dem til at varetage.

Green Power Denmark støtter, at der stilles krav om at udvalgte nøglemedarbej-

dere skal sikkerhedsgodkendes. Det bør dog være virksomhedernes risikovurde-

ring, som tjener som grundlag for udvælgelsen af virksomhedens nøglemedarbej-

dere.

Green Power Denmark mener, at myndighederne skal garantere en maksimal sags-

behandlingstid, som virksomhederne kan acceptere.

Green Power Denmark savner desuden klarhed over, hvordan virksomhedernes

egne, internationale medarbejdere samt hvordan leverandørers medarbejdere,

både danske og udenlandske, tænkes sikkerhedsgodkendt og til hvilket niveau, når

disse enten løbende eller tidsafgrænset skal løse nøgleopgave for virksomhederne.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Endelig savner vi, at der mellem myndigheder og virksomheder i energisektoren,

men også på tværs af sektorer, aftales en procedure for, hvordan en virksomhed

kan verificere at én person er sikkerhedsgodkendt, samt en procedure for at virk-

somheder med sikkerhedsgodkendte medarbejdere og/eller leverandører informe-

res, hvis myndighederne trækker en sikkerhedsgodkendelse af en medarbejder til-

bage.

Kapitel 6

–

Gebyrer

§ 17, stk. 1

Green Power Denmark har ikke indvendinger imod, at den eksisterende gebyrord-

ning for tilsynet med el- og naturgasvirksomhedernes organisatoriske beredskab,

fysiske sikring og cybersikkerhed og dækningen af de omkostninger der er til admi-

nistration af ordningen videreføres i dette lovforslag og udvides til at gælde alle virk-

somheder, der er omfattet af loven. Det er som udgangspunkt en velkendt ordning,

og det forekommer fornuftigt, at der skal gælde fælles regler for energisektoren.

Når dette er sagt, giver beskrivelsen af de samlede udgifter, der indgår til gebyrop-

gørelsen dog anledning til en overvejelse i det rimelige i, at virksomheder, der ligger

langt fra Energistyrelsen, skal betale ekstra ud fra deres geografiske placering

–

derved afstand fra tilsynsmyndigheden. Dette er en forskelsbehandling i pris, der

ikke relaterer sig til det faglige tilsyn og de forberedelser, undersøgelser og vurde-

ringer, der er relateret hertil.

Det antages derudover, at timesatsen følger det år, hvor timen er lagt.

§ 17, stk. 2

Fremover vil der som noget nyt blive opkrævet gebyr for ad-hoc tilsyn, dvs. situatio-

ner, hvor der i tillæg til de almindelige, ordinære og planlagte tilsyn vurderes at

være et behov for et ekstraordinært tilsyn, som følge af en mistanke om alvorlige

overtrædelser af beredskabsreglerne.

Det følger af lovforslagets bemærkninger, at der er tale om et aktivitetsbaseret ge-

byr, der vil blive beregnet ud fra antallet af timer, der er medgået til udførelsen af

aktiviteten, og at udgifterne, der vil blive henregnet, er de samme som det gene-

relle grundbeløb (bortset fra uddannelse, efteruddannelse m.v. af medarbejdere hos

tilsynsmyndigheden). Green Power Denmarks bemærkninger om betaling for til-

synsmyndighedens transport, kost og logi, samt valg af timesats, gælder således

også for dette gebyr.

Green Power Denmark bifalder indstillingen om, at tilsynsmyndigheden afholder de

samlede udgifter, hvis den indledende sondering af tilsynsbehovet munder ud i, at

der ikke skal indledes et ekstraordinært tilsyn. I modsat fald kunne det i yderste

konsekvens føre til, at chikanøse underretninger vil medføre, at anmeldte virksom-

heder skulle betale for en ubegrundet ydelse.

§ 17, stk. 3

Det foreslås, at klima-, energi- og forsyningsministeren fastsætter regler om størrel-

sen, betaling og opkrævning af beløb efter stk. 1 og 2, herunder om fordelingen af

omkostningerne på kategorier af virksomheder.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Dette vil formentlig også omfatte gebyropkrævning for samordnet beredskab, som

foreslås ændret i forhold til gældende praksis, hvor det i dag alene er den udførende

virksomhed, der opkræves for tilsynet med beredskabsplanlægningen. Fremover vil

der tilsyneladende blive lagt vægt på den samlede MW-andel af den danske elpro-

duktion. Det er imidlertid uklart, hvorvidt det alene er den udførende virksomhed,

der placeres på det højere gebyrniveau, eller om det er samtlige virksomheder, der

er omfattet af det samordnet beredskab, der alle bliver afkrævet det højere gebyrni-

veau, uanset at deres virksomhed eller anlæg i sig selv hører til et væsentligt lavere

niveau.

Hvis sidstnævnte er tilfældet, rejser det i og for sig et principielt spørgsmål om,

hvorvidt dette er det rette snit.

I bemærkningerne fremgår det, at uhensigtsmæssigheden, som angives som årsag

til ændringsforslaget, snarere relaterer sig til myndighedens finansiering af ”store

samordnede beredskaber”,

end hvordan de berørte virksomheder indbyrdes forde-

ler og betaler for beredskabsplanlægningen.

Tilsynsaktiviteten skal naturligvis dækkes, men den bør ikke være en unødig hæm-

sko for at køre et samordnet beredskab og derved forhindre, at koncernforbundne

virksomheder kan drage nytte af en koncernintern synergieffekt. Dertil kommer, at

det langtfra altid vil være tale om store koncerner, da også mindre koncerner kan

have gavn af muligheden for at køre et samordnet beredskab. Endelig vil en op-

krævning af de højere gebyrsatser for alle virksomhederne uanset niveauinddeling i

sidste ende betyde en mer-finansiering

Af de generelle bemærkninger i punkt 3.5.3. fremgår det, at ministerbemyndigelsen

vil blive anvendt til at indføre en ekstra gebyrkategori 6, som skal bruges specifikt til

Energinets EL TSO og GAS TSO ”samt

andre virksomheder, der grundet deres helt

særlige ansvar for funktionen af energisystemerne i Danmark, bør modtage et væ-

sentligt mere grundigt og dybdegående tilsyn end alle andre.”

Det fremgår ikke

nærmere af bemærkningerne, hvilke typer af virksomheder, der forventes at blive

omfattet af denne forhøjede gebyrsats, samt hvilke kriterier, der i så fald vil være ud-

slagsgivende.

Indførelsen af denne ekstra gebyrkategori er et brud på hele systematikken, hvor

gebyrkategorierne er ”afstemt” med den niveauinddeling,

der sker af virksomhe-

derne i henhold til § 4 om kategorisering af virksomheder og disses systemer og an-

læg. Det forekommer løst funderet, ligesom det rejser spørgsmål om, hvilke yderli-

gere ”greb”, som tilsynsmyndigheden vil kunne gøre brug af i dette

tilfælde. Sidst

men ikke mindst kan det undre, at et scenarie, hvor der vurderes at være et behov

for et såkaldt ”ekstraordinært” tilsyn ikke kan dækkes af § 17, stk. 2.

§ 18

Som noget nyt skal virksomheder fremover betale for den kompetente myndigheds

behandling af ansøgninger og dispensationer. Forslaget er angiveligt begrundet

med, at myndighederne forventer flere ansøgninger, idet flere virksomheder for-

ventes omfattet af beredskabsreglerne, samt at indførelsen af betalinger forventes

at have en præventiv effekt på særligt antallet af sikkerhedsgodkendelser, hvor der

ifølge forslaget ”observeres

en tendens til et overforbrug af sikkerhedsgodkendel-

ser”.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Green Power Denmark skal dertil pointere, at lige netop spørgsmålet om, hvorvidt

det er nødvendigt at få sikkerhedsgodkendt personer i energisektoren, der har di-

rekte adgang til at påvirke forsyningen i energisektoren, er et element, der vil blive

fastsat håndfaste krav til. I disse situationer vil der

–

ifølge lovforslagets bemærknin-

ger

–

blive fastsat krav om sikkerhedsgodkendelse. I disse tilfælde er der ikke tale

om, såkaldte ansøgninger i ”egeninteresse”.

Forslaget om gebyrfinansiering af an-

søgninger skal derfor differentieres afhængig af, hvorvidt sikkerhedsgodkendelse er

påkrævet, eller skyldes virksomhedens egen risikovurdering og/eller ønske herom. I

de tilfælde, hvor en sikkerhedsgodkendelse er påkrævet, findes det naturligt, at

denne sagsbehandling omfattes af det generelle grundbeløb, og i andre tilfælde vil

der kunne opkræves særskilt gebyr, ligesom ved dispensationsansøgninger, der

skyldes virksomhedens ”egeninteresse”

i at få en undtagelse eller at skærpe det in-

terne beredskabsniveau.

Det bemærkes i øvrigt, at omfanget af gebyrfinansiering generelt vil stige med ud-

videlsen af virksomheder, der fremover forventes omfattet af beredskabsreglerne i

energisektoren, hvorfor det i sig selv ikke ses at være et tilstrækkeligt vægtigt argu-

ment for yderligere gebyrfinansiering.

Kapitel 7

–

Tilsyn

Green Power Denmark støtter sektoransvarsprincippet og dermed, at beredskabs-

tilsynet med energisektoren forbliver i og varetages af Energistyrelsen, eventuelt

med teknisk og/eller operationel bistand fra Center for Cybersikkerhed, Beredskabs-

styrelsen m.fl.

Vi finder her igen anledning til at betone værdien af et dialogbaseret tilsyn, hvor

virksomhederne og tilsynsmyndigheden i fælles dialog sikrer et stærkt og mod-

standsdygtigt beredskab i energisektoren. Eventuelle påbud og bøder bør derfor

alene være sidste udvej og kun i de tilfælde, hvor samarbejdet og den konstruktive

dialog ikke er til stede.

Green Power Denmark tilslutter sig desuden muligheden for differentierede tilsyn,

hvilket er i tråd med betragtningerne i NIS2-direktivet

. Vi anbefaler desuden mu-

ligheden for administrative tilsyn, herunder at tilsyn på skriftligt grundlag, der ikke

kræver fysisk kontrolbesøg, udtrykkeligt nævnes i lovforslagets § 19 samt bemærk-

ningerne hertil. Muligheden for at anvende skriftligt tilsyn er i tråd med direktivets

anvisninger om, at tilsynsmyndigheden ved udførelsen af tilsynsopgaven bør mini-

mere indvirkningen på den berørte enheds forretningsaktiviteter.

§ 19, stk. 2, nr. 4.

Green Power Denmark tager kraftigt afstand fra forslaget om, at tilsynsmyndighe-

den skal kunne foretage sikkerhedsscanninger og penetrationstest af virksomhe-

dens net- og informationssystemer m.v. Dette er en meget vidtgående kontrolfor-

anstaltning, der ikke ses at være i overensstemmelse med ordlyden i CER-direktivet

eller NIS2-direktivet, art. 32, stk. 2, litra d, hvor NIS2-direktivet alene omtaler

Fx præambelbetragtning nr. 122 ”[..] Desuden bør der ved dette direktiv indføres en differentiering af til-

synsordningen for henholdsvis væsentlige og vigtige enheder med henblik på at sikre en rimelig balance

mellem forpligtelser for disse enheder og for

de kompetente myndigheder. [..]” og tilsvarende i betragtning

nr. 15 sidste afsnit.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

tilsynsmyndighedens beføjelse ”til at pålægge en enhed at foretage sikkerheds-

skanninger”. Penetrationstest er slet ikke omfattet af direktivforpligtelsen og ville i

givet fald indebære en markant udvidelse af tilsynsmyndighedens beføjelser, der

ikke står mål med formålet.

Vi noterer os, at der i Forsvarsministeriets udkast til lov om foranstaltninger til sik-

ring af et højt cybersikkerhedsniveau § 17, nr. 3 lægges op til, at virksomheder inden-

for de samfundskritiske sektorer kan anmode den nationale CSIRT (i praksis Center

for Cybersikkerhed) om ”… at foretage en proaktiv scanning af enhedens net-

og in-

formationssystemer, der anvendes til levering af enhedens tjenester, for at opdage

sårbarheder med en

potentielt væsentlig indvirkning.” Vi støtter,

at virksomheder i

energisektoren også får adgang til denne mulighed.

Green Power Denmark bemærker, at penetrationstest er meget omkostningstungt

at gennemføre, ligesom risikoen for omfattende skader ved scanninger og penetra-

tionstests er stor og kræver såvel specialistkompetencer samt indsigt i, hvordan

virksomhedens netværk er forbundet (topologien)

–

særligt, hvis ønsket med scan-

ninger og tests er at finde sårbarheder, dog uden at gøre potentiel uoprettelig

skade. Vurderingen af, hvorvidt sikkerhedsscanninger og penetrationstest er en

nødvendig del af den pågældende virksomheds beredskabsplanlægning og sikker-

hedsforanstaltninger bør alene bero på virksomhedens egen risiko- og sårbarheds-

vurdering. Det står naturligvis tilsynsmyndigheden frit for at italesætte brugen af

scanninger og penetrationstests ifm. det dialogbaseret tilsyn, og hvis virksomheden

egenhændigt vælger at foretage penetrationstest på egne lokationer, anlæg og/el-

ler net- og informationssystemer, vil det være et relevant tema på efterfølgende til-

synsbesøg, hvor virksomheden kan give tilsynsmyndigheden indsigt i resultaterne

af evt. foretagne scanninger og penetrationstests. Det skal sikres, at resultater og

konklusioner af sikkerhedsscanninger og penetrationstest er undtaget muligheden

for aktindsigt.

§ 20

Ovennævnte bemærkninger finder ligeledes anvendelse i forhold til de tilsynsforan-

staltninger, som rådgivende missioner kan tage i anvendelse i henhold til lovforsla-

gets § 20, stk. 2.

Kapitel 8

–

Håndhævelse

§ 21, stk. 1, nr.1

Det ligger implicit i bestemmelserne om tilsynsmyndighedens adgang til at an-

vende håndhævelsesforanstaltninger, at dette skal ske på baggrund af en konkret

vurdering af omstændighederne i den enkelte sag. Derved er det også en forudsæt-

ning, at de valgte håndhævelsesforanstaltninger skal være proportionelle med for-

målet

–

og den konkrete hændelse og/eller overtrædelse.

Green Power Denmark savner i den forbindelse, at der skelnes mellem væsent-

lige/kritiske og vigtige enheder, ikke mindst i de tilfælde, hvor håndhævelsesforan-

staltninger går videre end CER-direktivet, og hvor kravet til den fysiske sikring der-

for skærpes, men hvor formålet kunne nås med mindre indgribende tiltag.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

§ 21 stk. 1, nr. 2

I bemærkningerne til denne bestemmelse, anføres det, at tilsynsmyndigheden

–

på

baggrund af trusselsbilleder eller konkrete informationer fra de danske efterret-

ningstjenester vil kunne forbyde virksomheder at anvende materiel eller services fra

aktører fra tredjelande, hvis det vurderes, at det kan udgøre en trussel for virksom-

hedens sikkerhed og beredskab eller på anden måde kompromittere virksomhe-

dens evne til at levere tjenester eller udføre sine tjenester.

Et forbud kan afhængig af de nærmere omstændigheder, være berettiget. Det er

dog uklart, hvorvidt ovennævnte relaterer sig til et helt specifikt forhold hos leveran-

døren eller alene er en formodning for, at der ikke er tilstrækkelige sikkerhedsforan-

staltninger hos den pågældende leverandør, idet pågældende hidrører fra et tredje-

land uden for EU/EØS. I sidst nævnte tilfælde bør det overvejes, hvorvidt det er mu-

ligt at afhjælpe risikomomentet, ved at indføre særlige organisatoriske eller tekni-

ske sikkerhedsforanstaltninger, ligesom dette også praktiseres i GDPR jf. artikel 46.

§ 21 stk. 1, nr. 5

Bestemmelsen, der giver tilsynsmyndigheden mulighed for at påbyde en virksom-

hed i ikke-anonymiseret form og på en nærmere angiven måde at offentliggøre af-

gørelser om håndhævelsesforanstaltninger m.m. fremstår ganske bred og bør ind-

snævres. Der henvises til tilsvarende bestemmelse i NIS2-direktivet, art. 32, stk. 4,

litra h, hvor udtrykket ”aspekter

af overtrædelsen af dette direktiv”,

antyder en for-

holdsvis afgrænset oplysningspligt og/eller offentliggørelse.

Green Power Denmark er i øvrigt enig i, at oplysninger om tekniske indretninger el-

ler fremgangsmåder eller om drifts- eller forretningsforhold el. lignende, for så vidt

det er af væsentlig økonomisk betydning for den berørte virksomhed herunder

tavshedsbelagte kundeforhold, ikke vil skulle kunne offentliggøres. Dette uanset

om den pågældende virksomhed er omfattet eller ej af offentlighedslovens anven-

delsesområde. Andre undtagelsesbestemmelser vil i øvrigt også kunne finde anven-

delse i og med, at en række forsyningsvirksomheder netop er omfattet af offentlig-

hedslovens anvendelsesområde, jf. offentlighedslovens § 3, stk. 2.

§ 23

Bestemmelsen giver tilsynsmyndigheden mulighed for at fastsætte en frist, inden

for hvilken virksomheden skal rette op på konkrete forhold, der udgør en overtræ-

delse af beredskabsreglerne, og som de tidligere pålagte foranstaltninger ikke har

kunne rette op på. Hvis dette ikke sker, inden for den fastsatte frist, gives tilsyns-

myndigheden kompetence til at foretage en midlertidig suspension af certificerin-

ger eller godkendelse, samt en midlertidig frakendelse (forbud) af ledelsesretten for

den administrerende direktør eller lignende funktion på samme niveau.

Der er tale om ganske vidtrækkende og alvorlige indgreb i virksomhedens drift, og

det bør derfor være undtagelsen og ske med nødvendige garantier, som kan sikre,

at der er mulighed for reelt at rette op og undgå indgreb.

Det bør genovervejes, hvorvidt begrebet ”utilstrækkelige” er det rette

ord, eller om

det rettelig bør være ”virkningsløse”, som i den danske oversættelse af NIS2-direkti-

ver, da der er en nuanceforskel, der medfører, at lovforslagets brug af utilstrækkelig

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

er en skærpelse. Der henvises i øvrigt til, at den tyske oversættelse af direktivet an-

vender ordet ”unwirksam”.

Stk. 1, nr. 1

Muligheden for midlertidig suspension nævnes i forhold til en certificering eller

godkendelse. Bevilling er ikke særskilt nævnt i lovteksten men det fremgår af be-

mærkningerne, at dette må tolkes til også at omfatte bevillinger. Da en suspension

har en indgribende karakter, bør begrebet

”godkendelse”

præciseres eventuelt i § 3.

Konsekvenserne af en midlertidig suspension af en godkendelse eller bevilling kan

være ganske vidtrækkende, og det er nødvendigt at tage stilling til, hvordan konse-

kvenserne heraf skal håndteres. I elforsyningsloven er der taget stilling til, hvad der

sker, hvis bevillingen midlertidigt inddrages. Dette hensyn synes ikke at være taget i

lovforslaget, og Green Power Denmark skal derfor opfordre til, at dette sker.

Det fremgår af stk. 3, at en afgørelse om midlertidig suspension af certificeringer,

bevillinger m.v. kan forlanges indbragt for domstolene. I betragtning af de alvorlige

konsekvenser, som afgørelsen kan have for den pågående drift, bør en sådan på-

klage have opsættende virkning.

Stk. 1, nr. 2

Green Power Denmark tager kraftigt afstand fra denne adgang til rettighedsfraken-

delse. Det er en ganske vidtgående kompetence, som tilsynsmyndigheden (Energi-

styrelsen) påtager sig, og Green Power Denmark finder, at en sådan rettighedsfra-

kendelse skal ske via domstol eller domstolslignende organ. Energistyrelsen er in-

gen af delene.

Den danske bestemmelse går klart videre end NIS2-direktivet, art. 32 stk. 5, litra b,

hvor tilsynsmyndigheden har beføjelse til at anmode de relevante organer eller

domstole om at forbyde udøvelse af ledelsesfunktioner. Kompetencen tillægges

netop ikke tilsynsmyndigheden, da et indgreb af denne karakter forudsætter en

uvildig prøvelse med de nødvendige retssikkerhedsmæssige garantier.

Den foreslåede fremgangsmåde ses derfor heller ikke at være direktivkonformt.

§ 24

Ved anvendelsen af forbud og påbud omfattet af §§ 21-23 er det selvsagt vigtigt, at

tilsynsmyndigheden overholder de forvaltningsretlige krav om bl.a. partshøring, og

at der sikres en rimelig frist til at komme med bemærkninger, ligesom der skal

være mulighed for at afvente implementeringen af påbuddet, hvis myndighedens

og virksomhedens risikovurdering ikke falder ens ud, dvs. opsættende virkning ved

klage.

Tilsynsmyndighedens brug af straks påbud bør kun ske undtagelsesvist, og også

her bør der i praksis være adgang til at fremkomme med bemærkninger og rette

eventuelle forkerte antagelser m.v. At afskære partshøringen er ganske indgribende

og bør kun bruges i en decideret nødretslignende situation.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Kapitel 9

–

Gensidig bistand om cyber

Jf. den foreslåede § 25 lægges der op til, at den danske tilsynsmyndighed kan indgå

aftale om at yde gensidig bistand til og sammen med andre EU-landes tilsynsmyn-

digheder, når en virksomhed leverer tjenester i en eller flere medlemsstater og virk-

somhedens net- og informationssystemer er beliggende i en eller flere andre med-

lemsstater.

Green Power Denmark finder det essentielt, at det ved gensidig bistand om cyber

ikke kan kræves, at danske virksomheder udleverer fortrolig information om virk-

somhedens beredskab til en anden medlemsstats tilsynsmyndighed. Evt. indsigt i

virksomhedens beredskab bør således alene kunne opnås ved 1) samtidig medvir-

ken af den danske tilsynsmyndighed og efter aftale med denne, 2) fysisk fremmøde

hos virksomheden og efter forudgående aftale med denne, og 3) mod fremvisning

af behørig legitimation og dokumentation for gyldig sikkerhedsgodkendelse.

Kapitel 10

–

Fortrolighed, udveksling af oplysninger og digital kommunikation

Generelt anbefaler Green Power Denmark, at tilsynsmyndigheden og virksomhe-

derne

–

som en del af tilsynet jf. § 19 og baseret på en gensidig risikovurdering, lø-

bende overvejer og drøfter hvilke informationer om virksomhedernes beredskab,

som virksomhederne skal afkræves at udlevere og fremsende til tilsynsmyndighe-

den og hvilke informationer, som der i stedet kan gives adgang til på fysiske tilsyns-

besøg hos virksomheden. Green Power Denmark anerkender, at et tilsynsbesøg,

hvor flere informationer kun er tilgængelige for gennemsyn af tilsynsmyndigheden

ude hos virksomheden

–

alt andet lige, vil kræve, at tilsynets tilrettelægges på en

anden måde end i dag.

Green Power Denmark beder klima-, energi- og forsyningsministeren tage proaktiv

stilling til, i hvorvidt og i hvilket omfang, at begrebet ”FORTROLIGT” i medfør af lov

om styrket beredskab skal tolkes iht. CIR1H nr. 10338 af 17/12/2014, Cirkulære om sik-

kerhedsbeskyttelse af informationer af fælles interesse for landene i NATO eller EU,

andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyt-

telsesinteresse i øvrigt (Sikkerhedscirkulæret). Ministerens holdning på dette

spørgsmål bør fremgå entydigt af loven og lovens bemærkninger.

Green Power Denmark anbefaler, at virksomhederne i energisektoren fremadrettet

arbejder efter ensartede retningslinjer, når det udveksles information indenfor og

på tværs af sektoren. Vi bakker derfor op om, at energisektoren ift. de opgaver, den

information og den sagsbehandling, som følger af lov om styrket beredskab evt.

indfører dokumentklassifikation iht. Sikkerhedscirkulæret og operationaliserer in-

formationsudveksling gennem principperne for Traffic-Light-Protocol (TLP) med en

passende overgangsordning.

Green Power Denmark noterer sig, at det af den foreslåede § 26 følger, at en række

informationer skal behandles med fortrolighed hvis de jf.:

•

Nr. 3

– ” … er væsentlige af hensyn til driften af virksomheden”.

Nr. 5

– ” … er væsentlige af hensyn til driften af energiforsyningen lokalt, regi-

onalt, nationalt eller på europæisk plan.”

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Videre noterer vi os, at der lægges op til at klima-, energi- og forsyningsministeren

jf. § 26, stk. 2 fastsætter nærmere regler om, hvordan virksomheder og myndighe-

der opbevarer, behandler og deler informationer.

Green Power Denmark er og involveret i andet myndighedsarbejde med fokus på

frisættelse af data og information om det sammenhængende, danske energisy-

stem inden for el, gas, vand og varme mv. i regi af Forsyningsdigitaliseringsprog-

rammet. Vi finder i den forbindelse behov for at opfordre til at de initiativer og opga-

ver som følger af lov om styrket beredskab, herunder fortrolighed om data og infor-

mationer, afstemmes med de initiativer og opgaver, som følger af Forsyningsdigita-

liseringsprogrammet, herunder frisættelse af data og informationer. Vi anbefaler i

denne sammenhæng, at landets sikkerhedsmyndigheder herunder Politiets Efter-

retningstjeneste (PET) og Forsvarets Efterretningstjenester (FE) inddrages i drøftel-

serne og i en risikovurdering af, hvilke data og informationer, som skal beskyttes og

behandles som fortrolige, og hvilke data og informationer, som kan frisættes.

§ 27

Underretninger der sker i medfør af lovforslagets § 15 undtages fra aktindsigt efter

offentlighedsloven og partsaktindsigt i medfør af forvaltningsloven. Formålet er at

sikre, at virksomheder, der har været udsat for et hackerangreb, ikke afholder sig fra

at underrette myndighederne, idet dette kan skade virksomhedens omdømme og

offentlighedens tillid til virksomheden.

Green Power Denmark tilslutter sig, at det skal være muligt at indberette til myn-

digheder uden, at alt tilflyder offentligheden via aktindsigt. Udover at der kan være

tale om oplysninger, der kan skade virksomhedens omdømme, eller hindre genop-

rettelsen af forsyningssikkerheden, kan adgangen til aktindsigt også hindre even-

tuel efterforskning af udefrakommende angreb. Dertil kommer, at der kan være

tale om forretningsmæssige følsomme data, som oplysninger om drifts- og forret-

ningsforhold, tekniske indretninger eller fremgangsmåder m.v. Hensynet til at und-

tage disse underretninger (og alle de oplysninger, der indgår heri) samt de proces-

skridt, der tages i den sammenhæng, vægter derfor tungt.

Undtagelsen fra aktindsigt omfatter derimod ikke virksomheders eller fysiske per-

soners adgang til at gøre sig bekendt med oplysninger, herunder personoplysnin-

ger, der vedrører deres egne forhold (retten til egenacess).

Det er velkendt, at adgangen til at undtage oplysninger omfattet af retten til ege-

nacess er begrænset. Forsyningssektorens samfundskritiske funktion fordrer dog,

at beskyttelsesmomentet vejer tung også i disse egenacess sager. Forsyningsvirk-

somheder vil efter omstændighederne kunne påberåbe sig konkrete undtagelses-

bestemmelser i offentlighedsloven, men dette kræver, at der anvendes ressourcer

på at udarbejde en udtagelse til myndigheden, hvor der redegøres for, hvorfor udle-

veringen af oplysningerne vil medføre en risiko for skade. Ressourcer der givetvis

kunne bruges bedre i den givne beredskabssituation.

I den situation, hvor en virksomhed bliver kompromitteret, vil der ofte også være

sket et brud af persondatasikkerheden, og muligheden for at søge aktindsigt hos

Datatilsynet vil således kunne foregå sideløbende. Det er uklart, hvordan denne si-

tuation tænkes håndteret fremadrettet.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

§ 28

Ift. den foreslåede § 28 om videregivelse af oplysninger til andre medlemsstaters

myndigheder og institutioner anbefales det:

at ministeren

–

hvis der er tale om information, som kan henføres direkte til

en eller flere virksomheder, informerer den eller de danske virksomheder,

som der videregives informationer om, forud for at informationen videregi-

ves.

at ministeren og evt. den eller de berørte virksomheder i fællesskab foreta-

ger en risikovurdering af kritikaliteten og fortroligheden af de informatio-

ner, som påtænkes videregivet mhp. at træffe nødvendige foranstaltninger

forud for, at informationen videregives.

§ 30

Af den foreslåede § 30 lægges op til, at ministeren kan fastsætte regler om digital

kommunikation herunder anvendelsen af bestemte it-systemer. Af bemærknin-

gerne (s. 245/246) fremgår det bl.a., at disse regler kan omfatte krav om hændelses-

indberetning via Virk.dk,

og krav om at information ”… ikke anses for behørigt mod-

taget af myndighederne, hvis de indsendes på anden vis end den foreskrevne digi-

tale måde.”

Green Power Denmark anbefaler, at det sikres, at der til enhver tid er al-

ternative kommunikationsveje, så hverken myndigheder eller virksomheder er af-

hængige af kun én digital kommunikationsvej. Desuden bør det til hver en tid være

muligt at kunne opnå personlig kontakt med myndigheden via telefon.

Kapitel 11

–

Andre bestemmelser

§§ 31-32

Det foreslås, at de gældende regler om administrativ klageadgang til Energiklage-

nævnet, som følger af elforsyningsloven, gasforsyningsloven m.v. videreføres i lov

om styrket beredskab. Nævnet består i dag, foruden en formand og en næstfor-

mand, af en række sagkyndige medlemmer med kendskab til energimæssige for-

hold samt tekniske og juridiske sagkundskaber.

Da de kommende beredskabsregler vil kræve en særlig indsigt i og forståelse af de

nye beredskabsregler, og ikke mindst, hvordan man implementerer regler om orga-

nisatorisk, fysisk sikring og cybersikkerhed i praksis, er det af altafgørende betyd-

ning, at det sikres, at der er den korrekte sagkundskab i forhold til klager, der vedrø-

rer beredskab i energisektoren.

Green Power Denmark skal derfor opfordre til, at der udpeges nævnsmedlemmer,

der har den nødvendige sagkundskab, herunder praktisk indsigt i de komplicerede

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

tekniske og cybersikkerhedsmæssige krav, som udspringer af beredskabsreglerne.

Dette bør også afspejles i Energiklagenævnets forretningsorden.

Der bør således ses på § 2 i nævnets forretningsorden, der vedrører nævnets sam-

mensætning, der bør ændres med henblik på at sikre den korrekte sagkundskab i

disse sager fx:

”ved

afgørelser af klagesager, der er henlagt til Energiklagenævnet

efter lov om styrket beredskab, erstattes de i stk. 3 nævnte medlem-

mer af to medlemmer med særlig sagkundskab inden for organisa-

torisk beredskab, fysisk sikring og cybersikkerhed.”

Green Power Denmark bistår gerne med udpegningen af relevant sagkundskab.

Det følger af § 32, stk. 1, at der skal fastsættes nærmere regler om klageadgangen,

herunder at visse afgørelser ikke skal kunne indbringes for Energiklagenævnet.

I bemærkningerne til bestemmelsen anføres, at ministerbemyndigelsen vil omfatte

undtagelsen af afgørelser om baggrundstjek og sikkerhedsgodkendelser, der der-

imod vil kunne indbringes for domstolene. Green Power Denmark har grundet af-

gørelsernes særlige karakter ingen umiddelbare indvendinger hertil. Dette bør dog

ikke være de eneste afgørelser, der på grund af deres særlige karakter og alvor, ikke

skal behandles af Energiklagenævnet. Dette skal selvsagt også gælde for afgørelser

om midlertidig frakendelse af ledelsesretten i § 23, stk. 1, nr. 2. Denne type af afgø-

relse skal træffes af domstolene, hvor der også er mulighed for opsættende virk-

ning. Der henvises i øvrigt til bemærkningerne til lovforslagets § 23.

§ 35

Green Power Denmark noterer sig, at klima-, energi- og forsyningsministeren jf. § 19

og § 35 kan fastsætte nærmere regler om, hvilke informationer, som virksomhe-

derne skal udlevere herunder bl.a. IP-intervaller. Vi noterer os, at kravet om udleve-

ring af IP-intervaller følger af NIS2-direkitvet, art. 3, stk. 3 og 4.

I Green Power Denmark finder vi det bekymrende, at ny lovgivning

–

både med

NIS2-direktivet og nu med lov om styrket beredskab i energisektoren, i lyset af en

stadig stigende cybertrussel, i tilsyneladende så ringe grad søger at indtænke ”se-

curity by design”.

Nok er IP-adresser

relativ offentlig tilgængelig information, men

at foretage en systematisk indsamling af IP-adresser, ikke bare for energisektoren,

men for alle de samfundskritiske sektorer, og ikke bare i Danmark men på tværs af

hele EU, er i vores optik en meget bekymrende tendens, idet kompromittering af

denne indsamlede information potentielt kan få vidtrækkende konsekvenser. Vi

savner derfor, for nuværende, klarhed for, hvorvidt disse IP-intervaller skal omfatte

og dække alle virksomhedens tjenester eller kun nogle og i givet fald hvilke (fx kun

offentlige IP-adresser). Vi bemærker, at virksomheder, som gør brug af cloud-base-

rede ydelser til levering af deres tjenester kun i begrænset omfang vil kunne op-

fylde kravet om indberetning af IP-intervaller. Yderligere efterlyser vi klarhed om,

hvilket formål denne systematiske indsamling af IP-adresser skal tjene, herunder

evt. forebyggende sikkerhedsmæssige foranstaltninger. Desuden efterlyser vi doku-

mentation for, hvordan myndighederne vil sikre og opretholde tilstrækkelig sikker-

hed ved modtagelse, behandling og opbevaring, med henblik på at beskytte disse

potentielt, risikoudsatte informationer om virksomhederne.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Kapitel 12

–

Straf

§ 36, stk. 4

Green Power Denmark tilslutter sig indstillingen om, at bøder for overtrædelse af

strafsanktionerede bestemmelser ikke pålægges administrativt, men alene af dom-

stolene. Udstedelse af bøder samt udmåling af beløbsstørrelse, skal som hovedregel

altid foregå i det almindelige straffeprocessuelle system, hvor der er de nødvendige

retssikkerhedsgarantier for de sigtede juridiske og fysiske personer.

Tilsvarende overvejelser finder vi gør sig gældende i forholdet til spørgsmålet om

tvangsbøder, og vi støtter derfor ligeledes, at der

ikke

fastsættes beføjelser til, at til-

synsmyndigheden kan udstede administrative tvangsbøder.

Green Power Denmark konstaterer, at bødeniveauet for overtrædelser af NIS2 er

meget højt. Vi noterer, at der i forbindelse med implementeringen i Danmark ikke

er hensigt om at fastsætte højere maksimumbøder. Denne tilgang kan vi naturlig-

vis tilslutte os. Bødeniveauet er dog fortsat højt sat, og det rejser allerede på nuvæ-

rende tidspunkt en bekymring for, at bødesanktionerne ikke kommer til at stå mål

med de pågældende overtrædelser. Vi opfordrer derfor til, at det i lovbemærknin-

gerne tages højde for, at der skal være det nødvendige råderum for domstolene til

at udmåle bødestraffen på grundlag af den enkelte sags konkrete omstændighe-

der,

og derved ikke ”fastlåses” til at gøre brug af forudsatte beløbsgrænser. En bøde

vil altid opleves som en straf og kan sagtens have en effektiv og afskrækkende ef-

fekt, uden at der gøres brug af maksimumsrammer m.v.

I forlængelse af ovenstående drøftelse af bødesanktioner, er det desuden vigtig at

fremhæve, at der modsat NIS2-direktivet ikke stilles særlige krav til bødestørrelse

efter CER-direktivet. Forslaget om, at der stilles bødekrav, herunder bødestørrelser,

svarende til dem i NIS2-direktivet til bestemmelser, der udspringer af CER-direkti-

vet, skal derfor klart afvises. Det er et vidtgående forslag, der i øvrigt ikke ses at være

i overensstemmelse med de hensyn, der skal afvejes ved implementering af er-

hvervsrettet EU-regulering.

Green Power Denmark noterer, at et eventuelt strafansvar for fysiske personer for

tilsidesættelse af deres forpligtelser efter direktivet, vil følge de almindelige straffe-

retlige regler omkring forsæt eller grov uagtsomhed. Det er i og for sig fornuftigt,

men løser ikke den helt fundamentale udfordring med forslaget om, at ledelsen

skal have et retligt ansvar for den organisatoriske sikkerhed, den fysiske sikring og

cybersikkerhed, som omtalt tidligere i høringssvaret. Dette ansvar skal derfor først

og fremmest indsnævres såvel i forhold til gerningsindholdet, som kredsen af an-

svarssubjektiver. Dertil kommer, at retssikkerheds- og retshåndhævelseshensyn

kræver, at disse er tilstrækkeligt præcist beskrevet, idet de i modsat fald ikke er eg-

nede, som strafbestemmelse.

Green Power Denmark skal endelig opfordre til, at § 36 gennemgås grundigt, idet

pligtsubjekterne i de bestemmelser, der henvises til, er forskellige, hvilket i sig selv

giver nogle udfordringer i relation til egnethed, som strafbestemmelse.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Kapitel 13 - Ikrafttrædelse

Det fremgår af lovforslagets § 37, at loven skal træde i kraft 1. januar 2025.

Henset til, at den påkrævede identifikation og kategorisering af virksomheder lader

vente på sig, og der fortsat henstår et større lovforberedende arbejde, står det alle-

rede nu klart, at lovens ikrafttrædelsesdato ikke er realistisk.

Green Power Denmark bifalder af samme grund, at muligheden for overgangsbe-

stemmelser nævnes udtrykkeligt i høringsbrevet i forbindelse med de kommende

bekendtgørelser, der har til formål at udmønte og konkretisere de fremtidige be-

redskabskrav m.v. Det er dog med en vis bekymring, at vi noterer, at det i samme

afsnit angives, at en del af bestemmelserne i disse bekendtgørelser forventes at

træde i kraft 1. januar 2025.

Det er for nærværende uklart, hvilke bestemmelser og derved krav, der forventes at

kunne træde i kraft stort set samtidig med, at reglerne udstedes. Det kan der kun

gisnes om, men det formodes, at det i så fald, er bestemmelser, der

ikke

stiller ma-

terielle krav, som kræver, at de berørte virksomheder skal have mulighed for at ind-

rette sig herpå. Dette gælder såvel nye som skærpede beredskabskrav, ligesom

eventuelle ændringer i relation til ansøgninger eller dispensationer, der ligeledes

forventes at medføre rimelige overgangsbestemmelser, samt mulighed for at

igangværende ansøgninger gennemføres efter de hidtil gældende regler. Der hen-

vises i den forbindelse til Justitsministeriets vejledning om god lovkvalitet afsnit 3.7.

Udover ovenstående principielle betragtninger er det evident, at et lovforslag af

denne kaliber, der medfører en lang række tekniske og organisatoriske overvejelser,

risikovurderinger og deraf følgende krav, kræver mange ressourcer

–

såvel i tid som

i omkostninger, og der skal ganske enkelt være rimelige rammer til dette. Desuden

vil der formentlig være en lang række virksomheder, der skal trække på eksterne

fagspecifikke konsulenter, for at komme i mål med deres beredskabsplanlægning,

og dette fordrer ligeledes, at der er den nødvendige fagbistand til rådighed, inden

reglerne træder i kraft og håndhæves.

Green Power Denmark noterer sig, at forsvarsministeriet har sendt to lovforslag i

høring, som også implementerer CER- og NIS-direktiverne, fredag den 5. juli 2024.

Vi anbefaler at fremsættelsen af disse hovedlove fra henholdsvis klima-, energi- og

forsyningsministeren og forsvarsministeren fremsættes for Folketinget, som én

samlet pakke, og at der dermed også lægges op til synkron ikrafttræden for alle lov-

forslagene.

Økonomiske konsekvenser for erhvervslivet

Konkurrenceudsatte virksomheder

Der hersker på nuværende tidspunkt betydelig usikkerhed om karakteren og om-

fanget af de kommende beredskabskrav, og derved også de økonomiske konse-

kvenser for de berørte virksomheder.

Af samme grund, er det vanskeligt at vurdere hvor omfattende de økonomiske kon-

sekvenser for erhvervslivet reelt bliver. Green Power Denmark vurderer dog allerede

nu, at de økonomiske beregninger er lavt sat.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Vi noterer os, at der i forsvarsministeriets udkast til lov om foranstaltninger til sikring

af et højt cybersikkerhedsniveau anføres, at det er vanskeligt at estimere de er-

hvervsøkonomiske konsekvenser på nuværende tidspunkt.

Kravene til foranstaltninger til styring af cybersikkerhed, samt krav til den fysiske og

det organisatoriske beredskab konkretiseres i de kommende bekendtgørelser, hvor

det må formodes, at det bliver tydeligere, hvordan virksomhedernes omkostninger

skal kvantificeres. Det forudsættes, at der som led i udarbejdelsen af bekendtgørel-

serne foretages en grundig analyse af de økonomiske omkostninger, der følger af

bl.a. krav til den fysiske sikring, krav til virksomhedens personel kapacitet, krav til cy-

bersikkerhed samt til potentielle leverandører, der også indirekte omfattes af kra-

vene. Det er i den forbindelse vigtigt, at de økonomiske konsekvenser af de nye reg-

ler ikke negligeres, ligesom der sikres proportionalitet mellem omkostningsniveau

og merværdi.

Det bør udspecificeres, hvilke krav og omkostninger som relaterer sig til de bered-

skabskrav, der går videre end minimumsharmonisering i henholdsvis NIS2- og CER-

direktiverne.

Netvirksomhedernes indtægtsramme

Green Power Denmark vurderer, at lovforslaget og den efterfølgende implemente-

ring vil give anledning til meromkostninger for netvirksomhederne. Green Power

Denmark finder det positivt, at Energistyrelsen allerede nu har tilkendegivet, at de

omkostninger, der følger af det øgede beredskab for netvirksomheder, skal kunne

dækkes af netvirksomhedernes indtægtsramme.

Den fremsendte og foreslåede ændring af indtægtsrammebekendtgørelsens § 29,

stk. 3, nr. 2 og 3 vil dog formentlig kræve yderligere præcisering for at sikre den nød-

vendige dækning.

Til det formål bedes Energistyrelsen bekræfte, at mekanismer til fuld dækning af

disse omkostninger (herunder gebyrer til dækning af tilsyn) vil blive indarbejdet i

ansøgningsmulighederne i Indtægtsrammebekendtgørelsen med mulighed for

forhøjelse af omkostningsrammer, såvel som netvirksomhedernes forrentnings-

grundlag.

Energistyrelsen bedes desuden bekræfte, at de omkostninger, som netvirksomhe-

derne vurderer nødvendige for at opfylde beredskabsforpligtelsen, og som de på

baggrund af dokumentererede omkostninger ansøger om forhøjelse for, ikke efter-

følgende kan underkendes af fx Forsyningstilsynet, så netvirksomhederne risikerer

udækkede omkostninger. Dette ville undergrave sikkerhedsindsatsen. Det er essen-

tielt, at netvirksomheder har klarhed og sikkerhed for at få indtægtsrammeforhø-

jelse for disse meromkostninger, så de har incitament til at gøre, hvad der står i de-

res magt for at forebygge og modstå hændelser, som truer energiforsyningen. Det

er desuden afgørende, at netvirksomheder ikke straffes herfor i Forsyningstilsynets

benchmarking.

Endelig bedes Energistyrelsen bekræfte, at meromkostninger, som netvirksomhe-

der allerede har påtaget sig inden lovens ikrafttrædelse, fordi netvirksomheder pro-

aktivt har forhøjet beredskabet på punkter omfattet af lovforslaget herunder fysisk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

sikring og cybersikkerhed, også vil føre til forhøjelse af indtægtsrammerne og ej hel-

ler straffes i benchmarkingen af netvirksomhederne.

Implementering, der går videre end NIS2- og CER-direktiverne

NIS2- og CER-direktiverne er minimumsdirektiver, der fastsætter mindstekrav, der

skal implementeres i medlemslandenes nationale lovgivning. Dette medfører sam-

tidig, at det enkelte medlemsland kan fastsætte egne nationale regler indenfor det

direktivregulerede område. Denne adgang er ifølge lovforslagets lovbemærkninger

anvendt flere gange.

Green Power Denmark savner i den forbindelse et samlet overblik over de dele af

lovforslaget, der går videre end minimumsharmoniseringen i henholdsvis NIS2- og

CER-direktiverne, og i den anledning en redegørelse for, hvordan de fem principper

for implementering af erhvervsrettet EU-regulering er inddraget og vurderet i for-

bindelse med udformningen af lovforslaget. Der henvises til Erhvervsstyrelsens vej-

ledning om principper for implementering af erhvervsrettet EU-reguleringen. Vur-

deringen skal ifølge vejledningen fremgå i forbindelse med høringen.

Lovforslaget indeholder som påkrævet et sammenfattende skema, men afsnittet

vedr. de fem principper er ikke udfyldt, og det er derfor svært at bedømme, hvorvidt

erhvervslivet pålægges unødvendige byrder i forbindelse med implementering.

Dette er selvsagt uheldigt, da det er et grundlæggende princip, at det sikres, at

Danmark ikke fastlægger højere krav eller på anden måde implementerer EU- re-

guleringen mere byrdefuldt, end den forventede implementering i andre sammen-

lignelige lande.

Green Power Denmark fornemmer, at Energistyrelsen har lagt sig i selen for at

kunne udsende høringsmaterialet inden sommerferien og har forståelse for, at

dette er motiveret af et ønske om, at få input til det kommende arbejde med be-

kendtgørelserne. Vi finder det af afgørende betydning, at der afsættes tilstrækkelig

tid til det lovforberedende arbejde, inden lovforslaget sendes i høring. Den forha-

stede proces medfører desværre en lang række uklarheder, kritiske spørgsmål og

ikke mindst grundlæggende bekymring, der med fordel kunne være afværget

og/eller drøftet på et mere oplyst grundlag.

Forholdet til øvrig EU-regulering

Green Power Denmark noterer sig, som også nævnt under vores indledende kom-

mentarer og til § 5 om virksomheder af særlig europæisk betydning, at forslaget til

lov om styrket beredskab i energisektoren ikke forholder sig til Kommissionens for-

ordning (EU) 2024/1366 af 11. marts 2024 om supplerende regler til fastsættelse af

netregler om sektorspecifikke regler for cybersikkerhedsmæssige aspekter af græn-

seoverskridende elektricitetsstrømme

, som trådte i kraft medio juni 2024. Vi finder

det nødvendigt, at loven også behandler forholdet til denne EU-forordning, så der

sikres rimelig konsistens mellem denne forordning og lov om styrket beredskab i

https://eur-lex.europa.eu/eli/reg_del/2024/1366/oj

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

energisektoren herunder anvendelsesområde, definitioner, kategorisering og klassi-

ficering af virksomheder og anlæg mv.

Green Power Denmark står naturligvis til rådighed for evt. spørgsmål til vores be-

mærkninger til lov om styrket beredskab i energisektoren. I er velkommen til at

kontakte chefkonsulent Christina Mary Moshøj,

[email protected]

eller

undertegnede, Peter Kjær Hansen, [email protected].

Afslutningsvis appellerer og opfordrer vi til en fortsat tæt dialog i forbindelse med

den kommende proces med udarbejdelse af de bekendtgørelser som følger af lov

om styrket beredskab i energisektoren.

Med venlig hilsen

Green Power Denmark

Peter Kjær Hansen

Afdelingschef, netanalyser og asset management

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Energistyrelsen

Beredskabsenheden

Direkte tlf.

27952230

E-mail

[email protected]

Modtager:

[email protected]

Afsender: Beredskabsenheden, HOFOR A/S

09. juli 2024

Sagsnummer: 23.15-00171

Høringssvar til Lov om styrket beredskab i energisektoren

Hovedstadsområdets Forsyning, HOFOR A/S, takker for muligheden for at bidrage i

høringsfasen samt invitation til interessentmøde.

HOFOR A/S er et multiforsyningsselskab og med forsyningsforpligtigelser, der rækker ind

over flere ministerområder. Derfor er det essentielt, at der i det kommende

lovgivningsarbejde sikres koordinering mellem denne lov og tilsvarende for f.eks. vand- og

spildevandsområdet (Lov om kritiske enheders modstandsdygtighed, sendt i høring af

Forsvarsministeriet 5. juli 2024), ligesom de uddybende bekendtgørelsers udmøntning af

f.eks. tilsynsopgaven skal koordineres. Den nuværende sektorvise opdeling af

ansvarsområderne indenfor forsyning lægger ikke umiddelbart op til en sådan koordinering.

Nærværende høringssvar er således koncentreret om elproduktion, da HOFORs øvrige

forsyningsområder indgiver høringssvar gennem de respektive brancheorganisationer (f.eks.

DANVA, Dansk Fjernvarme og Green Power Denmark)

I det følgende gives præcise kommentarer til enkelte udvalgte emner i bemærkningerne til

lovforslaget.

Organisatorisk beredskab:

Forslaget om at nærværende lov går videre end direktivets anvisninger, strider imod svar på

spørgsmål 102 til Forsvarsudvalget af 18. marts 2024 hvoraf det fremgår at der er tale om

minimumsimplementering.

I forhold til udpegning af de nævnte beredskabsroller bør bekendtgørelserne, jf. ovenfor,

nærmere beskrive indholdet af funktionernes virkeområde.

Det skal sikres at de udpegede roller nærmere beskrives i de tilhørende bekendtgørelser,

idet lovforslagets formuleringer er for diffuse. Det kan endvidere anbefales at ensarte

betegnelserne, således at beredskabskoordinator og IT-beredskabsansvarlig kaldes det

samme, blot med præfix-forskel (beredskabskoordinator og it-beredskabskoordinator).

Det bør fremgå i hvilket omfang rollerne kan bestrides af samme person, men for flere

forsyningsområder. Dette har betydning for multiforsyningsvirksomheder med en overordnet

koordineret beredskabsorganisation. I første afsnit kan ordet ”forsyning” tolkes som en-

talsord eller verbum.

HOFOR A/S

Ørestads Boulevard 35

2300 København S

Telefon 33 95 33 95

CVR-nr. 1007 3022

www.hofor.dk

Side 1 af

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det skal tydeliggøres, hvilket mandat, de omtalte roller har. Ledelsens ansvar er for diffust

beskrevet med risiko for at ledelsen kan placere ansvar for implementering og overholdelse

af loven længere nede i organisationen, med f.eks. afrapporteringskrav. Det kan anbefales at

fastslå mandatet med endnu en rolle, f.eks. beredskabsdirektør eller -chef eller CISO. En

rolle der med korrekt mandat kan argere hurtigt og kompetent på akutte situationer og som

har hovedansvar for videre udvikling beredskab og sikkerhed.

Kravene til indholdet af de i § 6, stk. 2, nr. 5 nævnte politikker for informationssikkerhed bør,

af hensyn til ensartethed i implementeringen, specificeres nærmere, eventuelt med

henvisning til eksisterende og anerkendte standarder.

Fysisk sikring:

Der bør i de kommende bekendtgørelser tages stilling til, hvilke niveauer af fysisk sikring, der

kræves. Eksempelvis kan man med udgangspunkt i sikringsbranchens tilgang til fysisk

sikring anvende tilsvarende niveauer. Risikovurdering vil altid være baseret på subjektiv

analyse af historik og deltagernes risikovillighed, Det vil være et hul i den nationale sikkerhed

hvis ikke alle virksomheder kan benchmarkes og lever op til samme niveau af sikkerhed.

Det opleves at kommunernes byggemyndigheder i større og større grad i byggetilladelser

fordrer offentlig adgang til visse dele af produktionsanlæg, for at sikre borgerne en god

oplevelse med det nye bygværk. Ofte udsprunget om en generel politik om åbenhed og

seværdighed. Dette kan give sikringsmæssige udfordringer. Der savnes mandat i denne lov

til at undgå disse betingelser i byggetilladelse, når forsyningskritisk sikkerhed vurderer det

nødvendigt.

Det bør præciseres i lovgivningen, at fysisk og digital sikring også gælder for f.eks. privat

bopæl for de nøglemedarbejdere der har adgang til kritisk data eller der med fjernadgang

kan påvirke tjenesten, når disse ikke er på virksomhedens lokalitet. Enten i forbindelse med

rejseaktivitet eller i privat regi. (eks. under Corona-epidemien, hvor isolationskrav medførte

arbejde fra bopælen i stor stil)

Cybersikkerhed:

I forlængelse af kommentaren vedr. § 6, stk. 2, nr. 5 ovenfor, bør også begrebet ’passende

cybersikkerhedsforanstaltninger’

i lovens § 8 specificeres nærmere, og gerne med

henvisning til eksisterende og anerkendte standarder.

Ved udmøntning af de i § 8, stk. 2 nævnte foranstaltninger, bør der tages højde for

enhedernes forskellighed fx vedr. størrelse og kompleksitet. Ligeledes bør der indtænkes

muligheder for at mitigere risici på anden vis, såfremt forhold hos enheder måtte kræve

dette.

Koordinerende og operative opgaver

Ved udmøntning af de i § 10 nævnte opgaver, bør det sikres, at mindre enheder, både hvad

angår størrelse og kompleksitet, tænkes ind, og dermed har mulighed for at deltage på lige

niveau med øvrige enheder.

Sektorberedskabsniveauer og sektorberedskabsforanstaltninger

Det bør sikres, at kriterierne for iværksættelse af de i § 11 nævnte beredskabsniveauer er

klare, entydige, og kommunikeret til enhederne.

HOFOR A/S

Ørestads Boulevard 35

2300 København S

Telefon 33 95 33 95

CVR-nr. 1007 3022

www.hofor.dk

Side 2 af 3

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Leverandørstyring:

I forhold til leverandørstyring skal lovgivningen også tage hensyn til de meget store,

specialiserede enkeltleverandører, der leverer til stort set samtlige kritiske enheder.

Endvidere kan der ved indførsel af begrænsning på lande til hvilke der kan foretages

outsourcing, komme konflikt med gældende udbudslovgivning. Der bør beskrives muligheder

for at EU-dispensere fra visse regler om udbud.

Sikkerhedsgodkendelser og baggrundskontrol:

Det bør fremgå af loven, at sikkerhedsgodkendelse foretaget af en myndighed også kan

have gyldighed hos anden myndighed. Eksempelvis medarbejdere i en multiforsyning, der

efter opfordring fra de i dækningsområdet værende politikredse, har ad-hoc-sæde i de

relevante lokale beredskabsstabe og af disse således er sikkerhedsgodkendte. Denne

sikkerhedsgodkendelse bør kunne ”parallelforskydes” til også at gælde hvis Energistyrelsen

har behov for at samme medarbejdere skal kunne indgå i et samarbejdsforhold i regi af den

Lokale BeredskabsStab, eller af andre årsager har behov for at sikkerhedsgodkende

personer (møder, workshops osv.)

Såfremt behovet for sikkerhedsgodkendelse i medfør af ovenfor nævnte situation, hvor

Energistyrelsen har behov for samarbejdsforhold, forventes det at denne type ansøgninger

ikke gebyrlægges overfor den pågældende virksomhed.

Rammerne for baggrundstjek skal defineres, hvis det findes andet steds skal der være en

reference. Er der tale om økonomiske forhold, sociale forhold, straffeattest, browserhistorik,

social medieprofil?

Det efterfølgende bekendtgørelsesarbejde skal tage stilling til, hvordan virksomheder

håndterer problematikken med allerede ansatte medarbejdere. Hvad er retningslinjerne hvis

de ikke kan sikkerhedsgodkendes. Hvordan spiller det sammen med ansættelsesretlige

forhold, overenskomster og den generelle mangel på kvalificeret arbejdskraft?

Brian Eriksson

Beredskabschef, HOFOR A/S

HOFOR A/S

Ørestads Boulevard 35

2300 København S

Telefon 33 95 33 95

CVR-nr. 1007 3022

www.hofor.dk

Side 3 af 3

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Energistyrelsen

Center for Beredskab

Sendt til

[email protected]

Bettina Mikkelsen

Partner, afgiftsspecialist

Dir. tlf.: +45 42 13 42 44

[email protected]

Vores ref.: 5747

Aarhus, den 9. juli 2024

Høringssvar

–

j.nr. 2023-6652

Klima-, Energi- og Forsyningsministeriet har sendt forslag til Lov om

styrket beredskab i energisektoren i høring, med høringsfrist d. 10.

juli 2024.

Ved Hulgaard Advokater P/S har vi mange kunder indenfor energisek-

toren, og vi har derfor læst lovforslaget med stor interesse.

Det fremgår af høringsbrevet, at lovforslaget omfatter virksomheder

indenfor el-, gas-, olie-, fjernvarme-, fjernkøling- og brintsektoren,

og at lovforslaget dermed omfatter både aktører, der er omfattet af

den eksisterende beredskabsregulering og aktører, der i dag ikke er

underlagt den eksisterende beredskabsregulering i energisektoren.

Et væsentligt element i forhold til implementering af kravene til styr-

ket beredskab i energisektoren er derfor at forstå, hvorvidt ens akti-

viteter/virksomhed er eller ikke er omfattet af lovens anvendelsesom-

råde.

Nærværende høringssvar vedrører definitionen og rækkevidden af

”operatører af fjernvarme eller fjernkøling”, jf. lovens § 2, stk. 1, nr.

Hulgaard Advokater P/S

CVR-nr. 33375085

�½

Marselisborg Havnevej 26, 1.

DK-8000 Aarhus C



Birkemose Allé 41

DK-6000 Kolding



Borupvang 3

DK-2750 Ballerup

Telefon +45 38 40 42 00

[email protected]

Warszawa:

Peter Nielsen & Partners

Law Office Sp.k.

Telefon +48 22 59 29 000

www.pnplaw.pl

www.hulgaardadvokater.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Er overskudsvarmeleverandører omfattet af lovens § 2, stk. 1, nr. 8?

Udover en lang række kunder indenfor energisektoren rådgiver Hulgaard Advokater

P/S også industrivirksomheder omkring udnyttelse af overskudsvarme, herunder

indgåelse af aftale om salg af overskudsvarme til den lokale fjernvarmevirksomhed.

Af lovens § 2, stk. 2, nr. 2 fremgår det, at operatører af fjernvarme vil være omfat-

tet af loven, såfremt der i 2 ud af de 3 sidste år er solgt mere end 13,9 GWh fjern-

varme, svarende til 13.900 MWh.

Et standardhus på 130 m2 antages at have et årligt fjernvarmeforbrug på 18,1 MWh.

Ud fra lovens grænseværdier må det derfor antages, at fjernvarmeselskaber med

mere end ca. 767 forbrugere vil være omfattet af loven.

Den solgte fjernvarme kan være produceret på egne anlæg, men den kan også bestå

af overskudsvarme fra en lokal industrivirksomhed.

Der findes en lang række overskudsvarmeaftaler, hvor den solgte mængde oversti-

ger 13,9 GWh, særligt omkring de større danske byer, hvorfor det er væsentligt at få

afklaret, om en overskudsvarmeleverandør vil være omfattet af lovens § 2, stk. 1,

nr. 8.

Af lovens § 3, nr. 24 fremgår definitionen på ”operatører af fjernvarme eller fjernkø-

ling”:

”Operatører af distribution af termisk energi i form af damp, varmt

vand eller afkølede væsker fra centrale eller decentrale produkti-

onssteder gennem et net til flere bygninger eller anlæg til anven-

delse ved rum- eller procesopvarmning eller -køling.”

En overskudsvarmeleverandør leverer overskudsvarme til et fjernvarmenet, typisk

via ét vekslerpunkt, og herefter bliver overskudsvarmen distribueret via fjernvarme-

nettet til de enkelte forbrugere, der er koblet på det samlede fjernvarmenet.

Det er det lokale fjernvarmeselskab, der varetager distributionen af overskudsvar-

men, og der er derfor ingen tvivl om, at fjernvarmeselskabet er omfattet af loven,

såfremt den solgte mængde overstiger 13,9 GWh, uanset om den solgte mængde er

produceret på egne anlæg eller købt fra andre producenter.

I forhold til fortolkning af ”operatører af fjernvarme eller fjernkøling” fremgår det af

lovforslagets bemærkninger, at grænseværdien på 13,9 GWh er sat ud fra en kon-

vertering af 25 MW grænsen ift. elproduktionsvirksomheder. Det fremgår yderligere,

at grænsen er

”solgt mere end 13,9 GWh eller produceret over 181 GWh fjernvar-

me”.

Sidstnævnte omkring produktion fremgår dog ikke af selve lovteksten, hvilket

må være en lapsus.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Derudover fremgår der ikke en nærmere uddybning af definitionen, jf. lovens § 3,

nr. 24.

Det fremgår derfor ikke klart af lovteksten eller lovforslagets bemærkninger, om kun

selve fjernvarmedistributører eller om også leverandører af varmen til fjernvarmedi-

stributøren, herunder en industrivirksomhed der leverer overskudsvarme, er omfat-

tet af den nye lov om styrket beredskab i energisektoren.

For så vidt angår overskudsvarmeleverandører skal det bemærkes, at der er tale om

industrivirksomheder, hvis formål er andet end at producere og sælge overskuds-

varme. Det skal yderligere bemærkes, at overskudsvarme er defineret i varmeforsy-

ningslovens § 1a, nr. 2 som:

”Uundgåelig varme produceret som biprodukt fra industri-

eller el-

produktionsanlæg eller i tertiærsektoren, der ville blive bortledt

uudnyttet i luft eller vand uden adgang til et fjernvarmesystem.”

Ud fra definitionen på overskudsvarme i varmeforsyningsloven og definitionen på

operatører af fjernvarme eller fjernkøling i forslaget til lov om styrket beredskab i

energisektoren er det vores vurdering, at der er argumenter for, at overskudsvarme-

leverandører ikke skal anses for at være omfattet af lov om styrket beredskab i

energisektoren.

Da det dog ikke fremgår klart af lovforslaget, vil vi opfordre til, at dette bliver afkla-

ret og præciseret i forbindelse med høringsprocessen og den videre lovgivningspro-

ces.

I tilfælde af spørgsmål til dette høringssvar, kan undertegnede kontaktes direkte.

Med venlig hilsen

Bettina Mikkelsen

Dir. tlf.: +45 42 13 42 44

[email protected]

Bemærk at vi holder ferielukket i uge 29 og 30.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Energistyrelsen / Center for beredskab

Carsten Niebuhrs Gade 43

1577 København V

Sendt til:

[email protected]; [email protected]; [email protected]

05-07 2024

Høringssvar til Forslag til lov om styrket beredskab i energisektoren (journalnr. 2023

–

6652)

Elnetselskabet N1 (herefter N1) takker for muligheden for at afgive høringssvar om lovforslaget, som vil få

afgørende betydning for elnetselskabernes mulighed for at gennemføre de nødvendige foranstaltninger

inden for fysisk sikkerhed, cybersikkerhed samt det organisatoriske beredskab. Høringssvaret vil derfor

have fokus på beredskab relateret til eldistributionsnettet, som også understøtter store dele af den øv-

rige infrastruktur i det danske samfund. Høringssvaret er delt op i to afsnit. Et afsnit med overordnede

bemærkninger og anbefalinger, og et afsnit med specifikke tekstnære bemærkninger, som folder de over-

ordnede bemærkninger ud.

Vi vil i øvrigt bemærke, at tidspunktet og den korte tidsfrist til at afgive høringssvar nødsager os til at give

et høringssvar, der nogle steder ikke er nær så konkret og guidende, som vi kunne ønske, og andre steder

på en ret direkte facon pointerer, hvad vi ser som fejl og mangler. Vi håber høringssvaret vil blive vel

modtaget trods dette.

1. Overordnede bemærkninger og anbefalinger

N1’s status som monopol betyder, at store

dele af Vestdanmarks befolkning og virksomheder hvert se-

kund, hver time, hver dag, året rundt er afhængige af, at N1 kan levere den efterspurgte strøm.

N1’s for-

pligtelse til at levere strøm til vores 800.000 kunder og ejere har i stigende grad stået i kontrast til den

gældende beredskabsregulering i energisektoren, der i bedste fald kan beskrives som upræcis og utids-

svarende i forhold til det trusselsbillede Danmark befinder sig i.

I lyset af det markant forværrede trusselsbillede påbegyndte N1 i 2022 arbejdet med at styrke cybersik-

kerheden og følgeligt den fysiske sikkerhed om vores kritiske aktiver. Det skete ud fra en erkendelse af,

at et succesfuldt

angreb på N1’s OT-netværk

vil kunne forårsage omfattende skade på

N1’s

elnet med

store konsekvenser til følge. Denne risiko var og er uforenelig med vores forpligtelse til at levere sikker og

stabil elektricitet til vores kunder og ejere. Derfor så vi os nødsaget til, i tæt samarbejde med Energisty-

relsen, at iværksætte en række tiltag, som ligger i tråd med CER- og NIS2-direktiv og det nuværende

forslag til lov om styrket beredskab

–

på trods af den betydelige usikkerhed ved den endnu manglende

implementering i dansk lov.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

N1 ser

Forslag til lov om styrket beredskab i energisektoren

som et godt afsæt for at skabe en ny samlet

ramme for beredskabslovgivningen i energisektoren. Loven skal levere en klar ramme for det videre ar-

bejde med de bekendtgørelser, der bemyndiges i loven. Der er mange gode elementer i lovforslaget: Den

holistiske tilgang til fysisk sikkerhed og cybersikkerhed, det udvidede omfang af omfattede virksomheder,

og en grundlæggende kategorisering af virksomheder i forhold til kritikalitet for samfundet. Vi må dog

også bemærke, at lovforslaget og dets bemærkninger mangler en række afgørende principielle rettesnore

for udmøntningen i de givne bemyndigelser og indeholder mange uklarheder og unøjagtigheder, som kan

stå i vejen for en jævn og effektiv implementering i energisektoren. I det lys har N1 fire overordnede an-

befalinger.

Elnetselskabet

N1’s anbefalinger:

Der bør gennemføres en

grundig lovteknisk gennemgang af lovforslaget,

som bl.a. sikrer, at

tiltænkte virksomheder er omfattede af loven, at de anvendte begreber er i overensstemmelse

med anden gældende danske lovgivning på området, og at der er intern konsistens mellem de

anvendte begreber. Den skal også sikre, at bemærkningerne til lovforslaget giver en klar og enty-

dig guidance til fortolkning af loven og de indeholdte bemyndigelser, som er forståelig for de om-

fattede virksomheder. Vi har i de specifikke bemærkninger nedenfor forsøgt at give vores forslag

til steder, hvor vi har fundet, at der især er behov for fokus.

Lovforslagets afsnit om

identifikation, kategorisering og konsekvensen af kategorisering

enheder/virksomheder og enhedernes/virksomhedernes systemer og anlæg skal præciseres, for-

klares og koblingen mellem identifikation, kategorisering og konsekvens skal tydeliggøres.

Det bør fremgå tydeligt af lovforslaget, at det løbende arbejde med at

lave risikovurderinger og

beslutte niveauet af sikkerhedsforanstaltninger

sker i henhold til enhedens/virksomhedens

kategorisering i et tæt samarbejde mellem enheder/virksomheder og myndighederne

–

og vur-

deringen ikke alene ligger ved virksomhederne/enhederne.

Lovforslaget skal gøre gældende, at elnetselskabernes omkostninger til at leve op til kommende

krav om fysisk sikkerhed og cybersikkerhed er at karakterisere som et myndighedspålæg og at

gebyrer og meromkostninger til opfyldelsen af dette pålæg medfører en justering af elnet-

selskabets omkostningsramme.

Det bør også omfatte omkostninger foranlediget forud for den

endelige implementering af loven, som er udført med direkte henvisning til at leve op til forplig-

telserne i loven og de bagvedliggende direktiver. Endvidere bør elnetselskaberne ikke benchmar-

kes økonomisk på omkostninger afholdt i henhold til loven.

N1 A/S

Edison Park 1

6715 Esbjerg

Tlf. 70 23 00 43

CVR-nr. 25 15 41 50

[email protected]

n1.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

2. Specifikke bemærkninger

§ 2, stk. 1 (bemærkningen er relevant for en række af de følgende paragraffer):

N1 vil gerne opfordre til, at der igangsættes en gennemlæsning af lovforslaget med henblik på at ensrette

brugen af begreberne

’enheder’ og ’virksomheder’.

§ 2 giver første eksempel på hvorfor dette er nødven-

digt. Listen med punkterne 1 til 18 i stk. 1 er et uddrag af bilaget til direktiv 2022/2557 af 14. december

2022, men listen definerer i direktivet

’enheder’

i forhold til sektorer. I § 2 anføres det, at der er tale om

’virksomheder’.

Det er for os uklart, om der er enheder i direktivets bilag, som ikke er at betegne som

virksomheder. Vi kan ikke se, at dette er reflekteret i loven. Faktum er dog, at begreberne

’enhed’

(§§ 2

(nr. 20, 30), 5, 8, 16, 20 og 25) og

’virksomhed’ bruges på tværs af loven enten

særskilt eller sammen med

begrebet

’enhed’ (§§

5, 8 og 16), så virksomheder kan være i en form for besiddelse af en

’enhed’

eller

flere

’enheder’.

Det skaber unødig forvirring, og læsningen bliver desværre ikke klarere af en nærlæsning

af de medfølgende bemærkninger.

§ 2, stk. 2:

I loven indsættes i stk. 2 en indskrænkning af virksomheder/enheder, som er omfattet af stk. 1. Det giver

dog flere udfordringer:

De nævnte grænser i punkterne i stk. 2 er kun relevante for en andel af de omfattede virksomhe-

der i stk. 1, mere nøjagtigt virksomheder, som producerer eller forbruger el, sælger fjernvarme,

producerer eller injicerer gas, ejer olieterminaler eller -lagre

eller opererer tankstationer. Det er

derfor uklart, hvad der gælder for eldistributionsvirksomheder (som distribuerer elektricitet i

kWh), leverandørvirksomheder (som sælger elektricitet eller gas i kWh), aggregatorvirksomheder

(som aggregerer el eller gas) mv. Årsagen til, at det er en udfordring, ligger i, hvordan paragraffen

i øvrigt er formuleret. Når loven kun finder anvendelse, hvis man går over de nævnte grænser, så

er det ensbetydende med, at en række virksomheder ikke er omfattet, hvis de nævnte grænser

ikke er relevante for virksomheder. Det giver den følgevirkning, at det er meget uklart, om eksem-

pelvis en række eldistributionsvirksomheder (som ikke i øvrigt er omfattet af stk. 3) overhovedet

er omfattet af lovgivningen.

2) Flere af de nævnte verber, som skitserer grænserne, er uklare. Det drejer sig om

’kontrollerer’ i nr.

1 og det manglende verbum i nr. 4, hvorved sidste del af stk. 2 sætningen må:

”…såfremt

virksom-

heden: 4) Olieterminaler og lagre med en kapacitet på 100.000 m3 eller derover”.

’Kontrollerer’

ikke et entydigt begreb og skal defineres nærmere for, at det kan sættes i ramme af de nævnte

Det er dog uklart, om det er ejerskab eller noget andet, da der mangler en del af sætningen i nr. 4.

N1 A/S

Edison Park 1

6715 Esbjerg

Tlf. 70 23 00 43

CVR-nr. 25 15 41 50

[email protected]

n1.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

virksomheder, og i forhold til nr. 4 vil det være relevant at indsætte et

”har

et ejerskab af” eller

lignende.

I henhold til den dialog der indtil nu har været med Energistyrelsen, står det klart, at alle eldistributi-

onsvirksomheder med bevilling skal være omfattet af loven. Den samme klarhed bør søges for alle de

øvrige virksomheder/enheder, som er nævnt i § 2, stk. 1. Det kan opnås ved:

a) At

’vende

formuleringen i stk. 2 om’,

så

alle virksomheder i stk. 1 er omfattet medmindre de falder

under grænserne i stk. 2,

b) At opsætte relevante grænser i stk. 2 for alle virksomheder på listen i stk. 1.

§ 3:

Definitionerne i § 3 lider under, at hovedparten af dem er taget direkte fra direktiverne 2022/2557 af 14.

december 2022 og 2022/2555 af 14. december 2022. Det giver den udfordring, at der ikke nødvendigvis

er overensstemmelse mellem begreberne inden for den samme lov, og det gør, at de ikke er sat ind i den

specifikke ramme, der er i dansk lovgivning i form af elforsyningsloven. Derudover mangler der en række

centrale definitioner, som er væsentlige for at opnå en forståelse af loven, hvor direktivteksterne ikke

ligger som bilag. Vi har forsøgt at forklare dette nedenfor ud fra den alfabetiske oplistning i paragraffen.

’Cyberhændelse’

(nr. 3):

Cyberhændelse er ikke defineret direkte i direktiv 2022/2555 af 14. december 2022, men definitionen

i § 3 er nært beslægtet med definitionen af en

’nærvedhændelse’

fra direktivet og nr. 23 fra samme

paragraf. Der bør dog også være en kobling til definitionen af en

’hændelse’ (nr.

12), hvor

’cyberhæn-

delse nævnes som en delmængde, for at der er konsistens i begrebsapparatet. Det ville derfor give

mening at tilføje sidste del af hændelsesbegrebet til definitionen som nedenfor:

Cyberhændelse: En begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten

eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der til-

bydes af eller er tilgængelige via net- og informationssystemer, i fare, hvilket har potentiale

til i betydelig grad at forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste, her-

under når den påvirker de nationale systemer, der sikrer retsstatsprincippet.

Alternativt skal hændelsesbegrebet anvendes direkte i definitionen, så denne går ud fra en

’hændelse’

og derfra indsnævrer til en

’cyberhændelse’.

N1 A/S

Edison Park 1

6715 Esbjerg

Tlf. 70 23 00 43

CVR-nr. 25 15 41 50

[email protected]

n1.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

’Cybertrussel’,

nr. 5:

Det vil være hensigtsmæssigt at ensrette

’cybertrussel’ med en ’væsentlig cybertrussel’ (nr.

30). Der-

med opnås også en forståelse af, hvad der lægges i

’væsentlig’.

Som definitionen er angivet i lov-

forslaget, ligger der en større forskel i de to definitioner end væsentligheden. Nedenfor er givet et

forslag til, hvordan begreberne kan ensrettes:

Cybertrussel: Enhver potentiel omstændighed, begivenhed eller handling, som kan have po-

tentiale til at skade, forstyrre eller på anden måde have en negativ indvirkning på net- og

informationssystemer, brugerne af sådanne systemer og andre personer ved at forårsage

materiel eller immateriel skade.

’Elektricitetsvirksomheder’,

nr. 7:

Definitionen er forskellig fra elforsyningsloven. Det vil være meget hensigtsmæssigt, at der ikke er

forskellige definitioner af de samme begreber i dansk lovgivning. Nedenfor er angivet definitionen i

elforsyningsloven med understregninger af forskelle til lovforslagets definition. Denne definition an-

vender definitioner af elhandlere og elkunder, som er centrale inden for elforsyning i dansk lov og

derfor også bør anvendes i beredskabsloven.

Elektricitetsvirksomhed: Fysisk eller juridisk person, der driver mindst en af følgende former

for virksomhed: produktion, transmission, distribution, aggregering, fleksibelt elforbrug, ener-

gilagring eller elhandel, og som er ansvarlig for de kommercielle, tekniske eller vedligeholdel-

sesmæssige opgaver i forbindelse med disse aktiviteter, men som ikke er elkunde.

’Enhed’,

mangler som definition:

Der bør være en grundlæggende definition af, hvad der menes med en

’enhed’.

I direktiv 2022/2557 af

14. december 2022 anvendes der konsekvent betegnelsen

’enhed’ i stedet for ’virksomhed’.

Se kom-

mentarer om dette under § 2, stk. 1.

Dertil kommer, at det bør defineres, hvornår en enhed er

’vigtig

og væsentlig’, herunder om den kan

være

’væsentlig’ uden af være ’vigtig’

(da de to tillægsord ikke altid bruges sammenhængende) og

hvornår en enhed kan være

’kritisk',

samt hvornår en enhed er

’af særlig europæisk betydning’.

’Kritiske

enheder’, mangler som definition:

Se forklaring ovenfor under

’enheder’. Der mangler en afklaring

af, hvad der menes med

’kritiske

enhe-

der’

ud fra definitionen

af en

’enhed’ og som adskilleligt

fra en

’vigtig og væsentlig enhed’.

N1 A/S

Edison Park 1

6715 Esbjerg

Tlf. 70 23 00 43

CVR-nr. 25 15 41 50

[email protected]

n1.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

’Kritiske

virksomheder’, mangler som definition:

Det er ud fra §§ 4 og 5 uklart, om der er forskel på

’kritiske

virksomheder’ og

’kritisk

enheder’. I direktivet

2022/2557 af 14. december 2022 anvendes ikke

’kritiske

virksomheder’, kun

’kritiske

enheder’.

’Kritiske

systemer og anlæg’, mangler som definition:

Det er uklart, hvad der menes specifikt hermed, og om der er en kobling mellem

’kritiske systemer

anlæg’,

’kritiske enheder’

’kritiske

virksomheder’,

herunder om en virksomhed eller enhed kan være

’kritisk’,

hvis ikke den besidder

’kritiske

systemer og anlæg’.

’Net-

og informationssystem’, nr. 22:

Det er vores forståelse, at denne definition bygger på ordret videreførsel af definitioner fra direkti-

verne 2022/2555 af 14. december 2022 samt 2018/1972 af 11. december 2018. Definitionen er dog me-

get svært læselig, og man kunne med fordel indsætte den forståelse, som blev præsenteret på sek-

tormøde den 18. juni, nemlig at der med

’net-

og informationsssytem’ tænkes på

’forsyningskritiske

systemer’, herunder hvordan OT-systemer indgår i denne definition.

’Nærvedhændelse’,

nr. 23:

Der er indsat definitionen fra direktiv 2022/2555 af 14. december 2022, men beredskabsloven handler

ikke blot om cybersikkerhed og koblingen til begrebet

’hændelse’ gør, at definitionen

skal bruges til

både på fysisk sikkerhed og cybersikkerhed. Derfor bliver definitionen nødt til at være bredere, enten

ved direkte brug af definitionen

’hændelse’

eller ved en udvidelse af den angivne definition. Alternativt

bør definitionen ændres til en cyber-nærvedhændelse.

’Risiko’,

nr. 26:

Der defineres her et begreb med et ord, som har en meget bred anvendelse i øvrigt. Begrebet bruges

kun én gang som et selvstændigt ord i lovforslaget. Ellers bruges det i sammenhæng med risiko- og

sårbarhedsvurdering, katastroferisikoreduktions- og klimatilpasningsforanstaltninger og sikkerheds-

risiko. Definitionen, som angivet i § 3, lader sig ikke sætte ind i de fleste af de øvrige sammenhænge i

lovforslaget, og i § 3, nr. 27 (risikovurdering) er det meste af definitionen fra nr. 26 taget med. Det vil

være hensigtsmæssigt at overveje, om definitionen af

’risiko’

er relevant, om den skal slettes eller den

skal begrænses til at være

’risiko

for hændelse’?

N1 A/S

Edison Park 1

6715 Esbjerg

Tlf. 70 23 00 43

CVR-nr. 25 15 41 50

[email protected]

n1.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

’Tjeneste’,

mangler som definition:

Begrebet er helt grundlæggende for forståelsen af loven. Det bruges 304 gange i lovforslaget og dets

bemærkning og 39 gange alene i lovforslaget. Alligevel eksisterer der ikke en definition af, hvad

’en

tjeneste’ er. Samtidig defineres en

’væsentlig tjeneste’

(nr. 31) som:

”en tjeneste,

der er…”.

’Tjeneste

benyttes også i sammenhæng med andre ord eksempelvis en

’IKT-tjeneste’, hvilket yderligere skaber

uklarhed om begrebet.

På sektormøde den 18. juni 2024 blev der sat lighedstegn mellem en

’tjeneste’ og ’forsyning’.

Hvis det

er den relevante forklaring af begrebet, bør det indsættes, men formentlig med en reference til de

forskellige enheder/virksomheder som er angivet i § 2.

’Væsentlig

cybertrussel’, nr. 30:

Det ville være hensigtsmæssigt at sikre overensstemmelse mellem begrebet

’cybertrussel’ og en ’væ-

sentlig cybertrussel’,

så der ikke opstår begrebsforvirring.

Denne overensstemmelse kan sikre ved at

anvende begrebet

’cybertrussel’ direkte i definition

nr. 30 uden gentagelse af dele af definition nr. 5

eller ved en fuldstændig gengivelse med tilføjelse af kvalificeringen af, hvad

’væsentlig’ indebærer.

Det

sidste er forsøgt gjort nedenfor med ændringer til nuværende definition angivet med understregning:

En cybertrussel, en omstændighed, begivenhed eller handling, som på grundlag af sine tekniske

karakteristika kan antages at have potentiale til alvorligt at skade, forstyrre eller få alvorlig negativ

indvirkning på en enheds net- og informationssystemer eller på brugerne af enhedens tjenester og

andre personer ved at forårsage betydelig materiel eller immateriel skade.

’Vigtig

og væsentlig enhed’, mangler fra definitioner:

Se definition af

’enhed’ ovenfor.

Udover manglen på en definition af en

’enhed’ og koblingen til ’virk-

somhed’ mangler der en definition af, hvornår en enhed er

’vigtig og væsentlig’

samt en eventuel ad-

skillelse af de to tillægsord i tilknytning til en

’enhed’.

Ligesom begrebet

’tjeneste’ anvendes

begrebet

’enhed’

mange gange gennem lovforslaget og dets bemærkninger og med forskellige tilknyttede ord.

Det er afgørende, at der opnås en fuldstændig klar fortolkning af, hvad en

’vigtig

og væsentlig enhed’

er.

’Væsentlig

tjeneste’, nr. 31:

Som nævnt ovenfor er der brug for en definition af en

’tjeneste’

for at kunne forstå begrebet

’væsentlig

tjeneste’ og denne definition skal kobles til nr. 31’s

definition

af, hvad der gør en tjeneste

’væsentlig’.

N1 A/S

Edison Park 1

6715 Esbjerg

Tlf. 70 23 00 43

CVR-nr. 25 15 41 50

[email protected]

n1.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

§ 4:

Jf. ovenstående italesættelse af manglende definitioner af

’kritiske virksomheder’, ’kritiske

enheder’

’kritiske systemer og

anlæg’

er der behov for

en forklaring af, hvad der ligger i det

’kritiske’

element. Det

er uklart, hvornår noget er kritisk, og hvilke grader af kritikalitet der er tale om, når der omtales en

’kate-

gorisering’. Jf. artikel 6 i direktiv 2022/2557 af 14. december 2022 er der behov for en kobling mellem

leveringen af

’væsentlige

tjenester’

og ’kritiske virksomheder/enheder’.

I § 4 er der i lovforslaget kun en

løs kobling til

’tjenester’,

som er et ikke-defineret begreb. Dernæst er der behov for en mere stringent

forklaring af de forskellige niveauer af kritikalitet, hvilket er blevet omtalt bl.a. på sektormøde den 18. juni

2024, men ikke med samme klarhed i lovforslagets bemærkninger. Se yderligere bemærkninger til denne

niveau-inddeling og kritikalitet i de generelle kommentarer i høringssvaret.

Endelig er der behov for klarhed om, der med

’virksomheder’ menes ’enheder’ som i direktivet

eller noget

andet samt koblingen mellem

’kritiske systemer og anlæg’ og ’kritiske virksomheder’.

§ 5:

Paragraffen anvender forskellige betegnelser, og det er uklart, hvor der er et sammenfald, og hvor der er

tale om forskellige målgrupper. I de forskellige paragrafstykker anvendes således betegnelserne:

’kritiske

enheder af særlig europæisk betydning’,

’kritisk virksomhed’, ’kritiske

enheder af særlig europæisk be-

tydning i energisektoren’,

’virksomheder

af særlig europæisk betydning’.

§§ 6, 7 og 8:

I disse tre paragraffer, som alle består af en liste med regler, mangler der en grundlæggende kvalificering

af de listede krav. Er det bruttolister for beredskabet? Skal alle krav overholdes af alle, der er omfattet af

loven? Er der en graduering af kravene?

Der er behov for en helt grundlæggende sammenkædning mellem § 4 og de tre paragraffer. I bemærk-

ningerne til de tre paragraffer er det kun nogle steder, hvor det eksplicit fremgår, at der skal differentieres

for punkterne på listerne. Det kan ses af bemærkningerne til nr. 5 og 6 i § 6 og til nr. 2, 3, 5 og 7 i § 8 i de

specifikke bemærkninger, men som oftest vil det kun være med en overordnet kommentar om, at de

mest forsyningskritiske virksomheder skal følge flere krav.

I tilknytning hertil er det nødvendigt, at der skabes større klarhed om, hvad der i de tre paragraffer menes

med, at virksomhederne skal gennemføre

’nødvendig

planlægning’ og

’passende

foranstaltninger’. Loven

bliver nødt til at sætte nogle grundlæggende principper for, hvad der ligger i disse to formuleringer, og

hvem der vurderer, om noget er gennemført

’nødvendigt’

’passende’.

Hvis ikke det gøres eksplicit i

selve paragrafferne eller bemærkningerne dertil, vil det forhold, at der i lovforslaget i øvrigt lægges vægt

N1 A/S

Edison Park 1

6715 Esbjerg

Tlf. 70 23 00 43

CVR-nr. 25 15 41 50

[email protected]

n1.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

på selskabernes egen vurdering af risiko mv. være en relativitet i loven, som vil resultere i en meget ujævn

implementering, og hvor myndighedernes mulighed for at håndhæve lovgivningen vil ligge i proceskrav.

Overholdelsen bliver en kontrol af, om man har foretaget en vurdering af sikkerhedsrisici for et givent

anlæg, og ikke om vurderingen er sober og har resulteret i implementering af nødvendige sikkerhedstiltag.

§ 6, stk. 2, nr. 1 og nr. 2:

Omtalen af ledelsesansvar i bemærkningerne til lovforslaget er vidtgående og særligt er vi i tvivl, om der

er den rigtige balance mellem det overordnede ledelsesansvar, som ligger hos direktion og bestyrelse og

en specifik godkendelse af nogle meget detaljerede og tekniske risiko- og sårbarhedsvurderinger og be-

redskabsplaner mv. Den overordnede ledelses rolle bør i højere grad ligge i mere generelle vurderinger af

sikkerhedsniveauet som eksempelvis en modenhedsanalyse af sikkerhedsberedskabet.

§ 6, Stk. 2, nr. 7:

I forhold til forsyningskædesikkerhed bør det overvejes, om formuleringen

’dens

direkte leverandører eller

tjenesteudbydere’ giver en generel forståelse af, hvad der skal sikres, eller om det skal erstattes af for-

muleringen:

”…herunder

sikkerhedsrelaterede aspekter vedrørende leverandørforhold.”

§ 13:

I forhold til underretningen af modtagerne af vores tjenester i N1 er elnetselskaberne i den lidt særlige

situation, at indgangen til vores kunder i markedsmodellen som udgangspunkt går via elleverandørerne.

Vores kontaktinformation på vores kunder vil ofte være afhængig af, om data i datahubben er opdateret

og/eller indirekte kontakt gennem kundens elleverandør. Dette skal der tages stilling til i bekendtgørel-

sesarbejdet i forhold til, hvilke specifikke krav, der stilles om, hvordan underretningspligten skal varetages,

herunder om der sigtes på direkte kontakt eller om informationen blot skal stilles til rådighed.

§ 17:

Gebyrer til dækning af omkostninger til tilsyn med virksomhederne i denne lov bør for elnetselskaberne

foranledige en justering af elnetselskabernes indtægtsramme på linje med omkostninger til myndigheds-

behandling i henhold til lov om elforsyning og lov om Forsyningstilsynet, jf. BEK nr. 714 af 12/6 2024 (Ind-

tægtsrammebekendtgørelsen) og dennes §§ 5, 6 og 29, stk. 3, nr. 3.

På samme vis bør gebyrer til dækning af omkostninger til tilsyn med virksomhederne i denne lov for el-

netselskaberne udelades af opgørelsen af elnetselskabernes individuelle effektiviseringskrav på linje med

omkostninger til myndighedsbehandling i henhold til lov om elforsyning og lov om Forsyningstilsynet, jf.

BEK nr. 714 af 12/6 2024 (Indtægtsrammebekendtgørelsen) og dennes § 10, stk. 3 og § 29, stk. 3, nr. 3.

N1 A/S

Edison Park 1

6715 Esbjerg

Tlf. 70 23 00 43

CVR-nr. 25 15 41 50

[email protected]

n1.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Justeringerne vil dels sikre, at elnetselskabernes rammer står mål med de omkostninger, de bliver pålagt

ift. myndighedsbehandling. Dels vil de sikre, at en forskellig kategorisering af beredskabsniveau og med-

følgende krav om forskelligt niveau af omkostninger ikke medfører ulig sammenligning i elnetselskabernes

økonomiske benchmarking. Begge disse justeringer kan opnås gennem en ændring af Indtægtsramme-

bekendtgørelsens § 29, stk. 3, nr. 3 ved at inkludere myndighedsbehandling i henhold til lov om styrket

beredskab i energisektoren i sætningen. Se i øvrigt afsnit 4.

§ 21:

Håndhævelsesforanstaltningerne i § 21 bør kobles til den

’passende’ og ’nødvendige’ implementering af

kravene til beredskab i §§ 6-8 og deres tilknytning til beredskabskategorisering baseret på den i lovbe-

mærkningerne omtalte niveauinddeling og kritikaliteten af den enkelte tjeneste. Hvis der ikke er denne

kobling, vil håndhævelsen alene relatere sig til proceskrav og ikke reelt indhold som også nævnt under §§

6-8.

§ 26:

Det bør specificeres, at informationer om beredskab i virksomhederne omfattet af loven, som er omfattet

af fortrolighed, også gælder informationer om leverandørforhold, jf. lovbemærkningernes omtale af supply

chain angreb som et særligt hensyn til driften af virksomheden.

Endvidere bør det i forbindelse i det videre arbejde med at sikre et styrket beredskab overvejes, om der

skal indsættes særlige beføjelser til at undtage leverandører, der byder på og vinder opgaver relateret til

styrket beredskab, fra offentliggørelse i forbindelse med offentlige udbud og EU-udbud. Der er en sti-

gende trussel i, at information om leverandører, som leverer sikkerhedsmæssige opgaver til forsynings-

kritiske virksomheder, ligger offentligt tilgængelig i forbindelse med udbud.

§ 30:

Bestemmelsen bør målrettes til regler om digital kommunikation for den specifikke lov og underliggende

bekendtgørelser.

§ 34:

Bestemmelsen er meget uklar og bør målrettes til at give Klima-, energi- og forsyningsministeren lov til

at fastsætte regler eller træffe bestemmelser, som er præciseringer af regler og retningslinjer i denne lov

på baggrund af de love, direktiver og forordninger, som er grundlag for denne lov. Som paragraffen er

formuleret i lovforslaget, kan den ses som en bred bemyndigelse til at fastsætte nye regler og bestem-

melser, som ikke er nærmere defineret i denne lov.

N1 A/S

Edison Park 1

6715 Esbjerg

Tlf. 70 23 00 43

CVR-nr. 25 15 41 50

[email protected]

n1.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

§ 37:

Det bør i bemærkningerne til paragraffen præciseres, hvad der er af forventninger til implementering af

de bemyndigelser, der gives i loven samt implementering af krav i bemyndigelserne. Derudover bør der

være en angivelse af eventuelle overgangsordninger.

Nyt punkt 3.9 til almene bemærkninger: Myndighedspålagte omkostninger og gebyrer efter lov om elfor-

syning

Der bør tilføjes et afsnit i lovforslagets bemærkninger, som gør det klart, at elnetselskabernes omkost-

ninger til at opfylde kravene ikke må belaste elnetselskabernes omkostningsrammer. Afsnittet kan bygges

op på samme måde som lovforslagets afsnit

’3.8

Nødvendige omkostninger til beredskab efter lov om

varmeforsyning’.

Se nærmere forklaring under punkt 4.

2. Præcisering af identifikation og kategorisering af enheder/virksomheder og systemer og anlæg

samt kategoriseringens betydning for beredskabskrav

Identifikation og kategorisering:

Lovforslagets § 2 definerer omfattede virksomheder/enheder, § 3 definerer begrebet

’væsentlige

tjene-

ster’, og § 4 bemyndiger Klima-, Energi- og Forsyningsministeren

til at ”fastsætte nærmere regler om

identifikation og kategorisering af virksomheder og virksomheders systemer og anlæg, som anvendes til

levering af virksomhedens tjenester”.

Disse tre paragraffer er helt centrale for forståelsen af loven og især

koblingen mellem de tre bør være meget klarere. Vi har i de ovenstående specifikke bemærkninger til

paragrafferne forsøgt at give forslag til, hvordan vi ser koblingen, og hvordan man kan forbedre forståelsen

af denne.

Den grundlæggende forståelse, som loven og de medfølgende bemærkninger bør formidle er, 1) at en

specifik mængde af enheder/virksomheder er omfattet af kravene til beredskab, 2) at disse virksomhe-

der/enheder er defineret ud fra, om de er en del af den danske energiinfrastruktur, og hvorvidt deres

infrastruktur er vital for samfundets funktionalitet 3) samt at disse infrastruktur-virksomheder/enheder

kategoriseres i niveauer afhængigt af, hvor vital enhedens/virksomhedens infrastruktur og dennes anlæg

og systemer er for samfundet.

Denne identifikation og kategorisering af virksomheder/enheder har været formidlet på diverse dialog-

møder forud for høringen af lovforslaget bl.a. i form af skemaer inddelt i sektorer, men fremstår uklar i

N1 A/S

Edison Park 1

6715 Esbjerg

Tlf. 70 23 00 43

CVR-nr. 25 15 41 50

[email protected]

n1.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

lovforslaget. Desværre har vi også set, at den formidlede kategorisering har flyttet sig i løbet af det se-

neste år, og det giver yderligere usikkerhed i forhold til forståelsen. Derfor står vi med et helt grundlæg-

gende spørgsmål i høringsprocessen, som går på, hvad der egentlig er afgørende for kategoriseringen i

niveauer i de enkelte dele af energisektoren både i forhold til virksomhederne/enhederne generelt, men

også i forhold til de underliggende anlæg og systemer.

De almindelige bemærkninger til lovforslagets hovedpunkter gør gældende, at man planlægger at vide-

reføre et differentieret reguleringstryk ”For at understøtte at reguleringen er proportionel set i forhold til

sikkerhedseffekten hos virksomhederne og de omkostninger, de skal afholde for at efterleve regulerin-

gen”. N1 er enig i behovet for et differentieret reguleringstryk, men

under forudsætning af, at grundlaget

for det differentierede reguleringstryk er det rigtige, nemlig et fokus på kritikalitet.

For så vidt angår virksomhedernes/enhedernes niveauinddeling gør lovforslaget gældende, at den

”vil

blive foretaget ud fra en konkret vurdering med udgangspunkt i den samlede energimængde, virksom-

heden kontrollerer, virksomhedens betydning for energiforsyningen, om virksomheden leverer tjenester

til andre kritiske sektorer eller varetager samfundskritiske opgaver”. For så vidt angår kategoriseringen af

anlæg og systemer, gør lovforslaget gældende, at

der ”ved

klassificeringen vil blive taget udgangspunkt i

den tjeneste, som anlægget eller systemer vedrører, mængden af energi, som de er med til at understøtte,

og deres betydning for forsyningssikkerheden”. De to definitioner minder meget om hinanden, og man

kan derfor sætte spørgsmålstegn ved, om de bidrager til en tilstrækkelig skarp og

’operationaliserbar’

definition af kritikalitet til det videre lovarbejde.

Der bør for de fleste dele af forsyningen indgå en række parametre i fastlæggelsen af kritikalitet. I vores

egen vurdering af anlægs kritikalitet indgår eksempelvis følgende parametre:

•

Kundeantal: Antallet af netkunder tilsluttet under et anlæg

Belastning: Den samlede belastning/indfødning på et anlæg

Antal 60 kV forbindelser: Antallet af 60 kV forbindelser, sikre størst mulig evne til omkoblinger.

Underliggende infrastruktur: Kritisk infrastruktur som forsynes fra anlægget (fx Sygehuse)

Anlæg prioriteret i national genopretningsplan: Stationsanlæg der indgår i ER restoration plan og

skal have spænding først efter Blackout (dikteret af Energinet)

N1 vil gerne opfordre til, at lovforslaget gør det fuldstændig klart, hvilke overordnede parametre, der ind-

går i vurderingen af, om virksomheder/enheder er omfattet og måske endnu vigtigere, en indikation af

hvilke parametre og størrelsen af disse, som afgør den efterfølgende niveauinddeling. Med dette skabes

en forventningshorisont, som der kan ageres efter. Uden disse viden om disse parametre kan vi risikere,

N1 A/S

Edison Park 1

6715 Esbjerg

Tlf. 70 23 00 43

CVR-nr. 25 15 41 50

[email protected]

n1.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

at en række virksomheder/enheder ikke opfatter sig som omfattede og/eller ikke ser sig omfattet af de

krav, der er tilknyttet det korrekte niveau af beredskab, som kategoriseringen vil resultere i.

I lovforslag lægges der endvidere op til en kategorisering af både virksomheder/enheder og deres an-

læg/systemer i forhold til deres kritikalitet. Det er imidlertid uklart, hvordan sammenspillet mellem kate-

goriseringen af en virksomhed og klassificeringen af et anlæg spiller sammen. Energistyrelsen har i den

tidligere dialog lagt op til, at hvis en virksomhed eksempelvis har et klasse 4 anlæg, men kun er kategori-

seret i niveau 3, bliver den så automatisk rykket op til niveau 4. Det fremgår ikke klart i lovforslaget, hvilket

er bekymrende set fra N1’s perspektiv. Et netselskab med få kunder kan have anlæg, som har

stor syste-

misk betydning eller betydning for at opretholde forsyningen i en kritisk samfundsinstitution. Det er vig-

tigt, at dette fremgår af lovbemærkningerne, som skal rammesætte arbejdet med bekendtgørelser.

Kategoriseringens konsekvens for beredskabskrav:

Lovforslaget indeholder nogle minimumskriterier for, hvem der er omfattet, men mangler en grundlæg-

gende beskrivelse af, hvad det helt overordnet indebærer at være indplaceret i den enkelte kategori. Det

skal naturligvis præciseres i bekendtgørelsesarbejdet, men det er problematisk, at lovforslaget ikke for-

holder sig systematisk til de kategorier, der opstilles.

I de specifikke bemærkninger får man enkelte indikationer af, hvad indplaceringen i niveauer betyder.

Som det fremgår af de specifikke bemærkninger til de enkelte paragraffer, er der til §§ 6 og 8 enkelte

steder beskrevet, hvad der forventes krævet af virksomheder/enheder kategoriseret i de øverste ni-

veauer. Det er givet, at der i lovbemærkningerne ikke kan være en fuldstændig beskrivelse af, hvilke krav

i §§ 6-8, som stilles til hvert enkelt niveau, og i hvilket omfang det enkelte krav skal følges, men der bør

dels være en direkte benævnelse i lovforslaget af, at kravene i stk. 2 af §§6-8 for den enkelte virksomhed

er betinget af kategoriseringen i § 4 og at vurderingen af, hvad der er

’passende’

’nødvendige’

foran-

staltninger i stk. 1 af §§ 6-8 afhænger af denne kategorisering. Der bør endvidere gives en forståelse af,

om der i stk. 2 af §§ 6-8 er tale bruttolister af krav, eller om alle krav skal overholdes af alle omfattede

virksomheder, hvilke krav, der differentieres inden for og hvordan kategoriseringen afgør differentieringen

inden for det enkelte krav.

3. Den nødvendige dialog mellem myndigheder og enheder/virksomheder

Det er forståeligt og prisværdigt, at der i lovforslaget lægges op til, at

”lovforslaget

tager højde for, at der

ikke reguleres unødigt og uproportionalt, herunder: at virksomhederne selv foretager risikovurderinger,

således at sikkerhedsforanstaltningerne kan tilpasses de mange forskellige virksomhedstypers

N1 A/S

Edison Park 1

6715 Esbjerg

Tlf. 70 23 00 43

CVR-nr. 25 15 41 50

[email protected]

n1.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

forretningsmodeller” (tabel s. 109n

–

s. 110ø i lovforslagets bemærkninger). Der er dog samtidig et behov

for at skabe en forståelse af, at det beredskab, der kræves i lovforslagets kapitel 3, og som skal imple-

menteres i

’nødvendigt’

’passende’

omfang, ikke er ensbetydende med, at de omfattede virksomhe-

der/enheder fuldstændig egenhændigt kan bestemme, hvilke og hvordan kravene i kapitel 3 implemen-

teres.

For det første bør der være en sammenhæng mellem, hvad der er

’passende’

’nødvendigt’

og den

kategorisering, som bestemmes via § 4 (se nærmere beskrivelse ovenfor). Dernæst bør det være helt

centralt, som det også er for det fungerende beredskab i dag, at vurderingen og fortolkningen af, hvad

der er en tilstrækkelig implementering af beredskab ud fra beredskabsniveauerne sker i et samspil mel-

lem myndigheder og enheder/virksomheder. Dette kan enten være via vejledninger eller udførlige beskri-

velser i bekendtgørelser eller via direkte dialog eksempelvis i forbindelse med tilsyn. Hvis ikke der er

denne dialog og guidance fra myndighederne, som også indeholder et mere indgående indblik i det kon-

krete trusselsbillede, end det kan forventes i den enkelte enhed/virksomhed, risikerer man at få et tilsyn

fokuseret på proces og en alt for ujævn implementering af det reelle beredskab. Det vil både have kon-

sekvenser for det enkelte selskab, men også for andre infrastrukturselskaber, da der ofte er en intern

afhængighed på tværs af energisektoren.

I lovforslaget bør det følgeligt fremgå eksplicit, at foranstaltningerne i §§ 6-8 skal implementeres i hen-

hold til myndighedernes kategorisering i § 4, og i bemærkningerne bør det fremgå, at vurderingen af, om

de foretagne foranstaltninger er

’passende’

’nødvendige’

sker i et samspil mellem kategoriseringen i §

4 og i dialog mellem myndigheder og enhed/virksomhed med fokus på proportionalitet og hensyn til en

tilpasning til enhedens/virksomhedens specifikke forhold.

4. Gebyrer og omkostninger til opfyldelsen af loven bør medføre en justering af elnetselskabernes

omkostningsramme og bør udelades af elnetselskabernes økonomiske benchmarking

Lovforslaget vil medføre betydelige investeringer i fysisk sikkerhed og cybersikkerhed hos elnetselska-

berne. I dag afholder elnetselskaberne sådanne investeringer inden for eksisterende indtægtsramme

Hvis ikke den økonomiske ramme tilpasses, er omkostningerne til beredskabet dog nu af en størrelse, så

elnetselskaberne vil blive tvunget til at foretage et valg mellem investeringer i beredskab på den ene side

og investeringer i løse andre kerneopgaver på den anden, fx at understøtte en grøn elektrificering af det

danske samfund. Derfor er det afgørende, at der tilføjes et afsnit i lovforslaget, som gør det klart, at el-

netselskabernes

omkostninger

til

opfylde

kravene

ikke

må

belaste

elnetselskabernes

Med undtagelse af omkostninger til en

IT-sikkerhedstjeneste.

N1 A/S

Edison Park 1

6715 Esbjerg

Tlf. 70 23 00 43

CVR-nr. 25 15 41 50

[email protected]

n1.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

omkostningsrammer. Afsnittet kan bygges op på samme måde som lovforslagets afsnit

’3.8

Nødvendige

omkostninger til beredskab efter lov om varmeforsyning’.

Afsnittet skal give det nødvendige grundlag for at lave justeringer til BEK nr. 714 af 12/6 2024 (Indtægts-

rammebekendtgørelsen) §§ 10, stk. 3, 27 og 29, så elnetselskabernes nødvendige omkostninger til at be-

tale gebyrer for myndighedsbehandling og til at opfylde de nye krav til beredskab medfører en justering

af omkostningsrammen og en udeladelse af selvsamme omkostninger fra den økonomiske benchmarking.

I det videre arbejde med justering af Indtægtsrammebekendtgørelsen §§ 10, stk. 3, 27 og 29 er der fem

udfordringer, som skal håndteres:

Udfordring: Forsyningstilsynet forhøjer kun en netvirksomheds omkostningsramme, hvis det er til

at håndtere et pålæg fra en myndighed eller Energinet.

Mulig løsning: Det skrives ind i Indtægtsrammebekendtgørelsen, at omkostninger til at opfylde

kravene i Beredskabsloven altid er at betragte som pålæg og dermed falder ind under Indtægts-

rammebekendtgørelsens § 27 og imødekommer § 27 stk. 3 (krav om at

indhente en udtalelse fra

Energistyrelsen i forhold til, om der er tale om et pålæg).

Udfordring: Indtægtsrammebekendtgørelsens § 27 giver kun mulighed for, at Forsyningstilsynet

kan forhøje en netvirksomheds omkostningsramme og justere det samlede forretningsgrundlag i

reguleringsåret, hvis en netvirksomhed får ’væsentlige meromkostninger’ som følge af

et pålæg.

Indtægtsrammebekendtgørelsens § 40 stk. 2 definerer væsentlige meromkostninger, som at nu-

tidsværdien af meromkostningen pr. pålæg udgør minimum: 1) 8 mio. kr., 2) 40 kr. pr. netvirksom-

hedens antal målere (…), 3) 4.000 kr. pr. GWh leveret i det

år, hvor omkostningen er afholdt. De

gældende væsentlighedskriterier vil udgøre en barriere for at netselskaberne kan få dækket om-

kostningerne, fordi de dels er for høje, og dels gør det umuligt at pulje omkostninger (§ 40 stk. 4).

Mulig løsning: Det tilføjes til Indtægtsrammebekendtgørelsens § 40, stk. 2 om væsentlige omkost-

ninger, der ikke er et væsentlighedskrav for omkostninger relateret til tiltag til at leve op til bered-

skabsloven, alternativt, at det gøres muligt at pulje omkostninger relateret til beredskab gennem

en undtagelse fra § 40, stk. 4.

Udfordring: Den tredje problemstilling relaterer sig til de omkostninger, som selskaberne allerede

har haft til, der skal hæve deres beredskabsniveau i lyset af det forværrede trusselsbillede. For at

undgå, at selskaber straffes for at handle proaktivt på den aktuelle situation, bør der gives mulig-

hed for at godtgøre elnetselskabernes allerede gennemførte tiltag. Dette bør bero på en vurdering

af, om tiltagene stemmer overens med dem, som skal gennemføres i medfør af den kommende

N1 A/S

Edison Park 1

6715 Esbjerg

Tlf. 70 23 00 43

CVR-nr. 25 15 41 50

[email protected]

n1.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

beredskabslov. Der har tidligere været eksempler på, at netselskaber er blevet straffet for at være

på forkant med ny lovgivning, når de implementerede tiltag, som imødekom lovkrav før ikrafttræ-

delse.

Mulig løsning: Tilpasningen af indtægtsrammebekendtgørelsen udføres, så allerede afholdte om-

kostninger, som er afholdt med henblik på at leve op til kravene i loven og de bagvedliggende

direktiver også medfører en justering af omkostningsrammen, hvis de er foretaget eksempelvis

efter 1. januar 2022 og forudsat relevant dokumentation mv.

Udfordring: Betaling af omkostninger til myndighedsbehandling fører normalt til justering af ind-

tægtsrammen og udeladelse fra økonomisk benchmarking, men myndighedsbehandling er kun

defineret i relation til lov om elforsyning og lov om Forsyningstilsynet.

Mulig løsning: Indtægtsrammebekendtgørelsens § 29, stk. 3, nr. 3 justeres, så myndighedsbehand-

ling også omfatter lov om styrket beredskab i energisektoren.

5. Udfordring: Omkostninger til myndighedspålagte omkostninger udelades ikke generelt fra den

økonomiske benchmarking. Derfor vil myndighedspålagte opgaver i henhold til lov om styrket be-

redskab ikke som udgangspunkt blive undtaget fra den økonomiske benchmarking. Der vil imid-

lertid være meget store forskelle på kravene til beredskab mellem de forskellige elnetselskaber og

de medfølgende omkostninger, hvorfor en økonomisk sammenligning af selskaberne, som inde-

holder disse omkostninger, vil give et misvisende billede af selskabernes individuelle effektivitet

og medføre skæve effektiviseringskrav.

Mulig løsning: Indtægtsrammebekendtgørelsens § 10, stk. 3 justeres, så der tilføjes et nyt nr. 4 med

teksten:

”Omkostninger

til myndighedspålagte opgaver i henhold til lov om styrket beredskab.”

5. Afrunding

Vi håber, at de ovenstående bemærkninger og anbefalinger vil blive taget som konstruktivt input til lov-

forslaget og det videre arbejde med implementeringen. Vi står selvfølgelig til rådighed, såfremt der skulle

være behov for uddybende oplysninger eller spørgsmål.

Med venlig hilsen

Henrik Fiil-Nielsen

Elnetselskabet N1 A/S

N1 A/S

Edison Park 1

6715 Esbjerg

Tlf. 70 23 00 43

CVR-nr. 25 15 41 50

[email protected]

n1.dk

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Til:

Cc:

Fra:

Titel:

Sendt:

Bilag:

beredskab ([email protected])

Clara Næsborg Olsen ([email protected]), Alexander Berg ([email protected]), Elisa Hove de Lasson ([email protected])

Brian Klausen ([email protected])

Høringssvar fra Netselskabet Elværk vedr. journalnummer 2023 - 6652

03-07-2024 11:19

Høringssvar til Lov om styrket beredskab.docx;

Kære Energistyrelse,

I får hermed vores høringssvar til jeres Lovforslag om styrket beredskab i energisektoren.

Vi er generelt rigtig positive overfor den måde lovgivningen ser ud til at komme til at udforme sig. Det er positivt at

der stilles mere generelle krav til virksomhederne om at arbejde seriøst med informationssikkerhed og robusthed /

Modstandsdygtighed og at dette arbejde forankres i ledelsen.

Der er dog to områder hvor vi har givet kritiske høringssvar. Det ene område er Risikovurderinger og det andet er

baggrundskontrol.

Derudover har vi to andre mere generelle kritikpunkter til denne lovgivning og til den gældende ret.

Lovgivningen er defineret for snævert

Den gældende ret og dermed også Energistyrelsens tilsyn med netselskaberne og andre omfattede virksomheder i

energibrancen, er kun interesseret i sikkerheden for de dele af virksomhederne, som har direkte effekt på leveringen

af ydelsen (El og gas mv.). I vores optik er dette dog et for snævert fokus, fordi det i praksis betyder at sikkerheden og

modstandsdygtigheden for alle andre afdelinger, informationer, systemer og netværk i selskaberne kun styres efter

selskabernes egen sikkerhedslogik.

Og det KAN betyde, at der ikke arbejdes med MFA, Logning, firewalls, backup, awareness, beredskabsplaner, sikre

leverandører osv. i selskaberne generelt. Dermed er der en væsentligt højere sårbarhed i de selskaber der ikke af sig

selv prioriterer høj sikkerhed i de ikke-forsyningskritiske dele af deres virksomheder. Men det vil jo uanset hvad give

virksomheden problemer, hvis økonomisystemet ikke er tilgængeligt, de administrative data forsvinder, eller de

administrative PC'er har høj sårbarhed.

Som vi ser det er der et behov for at Energistyrelsen har et mere holistisk blik på selskabernes arbejde, for at sikre høj

informationssikkerhed og modstandsdygtighed.

Konsekvens + Sandsynlighed = Risiko

Det andet område er at vi synes at der er et behov for at den risikostyringsmodel som Energistyrelsen arbejder ud

fra, begynder at følge almen best practice på området. Det har det ikke gjort hidtil og det er det ikke tydeligt om det

vil fremadrettet, med de beskrivelser der er af den foreslåede løsning. Vi mener det er vigtigt at selskaberne i

branchen både forholder sig til konsekvens, som de har gjort hidtil, men også sandsynlighed. Dette vil være med til at

prioritere tid og ressourcer på at håndtere de scenarier det er mest sandsynlige kommer til at blive til virkelighed

eller som har den højeste samlede risiko.

Skriv gerne tilbage, hvis I har spørgsmål til høringssvaret. Vi uddyber det gerne.

Med venlig hilsen

Brian Klausen

Governance, Risk & Compliance Manager

Direkte nr.: 72 19 89 66

Hovednr.: 96 70 22 00

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Løvevej 5 | 7700 Thisted |

thymors.dk

privatlivspolitik

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Høringssvar fra Netselskabet Elværk

til lovforslag om styrket beredskab i energisektoren

Beskrivelse af høringssvaret

Dette høringssvar gennemgår beskrivelsen af den foreslåede ordning fra side 50 til side 95 +

beskrivelsen af den foreslåede § 6 stk. 2, som den er beskrevet på siderne 142 – 153.

Hvor der ikke er kommentarer til indholdet står der blot ”Ingen Kommentar”.

Ved de paragraffer der gives høringssvar til er teksten fra den foreslåede ordning i lovforslagets

bemærkninger gengivet. Gengivelsen er med for at være tydelig omring, hvilken beskrivelse der

gives feedback på.

§ 1 + 2 + 3 Formål, anvendelsesområde og definitioner

Ingen Kommentar

§ 4 + 5 Identificering og kategorisering af virksomheder

Ingen Kommentar

§ 6 Organisatorisk beredskab

3.2.3 Den foreslåede ordning

Ledelsens ansvar:

Risikovurdering

Det foreslås, at virksomhedernes ledelse tager stilling til virksomhedens vurdering af

cybersikkerhedsrisici og sikkerhedsrisici mod kritisk infra-struktur som en fast del af

virksomhedens arbejde med risikostyring. Den foreslåede ordning vil medføre, at

virksomhedens ledelse har et samlet risikobillede, der repræsenterer kendte og mulige

risici mod produktionen, forsyningen eller leveringen af tjenesten. Ordningen vil desuden

sikre, at den løbende stillingtagen til sikkerhedsrisici forankres hos virksomheder-nes

beslutningstagere.

Beredskabskoordinering

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Ligeledes foreslås det, at ledelsen deltager i virksomhedens beredskabsko-ordinering

med henblik på, at ledelsen har overblik over og kan gøres an-svarlig for, hvordan

virksomheden organiserer virksomhedens beredskab. I tråd med NIS 2-direktivets krav

om at ledelsen skal gøres ansvarlige for foranstaltninger til styring af

cybersikkerhedsrisici, foreslås det, at ledel-sens skal godkende virksomhedens

foranstaltninger til styring af risici mod forsyningen og gøres retligt ansvarlige for

virksomhedens overtrædelse af forpligtelserne i beredskabsreguleringen. Med den

foreslåede ordning går Klima-, Energi-, og Forsyningsministeriet dog videre end direktivet

ved at foreslå, at ledelsen både skal kunne gøres ansvarlige for foranstaltninger til styring

af organisatorisk sikkerhed, fysisk sikring og cybersikkerhed. Heraf følger at ledelsen også

kan gøres retligt ansvarlige for virksomheder-nes overtrædelser af

beredskabsreguleringen uanset, om der er tale om overtrædelser, der relaterer sig til den

organisatoriske sikkerhed, den fysi-ske sikring af kritiske energiinfrastruktur eller om der

er tale om cybersik-kerhed. Dette foreslås ud fra en betragtning om, at organisatoriske

forhold, cybersikkerhed og fysisk sikring er lige kritiske, samt at det i praksis kan være

svært at sondre mellem en overtrædelse, der vedrører det organisato-riske,

cybersikkerhed eller fysik sikring.

Kurser

NIS 2-direktivet stiller derudover krav om, at ledelsen følger kurser, der gør dem i stand til

at vurdere risici og styring af cybersikkerhedsrisici. Be-redskabsreguleringen vil udvide dette

ved at stille krav om, at ledelsen i danske energiselskaber skal tilegne sig en tilstrækkelig

viden inden for styring af risici, der relaterer sig til cybersikkerhed såvel som fysisk sikring,

god sikkerhedskultur og beredskab. Dette vil understøtte, at vurderingen af sikkerhedsrisici

indgår i virksomhedens løbende risikostyring. Den foreslåede ordning vil således sikre, at

ledelsen er i stand til at træffe beslutninger på et oplyst grundlag og stille kritiske

spørgsmål.

Awareness og uddannelse

Der indføres krav om at indføre cybersikkerhedsuddannelse og awarenesstiltag for

virksomhedens medarbejdere. Dette gøres for at gøre sikkerhedshensyn og de risici, der

er forbundet med det hybride trusselsbillede til en central del af medarbejdernes

bevidsthed, samt hvordan medarbejderne bør agere for at beskytte kritiske systemer,

informationer, infrastruktur og anlæg.

Commented [BK1]:

DE krav til ledelsen i selskaberne der

er beskrevet her er det meget svært at være uenig i. Det er

vigtigt at risikoarbejdet er forankret i ledelsen og at ledelsen

har kompetencerne til at stille kritiske spørgsmål til arbejdet

og er med til at træffe beslutningerne.

Lignende krav stilles til ledelsen af ISO 27001 certificerede

virksomheder og det er en god rettesnor i denne

sammenhæng.

Godt formuleret

Fuld støtte herfra.

Risikostyring

Med henblik på at forankre risikostyringen på det organisatoriske plan i virksomhederne

foreslås det, at virksomhederne skal udarbejde en politik for risikostyring, der skal

identificere og vurdere de væsentligste risici for virksomhedens organisation, kritiske net-

og informationssystemer og infrastruktur med henblik på opretholdelsen af

energiforsyningen.

Commented [BK2]:

Stort set samme svar som ovenfor.

Skønt at der stilles krav til dette til virksomhederne i

branchen.

Commented [BK3]:

Politik for risikostyring

Rigtig god idé.

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Som led i dette foreslås det, at der stilles krav om, at virksomhederne skal underrette

relevante medarbejdere om de identificerede risici, og identificere hvem der er

ansvarlige

for at implementere foranstaltningerne. Således vil ordningen sikre en tydelig ansvarsdeling

og understøtte, at der vil kunne iværksættes passende tiltag til styring af risici. Det foreslås

derudover, at virksomhederne stilles krav om at udpege en

beredskabskoordinator,

cyberberedskabskoordinator

og et

operationelt kontaktpunkt,

som bl.a. skal sikre en

effektiv kommunikation med myndighederne i krisesituationer. Det foreslås således, at

nuværende ordning for udpegelsen af beredskabsroller bør videreføres i vidt omfang. Dog

vurderes det hensigtsmæssigt, fremover at ændre betegnelsen it-beredskabsansvarlig til

cyberberedskabskoordinator.

Med henblik på at understøtte en bredt forankret sikkerhedsorganisation foreslås det, at der

stilles krav om, at virksomhederne indfører

procedurer,

der følger en fast kadence, og som

skal understøtte de tekniske foranstaltninger, som virksomhederne iværksætter. Dette vil

bl.a. indebære, at virksomhederne løbende skal tage stilling til risici- og sårbarheder i bl.a.:

Commented [BK4]:

Opgave og ansvarsfordeling for

identificering, vurdering og håndtering af risici

Også en rigtig god idé!

Commented [BK5]:

At virksomhederne skal opsætte

procedurer der sikrer at risikostyringspolitikken

implementeres og anvendes efter hensigten er også en rigtig

god idé og en helt central del af godt risikoarbejde.

Fuld støtte herfra

Commented [BK6]:

Procedurer og politikker for

adgangsstyring er også en helt central del af godt

risikoarbejde.

Fuld støtte herfra

Commented [BK7]:

Evaluering af de organisatoriske

kontrollers effektivitet, implementering og overholdelse er

også en vigtig del af godt risikoarbejde.

Fuld støtte herfra

Commented [BK8]:

Den her del forstår vi ikke helt.

Beskrivelsen af risiko- og sårbarhedsvurderingerne her ser ud

til ikke at ændre nævneværdigt i forhold til den gældende

ret.

Som vi ser det bør der kunne gives en vis metodefrihed i

forhold til hvordan risikovurderinger gennemføres i

virksomhederne når nu der stilles krav til at:

der skal gennemføres risikovurderinger regelmæssigt,

virksomhederne skal udarbejde en risikostyringspolitik og

procedurer for hvordan de gennemføres,

Ledelsen skal uddannes til at kunne deltage aktivt i

risikovurderingerne

At der skal sættes interne kontroller op for at kontrollere at

risikovurderingerne gennemføres

For når nu dette er på plads og der kommer et større

ledelsesmæssigt fokus på området, fordi ledelsen bl.a. også

bliver underlagt strafansvar, hvis de organisatoriske dele af

den foreslåede lovgivning ikke implementeres og styres

tilfredsstillende.

FORSLAG

I den nye lovgivning bør der efter vores overbevisning være

fokus på at selskaberne:

Fastlægger følgende politikker:

En informations-sikkerhedspolitik,

En politik for robusthed /beredskab

En risikostyringspolitik

Gennemfører regelmæssige risikovurderinger

Implementerer de kontroller der er nødvendige for at

imødegå risici

Det der så er vigtigt at fokusere på for selskaberne og for

tilsynet, er om:

de rette aktiver er risikovurderet (systemer, enheder,

leverandører, processer mm.)

der er taget højde for alle relevante trusler

firewalls, leverandørforhold og informationsstrømme,

og at virksomhederne har politikker og procedurer for fx patching og opdateringer, der skal

imødegå sårbarheder.

Det foreslås, at disse procedurer indgår i virksomhedens politik for risikostyring og skal bl.a.

understøtte sikkerheden af virksomhedernes net- og informationssystemer og kritiske

anlæg.

For at sikre at det kun er de medarbejdere, der har arbejdsbetinget behov, som har adgang

til kritiske anlæg og net- og informationssystemer, foreslås det, at virksomhederne skal

have politikker og foranstaltninger for

adgangsstyring.

Der vil således skulle være klart

definerede regler for hvilke medarbejdere eller medarbejdergrupper, der kan tilgå

forskellige dele af et anlæg eller net- og informationssystemer. Dette indebærer, at

virksomhederne vil skulle have procedurer for, hvordan adgange til kritiske anlæg og net-

og informationssystemer tildeles, ændres og lukkes for både virksomhedens egne

medarbejdere såvel som leverandører. Samtidig foreslås det, at virksomhederne fører log

over denne adgang.

Med henblik på at gøre disse sikkerhedsforanstaltninger til en fast del af virksomhedens

drift foreslås det, at disse procedurer og de etablerede foranstaltninger skal være genstand

for et fast kontrolregime.

Risiko- og sårbarhedsvurderinger

Det foreslås desuden, at virksomhedernes risiko- og sårbarhedsvurderinger og

handlingsplaner skal gennemgås med fast interval, eller når nye risici, trusler eller

sårbarheder erkendes samt ved væsentlige ændringer af virksomhedens organisation,

kritiske net- og informationssystemer eller infrastruktur eller ved ændringer i

trusselsbilledet.

...

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det foreslås samtidig, at vurderingen af cybersikkerhedsrisici, organisatoriske risici og

fysiske risici kobles sammen ved, at virksomhedernes opdateringer af deres risiko- og

sårbarhedsvurderinger af henholdsvis virksomhedens vurdering af cybersikkerhed og

fysiske sikring følger samme kadence for udarbejdelse og indsendelse til Energistyrelsen.

Den foreslåede ordning vil således understøtte virksomhedernes modstandsdygtighed, ved

at der sikres sammenhæng i virksomhedernes risikostyring af fysiske og cyberrelaterede

trusler og sårbarheder.

Commented [BK9]:

Som skrevet ovenfor mener vi at ROS

som vi kender det i dag, skal erstattes af en ny metode til

risikostyring.

Det betyder at denne passage bør fjerne teksten i den gule

markering og indsætte den blå tekst.

For med de forbehold er jeg helt enig. Det er vigtigt at

vurdeirng af cybersikkerhed og fysisk sikkerhed bør følge

samme kadence og have samme prioritering.

Leverandørstyring

Det er essentielt, at virksomhederne vurderer risici for forsyningssikkerheden ved

indgåelse af leverandøraftaler. Det foreslås derfor, at virksomhederne stiller krav til

deres leverandører af tjenester, net- og informationssystemer, komponenter og anlæg,

der understøtter processer med betydning for leveringen af tjenesten, således at

leverandøren overholder beredskabsreguleringen, samt at virksomhederne fører

kontrol hermed.

For at understøtte at sikkerhedsrisici udgør et væsentligt parameter i beslutninger

vedrørende leverandøraftaler, foreslås det, at virksomhederne skal stille krav til deres

leverandører på baggrund af en risikovurdering af den pågældende aftale, herunder en

vurdering af leverandøren samt kritikaliteten af de tjenester, net- og

informationssystemer, komponenter eller anlæg, der vil blive påvirket af den

pågældende aftale. Derudover bør de sikkerhedsrisici, der er forbundet med

leverandør- og outsourcingaftaler, gøres klart for ledelsen i den pågældende

virksomhed, således at denne kan træffe beslutninger på et oplyst grundlag.

Commented [BK10]:

Helt Enig !

Risikovurdering af projekter

Det er et væsentligt element i den foreslåede ordning, at virksomhedernes arbejde med

risikostyring indebærer, at virksomhederne vil skulle tage stilling til relevante

sikkerhedsrisici i forbindelse med projekter og leverandøraftaler, der har mulighed for at

påvirke forsyningssikkerheden. Denne påvirkning kan enten være på grund af mulig

påvirkning af kritiske dele af organisationen, net- og informationssystemer, der har

betydning for leveringen af tjenesten eller som følge af større anlægsprojekter. Derfor

foreslås det, at virksomhederne skal foretage en risikovurdering af det pågældende projekt

eller af leverandøraftalen, som omfatter en vurdering af eventuelle sikkerhedsrisici.

Derudover foreslås det, at risikovurderingen indgår i ledelsens beslutningsprocedurer, samt

at ledelsen gøres ansvarlig for eventuelle risici for forsyningen, der er forbundet hermed.

Den foreslåede ordning vil således understøtte, at sikkerhedshensyn tænkes ind i projekter

fra starten, samt at risici for forsyningen og herved samfundet minimeres med direkte

involvering af ledelsen.

Commented [BK11]:

Risikovurdering af projekter der

ændrer på den måde virksomheden arbejder på eller dens

systemer eller leverandører er igen helt essentielt.

Jeg studser dog over formuleringen:

”der har mulighed for at påvirke forsyningssikkerheden”.

For der er tre store elastikker i den formulering

”Forsyningssikkerhed”, ”Mulighed” og ”påvirke”. I mange

tilfælde vil jeg mene at de elastikker betyder, at der er meget

få projekter der vil blive risikovurderet.

Beredskabsplanlægning

Det foreslås, at der stilles krav om, at virksomhederne foretager den nødvendige

beredskabsplanlægning, således at virksomhederne skal udarbejde beredskabsplaner,

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

der er baseret på risiko- og sårbarhedsvurderingerne, og som beskriver relevante tiltag,

der skal sikre virksomhedens modstandsdygtighed og kontinuiteten af forsyningen.

Beredskabsplanlægningen skal derudover omfatte beredskabssituationer, der i

væsentlig grad reducerer funktionaliteten i virksomheden og eventuelt øvrige dele af

energisektoren eller af samfundet. Den foreslåede ordning vil i vidt omfang videreføre

gældende ret for udarbejdelse og indhold af beredskabsplaner.

Commented [BK12]:

Generelt må den væsentligste

sætning i denne passage være denne: ”virksomhederne skal

udarbejde beredskabsplaner, der er baseret på risiko- og

sårbarhedsvurderingerne, og som beskriver relevante tiltag,

der skal sikre virksomhedens modstandsdygtighed og

kontinuiteten af forsyningen”

Modstandsdygtighed og krisestyring

Her er krisestyring, hændelseshåndtering og genopretning vitalt for at øge samfundets

robusthed og opretholde forsyningssikkerheden. På den baggrund foreslås det, at der

stilles krav til virksomhedernes planer for genoprettelse af virksomhedens tjenester,

herunder net- og informationssystemer, komponenter og anlæg samt til de tekniske og

organisatoriske foranstaltninger, der skal sikre en effektiv hændelseshåndtering. Dette

indebærer, at der er etableret og dokumenteret procedurer for hændelseshåndtering.

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

På den baggrund foreslås det, at gældende krav til øvelsesplanlægning, afholdelse og –

evaluering i vidt omfang videreføres. Dertil foreslås det, at der stilles krav om, at

relevante

leverandører deltager i de øvelser, hvor de vurderes at have en rolle i tilfælde af en

hændelse.

Dette vil understøtte, at både virksomhederne og deres leverandører er

bevidste om deres ansvar i tilfælde af en hændelse. Det er væsentligt, at

beredskabsplanlægningen klart

definerer roller og ansvar

for de involverede i

håndteringen af en beredskabssituation. Ligeledes er det væsentligt, at disse roller

koordinerer virksomhedens beredskabsforanstaltninger på tværs af forretningsområder. For

el- og gassektorerne videreføres den nuværende praksis med hensyn til Energinets ansvar

for at udarbejde risiko- og sårbarhedsvurderinger, sammenfattende beredskabsplaner og

sektorberedskabsplaner for henholdsvis det sammenhængende elforsyningssystem og

gasforsyningssystem.

Commented [BK13]:

Udemærket.

Området synes at være beskrevet som den gældende ret.

Dog er det positivt at leverandører inddrages i forpligtelserne

på området.

Det ville dog også være yderst relevant at bede selskaberne

om at udarbejde en politik på området for

Modstandsdygtighed og krisestyring. Denne politik kunne

beskrive at virksomheden forpligter sig til:

At opretholde sine leverancer

At overholde gældende lovgivning

At sætte mål for kvaliteten af virksomhedens arbejde med

modstandsdygtighed og krisestyring, der er passende for

virksomheden

Se inspiration i ISO 22301, der er den internationalt

anerkendte standard på området. At anvende denne som

rettesnor ville følge CER direktivets artikel 16.

§ 7 Fysisk sikring

Fysisk sikring

Det hybride trusselsbillede bevirker, at virksomheder i energisektoren skal have et højt

niveau af modstandsdygtighed over for både naturlige og menneskeskabte farer, hvad

enten de er hændelige eller tilsigtede. Dette indebærer også, at virksomhederne skal sikre,

at deres anlæg og infrastruktur kan modstå stadigt hyppigere ekstreme vejrhold, som

intensiveres af klimaforandringerne. På den baggrund foreslår Klima-, Energi-, og

Forsyningsministeriet, at der indføres krav om, at virksomhederne skal vurdere de risici

mod deres infrastruktur, der er forbundet med naturkatastrofer og ekstreme vejrforhold,

som klimaforandringerne intensiverer. Således foreslås det, at virksomhedernes

sikringsforanstaltninger skal minimere risikoen for hændelser ved at sikre, at deres anlæg

og kritiske systemer har lav sårbarhed gennem katastroferisikoreduktions- og

klimatilpasningsforanstaltninger. Kravet er således en udmøntning af CER-direktivets krav

til samme.

Virksomhedernes sikringsforanstaltninger skal derudover understøtte, at anlæg og

forsyningskritiske systemer beskyttes mod uautoriseret adgang. Den fysiske sikring af

anlæg og kritiske systemer skal medvirke til at forsinke eller besværliggøre uautoriseret

adgang inden for rammerne af sektoransvaret.

Det foreslås, at virksomhederne på

baggrund af egne risikovurderinger etablerer den nødvendige fysisk sikring i form af

passende perimetersikring rund om anlægget, skalsikring af selve anlægget og

cellesikring af udvalgte rum eller komponenter i anlægget.

Det betyder, at virksomhederne vil skulle sikre, at de får en alarm, hvis nogen forsøger

uautoriseret at tilgå deres anlæg, bygninger og installationer. Virksomheden vil skulle

kunne verificere, at der er tale om forsøg på uautoriseret adgang, samt kunne alarmere

vagtselskaber, politi eller lignende afhængig af karakteren af uautoriseret adgang.

Både

detektion, verifikation og alarmering vil skulle ske hurtigt og kvalificeret.

Med henblik på at sikre sammenhæng mellem den logiske og fysisk sikring af

energiinfrastrukturen foreslås det, at der stilles krav om at net-værksudstyr, der ikke i sig

selv er forsyningskritisk, men som giver mulighed for logisk adgang til det forsyningskritiske

miljø, skal have fysisk sikring. Dette krav skal medvirke til at minimere risikoen for, at

uvedkommende kan få adgang til net- og informationssystemer med betydning for

leveringen af tjenesten gennem netværksudstyret placeret på andre lokationer.

Tilstrækkelig fysisk sikring kan bidrage til at minimere konsekvenserne af uautoriseret

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

adgang. I den sammenhæng foreslås det, at der stilles krav om, at virksomhederne skal

være i stand til at detektere og alarmere.

Derudover fordres det, at virksomhederne har

etableret procedurer for

hændelseshåndtering,

som sikrer at deres anlæg og kritiske systemer er i stand til at

videreføre forretningen eller hurtigst muligt komme på fode igen. Det foreslås derfor, at

beredskabsplanlægningen skal indeholde planer og procedurer for, hvordan de

reagerer på en sådan alarm.

Det foreslås desuden, at de nuværende krav til

sikringsplaner og genopretning i vidt omfang videreføres.

Commented [BK14]:

Vigtige områder. Godt formulerede

krav.

Fuld støtte herfra

§ 8+9 Cybersikkerhed

Cybersikkerhedsforansaltninger

For at sikre tilstrækkelig og hurtig reetablering efter en hændelse er det centralt, at

virksomheden har

backupstyring,

backup fungerer som virksomhedens livslinje i

tilfælde af fx et cyberangreb,

hvor virksomheden har mistet data. Idet nedetid typisk er

kritisk i energisektoren, er genoprettelse af systemer fra backup, samt procedurer for

hvordan man sikrer netværket mod yderligere kompromittering, essentiel. Det foreslås

derfor, at der stilles krav til virksomhederne om at have backup-styring. Derudover foreslås

det, at virksomhederne skal have en

logpolitik

for hvilke aktiviteter og datastrømme, der

skal logges, samt have etableret tekniske værktøjer, der foretager den relevante logning,

Helt enig netværket, således at man er i stand til at opdage uregelmæssigheder i net- og

informationssystemer i realtid.

Commented [BK15]:

Vigtige områder. Godt formulerede

krav.

Fuld støtte herfra

Netværkssikkerhed

Det foreslås, at der vil blive stillet krav til virksomhedernes netværkssikkerhed, herunder at

virksomhederne skal indføre passende netværkssegmentering,

der opdeler net- og

informationssystemer i netværk eller zoner ud fra en vurdering af systemernes relationer og

funktioner. Gennem segmentering sikrer virksomhederne sig, at de kritiske dele af

netværket bliver adskilt fra fx internettet. På den måde sikrer virksomheden sig bedre imod,

at et angreb ikke spreder sig og dermed påvirker leveringen af tjenesten.

For de mere

forsyningskritiske virksomheder foreslås det, at segmenteringen skal være fysisk.

Med henblik på at understøtte netværkssikkerheden foreslås det desuden, at

virksomhederne skal have overblik og styring over arkitektur og datatrafik, herunder

eventuelle integrationspunkter, internet-vendte enheder og firewall-regler.

Med den foreslåede ordning vil der blive stillet krav til virksomhedernes brug af fjernadgang

til net- og informationssystemer med betydning for leveringen af tjenesten. Det er blevet

mere udbredt at benytte fjernadgange til at tilgå net- og informationssystemer, og det kan i

mange tilfælde også være med til at højne sikkerheden. Denne udvikling bevirker imidlertid,

at angrebsfladen vokser, hvorfor det foreslås, at der bl.a.

stilles krav om, at fjernadgang

til virksomhedernes net- og informationssystemer gør brug af

multifaktorgodkendelsesløsninger.

Samtidig foreslås det, at

fjernadgang til

forsyningskritiske kontrolrum kun må ske under specifikke forudsætninger såsom

kryptering, tidsbegrænset og personlige adgange. På den måde etableres der sikre

procedurer for, hvordan fx leverandører får adgang til de kritiske systemer.

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Derudover foreslås det, at

datatrafik på virksomhedens trådløse netværk skal være

krypteret med en tidssvarende løsning.

Det foreslås således, at der kan fastsættes

regler om kryptering og politikker og procedurer, der skal understøtte, at virksomhedens

net- og informationssystemer behandles med den nødvendige fortrolighed, og at risikoen

for kompromittering minimeres. Virksomhederne vil ligeledes skulle forholde sig til

beskyttelse på mobile enheder.

Dette kan være på fx PC, mobiltelefoner og tablets. Dette

krav stilles ud fra en betragtning om, at beskyttelse på mobile enheder er et væsentligt

element for virksomhedernes samlede sikkerhed. Konkret foreslås det at der stilles krav

om, at mobile enheder bl.a. er adgangs-kodebeskyttet, softwareopdateret og efter relevans

antivirusbeskyttet.

Commented [BK16]:

Helt enig.

Området om hvordan man fysisk segregerer netværk skal nok

uddybes, for at sikre det rette niveau af segregering.

Outsourcing

I den nuværende regulering stilles der krav om ejerskab af data, men der stilles ikke krav til

hvem og hvor, outsourcingen sker til. I direktiverne sættes der nye krav til virksomhedernes

forsyningskædesikkerhed og leverandørstyring, men der sættes ikke krav til placeringen af

drift af net- og informationssystemer. Den foreslåede ordning går således videre end

direktiverne, idet der vil blive stillet krav om, at

net- og informationssystemer af

betydning for leveringen af tjenesten på nationalt og europæisk niveau er underlagt

EU/EØS-jurisdiktion,

og at der ikke skabes afhængigheder, som kan sætte leveringen af

tjenesten under pres. Dette kan fx være i tilfælde af en ændret geopolitisk situation.

Formålet er bl.a., at det er EU/EØS-regulering – og dermed ikke andre landes lovgivning –

der regulerer adgang til og drift af net- og informationssystemer med betydning for

leveringen af tjenesten.

Commented [BK17]:

Helt enig

§ 10 Koordinerende og operative opgaver (ENERGINET)

Ingen kommentar

§ 11 Sektorberedskabsniveauer + -foranstaltninger

Ingen kommentar

Kapitel 4

§ 12+13+14+15 Underretningspligt

Underretning

3.3.3 Den foreslåede ordning

Det foreslås, at der kan fastsættes nærmere regler om underretning og indrapportering af

hændelser. Efter forslået vil de nærmere regler gennemføre NIS 2-direktivets artikel 23 om

hændelsesrapporteringer og CER-direktivets artikel 15 om kritiske enheders

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

underretningspligt. Med bemyndigelsen kan der således fastsættes nærmere regler for, til

hvem underretning skal ske, hvornår og hvor udførligt underretning skal ske. Desuden kan

der fastsættes nærmere regler for, hvilke hændelser der skal indrapporteres.

Det foreslås herudover i overensstemmelse med artikel 23, stk. 1, 2. pkt., i NIS 2-direktivet,

at ministeren kan fastsætte nærmere regler om, at virksomheder skal underrette

modtagerne af deres tjenester om væsentlige hændelser, der sandsynligvis vil påvirke

leveringen af deres tjenester negativt. Der kan endvidere fastsættes regler om, at

virksomheder skal oplyse modtagerne af deres tjenester, som potentielt er berørt af en

væsentlig hændelse, om eventuelle foranstaltninger eller modforholdsregler, som

modtagerne kan træffe som reaktion på den pågældende trussel og eventuelt også oplyse

om selve truslen.

Endelig foreslås det, at Klima-, Energi- og Forsyningsministeriet under visse betingelser

kan informere offentligheden om den væsentlige hændelse eller kræve, at virksomheden

gør det. I tilfælde, hvor hændelsen berører flere samfundsvigtige sektorer, herunder

eventuelt også sektorer uden for lovens anvendelsesområde eller hvor der er tale om en

hændelse i en anden EU-medlemsstat, vil det være Center for Cybersikkerhed i centerets

funktion som CSIRT og centralt kontaktpunkt, der vil kunne informere offentligheden om

den væsentlige hændelse.

Forud for orientering af offentligheden høres virksomheden, der har underrettet om

hændelsen, herunder med henblik på vurdering af, hvilke oplysninger der må betragtes

som fortrolige. Ved overvejelse om orientering af offentligheden om en hændelse skal det

sikres, at forvaltningslovens § 27 om offentligt ansattes tavshedspligt iagttages. Dette

omfatter bl.a. hensynet til enkeltpersoners private forhold, forretningshemmeligheder samt

hensynet til forebyggelse, efterforskning og forfølgning af lovovertrædelser.

Der sikres også muligheden for, at personer og virksomheder, der ikke ellers er omfattet af

lovens anvendelsesområde, frivilligt kan underrette klima-, energi- og forsyningsministen

om hændelser, der har betydning for energisektoren.

Der henvises i øvrigt til bemærkninger til de foreslåede §§ 12-15.

Commented [BK18]:

Kapitel 5

§ 16 Sikkerhedsgodkendelser og Baggrundskontrol

3.4.3. Den foreslåede ordning

Som anført ovenfor vurderer Klima-, Energi- og Forskningsministeriet, at CER-direktivets

minimumskrav om baggrundskontrol ikke er tilstrækkeligt til at sikre den fornødne

personelsikkerhed i energisektoren.

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det følger derfor af den foreslåede § 16, stk. 1, at klima-, energi- og forsyningsministeren

efter forhandling med justitsministeren kan fastsætte regler om sikkerhedsgodkendelse af

personer i energisektoren, der har direkte adgang til at påvirke forsyningen i

energisektoren, herunder regler om ansøgning om, betingelser for og meddelelse og

tilbagekaldelse af sikkerhedsgodkendelser, jf. lovforslagets § 16, stk. 1.

Personer med direkte adgang til at påvirke forsyningen i energisektoren kan f.eks.

være ansatte og konsulenter med væsentlige fysiske eller logiske adgange og

rettigheder, herunder bl.a. fysisk adgang til virksomhedens kontrolrum eller

virksomhedens forsyningskritiske anlæg, eller domænerettigheder eller lignende

privilegerede rettigheder til virksomhedens kritiske systemer og netværk.

Det følger derfor af den foreslåede § 16, stk. 2, at klima-, energi- og forsyningsministeren

efter forhandling med justitsministeren kan fastsætte regler om baggrundskontrol af

personer i energisektoren, der:

1) varetager følsomme opgaver i eller til fordel for en virksomhed, navnlig

vedrørende virksomhedens modstandsdygtighed,

2) er bemyndiget til at få direkte adgang eller fjernadgang til virksomhedens

lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med

virksomhedens sikkerhed eller

3) overvejes ansat i stillinger, der indebærer opgavevaretagelse efter nr. 1

og/eller nr. 2.

Den foreslåede bestemmelse i § 16, stk. 2, gennemfører artikel 14, stk. 1, i Europa-

Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske.

enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-

direktivet), hvorefter medlemsstaterne angiver, på hvilke betingelser en kritisk enhed i

behørigt begrundede tilfælde og under hensyntagen til medlemsstatsrisikovurderingen har

tilladelse til at indgive anmodninger om baggrundskontrol af personer, der a) varetager

følsomme opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske

enheds modstandsdygtighed, b) er bemyndiget til at få direkte adgang eller fjernadgang til

en kritisk enheds lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med den

kritiske enheds sikkerhed, c) overvejes ansat i stillinger, der hører under kriterierne i litra a)

eller b).

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Den foreslåede bestemmelse svarer indholdsmæssigt til CER-direktivets artikel 14, stk. 1,

og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Baggrunden for CER-direktivets artikel 14, stk. 1, beskrives i præambelbetragtning nr. 32,

hvoraf det bl.a. fremgår, at risikoen for, at ansatte i kritiske enheder eller deres kontrahenter

misbruger for eksempel deres adgangsret inden for den kritiske enheds organisation til at

skade og forvolde skade, giver anledning til stigende bekymring. Efter den foreslåede

bestemmelse vil klima-, energi- og forsyningsministeren efter forhandling med

justitsministeren kunne fastsætte nærmere regler, der sammen med bestemmelsen vil

skulle gennemføre CER-direktivets artikel 14. Det foreslås, at klima-, energi- og

forsyningsministeren bemyndiges til at fastsætte nærmere regler om, på hvilke betingelser

en virksomhed vil kunne anmode om baggrundskontrol af en person, således at særlige

sektorspecifikke hensyn kan varetages. Det bemærkes i den forbindelse, at gennemførelse

af baggrundskontrol vil ske på grundlag af en anmodning fra virksomheden og forudsætter,

at den pågældende person har meddelt samtykke dertil.

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det forudsættes i øvrigt, at udstedelse af nærmere regler og den efterfølgende administration af

ordningen vil ske i overensstemmelse med kravene i CER-direktivets artikel 14, stk. 2 og 3. Klima-,

Energi- og Forsyningsministeriet vurderer, at den foreslåede ordning vil give mulighed for at sikre

den fornødne personelsikkerhed i hele energisektoren. Der ændres ikke i gældende ordning, hvor

Energistyrelsen kan træffe afgørelser om sikkerhedsgodkendelser for så vidt angår ansatte og

konsulenter i Energinet samt konsulenter som indgår i samarbejdsforhold med Energistyrelsen i

regi af den Nationale Operative Stab eller Lokale Beredskabsstabe efter Lov om Energinet og

Sikkerhedscirkulæret. Der henv

Commented [BK19]:

Denne del forstår vi ikke.

Som vi læser det, så er der ikke fastsat regler i den foreslåede

ordning og Styrelsen har ikke angivet, hvad de mener

niveauet skal være.

I vores optik bør det være standard procedure at

virksomhederne indhenter straffeattest i forbindelse med

ansættelse af personer der vil få adgang til følsomme

oplysninger eller lokationer. Ud fra en sikkerhedsbetragtning

vil virksomheder have hjemmel til dette i dag. Medmindre vi

tager fejl? Dette er en sikkerhedspraksis som virksomheder

der skal ISO 27001 certificeres skal tage stilling til og dermed

bør det også være et krav til selskaber i energisektoren.

Hvornår der er behov for reel sikkerhedsgodkendelse udført

af en myndighed som PET er en anden sag. Som vi ser det

kunne det evt. komme på tale for centrale personer som

f.eks:

Kontrolrumspersonale (driftvagter)

IT-sikkerhedspersonale

IT driftspersonale

Ledere i netselskaberne

IT-sikkerhedspersonale

IT driftspersonale

Medarbejdere med berøring til beredskabsarbejdet

Økonomiansatte og ledere

Men dette afhænger meget af virksomhedens størrelse og

betydning for sektoren.

Derudover bør det overvejes i forbindelse med denne

lovgivning, hvilke krav der skal stilles i forbindelse med

baggrundskontrol til eksterne medarbejdere der har lignende

roller og adgange som de interne medarbejdere nævnt

ovenfor.

Commented [BK20R19]:

I øvrigt mener vi at det bør

stilles som krav at der gennemføres baggrundskontrol /

straffeattest kontrol og lignende som det foreslås her. I den

foreslåede ordning er formuleringen at ”den foreslåede

ordning vil give mulighed for at sikre den fornødne

personalesikkerhed i hele energisektoren”.

Hvis vi mener det er et vigtigt tiltag for at sikre høj

informationssikkerhed, så bør det stilles som krav og ikke

være en mulighed.

Commented [BK21]:

Helt ok - Virksomhederne skal

prioritere området og det sker ikke uden et respektabelt

tilsyn.

§ 17 + 18 Gebyrer

Ingen kommentarer

§ 19 + 20 Tilsyn

3.6.3. Den foreslåede ordning

Det foreslås at klima-, energi- og forsyningsministeren fører tilsyn med virksomheder i

energisektoren.

Det foreslås at Klima-, Energi- og Forsyningsministeriet for at opfylde deres

tilsynsforpligtelser kan anvende en række tilsyns- og kontrolforanstaltninger, såsom at føre

tilsyn og kontrol hos virksomhed, foretage regelmæssige tilsyns- og kontrolbesøg samt ad-

hoc tilsyn. Desuden er der hjemmel til at få udleveret oplysninger og få adgang til relevante

data og dokumenter.

Den foreslåede ordning vil medføre, at ministeren kan fastsætte nærmere regler om, at

tilsynet kan ske ved et fysisk tilsyn med fremmøde hos virksomheden, eller om at tilsynet

kan ske som et eksternt tilsyn. Ministeren vil også kunne fastsætte nærmere regler om

hyppigheden af tilsyn.

Den foreslåede ordning vil derudover kunne anvendes til at fastsætte nærmere regler om,

den geografiske og tidsmæssige udstrækning af tilsyn, så længe tilsynet er proportionelt

med en virksomheds betydning for forsyningssikkerheden. Det foreslås desuden at

ministeren kan fastsætte nærmere regler om tilsyn og kontrol af virksomhederne såsom

metoder og varigheden, som fremtidssikrer loven, således at et tilpas grundigt tilsyn kan

føres hos virksomhederne i energisektoren.

§ 21+ 22 + 23 + 24 Håndhævelse

3.7.3. Den foreslåede ordning

Det forslås, at klima-, energi- og forsyningsministeren kan pålægge at forhold der ikke lever

op til lovens krav bringes i orden. Påbud kan ske på baggrund af tilsyn eller, hvis ministeren

på anden måde bliver bekendt med, at pligterne efter loven ikke efterleves. Ministeren kan

blive bekendt med beredskabsforhold gennem anden kommunikation med den

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

pågældende virksomhed, kommunikation om den pågældende virksomheder eller tilsyn,

som føres efter anden regulering m.v.

Der kan være tilfælde, hvor Energistyrelsen ved tilsyn bliver opmærksom på væsentlige

afvigelser i virksomhedernes risikostyring og sikkerhedsforanstaltninger. Dette kan bl.a.

være i tilfælde af, at virksomheden ikke retter op på forhold, der har givet anledning til

væsentlige påbud, eller hvor det vurderes, at en virksomheds risikovurderinger vedrørende

risici for forsyningen er mangelfulde. Det foreslås derfor, at Energistyrelsen i særlige

tilfælde kan pålægge virksomheden ekstern beredskabsrevision. I sådanne tilfælde foreslås

det desuden, at Energistyrelsen er ansvarlig for at beskrive rammerne for revisionen samt

vælge hvilke revisorselskaber, der kan benyttes.

Det foreslås, at den særlige ordning om at forbyde en fysisk person af ledelsen at udøve

ledelsesfunktioner og midlertidig suspension af autorisation, som udgangspunkt bliver

anvendt i de tilfælde, hvor allerede pålagte håndhævelsesforanstaltninger er

utilstrækkelige. Efter den foreslåede ordning, fastsættes der en frist, inden for hvilken

manglerne afhjælpes eller myndighedernes krav efterleves. Efter forslaget bliver

udgangspunktet, hvis de nødvendige tiltag ikke er foretaget inden for den fastsatte frist, at

ministeren kan træffe afgørelse om:

Midlertidigt at suspendere en myndighedsudstedt certificering eller godkendelse

vedrørende dele af eller alle de relevante tjenester, enheden leverer, eller aktiviteter,

der udføres af enheden.

Midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau

eller juridisk repræsentant i enheden at udøve ledelsesfunktioner i den pågældende

enhed.

Det vil i udgangspunktet være en forudsætning, at ordningen først anvendes, når det kan

konstateres at mindre indgribende midler har vist sig utilstrækkelige.

Der foreslås endvidere, at muligheden for at anvende ordningen om suspension og forbud i

helt særlige tilfælde kan anvendes uden forudgående påbud. Det skal være muligt i

tilfælde, hvor ledelsen bevidst eller ved grov uagtsomhed har forsømt deres

beredskabsmæssige forpligtelser i en sådan grad, at der er en overhængende fare for at

virksomheden ved en væsentlig hændelse ikke ville kunne genoprette sine

virksomhedsaktiviteter. Samme mulighed skal være til stede i de tilfælde, hvor ledelsen har

nedprioriteret beredskabsniveauet i en sådan grad, at det kan have nationale

forsyningsmæssige konsekvenser.

Det foreslås, at sådanne midlertidige suspensioner eller midlertidige forbud mod, at fysiske

personer må udøve ledelsesfunktioner, kun kan anvendes, indtil virksomheden træffer de

nødvendige foranstaltninger til at afhjælpe de mangler eller opfylde de krav, som gav

anledning til, at foranstaltningerne blev anvendt.

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det foreslås at håndhævelsesforanstaltninger der fratager en virksomhed deres

autorisation eller forbyder et medlem af ledelsen at udføre ledelsesopgaver, kan forlanges

indbragt for domstolene. Desuden foreslås det, at domstolene kan bestemme at sagsanlæg

har opsættende virkning.

Det foreslås, at der som led i implementeringen af CER og NIS 2-direkti-verne indsættes

sanktionsbestemmelser i loven med det formål, at alle materielle og processuelle krav i

loven eller regler udstedt i medfør af loven, som ikke bliver overholdt kan medføre

bødestraf.

Det foreslås således, at den, der

1) overtræder §§ 6-10, § 11, stk. 2, §§ 12 og 13,

2) undlader at efterkomme en afgørelse efter § § 23, stk. 1, nr. 1 eller 2,

3) undlader at efterkomme påbud efter § 21 og § 22,

4) undlader at efterkomme krav efter § 14, stk. 2 eller § 19, stk. 2, nr. 5-7,

5) hindrer myndighederne i at føre kontrol efter bestemmelserne i 19, stk. 2, nr. 1-4,

6) meddeler klima-, energi- og forsyningsministeren eller Energiklagenævnet

urigtige eller vildledende oplysninger eller efter anmodning undlader at afgive

oplysninger, kan straffes med bøde.

Det foreslås i den forbindelse, at der ikke anvendes administrative bøder, men at bøder

udstedes og udmåles i det almindelige straffeprocessuelle system.

Det foreslås, at bøder vil kunne pålægges fysiske personer og selskaber m.v. (juridiske

personer), i det omfang de omfattes af lovens anvendelsesområde eller de allerede

gældende bestemmelser i straffeloven.

NIS 2-direktivet indeholder ikke særlige forudsætninger for så vidt angår bødeniveauet for

manglende efterlevelse af forpligtelser i direktivet ud over artikel 21 (foranstaltninger til

styring af cybersikkerhedsrisici) og artikel 23 (rapporteringsforpligtelser). Der stilles ikke

særlige krav til bøde-størrelse efter CER-direktivet, men det foreslås at der i lovforslaget

stilles bødekrav svarende til dem i NIS 2-direktivet til bestemmelserne som implementerer

artikel 13 (kritiske enheder modstandsdygtighedsforanstaltninger) og artikel 15

(underretning om hændelser).

Det forudsættes i overensstemmelse med NIS 2-direktivets artikel 34, stk. 4 og 5, at

bødens størrelse for så vidt angår overtrædelse af bestemmelserne i §§ 6-10, § 11, stk. 2,

§§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr. 1-7, §§ 21, 22 og § 23, stk. 1, nr. 1 eller 2 samt

reglerne udstedt i medfør af §§ 6-10, § 11, stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr.

1-7, §§ 21 og 22 og § 23, stk. 1, nr. 1 eller 2 maksimalt vil udgøre et beløb svarende til

10.000.000 euro eller 2 pct. af virksomhedens samlede globale årsomsætning i det

foregående regnskabsår, alt efter, hvad der er højest.

Commented [BK22]:

Fin beskrivelse af konsekvenserne

ved ikke at følge den kommende lovgivning.

Det er helt nødvendigt.

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Der forudsættes i overensstemmelses med CER-direktivets artikel 22, at sanktionerne skal

være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Da

fysisk sikkerhed og cybersikkerhed er tæt forbundet foreslås det at bødestørrelsen for

overtrædelsen af bestemmelserne i §§ 6-10, § 11, stk. 2, §§ 12 og 13, § 14, stk. 2, § 19,

stk. 2, nr. 1-7, §§ 21, 22 og § 23, stk. 1, nr. 1 eller 2 samt reglerne udstedt i medfør af §§ 6-

10, § 11, stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr. 1-7, §§ 21

og 22 og § 23, stk. 1, nr. 1 eller 2 skal følge samme bødestørrelse som den der er angivet

efter NIS 2-direktivets artikel 34, stk. 4 og 5.

Der foreslås ikke i tilknytning til øvrige bestemmelser end de specifikt angivne ovenfor

anlagt særlige forudsætninger for så vidt angår udmålingen af bødernes størrelse. Det

samme gælder eventuel udmåling af bøder til fysiske personer, hvor det dog forudsættes,

at der tages behørigt hensyn til direktivets forudsætninger om at lægge vægt på det

generelle indkomstniveau og personens økonomiske stilling.

Bøderne vil kunne pålægges i tillæg til håndhævelsesforanstaltningerne i de foreslåede §§

21-23.

Ved afgørelse om at politianmelde et forhold, ved pålæg af en bøde og ved udmåling af

bødens størrelse forudsættes det, at der lægges vægt på de i afsnit 3.7.2. beskrevne

hensyn.

Det foreslås endvidere, i overensstemmelse med NIS 2-direktivet, at hvor der er pålagt en

bøde for overtrædelse af databeskyttelsesforordningen eller databeskyttelsesloven, kan der

ikke pålægges en bøde for overtrædelse af denne lov eller regler udstedt i medfør af loven,

hvis overtrædelsen skyldes den samme adfærd.

Commented [BK23]:

Udmærket og tydelig beskrivelse af

konsekvenserne, kravene og processerne forbundet med at

håndhæve lovgivningen.

Fuld opbakning herfra

§ 25 Gensidig bistand om cyber

Ingen kommentarer

§ 26 + 27 + 28 + 29 + 30 Fortrolighed, udveksling af

oplysninger og digital kommunikation

Ingen kommentarer

§ 31 + 32 + 33 + 34 + 35 Andre bestemmelser

Ingen kommentarer

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

§ 36 Straf

Ingen kommentarer

Gengivelse af det foreslåede indhold af § 6 stk. 2

§6, stk. 2

1) Ledelsens ansvar

Det foreslås i § 6, stk. 2,

nr. 1,

at klima-, energi- og forsyningsministeren fastsætter nærmere

regler om ledelsesansvar, herunder krav om godkendelse af virksomhedens risiko- og

sårbarhedsvurdering samt beredskabsplaner, tilsynsrapporter og leverandørkontrakter.

Ved de nærmere regler om ledelsesansvar, forventes det, at vil der blive stillet krav til, at

ledelsen aktivt forholder sig i virksomhedens beredskab og niveau af modstandsdygtighed. På

baggrund af bestemmelsen, forventes der fastsat nærmere regler om, at den enkelte

virksomheds ledelse kontinuerligt godkender virksomhedens beredskabsplaner og risiko- og

sårbarhedsvurderinger, herunder bl.a. godkender foranstaltninger for styring af

cybersikkerhedsrisici. Den foreslåede ordning vil medføre, at virksomhedens ledelse har et

samlet og ajourført billede af beredskabet samt kendte og mulige risici mod produktion,

forsyning eller levering af virksomhedens tjenester.

Den foreslåede bestemmelse gennemfører NIS 2-direktivets artikel 20, stk. 1, hvorefter

medlemsstater sikrer, at de væsentlige og vigtige enheders ledelsesorganer godkender de

foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet og fører tilsyn

med gennemførelsen.

I den foreslåede bestemmelse lægges der op til, at ledelsen både gøres ansvarlig for

foranstaltninger til styring af organisatorisk sikkerhed, fysisk sikring og cybersikkerhed. Dette er

en udvidelse af NIS 2-direktivets artikel 20, idet denne udelukkende omhandler styring i forhold

til cybersikkerhedsrisici. Denne udvidelse i forhold til, hvad der er indeholdt i NIS 2-dir-ketivet

foreslås ud fra en betragtning om, at konsekvensen ved afbrud i le-veringen af virksomhedens

tjeneste og omkostninger ved genopretning er lige kritiske, uagtet om dette skyldes

organisatoriske forhold, manglende fysisk sikring eller cybersikkerhed. Endvidere er der

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

indbyrdes forbindelser mellem organisatorisk beredskab, fysisk sikring og cybersikkerhed, og

det kan i praksis være svært at adskille risici inden for disse områder.

Klima-, Energi- og Forsyningsministeren forventes endvidere på baggrund af bestemmelsen, at

fastsætte nærmere regler, der præciserer, at ledelsen har ansvar for at inddrage

sikkerhedshensyn i forbindelse med beslutninger der vedrører

leverandørkontrakter.

Ved

leverandørkontrakter forstås i denne sammenhæng nye projekter og leverandør- samt

serviceaftaler.

Med den foreslåede ordning vil det sikres, at virksomheder vil skulle for-holde sig til trusler og

sårbarheder i forbindelse med f.eks.

anlægsprojekter

eller

systemerhvervelser,

som har

mulighed for at påvirke leveringen af virksomhedens tjenester. Det forventes desuden, at der

fastsættes nærmere regler om, at ledelsen skal tage stilling til passende foranstaltninger, der

skal mitigere identificerede risici forbundet med de konkrete projekt eller erhvervelse.

2) Viden og kundskaber

Det følger af den foreslåede § 6, stk. 2,

nr. 2,

at klima-, energi- og forsyningsministeren

fastsætter nærmere regler om, at ledelsesorganer tilegner sig

viden og kundskaber inden for

risiko- og sårbarhedsstyring.

Det forventes på baggrund af den foreslåede bestemmelse, at der

vil blive fastsat nærmere regler om, at ledelsen opbygger viden og kompetencer til at træffe

kvalificerede beslutninger vedrørende cybersikkerhed og beredskab. Den foreslåede ordning vil

medføre, at det vil være ledelsens ansvar at etablere en sikkerhedskultur og sikre uddannelse i

hele organisationen.

Den foreslåede bestemmelse gennemfører dele af NIS 2-direktivets artikel 20, stk. 2, hvorefter

medlemmerne af væsentlige og vigtige enheders ledelsesorganer er forpligtet til at følge kurser,

der gør ledelsen i stand til at identificere risici og vurdere metoderne til styring af

cybersikkerhedsrisici. Den foreslåede bestemmelse lægges der dog op til, at ledelsen både skal

kunne gøres i stand til at identificere risici forbundet med organisatorisk sikkerhed, fysisk

sikring og cybersikkerhed. Dette er en udvidelse af NIS 2-direktivets artikel 20, idet denne

udelukkende omhandler uddannelse og kurser vedrørende styring i forhold til

cybersikkerhedsrisici.

3) Identifikations og adgangskontrolpolitikker

Det følger af den foreslåede § 6, stk. 2,

nr. 3,

at klima-, energi- og forsyningsministeren

fastsætter nærmere regler om identifikations- og adgangs-kontrolpolitikker for beskyttelse

mod uautoriseret adgang.

Den foreslåede bestemmelse gennemfører dele af CER-direktivets artikel 13, stk. 1, litra b,

hvorefter kritiske enheder skal sikre tilstrækkelig fysisk beskyttelse af deres lokaler og kritiske

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

infrastruktur under hensyntagen til f.eks. adgangskontrol. Derudover gennemfører

bestemmelsen artikel 13, stk. 1, litra e, hvorefter kritiske enheder skal sikre passende

medarbejder-sikkerhedsstyring såsom fastlæggelse af adgangsrettigheder til lokaler, kritisk

infrastruktur og følsomme oplysninger. Desuden gennemfører den foreslåede bestemmelse

NIS 2-direktivets artikel 21, stk. 2, litra i, hvorefter vigtige og væsentlige enheder skal træffe

foranstaltninger om bl.a. personalesikkerhed og adgangskontrolpolitikker.

Det forventes på baggrund af den foreslåede bestemmelse, at der fastsættes nærmere regler

om, at virksomhederne skal have politikker og procedurer for identifikation af personel med

adgang til virksomhedens anlæg. Det forventes også, at der fastsættes regler for virksomheden

skal have politikker og procedurer for at identificere fysiske områder og inddele adgang til disse

områder i zoner, som del af en samlet tilgang til fysisk sikring med henblik på at kunne

identificere og verificere hvilke personer, der må opholde sig i og omkring virksomhedens

anlæg.

Ministeren forventes på endvidere baggrund af bestemmelsen, at fastsætte nærmere regler

om, at virksomheden skal kunne etablere adgangsstyring baseret på roller og arbejdsbetinget

behov med henblik på at sikre klart definerede regler for, hvilke medarbejdere eller

medarbejdergrupper, der kan tilgå forskellige dele af et anlæg eller net- og

informationssystemer. På den baggrund forventes, der eksempelvis fastsat nærmere regler om,

at virksomhederne skal have procedurer for hvordan adgange til kritiske anlæg og net- og

informationssystemer tildeles, ændres og lukkes for både virksomhedens egne medarbejdere

såvel som for gæster, konsulenter, eksterne samarbejdspartnere og leverandører.

4) Beredskabsroller

Det følger af den foreslåede § 6 stk. 2,

nr. 4,

at klima-, energi- og forsyningsministeren

fastsætter nærmere regler om udpegelse af personer til at varetage specifikke

beredskabsroller.

Den foreslåede bestemmelse gennemfører CER-direktivets artikel 13, stk. 3, hvorefter

medlemsstaterne sikrer, at hver kritisk enhed udpeger en forbindelsesofficer eller tilsvarende

som kontaktpunkt for de kompetente myndigheder.

Som en udvidelse af CER-direktivets krav foreslås det med dette lovforslag, at der også kan

fastsættes regler om roller vedrørende cyberberedskabet.

Den nødvendige beredskabsplanlægning kræver, at der er klart definerede roller og ansvar for

de involverede. Det forventes, at gældende ret for udpegelsen af beredskabsroller videreføres i

vidt omfang. Dog ændres betegnelsen it-beredskabsansvarlig til cyberberedskabskoordinator,

som er et kontaktpunkt for kommunikation med myndigheder. Dette er ikke den samme rolle

som det operationelle kontaktpunkt, som forventes at være døgnbemandet. På baggrund af

bestemmelsen forventes det således, at virksomhederne bl.a. ville skulle udpege en

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

beredskabskoordinator,

cyberberedskabskoordinator,

operationelt kontaktpunkt

og en

eller flere

sikringsansvarlige medarbejdere.

5) Politikker for informations(system)sikkerhed

Det følger af den foreslåede § 6, stk. 2,

nr. 5,

at klima-, energi- og forsyningsministeren

fastsætter nærmere regler om

politikker for informations-systemsikkerhed.

Den foreslåede

bestemmelse gennemfører dele af NIS 2-direktivets artikel 21, stk. 2, litra a, hvorefter vigtige

og væsentlige enheder skal have politikker for informationssystemsikkerhed.

Det forventes på baggrund af den foreslåede bestemmelse, at der fastsættes nærmere regler

om at virksomheden som del af organisatorisk modstandsdygtighed skal udarbejde en

informationssystemsikkerhedspolitik, der sætter en overordnet ramme for beskyttelse af

virksomhedens informationer, herunder at virksomheden selv har forhold sig til relevante

aktiviteter for beskyttelse af anvendte net- og informationssystemer.

Det foreslås, at der differentieres i hvilke virksomheder, der skal efterleve den foreslåede § 6,

stk. 2, nr. 5, således at de mere forsyningskritiske virksomheder skal følge flere elementer af

kravene. Dette er ud fra en betragtning om, at en forstyrrelse af disse virksomheders tjenester

vil have større betydning for samfundet samt ud fra en betragtning om, at der bør være

proportionalitet mellem sikkerhedseffekten og omkostningen ved kravene.

6) Politiker for risiko og sårbarhedsvurderinger

Det følger af den foreslåede § 6, stk. 2,

nr. 6,

at klima-, energi- og forsy-ningsministeren

fastsætter nærmere regler om

politikker for og udarbejdelse af risiko- og

sårbarhedsvurderinger,

som omfatter nyindkøb, projekter og etablering af net- og

informationssystemer og anlæg

Den foreslåede bestemmelse gennemfører dele af NIS 2-direktivets artikel 21, stk. 2, litra a,

hvorefter vigtige og væsentlige enheder skal have politikker for risikoanalyse. Desuden

gennemfører den foreslåede bestemmelse CER-direktivets artikel 12, stk. 1-2, hvorefter kritiske

enheder foretager en risikovurdering, for at vurdere alle relevante risici, der kunne forstyrre

leveringen af deres væsentlige tjenester.

Som en udvidelse af NIS 2-direktivets krav foreslås det med dette lovforslag, at der også

fastsættes regler om, at virksomheder også skal foretage risiko- og sårbarhedsvurderinger

under hele aktivets livscyklus såsom i forbindelse med indkøb, projekter og nyetableringer.

Ministeren forventes endvidere på baggrund af bestemmelsen, at fastsætte nærmere regler

om, at virksomheden skal udarbejde risiko- og sårbarheds-vurderinger, som identificerer og

vurderer risici og sårbarheder i forhold til virksomhedens kontinuitet.

Det forventes endvidere, at der fastsættes nærmere regler om, at risiko- og

sårbarhedsvurderingerne og handlingsplanerne skal gennemgås med fast interval eller når nye

risici, trusler eller sårbarheder erkendes samt ved væsentlige ændringer af virksomhedens

organisation, kritiske systemer eller infrastruktur eller ved ændringer i trusselsbilledet. Det

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

foreslås samtidig, at vurderingen af cybersikkerhedsrisici, organisatoriske risici og fysiske risici

kobles sammen, ved at virksomhedernes opdateringer af deres risiko- og

sårbarhedsvurderinger af henholdsvis virksomhedens cybersikkerhed og fysiske sikring følger

samme kadence for udarbejdelse og indsendelse til Energistyrelsen.

De foreslåede bestemmelser viderefører i vidt omfang gældende ret for udarbejdelse af risiko-

og sårbarhedsvurdering. Det forventes således, at der fastsættes nærmere regler om, at

virksomhederne skal udarbejde en vurdering af virksomhedens risici og sårbarheder på

baggrund af risiko- og sårbarhedsscenarier, som Energistyrelsen udarbejder.

Som noget nyt forventes der fastsat nærmere regler om at som led i udarbejdelsen af risiko- og

sårbarhedsvurderinger, at virksomhederne skal udarbejde en politik og have en proces for

risikostyring, der skal identificere og vurdere de væsentligste risici for virksomhedens

organisation, kritiske net- og informationssystemer og infrastruktur med henblik på

opretholdelsen af leveringen af deres tjeneste.

På baggrund af bestemmelsen forventes der udstedt nærmere regler om, at virksomhedernes

processer for risikostyring skal forholde sig til de væsentligste trusler og sårbarheder og

forankres i organisationen således at virksomhedsledelsen forholder sig til både processerne

for risikostyring, de identificerede risici, samt de foranstaltninger til styring af risici, som

virksomheden iværksætter på baggrund heraf.

Det foreslås, at der differentieres i hvilke virksomheder, der skal efterleve den foreslåede § 6,

stk. 2, nr. 6, således at de mere forsyningskritiske virksomheder skal følge flere elementer af

kravene.

Dette er ud fra en betragtning om, at en forstyrrelse af disse virksomheders tjenester vil have

større betydning for samfundet samt ud fra en betragtning om, at der bør være

proportionalitet mellem sikkerhedseffekten og omkostningen ved kravene.

7) Forsyningskædesikkerhed

Det følger af den foreslåede § 6, stk. 2,

nr. 7

at klima-, energi- og forsyningsministeren

fastsætter nærmere regler om

forsyningskædesikkerhed,

herunder sikkerhedsrelaterede

aspekter vedrørende forholdene mellem virksomheden og dens direkte leverandører eller

tjenesteudbydere.

Den foreslåede bestemmelse gennemfører NIS 2-direktivets artikel 21, stk. 2, litra d, hvorefter

væsentlige og vigtige enheder træffer foranstaltninger for forsyningskædesikkerhed, herunder

sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens

direkte leverandører eller tjenesteudbydere. Den foreslåede bestemmelse gennemfører

desuden NIS 2-direktivets artikel 21, stk. 2, hvorefter væsentlige og vigtige enheder tager

hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder.

På baggrund af den foreslåede bestemmelse fastsætter ministeren nærmere regler om, at

virksomhederne skal etablere den nødvendige leverandørstyring, herunder at virksomhederne

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

skal iværksætte sikkerhedsrelaterede foranstaltninger til styring af risici i virksomhedens

leverandørkæder.

Den foreslåede bestemmelse vil indebære, at virksomhederne skal sikre, at leverandører, der

varetager opgaver i relation til anlæg, komponenter og net- og informationssystemer med

betydning for leveringen af tjenesten, overholder samme krav for opretholdelse af

virksomhedens modstandsdygtighed, som virksomheden er underlagt efter den foreslåede lov.

Det følger heraf, at

virksomhederne skal have politikker og procedurer for kontrol af, at

leverandørerne efterlever kravene og opretholder det nødvendige sikkerhedsniveau

forbindelse med udførelsen af opgaven.

Som følge af bestemmelsen fastsætter ministeren nærmere regler om, at virksomhederne skal

vurdere og håndtere de risici, der er forbundet med indgåelse af leverandøraftaler. Dette vil

blandt andet indebære, at virksomhederne inden indgåelse af en aftale samt løbende skal tage

stilling til sikkerhedsrisici forbundet med kritikaliteten af opgaven eller leverancen, hvorvidt der

sker væsentlige forandringer hos leverandøren der kan påvirke leverancen, leverandørernes

villighed til at efterleve kravene i den foreslåede lov og det aktuelle trusselsbillede.

Det foreslås derudover, at ministeren kan fastsætte nærmere regler om, at leverandører, som

varetager opgaver i relation til anlæg, komponenter og net- og informationssystemer eller

leverandører af net- og informationssystemer med betydning for leveringen af tjenesten,

deltager i relevante dele af virksomhedens beredskabsplanlægning. Dette indebærer bl.a., at

ministeren kan fastsætte nærmere regler om, at leverandørerne deltager i virksomhedens

arbejde med risiko- og sårbarhedsvurderinger samt øvelser, der træner de dele af beredskabet,

hvor leverandørerne har betydning for opretholdelse af leveringen af virksomhedens tjenester.

8) Beredskabsplaner og beredskabsplanlægning for håndtering af hændelser

Det følger af den foreslåede § 6, stk. 2,

nr. 8,

at klima-, energi- og forsyningsministeren

fastsætter nærmere regler om beredskabsplaner og bered-skabsplanlægning for håndtering af

hændelser.

Den foreslåede bestemmelse gennemfører CER-direktivets artikel 13, stk. 2, hvorefter

medlemsstaterne sikrer, at kritiske enheder har indført og anvender en plan for

modstandsdygtighed eller et eller flere tilsvarende dokumenter. Derudover gennemfører den

foreslåede bestemmelse elementer af NIS 2-direktivets artikel 21, stk. 2, litra b og c, hvorefter

vigtige og væsentlige enheder skal træffe foranstaltninger, der omfatter håndtering af

hændelser, driftskontinuitet og krisestyring.

Det foreslås, at gældende ret for udarbejdelse og indhold af beredskabsplaner i vidt omfang

videreføres. Det forventes at der fastsættes nærmere regler om, at beredskabsplanerne bl.a.

skal beskrive virksomhedens krise-håndtering, hvordan virksomhedens

krisehåndteringsorganisation aktiveres, etableres og driftes, og hvordan der koordineres og

udsendes information internt og eksternt i virksomheden. Desuden foreslås det, at

virksomhederne skal have metoder til at sikre, at virksomhederne overholder deres

underretnings- og rapporteringsforpligtelser i forbindelse med en hændelse. Beredskabsplanen

skal kunne bruges som en operativ vejledning, når en hændelse bliver varslet eller opstår.

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

9) Øvelsesplanlægning

Det foreslås

§ 6 stk. 2,

nr. 9,

at klima-, energi- og forsyningsministeren fastsætter nærmere

regler om øvelsesplanlægning, herunder

afholdelse af øvelser og træning af

beredskabsforanstaltninger.

Den foreslåede bestemmelse gennemfører CER-direktivets artikel 13, stk. 1, litra f, hvorefter

medlemsstaterne sikrer, at kritiske enheder øger bevidstheden blandt det relevante personale

under hensyntagen til øvelser.

NIS 2-direktivet stiller ikke krav om, at vigtige og væsentlige enheder afholder øvelser. Den

foreslåede bestemmelse går dermed videre end NIS 2-direktivet, idet det foreslås, at der også

fastsættes regler om, at virksomheder også skal afholde øvelser, der træner cyberberedskabet.

Ministeren forventes på endvidere baggrund af bestemmelsen, at fastsætte nærmere regler

om, at det at virksomhederne skal udarbejde en øvelsesplan og afholde øvelser efter nærmere

fastsatte kadencer, med udgangspunkt i virksomhedens beredskabsplaner. Det forventes

endvidere, at der fastsættes nærmere regler om revidering af øvelsesplanen, eksempelvis

mindst en gang om året og i forbindelse med særlige sårbarheder eller væsentlige ændringer i

virksomhedens beredskab. Der forventes også fastsat nærmere regler om, at en evaluering af

en hændelse kan godkendes som en øvelse på øvelsesplanen, hvis hændelsen har afprøvet

konkrete forhold i virksomhedens beredskab og vurderes at have samme værdi, som en øvelse.

Det forventes endelig, at der fastsættes nærmere regler om at virksomheden løbende skal

sikre at medarbejdere modtager den fornødne instruktion og uddannelse i beredskab,

herunder cybersikkerhed samt, at der stilles krav om at virksomheden gennemfører

awarenesstiltag om cybersikkerhed efter en nærmere fastsat kadence.

Den foreslåede bestemmelse viderefører i vidt omfang de gældende ret for

øvelsesplanlægning, herunder afholdelse af øvelser og træning af bered-skabsforanstaltninger,

dog forventes det som noget nyt, at der vil bliver fastsat nærmere regler om indholdet i

øvelsesplanerne, herunder elementer i beredskabet, som skal øves, eksempelvis krisestyring,

mobilisering af ekstra ressourcer og materialer, henholdsvis intern og ekstern

kommunikation, genopretning af forsyning eller sikring af fortsat drift og iværksættelse af

foranstaltninger i henhold til nyt sektorberedskabsniveau.

10) Beredskabstræning, Cybersikkerhedsadfærds- og sikkerhedsuddannelse

Det følger af den foreslåede § 6, stk. 2,

nr. 10,

at klima-, energi- og forsyningsministeren

fastsætter nærmere regler om beredskabstræning, cyber-sikkerhedsadfærd- og

sikkerhedsuddannelse af ansatte i virksomheden.

Den foreslåede bestemmelse gennemfører CER-direktivets artikel 13, stk. 1, litra f, hvorefter

medlemsstaterne sikrer, at kritiske enheder øger bevidstheden blandt det relevante personale

under hensyntagen til bl.a. ud-dannelseskurser og informationsmateriale.

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Desuden gennemfører den foreslåede bestemmelse NIS 2-direktivets artikel 20, stk. 2,

hvorefter ledelsen i vigtige og væsentlige enheder skal tilskynde deres ansatte at følge kurser,

således at de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og

vurdere metoderne til styring af cybersikkerhedsrisici. Bestemmelsen gennemfører også NIS 2-

direktivets artikel 21, stk. 2, litra g, hvorefter vigtige og væsentlige enheder træffer

foranstaltninger om grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.

Det foreslås, at virksomhederne stilles krav om at øge sikkerhedsbevidstheden hos

medarbejderne. Den foreslåede bestemmelse vil medføre, at de medarbejdere, der deltager i

virksomhedens arbejde med beredskabsplanlægning, fysisk sikring og sikkerheden i net- og

informationssystemer, skal have tilstrækkelige færdigheder samt viden til at kunne varetage

deres opgaver.

Det forventes, at der vil blive fastsat nærmere regler om, at medarbejdere har kompetence til

at agere sikkerhedsmæssigt forsvarligt i de opgaver, der skal udføres jf. § 6, stk. 2, nr. 1. Den

gældende regulering af el- og gassektorerne, som stiller krav om at virksomhederne

gennemfører awareness-til-tag om it-sikkerhed, forventes udvidet med krav om at disse tiltag

kan omfatte både cybersikkerhed fx sikker konfigurering af- og test af it-udstyr, netværk og

infrastruktur, cloud-løsninger eller identitets- og adgangsstyring, såvel som årvågenhed i

forhold til fx spionage, uautoriseret adgang, utilsigtet informationsdeling og andre forhold, der

kan kompromittere for-syningssikkerheden. De pågældende tiltag skal baseres på

medarbejderens funktion i virksomheden. Den foreslåede ordning vil sikre, at også

medarbejdere med adgang til og på kritiske anlæg og lokationer, herunder daglig

stationsadgang, sikres tilstrækkelig viden og sikkerhedsbevidsthed.

Ifølge den foreslåede bestemmelse kan dette indebære, at disse medarbejdere i relevant

omfang skal følge uddannelsesforløb. Den foreslåede bestemmelse vil derudover medføre, at

virksomheden skal gennemføre awarenesstiltag om fysisk sikring, cybersikkerhed og

beredskab, der øger den organisatoriske modstandsdygtighed på tværs af virksomheden.

11) Modtage og videreformidle varsler

Det følger af den foreslåede § 6, stk. 2,

nr. 11,

at klima-, energi- og forsyningsministeren

fastsætter nærmere regler om kapacitet til at modtage og videreformidle advarsler om trusler.

Den foreslåede bestemmelse gennemfører elementer af NIS 2-direktivets artikel 21, stk. 2, litra

e, hvorefter væsentlige og vigtige enheder træffer foranstaltninger til håndtering og

offentliggørelse af sårbarheder.

På den baggrund forventes der eksempelvis fastsat nærmere regler om, at virksomheden skal

indrette cyberberedskabet på en måde, der sikrer operationel koordinering af varsler og

alarmer på tværs af virksomhedens forretningsområder og aktiver. Det forventes blandt andet

at indbefatte krav om, at virksomheden skal have metoder til at identificere sårbarheder og

skal organisere et beredskab med evne til at modtage og videreformidle advarsler om trusler

og sårbarheder, der potentielt kan påvirke virksomhedens evne til at levere deres tjeneste.

Med den foreslåede ordning sikres det, at virksomheden både vil kunne modtage varsler fra

samarbejdspartnere, operatører eller øvrige aktører og videreformidle sådanne data og

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

information, som en mitigerende foranstaltning for tjenesten, samt videregive oplysninger til

klima-, energi- og forsyningsministeren, andre myndigheder og relevante samarbejdspartnere,

såsom leverandører og kunder uden unødig forsinkelse.

12) IT-Sikkerhedstjeneste

Det følger af den foreslåede § 6, stk. 2,

nr. 12,

at klima-, energi- og forsyningsministeren

fastsætter nærmere regler om tilmelding til en it-sikkerhedstjeneste.

Den foreslåede bestemmelse gennemfører elementer af NIS 2-direktivets artikel 21, stk. 2, litra

e, hvorefter væsentlige og vigtige enheder træffer foranstaltninger til sikkerhed i forbindelse

med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder

foranstaltninger til håndtering og offentliggørelse af sårbarheder. Desuden gennemfører den

foreslåede bestemmelse NIS 2-direktivets artikel 21, stk. 2, litra c, hvorefter væsentlige og

vigtige enheder træffer foranstaltninger til bl.a. reetablering og krisestyring. Den foreslåede

bestemmelse går videre end NIS 2-direktivet, idet der direkte stilles krav om, at

virksomhederne skal tilmeldes en it-sikkerhedstjeneste.

Det forventes på baggrund af den foreslåede bestemmelse, at fastsætte nærmere regler om at

virksomheder i energisektoren indgår aftale om at være tilmeldt en it-sikkerhedstjeneste.

Virksomheden skal sikre sig at være tilmeldt en it-sikkerhedstjeneste, der yder vejledning om

vurdering og mitigering af sårbarheder. Den it-sikkerhedstjeneste skal endvidere give

informationer og varsle om relevante it-sikkerhedstrusler.

Supplerende til eksisterende krav

foreslås det at virksomhedens proaktive indsats skal omfatte viden om trusler baseret på

globale informationer fra anerkendte kilder, såsom abonnementer på cyber-trusselsfeed, der

er leveret af globale aktører inden for cybersikkerhed.

Den foreslåede

bemyndigelsesbestemmelse vil også medføre, at der kan fastsættes regler om, at virksomheden

skal være tilmeldt en reaktiv it-sikkerhedstjeneste, der bistår virksomheden ved nedbrud eller

angreb på it-systemer, herunder assistance til akut skadesbegrænsning, bevisindsamling og

reetablering i akutte sikkerhedsmæssige situationer. Information fra it-sikkerhedstjenesten skal

kunne videreformidles til andre virksomheder i energisektoren uden forsinkelse, såfremt disse

oplysninger vurderes at have betydning for leveringen af andre virksomheders tjenester.

Høringssvar til § 6 stk. 2

Det er helt overordnet rigtig positivt at der kommer lovgivning som kræver at virksomheder

i Danmark (og EU) skal arbejde seriøst med informationssikkerhed.

Derudover er netop denne paragraf, som den er formuleret her, et solidt værktøj til at guide

virksomhederne på rette vej.

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Der er dog et enkelt, men væsentligt, hår suppen. Og det vedrører § 6 stk. 2, punkt 6, om

Risikovurdering. Som jeg ser det er hele resten af lovgivningen formuleret på en måde, der

følger almindelig Best Practice, når det kommer til Informationssikkerhed og Organisatorisk

Robusthed. Når det kommer til risikovurderingsområdet er der også rigtig fine takter langt

hen ad vejen. Det er godt at:

Virksomhederne skal udarbejde risikostyringspolitikker og processer

Risikovurderingerne og de politikker der styrer hvordan de skal gennemføres skal

forankres i ledelsen

risikovurderingerne skal

▪

følge

hele aktivets livscyklus herunder også processerne omkring indkøb,

projekter og nyetableringer.

▪

identificerer og vurderer risici og sårbarheder i forhold til virksomhedens

kontinuitet

▪

revurderes med fast interval eller når der opstår ændringer der kan påvirke

vurderingen

▪

at vurderingen af cybersikkerhedsrisici, organisatoriske risici og fysiske risici skal

tænkes sammen

Men dette afsnit forstyrrer det ellers så gode billede:

”De foreslåede bestemmelser viderefører i vidt omfang gældende ret for udarbejdelse af

risiko- og sårbarhedsvurdering. Det forventes således, at der fastsættes nærmere regler

om, at virksomhederne skal udarbejde en vurdering af virksomhedens risici og

sårbarheder på baggrund af risiko- og sårbarhedsscenarier, som Energistyrelsen

udarbejder.”

Problemet her er, at de ellers gode takter i forhold til at virksomhederne selv skal udarbejde

politikker og processer og risikovurdere deres aktiver overfor de trusler som de selv har

identificeret, bliver koblet op på, at virksomhedernes risikoarbejde her knyttes tæt op af

Energistyrelsens Risiko- og sårbarhedscenarier. Og det er to vidt forskellige måder at

risikovurdere på. Dette gælder især når der stilles krav til at virksomhederne skal holde deres

risikovurderinger opdaterede, så de afspejler ændringer i trusler, risici, aktiver mm.

Som jeg ser det bør Energistyrelsen give selskaberne metodefrihed i forhold til hvordan de

synes de får lavet de bedste og mest realistiske risikovurderinger. Det er rigtig godt at der

stilles krav til risikovurderingerne, som der gøres i § 6 stk. 2 punkt 6. og disse krav kan

Energistyrelsen bruge som referencepunkter ved tilsyn med selskabernes risikostyring.

De scenarier som Energistyrelsen historisk har udarbejdet, kan fint fortsætte med at blive

udarbejdet, så de kan fungere som inspirationskilde for selskaberne.

Netselskabet Elværk A/S

Løvevej 5

7700 Thisted

elvrk.dk

T: 72 19 89 80

CVR: 21085200

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Til Energistyrelsen

Center for beredskab

Carsten Niebuhrs Gade 43,

1577 København V.

Frederiksberg, den 10. juli 2024

Høringssvar vedr.

Forslag til lov om styrket beredskab i energisektoren

(journalnummer 2023 – 6652)

Vi, underskrevne medlemmer af IDA, ønsker som et høringssvar at give vores bemærkninger til

Energistyrelsens forslag til lov om styrket beredskab i energisektoren.

Idet der henvises til Energistyrelsens høringsbrev af 12. juni 2024 er der flg. at bemærke:

Med baggrund i EU-direktiverne NIS-2 og CER er det intentionen bag lovforslaget at styrke

beredskabet i specifikt energisektoren, som henhører under Energistyrelsen, som igen hører under

Klima-, Energi- og Forsyningsministeriet.

Parallelt med lovforslaget (Energistyrelsen) har Forsvarsministeriet sendt to lovforslag i høring

(svarfrist den 22. august 2024). Disse omhandler henholdsvis forslag til lov om kritiske enheders

modstandsdygtighed og lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau.

Forsvarsministeriets to lovforslag er tænkt at ligge helt i forlængelse af intentionen bag EU-

direktiverne CER og NIS-2, hvor derimod Energistyrelsens ønske specifikt er at styrke beredskabet i

energisektoren.

”Kritisk infrastruktur” er pr. definition ikke et sektorspecifikt anliggende, men udtrykker ønsket om

en sammenhængende samfundstænkning med organisatorisk konsekvens, som er overordnet en

enkel eller flere sektorers specifikke sikkerhedshensyn.

Skal intentionen om at skabe modstandsdygtighed i en kritisk infrastruktur ske fyldest, må

tilgangen være helhedsorienteret og ikke være baseret på samfundssektorernes egne specifikke

udgaver af ansvarlighed. Koordination og samarbejde mellem samfundssektorerne rækker ikke.

Derfor er de foreslåede selvstændige initiativer om at styrke specifikt el-sektorens beredskab uden

de har basis i sammenhængende bestræbelser på at øge sikkerheden i den samlede kritiske

infrastruktur ikke hensigtsmæssig.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Hertil kommer, at der i lovforslaget om at styrke beredskabet i en begrænset del af den kritiske

infrastruktur slet ikke lægges op til, at samfundets helt grundlæggende organisatoriske modeller

kan være baseret på det distribuerede princip, dvs. en sammenhængende ø-model, som kan

danne basis for robusthed, resiliens mv. - Dette er ellers opstillet som et væsentligt krav i CER-

direktivet og indgår i Energistyrelsens egen omtale af lovforslaget som nødvendigheden af

”fysiske, tekniske og organisatoriske foranstaltninger for at sikre en høj robusthed. Eksempelvis

krav om alarmsystemer og netværksopdelinger, der minimerer risikoen for, at cyberangreb kan

brede sig”. Dette væsentlige punkt ses ikke fulgt op i lovforslaget.

Kulturen, der bør gennemsyre tænkningen bag virkeliggørelsen af en kritisk infrastruktur, bør

således varetages af en sektorovergribende instans. Hvorvidt en sådan opgave varetages af et nyt

Beredskabsministerium, af et Indenrigsministerium som i Finland eller af en særlig myndighed for

sikkerhed og beredskab som i Sverige (MSB) indgår ikke i overvejelserne bag dette høringssvar.

I brev af 10. juni 2020 (sagsnr. 2020-0094-5772, dok. 1424636) fremgår det, ”at regeringen har

igangsat et arbejde for at definere, hvor staten i dag ejer kritisk infrastruktur”. Er dette arbejde

afsluttet med en definition af indholdet af ”kritisk infrastruktur” og er der i den forbindelse taget

stilling til, hvorvidt sikkerhedsnettet SINE til beredskabet er omfattet af ”kritisk infrastruktur” og

hvad det indebærer?

Med venlig hilsen

John Foley, bestyrelsesmedlem i IDA Risk

Jacob Taarup, bestyrelsesmedlem i IDA Risk

Ulrik Jørgensen, bestyrelsesmedlem i IDA Teknologivurdering

Niels Ulrik Haxthausen, formand for IDA Teknologivurdering

Preben Birr-Pedersen, formand for IDA Energi

Niels Johan Juhl-Nielsen, bestyrelsesmedlem i IDA Risk

____________________________

Niels Johan Juhl-Nielsen

BSc., MSc. and Master in Social Entrepreneurship,

Senior Advisor

E-mail: [email protected]

P: +45 30952926

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Til:

Fra:

Titel:

Sendt:

beredskab ([email protected])

Grith Jansen Schmidt ([email protected])

Høring/den nye beredskabslov

08-07-2024 15:30

God eftermiddag,

Vi har et opklarende spørgsmål til lovgivningen:

Hvordan forholder det sig med kravene til virksomheder, der ejer adskillige solcelleparker,

der er under 25 MW enkeltvis, men over 25 MW tilsammen? Når nu solcelleparkerne er

individuelle virksomheder, “hvordan tæller” de så?

I forhold til NIS2, når solcelleparkerne er individuelle virksomheder, hvilken rolle/hvilke krav

får så “hovedkontoret”, der ejer alle de individuelle solcelleparkvirksomheder? En slags

leverandør til virksomhederne? Eller noget helt andet?

Hvis “hovedkontoret” ejer solcelleparkvirksomheder i flere europæiske lande, hvilke dele skal

så leve op til dansk lovgivning, når nu hovedkontoret er placeret i Danmark?

På forhånd tak for hjælpen, og hav en pragtfuld uge,

Kind regards / Med venlig hilsen

Grith J. Schmidt

Operational HSE-, contingency- and response coordinator

M: +45 21 94 72 60

Nordic Solar A/S | Strandvejen 104B | DK - 2900 Hellerup

Nordic Solar has worked with solar energy since 2010 -

developing, constructing and operating industrial solar parks in Europe.

www.nordicsolar.eu

This email may contain confidential information. If you have received this email by mistake, please let us know, delete it from your system, and

refrain from sharing or copying it. Nordic Solar processes personal data as stated in our

Privacy Notice/Privatlivsnotits.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Energistyrelsen

Center for beredskab

Carsten Niebuhrs Gade

1577 København

10. juli 2024

Journalnummer 2023-6652

Høringssvar til forslag om lov om styrket beredskab i energisektoren

Norlys Energi A/S skal først og fremmest takke for muligheden for at indgive

høringssvar til lov om styrket beredskab i energisektoren.

I takt med at det danske samfund bliver mere elektrificeret, og Danmarks

veludbyggede og stabile infrastruktur, hvor basale fornødenheder som strøm,

vand, kommunikation osv. er selvfølgeligheder, anbefalede de danske

myndigheder for nylig, at den brede befolkning bør forberede sig på potentielle

kriser, således man kan klare sig i en periode uden blandt andet strøm.

I forlængelse af myndighedernes anbefalinger om forberedelse på krise, hævede

SektorCERT desuden trusselsniveauet til gult, hvilket vidner om, at det danske,

moderne samfund også er enormt sårbart.

Norlys Energi A/S bakker derfor op om lovforslaget, hvor energisektorens

beredskab styrkes.

Vi fremlægger hermed nogle bemærkninger til lovforslaget, som vi håber,

Energistyrelsen vil tage i betragtning:

I § 7, stk. 1 og 2 om, at

virksomheden skal træffe passende foranstaltninger for at

opretholde nødvendig fysisk sikring af lokationer og anlæg

bemærkes det, at de

nærmere fastsatte regler bør give mulighed for virksomheden til at differentiere

mellem

”passende foranstaltninger”

afhængigheden af virksomhedens udbudte

produkter, således foranstaltningerne er proportionelle. Dette bør være op til

virksomheden at vurdere ud fra en risiko- og sårbarhedsvurdering, hvorefter

passende foranstaltninger herfra kan træffes.

§§ 13-14, stk. 1 og 2 om underretning og offentliggørelse af en hændelse. Af

forarbejderne til lovforslaget henvises der til NIS2-direktivets artikel 23, stk. 1, 2.

pkt., hvor medlemsstaterne skal sikre, at

væsentlige og vigtige

enheder i relevant

omfang underretter modtagerne af deres tjenester om

væsentlige

hændelser. I

lovforslaget anvendes

nødvendig

fremfor

væsentlig.

Hvad ligger der i

formuleringen

nødvendig

og for hvem vil en underretning eller offentliggørelse

være nødvendig? Vil der blive stillet en række mere eller mindre faste kriterier op

herfor, og foretager Energistyrelsen ligeledes en risikovurdering af hændelsen,

hvorudfra det kan vurderes, hvorvidt denne skal offentliggøres og hvem, der skal

underrettes?

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

I § 15 om, at enhver kan underrette Klima-, Energi- og Forsyningsministeriet om

væsentlige hændelser m.v., bakker Norlys Energi A/S naturligvis op om denne

”whistleblower-ordning”.

Dog kan vi blive bekymrede for, hvorvidt irrelevante

eller useriøse henvendelser frasorteres, således der ikke bruges unødige

ressourcer på at behandle disse, mens vigtige og relevante henvendelser

”forsvinder” i mængden og dermed ikke tages korrekt op til overvejelse.

Derfor

håber vi, at ministerierne har en metode eller har tilstrækkelige ressourcer til at

understøtte denne ellers gode ordning.

I § 20 henvises der til § 19, stk. 2, nr. 1-7. Der bør retteligt henvises til § 19, stk. 2,

nr. 1-6.

Af hensyn til at oprette sikkerheden på tværs af energisektoren, ser Norlys Energi

A/S en fordel i, at myndighederne i forbindelse med den rådgivende mission

vidensdeler og erfaringsudveksler vedrørende sikkerhed i henhold til

lovgivningen, hvilket bør være ens for alle virksomheder og derfor ikke bør være

konkurrenceforvridende - eventuelt i anonymiseret format af hensyn til § 20, stk.

3, nr. 3.

Derudover har Norlys Energi A/S generelle spørgsmål til lovforslaget, som vi

håber, kan blive præciseret.

1) Af lovforslagets pkt. 3.3.3. ønskes præciseret, hvornår

ladestanderoperatører skal underrette hvilke myndigheder.

2) Norlys Energi A/S ser en fordel i, at Energistyrelsen samler deres viden og

erfaring til en form for ”best practice”,

som er sektor-/delsektor-/eller

industrispecifik, hvilket bl.a. kan være en rettesnor for de berørte

virksomheder, herunder i forhold til kategorisering. Dette taler ligeledes

ind i Energistyrelsens sikring af, at tilsyn foregår på samme måde, uanset

hvem fra Energistyrelsen, der foretager tilsynet af en virksomhed, således

der ikke sker forskelsbehandling på baggrund af individuelle vurderinger

fra myndigheden.

a. Hvad betyder den risikobaserede tilgang i henhold til

Energistyrelsens minimumskrav?

b. Bliver der en form for retningslinje, som Energistyrelsen skal følge

på et tilsyn?

3) Hvordan opbevares virksomhedens oplysninger, herunder ikke-offentlige

hændelser og fortrolige rapporteringer hos myndighederne?

Slutteligt opfordrer Norlys Energi A/S til, at der ved udmøntningen af

lovgivningen løbende holdes en konstruktiv dialog med de berørte sektorer, så

implementeringen foregår mest effektiv og til fordel for netop det, der skal

beskyttes, den danske energiforsyning.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Med venlig hilsen

Maja Voigt Øvlisen

GRC Specialist ved Norlys A/S

Sophia Thyge Holmberg

Compliance Manager ved Norlys Energi A/S

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Høringssvar til forslag til Lov om styrket beredskab i

energisektoren

Jeg har længe været bekymret over sårbarheden af dansk og europæisk elforsyning. Derfor

hilser jeg en styrkelse af det danske beredskab på området velkommen.

Sårbarheden skyldes både EUs afhængighed af importeret gas og flaskehalse i de overord-

nede transmissionsnet på grund af den voksende fluktuerende produktion.

Dansk elforsyning er i stigende grad blevet afhængig af støtte fra nabolandene, også under

helt normale driftsforhold. Under en krise kan forbindelserne til udlandet blive afbrudt af poli-

tiske eller tekniske årsager. Derfor bør et styrket beredskab omfatte muligheder for at levere

el i større eller mindre omfang til forbrugerne i et isoleret og opdelt Danmark.

En sådan hensigt burde fremgå af afsnittet om

”Lovforslagets

baggrund” i bemærkningerne

til loven.

For en del år siden, da man forventede en decentralisering af elproduktionen i Danmark, un-

dersøgtes muligheden for en opdeling af landet i celler, som kunne drives hver for sig (så-

kaldt ø-drift), og som kunne startes uden støtte udefra (såkaldt dødstart). De decentrale

kraftvarmeværker skulle være væsentlige elementer i de enkelte celler.

Tanken blev opgivet, formentlig af tre grunde:

▪

Vindparkerne (og senere solparkerne) voksede til størrelser, som ikke kunne tilsluttes

lokalt. Derved blev den centrale forsyningsstruktur fortsat nødvendig.

▪

De decentrale værker er ikke udrustet til opgaven.

▪

Beskyttelsessystemerne, som skal gribe ind ved fejl i nettene, er afhængige af forbin-

delse med det overordnede transmissionsnet.

Danmark står således dårligt rustet i tilfælde af et netsammenbrud, som kunne blive resultat

af sabotagehandlinger eller andre uforudsete forhold.

Danmarks sårbarhed blev demonstreret under den store driftsforstyrrelse på Sjælland i 2003,

da man måtte vente adskillige timer, før forsyningen kunne genopbygges med import fra

Sverige.

Det vil koste både tid og penge at genopbygge en rimelig robusthed af dansk elforsyning.

Det vil derfor kræve en politisk beslutning, som det vil være naturligt at overveje i forbin-

delse med behandling af en ny lov om energisektorens beredskab.

Paul-Frederik Bach

[email protected]

29 92 33 02

http://pfbach.dk/

23. juni 2024

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Dato: 11. Juli 2024

RWE Renewables Denmark A/S’ høringssvar vedrørende udkast til forslag til lov om

styrket beredskab i energisektoren

RWE Renewables Denmark A/S (RWE) takker for muligheden for at kommentere på udkast til

forslag til lov om styrket beredskab i energisektoren. RWE ser overordnet positivt på, at

lovgrundlaget for energisektoren nu samles i én lov og at der med lovforslagets

bemyndigelsesbestemmelser vil være mulighed for at fastsætte en tidssvarende

beredskabsregulering for energisektoren.

På enkelte punkter er der imidlertid behov for større klarhed i lovforslaget, herunder med henblik

på at sikre en smidig implementering af den kommende regulering for de berørte virksomheder.

RWE har derfor følgende bemærkninger til lovforslaget:

Lovens anvendelsesområde

Den kommende lov vil udelukkende finde anvendelse på dansk ”område”. Imidlertid vil dele af de

aktiviteter, som er nødvendige for operation af anlæg, f.eks. kontrolrum og medarbejdere til

bemandingen heraf ikke altid være placeret i Danmark. Det samme er tilfældet for leverandører,

ligesom leveringen af visse ydelser også vil ske uden for Danmark.

Det anbefales, at der i lovforslaget redegøres nærmere for rækkevidden af loven i forhold til

sådanne aktiviteter uden for Danmark, sådan at det i forarbejderne tydeligt fremgår, at lovens

anvendelsesområde alene angår aktiviteter på dansk område.

Det følger endvidere af den foreslåede § 2, stk. 2, jf. stk. 1, at loven finder anvendelse

for ”elektricitetsvirksomheder”, som årligt producerer, forbruger eller kontrollerer mere end 25 MW

elektricitet.

I tilknytning hertil er ”elektricitetsvirksomheder” i den foreslåede § 3, nr. 7, defineret som en fysisk

eller juridisk person, der ”driver” produktion og som er ”ansvarlig for de kommercielle, tekniske eller

vedligeholdelsesmæssige opgaver […]”. Idet der i større virksomheder kan være en opdeling af

produktion/kontrol og drift anbefales det at sikre mere klarhed i lovforslaget om forståelsen af

en ”elektricitetsvirksomhed ”, sådan at der ikke er tvivl om rette rettighedssubjekt for lovforslaget.

Lovens virkningstidspunkt

I medfør af de nugældende beredskabsbekendtgørelser for elsektoren er virkningstidspunktet for

denne lovregulering knyttet op på udstedelse af driftstilladelser, f.eks. elproduktionstilladelsen i

VE-lovens § 29. Virkningstidspunktet er dermed fra idriftsættelse af anlægget.

Det er ikke med lovforslaget og bemærkninger hertil klart, om der er tiltænkt en ændring af

ovennævnte. Såfremt der med lovforslaget også er tiltænkt en virkning fra et tidligere tidspunkt,

hvilket forarbejderne til bl.a. den foreslåede § 7 kunne indikere, foreslås, at det allerede nu

præciseres i lovforslaget. I den forbindelse bør der ske en bedre inddragelse af virksomhederne i

forbindelse med den kommende udmøntning heraf, således at det sikre, at der stilles

tilstrækkelige men også rimelige krav, som passer til udviklingsstadiet for de enkelte projekter.

Identificering

og kategorisering af virksomheder

For så vidt angår lovforslagets foreslåede § 4 om identificering og kategorisering af virksomheder

anbefales i tråd med bemærkningerne ovenfor om lovens anvendelsesområde også en

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Dato: 11. Juli 2024

præcisering af , hvilken ”virksomhed” og hvilke anlæg, der skal indgå i identificering med henblik

på at bestemme den relevante kategorisering.

Som den foreslåede § 4 og forarbejderne hertil er formuleret, vil identificeringen umiddelbart

skulle gennemføres for den juridiske enhed, som direkte ejer – og ikke driver - anlægget

/anlæggene, hvilket RWE støtter op om. Det vil ligeledes indebære, at der ikke på koncernniveau

foretages en samlet identificering og efterfølgende kategorisering. RWE anbefaler, at dette

tydeliggøres og at det samtidig også fremgår, at det alene vil være anlæg og aktiviteter på

dansk ”område”, som indgår i identificeringen.

Organisatorisk beredskab

Den foreslåede § 6 angår organisatorisk beredskab, herunder ledelsesansvar for ”virksomheden” i

forhold til at godkende risiko -og sårbarhedsvurderinger og beredskabsplaner.

I forbindelse med det videre arbejde om udmøntningen af den foreslåede § 6 har Energistyrelsen

anmodet sektoren om input til, hvilken enhed, der bør være det relevante rettighedssubjekt. Det vil

sige, hvilken ”virksomhed” der bør være pålagt dette ledelsesansvar.

RWE anbefaler, at virksomheden i den foreslåede § 6 forstås som den virksomhed, der direkte ejer

det relevante anlæg (projektselskabet). Ofte vil der i større virksomheder være en holdingkoncern

struktur, ligesom der også kan være joint-venture konstruktioner. Såfremt den direkte ejer af

anlægget er rettighedssubjektet, vil man bedst muligt kunne ramme den enhed, som kan

identificere risici forbundet med organisatorisk sikkerhed, fysisk sikring og cybersikkerhed.

Men henblik på at sikre en vis fleksibilitet, hvor der måtte være et andet behov, kan Energistyrelsen

imidlertid overveje, om det vil være muligt at fastsætte regler, hvorefter der også vil være

mulighed for at aftale og få godkendt, hvilken virksomhed og virksomhedsledelse, der vil være

rette ansvarssubjekt.

Endvidere bemærkes, at der stadig i den kommende udmøntning at lovforslaget bør være

mulighed for, at driftsvirksomheden – hvor denne adskiller sig fra den direkte ejer

(projektselskabet) – kan udarbejde de relevante risiko-og sårbarhedsvurderinger,

beredskabsplaner mv. samt på daglig basis håndtere sikkerhed og beredskab.

Fysisk sikring

Lovforslagets § 7 indeholder bemyndigelse til at udstede mere konkrete regler om fysisk

sikkerhed. Af forarbejderne fremgår endvidere, at disse regler i det væsentlige vil svare til de

nugældende regler og at fysiske sikringstiltag skal tilpasses det konkrete projekt.

Det anbefales imidlertid, at der i forarbejderne tilføjes, at der for så vidt angår fysisk sikring af

anlæg beliggende til havs – henset til karakteren af disse anlæg - ikke vil kunne stilles de samme

krav til fysisk sikring som for landanlæg. Endvidere bør rammerne for fysisk sikring for tidligere

projektfaser end driftsfasen beskrives, såfremt det med den foreslåede § 7 er hensigten at

introducere en sådan regulering.

Ikrafttrædelse og behovet for overgangsbestemmelser

Efter lovforslagets foreslåede § 37 vil loven træde i kraft den 1. januar 2025.

Energistyrelsen har endvidere oplyst, at de kommende tre bekendtgørelser, som vil være en

udmøntning af lovforslagets bemyndigelse, sendes i høring efter sommeren og endvidere vil

træde i kraft den 1. januar 2025.

Henset til indholdet af lovforslaget og de forventede bekendtgørelser anbefales det, at

Energistyrelsen overvejer overgangsbestemmelser ift. de krav som dels er nye og dels går videre

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Dato: 11. Juli 2024

end CER og NIS2-direktiverne, så virksomhederne reelt har mulighed for imødekomme de nye

lovkrav, hvoraf flere endnu ikke er kendt.

Behov for lovændringer og klarere rammer i anden regulering

RWE opfordrer til, at Energistyrelsen i forbindelse med udarbejdelsen af de kommende

bekendtgørelser også sikrer bedre rammer for at imødekomme de krav, der vil blive stillet i disse.

Det vil bl.a. indebære, at reglerne for tv-overvågning f.eks. kan udvides for kritisk infrastruktur,

ligesom det også kan være behov for at gennemgå reglerne for overvågning med droner,

herunder mere automative droner til lands og til havs (inden og udenfor søterritoriet).

Skulle ovenstående give anledning til spørgsmål, står RWE selvfølgelig til rådighed for en

uddybning og dialog om de angivne kommentarer.

Med venlig hilsen

Pernille Haaning

VP Head of Offshore Development Denmark

Ann-Cathrine Pedersen

Senior Legal Counsel

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

beredskab ([email protected])

Clara Næsborg Olsen ([email protected]), Alexander Berg ([email protected]), Hoejgaard, Jannik (SGRE TE PPS

ICS ([email protected])

Hansen, Ulrich Vestergaard (SGRE OF EXE PEN SCADA PE) ([email protected])

Fra:

Titel:

Høringssvar til forslag til Lov om styrket beredskab i energisektoren - J. nr. 2023 - 6652

Sendt:

10-07-2024 23:03

Bilag:

Høringsversion af forslag til lov om styrket beredskab_SGRE comments.docx;

Til:

Cc:

[EKSTERN E-MAIL]

Denne e-mail er sendt fra en ekstern afsender.

Vær opmærksom på, at den kan indeholde links og vedhæftede dokumenter, som ikke er sikre,

medmindre du stoler på afsenderen.

Høringssvar til forslag til Lov om styrket beredskab i energisektoren - J. nr. 2023 – 6652

Til rette vedkommende,

Se nærværende kommentar til Lov om styrket beredskab i energisektoren – angivet som kommentarer i Microsoft

Word.

Der tages forbehold for at afsnittet ” Bemærkninger til lovforslaget” ikke har været gennemlæst til fulde.

Best regards,

Ulrich Hansen

Siemens Gamesa Renewable Energy A/S

Fiskergade 1-9

7100 Vejle, Denmark

Mobile: +45 3037 4194

mailto:[email protected]

Siemens Gamesa Renewable Energy A/S. Headquarters: Borupvej 16, 7330 Brande, Denmark. CVR-no. 76 48 62 12.

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Kapitel 1

Formål, anvendelsesområde og definitioner

Kapitel 2

Kategoriseringsbestemmelser

Kapitel 3

Styrkelse af virksomheders modstandsdygtighed

Organisatorisk beredskab

Fysisk sikring

Cybersikkerhed

Overordnede koordinerende og operative opgaver

Sektorberedskabsniveauer og

sektorberedskabsforanstaltninger

Kapitel 4

Underretningspligt

Kapitel 5

Sikkerhedsgodkendelser

Kapitel 6

Gebyrer

Kapitel 7

Tilsyn

Kapitel 8

Håndhævelse

Kapitel 9

Gensidig bistand

Kapitel 10

Fortrolighed, udveksling af oplysninger og digital

kommunikation

Kapitel 11

Andre bestemmelser

Kapitel 12

Straf

Kapitel 13

Ikrafttrædelse

Kapitel 14 Ændringer i anden lovgivning

Kapitel 15

Territorialbestemmelser

Side 1/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Forslag

til

Lov om styrket beredskab i energisektoren

Kapitel 1

Formål, anvendelsesområde og definitioner

§ 1.

Lovens formål er at fastsætte en ramme for modstandsdygtighed og

beredskab i forhold til naturskabte, menneskeskabte og teknologiske trus- ler,

der kan true eller skade energiforsyningen gennem regler om organisa- torisk

beredskab, fysisk sikring og cybersikkerhed for virksomheder i ener-

gisektoren.

Stk. 2.

Loven har endvidere til formål at fastsætte en ramme for myndig-

hedstilsyn med overholdelsen af disse regler og grundlag for samarbejde

mellem virksomheder, myndigheder samt øvrige organisationer, der vare-

tager roller i planlægningen af beredskabet og håndteringen af beredskabs-

hændelser i energisektoren.

§ 2.

Denne lov finder anvendelse på følgende virksomheder, når disse

leverer deres tjenester eller udfører deres aktivitet inden for Danmark:

Elektricitetsvirksomheder.

Distributionssystemoperatører.

Transmissionssystemoperatører.

Elproducenter.

Udpegede elektricitetsmarkedsoperatører.

Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rå-

dets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et

højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr.

910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS

2-direktivet), EU-Tidende 2022, nr. L 333, side 80 samt dele af Europa-Parlamentets og

Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstands-

dygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet), EU-Ti-

dende 2022, nr. L 333 side 164.

Side 2/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

6) Markedsdeltagere der leverer tjenester, der vedrører aggregering,

fleksibelt elforbrug eller energilagring.

7) Operatører af ladestationer, der er ansvarlige for forvaltningen og

driften af en ladestation, som leverer en ladetjeneste til slutbrugere,

herunder i en mobilitetstjenesteudbyders navn og på dennes vegne.

8) Operatører af fjernvarme eller fjernkøling.

9) Olierørledningsoperatører.

10) Operatører af olieproduktionsanlæg, -raffinaderier og -behandlings-

anlæg, olielagre og olietransmission.

11) Centrale lagerenheder.

12) Gasforsyningsvirksomheder.

13) Lagersystemoperatører.

14) LNG-systemoperatører.

15) Naturgasvirksomheder.

16) Operatører af naturgasraffinaderier og –behandlingsanlæg.

17) Operatører inden for brintproduktion, -lagring og –transmission.

18) Operatører af tankstationer, der er ansvarlige for forvaltningen og

driften af en tankstation.

Stk. 2.

Loven finder kun anvendelse for de stk. 1 nr. 1-8, 10, 12, og 18

nævnte virksomheder, såfremt virksomheden:

1) Årligt producerer, forbruger eller kontrollerer mere end 25 MW

elektricitet.

2) I 2 ud af 3 sidste år har solgt mere end 13,9 GWh fjernvarme

3) Årligt producerer eller injicerer mere end 26 mio. Nm

gas i et gas-

net.

4) Olieterminaler og lagre med kapacitet på 100.000 m

eller derover.

5) Opererer en eller flere tankstationer der sammenlagt har et årligt

salg af olieprodukter på 600.000 m3 eller derover, eller som opere-

rer flere end 100 tankstationer på nationalt plan.

Stk. 3.

Loven finder anvendelse uanset stk. 2. for virksomheder:

1) Der har positiv lagringsforpligtigelse efter Olieberedskabsloven

2) Nævnt i stk. 1, men som falder under grænserne i stk. 2, såfremt

virksomheden beskæftiger minimum 50 ansatte eller har en årlig

omsætning på minimum 10 mio. EUR og en årlig samlet balance

på minimum 10 mio. EUR.

Stk. 4.

Kapitel 5 om sikkerhedsgodkendelser og baggrundskontrol i

energisektoren og § 18 om gebyrbetaling for anmodning om betaling ved

indgivelse af ansøgninger og dispensationer finder anvendelse på alle virk-

Commented [HUV(OEPSP1]:

Det antages at der menes at

det er energianlæg med en mærke effekt på mere end 25MW

og ikke anlæg der producere med end 25MWh årligt. (der er

anvendt forkert måleenhed).

Side 3/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

somheder, organisationer, fonde, erhvervsdrivende fonde der varetager op-

gaver som direkte led eller i forbindelse med leveringen af de stk. 1

nævnte tjenester.

Stk. 5.

Loven gælder på land- og søterritoriet, den eksklusive økonomi-

ske zone samt kontinentalsokkelen.

§ 3.

I denne lov forstås ved følgende:

1) Aggregering: Funktion, der varetages af en fysisk eller juridisk per-

son, der samler flere kunders forbrug eller producerede elektricitet til

salg, køb eller auktion på et elektricitetsmarked. Aggregering er ikke

levering af elektricitet.

2) Centrale lagerenheder: Organ eller tjeneste, som er tildelt beføjelser til

at handle med henblik på at erhverve, holde eller sælge olielagre,

herunder beredskabslager og specifikke lagre.

3) Cyberhændelse: En begivenhed, der bringer tilgængeligheden, au-

tenticiteten, integriteten eller fortroligheden af lagrede, overførte el-

ler behandlede data eller af de tjenester, der tilbydes af eller er til-

gængelige via net- og informationssystemer, i fare.

4) Cybersikkerhed: De aktiviteter, der er nødvendige for at beskytte

net- og informationssystemer, brugerne af sådanne systemer og an-

dre personer berørt af cybertrusler.

5) Cybertrussel: Enhver potentiel omstændighed, begivenhed eller

handling, som kan skade, forstyrre eller på anden måde have en ne-

gativ indvirkning på net- og informationssystemer, brugerne af så-

danne systemer og andre personer.

6) Distributionssystemoperatører: En fysisk eller juridisk person, der

er ansvarlig for driften, vedligeholdelsen og om nødvendigt udbyg-

ningen af distributionssystemet i et givet område samt i givet fald

dets sammenkoblinger med andre systemer og for at sikre, at syste-

met på lang sigt kan tilfredsstille en rimelig efterspørgsel efter di-

stribution af elektricitet eller gas.

7) Elektricitetsvirksomheder: En fysisk eller juridisk person, der driver

mindst en af følgende former for virksomhed: produktion, transmis-

sion, distribution, aggregering, fleksibelt elforbrug, energilagring,

levering eller køb af elektricitet, og som er ansvarlig for de kommer-

cielle, tekniske eller vedligeholdelsesmæssige opgaver i forbindelse

med disse aktiviteter, men som ikke er slutkunde der varetager salg,

herunder videresalg, af elektricitet til kunder.

Commented [HUV(OEPSP2]:

Vi er ikke sikre på hvad der

forstås med "og andre personer berørt af cybertrusler.".

Forståes der her også en 3. part? I så fald vil anvendelse af

definitionen kunne få vidtrækkende konsekvenser. Det

anbefales at indsnævre/præcisere definitionen.

Side 4/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

8) Elproducenter: En fysisk eller juridisk person, der fremstiller elek-

tricitet.

9) Energilagring: I elektricitetssystemet, udsættelse af den endelige an-

vendelse af elektricitet til et senere tidspunkt end det, hvor den blev

produceret, eller konvertering af elektrisk energi til en energiform,

der kan lagres, lagringen af sådan energi og den efterfølgende rekon-

vertering af sådan energi til elektrisk energi eller anvendelse som

anden energibærer.

10) Fleksibelt elforbrug: Ændringer i en slutkundes elforbrug i forhold til

det normale eller aktuelle forbrugsmønster som reaktion på mar-

kedssignaler, herunder som reaktion på tidspunktafhængige elpriser

eller finansielle incitamenter, eller som reaktion på accept af slut-

kundens bud om at sælge en forbrugsreduktion eller -forøgelse til en

bestemt pris på et organiseret marked, hvad enten dette sker alene

eller gennem aggregering.

11) Gasforsyningsvirksomheder: Enhver fysisk eller juridisk person, der

varetager forsyningsopgaven.

12) Hændelse: En begivenhed, herunder en cyberhændelse, der har po-

tentiale til i betydelig grad at forstyrre, eller som forstyrrer, leverin-

gen af en væsentlig tjeneste, herunder når den påvirker de nationale

systemer, der sikrer retsstatsprincippet.

13) Håndtering af hændelser: Enhver handling og procedure, der tager

sigte på at forebygge, opdage, analysere og inddæmme eller at rea-

gere på og reetablere sig efter en hændelse.

14) IKT-proces: Aktiviteter, der udføres for at udforme, udvikle, levere

eller vedligeholde et IKT-produkt eller en IKT-tjeneste.

15) IKT-produkt: Et element eller en gruppe af elementer i net- og in-

formationssystemer.

16) IKT-tjeneste: En tjeneste, der helt eller hovedsageligt består af over-

førsel, lagring, indhentning eller behandling af oplysninger ved

hjælp af net- og informationssystemer.

17) Lagersystemoperatører: Enhver fysisk eller juridisk person, der fo-

retager oplagring af gas og er ansvarlig for driften af en gaslagerfa-

cilitet

18) LNG-systemoperatører: Enhver fysisk eller juridisk person, der fo-

retager flydendegørelse af naturgas eller import, losning og forgas-

ning af LNG og er ansvarlig for driften af en LNG-facilitet.

19) Markedsdeltagere der leverer tjenester, der vedrører aggregering,

fleksibelt elforbrug eller energilagring: En fysisk eller juridisk per-

Side 5/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

son, der køber, sælger eller producerer elektricitet, der udfører ag-

gregering, eller der er en operatør af tjenester vedrørende fleksibelt

elforbrug eller energilagringstjenester, herunder ved afgivelse af

handelsordrer, på et eller flere elektricitetsmarkeder, herunder på

balanceringsenergimarkeder.

20) Modstandsdygtighed: En enhed evne til at forebygge, beskytte mod,

reagere på, modstå, afbøde, absorbere, tilpasse sig og sikre genop-

retning efter en hændelse.

21) Naturgasvirksomheder: Enhver fysisk eller juridisk person, der dri-

ver mindst en af følgende former for virksomhed: produktion, trans-

mission, distribution, forsyning, køb eller oplagring af naturgas, her-

under LNG, og som er ansvarlig for de kommercielle, tekniske og/el-

ler vedligeholdelsesmæssige opgaver i forbindelse med disse aktivi-

teter, men som ikke er endelig kunde.

22) Net- og informationssystem:

a) Et elektronisk kommunikationsnet, hvorved forstås trans-

missionssystemer, uanset om de bygger på en permanent in-

frastruktur eller centraliseret administrationskapacitet, og,

hvor det er relevant, koblings- og dirigeringsudstyr og andre

ressourcer, herunder netelementer, der ikke er aktive, som

gør det muligt at overføre signaler ved hjælp af trådforbin-

delse, radiobølger, lyslederteknik eller andre elektromagne-

tiske midler, herunder satellitnet, jordbaserede fastnet (kreds-

løbs og pakkekoblede, herunder i internettet) og mobilnet, el-

kabelsystemer, i det omfang de anvendes til transmission af

signaler, net, som anvendes til radio- og tv-spredning, samt

kabel-tv-net, uanset hvilken type information der overføres.

b) Enhver anordning eller gruppe af forbundne eller beslæg-

tede anordninger, hvoraf en eller flere ved hjælp af et pro-

gram udfører automatisk behandling af digitale data.

c) Digitale data, som lagres, behandles, fremfindes eller over-

føres af elementer i litra a) og b) med henblik på deres drift,

brug, beskyttelse og vedligeholdelse.

23) Nærvedhændelse: En begivenhed, der kunne have bragt tilgængelig-

heden, autenticiteten, integriteten eller fortroligheden af lagrede,

overførte eller behandlede data eller af de tjenester, der tilbydes af

eller er tilgængelige via net- og informationssystemer, i fare, men

som det lykkedes at forhindre, eller som ikke materialiserede sig.

24) Operatører af fjernvarme eller fjernkøling: Operatører af distribution

af termisk energi i form af damp, varmt vand eller afkølede væsker

Commented [HUV(OEPSP3]:

"En enheds evne"

Side 6/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

fra centrale eller decentrale produktionssteder gennem et net til flere

bygninger eller anlæg til anvendelse ved rum- eller procesopvarm-

ning eller –køling.

25) Organiseret marked:

a) Et multilateralt system, der samler eller faciliterer samlin-

gen af flere tredjeparters købs- og salgsinteresser i engros-

energiprodukter på en måde, der fører til indgåelse af en kon-

trakt

b) Ethvert andet system eller enhver anden facilitet, hvor

flere købs- og salgsinteresser i engrosenergiprodukter tilhø-

rende tredjeparter kan interagere på en måde, der fører til ind-

gåelse af en kontrakt.

Dette omfatter elektricitets- og gasbørser, mæglere og andre perso-

ner, der erhvervsmæssigt arrangerer transaktioner, og markedsplad-

ser, herunder ethvert reguleret marked, en MHF eller en OHF.

26) Risiko: Potentialet for tab eller forstyrrelse som følge af en hæn-

delse, udtrykt som en kombination af størrelsen af et sådant tab eller

en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræf-

fer.

27) Risikovurdering: Den samlede proces med henblik på at bestemme

arten og omfanget af en risiko ved at identificere og analysere po-

tentielle relevante trusler, sårbarheder og farer, der kunne føre til en

hændelse, og ved at evaluere det potentielle tab eller den potentielle

forstyrrelse af leveringen af en væsentlig tjeneste forårsaget af denne

hændelse.

28) Transmissionssystemoperatører: En fysisk eller juridisk person, der

er ansvarlig for driften, vedligeholdelsen og om nødvendigt udbyg-

ningen af transmissionssystemet i et givet område samt i givet fald

dets sammenkoblinger med andre systemer og for at sikre, at syste-

met på lang sigt kan tilfredsstille en rimelig efterspørgsel efter trans-

mission af elektricitet eller gas.

29) Udpegede elektricitetsmarkedsoperatører: En markedsoperatør, der

af den kompetente myndighed er blevet udpeget til at udføre opgaver i

forbindelse med den fælles day-ahead- eller intraday-kobling.

30) Væsentlig cybertrussel: En cybertrussel, som på grundlag af sine

tekniske karakteristika kan antages at have potentiale til at få alvorlig

indvirkning på en enheds net- og informationssystemer eller på bru-

gerne af enhedens tjenester ved at forårsage betydelig materiel eller

immateriel skade.

Side 7/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

31) Væsentlig tjeneste: En tjeneste, der er afgørende for opretholdelsen

af vitale samfundsmæssige funktioner, økonomiske aktiviteter, fol-

kesundhed og offentlig sikkerhed eller miljøet.

Kapitel 2

Identificering og kategorisering af virksomheder

§ 4.

Klima-, energi- og forsyningsministeren identificerer kritiske virk-

somheder samt kritiske systemer og anlæg i energisektoren, der anvendes

til at levere virksomhedens tjenester.

Stk. 2.

Klima- energi, og forsyningsministeren fastsætter nærmere regler

om identifikation og kategorisering af virksomheder og virksomheders sy-

stemer og anlæg, som anvendes til levering af virksomhedens tjenester.

§ 5.

Virksomheder betragtes som kritiske enheder af særlig europæisk

betydning, når virksomheden opfylder alle af følgende betingelser:

1) Er blevet identificeret som kritisk virksomhed efter § 4, stk. 1.

Leverer de samme eller lignende væsentlige tjenester til eller i seks

eller flere medlemsstater.

3) Er blevet underrettet om, at virksomheden betragtes som en kritisk

enhed af særlig europæisk betydning i overensstemmelse med EU-

regler.

Stk. 2. Klima-, energi- og forsyningsministeren underretter virksomhe-

der, at de betragtes som kritiske enheder af særlig europæisk betydning i

energisektoren i overensstemmelse med EU-regler.

Stk. 3.

Klima-, energi- og forsyningsministeren fastsætter nærmere reg-

ler til brug for udpegelsen af kritiske enheder af særlig europæisk betyd-

ning.

Stk. 4.

Klima-, energi- og forsyningsministeren kan fastsætte regler om

særlige forpligtelser for virksomheder af særlig europæisk betydning.

Commented [HUV(OEPSP4]:

Vil sådan en liste af kritiske

virksomheder være offentlig tilgængelig?

Påtænker man her også, at forudsætningerne for at udpege

virksomheder, som leverer services til asset ejere af kritisk

infrastruktur i flere europæiske lande, er til stede?

Her påtænkes det specifikt at Vestas og Siemens Gamesa,

som ikke er asset ejere, men levere operationelle services, til

en række asset ejere.

Side 8/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Kapitel 3

Virksomheders modstandsdygtighed og beredskab

Organisatorisk beredskab

§ 6.

Virksomheder skal foretage nødvendig beredskabsplanlægning og

gennemføre passende organisatoriske foranstaltninger for at beskytte leve-

ringen af deres tjenester og sikre effektiv genoprettelse af deres tjenester.

Stk. 2.

Klima-, energi- og forsyningsministeren fastsætter efter forhand-

ling med forsvarsministeren nærmere regler om det organisatoriske bered-

skab, jf. stk. 1, herunder regler om:

1) Ledelsesansvar, herunder krav om godkendelse af virksomhedens ri-

siko- og sårbarhedsvurdering samt beredskabsplaner, tilsynsrappor-

ter og leverandørkontrakter.

2) At ledelsesorganer tilegner sig viden og kundskaber inden for risiko-

og sårbarhedsstyring.

3) Identifikations- og adgangskontrolpolitikker for beskyttelse mod

uautoriseret adgang.

4) Udpegelse af personer til at varetage specifikke beredskabsroller.

5) Politikker for informationssystemsikkerhed.

6) Politikker for og udarbejdelse af risiko- og sårbarhedsvurderinger,

som omfatter nyindkøb, projekter og etablering af net- og informati-

onssystemer og anlæg.

7) Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter

vedrørende forholdene mellem virksomheden og dens direkte leve-

randører eller tjenesteudbydere.

8) Beredskabsplaner og beredskabsplanlægning for håndtering af hæn-

delser.

9) Øvelsesplanlægning, herunder afholdelse af øvelser og træning af

beredskabsforanstaltninger.

10) Beredskabstræning, cybersikkerhedsadfærd- og sikkerhedsuddan-

nelse af ansatte i virksomheden.

11) Kapacitet til at modtage og videreformidle advarsler om trusler.

12) Tilmelding til en it-sikkerhedstjeneste.

Commented [HUV(OEPSP5]:

Det foreslåes at der

udmøntes nogle specifikke retningslinjer, som

virksomhederne kan læne sig op af, fremfor at det vil være op

til fri fortolkning hvornår "nok er nok". Her tænker jeg

specifikt at virksomheder, som er afhængige af en eller større

leverandører har tilbøjelighed til at gå med liv rem og seler,

hvis ikke de har nogle specifikke retningslinjer som det eks.

er tilfældet i UK. Her har den kompetente autoritet (OFGEM)

på energiområdet udgivet en række "Indicators of Good

Practice" samt nogle udførlige beskrivelser af hvordan

retningslinjerne skal fortolkes.

Commented [HUV(OEPSP6]:

Vil sådan bekendtgørelser

også komme i offentlig høring?

Side 9/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Fysisk sikring

§ 7.

Virksomheder skal træffe passende foranstaltninger for at opret-

holde nødvendig fysisk sikring af lokationer og anlæg, der bruges til at le-

vere virksomhedens tjenester, eller hvorfra drift af net- og informationssy-

stemer finder sted.

Stk. 2. Klima-, energi- og forsyningsministeren fastsætter nærmere

regler om fysisk sikring, jf. stk. 1, herunder regler om:

1) Forhindring af at hændelser indtræffer under behørig hensyntagen

til katastroferisikoreduktions- og klimatilpasningsforanstaltninger.

2) Etablering af foranstaltninger til overvågning, detektion og reaktion i

forbindelse med uautoriseret adgang til og på anlæg og lokationer.

3) Tilstrækkelig fysisk sikring af virksomhedens anlæg og lokationer,

herunder kontrolrum og kontrolrummets arbejdsstationer.

4) Håndtering af hændelser og genopretning efter hændelser.

5) Medarbejdersikkerhedsstyring.

Commented [HUV(OEPSP7]:

Vil sådan bekendtgørelser

også komme i offentlig høring?

Cybersikkerhed

§ 8.

Virksomheder skal foretage nødvendig planlægning og træffe pas-

sende cybersikkerhedsforanstaltninger for at sikre beskyttelsen af net- og

informationssystemer, der bruges til at levere virksomhedens tjenester.

Stk. 2.

Klima-, energi- og forsyningsministeren fastsætter efter for-

handling med forsvarsministeren nærmere regler for cybersikkerhedsforan-

staltninger jf. stk. 1, herunder regler om følgende:

1) Forvaltning af net- og informationssystemer og passende teknisk sik-

kerhed til beskyttelse af enheder med adgang til virksomhedens net-

værk.

2) Etablering af netværks- og infrastruktursikkerhed, herunder princip-

per for netværksarkitektur og -topologi med henblik på at minimere

risici for virksomhedens net- og informationssystemer.

3) Sikkerhedskrav til geografisk placering af drift af net- og informati-

onssystemer.

4) Sikkerhed i forbindelse med erhvervelse, udvikling og vedligehol-

delse af net- og informationssystemer.

Commented [HUV(OEPSP8]:

I forlængelse af tidligere

kommentar, anbefales at styrelsen udgiver nogle specifikke

retningslinjer, som virksomhederne kan følge, for at sikre at

indsatsen er passende.

Commented [HUV(OEPSP9]:

I henhold til præsentationen

af lovforslaget d. 18/6, blev ideen om fysisk separering af

netværk præsenteret. I forlængelse af dette vil vi blot gøre

opmærksom på at en sådan udgift vil være væsentlig for asset

ejerne igennem anlæggets levetid, især i vindmølleindustrien,

hvor vindmøllerne der udgør produktionsanlægget, i sagens

natur er distribueret, og der derfor vil være behov for et stort

antal nye netværksenheder. Her anbefales det at genvurdere

om ikke bruge af virtuel segmentering er tilstrækkelig.

Side 10/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

5) Backup-styring og genopretning af net- og informationssystemer til

sikring af driftskontinuitet for leveringen af tjenesten.

6) Etablering af logning til at understøtte alarmer, efterforskningsar-

bejde, hændelseshåndtering og monitorering af uregelmæssigheder i

net- og informationssystemer.

7) Etablering af procedurer for løbende kontrol af cybersikkerheden i

og omkring net- og informationssystemer.

8) Brug af sikret tale-, video- og tekstkommunikation og sikrede nød-

kommunikationssystemer.

9) Brug af kryptering samt politikker og procedurer, der skal under-

støtte sikkerheden og fortroligheden af net- og informationssystemer,

der er kritiske for leveringen af virksomhedens tjenester.

10) Brug af multifaktorautentificering eller kontinuerlig autentificering

og adgangsbeskyttelse til sikring mod uautoriseret adgang til virk-

somhedernes net- og informationssystemer.

11) Foranstaltninger til forebyggelse og håndtering af hændelser.

§ 9.

Klima-, energi- forsyningsministeren kan efter forhandling med

forsvarsministeren fastsætte regler om, at virksomheder skal anvende sær-

lige IKT-produkter, -tjenester og -processer, der er udviklet af virksomhe-

den eller indkøbt fra tredjeparter, og som er certificeret i henhold til en eu-

ropæisk cybersikkerhedscertificeringsordning for at påvise overensstem-

melse med bestemte krav i § 8, stk. 1, eller i regler om krav til foranstalt-

ninger fastsat i medfør af § 8, stk. 2.

Commented [HUV(OEPSP10]:

Det er for os uklart, hvad

dette kunne medføre af konsekvenser.

Da vi som leverandør af produkter samt tjenesteydelser i

vindmøllebranchen er dybt af afhængige af 3. parts

samarbejdspartnere. Produkter leveret af disse

samarbejdspartnere bliver testet for at sikre disse ikke skaber

nogle risiko for anlæggets drift. Hvis sådanne virksomheder

ikke lever op til lovgivningens bestemmelser, vil det kræve

store udgifter for at tilpasse og fortsat tilbyde sådanne

tjenester til asset ejere.

Koordinerende og operative opgaver

§ 10.

Klima-, energi- og forsyningsministeren fastsætter nærmere reg-

ler om ministerens og Energinets varetagelse af, koordinerende planlæg-

ningsmæssige og operative opgaver vedrørende beredskab, jf. § 6, stk. 1

og stk. 2, § 7, stk. 1 og stk. 2 og § 8, stk. 1 og stk. 2.

Side 11/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Sektorberedskabsniveauer og sektorberedskabsforanstaltninger

§ 11.

Klima-, energi- forsyningsministeren kan, i en beredskabssitua-

tion omfattende sikkerhedsrelaterede hændelser, fastsætte og udmelde sek-

torberedskabsniveauer for hele energisektoren eller en eller flere delsekto-

rer.

Stk. 2.

I en beredskabssituation omfattende sikkerhedsrelaterede hæn-

delser kan klima-, energi- forsyningsministeren fastsætte og pålægge sek-

torberedskabsforanstaltninger for hele energisektoren, for en eller flere

delsektorer, eller for en eller flere virksomheder eller anlæg.

Stk. 3.

I en beredskabssituation kan klima-, energi- forsyningsministe-

ren bestemme, at de i stk. 2 nævnte foranstaltninger samt andre foranstalt-

ninger, der skal foretages efter loven eller regler udstedt i medfør af loven,

midlertidigt skal intensiveres og suppleres med yderligere foranstaltninger

for at sikre en hurtig, koordineret og prioriteret krisehåndtering, herunder

gennemførelse af myndighedernes beslutninger i den nationale krisehånd-

tering.

Stk. 4.

I en beredskabssituation omfattende sikkerhedsrelaterede hæn-

delser kan Energinet, i særlige tilfælde, hvor klima-, energi- forsyningsmi-

nisteren ikke kan fastsætte og udmelde sektorberedskabsniveauer og foran-

staltninger, jf. stk. 1, 2 og 3 varetage opgaven på ministerens vegne.

Kapitel 4

Underretningspligt

§ 12.

Klima-, energi og forsyningsministeren kan fastsætte regler for un-

derretning og indrapportering af hændelser, væsentlige cybertrusler og

nærvedhændelser.

§ 13.

Klima-, energi- og forsyningsministeren kan fastsætte regler for

virksomheders pligt til at underrette modtagere af deres tjenester, myndig-

heder eller juridiske personer som udfører myndighedsopgaver om trusler

eller hændelser der kan påvirke eller har potentiale til at påvirke virksom-

hedens levering af tjenester.

§ 14.

Klima-, energi- og forsyningsministeren kan efter høring af en

virksomhed, der er ramt af en hændelse, informere offentligheden om hæn-

delsen, hvis offentliggørelsen er nødvendig for at forebygge eller håndtere

Side 12/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

hændelsen, eller hvor offentliggørelse af hændelsen på anden vis er i of-

fentlighedens interesse.

Stk. 2.

Klima-, energi- og forsyningsministeren kan i situationer efter

stk. 1, kræve at virksomheden foretager offentliggørelse af hændelsen.

§ 15.

Enhver kan underrette Klima-, Energi- og Forsyningsministeriet om

væsentlige hændelser, cybertrusler og nærvedhændelser, der negativt

påvirker eller vurderes at kunne påvirke tilgængelighed, integritet eller for-

trolighed af data, informationssystemer, digitale netværk eller digitale ser-

vicer i energisektoren.

Kapitel 5

Sikkerhedsgodkendelser og baggrundskontrol

§ 16.

Klima-, energi- og forsyningsministeren kan efter forhandling

med justitsministeren fastsætte regler om, at personer, der har direkte ad-

gang til at påvirke forsyningen i energisektoren, skal sikkerhedsgodkendes

af Klima-, Energi- og Forsyningsministeriet. Klima-, energi- og forsy-

ningsministeren kan endvidere efter forhandling med justitsministeren

fastsætte regler om ansøgning om, betingelser for og meddelelse og tilba-

gekaldelse af sikkerhedsgodkendelser.

Stk. 2. Klima-, energi- og forsyningsministeren kan efter forhandling

med justitsministeren fastsætte nærmere regler om, på hvilke betingelser

virksomheder kan få foretaget baggrundskontrol af personer i energisekto-

ren med henblik på at vurdere en potentiel sikkerhedsrisiko for virksomhe-

den. Baggrundskontrollen kan angå personer, der:

1) varetager følsomme opgaver i eller til fordel for virksomheden,

navnlig vedrørende virksomhedens modstandsdygtighed

2) er bemyndiget til at få direkte adgang eller fjernadgang til virksom-

hedens enheds lokaler, oplysninger eller kontrolsystemer, herunder i

forbindelse med virksomhedens sikkerhed

3) overvejes ansat i stillinger, der indebærer opgavevaretagelse efter nr.

1 og/eller nr. 2.

Commented [HUV(OEPSP11]:

Det gøres opmærksom på,

at dette kan være besværligt for parter, der anvender

international arbejdskraft.

Hvis kravet fastholdes, anbefales det at der udmøntes en

retningslinje, der adresserer de faktisk kriterier der skal

undersøges ifb. Med en sikkerhedsgodkendelse.

Side 13/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Kapitel 6

Gebyrer

§ 17.

Virksomheder betaler halvårligt et fast beløb til Klima-, Energi- og

Forsyningsministeriet til dækning af omkostninger til tilsyn med virksom-

hederne efter reglerne i denne lov eller efter regler udstedt i medfør af loven.

Stk. 2.

Virksomheder betaler ved ad-hoc tilsyn halvårligt et beløb til

Klima-, Energi- og Forsyningsministeriet til dækning af omkostningerne til

ad-hoc tilsynet med virksomheden efter reglerne i denne lov eller efter reg-

ler udstedt i medfør af loven.

Stk. 3.

Klima-, energi- og forsyningsministeren fastsætter regler om stør-

relsen, betaling og opkrævning af beløb efter stk. 1 og 2, herunder om for-

delingen af omkostningerne på kategorier af virksomheder.

§ 18.

Virksomheder betaler ved indgivelse af ansøgninger eller dispen-

sationer halvårligt et beløb for behandling af ansøgninger og dispensationer

efter reglerne i denne lov eller efter regler udstedt i medfør af loven.

Stk. 2.

Klima-, energi- og forsyningsministeren fastsætter regler om stør-

relsen, betaling og opkrævning af beløb efter stk. 1.

Kapitel 7

Tilsyn

§ 19.

Klima-, energi- og forsyningsministeren fører tilsyn med, om virk-

somhederne opfylder sine forpligtelser i henhold til loven og regler fastsat

i medfør af loven.

Stk. 2.

Klima-, Energi og Forsyningsministeriet kan som led i sin tilsyns

forpligtigelse anvende følgende tilsyns- og kontrolforanstaltninger:

1) Foretage tilsyn og kontrol hos virksomheden, ved at inspicere de lo-

kaler virksomheden bruger til at levere sine tjenester og foretage

stikprøvekontroller.

2) Foretage regelmæssige kontrol- og tilsynsbesøg hos virksomheder.

3) Foretage ad hoc-tilsyn.

4) Foretage sikkerhedsscanninger og penetrationstest af virksomhe-

dens net- og informationssystemer samt fysiske lokationer. Klima-,

Energi- og Forsyningsministeriet er ansvarlig for eventuelle skader

virksomheden pådrager sig i forbindelse med disse scanninger og

tests.

Commented [HUV(OEPSP12]:

Hvordan forholder det sig,

hvis driften af en sådan service er outsourced til en 3. part?

Side 14/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

5) Kræve at få udleveret oplysninger og dokumentation, der er nød-

vendige for at vurdere foranstaltningerne vedrørende organisatorisk

beredskab, fysisk sikring og cybersikerhed, som virksomheden har

indført efter loven og regler udsted i medfør af loven.

6) Kræve at få adgang til data, dokumenter og oplysninger, der er nød-

vendige for udførelsen af tilsynsopgaven, herunder til afgørelse af

om et forhold er omfattet af denne lov eller regler udstedt i medfør

af loven.

Stk. 3.

Klima-, energi- og forsyningsministeren kan fastsætte nærmere

regler om tilsyn og kontrol af virksomhederne, herunder omfanget, udfø-

relsen og hyppigheden af tilsyns- og kontrolbesøg.

Stk. 4.

Klima-, energi- og forsyningsministeren kan fastsætte regler om

udlevering og dokumentation af tilsynsmateriale og formkrav til tilsynsma-

teriale, herunder regler om hvilke sprog materialet skal udarbejdes på.

§ 20.

Rådgivende missioner som er nedsat i medfør af CER-direktivet

kan efter tilladelse fra klima-, energi-, og forsyningsministeren føre tilsyn

med virksomheder som betragtes som enheder af særlig europæisk betyd-

ning efter § 5, stk. 1.

Stk. 2.

Rådgivende missioner kan anvende tilsynsforanstaltninger efter §

19, stk. 2, nr. 1-7, i det omfang anvendelsen af foranstaltningerne er nød-

vendige for at gennemføre den pågældende rådgivende mission.

Skt. 3.

Rådgivende missioners tilsynsforanstaltninger efter § 19, stk. 2,

nr. 1-7, kan begrænses i det omfang, det er nødvendigt til beskyttelse af

væsentlige hensyn til følgende:

1) Statens sikkerhed eller rigets forsvar.

2) Rigets udenrigspolitiske eller udenrigsøkonomiske interesser, her-

under forholdet til fremmede magter eller mellemfolkelige instituti-

oner.

3) Private og offentlige interesser, hvor hemmeligholdelse efter forhol-

dets særlige karakter er påkrævet.

Skt. 4.

Klima-, energi og forsyningsministeren træffer afgørelse om be-

grænsning af rådgivende missioners tilsynsforanstaltninger.

Side 15/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Kapitel 8

Håndhævelse

§ 21.

Klima-, Energi- og Forsyningsministeriet kan over for en virksom-

hed anvende følgende håndhævelsesforanstaltninger:

1) Påbyde virksomheden at træffe foranstaltninger, der er nødvendige

for at forhindre eller afhjælpe en hændelse.

2) Meddele påbud og forbud, der anses nødvendige for at sikre over-

holdelsen af krav fastsat i loven, regler i medfør af loven eller Den

Europæiske Unions forordninger og direktiver, som regulerer bered-

skabsforhold inden for energisektoren.

3) Påbyde virksomheden at underrette de fysiske eller juridiske perso-

ner, til hvilke den leverer tjenester eller udfører aktiviteter, som po-

tentielt kan være berørt af en væsentlig cybertrussel, om denne trus-

sels karakter samt om eventuelle beskyttelsesforanstaltninger eller

afhjælpende foranstaltninger, som de fysiske eller juridiske personer

kan træffe som reaktion på denne trussel.

4) Påbyde virksomheden at udpege en person med ansvar for i en nær-

mere fastsat periode at føre tilsyn med virksomhedens overholdelse

af §§ 6-9 og §§ 12-14, samt regler udstedt i medfør heraf.

5) Påbyde virksomheden i ikke-anonymiseret form og på en nærmere

angiven måde at offentliggøre afgørelser om håndhævelsesforan-

staltninger efter nr. 1-4 samt resumeer af domme eller bødevedtagel-

ser, hvor der idømmes eller vedtages en bøde.

§ 22.

Klima-, energi- og forsyningsministeren kan ved manglende opfyl-

delse af påbud efter § 21, stk. 1, nr. 1-5, påbyde virksomheder at få foreta-

get en revision af net- og informationsforanstaltninger, modstandsdygtig-

hedsforanstaltninger og kritiske systemer ved en uafhængig revisor. Udgif-

terne til revisionen afholdes af virksomheden.

Stk. 2.

Klima-, energi- og forsyningsministeren kan påbyde virksomhe-

der at gennemføre tiltag, som på baggrund af en revision efter stk. 1, vur-

deres nødvendige for at opretholde et tilstrækkeligt beredskab.

Stk. 3.

Klima-, energi- og forsyningsministeren kan fastsætte nærmere

regler for, hvordan den uafhængige revisor udpeges og godkendes samt

omfanget af revisionen.

Side 16/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

§ 23.

Har de håndhævelsesforanstaltninger, der er pålagt i medfør af §

21, nr. 1-4 og § 22, stk. 1 og 2, vist sig at være utilstrækkelige, kan klima-,

energi- og forsyningsministeren fastsætte en frist, inden for hvilken virk-

somheden skal foretage de nødvendige tiltag for at afhjælpe manglerne el-

ler opfylde myndighedernes krav. Er tiltagene ikke foretaget inden for den

fastsatte frist, kan klima-, energi- og forsyningsministeren træffe afgørelse

om:

1) Midlertidigt at suspendere en certificering eller godkendelse vedrø-

rende dele af eller alle de relevante tjenester, virksomheden leverer,

eller aktiviteter, der udføres af virksomheden.

2) Midlertidigt at forbyde enhver fysisk person med ledelsesansvar på

niveau med administrerende direktør eller den juridiske repræsen-

tant hos virksomheden at udøve ledelsesfunktioner i den pågæl-

dende virksomhed.

Stk. 2.

Midlertidige suspensioner eller forbud, som er pålagt i medfør af

stk. 1, kan kun anvendes, indtil virksomheden træffer de nødvendige for-

anstaltninger til at afhjælpe de mangler eller til at opfylde de krav, som gav

anledning til, at foranstaltningerne blev anvendt.

Stk. 3.

En afgørelse efter stk. 1 kan af virksomheden eller den fysiske

person, afgørelsen vedrører, forlanges indbragt for domstolene. Klima-,

energi- og forsyningsministeren anlægger i givet fald sag mod den virk-

somhed eller person, som har forlangt sagen indbragt.

Stk. 4.

Klima-, energi- og forsyningsministeren kan efter forhandling

med forsvarsministeren fastsætte nærmere regler om, hvilke certificeringer

og godkendelser der er omfattet af stk. 1, nr. 1.

§ 24.

Inden Klima- Energi- og Forsyningsministeriet træffer afgørelse

om at anvende håndhævelsesforanstaltninger efter §§ 21-23, underrettes

den berørte virksomhed om de påtænkte håndhævelsesforanstaltninger og

begrundelsen herfor. Klima- Energi- og Forsyningsministeriet skal give

virksomheden en rimelig frist til at fremsætte bemærkninger, undtagen i

tilfælde, hvor formålet med foranstaltningen ellers ville forspildes.

Kapitel 9

Gensidig bistand om cyber

§ 25.

Hvor en enhed leverer tjenester i mere end én medlemsstat i Den

Europæiske Unions, eller hvor virksomheden leverer tjenester i en eller

flere medlemsstater, og virksomhedens net- og informationssystemer er

Side 17/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

beliggende i en eller flere andre medlemsstater, samarbejder Klima-,

Energi- og Forsyningsministeriet med de andre medlemsstaters kompe-

tente myndigheder i relevant omfang. Samarbejdet, indebærer at:

1) Klima-, Energi- og Forsyningsministeriet via det centrale kontakt-

punkt, der er nedsat i medfør af NIS 2-direktivet, underretter de

kompetente myndigheder i relevante medlemsstater om anvendte

tilsyns- og håndhævelsesforanstaltninger.

2) Klima-, Energi- og Forsyningsministeriet kan anmode en anden

medlemsstats kompetente myndigheder om at anvende tilsyns- og

håndhævelsesforanstaltninger.

3) Klima-, Energi- og Forsyningsministeriet yder i rimeligt omfang

bistand til en anden medlemsstats kompetente myndighed efter

modtagelse af en begrundet anmodning herom.

Stk. 2.

Klima-, Energi- og Forsyningsministeriet kan efter nærmere af-

tale gennemføre fælles tilsynstiltag med kompetente myndigheder fra an-

dre medlemsstater i Den Europæiske Union.

Kapitel 10

Fortrolighed, udveksling af oplysninger og digital kommunikation

§ 26.

Informationer om sikkerhedsgodkendelse og baggrundskontrol,

samt forhold vedrørende organisatorisk beredskab, fysisk sikring og cyber-

sikkerhed i virksomheder omfattet af loven og i energisektoren generelt, er

fortrolige, hvis:

Informationerne indgår i vurderingen af sikkerhedsgodkendelser

Informationerne indgår i vurderingen af baggrundskontrol

Informationerne er væsentlige af hensyn til driften af virksomheden

Informationerne er væsentlige af hensyn til driften andre virksomhe-

der omfattet af loven

5) Informationerne er væsentlige af hensyn til driften af energiforsynin-

gen lokalt, regionalt, nationalt eller på europæisk niveau.

Stk. 2.

Klima-, energi- og forsyningsministeren fastsætter nærmere reg-

ler om, hvordan virksomheder og myndigheder opbevarer, behandler og

deler informationer som nævnt i stk. 1.

§ 27.

Underretning efter § 15 er undtaget fra aktindsigt efter lov om of-

fentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

Side 18/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

§ 28.

Klima-, Energi- og Forsyningsministeriet og andre relevante myn-

digheder kan videregive oplysninger til andre medlemsstaters myndighe-

der og til institutioner i Den Europæiske Union for at varetage de myndig-

hedsopgaver som følger af denne lov, NIS 2-direktivet eller CER-direkti-

vet.

§ 29.

De forpligtelser, der er fastsat i denne lov eller i regler udstedt i

medfør af loven, omfatter ikke meddelelse af oplysninger, hvis videregi-

velse ville stride mod væsentlige interesser af hensyn til den nationale sik-

kerhed, offentlige sikkerhed eller forsvar.

Stk. 2.

Oplysninger, der modtages eller hidrører fra myndigheder i an-

dre EU-medlemsstater, behandles som fortrolige, såfremt den afgivende

myndighed betragter oplysningerne som fortrolige i henhold til EU-regler

eller nationale regler.

§ 30.

Klima-, energi- og forsyningsministeren kan fastsætte regler om

digital kommunikation, herunder om anvendelsen af bestemte it-systemer

og særlige digitale formater samt digital signatur eller lignende.

Kapitel 11

Andre bestemmelser

§ 31.

Energiklagenævnet behandler klager over afgørelser truffet af

klima-, energi- og forsyningsministeren eller anden statslig myndighed ef-

ter denne lov eller regler udstedt i henhold til loven.

Stk. 2.

Afgørelser nævnt i stk. 1 kan ikke indbringes for anden admini-

strativ myndighed end Energiklagenævnet. Afgørelserne kan ikke indbrin-

ges for domstolene, før den endelige administrative afgørelse foreligger.

Stk. 3.

Klagen skal være indgivet skriftligt til Energiklagenævnet inden

4 uger fra tidspunktet, hvor afgørelsen er meddelt. Er afgørelsen offentligt

bekendtgjort, regnes fristen dog altid fra bekendtgørelsen. Udløber klage-

fristen på en lørdag eller en helligdag, forlænges fristen til den følgende

hverdag.

Stk. 4.

Energiklagenævnets formand kan efter nærmere aftale med næv-

net træffe afgørelse på nævnets vegne i sager, der behandles efter denne

lov eller regler udstedt i henhold til loven.

Side 19/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Stk. 5.

Søgsmål til prøvelse af afgørelser truffet af Energiklagenævnet

efter loven eller de regler, der udstedes efter loven, skal være anlagt inden

6 måneder efter, at afgørelsen er meddelt den pågældende. Er afgørelsen

offentligt bekendtgjort, regnes fristen dog altid fra bekendtgørelsen.

Stk. 6.

Energiklagenævnet kan i forbindelse med behandling af en klage,

indhente oplysninger der er nødvendige for behandling af klagen fra virk-

somheder omfattet af loven samt myndigheder der træffer afgørelser efter

loven eller regler udstedt i medfør af loven.

§ 32.

Klima-, energi- og forsyningsministeren kan fastsætte regler om

adgangen til at klage over afgørelser, der efter loven eller regler udstedt i

henhold til loven træffes af klima-, energi- og forsyningsministeren, herun-

der at visse afgørelser ikke skal kunne indbringes for Energiklagenævnet,

Stk. 2.

Erhvervsministeren kan fastsætte regler om

1) at kommunikation med Energiklagenævnet skal ske digitalt. Mini-

steren kan herunder udstede regler om anvendelse af et bestemt digi-

talt system. Ved fastsættelse af regler efter 1. pkt. fastsætter ministe-

ren regler om fritagelse for obligatorisk anvendelse for visse perso-

ner og virksomheder,

2) betaling af gebyr ved indbringelse af en klage for Energiklagenæv-

net,

3) Energiklagenævnets sammensætning ved nævnets behandling af af-

gørelser efter denne lov eller regler udstedt i medfør af loven.

§ 33.

Klima-, energi- og forsyningsministeren kan bemyndige en under

ministeriet oprettet institution eller anden myndighed til at udøve de befø-

jelser, der i denne lov er tillagt ministeren.

§ 34.

Klima-, energi- og forsyningsministeren kan fastsætte regler eller

træffe bestemmelser med henblik på at gennemføre eller anvende internati-

onale konventioner og EU-regler om forhold, der er omfattet af denne lov,

herunder forordninger, direktiver og beslutninger om beredskab og beskyt-

telse af energiinfrastruktur på søterritoriet og den eksklusive økonomiske

zone.

§ 35.

Klima-, energi- og forsyningsministeren og Energinet kan fra virk-

somheder omfattet af loven indhente oplysninger, der er nødvendige for

Side 20/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

varetagelsen af deres opgaver efter loven, efter bestemmelser fastsat i hen-

hold til loven eller efter EU-retsakter eller internationale forpligtelser om

forhold omfattet af loven.

Stk. 2.

Klima-, energi- og forsyningsministeren fastsætter regler om, at

virksomheder skal registrere sig, og hvilke oplysninger virksomheder i den

forbindelse skal oplyse, herunder oplysninger om følgende:

1) Virksomhedens navn.

2) Adresse og ajourførte kontaktoplysninger, herunder e-mailadresser,

IP-intervaller og telefonnumre.

3) Den relevante sektor og delsektor, som virksomheden er omfattet af.

4) De medlemsstater i Den Europæiske Union, hvor virksomheden le-

verer tjenester.

Kapitel 12

Straf

§ 36.

Med bøde straffes den, der

1) overtræder §§ 6-10, § 11, stk. 2, §§ 12 og 13,

2) undlader at efterkomme en afgørelse efter § § 23, stk. 1, nr. 1 eller

3) undlader at efterkomme påbud efter §§ 21 og 22,

4) undlader at efterkomme krav efter § 14, stk. 2 eller § 19, stk. 2, nr.

5-7,

5) hindrer myndighederne i at føre kontrol efter bestemmelserne i 19,

stk. 2, nr. 1-4,

6) meddeler klima-, energi- og forsyningsministeren eller Energikla-

genævnet urigtige eller vildledende oplysninger eller efter anmod-

ning undlader at afgive oplysninger.

Stk. 2.

Der kan pålægges selskaber m.v. (juridiske personer) strafan-

svar efter reglerne i straffelovens 5. kapitel.

Stk. 3.

Hvor der er pålagt en bøde for overtrædelse af forordning

2016/679/EU eller databeskyttelsesloven, kan der ikke pålægges en bøde

for overtrædelse af denne lov eller regler udstedt i medfør af loven, hvis

overtrædelsen skyldes den samme adfærd som den, der var genstand for

bøden i medfør af forordning 2016/679/EU eller databeskyttelsesloven.

Side 21/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Stk. 4.

I forskrifter, der udstedes i medfør af loven, kan der fastsættes

straf af bøde for overtrædelse af bestemmelser i forskrifterne.

Kapitel 13

Ikrafttrædelse

§ 37.

Loven træder i kraft d. 1. januar 2025.

Kapitel 14

Ændringer i anden lovgivning

§ 38.

I olieberedskabslov jf. lov nr. 354 af 24. april 2012, foretages føl-

gende ændringer:

§ 16,

ophæves.

§ 39.

I lov om elforsyning jf. lovbekendtgørelse nr. 1248 af 24. oktober

2023, foretages følgende ændringer:

§ 51 d,

ophæves.

Overskriften

til kapitel 12 affattes således:

»Kapitel 12

Fortrolighed, kontrol, oplysningspligt og påbud«

§§ 85 b og 85 c,

ophæves.

§ 40.

I lov om gasforsyning jf. lovbekendtgørelse nr. 1100 af 16. august

2023, foretages følgende ændringer:

Overskriften

før § 15 a ophæves.

§§ 15 a

15 b,

ophæves.

§ 30 a, stk. 5 og 6,

ophæves.

stk. 6 og 7 bliver herefter stk. 5 og 6.

§ 30 a, stk. 7,

der bliver stk. 6, ændres »stk. 1, 2, 5 og 6.« til: »stk. 1 og

2.«

Side 22/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

§ 41.

I lov om varmeforsyning jf. lovbekendtgørelse nr. 124 af 2. fe-

bruar 2024, foretages følgende ændringer:

§ 20, stk. 1, 1. pkt.,

indsættes efter »§§ 28 a, 28 b og 29«: »og om-

kostninger til beredskab efter lov om styrket beredskab i energisektoren,«.

§ 29 a,

ophæves.

§ 42.

I lov om anvendelse af Danmarks undergrund jf. lovbekendtgø-

relse 1461 af 29. november 2023, foretages følgende ændringer:

§ 17 a

ophæves.

§ 43.

I lov om energinet jf. lovbekendtgørelse nr. 271 af 09. marts 2023,

foretages følgende ændringer:

§ 2, stk. 2, 1. pkt.,

indsættes efter »reglerne i denne lov«: lov om

styrket beredskab «.

Kapitel 15

Territorialbestemmelser

§ 44.

Loven gælder ikke for Færøerne og Grønland.

Side 23/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Bemærkninger til lovforslaget

Almindelige bemærkninger

Indholdsfortegnelse

3.1.

3.1.1.

3.1.2.

3.1.3.

3.2.

Indledning

Lovforslagets baggrund

Lovforslagets hovedpunkter

Anvendelsesområde og identifikationsbestemmelser

Gældende ret

Klima-, Energi- og Forsyningsministeriets overvejelser

Den foreslåede ordning

Foranstaltninger for beredskab og modstandsdygtighed i ener-

gisektoren

Gældende ret

3.2.1.

3.2.1.1. Organisatorisk beredskab

3.2.1.2. Fysisk sikring

3.2.1.3. It-beredskab

3.2.2.

3.2.3.

3.3.

3.3.1.

3.3.2

3.3.3.

Klima-, Energi- og Forsyningsministeriets overvejelser

Den foreslåede ordning

Underretning

Gældende ret

Klima-, Energi- og Forsyningsministeriets overvejelser

Den foreslåede ordning

Side 24/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

3.4.

3.4.1

3.4.2

3.4.3

3.5.

Sikkerhedsgodkendelser og baggrundskontrol

Gældende ret

Klima-, Energi- og Forsyningsministeriets overvejelser

Den foreslåede ordning

Gebyrbestemmelser om gebyrbetaling for myndighedsbehand-

ling

Gældende ret

3.5.1.

3.5.1.1. Virksomhedernes gebyrbetaling for myndighedsbehandling

3.5.1.2. Energinets gebyrbetaling for myndighedsbehandling

3.5.2.

Klima-, Energi- og Forsyningsministeriets overvejelser

3.5.2.1. Generelle grundbeløb til finansiering af almindeligt tilsyn og

administration af ordningen

3.5.2.2. Aktivitetsberegnet beløb til finansiering af ad-hoc tilsyn

3.5.2.3. Beløb til finansiering af behandling af virksomhedernes ansøg-

ninger i egeninteresse

3.5.3

3.6.

3.6.1.

3.6.2.

3.6.3.

3.7.

3.7.1.

3.7.2.

3.7.2.1

Den foreslåede ordning

Tilsyn

Gældende ret

Klima-, Energi- og Forsyningsministeriets overvejelser

Den foreslåede ordning

Håndhævelse og sanktion

Gældende ret

Klima-, Energi- og Forsyningsministeriets overvejelser

Særligt om tvangsbøder

Side 25/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

3.7.2.2. Særligt om fysiske personer strafansvar, herunder valg af an-

svarssubjekt

3.7.2.3. Særligt om brud på persondatasikkerheden

3.7.3

3.8.

Den foreslåede ordning

Nødvendige omkostninger til beredskab efter lov om varme-

forsyning

Gældende ret

Klima-, Energi- og Forsyningsministeriets overvejelser

Den foreslåede ordning

Økonomiske konsekvenser og implementeringskonsekvenser

for det offentlige

Økonomiske og administrative konsekvenser for erhvervslivet

m.v.

Administrative konsekvenser for borgerne

Klimamæssige konsekvenser

Miljø- og naturmæssige konsekvenser

Forholdet til EU-retten

Forholder til databeskyttelsesforordningen og databeskyttel-

sesloven

Hørte myndigheder og organisationer m.v.

Sammenfattende skema

3.8.1.

3.8.2.

3.8.3.

10.

11.

12.

Side 26/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

1. Indledning

Mange samfundsvigtige funktioner er afhængige af, at en stabil energifor-

syning opretholdes. Derfor er samfundet også særdeles sårbart, hvis dele af

energiforsyningen i kortere eller længere perioder forstyrres, hvad enten det

skyldes tekniske nedbrud på grund af fx systemfejl, vejrmæssige forhold

eller det skyldes cyberangreb, hærværk eller sabotage.

Energisektorens beredskab har overordnet til formål at sikre, at sektoren er

forberedt til at kunne beskytte og videreføre energiforsyningen i tilfælde af

naturskabte, menneskeskabte og teknologiske risici. Dette lovforslag har til

formål at styrke beredskabsreguleringen i den danske energisektor for at

sikre, at lovgivningen på området er tidssvarende, og at virksomheder og

energisektoren som helhed er robust overfor relevante risici og sårbarheder.

Desuden omfattes energisektoren af EU-direktiver, som skal implementeres

som del af dette lovforslag. Det drejer sig om Europa-Parlamentets og Rå-

dets Direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders

modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF

(CER-direktivet) og Europa-Parlamentets og Rådets Direktiv (EU)

2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt

fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning

(EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv

(EU) 2016/1148 (NIS 2-direktivet).

Lovforslaget rummer bl.a. bemyndigelsesbestemmelser til klima-, energi-

og forsyningsministeren, der angår krav til virksomhedernes organisatoriske

beredskab, fysisk sikring, cybersikkerhed, sikkerhedsgodkendelser, bag-

grundskontrol og digital kommunikation. Desuden indgår bestemmelser for

fastsættelse af rammer for myndighedernes arbejde i forhold til vejledning,

tilsyn, sanktioner og gebyrfinansiering af disse aktiviteter. Der redegøres

nærmere herfor i de almindelige bemærkninger samt bemærkningerne til

lovforslagets enkelte bestemmelser.

2. Lovforslagets baggrund

Der er ikke foretaget væsentlige ændringer i reguleringen af energisektorens

almene beredskab siden 2007 og it-beredskab siden 2017. Der er dog en

række forandringer i samfundet, som er med til i disse år at ændre rammerne

for beredskabet, og som gør, at der er behov for at opdatere beredskabsre-

guleringen i energisektoren.

Side 27/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Den grønne omstilling betyder bl.a., at energisystemet forandres. Større dele

af energiforsyningen i fremtiden vil komme fra mange decentralt placerede

VE-anlæg. Produktionen af el vil således fx ikke længere være koncentreret

om få kraftværker, men vil i stedet blive spredt ud på mange små og store

anlæg. Tilsvarende sker der en udvikling i brugen af digitale teknologier,

der skaber nye sårbarheder på især cyberområdet.. Også den geopolitiske

situation i Europa og det generelle trusselsbillede har udviklet sig, og det

har skabt en række afledte effekter for den danske energisektor. Der er bl.a.

cyber- og spionageaktivitet mod energisektoren. Der er også ændringer i

klimaet som fx større mængder regn end tidligere, som sætter nye krav til

beredskabsmæssigt at robustgøre og klimatilpasse energianlæg, som kan

være udsatte.

EU-direktiverne NIS 2 og CER skal implementeres i energisektoren. Direk-

tiverne stiller krav om et højere beredskabsniveau på tværs af unionen.

Overordnet stiller CER krav til kritiske enheders modstandsdygtighed, mens

NIS2 stiller krav til væsentlige og vigtige enheders cybersikkerhed i kritiske

sektorer. I energisektoren omfatter direktiverne el, gas, olie, fjernvarme,

fjernkøling og brint. Direktiverne stiller således krav til delsektorer og virk-

somheder, der ikke i dag er omfattet beredskabsregulering.

Regeringen har besluttet, at Forsvarsministeriet er ansvarlig for koordine-

ringen af implementeringen af NIS2- og CER-direktiverne. For begge di-

rektiver er det blevet besluttet, at Forsvarsministeriet fremsætter én hoved-

lov, som omfatter alle berørte sektorer med undtagelse af energisektoren for så

vidt angår CER og med undtagelse af energi-, tele- og finanssektoren for så

vidt angår NIS2.

Det er væsentligt for et sammenhængende beredskab i energisektoren, at

NIS2- og CER-direktivet tænkes sammen. Kravene som følger af direkti-

verne komplementerer hinanden. Et højt cybersikkerhedniveau forudsætter

fx, at der bl.a. er passende fysiske sikring. I lovforslaget lægges der grund-

læggende vægt på, at et robust beredskab kræver en holistisk tilgang, hvor

tekniske, organisatoriske og fysiske foranstaltninger spiller sammen. Det

følger også af direktiverne, at der er indbyrdes forbindelser, og at der i videst

muligt omfang bør sikres en sammenhængende tilgang til implementeringen

af direktiverne. Derfor lægges der op til, at opdateringen af beredskabsregu-

leringen i energisektoren og implementeringen af NIS 2- og CER-direktivet

sker ved ét samlet lovforslag. Samtidig overføres en række beredskabsbe-

stemmelser fra energisektorens forsyningslove til denne lov.

Side 28/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

3. Lovforslagets hovedpunkter

3.1. Anvendelsesområde og identifikationsbestemmelser

3.1.1. Gældende ret

Reguleringen af beredskabsplanlægningen for virksomheder i den danske

energisektor udspringer af sektoransvaret, der er det grundlæggende prin-

cip for organiseringen af det danske civilberedskab. Sektoransvaret er ko-

dificeret i § 24 i lovbekendtgørelse nr. 314 af 3. april 2017 om bekendtgø-

relse af beredskabsloven. Det følger af beredskabslovens § 24, at hver mi-

nister inden for sit område skal stå for planlægning af det civile beredskab,

som omfatter opretholdelse og videreførelse af samfundets funktioner i til-

fælde af større ulykker og katastrofer. I forarbejderne til lov nr. 514 af 26.

maj. 2014 om ændring af beredskabsloven gøres det ligeledes klart, at

krigshandlinger, samt det at kunne yde støtte til forsvaret, fortsat er noget,

den enkelte minister skal tage højde for i sin beredskabsplanlægning. Heri

indgår efter praksis også at koordinere planlægningen med andre myndig-

heder, herunder at planlægge sammen med forsvaret og yde støtte til for-

svaret, når dette findes relevant, fx. i forhold til luftfartskontrol.

Den sektoransvarlige minister har som led i sin beredskabsplanlægnings-

forpligtigelse ikke ansvar for den aktive beskyttelse af dansk territorium til

lands, til vands eller i luften, den danske befolkning eller infrastruktur på

dansk territorium mod konkrete angreb fra fremmede stater eller terrori-

ster. Dette er afgrænset af beredskabslovens § 24, hvor civilberedskabs-

planlægningen går på planlægningen for opretholdelse af og videreførelsen

af samfundets funktioner efter større ulykker og naturkatastrofer herunder

krigshandlinger.

Den sektoransvarlige minister har dog et ansvar for, at virksomheder inden

for dennes ressort kan detektere forsøg på angreb mod disse virksomheder,

har et minimum af sikring mod angreb og sabotage, og at virksomhederne

har planer for opretholdelse og videreførelse af deres samfundsmæssige

funktion, skulle de blive forsøgt angrebet eller faktisk angrebet, uanset

hvem der står bag.

Sektoransvaret efter § 24 i beredskabsloven er for klima-, energi- og forsy-

ningsministerens ressortområde siden Lov nr. 316 af 22. maj 2002 blevet

udmøntet i forskellige forsyningslove ved bemyndigelsesbestemmelser,

der i udgangspunktet er delegeret til Energistyrelsen, herunder elforsy-

Side 29/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

ningsloven, gasforsyningsloven, varmeforsyningsloven, olieberedskabslo-

ven, undergrundsloven og lov om forsyningsmæssige foranstaltninger. Før

lov nr. 316 af 22. maj 2002 var sektoransvaret løftet ved hjælp af pålæg til

de enkelte virksomheder i henhold til § 28, stk. 1 i beredskabsloven.

Beredskabsparagrafferne i disse love omhandler alle mitigering af forsy-

ningsafbrud af energi og om nødvendigt hurtigst mulig genoprettelse af

forsyningen, når denne har været afbrudt.

Ministeren har kun ansvaret for håndteringen af den civile beredskabsplan-

lægning i Danmark for den danske energiforsyning. Derfor finder oven-

nævnte forsyningslove i udgangspunktet kun anvendelse på virksomheder,

der opererer som et direkte led af den forsyningskæde, der måtte være fra

første produktion i Danmark (herunder i dansk eksklusiv økonomisk zone)

til import til Danmark, og indtil energiarten er forbrugt i Danmark eller ek-

sporteret. Beredskabsplanlægning for energi i transit fx. i rørledninger,

kabler eller skibe, der ikke er forbundet til Danmark eller tilløber Dan-

mark, falder således uden for klima-, energi- og forsyningsministerens res-

sort.

De gældende beredskabsparagraffer i de ovennævnte forsyningslove finder i

elsektoren anvendelse på bevillingspligtige virksomheder efter §§ 10 og 19

i elforsyningsloven samt elforsyningsvirksomhed, der varetages af

Energinet eller denne virksomheds helejede datterselskaber i medfør af §

2, stk. 2 og 3, i lov om Energinet, samt virksomheder, der yder balancering

af elsystemet. I gassektoren finder de gældende beredskabsparagraffer an-

vendelse på selskaber, der er bevillingspligtige efter § 10 i gasforsynings-

loven, samt Energinet og denne virksomheds helejede datterselskaber, der

varetager gasvirksomhed i medfør af § 2, stk. 2 og 3, i lov om Energinet,

samt virksomheder, som driver anlæg til produktion og fremføring af by-

gas. I oliesektoren finder de gældende beredskabsparagraffer anvendelse

på lagringspligtige virksomheder efter olieberedskabsloven, som har en

lagringspligtig omsætning større end nul og den centrale lagerenhed, der er

udpeget efter olieberedskabslovens § 5, stk. 1. I offshore olie- og gassekto-

ren finder de gældende beredskabsparagraffer anvendelse på rettighedsha-

vere med tilladelse til efterforskning og indvinding af kulbrinter eller tilla-

delse til etablering og drift af rørledningsanlæg i forbindelse med indvin-

ding af kulbrinter.

Danske love finder i udgangspunktet anvendelse alle steder, hvor den dan-

ske stat kan udøve sin autoritet, medmindre der er taget eksplicit stilling

Side 30/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

til, at den ikke skal gælde der. Således er alle eksisterende love, der be-

skæftiger sig med beredskab for energisektoren gældende på land, dansk

territorialfarvand, i den danske eksklusive økonomiske zone og dansk kon-

tinentalsokkelområde. Udgangspunktet er specificeret i en række af forsy-

ningslovene.

Ifølge bekendtgørelse om beredskab for elsektoren § 11, stk. 1 og bekendt-

gørelse om beredskab for gassektoren § 11, stk. 1, skal Energistyrelsen fo-

retage en klassificering af anlæg i el og gassektoren. Det følger af bekendt-

gørelse om it-beredskab for el- og naturgassektoren, at Energistyrelsen

skal foretage kategorisering af virksomheder. Efter gældende ret inddeles

anlæg i tre klasser, og virksomheder inddeles i tre kategorier afhængig af

anlæggets eller virksomhedens betydning for energiforsyningen. Klassifi-

ceringen og kategoriseringen har betydning for, hvilke krav virksomhe-

derne skal efterleve, samt hvor ofte der føres tilsyn med virksomheden.

Alle de eksisterende energiforsyningslove, der indeholder beredskabspara-

graffer, indeholder også bemyndigelsesbestemmelser til klima-, energi- og

forsyningsministeren, hvorefter ministeren kan fastsætte regler eller træffe

bestemmelser med henblik på at gennemføre eller anvende internationale

konventioner og EU-regler om forhold, der er omfattet af loven. Bemyndi-

gelsen udnyttes ofte som en supplerende hjemmelsparagraf ved udstedelse

af bekendtgørelser, der implementerer direktiver eller gennemfører dele af

forordninger.

3.1.2. Klima-, Energi- og Forsyningsministeriets overvejelser Klima-,

Energi og Forsyningsministeriets vil med dette lovforslag fort- sætte med

at løfte sit sektoransvar, som kodificeret i beredskabslovens §

24. Der ændres med forslaget ikke på de allerede eksisterende grundprin-

cipper i den beredskabsplanlægning, som virksomhederne skal udføre.

Lovforslaget vil samtidig implementere NIS2- og CER-direktiverne, som

finder anvendelse på flere delsektorer end den gældende regulering. Bered-

skabet i energisektoren vil dermed blive styrket, idet lovforslaget vil om-

fatte flere virksomheder i flere delsektorer, og fordi kravene til virksomhe-

derne i relevant omfang skærpes og gøres mere detaljerede, end de har væ-

ret i det hidtidige lovgrundlag.

Ligeledes vil der fremover blive ført tilsyn med flere virksomheder. Hyp-

pigheden af tilsynet gradueres efter, hvor forsyningskritiske virksomhe-

derne er.

Side 31/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Lovforslaget fastsætter endvidere regler for fortrolig deling af information

om sårbarheder og hændelser. Det forventes, at tilsynsmyndigheden forsat

placeres hos Energistyrelsen, der fik overført tilsynsmyndigheden fra

Energinet i 2019.

Af lovtekniske grunde har Klima-, Energi og Forsyningsministeriet med

dette lovforslag valgt at samle hjemmelsgrundlaget for beredskabsarbejdet

i energisektoren i en ny lov fremfor at have næsten enslydende hjemler i

fem forskellige forsyningslove. Baggrunden herfor er bl.a., at sikre, at kra-

vene er de samme på tværs de forskellige forsyningsarter. Derudover giver

det et samlet overblik over beredskabsreguleringen for de omfattede virk-

somheder, hvoraf en del er multiforsyningsvirksomheder eller har aktivite-

ter i flere delsektorer.

Den grønne omstilling har og vil forsat medføre en større diversitet i dan-

ske forbrugeres og virksomheders energiforsyning. Den decentrale energi-

produktion, som bl.a. hænger sammen med en øget integration af vedva-

rende energi i det danske energisystem, har bevirket, at forbrugere og virk-

somheder ikke blot er afhængige af en eller to energikilder. Der er ligele-

des gensidige afhængigheder mellem de forskellige delsektorer, hvilket

kan bevirke, at en forsyningsafbrydelse i den ene delsektor kan have be-

tydning for forsyningen i andre delsektorer. Desuden har markedsliggørel-

sen og digitaliseringen af den danske og europæiske energiforsyning med-

ført, at et langt større antal virksomheder har indflydelse på, at forsyningen

er velfungerende, forudsigelig og ikke mindst sikker.

Med udbygningen af vind- og solenergi bliver elproduktionen mere decen-

traliseret. Produktionen af el vil således ikke længere være koncentreret

om få kraftværker, men den vil i stedet blive spredt ud på mange små og

store anlæg. Der vil bl.a. i de kommende år blive bygget store VE-anlæg

(f.eks. land- og havvindmølleparker), som vil have en størrelse, hvor de vil

få væsentlig betydning for energiforsyningen på nationalt og europæisk ni-

veau. Nogle af disse anlæg vil være geografisk placeret steder, hvor de kan

være eksponeret.

Grundet udviklingen af energisystemerne hvor produktionen er blevet

mere vejrafhængigt og fluktuerende de sidste par år, vil forbrugssiden også

få væsentligt indvirkning på forsyningssikkerheden af energi. Dette er sær-

ligt relevant for elforsyningen, hvor alt fra ladestanderoperatører, PtX-an-

læg, varmepumper og smartstyring af virksomheder og privatpersoners el-

forbrug potentielt kan få indvirkning på den nationale elforsyning, såfremt

Side 32/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

ondsindede aktører kan tage kontrollen med forbruget. Den nuværende re-

gulering tager ikke tilstrækkeligt højde for denne udvikling inden for

mangfoldigheden af aktører, der har betydning for energisektoren. Derfor

foreslås det i overensstemmelse med NIS 2- og CER-direktivet, at flere ak-

tører på forbrugssiden omfattes af reguleringen. Velfungerende og sikre

markedsaktører er ligeledes essentielle for en stabil forsyning af energi i

Danmark og resten af Europa, hvorfor disse også foreslås omfattet af

denne beredskabsregulering.

I takt med at brint bliver en vigtigere del af det danske energisystem, bør

modstandsdygtigheden af brintforsyningen også understøttes. På sigt for-

ventes der i Danmark være en del af de danske forbrugere og virksomhe-

der, der vil være afhængige af den brint, som produceres på de brintprodu-

cerende anlæg. Beredskabsreguleringen af brintsektoren bør tage højde for

denne forudsete udvikling af brintsektorens kritikalitet, hvor brintproduce-

rende anlæg går fra at være kritiske for elforsyningssikkerheden på bag-

grund af deres forbrug af el til i stigende grad også at være kritiske på bag-

grund af den brint og dermed de PtX-produkter, som elektriciteten omdan-

nes til på anlæggene. På den baggrund har Klima-, Energi-, og Forsynings-

ministeriet vurderet, at beredskabsreguleringen af brintsektoren bør tage

højde for, at brintproducerende anlæg kan være kritiske for energiforsynin-

gen både på baggrund af forbruget af strøm og på baggrund af den brint,

som anlæggene producerer.

Brintinfrastruktur kommer til at udgøre et vigtigt bindeled mellem produk-

tion og forbrug af brint og bliver afgørende for, at brint kan handles på det

indre marked. Brintinfrastruktur er i dag reguleret i gasforsyningsloven.

Idet den økonomiske regulering og markedsforholdene for brint følger den

model, der i en årrække har været gældende på naturgasområdet, er det

nærliggende, at beredskabsreguleringen af brintinfrastrukturen følger den

model, der gælder for naturgassektoren i den nuværende beredskabsregule-

ring.

I gassystemet er der de seneste år sket en markant udvikling, hvor naturgas

fra den danske del af Nordsøen eller import af naturgas i vidt omfang er

blevet erstattet af decentral biogasproduktion. Opgraderet biogas svarede

således i 2023 til ca. 40 pct. af det samlede danske gasforbrug, og andelen

af biogas i gasnettet forventes at stige yderligere fremover.

Side 33/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Den danske produktion og opgradering af biogas til nettet er steget mar- kant

de seneste år. Biogasproduktionen har dermed fået en væsentlig be- tydning

i gassystemet, og Klima-, Energi- og Forsyningsministeriet vurde-

rer derfor, at det er væsentligt at omfatte biogasproduktionsanlæggene af

reguleringen.

Det gælder for både biogasanlæg såvel som for øvrige gasproducerende

anlæg og gasbehandlingsanlæg, at det enkelte anlæg ikke er kritisk i sig selv,

fordi anlægget producerer til et sammenhængende gasnet. Ikke desto

mindre er de gasproducerende anlæg vigtige for at gøre energiforsyningen

modstandsdygtig over for uforudsete hændelser på tværs af de enkelte led.

Der sker i disse år en udfasning af fossile brændsler til opvarmning, som

især erstattes af fjernvarme. Fjernvarmesektoren er karakteriseret af mange

små og mellemstore anlæg, som således ikke nødvendigvis har betydning

for energiforsyningen på nationalt plan. Dog er fjernvarmesektoren karak-

teriseret af naturlige monopoler, hvor langt størstedelen af slutbrugerne så-

ledes kun har ét varmerør, der forsyner deres hus eller bygning. Dette for-

hold understreger fjernvarmens kritikalitet for især private boliger samt fx.

hospitaler og andre samfundskritiske funktioner, hvor varmeforsyning er

afgørende, og Klima-, Energi- og Forsyningsministeriet vurderer derfor, at

det er væsentligt at omfatte virksomheder, der producerer eller distribuerer

fjernvarme af reguleringen.

Fjernkølingssektoren i Danmark er under udvikling og forventes at få en

tiltagende betydning for køling i især industrien såvel som for hospitaler

og lignende samfundskritiske bygninger og anlæg, der har behov for stabil

køling. På den baggrund vurderes det relevant at omfatte virksomheder,

der opererer inden for fjernkøling.

Den gældende beredskabsregulering af oliesektoren omhandler primært

krav om lagerberedskab af olieprodukter. Danmark er efter gældende EU-

regler forpligtet til at holde beredskabslagre af olie svarende til 61 dages

gennemsnitligt forbrug. Forpligtigelsen til at holde beredskabslagre er på-

lagt de lagringspligtige virksomheder, hvilket er den gruppe af olievirk-

somheder i Danmark, som foretager import eller produktion af enten råolie

eller olieprodukter. Det vil sige, at virksomhederne og den centrale lager-

enhed skal foretage beredskabsplanlægning, der sikrer forsyningen af olie

fra egne lagre i en beredskabssituation. Fremover udvides beredskabsregu-

Side 34/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

leringen af olievirksomheders lagre til også at omfatte flere led i olieforsy-

ningen. Derned vil flere led i værdikæden for olieforsyning blive omfattet

af beredskabskrav.

Oliesektoren i Danmark er i høj grad karakteriseret af globale markedsme-

kanismer og for mange af kunderne i oliesektoren, er der substitutionsmu-

ligheder. Kritikaliteten afhænger ikke på samme måde af virksomhedernes

størrelse målt på mængden af energi, de håndterer, men den afhænger i hø-

jere grad af deres rolle i værdikæden, og hvorvidt deres kunder har substi-

tutionsmuligheder. I oliesektoren er der flere aktører i forsyningskæden,

for hvilke der er få substitutionsmuligheder på nationalt plan, herunder fx.

raffinaderier, olierør og offshore-platforme, og som derfor er kritiske for

olieforsyningen. Ligeledes er der relativt få aktører, der ejer fx terminaler

og olielagre, og hvor substitutionsmulighederne på nationalt plan er få,

hvorfor det også vurderes hensigtsmæssigt, at beredskabsreguleringen om-

fatter disse, således at oliemarkedets funktion understøttes af krav til virk-

somhedernes modstandsdygtighed og beredskab.

Derudover vurderer Klima-, Energi- og Forsyningsministeriet, at tankstati-

onsvirksomhed bør omfattes af beredskabsreguleringen, idet tankstationer er

et væsentligt led i distributionen af olieprodukter. I den sammenhæng er det

ikke den enkelte tankstation, der er kritisk for forsyningen af oliepro-

dukter. Der kan derimod være risici forbundet med, at mange tankstations-

kæder har ét samlet IT-system, som benyttes på tværs af tankstationskæ-

den, og som forbinder forsynings- og forretningskritiske systemer. På den

måde kan fx et cyberangreb forstyrre olieforsyningen fra en større del-

mængde af de danske tankstationer og skabe usikkerhed omkring brænd-

stofforsyningen. Reguleringen af tankstationsvirksomhederne skal således

gøre sektoren mere modstandsdygtig og understøtte brugernes tillid til

markedets funktion.

Af disse årsager foreslår klima-, energi- og forsyningsministeren at udvide

beredskabsreglernes anvendelsesområde ift. gældende ret. Ligeledes fore-

slås det, at beredskabsreguleringen stiller ensartede krav på tværs af de

omfattede delsektorer for dermed at imødekomme de gensidige afhængig-

heder og for at øge modstandsdygtigheden på tværs af energisektoren. Så-

ledes vil reglerne fremadrettet i tillæg til el-, gas- og oliesektorerne også

gælde for såvel fjernvarme-, fjernkøling- og brintsektorerne. Endvidere vil

nye aktører omfattes i el-, gas og oliesektorerne. Disse aktører er hovedsa-

geligt dikteret af NIS2 og CER-direktivernes bilag om disses anvendelses-

område.

Side 35/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det er samtidig Klima-, Energi- og Forsyningsministeriets vurdering, at en

del virksomheder, der vurderes kritiske i opretholdelsen af energiforsynin-

gen, ikke nødvendigvis vil være omfattet hvis blot NIS 2-direktivets an-

vendelsesområde bruges som afgrænsning. Det skyldes, at mange virksom-

heder grundet bl.a. koncernstrukturer ikke beskæftiger minimum 50 an-

satte eller har en årlig omsætning på minimum 10 mio. EUR og en årlig

samlet balance på minimum 10 mio. EUR. Anvendelsesområdet for loven

foreslås derfor modificeret ift. NIS2-direktivets grænser for ansatte, årlig

omsætning eller balance for visse typer af virksomheder. Denne modifice-

ring er ligeledes et udtryk for kravet om identificeringen af kritiske enhe-

der efter CER-direktivets artikel 6 inden for klima-, energi- og forsynings-

ministerens ressortområde. Det vurderes, at lovforslaget i denne sammen-

hæng går videre end minimumskriterierne for fastlæggelse af anvendelses-

området i både NIS2- og CER-direktiverne.

I medfør af CER-direktivet skal medlemsstaterne senest den 17. juli 2026

identificere kritiske virksomheder ud fra kriterierne om, at virksomheden

leverer en eller flere væsentlige tjenester, og at en hændelse vil have bety-

delig forstyrrende virkning for enhedens levering af tjenesten. Ved identi-

ficeringen skal medlemsstaterne tage hensyn til den nationale risikovurde-

ring og nationale strategi, der begge skal foreligge senest den 17. januar

2026.

I lyset af et stadigt skiftende trusselsbillede og deraf væsentligt øget behov

for at styrke beredskabet i energisektoren vurderer Klima-, Energi- og For-

syningsministeriet, at det vil være uhensigtsmæssigt, hvis identificering af

virksomheder i energisektoren potentielt først finder sted efter januar 2026.

Det foreslås derfor, at identificering af kritiske virksomheder efter CER-

direktivet sker sammen med NIS 2-direktivet, således at det er de samme

virksomheder, der omfattes af krav for begge direktiver baseret på forsy-

ningstørrelse. Baggrunden herfor skal samtidig ses i lyset af, at der er tætte

forbindelser mellem direktiverne, og at kravene i direktiverne komplemen-

terer hinanden. Når den nationale risikovurdering og strategi efter CER-di-

rektivet på et senere tidspunkt foreligger, vil Klima-, Energi- og Forsy-

ningsministeriet på ny forholde sig til identificeringen af kritiske virksom-

heder. Identificering af virksomheder vil ske på baggrund af regler fastsat

på bekendtgørelsesniveau.

På den baggrund foreslås en videreførelse af den gældende regulerings an-

vendelse af kritikalitet som parameter for, hvornår virksomheder og anlæg

Side 36/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

omfattes af reguleringen. Herved er det forsyningsstørrelsen og i nogle til-

fælde virksomhedens eller anlæggets rolle i energisystemerne, der er afgø-

rende for, om virksomheden omfattes af beredskabsregulering. Dette skyl-

des, at forsyningsstørrelsen i højere grad afspejler virksomhedens kritikali-

tet for energiforsyningen. For at understøtte at reguleringen er proportionel

set i forhold til sikkerhedseffekten hos virksomhederne og de omkostnin-

ger, de skal afholde for at efterleve reguleringen, foreslås et differentieret

reguleringstryk. Med dette vil reguleringen stille skærpede krav til de mest

forsyningskritiske virksomheder. I de tilfælde hvor virksomheder ikke om-

fattes på baggrund af de grænseværdier, der er fastsat på baggrund af kriti-

kalitet, men de lever op til grænseværdierne for at være omfattet af NIS2-

direktivet, foreslås det, at virksomhederne også omfattes af loven. Den nu-

værende regulering arbejder med en klassificering af anlæg og en kategori-

sering af virksomheder. Det vurderes hensigtsmæssigt at videreføre indde-

lingen, som sikrer et differentieret reguleringstryk. Af pædagogiske årsa-

ger videreføres klassificeringen af anlæg, mens der fremover vil ske ni-

veauinddeling af virksomheder, som erstatter den gældende kategorisering.

Reglerne forventes udformet således, at antallet af niveauer og klasser kan

udvides, i det omfang udviklingen af energisektoren kræver det.

3.1.3. Den foreslåede ordning

Lovforslagets foreslåede anvendelsesområde følger i høj grad NIS2- og

CER-direktivernes anvendelsesområder.

Det foreslås, at loven finder anvendelse på følgende virksomheder, når

disse leverer deres tjenester eller udfører deres aktivitet inden for Dan-

mark: 1) Elektricitetsvirksomheder, 2) Distributionssystemoperatører, 3)

Transmissionssystemoperatører, 4) Elproducenter, 5) Udpegede elektrici-

tetsmarkeds-operatører, 6) Markedsdeltagere, der leverer tjenester, der

vedrører aggregering, fleksibelt elforbrug eller energilagring, 7) Operatø-

rer af ladestationer, der er ansvarlige for forvaltningen og driften af en la-

destation, som leverer en ladetjeneste til slutbrugere, herunder i en mobili-

tetstjenesteudbyders navn og på dennes vegne, 8) Operatører af fjernvarme

eller fjernkøling, 9) Olierørledningsoperatører, 10) Operatører af oliepro-

duktionsanlæg, -raffinaderier og -behandlingsanlæg, olielagre og olietrans-

mission, 11) Centrale lagerenheder, 12) Gasforsyningsvirksomheder, 13)

Lagersystemoperatører, 14) LNG-systemoperatører, 15) Naturgasvirksom-

heder, 16) Operatører af naturgasraffinaderier og –behandlingsanlæg, 17)

Operatører inden for brintproduktion, -lagring og –transmission. Ovenstå-

ende følger af NIS2- og CER-direktivets bilag I.

Side 37/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Dertil foreslås det, at 18) Operatører af tankstationer, der er ansvarlige for

forvaltningen og driften af en tankstation, omfattes af loven. Tankstationer

vurderes at være et væsentligt led i energiforsyningen. Tilføjelsen af tank-

stationer følger dog ikke direkte af NIS 2- og CER-direktiverne, selvom

tankstationer kan anskues i tilknytning til olie, som er omfattet som delsek-

tor i NIS 2- og CER-direktivet.

Klima-, energi- og forsyningsministeriet foreslår, at lovens anvendelsesom-

råde baseres på en række grænseværdier for hver af de omfattede delsekto-

rer, der tager udgangspunkt i virksomhedernes kritikalitet for energiforsy-

ningen.

Det foreslås således, at loven gælder for de typer af virksomheder, der er

nævnt i § 2, stk. 1, nr. 1-8, 10, 12 og 18 såfremt virksomheden; 1) årligt

producerer, forbruger eller kontrollerer mere end 25 MW elektricitet, 2) i 2

ud af 3 sidste år har solgt mere end 13,9 GWh, 3) årligt producerer/injice-

rer mere end 26 mio. Nm

gas i et gasnet, 4) opererer olieterminaler eller

lagre med kapacitet på 100.000 m

eller derover, 5) opererer en eller flere

tankstationer med et samlet årligt salg af olieprodukter på 600.000 m

eller

derover, eller som opererer flere end 100 tankstationer på nationalt plan.

De foreslåede nedre grænser for disse typer af virksomheder er udtryk for

en fastholdelse af den eksisterende afgrænsning af virksomheder, som i høj

grad er baseret på forsyningsstørrelse og kritikalitet. Dette er grænsevær-

dier, som i de fleste tilfælde er vurderet af Klima-, Energi- og Forsynings-

ministeriet til at være lavere, og derfor omfatter de flere virksomheder, end

hvis NIS 2-direktivets kriterier var blevet anvendt, hvorfor det også imple-

menterer CER-direktivets artikel 6 for klima-, energi- og forsyningsmini-

sterens ressortområde.

Der kan dog være enkelte tilfælde, hvor virksomheden falder for disse fo-

reslåede grænser, men virksomheden ville leve op til grænsen for at være

omfattet af NIS 2-direktivet. Det foreslås således, at hvis de nævnte virk-

somhedstyper alligevel lever op til grænsen for at være omfattet af NIS 2-

direktivet, vil de også være omfattet denne lov, uagtet at de ellers var fal- det

for et af de førnævnte kriterier. Dette sikrer, at der uagtet de ellers ud-

vidende nedre grænser forsat kan ske EU-konform implementering af NIS

2- og CER-direktiverne.

Endvidere foreslås det, at virksomheder med positiv lagringsforpligtigelse

efter Olieberedskabsloven altid er omfattet den foreslåede lov, selvom de

ikke selv ejer lageret eller terminalen, som beredskabsolien befinder sig i,

Side 38/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

eller hvis de har en kapacitet på mindre end 100.000 m

. Det er essentielt,

at de virksomheder med positiv lagringsforpligtigelse efter olieberedskabs-

loven er omfattet af denne lov, idet tilgængeligheden af beredskabslagrene,

som disse virksomheder holder, er et grundlæggende krav for at have et

velfungerende og brugbart olielagerberedskab.

For de bestemmelser, der gælder muligheden for at få foretaget sikker-

hedsgodkendelse eller baggrundskontrol og gebyrbetaling for behandling

af sådanne ansøgninger, forslås et stadig større anvendelsesområde en for

de resterende bestemmelser i loven. Det foreslås således, at virksomheder,

organisationer, fonde og erhvervsdrivende fonde kan få foretaget sikker-

hedsgodkendelser af personer ansat af disse, såfremt disse personer vareta-

ger opgaver som direkte led eller i forbindelse med leveringen af de tjene-

ster, der er nævnt i § 2, stk. 1.

Endeligt foreslås det, at loven og regler udstedt i medfør af loven gælder

på land- og søterritoriet, den eksklusive økonomiske zone samt kontinen-

talsokkelen.

For nærmere om den foreslåede ordning for lovens anvendelsesområde

henvises der til lovforslagets § 2 og bemærkningerne hertil.

3.2. Foranstaltninger for beredskab og modstandsdygtighed i energi-

sektoren

3.2.1. Gældende ret

Efter gældende ret skal virksomheder med bevilling til netvirksomhed ef-

ter elforsyningslovens § 10, virksomheder med bevilling til elproduktion

efter elforsyningslovens § 19, virksomheder med tilladelse til elproduktion

over 25 MW efter elforsyningslovens § 11 eller efter § 29 i lov om fremme

af vedvarende energi, virksomheder med bevilling til distribution af gas ef-

ter § 10 i gasforsyningsloven, Energinet og Energinet’s helejede dattersel-

skaber, balanceansvarlige virksomheder, Centrale Lagerenheder, virksom-

heder med positiv lagringspligt efter olieberedskabsloven, virksomheder

der driver anlæg til produktion og fremføring af bygas, samt rettighedsha-

vere med tilladelse til efterforskning og indvinding af kulbrinter eller tilla-

delse til etablering og drift af rørledningsanlæg i forbindelse med indvin-

ding af kulbrinter planlægge og gennemføre beredskab for deres forsyning

af elektricitet, naturgas, råolie, mineralolieprodukter, bygas og kulbrinter.

Side 39/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Forpligtigelserne for disse virksomheder er i dag overordnet set fastsat i en

række forsyningslove, som for visse delsektorer i energisektoren er yderli-

gere udmøntet i en eller flere bekendtgørelser. Der er således tale om §§ 85 b

og c i lov om elforsyning, §§ 15 a og b i lov om gasforsyning, § 16 i

olieberedskabsloven, § 29 a i lov om varmeforsyning, § 17 a i lov om an-

vendelse af Danmarks undergrund, der individuelt eller sammen er udmøn-

tet i bekendtgørelse om beredskab for elsektoren, bekendtgørelse om be-

redskab for naturgassektorerne, bekendtgørelse om it-beredskab for el- og

naturgasvirksomhederne, bekendtgørelse om beredskab for oliesektoren

samt bekendtgørelse om identifikation og udpegning af europæisk kritisk

infrastruktur på energiområdet og vurdering af behovet for bedre beskyt-

telse.

Beredskab forstås bredt, idet forpligtigelsen angår både organisatorisk be-

redskab, fysisk sikring af bygninger og anlæg samt cybersikkerhed for for-

syningskritiske systemer, som virksomhederne benytter sig af i deres pro-

duktion, transmission, distribution, lagring, indvinding eller levering af

elektricitet, naturgas, bygas, råolie, mineralolieprodukter eller kulbrinter.

3.2.1.1. Organisatorisk beredskab

Det følger af de ovennævnte paragraffer og bekendtgørelser, at virksomhe-

derne skal foretage den nødvendige planlægning for at sikre forsyningen i

beredskabssituationer og andre ekstraordinære situationer. Denne planlæg-

ningsforpligtigelse er gældende for de fysiske aspekter af virksomheden,

for de logiske systemer og for den organisatoriske styring, som virksomhe-

derne benytter i deres forsyning.

Beredskabsplanlægningen indebærer således organisatoriske forhold for-

stået som udpegelse af ansvarlige personer for beredskabsplanlægning, fy-

sisk sikring og cybersikkerhed, risiko- og sårbarhedsvurderinger, bered-

skabsplaner, øvelser, underrettelsesforpligtelser, operative forhold samt

uddannelse af ledelse og personale. De gældende krav til de organisatori-

ske forhold i virksomhederne betyder, at virksomhederne bl.a. skal udpege

en beredskabskoordinator, en it-beredskabsansvarlig medarbejder, en ope-

rationel kontakt og en eller flere sikringsansvarlige medarbejdere.

Beredskabskoordinatoren varetager sammen med den sikringsansvarlige

medarbejder virksomhedens beredskabsopgaver, herunder kontakt til myn-

digheder inkl. politiet. Den it-beredskabsansvarlige medarbejder skal koor-

dinere virksomhedens sikring af forretnings- og forsyningskritiske it-syste-

mer og skal sammen med beredskabskoordinatoren og ledelsen mindst fire

Side 40/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

gange om året koordinere mellem det klassiske beredskab og it-beredska-

bet. Der må af samme årsag ikke være personsammenfald mellem bered-

skabskoordinatoren, den it-beredskabsansvarlige og ledelsen.

Den operationelle kontakt skal når som helst kunne fungere som forbindel-

sesled til virksomheden, hvilket betyder, at kontakten skal kunne modtage

informationer fra myndighederne og/eller Energinet og sikre, at virksom-

heden iværksætter de nødvendige foranstaltninger, herunder videreformid-

ling af informationer internt i virksomheden.

Den/de sikringsansvarlige medarbejder(e) er en konkret medarbejder, der

skal varetage beredskabs- og sikringsopgaver for et eller flere individuelle

anlæg. Mens de andre roller har et bredere ansvar for virksomhedens be-

redskab, har den sikringsansvarlige medarbejder et ansvar for et eller flere

anlæg, som virksomheden ejer.

I tillæg til udpegelsen af diverse beredskabsroller fastsætter gældende ret

krav til, at virksomhederne skal sikre, at de medarbejdere, som skal indgå i

beredskabet, løbende modtager den fornødne instruktion, uddannelse og

træning i disse opgaver. Der er ligeledes krav om, at virksomhederne skal

udarbejde og gennemføre awareness-tiltag om it-sikkerhed, herunder for-

midle oplysning om hvordan it-sikkerheden skal varetages af den berørte

gruppe af medarbejdere eller af eksterne. De mest kritiske virksomheder

skal gennemføre årlige awareness-tiltag, mens de mindre kritiske kun skal

gennemføre dem minimum hvert tredje år.

Risiko- og sårbarhedsvurderinger

Efter gældende ret skal virksomheder, der i dag er omfattet af beredskabs-

reguleringen, udarbejde en vurdering af virksomhedens risici og sårbarhe-

der, herunder sårbarheder i forhold til virksomhedens kontinuitet og forsy-

ningskritiske it-systemer. Det foregår ved, at Energistyrelsen sender en

samling af risiko- og sårbarhedsscenarier til virksomhederne, som virk-

somhederne skal forholde sig til i udarbejdelsen af deres risiko- og sårbar-

hedsvurderinger. I disse vurderinger skal virksomhederne vurdere konse-

kvenserne for virksomheden, såfremt scenarierne udspiller sig og kan på

den baggrund identificere virksomhedens sårbarheder og identificere, ud-

vælge og prioritere beredskabet i forhold til de identificerede risici og sår-

barheder.

Overordnet set er en risiko- og sårbarhedsanalyse virksomhedens vurde-

ring af forskellige trusselscenariers konsekvenser for egen forsyningsevne.

Side 41/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Konklusionerne på risiko- og sårbarhedsanalyserne (ROS) giver dermed et

billede af virksomhedens sårbarheder. For virksomheden skal denne ind-

sigt i egne sårbarheder hjælpe med at afgøre, hvor virksomheden bør

lægge sit fokus i beredskabsarbejdet og afdække behovet for internt at pri-

oritere ressourcer til beredskabsarbejdet.

Beredskabsplanlægning og øvelser

Efter gældende ret er det et krav, at virksomhederne skal udarbejde bered-

skabsplaner og it-beredskabsplaner for håndtering af beredskabssituatio-

ner, som baseres på risiko- og sårbarhedsvurderingerne. Beredskabspla-

nerne skal bl.a. beskrive virksomhedens krisehåndtering, hvordan virksom-

hedens krisehåndteringsorganisation aktiveres, etableres og driftes, og

hvordan der koordineres og udsendes information. Beredskabsplanen skal

kunne bruges som en operativ vejledning, når en beredskabssituation bli-

ver varslet eller opstår.

Virksomhederne i el- og naturgassektoren skal efter bekendtgørelserne om

beredskab for elsektoren (Bek 2646) og om beredskab for naturgassekto-

ren (Bek 821) afholde øvelser, som træner virksomhedens beredskab. De

gældende krav til øvelser indebærer, at virksomhederne skal afholde be-

redskabsøvelser, der både træner virksomhedens it-sikkerhed og anvendel-

sen af deres beredskabsplaner. Bek 2646 og Bek 821 stiller krav om, at der

mindst hvert andet år holdes en øvelse, og at øvelserne skal være planlagt,

så de over en 5-årig periode dækker de væsentligste dele af virksomhedens

beredskab.

Bekendtgørelse om it-beredskab for el- og naturgassektorerne (Bek 2647)

stiller forskellige krav til øvelsesaktivitet alt efter, hvilken kategori virk-

somheden befinder sig i; Kategori 1-virksomheder skal som minimum af-

holde én årlig it-beredskabsøvelse, samt gennemføre awareness-tiltag år-

ligt, Kategori 2- og 3-virksomheder skal tilsikre, at it-beredskab trænes i

forbindelse med det almene beredskabsarbejde i relevant omfang, samt

gennemføre awareness-tiltag minimum hvert andet år.

For at sikre at virksomhederne lever op til kravene i bekendtgørelserne, skal

alle lave en 5-årig øvelsesplan. Den 5-årige øvelsesplan er tentativ, forstået

på den måde at den må og skal tilpasses løbende. Øvelsesplanerne

indgår som en del af Energistyrelsens tilsyn med virksomhederne, men de

skal dog ikke fremsendes til godkendelse. Øvelsesplanen skal indeholde

Side 42/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

elementer for både it-beredskab og klassisk beredskab og skal opdateres

minimum årligt.

Når virksomhederne har afholdt en øvelse, skal den evalueres af Energisty-

relsen. Derfor skal Energistyrelsen senest tre måneder efter øvelsen have

en rapport, der beskriver øvelsens forløb og de erfaringer, virksomheden

har fået undervejs. Rapporten skal også beskrive, hvordan og hvornår virk-

somheden har planlagt at følge op på øvelsen.

Energistyrelsen kan i særlige tilfælde godkende, at en evaluering af en

hændelse kan erstatte en planlagt øvelse. Det forudsætter dog, at virksom-

heden ansøger om at få hændelsen godkendt som en øvelse, at Energisty-

relsen har modtaget en øvelsesplan, og at hændelsen er indarbejdet i den,

at hændelsen i væsentligt omfang har afprøvet konkrete forhold i bered-

skabsplanen, at hændelsen har den samme værdi som en planlagt øvelse,

og at der er udarbejdet en tilfredsstillende evaluering.

For el- og gassektoren skal Energinet efter gældende ret afholde bered-

skabsøvelser i anvendelse af sektorberedskabsplanen.

Hændelsesrapporteringer

Virksomheder i el- og gassektorerne skal omgående underrette Energinet

om beredskabshændelser og alvorlige it-sikkerhedshændelser, der er af re-

levans for beredskabssituationen i el- og naturgassektoren. Energinet skal

omgående underrette Energistyrelsen, såfremt indberetningen er af betyd-

ning for el- eller naturgasforsyningen på nationalt niveau, samt vurdere om

information om hændelsen skal viderebringes til Center for Cybersikker-

hed eller andre virksomheder i el- eller naturgassektorerne jf. Bek

2646/821 § 23. og Bek 2647 §21.

Virksomheder i oliesektoren skal uden ugrundet ophold underrette Energi-

styrelsen om hændelser, der i væsentlig grad reducerer virksomhedens el-

ler den centrale lagerenheds funktionalitet eller funktionaliteten af andre

dele af oliesektoren. Virksomhederne skal uden ugrundet ophold under-

rette Energistyrelsen og Center for Cybersikkerhed om it-sikkerhedshæn-

delser, der påvirker forsyningskritiske it-systemer, gennem en af Erhvervs-

styrelsen dertil indrettede internetbaserede portal.

Side 43/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

3.2.1.2. Fysisk sikring

Efter den gældende regulering klassificerer Energistyrelsen el- og gassek-

torernes anlæg efter anlæggenes betydning for at opretholde henholdsvis

el- og gasforsyningen på nationalt, regionalt og lokalt niveau. Her er klasse

1-anlæg de mest forsyningskritiske, mens klasse 3-anlæg er de mindst for-

syningskritiske. Klassificeringen af et anlæg afgør hvilke krav, der stilles

til sikringen af det pågældende anlæg. Efter den nuværende regulering er

det udelukkende ubemandede klasse 1-anlæg, der skal have etableret fy-

sisk sikring mod uautoriseret adgang i form af mekaniske og elektroniske

sikrings- og overvågningsforanstaltninger samt styret adgangskontrol, så-

ledes at der tages stilling til hvem, der kan få adgang til hvilke dele af an-

lægget, samt at denne adgang logges.

For både klasse 1- og 2 anlæg skal det sikres, at virksomhedernes planma-

teriale indeholder sikringsplaner, der bl.a. omfatter relevant kortmateriale,

beskrivelse af anlæggets sårbarhed og afhængighed af andre anlæg og

funktioner, muligheder for reetablering, hvorvidt der er sikkerhedsføl-

somme oplysninger om anlægget og kontaktoplysninger om beredskabsko-

ordinatoren og en sikringsansvarlige medarbejder. Derudover skal virk-

somhederne bl.a. sikre, at klasse 1- og 2-anlæg har lav sårbarhed over for

funktionssvigt af offentligt udbudte net og tjenester for elektronisk kom-

munikation, har lav sårbarhed over for funktionssvigt af væsentlige it-sy-

stemer, og at anlægget har nødstrømsforsyning, der sikrer anlæggets funk-

tionalitet i tilfælde af en strømafbrydelse.

3.2.1.3. It-beredskab

I tillæg til de ovennævnte foranstaltninger stiller den gældende regulering

krav til virksomhedernes it-beredskabsplanlægning. Virksomhederne skal

således identificere forsyningskritiske it-systemer samt afhængigheden af

andre systemer, beskrive forebyggende foranstaltninger til at imødegå util-

sigtede it-hændelser, herunder muligheden for segmentering af it-infra-

struktur og alternative driftsformer. Virksomheder, der anvender fjernad-

gang til forsyningskritisk it, skal have en plan for, hvordan angreb på disse

systemer opdages og håndteres. Derudover skal bl.a. den interne ansvars-

placering under krisestyring, ansvaret for systemansvar for forsyningskriti-

ske it-systemer, kommunikation med Energinet eller Energistyrelsen og

virksomhedens it-sikkerhedstjeneste beskrives. Planerne skal endvidere

beskrive procedurer for alternativ drift, genopretning af forsyningskritiske

it-systemer, planer for dokumentation og opfølgning på hændelser samt

Side 44/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

beskrivelse af den operative ansvarsdeling mellem virksomhedens og dens

samarbejdsparter. It-beredskabsplanerne skal herudover være en del af

virksomhedens samlede beredskabsplanlægning.

Der stilles i gældende ret krav om, at virksomhederne skal gennemføre

awareness-tiltag om it-sikkerhed, herunder formidle oplysninger om hvor-

dan it-sikkerheden skal varetages af de relevante medarbejdere såvel som

af eksterne. Derudover skal virksomhederne gennemføre awareness-tiltag

årligt eller hvert andet år afhængig af virksomhedens kategorisering.

Ud over it-beredskabsplanlægningen skal virksomhederne efter gældende

ret sikre den fysiske opbevaring af forsyningskritiske it-systemer i forhold

til deres kritikalitet for forsyningen på lige vilkår med den fysiske beskyt-

telse af fysiske anlæg. I det omfang at virksomhederne anvender leveran-

dører til virksomhedens it-systemer, har virksomheden efter gældende ret

ansvar for at it-sikkerheden og skal etablere procedurer for adgangsstyring

for leverandører af forsyningskritiske it-systemer. Derudover stilles der

bl.a. krav om, at virksomhederne skal bevare ejerskab af data og at adgan-

gen til data logges og opbevares i sikre lokaler.

Det følger af den gældende regulering, at virksomhederne skal være til-

meldt en proaktiv it-sikkerhedstjeneste, der yder vejledning og mitigering

af sårbarheder samt giver informationer og varsler om it-sikkerhedstrusler.

Derudover skal kategori 1-virksomheder, der er de mest forsyningskritiske

virksomheder, være tilmeldt en reaktiv it-sikkerhedstjeneste, der bistår

virksomheden ved nedbrud eller angreb på it-systemer. Hertil kommer at

virksomhederne skal sikre, at oplysninger, der har sikkerhedsmæssig be-

tydning for andre virksomheder i energisektoren, kan viderebringes til

disse, samt at oplysninger, der tilvejebringes gennem en it-sikkerhedstjene-

ste, skal kunne videreformidles til andre virksomheder.

3.2.2. Klima-, Energi- og Forsyningsministeriets overvejelser

Det hybride trusselsbillede giver anledning til at nytænke samfundets be-

redskab, herunder hvordan kritiske anlæg og net- og informationssystemer

gøres modstandsdygtige over for både cybertruslen, fysiske trusler og kon-

sekvenserne af klimaforandringerne samt andre hændelser, så forsynings-

sikkerheden opretholdes.

Side 45/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

I den sammenhæng vurderes det hensigtsmæssigt, at den fysiske sikring

tænkes sammen med et højt cybersikkerhedsniveau, samt at disse under-

støttes af det organisatoriske beredskab og at virksomhederne i deres risi-

kostyring løbende forholder sig til nye trusler og sårbarheder. Således er

det formålet med loven, at virksomhederne øger robustheden, og risikoba-

seret minimerer sårbarheder over for fx fysisk spionage, og sabotage, uau-

toriseret adgang, manipulation af og data samt kompromittering af kritiske

systemer og følsomme dokumenter.

Organisatorisk beredskab og ledelsens ansvar

Det organisatoriske beredskab er et afgørende led i at etablere en organisa-

tion, der i tilstrækkelig grad kan identificere og mitigere potentielle risici

for energiforsyningen. Det vurderes derfor hensigtsmæssigt, at der stilles

krav om, at omfattede virksomheder skal have klare rammer for risikosty-

ring, hvor både relevante trusler og sårbarheder løbende kan identificeres

og styres, og hvor tekniske, fysiske og organisatoriske foranstaltninger

evalueres. Denne form for risikostyring, hvor sikkerhedsrisici indgår som

et centralt element i virksomhedens beslutninger, bør ligeledes indgå som

en del af virksomhedens beslutninger om væsentlige ændringer i deres sy-

stemer, i deres leverandørforhold og i beslutninger vedrørende nye projek-

ter, der vurderes at have betydning for forsyningskritiske processer eller

funktioner.

Det er også væsentligt, at beredskabet ledelsesforankres. Det følger bl.a. af

NIS2-direktivet, at ledelsesorganer godkender foranstaltninger til styring

af cybersikkerhedsrisici og fører tilsyn med deres gennemførelse. Klima-,

Energi- og Forsyningsministeriet lægger vægt på, at det er væsentligt, at

ledelsesorganer er sikkerhedsmæssigt bevidste, og har en generel forstå-

else for beredskabet i deres organisation samt kender deres ledelsesmæs-

sige ansvar. Dette skal være med til at sikre at arbejdet med virksomhe-

dens modstandsdygtighed tildeles ledelsesfokus, og at ledelsen såvel som

medarbejdere har de nødvendige faglige kompetencer og viden til at træffe

beslutninger vedrørende risikostyring i forhold til sikkerhedstrusler og sår-

barheder.

Side 46/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Hændelseshåndtering og genopretning

Som det også understreges i NIS 2- og CER-direktiverne, er klare procedu-

rer for hændelseshåndtering essentielt i en beredskabssituation og skal bi-

drage til, at organisationen kan opretholde eller genoprette driften oven på

hændelsen. Det er ligeledes væsentligt, at ledelsen prioriterer midler til

hændelseshåndtering og genopretning, samt at ledelsen er bevidst om den-

nes rolle i organisationens krisestyring. Samtidig skal hændelseshåndterin-

gen muliggøre koordination på tværs af aktører og myndigheder, således at

andre organisationer er informeret om truslen, og risikoen for at denne kan

sprede sig til andre organisationer.

I energisektoren er det ikke altid muligt at skelne mellem en beredskabssi-

tuation, der aktiverer det fysiske beredskab eller cyberberedskabet eller ud-

vikler sig på en måde, der involverer begge typer beredskaber. For at imø-

dekomme dette og for at understøtte en effektiv krisestyring vurderer

Klima-, Energi-, og Forsyningsministeriet, at man med fordel kan stille ens

krav til begge typer hændelseshåndteringer og -indberetninger. Ligeledes

bør der i risikostyringen og i beredskabsplanlægningen være en højere

grad af sammenhæng mellem den fysiske sikkerhed og cybersikkerhed,

end det er tilfældet efter den gældende regulering.

Af samme årsag foreslås det, at der sikres sammenhæng mellem træningen

af det klassiske beredskab og cyberberedskabet. Klima-, Energi- og Forsy-

ningsministeriet foreslår således, at der sker koordinering af øvelser, der

træner henholdsvis det klassiske beredskab og cyberberedskab, og at de

fremover følger samme kadence for afholdelse, evaluering og indsendelse

til Energistyrelsen.

Det foreslås desuden, at Energinet fortsat skal afholde beredskabsøvelser

for el- og gassektoren, og atEnergistyrelsen er ansvarlig for at afholde be-

redskabsøvelser for de nyomfattede sektorer.

Fysisk sikring

Fysisk sikring af anlæg medvirker til at forsinke eller besværliggøre hæn-

delser, herunder spionage og anden uautoriseret adgang, der kan kompro-

mittere anlæggets sikkerhed og potentielt påvirke forsyningssikkerheden.

Derudover kan en helhedsorienteret fysisk sikring af anlæg medvirke til at

understøtte den logiske sikkerhed af energiinfrastrukturen. I den gældende

Side 47/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

beredskabsregulering stilles udelukkende krav om fysisk sikring af ube-

mandede klasse 1-anlæg, som er de mest forsyningskritiske anlæg efter

gældende regulering. Klima-, Energi- og Forsyningsministeriet vurderer

imidlertid, at bemanding af anlæg ikke nødvendigvis giver en tilstrækkelig

sikkerhed, hvorfor der fremover også bør stilles krav til den fysiske sikring

af bemandede anlæg.

Klimaforandringerne introducerer en øget fysisk risiko i form af naturkata-

strofer og ekstreme vejrforhold samt langsigtede ændringer i klimaforhol-

dene. Dette kan have betydning for energiinfrastrukturens kapacitet, effek-

tivitet og levetid. Det følger af CER-direktivet, at virksomhederne i deres

beredskab skal forholde sig til bl.a. klimatilpasningsforanstaltninger.

Digitaliseringen af energiinfrastruktur betyder, at infrastrukturen er for-

bundet i netværk. Dermed kan en hændelse i ét anlæg have konsekvenser

for andre anlæg. Dette gør energiinfrastruktur sårbar over for cyberangreb,

men det betyder også, at den fysiske sikkerhed er afgørende for at forhin-

dre adgang til de dele af anlæggene, der er tilkoblet et samlet system. I det

omfang et anlæg har netværksadgang til et større net eller system, introdu-

cerer disse også en potentiel sårbarhed. I denne sammenhæng kan mindre

anlæg, der ikke er tilstrækkeligt sikret, være medvirkende til en kompro-

mittering af fx. et sammenhængende elnet.

Industrielle kontrolsystemer

Inden for en række energivirksomheders net- og informationssystemer er

der industrielle kontrolsystemer, som benyttes til at overvåge og styre for-

syningsprocesser (fx spændingsniveau, temperatur og tryk). Industrielle

kontrolsystemer forstås her som digital overvågning og styring af fysiske

systemer. Således kan industrielle kontrolsystemer fx forstås som en beteg-

nelse for it-systemer (informationsteknologi) eller elementer heraf, der

overvåger og kontrollerer enkelte OT-systemer (operationel teknologi).

Operationel teknologi er de programmerbare digitale systemer eller enhe-

der, der interagerer med det fysiske miljø eller styrer enheder, der interage-

rer med det fysiske miljø. Dette kan fx være SCADA-systemer, SRO-sy-

stemer samt PLC’er og RTU’er.

Nogle af disse industrielle kontrolsystemer har – i modsætning til normale

it-systemer – typisk en lang levetid på op mod 30-40 år, og de er nogle

Side 48/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

gange ikke mulige at hærde, da det kan forstyrre produktionen at sikker-

hedsopdatere produkterne. Det gør, at systemerne er særligt sårbare, hvis

en angriber får adgang til systemerne. Udviklingen går i retning af, at det

forsyningskritiske netværk smeltes sammen med øvrige dele af virksomhe-

dernes netværk, og at der skabes flere indgange til kontrolsystemerne end

tidligere. Det vurderes væsentligt, at de industrielle kontrolsystemer be-

skyttes, og at virksomhederne har overblik og styring i forhold til bl.a. net-

værksarkitektur, adgang, integrationspunkter, autentificering og logning.

Internetforbundne enheder og fjernadgange

Desuden ses et øget brug af internetforbundne enheder, som skal under-

støtte øget produktions- og forbrugsfleksibilitet samt datadeling. Større

dele af den infrastruktur og de systemer, som understøtter produktion,

transmission, distribution og monitorering af energi, forbindes enten di-

rekte eller indirekte til internettet. Denne udvikling er med til at skabe nye

angrebsvinkler og mulige sårbarheder, som kan påvirke forsyningskritiske

processer. Det er samtidig gradvist blevet mere udbredt at udføre opgaver

inden for det forsyningskritiske miljø via fjernadgange. Det er således ofte

ikke nødvendigt, at operatører befinder sig i virksomhedens kontrolcenter

eller på transformerstationen for at udføre systemopgaver, da det i flere til-

fælde kan udføres fx hjemmefra hos leverandøren. Det betyder dog samlet

set, at angrebsfladen vokser. Derfor er det nødvendigt fremover at stille

skærpede tekniske og organisatoriske krav til, hvordan fjernadgang kan be-

nyttes på en sikker måde.

Leverandørstyring

Dernæst er mange energiselskaber afhængige af leverandører, som selv ty-

pisk er afhængige af underleverandører, hvilket skaber lange leverandør-

kæder. Dette gør energiselskaberne sårbare over for supply chain-angreb

og udbredelsen af sårbarheder i leverandørernes produkter. Sårbarhederne

i forhold til angreb i leverandørkæden understreger, at der er behov for at

stille skærpede krav til leverandørforhold ligesom NIS2-direktivet stiller

krav om forsyningskædesikkerhed. Det er væsentligt, at beredskabsregule-

ringen stiller krav på en måde, der understøtter, at virksomhederne inddra-

Side 49/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

ger vurderingen af eventuelle risici for forsyningssikkerheden i beslutnin-

ger om leverandøraftaler, samt at leverandørerne bliver bevidste om deres

betydning for forsyningssikkerheden og i en eventuel beredskabssituation.

Derudover ses en tendens hos nogle virksomheder i energisektoren mod

outsourcing, hvilket kan medføre at net- og informationssystemernes sår-

barhed over for cyberspionage og cyberkriminalitet øges. For at under-

støtte en tilstrækkelig sikkerhed i forhold til hvem, der har adgang til virk-

somhedernes net- og informationssystemer og for at undgå kompromitte-

ring af disse, vurderes det hensigtsmæssigt, at stille krav til hvordan out-

sourcing kan ske på forsvarlig vis, herunder en afgrænsning af til hvilke

lande der kan foretages outsourcing af driften af kritiske net- og informati-

onssystemer.

3.2.3. Den foreslåede ordning

Klima-, energi-, og forsyningsministeriet foreslår med dette lovforslag at

indføre en beredskabsregulering af energisektoren, der modsvarer det hy-

bride trusselsbillede og de nye sårbarheder, som især digitaliseringen af

energiinfrastrukturen har introduceret, samtidig med at reguleringen tager

højde for nye teknologier, som introduceres i forbindelse med den grønne

omstilling. Derudover foreslår Klima-, energi-, og forsyningsministeriet, at

beredskabsreguleringen skal stille krav om etableringen af et organisato-

risk beredskab, der sikrer ledelsesmæssig forankring af arbejdet med risi-

kostyring i forhold til cybersikkerhed og fysisk sikkerhed.

Ledelsens ansvar

Det foreslås, at virksomhedernes ledelse tager stilling til virksomhedens

vurdering af cybersikkerhedsrisici og sikkerhedsrisici mod kritisk infra-

struktur som en fast del af virksomhedens arbejde med risikostyring. Den

foreslåede ordning vil medføre, at virksomhedens ledelse har et samlet ri-

sikobillede, der repræsenterer kendte og mulige risici mod produktionen,

forsyningen eller leveringen af tjenesten. Ordningen vil desuden sikre, at

den løbende stillingtagen til sikkerhedsrisici forankres hos virksomheder-

nes beslutningstagere.

Side 50/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Ligeledes foreslås det, at ledelsen deltager i virksomhedens beredskabsko-

ordinering med henblik på, at ledelsen har overblik over og kan gøres an-

svarlig for, hvordan virksomheden organiserer virksomhedens beredskab. I

tråd med NIS 2-direktivets krav om at ledelsen skal gøres ansvarlige for

foranstaltninger til styring af cybersikkerhedsrisici, foreslås det, at ledel-

sens skal godkende virksomhedens foranstaltninger til styring af risici mod

forsyningen og gøres retligt ansvarlige for virksomhedens overtrædelse af

forpligtelserne i beredskabsreguleringen. Med den foreslåede ordning går

Klima-, Energi-, og Forsyningsministeriet dog videre end direktivet ved at

foreslå, at ledelsen både skal kunne gøres ansvarlige for foranstaltninger til

styring af organisatorisk sikkerhed, fysisk sikring og cybersikkerhed.

Heraf følger at ledelsen også kan gøres retligt ansvarlige for virksomheder-

nes overtrædelser af beredskabsreguleringen uanset, om der er tale om

overtrædelser, der relaterer sig til den organisatoriske sikkerhed, den fysi-

ske sikring af kritiske energiinfrastruktur eller om der er tale om cybersik-

kerhed. Dette foreslås ud fra en betragtning om, at organisatoriske forhold,

cybersikkerhed og fysisk sikring er lige kritiske, samt at det i praksis kan

være svært at sondre mellem en overtrædelse, der vedrører det organisato-

riske, cybersikkerhed eller fysik sikring.

NIS 2-direktivet stiller derudover krav om, at ledelsen følger kurser, der

gør dem i stand til at vurdere risici og styring af cybersikkerhedsrisici. Be-

redskabsreguleringen vil udvide dette ved at stille krav om, at ledelsen i

danske energiselskaber skal tilegne sig en tilstrækkelig viden inden for sty-

ring af risici, der relaterer sig til cybersikkerhed såvel som fysisk sikring,

god sikkerhedskultur og beredskab. Dette vil understøtte, at vurderingen af

sikkerhedsrisici indgår i virksomhedens løbende risikostyring. Den foreslå-

ede ordning vil således sikre, at ledelsen er i stand til at træffe beslutninger

på et oplyst grundlag og stille kritiske spørgsmål.

Awareness og uddannelse

For at sikre et højt niveau af sikkerhed af virksomhedens kritiske systemer,

infrastruktur og anlæg foreslås det, at virksomhederne stilles krav om at

indføre cybersikkerhedsuddannelse og awareness-tiltag for virksomhedens

medarbejdere. På den måde vil loven indføre et ambitiøst niveau for, hvor-

dan sikkerhedshensyn og de risici, der er forbundet med det hybride trus-

selsbillede, gøres til en central del af medarbejdernes bevidsthed, samt

Side 51/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

hvordan medarbejderne bør agere for at beskytte kritiske systemer, infor-

mationer, infrastruktur og anlæg.

Risikostyring

Med henblik på at forankre risikostyringen på det organisatoriske plan i

virksomhederne foreslås det, at virksomhederne skal udarbejde en politik

for risikostyring, der skal identificere og vurdere de væsentligste risici for

virksomhedens organisation, kritiske net- og informationssystemer og in-

frastruktur med henblik på opretholdelsen af energiforsyningen.

Som led i dette foreslås det, at der stilles krav om, at virksomhederne skal

underrette relevante medarbejdere om de identificerede risici, og identifi-

cere hvem der er ansvarlige for at implementere foranstaltningerne. Såle-

des vil ordningen sikre en tydelig ansvarsdeling og understøtte, at der vil

kunne iværksættes passende tiltag til styring af risici. Det foreslås derud-

over, at virksomhederne stilles krav om at udpege en beredskabskoordina-

tor, en cyberberedskabskoordinator og et operationelt kontaktpunkt, som

bl.a. skal sikre en effektiv kommunikation med myndighederne i krisesitu-

ationer. Det foreslås således, at nuværende ordning for udpegelsen af be-

redskabsroller bør videreføres i vidt omfang. Dog vurderes det hensigts-

mæssigt, fremover at ændre betegnelsen it-beredskabsansvarlig til cyber-

beredskabskoordinator.

Med henblik på at understøtte en bredt forankret sikkerhedsorganisation

foreslås det, at der stilles krav om, at virksomhederne indfører procedurer,

der følger en fast kadence, og som skal understøtte de tekniske foranstalt-

ninger, som virksomhederne iværksætter. Dette vil bl.a. indebære, at virk-

somhederne løbende skal tage stilling til risici- og sårbarheder i bl.a.

firewalls, leverandørforhold og informationsstrømme, og at virksomhe-

derne har politikker og procedurer for fx patching og opdateringer, der skal

imødegå sårbarheder.

Det foreslås, at disse procedurer indgår i virksomhedens politik for risiko-

styring og skal bl.a. understøtte sikkerheden af virksomhedernes net- og

informationssystemer og kritiske anlæg.

For at sikre at det kun er de medarbejdere, der har arbejdsbetinget behov,

som har adgang til kritiske anlæg og net- og informationssystemer, fore-

Side 52/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

slås det, at virksomhederne skal have politikker og foranstaltninger for ad-

gangsstyring. Der vil således skulle være klart definerede regler for hvilke

medarbejdere eller medarbejdergrupper, der kan tilgå forskellige dele af et

anlæg eller net- og informationssystemer. Dette indebærer, at virksomhe-

derne vil skulle have procedurer for, hvordan adgange til kritiske anlæg og

net- og informationssystemer tildeles, ændres og lukkes for både virksom-

hedens egne medarbejdere såvel som leverandører. Samtidig foreslås det,

at virksomhederne fører log over denne adgang.

Med henblik på at gøre disse sikkerhedsforanstaltninger til en fast del af

virksomhedens drift foreslås det, at disse procedurer og de etablerede for-

anstaltninger skal være genstand for et fast kontrolregime.

Risiko- og sårbarhedsvurderinger

Det foreslås desuden, at virksomhedernes risiko- og sårbarhedsvurderinger

og handlingsplaner skal gennemgås med fast interval, eller når nye risici,

trusler eller sårbarheder erkendes samt ved væsentlige ændringer af virk-

somhedens organisation, kritiske net- og informationssystemer eller infra-

struktur eller ved ændringer i trusselsbilledet. Det foreslås samtidig, at vur-

deringen af cybersikkerhedsrisici, organisatoriske risici og fysiske risici

kobles sammen ved, at virksomhedernes opdateringer af deres risiko- og

sårbarhedsvurderinger af henholdsvis virksomhedens cybersikkerhed og

fysiske sikring følger samme kadence for udarbejdelse og indsendelse til

Energistyrelsen. Den foreslåede ordning vil således understøtte virksomhe-

dernes modstandsdygtighed, ved at der sikres sammenhæng i virksomhe-

dernes risikostyring af fysiske og cyberrelaterede trusler og sårbarheder.

Leverandørstyring

Det er essentielt, at virksomhederne vurderer risici for forsyningssikkerhe-

den ved indgåelse af leverandøraftaler. Det foreslås derfor, at virksomhe-

derne stiller krav til deres leverandører af tjenester, net- og informationssy-

stemer, komponenter og anlæg, der understøtter processer med betydning

for leveringen af tjenesten, således at leverandøren overholder beredskabs-

reguleringen, samt at virksomhederne fører kontrol hermed. For at under-

støtte at sikkerhedsrisici udgør et væsentligt parameter i beslutninger ved-

rørende leverandøraftaler, foreslås det, at virksomhederne skal stille krav

Side 53/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

til deres leverandører på baggrund af en risikovurdering af den pågældende

aftale, herunder en vurdering af leverandøren samt kritikaliteten af de tje-

nester, net- og informationssystemer, komponenter eller anlæg, der vil

blive påvirket af den pågældende aftale. Derudover bør de sikkerhedsrisici,

der er forbundet med leverandør- og outsourcingaftaler, gøres klart for le-

delsen i den pågældende virksomhed, således at denne kan træffe beslut-

ninger på et oplyst grundlag.

Risikovurdering af projekter

Det er et væsentligt element i den foreslåede ordning, at virksomhedernes

arbejde med risikostyring indebærer, at virksomhederne vil skulle tage stil-

ling til relevante sikkerhedsrisici i forbindelse med projekter og leveran-

døraftaler, der har mulighed for at påvirke forsyningssikkerheden. Denne

påvirkning kan enten være på grund af mulig påvirkning af kritiske dele af

organisationen, net- og informationssystemer, der har betydning for leve-

ringen af tjenesten eller som følge af større anlægsprojekter. Derfor fore-

slås det, at virksomhederne skal foretage en risikovurdering af det pågæl-

dende projekt eller af leverandøraftalen, som omfatter en vurdering af

eventuelle sikkerhedsrisici.

Derudover foreslås det, at risikovurderingen indgår i ledelsens beslutnings-

procedurer, samt at ledelsen gøres ansvarlig for eventuelle risici for forsy-

ningen, der er forbundet hermed. Den foreslåede ordning vil således under-

støtte, at sikkerhedshensyn tænkes ind i projekter fra starten, samt at risici

for forsyningen og herved samfundet minimeres med direkte involvering

af ledelsen.

Beredskabsplanlægning

Det foreslås, at der stilles krav om, at virksomhederne foretager den nød-

vendige beredskabsplanlægning, således at virksomhederne skal udarbejde

beredskabsplaner, der er baseret på risiko- og sårbarhedsvurderingerne, og

som beskriver relevante tiltag, der skal sikre virksomhedens modstands-

dygtighed og kontinuiteten af forsyningen. Beredskabsplanlægningen skal

derudover omfatte beredskabssituationer, der i væsentlig grad reducerer

funktionaliteten i virksomheden og eventuelt øvrige dele af energisektoren

Side 54/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

eller af samfundet. Den foreslåede ordning vil i vidt omfang videreføre

gældende ret for udarbejdelse og indhold af beredskabsplaner.

Modstandsdygtighed og krisestyring

Her er krisestyring, hændelseshåndtering og genopretning vitalt for at øge

samfundets robusthed og opretholde forsyningssikkerheden. På den bag-

grund foreslås det, at der stilles krav til virksomhedernes planer for genop-

rettelse af virksomhedens tjenester, herunder net- og informationssyste-

mer, komponenter og anlæg samt til de tekniske og organisatoriske foran-

staltninger, der skal sikre en effektiv hændelseshåndtering. Dette indebæ-

rer, at der er etableret og dokumenteret procedurer for hændelseshåndte-

ring.

På den baggrund foreslås det, at gældende krav til øvelsesplanlægning, af-

holdelse og –evaluering i vidt omfang videreføres. Dertil foreslås det, at

der stilles krav om, at relevante leverandører deltager i de øvelser, hvor de

vurderes at have en rolle i tilfælde af en hændelse. Dette vil understøtte, at

både virksomhederne og deres leverandører er bevidste om deres ansvar i

tilfælde af en hændelse. Det er væsentligt, at beredskabsplanlægningen

klart definerer roller og ansvar for de involverede i håndteringen af en be-

redskabssituationen. Ligeledes er det væsentligt, at disse roller koordinerer

virksomhedens beredskabsforanstaltninger på tværs af forretningsområder.

For el- og gassektorerne videreføres den nuværende praksis med hensyn til

Energinets ansvar for at udarbejde risiko- og sårbarhedsvurderinger, sam-

menfattende beredskabsplaner og sektorberedskabsplaner for henholdsvis

det sammenhængende elforsyningssystem og gasforsyningssystem.

Fysisk sikring

Det hybride trusselsbillede bevirker, at virksomheder i energisektoren skal

have et højt niveau af modstandsdygtighed over for både naturlige og men-

neskeskabte farer, hvad enten de er hændelige eller tilsigtede. Dette inde-

bærer også, at virksomhederne skal sikre, at deres anlæg og infrastruktur

kan modstå stadigt hyppigere ekstreme vejrhold, som intensiveres af kli-

maforandringerne. På den baggrund foreslår Klima-, Energi-, og Forsy-

ningsministeriet, at der indføres krav om, at virksomhederne skal vurdere

de risici mod deres infrastruktur, der er forbundet med naturkatastrofer og

Side 55/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

ekstreme vejrforhold, som klimaforandringerne intensiverer. Således fore-

slås det, at virksomhedernes sikringsforanstaltninger skal minimere risi-

koen for hændelser ved at sikre, at deres anlæg og kritiske systemer har lav

sårbarhed gennem katastroferisikoreduktions- og klimatilpasningsforan-

staltninger. Kravet er således en udmøntning af CER-direktivets krav til

samme.

Virksomhedernes sikringsforanstaltninger skal derudover understøtte, at

anlæg og forsyningskritiske systemer beskyttes mod uautoriseret adgang.

Den fysiske sikring af anlæg og kritiske systemer skal medvirke til at for-

sinke eller besværliggøre uautoriseret adgang inden for rammerne af sek-

toransvaret. Det foreslås, at virksomhederne på baggrund af egne risiko-

vurderinger etablerer den nødvendige fysisk sikring i form af passende pe-

rimetersikring rund om anlægget, skalsikring af selve anlægget og cellesik-

ring af udvalgte rum eller komponenter i anlægget.

Det betyder, at virksomhederne vil skulle sikre, at de får en alarm, hvis no-

gen forsøger uautoriseret at tilgå deres anlæg, bygninger og installationer.

Virksomheden vil skulle kunne verificere, at der er tale om forsøg på uau-

toriseret adgang, samt kunne alarmere vagtselskaber, politi eller lignende

afhængig af karakteren af uautoriseret adgang. Både detektion, verifikation

og alarmering vil skulle ske hurtigt og kvalificeret.

Med henblik på at sikre sammenhæng mellem den logiske og fysisk sik-

ring af energiinfrastrukturen foreslås det, at der stilles krav om at net-

værksudstyr, der ikke i sig selv er forsyningskritisk, men som giver mulig-

hed for logisk adgang til det forsyningskritiske miljø, skal have fysisk sik-

ring. Dette krav skal medvirke til at minimere risikoen for, at uvedkom-

mende kan få adgang til net- og informationssystemer med betydning for

leveringen af tjenesten gennem netværksudstyret placeret på andre lokatio-

ner. Tilstrækkelig fysisk sikring kan bidrage til at minimere konsekven-

serne af uautoriseret adgang. I den sammenhæng foreslås det, at der stilles

krav om, at virksomhederne skal være i stand til at detektere og alarmere.

Derudover fordres det, at virksomhederne har etableret procedurer for

hændelseshåndtering, som sikrer at deres anlæg og kritiske systemer er i

stand til at videreføre forretningen eller hurtigst muligt komme på fode

igen. Det foreslås derfor, at beredskabsplanlægningen skal indeholde pla-

ner og procedurer for, hvordan de reagerer på en sådan alarm. Det foreslås

desuden, at de nuværende krav til sikringsplaner og genopretning i vidt

omfang videreføres.

Side 56/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Cybersikkerhedsforansaltninger

For at sikre tilstrækkelig og hurtig reetablering efter en hændelse er det

centralt, at virksomheden har backup-styring, da backup fungerer som

virksomhedens livslinje i tilfælde af fx et cyberangreb, hvor virksomheden

har mistet data. Idet nedetid typisk er kritisk i energisektoren, er genopret-

telse af systemer fra backup, samt procedurer for hvordan man sikrer net-

værket mod yderligere kompromittering, essentiel. Det foreslås derfor, at

der stilles krav til virksomhederne om at have backup-styring. Derudover

foreslås det, at virksomhederne skal have en logpolitik for hvilke aktivite-

ter og datastrømme, der skal logges, samt have etableret tekniske værktø-

jer, der foretager den relevante logning, som bl.a. kan understøtte hændel-

seshåndtering og efterfølgende hændelsesopklaring. For de mere forsy-

ningskritiske virksomheder foreslås det derudover, at der stilles krav om,

at virksomheden løbende og risikobaseret monitorerer netværket, således

at man er i stand til at opdage uregelmæssigheder i net- og informationssy-

stemer i realtid.

Netværkssikkerhed

Det foreslås, at der vil blive stillet krav til virksomhedernes netværkssik-

kerhed, herunder at virksomhederne skal indføre passende netværksseg-

mentering, der opdeler net- og informationssystemer i netværk eller zoner

ud fra en vurdering af systemernes relationer og funktioner. Gennem seg-

mentering sikrer virksomhederne sig, at de kritiske dele af netværket bliver

adskilt fra fx internettet. På den måde sikrer virksomheden sig bedre imod,

at et angreb ikke spreder sig og dermed påvirker leveringen af tjenesten.

For de mere forsyningskritiske virksomheder foreslås det, at segmenterin-

gen skal være fysisk. Med henblik på at understøtte netværkssikkerheden

foreslås det desuden, at virksomhederne skal have overblik og styring over

arkitektur og datatrafik, herunder eventuelle integrationspunkter, internet-

vendte enheder og firewall-regler.

Med den foreslåede ordning vil der blive stillet krav til virksomhedernes

brug af fjernadgang til net- og informationssystemer med betydning for le-

veringen af tjenesten. Det er blevet mere udbredt at benytte fjernadgange

til at tilgå net- og informationssystemer, og det kan i mange tilfælde også

være med til at højne sikkerheden. Denne udvikling bevirker imidlertid, at

Side 57/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

angrebsfladen vokser, hvorfor det foreslås, at der bl.a. stilles krav om, at

fjernadgang til virksomhedernes net- og informationssystemer gør brug af

multifaktorgodkendelsesløsninger. Samtidig foreslås det, at fjernadgang til

forsyningskritiske kontrolrum kun må ske under specifikke forudsætninger

såsom kryptering, tidsbegrænset og personlige adgange. På den måde etab-

leres der sikre procedurer for, hvordan fx leverandører får adgang til de

kritiske systemer.

Derudover foreslås det, at datatrafik på virksomhedens trådløse netværk skal

være krypteret med en tidssvarende løsning. Det foreslås således, at der kan

fastsættes regler om kryptering og politikker og procedurer, der skal

understøtte, at virksomhedens net- og informationssystemer behandles

med den nødvendige fortrolighed, og at risikoen for kompromittering mi-

nimeres. Virksomhederne vil ligeledes skulle forholde sig til beskyttelse

på mobile enheder. Dette kan være på fx PC, mobiltelefoner og tablets.

Dette krav stilles ud fra en betragtning om, at beskyttelse på mobile enhe-

der er et væsentligt element for virksomhedernes samlede sikkerhed. Kon-

kret foreslås det at der stilles krav om, at mobile enheder bl.a. er adgangs-

kodebeskyttet, softwareopdateret og efter relevans antivirusbeskyttet.

Outsourcing

I den nuværende regulering stilles der krav om ejerskab af data, men der

stilles ikke krav til hvem og hvor, outsourcingen sker til. I direktiverne

sættes der nye krav til virksomhedernes forsyningskædesikkerhed og leve-

randørstyring, men der sættes ikke krav til placeringen af drift af net- og

informationssystemer. Den foreslåede ordning går således videre end di-

rektiverne, idet der vil blive stillet krav om, at net- og informationssyste-

mer af betydning for leveringen af tjenesten på nationalt og europæisk ni-

veau er underlagt EU/EØS-jurisdiktion, og at der ikke skabes afhængighe-

der, som kan sætte leveringen af tjenesten under pres. Dette kan fx være i

tilfælde af en ændret geopolitisk situation. Formålet er bl.a., at det er

EU/EØS-regulering – og dermed ikke andre landes lovgivning – der regu-

lerer adgang til og drift af net- og informationssystemer med betydning for

leveringen af tjenesten.

Side 58/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

3.3. Underretning

3.3.1. Gældende ret

NIS 1-direktivet forpligter i artikel 14, stk. 3 og 4, og artikel 16, stk. 3-5,

operatører af væsentlige tjenester og udbydere af digitale tjenester til hur-

tigst muligt at underrette myndighederne om eventuelle hændelser, der har

væsentlig forstyrrende virkning på levering af de pågældende tjenester. Di-

rektivet fastsætter nærmere kriterier for, hvornår en hændelse anses for at

være væsentlig.

Det følger endvidere af direktivets artikel 14, stk. 6, og artikel 16, stk. 7, at

myndighederne under visse betingelser kan informere offentligheden om

væsentlige hændelser eller kræve, at den relevante operatør eller udbyder

gør det. Myndighederne kan endvidere i relevant omfang informere øvrige

EU-medlemsstater, som måtte være berørt.

NIS 1-direktivet blev gennemført sektorvist i regulering gældende for de

specifikke sektorer, hvor direktivet finder anvendelse. For energisektoren

blev reglerne gennemført i bekendtgørelse om it-beredskab for el og natur-

gassektoren og bekendtgørelse om beredskab for oliesektoren.

EPCIP-direktivet fastsætter i artikel 6, at ejere og operatører af europæisk

kritisk infrastruktur skal udpege en sikkerhedsforbindelsesofficer, der fun-

gerer som kontaktpunkt i forbindelse med sikkerhedsmæssige spørgsmål

mellem ejeren og operatøren af den europæiske kritiske infrastruktur og

medlemsstatens relevante myndighed.

Endvidere fremgår det bl.a. af EPCIP-direktivet, at hver medlemsstat ind-

fører en passende kommunikationsmekanisme mellem medlemsstatens re-

levante myndighed og sikkerhedsforbindelsesofficeren eller tilsvarende

med henblik på at udveksle relevante oplysninger, om de identificerede ri-

sici og trusler i forbindelse med den pågældende europæiske kritiske infra-

struktur.

Direktivet indeholder derimod ikke en forpligtelse for ejere og operatører

til at underrette myndighederne om hændelser.

For energisektoren er der fastsat regler om underretning af hændelser for

klassisk beredskab i bekendtgørelse om beredskab for elsektoren, bekendt-

gørelse om beredskab for gassektoren og bekendtgørelse om beredskab i

oliesektoren.

Side 59/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det fremgår af bekendtgørelserne for både it-beredskab og klassisk bered-

skab, at der skal foretages meddelelse om hændelser, der i væsentlig grad

reducerer funktionaliteten hos den berørte juridiske person. Bekendtgørel-

serne stiller også krav om, at de berørte juridiske personer efter en hæn-

delse skal udarbejde en hændelsesevaluering, som skal fremsendes til

myndighederne.

Der stilles kun krav om underretning af hændelser i el-, gas- og oliesekto-

ren inden for energisektoren.

3.3.2. Klima-, Energi- og Forsyningsministeriets overvejelser

NIS 2-direktivets artikel 23 indeholder en forpligtelse for væsentlige og

vigtige enheder til at foretage hændelsesunderretning, som i det væsentlige

svarer til forpligtelserne i NIS 1-direktivet.

Enhederne skal således uden unødigt ophold underrette deres CSIRT eller

kompetente myndighed om enhver hændelse, der har væsentlig indvirk-

ning på leveringen af enhedens tjenester. Direktivet fastsætter nærmere

kriterier for, hvornår en hændelse anses for at være væsentlig, herunder; a)

hvis den har forårsaget eller er i stand til at forårsage alvorlige driftsfor-

styrrelser af tjenesterne eller økonomiske tab for den berørte enhed, eller

b) den har påvirket eller er i stand til at påvirke andre fysiske eller juridi-

ske personer ved at forårsage betydelig materiel eller immateriel skade.

Direktivet fastsætter endvidere bestemte frister for, hvornår der skal afgi-

ves henholdsvis en tidlig varsling, en ajourføring heraf, en foreløbig rap-

port, eventuelt en statusrapport og en endelig rapport.

Som noget nyt i forhold til NIS 1-direktivet pålægger NIS 2-direktivet des-

uden væsentlige og vigtige enheder at informere modtagerne af deres tje-

nester (brugerne) om væsentlige hændelser, der sandsynligvis vil påvirke

leveringen af disse tjenester negativt, samt – i tilfælde af en væsentlig cy-

bertrussel – om eventuelle modforanstaltninger, som brugerne kan træffe.

Herudover foreskriver direktivet, ligesom NIS 1-direktivet, at myndighe-

derne efter høring af den berørte enhed kan informere offentligheden om

en væsentlig hændelse eller kræve, at enheden gør det, såfremt dette er

nødvendigt eller i øvrigt i offentlighedens interesse. Det vurderes mest

hensigtsmæssigt, at den nuværende rollefordeling i forhold til at informere

Side 60/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

offentligheden videreføres, således at det som udgangspunkt er Energisty-

relsen, der foretager dette. CFCS inddrages ved hændelser, der kan påvirke

flere sektorer, offentligheden, eller som har grænseoverskridende karakter.

Det vil skulle sikres, at offentligheden informeres på en ansvarlig måde,

som ikke kompromitterer fortrolige oplysninger.

3.3.3. Den foreslåede ordning

Det foreslås, at der kan fastsættes nærmere regler om underretning og ind-

rapportering af hændelser. Efter forslået vil de nærmere regler gennemføre

NIS 2-direktivets artikel 23 om hændelsesrapporteringer og CER-direkti-

vets artikel 15 om kritiske enheders underretningspligt. Med bemyndigel-

sen kan der således fastsættes nærmere regler for, til hvem underretning

skal ske, hvornår og hvor udførligt underretning skal ske. Desuden kan der

fastsættes nærmere regler for, hvilke hændelser der skal indrapporteres.

Det foreslås herudover i overensstemmelse med artikel 23, stk. 1, 2. pkt., i

NIS 2-direktivet, at ministeren kan fastsætte nærmere regler om, at virk-

somheder skal underrette modtagerne af deres tjenester om væsentlige

hændelser, der sandsynligvis vil påvirke leveringen af deres tjenester nega-

tivt. Der kan endvidere fastsættes regler om, at virksomheder skal oplyse

modtagerne af deres tjenester, som potentielt er berørt af en væsentlig

hændelse, om eventuelle foranstaltninger eller modforholdsregler, som

modtagerne kan træffe som reaktion på den pågældende trussel og eventu-

elt også oplyse om selve truslen.

Endelig foreslås det, at Klima-, Energi- og Forsyningsministeriet under

visse betingelser kan informere offentligheden om den væsentlige hæn-

delse eller kræve, at virksomheden gør det. I tilfælde, hvor hændelsen be-

rører flere samfundsvigtige sektorer, herunder eventuelt også sektorer uden

for lovens anvendelsesområde eller hvor der er tale om en hændelse i en

anden EU-medlemsstat, vil det være Center for Cybersikkerhed i centerets

funktion som CSIRT og centralt kontaktpunkt, der vil kunne informere of-

fentligheden om den væsentlige hændelse.

Forud for orientering af offentligheden høres virksomheden, der har under-

rettet om hændelsen, herunder med henblik på vurdering af, hvilke oplys-

ninger der må betragtes som fortrolige. Ved overvejelse om orientering af

offentligheden om en hændelse skal det sikres, at forvaltningslovens § 27

om offentligt ansattes tavshedspligt iagttages. Dette omfatter bl.a. hensynet

Side 61/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

til enkeltpersoners private forhold, forretningshemmeligheder samt hensy-

net til forebyggelse, efterforskning og forfølgning af lovovertrædelser.

Der sikres også muligheden for, at personer og virksomheder, der ikke el-

lers er omfattet af lovens anvendelsesområde, frivilligt kan underrette

klima-, energi- og forsyningsministen om hændelser, der har betydning for

energisektoren.

Der henvises i øvrigt til bemærkninger til de foreslåede §§ 12-15.

3.4. Sikkerhedsgodkendelser og baggrundskontrol

3.4.1. Gældende ret

Der er i Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning

og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at

beskytte den bedre (EPCIP-direktivet) ikke regler om, at der skal være

mulighed for at få foretaget baggrundskontrol af personer i kritiske enheder.

For at få adgang til klassificeret information stilles der krav om sikkerheds-

godkendelse i medfør af Justitsministeriets cirkulære nr. 10338 af 17. de-

cember 2014 om sikkerhedsbeskyttelse af informationer af fælles interesse

for landene i NATO eller EU, andre klassificerede informationer samt in-

formationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt (sikkerheds-

cirkulæret). Kravet om sikkerhedsgodkendelse efter sikkerhedscirkulæret

gælder for ansatte i offentlige myndigheder, ansatte i private virksomheder,

der løser opgaver for offentlige myndigheder, og ansatte i private virksom-

heder, hvis der i øvrigt i medfør af særlovgivning stilles krav om sikker-

hedsgodkendelse for at udføre deres funktion.

På luftfartsområdet er der i Europa-Parlamentet og Rådets forordning (EF)

nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden

for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 fastsat

regler om baggrundskontrol af visse personer, der udfører funktioner inden

for luftfartssikkerhed.

Energistyrelsen træffer i dag afgørelser om sikkerhedsgodkendelser for så

vidt angår ansatte og konsulenter i Energinet samt konsulenter som indgår

i samarbejdsforhold med Energistyrelsen i regi af den Nationale Operative

Stab eller Lokale Beredskabsstabe efter lov om Energinet og Sikkerheds-

cirkulæret.

Side 62/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Energistyrelsen har i dag ikke hjemmel til at sikkerhedsgodkende personer

inden for energisektoren, der ikke er ansat i eller udfører opgaver for Ener-

gistyrelsen eller en anden offentlig myndighed. Desuden har klima- energi-

og forsyningsministeren ikke bemyndigelse til at fastsætte nærmere regler

om sikkerhedsgodkendelse i energisektoren.

I perioden fra 2019 til 2023 har Energistyrelsen truffet afgørelser om sik-

kerhedsgodkendelse af personer inden for energisektoren, der ikke var ansat i

eller udførte optager for Energistyrelsen, ud fra en retsvildfarelse om, at

sikkerhedscirkulæret indeholder en hjemmel hertil.

3.4.2. Klima-, Energi- og Forsyningsministeriets overvejelser

Det følger af CER-direktivets artikel 14, stk. 1, at medlemsstaterne angiver,

på hvilke betingelser en kritisk enhed har tilladelse til at indgive anmodnin-

ger om baggrundskontrol af personer, der a) varetager følsomme opgaver i

eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds

modstandsdygtighed, b) er bemyndiget til at få direkte adgang eller fjernad-

gang til en kritisk enheds lokaler, oplysninger eller kontrolsystemer, herun-

der i forbindelse med den kritiske enheds sikkerhed, c) overvejes ansat i

stillinger, der hører under kriterierne i litra a) eller b).

Det følger yderligere af CER-direktivets artikel 14, stk. 3, at en baggrunds-

kontrol som minimum skal bekræfte identiteten af den person, der er gen-

stand for baggrundskontrollen og kontrollere strafferegistret for den pågæl-

dende person for så vidt angår lovovertrædelser, der ville være relevante for en

bestemt stilling. Ifølge præambelbetragtning 32, bør medlemsstaterne an-

vende det europæiske informationssystem vedrørende strafferegistre i over-

ensstemmelse med procedurerne i Rådets rammeafgørelse 2009/315/RIA

og, hvor det er relevant og finder anvendelse, Europa-Parlamentets og Rå-

dets forordning (EU) 2019/816 med henblik på indhentning af oplysninger

fra andre medlemsstaters strafferegistre. Medlemsstaterne kan også, hvor

det er relevant og finder anvendelse, trække på anden generation af Schen-

geninformationssystemet (SIS II), der blev oprettet ved Europa-Parlamen-

tets og Rådets forordning (EU) 2018/1862, efterretninger og alle andre til-

gængelige objektive oplysninger, som måtte være nødvendige for at fastslå,

om den berørte person er egnet til at beklæde den stilling, for hvilken den

kritiske enhed har anmodet om en baggrundskontrol.

Baggrundskontrol må kun ske i behørigt begrundede tilfælde og under hen-

syn til medlemsstatsrisikovurderingen. Baggrundskontrol skal desuden

Side 63/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

være forholdsmæssig og strengt begrænset til, hvad der er nødvendigt. Bag-

grundskontrollen må endvidere udelukkende foretages med henblik på at

vurdere en potentiel sikkerhedsrisiko for den berørte kritiske enhed.

Klima-, Energi- og Forsyningsministeriet vurderer, at baggrundskontrol i

visse tilfælde ikke vil være tilstrækkeligt til at sikre den fornødne personel-

sikkerhed i energisektoren. Det vurderes, at der for personer med direkte

adgang til at påvirke energiforsyningen i energisektoren er behov for en

hjemmel sikkerhedsundersøgelse med henblik på sikkerhedsgodkendelse.

3.4.3. Den foreslåede ordning

Som anført ovenfor vurderer Klima-, Energi- og Forskningsministeriet, at

CER-direktivets minimumskrav om baggrundskontrol ikke er tilstrækkeligt

til at sikre den fornødne personelsikkerhed i energisektoren.

Det følger derfor af den foreslåede § 16, stk. 1, at klima-, energi- og forsy-

ningsministeren efter forhandling med justitsministeren kan fastsætte reg- ler

om sikkerhedsgodkendelse af personer i energisektoren, der har direkte

adgang til at påvirke forsyningen i energisektoren, herunder regler om an-

søgning om, betingelser for og meddelelse og tilbagekaldelse af sikker-

hedsgodkendelser, jf. lovforslagets § 16, stk. 1.

Personer med direkte adgang til at påvirke forsyningen i energisektoren kan

f.eks. være ansatte og konsulenter med væsentlige fysiske eller logiske ad-

gange og rettigheder, herunder bl.a. fysisk adgang til virksomhedens kon-

trolrum eller virksomhedens forsyningskritiske anlæg, eller domæneret-

tigheder eller lignende privilegerede rettigheder til virksomhedens kritiske

systemer og netværk.

Det følger derfor af den foreslåede § 16, stk. 2, at klima-, energi- og forsy-

ningsministeren efter forhandling med justitsministeren kan fastsætte reg-

ler om baggrundskontrol af personer i energisektoren, der: 1) varetager føl-

somme opgaver i eller til fordel for en virksomhed, navnlig vedrørende

virksomhedens modstandsdygtighed, 2) er bemyndiget til at få direkte ad-

gang eller fjernadgang til virksomhedens lokaler, oplysninger eller kon-

trolsystemer, herunder i forbindelse med virksomhedens sikkerhed eller 3)

overvejes ansat i stillinger, der indebærer opgavevaretagelse efter nr. 1

og/eller nr. 2.

Den foreslåede bestemmelse i § 16, stk. 2, gennemfører artikel 14, stk. 1, i

Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december

2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets

direktiv 2008/114/EF (CER-direktivet), hvorefter medlemsstaterne angiver,

Side 64/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

på hvilke betingelser en kritisk enhed i behørigt begrundede tilfælde og un-

der hensyntagen til medlemsstatsrisikovurderingen har tilladelse til at ind-

give anmodninger om baggrundskontrol af personer, der a) varetager føl-

somme opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den

kritiske enheds modstandsdygtighed, b) er bemyndiget til at få direkte ad-

gang eller fjernadgang til en kritisk enheds lokaler, oplysninger eller kon-

trolsystemer, herunder i forbindelse med den kritiske enheds sikkerhed, c)

overvejes ansat i stillinger, der hører under kriterierne i litra a) eller b).

Den foreslåede bestemmelse svarer indholdsmæssigt til CER-direktivets ar-

tikel 14, stk. 1, og skal forstås og anvendes i overensstemmelse med direk-

tivets forudsætninger.

Baggrunden for CER-direktivets artikel 14, stk. 1, beskrives i præambelbe-

tragtning nr. 32, hvoraf det bl.a. fremgår, at risikoen for, at ansatte i kritiske

enheder eller deres kontrahenter misbruger for eksempel deres adgangsret

inden for den kritiske enheds organisation til at skade og forvolde skade,

giver anledning til stigende bekymring.

Efter den foreslåede bestemmelse vil klima-, energi- og forsyningsministe-

ren efter forhandling med justitsministeren kunne fastsætte nærmere regler,

der sammen med bestemmelsen vil skulle gennemføre CER-direktivets ar-

tikel 14.

Det foreslås, at klima-, energi- og forsyningsministeren bemyndiges til at

fastsætte nærmere regler om, på hvilke betingelser en virksomhed vil kunne

anmode om baggrundskontrol af en person, således at særlige sektorspeci-

fikke hensyn kan varetages.

Det bemærkes i den forbindelse, at gennemførelse af baggrundskontrol vil

ske på grundlag af en anmodning fra virksomheden og forudsætter, at den

pågældende person har meddelt samtykke dertil.

Det forudsættes i øvrigt, at udstedelse af nærmere regler og den efterføl-

gende administration af ordningen vil ske i overensstemmelse med kravene i

CER-direktivets artikel 14, stk. 2 og 3.

Klima-, Energi- og Forsyningsministeriet vurderer, at den foreslåede ord-

ning vil give mulighed for at sikre den fornødne personelsikkerhed i hele

energisektoren.

Der ændres ikke i gældende ordning, hvor Energistyrelsen kan træffe afgø-

relser om sikkerhedsgodkendelser for så vidt angår ansatte og konsulenter i

Side 65/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Energinet samt konsulenter som indgår i samarbejdsforhold med Energi-

styrelsen i regi af den Nationale Operative Stab eller Lokale Beredskabs-

stabe efter Lov om Energinet og Sikkerhedscirkulæret.

Der henvises i øvrigt til bemærkningerne til den foreslåede § 16.

3.5. Gebyrbestemmelser om gebyrbetaling for myndighedsbehandling

3.5.1. Gældende ret

3.5.1.1. Virksomhedernes gebyrbetaling for myndighedsbehand- ling

Det følger af elforsyningslovens § 51d og gasforsyningslovens § 30 a, stk. 5-

7, at de virksomheder, der i dag er pålagt krav om beredskabsplanlægning,

fysisksikring og cybersikkerhed i el- og gassektorene, halvårligt skal betale et

beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkost-

ningerne af ministeriets tilsyn med virksomhedernes overholdelse af regler

udstedt i medfør af elforsyningslovens § 85 b, stk. 4 og 85 c, stk. 6, samt

gasforsyningslovens § 15 a, stk. 4 og 15 b, stk. 6.

Denne betalingsforpligtigelse trådte i kraft d. 1. juli 2019 ved lov nr. 494 af 1.

maj 2019 om ændring lov om Energinet, lov om elforsyning og lov om

naturgasforsyning. Med denne lov sørgedes der for, at den planlagte virk-

somhedsoverdragelse, der skulle ske af tilsynsforpligtigelsen med de oven-

nævnte beredskabsregler fra Energinet til Energistyrelsen d. 1. juli 2019,

kunne finansieres gennem en betaling fra de virksomheder, der modtog dette

tilsyn.

Forpligtelsen til at føre tilsyn med el- og naturgassektorernes almene bered-

skaber blev i 2005 lagt hos Energinet. Placeringen skyldtes, at lovgiver den-

gang fandt, at Energinet modsat Energistyrelsen havde den faglige viden til at

varetage tilsynet med virksomhedernes beredskab. Denne tankegang blev

sidenhen videreført, da man ved lov nr. 1755 af 27. december 2016 om æn-

dring af lov om elforsyning og lov om naturgasforsyning indførte krav om it-

beredskab for el- og naturgassektorerne. Samtidigt blev det påpeget, at der ville

være synergi, hvis tilsynet med det klassiske beredskab og it-beredska- bet

blev placeret det samme sted hos Energinet.

I forbindelse med folketingsbehandlingen af ovennævnte lovændring i 2016

oplyste energi-, forsynings- og klimaministeren over for Energi-, Forsy-

nings- og Klimaudvalget, at ministeren senest med udgangen af 2018 ville

Side 66/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

gennemføre en evaluering af placeringen af tilsynet med el- og naturgas-

virksomhedernes it-beredskab. Den færdige evaluering blev oversendt til

Energi-, Forsynings- og Klimaudvalget den 13. september 2018 og inde-

holdt bl.a. en anbefaling om, at tilsynsopgaver med det almene beredskab og

tilsynet med it-beredskabet skulle flyttes fra Energinet til Energistyrel- sen.

Evalueringen konkluderede således, at Energistyrelsen siden 2016 havde

opbygget et fagligt miljø, der kunne understøtte varetagelsen af op- gaven

med at føre tilsyn med el- og naturgasvirksomhedernes it-beredskab.

Ministeren besluttede på baggrund af evalueringen at overføre tilsynet med

el- og naturgasvirksomhedernes almene beredskab og it-beredskab fra Ener-

ginet til Energistyrelsen med virkning fra den 1. juli 2019. Hovedformålet

med at flytte tilsynet med det almene beredskab og it-beredskabet fra Ener-

ginet til Energistyrelsen var, at det derved kunne undgås, at Energinet havde

en dobbeltrolle som koordinerende funktion i beredskabet på den ene side og

tilsynsførende myndighed over for el- og naturgasvirksomhederne på den

anden side. Ved at flytte myndighedstilsynet til Energistyrelsen fjernede mi-

nisteren en hindring for Energinets mulighed for at samarbejde med virk-

somhederne, særligt i forbindelse med evaluering af hændelser og forebyg-

gelse og forberedelse af eventuelle fremtidige hændelser.

De ovennævnte § 51 d i elforsyningsloven og § 30 a, stk. 5-7 i gasforsy-

ningsloven er bemyndigelsesbestemmelser, hvorefter ministeren kan fast-

sætte nærmere regler om størrelsen af de beløb, som de nævnte virksomhe-

der skal betale og nærmere regler om betaling og opkrævning af disse beløb.

Gebyrernes størrelse er blevet fastsat ved bekendtgørelse i bekendtgørelse nr.

805 af 15. juni 2023 om betaling for myndighedsbehandling i Energisty-

relsen. Gebyrerne er fastsat som generelle grundbeløb fordelt på 4 katego-

rier og gradueret således, at gebyret er størst for virksomheder i kategori 1 og

lavest for virksomheder i kategori 4. De 4 gebyrkategorier for gebyrop-

krævningen er baseret på den kategorisering, der foretages af virksomhe-

derne efter it-beredskabsbekendtgørelsen dog under hensyntagen til antallet

af klasse 1 anlæg, som virksomheden ejer. Klassificeringen af anlæg foreta-

ges efter elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørel-

sen.

Virksomheder har i dag mulighed for at få samordnet beredskab, hvor en

virksomhed forestår beredskabsplanlægningen og udførelsen på vegne af to

eller flere virksomheder, som regel fordi der er en koncernforbindelse, tæt

geografisk tilknytning eller afhængighed eller at ejeren af et energianlæg,

Side 67/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

fx. en solcellepark, også er operatør af en lang række andre solparker, som

den tidligere har ejet, men solgt fra til investorer. Når virksomheder har fået

samordnet beredskab på både det almene beredskab og it-beredskab, har

Energistyrelsen kun ført tilsyn med den virksomhed, der forestår bered-

skabsplanlægningen og udførelsen heraf, hvorfor kun denne virksomhed

skal betale det generelle grundbeløb for tilsyn med virksomhedens bered-

skab, alt i mens at den anden virksomhed har sluppet for at betale det gene-

relle grundbeløb.

Endvidere har klima-, energi- og forsyningsministeren i førnævnte bekendt-

gørelse om betaling for myndighedsbehandling i Energistyrelsen udnyttet

sin bemyndigelse i § 90 i lov om elforsyning og § 52 i lov om naturgasfor-

syning til at afskære klageadgang til Energiklagenævnet for afgørelser truf-

fet efter reglerne udstedt i medfør af de § 51 d, og 30 a, stk. 5-7. Det er ikke

vurderet at være retssikkerhedsmæssigt betænkeligt at fravige udgangs-

punktet om klageadgang i dette konkrete tilfælde, da afgørelser om opkræv-

ning af beløb ikke vil være egnede til at blive gjort til genstand for prøvelse

ved Energiklagenævnet, som normalt er klageinstans for Energistyrelsens

afgørelser, eller ved anden klagemyndighed.

Det er endvidere ikke vurderet betænkeligt at afskære klageadgangen til

Energiklagenævnet, da afgørelserne vedrører opkrævning af fakturaer, der er

udstedt på baggrund af regler fastsat i bekendtgørelsen om betaling for

myndighedsbehandling i Energistyrelsen. Spørgsmålet om afgørelsens lov-

lighed og rigtighed vil derfor typisk være et spørgsmål om, hvorvidt bereg-

ningen, der ligger til grund for opgørelsen af det opkrævede beløbet, er kor-

rekt. Sådanne spørgsmål ligger ikke oplagt inden for Energiklagenævnets

særlige kompetenceområde som prøveinstans for energifaglige og juridiske

spørgsmål, navnlig energiretlige spørgsmål, og rekursordningens styrings-

funktion vil således være begrænset.

Energistyrelsens afgørelser om opkrævning vil kunne prøves ved domsto-

lene ligesom alle andre myndighedsafgørelser jf. grundlovens § 63. På den

baggrund vurderes det, at hensynet til virksomhedernes retssikkerhed ift.

gebyrbetaling, for den myndighedsbehandling de modtager, er tilstrækkeligt

tilgodeset.

3.5.1.2. Energinets gebyrbetaling for myndighedsbehandling

Klima-,

energi- og forsyningsministerens tilsyn med det almene beredskab og it-

beredskabet hos Energinet er siden den 1. juli 2019 blevet finansieret

Side 68/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

via lovfastsat grundbeløb i elforsyningslovens § 51 b og gasforsyningslo-

vens § 30 a, stk. 3, hvor beløbet er en delmængde af et større beløb, der

opkræves for tilsyn med Energinets aktiviteter efter de to love.

Fra 2017 frem til 2019 var det kun tilsynet med Energinets it-beredskab, der

var gebyrfinansieret, da der blev indført separat hjemmel til dette i den da-

gældende § 51, stk. 2 i elforsyningsloven og § 30, stk. 2 i naturgasforsy-

ningsloven i forbindelse med indførelsen af kravene om it-beredskab i el- og

naturgassektorerne i lov nr. 1755 af 12. december 2016 om ændring af lov

om elforsyning og lov om naturgasforsyning.

Disse paragraffer blev sidenhen ændret ved lov nr. 1399 af 5. december

2017 om ændring af lov om elforsyning, lov om fremme af vedvarende

energi, lov om naturgasforsyning, lov om Energinet.dk og lov om varme-

forsyning. Her ændredes gebyrerne for klima-, energi- og forsyningsmini-

sterens tilsyn fra kun at have været opkrævet fra Energinet til at være op-

krævet hos de individuelle virksomheder, således det kunne sikres, at virk-

somhederne kun betalte for den myndighedsbehandling, som de fik. I den

forbindelse ændredes gebyropkrævningen for tilsynet med Energinet og

denne virksomheds helejede datterselskaber til at være lovfikseret grundbe-

løb fastsat i hhv. elforsyningslovens § 51 b, stk. 2, på 4,5 mio. kr. og natur-

gasforsyningslovens § 30 a, stk. 3 på 0,7 mio. kr.

I 2019 ændredes de to paragraffer igen ved lov 494 af 1. maj 2019 om æn-

dring af lov om Energinet, lov om elforsyning og lov om naturgasforsyning.

Her ændredes beløbene således, at Energistyrelsens tilsyn med Energinets

almene beredskab også kunne finansieres af Energinet, på samme måde som

tilsynet med it-beredskabet var finansieret. På den måde sikredes ensartet-

hed i finansieringen af Energistyrelsens beredskabstilsyn med Energinet.

Klima-, energi- og forsyningsministeren opkræver i dag årligt gebyr for

1000 timers tilsyn med Energinets almene beredskab og it-beredskab. De

1000 timer er lovmæssigt fordelt med 600 timer til Energinets El TSO og 400

timer til Energinets Gas TSO, hvilket efter Energistyrelsens 2024 time- takts

for en gennemsnitsmedarbejder på 746,68 kr. svarer til 746.680 kr. Der er i

tillæg til de 1000 timeres tilsyn, som Energistyrelsen fører, også finan- sieret

50 timers ekstern konsulentbistand til tilsyn med it-beredskab pga.

områdets særlige tekniske karakter. Denne udgift udgjorde 62.500 kr., da

man anlagde en formodning om at en konsulent kostede 1250 kr. i timen

3.5.2. Klima-, Energi- og Forsyningsministeriets overvejelser

Side 69/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

3.5.2.1

Generelle grundbeløb til finansiering af almindelig t til- syn og

administration af ordningen

Klima-, Energi- og Forsyningsministeriet vurderer, at den nuværende ge-

byrordning for dækning af de omkostninger, der er til administration af ord-

ningen og tilsynet med virksomhedernes organisatoriske beredskab, fysiske

sikring og cybersikkerhed, er en god og gennemsigtig ordning, der bedst

muligt sikrer, at virksomhederne kun betaler for det tilsyn, de modtager,

samtidig med at Energistyrelsen har en let administrerbar gebyrordning, der

samtidig er fleksibel nok til, at der kan ske justering af gebyrerne, såfremt

tilsynsmængden for virksomhederne generelt set skal op- eller nedjusteres.

Klima-, Energi- og Forsyningsministeriet foreslår derfor, at den eksiste-

rende gebyrordning for tilsynet med el- og naturgasvirksomhedernes orga-

nisatoriske beredskab, fysiske sikring og cybersikkerhed og dækning af de

omkostninger der er til administration af ordningen videreføres i dette lov-

forslag og udvides til at gælde alle virksomheder, omfattet af loven, herun-

der også Energinets El TSO og Gas TSO. Dette betyder, at § 51 d i elforsy-

ningsloven og § 30 a, stk. 5 og 6 i gasforsyningsloven ophæves helt og er-

stattes af den foreslåede § 19 i denne lov, samt at de beløb, som opkræves for

tilsyn med Energinet i elforsyningslovens § 51 b og gasforsyningslovens § 30

a, stk. 3, 1 pkt., justeres, så beløbene efter § 51 b og 30 a, reflekterer

udgifterne til tilsyn med Energinet efter hhv. elforsyningsloven og gasfor-

syningsloven.

Justeringen af beløbet i elforsyningslovens § 51 b vil blive foretaget i lov-

forslag [om ændring af lov om elforsyning mm.], idet paragraffens indhold

skal justeres af andre hensyn der.

Som beskrevet i afsnittet om gældende ret har virksomheder i dag mulighed

for at få samordnet beredskab, hvor kun den udførende virksomhed opkræ-

ves betaling for tilsyn med beredskabsplanlægningen. Denne praksis har

medført en uhensigtsmæssighed i nogle tilfælde, hvor en virksomhed vare-

tager beredskabet for et stort antal anlæg, som regel vedvarende energi-an-

læg, der hver for sig kun er klasse 3 eller 2 anlæg, men som tilsammen udgør

en meget stor MW-andel af den danske elproduktion.

Det er Klima-, Energi- og Forsyningsministeriet vurdering, at når dette er

tilfældet, bør virksomheden, der varetager det samordnede beredskab,

modtage tilsyn, som var de niveau 5-virksomhed med et større antal klasse

4 el. 5 anlæg. Dette problem er løst i § 4, hvor virksomheder med samord-

net beredskab, der tilsammen har så stor en energi- eller kundeportefølje at

Side 70/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

de falder ind under et højere niveau, bliver indplaceret på dette niveau.

Dette har samtidig den konsekvens, at virksomheden indplaceres i den til-

svarende gebyrkategori, og dermed er det Klima-, Energi- og Forsynings-

ministeriet vurdering, at der er den nødvendige finansiering af disse særtil-

fælde med store samordnede beredskaber.

3.5.2.2

Aktivitetsberegnet beløb til finansiering af ad -hoc tilsyn

I tillæg til de almindelige planlagte tilsyn med fast kadence kan der blive

behov for ekstraordinære tilsyn i situationer, hvor klima-, energi- og forsy-

ningsministeren bliver opmærksom på eller mistænker særligt grove over-

trædelser af reglerne i loven eller fastsat i medfør af loven. Her kan tilsyn

med virksomheden ikke vente til tidspunktet, hvor tilsynet i den normale

tilsynskadence er planlagt til at blive afholdt.

Sådanne ekstraordinære tilsyn kan i dag ikke gebyrfinansieres, hvilket i sid-

ste ende betyder, at andre opgaver må bortprioriteres af Klima-, Energi- og

Forsyningsministeriet. For at bringe lighed mellem tilsynsopgaverne, uanset

om der er tale om almindeligt planlagte tilsyn efter den normale tilsynska-

dence eller ekstraordinære tilsyn uden for kadencen, vurderer Klima-,

Energi- og Forsyningsministeriet, at det er mest hensigtsmæssigt også at ge-

byrfinansiere ekstraordinære tilsyn. Det er Klima-, Energi- og Forsynings-

ministeriets vurdering, at det er mest gennemsigtigt at sådanne ekstraordi-

nære tilsyn bliver afregnet som timeafregnede gebyrer, hvor virksomheden

opkræves for det antal timer, der er medgået i udførelsen af det ekstraordi-

nære tilsyn.

Et af de kriterier, der lægges til grund for vurderingen af behovet for gen-

nemførelsen af et eller flere ekstraordinære tilsyn med en virksomhed, er, om

overtrædelsen eller den mistænkte overtrædelse vurderes til konkret at kunne

bringe leveringen af virksomhedens tjeneste i fare.

Da dette ekstraordinære tilsyn indledes på grund af en konkret begrundet

mistanke om en virksomheds manglende overholdelse eller tilsidesættelse

af reglerne på en sådan måde, at det har potentiale til at bringe virksomhe-

dens levering af deres tjeneste i fare, findes det ikke rimeligt eller gennem-

sigtig blot at indregne udgifter til sådanne ekstraordinære tilsyn i de gene-

relle grundbeløb, der finansierer de almindelige tilsyn. Hvis det var tilfæl-

det, vil andre virksomheder, der overholder reglerne, reelt komme til at af-

holde en andel, om end det er en meget lille andel, af tilsynsudgiften for

Side 71/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

andre virksomheder, fordi de andre virksomheder ikke overholder gæl-

dende ret. Dette findes urimeligt, hvorfor Klima-, Energi- og Forsynings-

ministeriet foreslår en separat gebyrfinansiering af sådanne tilsyn.

3.5.2.3 Beløb til finansiering af behandling virksomhedernes an- søgninger

i egeninteresse

I dag modtager Energistyrelsen, til hvem klima-, energi- og forsyningsmi-

nisteren har delegeret arbejdet med beredskabet i energisektoren, en række

ansøgninger og dispensationsansøgninger efter reglerne i elberedskabs-,

gasberedskabs- og it-beredskabsbekendtgørelserne. Der er tale om ansøg-

ninger om samordnet beredskab mellem 2 eller flere virksomheder, dispen-

sation fra overholdelse af alle eller dele af reglerne i de tre bekendtgørelser,

dispensationer fra frister, dispensationer om personsammenfald (hvor den

samme person i en virksomhed er både beredskabskoordinator og it-bered-

skabsansvarlig og/eller en del af ledelsen). Endeligt behandler Energistyrel-

sen et stadigt stigende antal ansøgninger om sikkerhedsgodkendelse af per-

soner efter cirkulære CIR1H nr. 10338 af 17. december 2014.

Sagsbehandlingen af disse ansøgninger, dispensationsansøgninger og an-

søgning om sikkerhedsgodkendelse er i dag ikke gebyrfinansieret.

Det er Klima-, Energi- og Forsyningsministeriets vurdering, at det fremover

vil være hensigtsmæssigt at gebyrfinansiere sagsbehandlingen af de oven-

nævnte ansøgninger. Dette er, fordi klima-, energi- og forsyningsministeren

må forventes at modtage væsentligt flere af disse ansøgninger, idet der frem-

over vil være mange flere virksomheder, der er omfattet reglerne om bered-

skab, ligesom der i den foreslåede §16 om sikkerhedsgodkendelser og bag-

grundskontrol åbnes op for, at endnu flere virksomheder vil blive pålagt

krav om sikkerhedsgodkendelser og baggrundskontrol. Således vurderes ud-

giften til denne sagsbehandling at stige, hvorfor Klima-, Energi- og Forsy-

ningsministeriet må sikre tilsvarende indtægt til afholdelsen af udgiften.

Ligeledes vil gebyrfinansieringen også være med til moderere antallet af

ansøgninger, idet virksomhederne i så fald må forventes at overveje om ud-

giften til ansøgningen stemmer overens med den værdi, som virksomheden

forventer at vinde ved en forhåbentlig godkendt ansøgning. Dette gør sig

særligt gældende for sikkerhedsgodkendelserne og de udvidede baggrunds-

kontroller, hvor der i dag observeres en tendens til et overforbrug af sikker-

hedsgodkendelser.

Side 72/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det må forventes, at virksomhederne, på samme måde som i dag, overvælter de

øgede omkostninger, som gebyrerne medfører, på prisen for den tjeneste, som

de leverer.

3.5.3. Den foreslåede ordning

Klima-, Energi- og Forsyningsministeriet foreslår med § 19, stk. 1, at de

omfattede virksomheder halvårligt skal betale et beløb til Klima-, Energi- og

Forsyningsministeriet til dækning af de omkostninger, der er til admini-

stration af ordningen og tilsyn med virksomhederne efter reglerne i denne lov

og regler udstedt i medfør af denne lov. Den halvårlige betaling er en

fortsættelse af den hidtidige frekvens for betaling for tilsyn med virksomhe-

dernes beredskabsarbejde. Den halvårlige frekvens sikrer, at der ikke skal

betales for store beløb ad gangen, samt at opkrævningen kan finde sted i

samme frekvens som andre betalinger for myndighedsbehandling efter el-

forsyningsloven, gasforsyningsloven og olieberedskabsloven.

Desuden foreslår Klima, Energi- og Forsyningsministeriet i § 19, stk. 2, at de

omfattede virksomheder halvårligt betaler et beløb til Klima-, Energi- og

Forsyningsministeriet til dækning af omkostninger til ad-hoc tilsyn med

virksomhederne efter reglerne i denne lov eller efter regler udstedt i medfør

af regler i denne lov. Dette beløb skal dække tilsyn, der er blevet gennemført

med virksomhederne uden for den almindelige kadence, som virksomhe-

derne modtager tilsyn fx. årligt eller hvert tredje år. Det foreslås at beløbet

virksomhederne skal betale efter § 19, stk. 2, afregnes på timebasis, i stedet

for generelle grundbeløb som i stk. 1.

Det foreslås endvidere i § 19, stk. 3 at klima-, energi- og forsyningsministe-

ren kan fastsætte nærmere regler om betaling og opkrævning af beløb til

dækning af omkostningerne efter § 19, stk. 1 og stk. 2. Den foreslåede pa-

ragraf indebærer at størrelsen af gebyrerne for både stk. 1 og stk. 2 som hidtil

fastsættes administrativt ved bekendtgørelse.

Det forventes, at klima-, energi- og forsyningsministeren vil bruge bemyn-

digelsen i § 19, stk. 3 til at gebyrerne efter § 19, stk. 1, som det er tilfældet i

dag, fastsættes som generelle grundbeløb, der dækker de udgifter som

Klima-, Energi- og Forsyningsministeriet har med tilsyn med virksomhe-

derne og dækning af de omkostninger der er til administration af ordningen.

Det forventes, at gebyrstørrelserne vil blive differentieret i minimum 6 ge-

byrkategorier, hvor gebyret vil være lavest for gebyrkategori 1 og højest for

gebyrkategori 6, således at disse svarer til den niveauinddeling, der sker af

Side 73/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

virksomhederne i reglerne udmøntet efter § 4 om kategorisering af virksom-

heder samt virksomhedernes systemer og anlæg, dog med indførelsen af en

ekstra gebyrkategori (kategori 6).

Denne niveauinddeling er som beskrevet bestemmende for hvor stort et re-

guleringstryk virksomheden bliver underlagt efter disse regler, ligesom det

også er bestemmende for hvor ofte og hvor mange timers tilsyn Klima-,

Energi- og Forsyningsministeriet i gennemsnit forventer at bruge på virk-

somhederne på det givne niveau. Klima-, energi og forsyningsministeren

forventes at bruge bemyndigelsen til at indføre en ekstra gebyrkategori 6,

som skal bruges specifikt til Energinets EL TSO og GAS TSO, samt andre

virksomheder der grundet deres helt særlige ansvar for funktionen af ener-

gisystemerne i Danmark, bør modtage et væsentligt mere grundigt og dyb-

degående tilsyn end alle andre virksomheder.

I tillæg hertil vil gebyrkategorierne, som det er tilfældet i dag, tage højde for

antallet af anlæg som virksomhederne ejer. Virksomheder i niveau 5 med

mange klasse 4 og 5 anlæg vil således blive indplaceret i en højere gebyrka-

tegori, end virksomheder i niveau 5 med kun få klasse 4 og 5 anlæg.

Det forventes endvidere at klima-, energi- og forsyningsministeren vil bruge

bemyndigelsen i § 19, stk. 3, til at fastsætte regler om at gebyrerne efter den

forslåede § 19, stk. 2 vil blive afregnet på timebasis, således at virksomhe-

den opkræves det antal timer, der er blevet brugt af klima-, energi- og for-

syningsministeren til ad-hoc tilsyn, ganget med den budgetterede timepris i

det pågældende år hvor tilsynet er blevet gennemført. Det forventes endvi-

dere, at klima-, energi- og forsyningsministeren fastsætter, at hvis ad-hoc

tilsynet strækker sig over 2 kalenderår, fx. fordi det er blevet indledt i slut-

ningen af december, så benyttes den budgetterede timepris i det år, hvor ad-

hoc tilsynet er blevet afsluttet.

Det forventes, at klima-, energi- og forsyningsministeren fastsætter, at den

budgetterede timepris fastsættes på grundlag af gennemsnitlige lønudgifter

tillagt en forholdsmæssig andel af generelle fællesomkostninger, relevante

henførbare, indirekte omkostninger og direkte øvrige driftsomkostninger,

der er forbundet med myndighedsbehandlingen i det pågældende regn-

skabsår. Energistyrelsens omkostningsfordeling følger Finansministeriets

vejledninger herfor.

Det forventes desuden, at klima-, energi- og forsyningsministeren vil bruge

bemyndigelsen i § 19 stk. 3 til at fastsætte, at gebyrerne efter stk. 1 og 2,

Side 74/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

skal indbetales senest 30 dage efter fakturaens udstedelse, og der såfremt

beløbet ikke betales rettidigt, betales renter af det opkrævede beløb i medfør af

renteloven. Klima-, energi- og forsyningsministeren forventes også bruge

bemyndigelsen til at fastsætte regler om efterregulering af eventuelle beta-

linger opkrævet i medfør af i § 19, stk. 2.

Endeligt foreslår Klima-, Energi- og Forsyningsministeriet i § 20, stk. 1, at

virksomheder ved indgivelse af ansøgninger eller dispensationer halvårligt

betaler et beløb for behandling af ansøgninger og dispensationer efter reg-

lerne i denne lov eller efter regler udstedt i medfør af loven. Der forstås

herved, at virksomhederne kun skal betale, såfremt de har de rent faktisk har

indgivet en eller flere ansøgninger eller dispensationsansøgninger til be-

handling efter loven.

Det forventes endvidere, at klima-, energi- og forsyningsministeren vil

bruge bemyndigelsen i § 20, stk. 2, til at fastsætte at gebyrerne efter den

forslåede § 20, stk. 1 til at blive administrativt fastsatte gebyrer i en bekendt-

gørelse. Der er tale om et fast vederlag pr. ansøgning, hvor vederlaget vil

være differentieret alt efter hvad det er, der ansøges om. Det forventes såle-

des, at ministeren vil fastsætte et vederlag for hhv. ansøgninger om samord-

net beredskab, ansøgninger om personsammenfald, ansøgning om dispen-

sation efter den generelle dispensationsregel, ansøgning om sikkerhedsgod-

kendelse af en medarbejder og ansøgning om baggrundskontrol af en med-

arbejder.

Det forventes, at vederlaget for de enkelte ansøgningstyper i første omgang

vil blive fastsat på baggrund af klima-, energi- og forsyningsministerens ini-

tiale estimering af hvor mange timer det gennemsnitligt tager at behandle en

sådanne ansøgning ganget med den budgetteret timepris. Efter der er opbyg-

get et tilstrækkeligt datagrundlag gennem medarbejdernes tidsregistrering,

vil de initiale estimering erstattes af det konkrete gennemsnitlige tidsforbrug

pr. ansøgningstype, hvorfor de fastsatte vederlag vil op- eller nedjusteres på

dette grundlag ligesom hvis den budgetterede timepris ændrer sig, idet ge-

byrordningen skal balancere over en 4-årig periode i overensstemmelse med

Finansministeriets budgetvejledning.

Desuden forventes klima-, energi- og forsyningsministeren i medfør af den

forslåede bemyndigelse i § 20, stk. 2 at fastsætte, at den budgetterede time-

pris fastsættes på grundlag af gennemsnitlige lønudgifter tillagt en forholds-

mæssig andel af generelle fællesomkostninger, relevante henførbare, indi-

rekte omkostninger og direkte øvrige driftsomkostninger, der er forbundet

Side 75/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

med myndighedsbehandlingen i det pågældende regnskabsår. Klima-,

Energi- og Forsyningsministeriets omkostningsfordeling vil følge Finans-

ministeriets vejledninger herfor.

Endeligt forventes det, at klima-, energi- og forsyningsministeren vil bruge

bemyndigelsen i § 20 stk. 2 til at fastsætte, at gebyrerne efter stk. 1, skal

indbetales inden for et fast tidspunkt efter fakturaens udstedelse, og der så-

fremt beløbet ikke betales rettidigt, betales renter af det opkrævede beløb i

medfør af renteloven, samt at vederlagene indkræves sammen med de ve-

derlag, der opkræves efter § 19, stk. 1 og 2.

For nærmere beskrivelse, henvises til bemærkningerne til lovforslagets § 18

og 19.

3.6. Tilsyn

3.6.1. Gældende ret

Der føres med tilsyn med virksomheder i elsektoren som har en produkti-

onsbevilling, en produktionstilladelse eller som har et balanceansvar for

energisektoren. Desuden føres der tilsyn med distributions og transmissi-

onsvirksomheder. Der føres tilsyn med virksomhedernes klassiske bered-

skab efter elforsyningslovens § 85 b og med virksomhedernes it-beredskab

efter elforsyningslovens § 85 c. De nærmere regler om tilsyn fremgår af

bekendtgørelse om beredskab for elsektoren og bekendtgørelse om it-be-

redskab for el- og naturgassektorerne.

I gassektoren føres der tilsyn med virksomheder der er bevillingspligtige

efter gasforsyningsloven og Energinet samt Energinets helejede dattersel-

skaber. Der føres tilsyn med virksomhedernes klassiske beredskab efter

gasforsyningslovens § 15 a og med virksomhedernes it-beredskab efter

gasforsyningslovens § 15 b. De nærmere regler om tilsyn fremgår af be-

kendtgørelse om beredskab for naturgassektoren og bekendtgørelse om it-

beredskab for el- og naturgassektorerne.

For el- og gassektorerne inddeles virksomhederne i kategorier, der afgør

frekvensen af tilsyn. Virksomhederne inddeles i 3 kategorier, hvor kategori 1

er de mindst kritiske virksomheder og kategori 3 er de mest kritiske virk-

somheder. Der føres tilsyn mindst hvert tredje år med virksomheder i kate-

gori 2 og 3, men der hvert år føres tilsyn med virksomheder i kategori 1.

For oliesektoren føres der tilsyn med lagringspligtige virksomheder og den

centrale lagerenhed. Tilsynet føres med hjemmel i olieberedskabslovens §

Side 76/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

17 for både det klassiske beredskab og it-beredskabet. De nærmere regler

for tilsyn fremgår af bekendtgørelse om beredskab for oliesektoren.

Ens for alle sektorer er, at der tilsynet sker proaktivt med mulighed for at

foretage et reaktivt tilsyn.

3.6.2. Klima-, Energi- og Forsyningsministeriets overvejelser

Der er i NIS 2-direktivets artikel 31-33 fastsat bestemmelser om tilsyn og

håndhævelse. Medlemsstaterne forpligtes i disse bestemmelser til at sikre,

at deres kompetente myndigheder effektivt overvåger og træffer de nød-

vendige foranstaltninger til at sikre, at direktivet overholdes. Medlemssta-

terne kan dog tillade, at de kompetente myndigheder prioriterer deres til-

synsopgaver baseret på en risikobaseret tilgang.

Direktivet skelner mellem væsentlige og vigtige enheder, til brug for til-

synsfrekvens og hvilke tiltag det er muligt for myndighederne at anvende

ved tilsyn. Sondringen mellem enheder i direktivet, passer sammen med

den måde de nuværende regler for tilsyn sondrer mellem virksomheder i

energisektoren. Den nuværende ordning i for el- og gassektorerne med ka-

tegorisering af virksomheder bør derfor videreføres, da dette hjælper til at

sikre en rimelig balance mellem forpligtelserne af virksomhederne og til-

synsenheden, og er foreneligt med den sondring som foreslås efter NIS 2-

direktivet. Ordningen skal udvides til at omfatte de andre sektorer, som

skal omfattes af loven. Fremadrettet forventes det, at virksomheder ikke

bliver inddelt i kategorier, men derimod i niveauer. Desuden forventes det

fremadrettet, jo højere et niveau en virksomhed inddeles på, jo mere kritisk

er virksomhed for forsyningssikkerheden. Dermed vil niveau 1- virksom-

heder være de mindst kritiske, mens et højere niveau betyder at en virk-

somhed er mere kritiske og skal efterleve flere krav.

Virksomhederne i de forskellige sektorer er vigtige for den danske forsy-

ning af energi, derfor forventes det at de nuværende regler om proaktive

tilsyn videreføres for alle undtagen de mindst kritiske virksomheder.

Direktivet oplister herudover de tilsynsforanstaltninger, som minimum

skal kunne anvendes ved tilsyn med virksomhederne. Der er navnlig tale

om, at tilsynsmyndigheden skal kunne føre kontrol på stedet hos enhe-

derne, foretage målrettede sikkerhedsaudits og sikkerhedsscanninger samt

kræve at få udleveret oplysninger og dokumentation, der er nødvendige for

udførelsen af myndighedernes tilsynsopgaver.

Side 77/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Der skelnes i NIS 2-direktiver mellem vigtige og væsentlige enheder i for-

hold til, hvilke tilsynsforanstaltninger der skal kunne anvendes. Det er dog

ministeriet vurdering, at alle tilsynsforanstaltninger som udgangspunkt

skal kunne anvendes overfor alle virksomheder uagtet virksomhedens ni-

veau, for at sikre en robust energisektor.

I dag føres der tilsyn, med henblik på at skabe værdi i sektoren, for at

højne det fælles sikkerhedsniveau i energisektoren. Denne værdiskabende

tilgang til tilsynet skal være grundstenen i den måde de forskellige tilsyns-

foranstaltninger skal anvendes.

3.6.3. Den foreslåede ordning

Det foreslås at klima-, energi- og forsyningsministeren fører tilsyn med

virksomheder i energisektoren.

Det foreslås at Klima-, Energi- og Forsyningsministeriet for at opfylde de-

res tilsynsforpligtelser kan anvende en række tilsyns- og kontrolforanstalt-

ninger, såsom at føre tilsyn og kontrol hos virksomhed, foretage regelmæs-

sige tilsyns- og kontrolbesøg samt ad-hoc tilsyn. Desuden er der hjemmel

til at få udleveret oplysninger og få adgang til relevante data og dokumen-

ter.

Den foreslåede ordning vil medføre, at ministeren kan fastsætte nærmere

regler om, at tilsynet kan ske ved et fysisk tilsyn med fremmøde hos virk-

somheden, eller om at tilsynet kan ske som et eksternt tilsyn. Ministeren

vil også kunne fastsætte nærmere regler om hyppigheden af tilsyn.

Den foreslåede ordning vil derudover kunne anvendes til at fastsætte nær-

mere regler om, den geografiske og tidsmæssige udstrækning af tilsyn, så

længe tilsynet er proportionelt med en virksomheds betydning for forsy-

ningssikkerheden. Det foreslås desuden at ministeren kan fastsætte nær-

mere regler om tilsyn og kontrol af virksomhederne såsom metoder og va-

righeden, som fremtidssikrer loven, således at et tilpas grundigt tilsyn kan

føres hos virksomhederne i energisektoren.

3.7. Håndhævelse og sanktion

3.7.1. Gældende ret

Side 78/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

EPCIP-direktivet indeholder ikke bestemmelser om håndhævelse og sank-

tioner.

EPCIP-direktivet er blevet implementeret i energisektoren ved bekendtgø-

relse nr. 11 af 7. januar 2011 om identifikation og udpegning af europæisk

kritisk infrastruktur på energiområdet og vurdering af behovet for bedre

beskyttelse. Efter bekendtgørelsen kan virksomheder i forbindelse med til-

syn pålægges at udarbejde en sikkerhedsplan og ændre i virksomhedens

beredskabsplaner.

Desuden kan virksomheder straffes med bøde, hvis de 1) ikke har udpeget

en sikkerhedsofficer eller et kontaktpunkt for infrastruktur udpeget efter

direktivets regler, ikke behandler materiale, der indeholder særligt føl-

somme oplysninger om infrastrukturen, fortroligt og opbevarer det sikkert

eller undlader at oplyse Energistyrelsen om, at følsomme oplysninger er

kompromitteret 2) ikke udarbejder eller reviderer planmateriale 3) afgiver

urigtige eller vildledende oplysninger eller efter anmodning undlader at af-

give oplysninger 4) ikke overholder pålæg meddelt efter denne bekendtgø-

relse eller 5) videregiver særligt følsomme oplysninger, til uvedkom-

mende.

Efter NIS 1-direktivets artikel 21 skal medlemsstaterne fastsætte regler om

sanktioner, der anvendes i tilfælde af overtrædelser af de nationale regler,

der er vedtaget i medfør af direktivet, og træffe alle nødvendige foranstalt-

ninger for at sikre, at de gennemføres. Sanktionerne skal være effektive,

stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

EPCIP-direktivet og NIS 1-direktivet indeholder ikke nærmere bestemmel-

ser om ansvar for bestemte fysiske personer.

I energisektoren er virksomheders beredskab for forsyningssikkerheden af

energi reguleret i delsektorerne el, gas og olie. Reguleringen omfatter både

fysisk beredskab og it-beredskab.

På el- og gasområdet, er der beredskabsbestemmelser i forsyningslovene

elforsyningsloven §§ 85 c og 85 c og gasforsyningsloven §§ 15 a og 15 b.

Beredskabsbestemmelserne bemyndiger klima-, energi- og forsyningsmi-

nisteren til at fastsætte nærmere regler om beredskab. De nærmere regler

er udstedt i bekendtgørelse om beredskab for elsektoren, bekendtgørelsen

for beredskab for naturgassektoren og bekendtgørelse om it-beredskab for

el- og naturgassektorerne.

Side 79/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Der gælder beredskabskrav virksomheder i elsektoren, som er bevillings-

pligtige efter §§ 10 og 19 eller har tilladelse til elproduktion fra anlæg med

en kapacitet på over 25 MW efter Elforsyningslovens § 11 eller § 29 i lov

om fremme af vedvarende energi, Energinet og dennes helejede dattersel-

skaber samt virksomheder, der yder produktionsbalance i elsystemet.

Der gælder beredskabskrav for virksomheder i gassektoren for selskaber,

der er bevillingspligtige efter gasforsyningslovens § 10, samt Energinet og

Energinets helejede datterselskaber, der varetager gasvirksomhed i medfør

af § 2, stk. 2 og 3, i lov om Energinet. Virksomhederne skal foretage nød-

vendig planlægning og træffe de nødvendige foranstaltninger for at sikre

gasforsyningen i beredskabssituationer og andre ekstraordinære situatio-

ner. Klima-, energi- og forsyningsministeren kan bestemme, at opstrøms-

anlæg og bygasnet tilsvarende skal foretage beredskabsplanlægning og

træffe beredskabsforanstaltninger.

Efter elforsyningslovens § 85 d og gasforsyningslovens § 47 b, kan det på-

bydes, at forhold, der strider mod loven eller regler udstedt i medfør af lo-

ven, bringes i orden enten straks eller inden for en nærmere angivet frist.

Virksomheder, der ikke overholder deres beredskabsforpligtelser, kan der-

for gives påbud.

Klima-, energi- og forsyningsministeren kan midlertidigt inddrage en be-

villing eller tilladelse, hvis en overtrædelse af bestemmelser, vilkår eller

påbud efter elforsyningsloven eller lov om fremme af vedvarende energi

eller regler udstedt i medfør af disse love indebærer tilsidesættelse af væ-

sentlige hensyn til elforsyningssikkerheden. Dette gør sig ligeledes gæl-

dende, hvis en netvirksomhed gør sig skyldig i grove eller gentagne tilside-

sættelse af vilkår stillet af Energinet i medfør af elforsyningslovens § 31,

stk. 2, der berører virksomhedens bevillingspligtige aktivitet. Klima-,

energi- og forsyningsministeren skal i forbindelse med afgørelsen vejlede

den pågældende om prøvelsesadgangen

Klima-, energi- og forsyningsministeren kan inddrage en bevilling som er

udstedt i medfør af gasforsyningslovens § 10, hvis virksomheden som har

modtaget bevillingen, ikke efterkommer påbud meddelt jf. gasforsynings-

lovens § 33, stk. 1, nr. 1.

Virksomheder i el- og gassektorerne, som ikke efterlever påbud om mang-

lende overholdelse af it-beredskab, kan påbydes at foretage en it-revision,

Side 80/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

jf. bekendtgørelse om it-beredskab for el- og gassektorerne § 32, stk. 2 og

§ 33, stk. 2.

Efter elforsyningslovens § 88 og gasforsyningslovens § 50, kan der fast-

sættes regler om bødestraf for regler udsted i medfør af loven.

Virksomheder med beredskabsansvar i el- og gassektorerne kan straffes

med bøde hvis virksomhederne, ikke udarbejder eller reviderer planmateri-

ale, ikke fremsender planmateriale til godkendelse, afgiver urigtige eller

vildledende oplysninger eller efter anmodning undlader at afgive oplysnin-

ger, ikke overholder pålæg meddelt efter denne bekendtgørelse eller vide-

regiver følsomt materiale og oplysninger til uvedkommende, jf. bekendt-

gørelse om beredskab for elsektorens § 35 og bekendtgørelse om bered-

skab i naturgassektorens § 35.

Bekendtgørelse om it-beredskab for el- og naturgassektoren indeholder

ikke en selvstændig strafbestemmelse.

Virksomheder i elsektoren som ikke efterlever påbud udstedt i medfør af

elforsyningslovens § 85 d, straffes med bøde, jf. elforsyningslovens § 87,

stk. 1, nr. 7. Virksomheder i gassektoren som ikke efterlever påbud udstedt

i medfør af gasforsyningslovens § 47 b, straffes med bøde, jf. gasforsy-

ningslovens § 49, stk. 1, nr. 6.

Efter olieberedskabslovens § 16, stk. 1, skal lagringspligtige olievirksom-

heder foretage den nødvendig planlægning og foretage de nødvendige for-

anstaltninger for at sikre forsyningen af råolie og olieprodukter i bered-

skabssituationer og andre ekstraordinære situationer. Klima- Energi- og

Forsyningsministeren kan fastsætte nærmere regler om beredskabsarbejdet

for virksomhederne efter olieberedskabslovens § 16, skt. 3.

Ifølge olieberedskabslovens § 18, kan klima- energi- og forsyningsministe-

ren påbyde at forhold, der strider mod loven eller regler udstedt i henhold

til loven, skal bringes i orden inden for en nærmere angivet frist. Klima-

energi- og forsyningsministeren kan dermed på baggrund af manglende

overholdelse af beredskabsregler påbyde lagringspligtige virksomheder, at

forholdene skal bringes i orden.

Efter olieberedskabslovens § 23, stk. 1, nr. 5, straffes den, der undlader at

efterkomme påbud efter olieberedskabslovens § 18, med bøde. Derudover

kan der i regler, som udstedes i henhold til olieberedskabsloven, fastsættes

bødestraf for overtrædelse af bestemmelserne i reglerne eller vilkår fastsat

Side 81/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

i henhold til reglerne og for manglende overholdelse af påbud meddelt i

henhold til reglerne. Der kan i henhold til olieberedskabslovens § 23, stk.

3, pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i

straffelovens 5. kapitel.

Virksomheder med beredskabsansvar kan efter bekendtgørelse om bered-

skab i oliesektorens § 22, straffes med bøde, hvis virksomhederne 1) und-

lader at meddele Energistyrelsen om at være afhængige af et forsyningskri-

tisk it-system og en hændelse i dette forsyningskritiske it-system vil få væ-

sentlige forstyrrende virkninger for leveringen af råolie eller olieprodukter i

en beredskabssituation eller anden ekstraordinær situation 2) undlader at

underrette Energistyrelsen om hændelser, der i væsentlig grad reducerer

funktionaliteten. 3) undlader at underrette Energistyrelsen eller Center for

Cybersikkerhed om it-sikkerhedshændelser, der påvirker forsyningskriti-

ske it-systemer, hvor underretningen som minimum indeholder en beskri-

velse af hændelsen, hændelsens konsekvenser og hvorvidt hændelsen vur-

deres at have vidtrækkende konsekvenser for andre sektorer. 4) Undlader

at udarbejde evalueringer efter hændelser eller at fremsende disse til Ener-

gistyrelsen.

Kompetencen til at føre beredskabstilsyn, udstede bøder og inddrage auto-

risation for virksomheder i el- og olie- gassektorerne er delegeret til Ener-

gistyrelsen, jf. bekendtgørelse om Energistyrelsens opgaver og beføjelser §

3, stk. 1, nr. 5 og nr. 6.

3.7.2. Klima-, Energi- og Forsyningsministeriets overvejelser Med NIS 2-

direktivet artikel 44 ophæves NIS 1-direktivet. Med CER-di- rektivets

artikel 27 ophæves EPCIP-direktivet.

Der er i CER-direktivets artikel 21 og NIS 2-direktivets artikel 31-33 fast-

sat bestemmelser om håndhævelse. Medlemsstaterne forpligtes til at sikre,

at deres kompetente myndigheder effektivt kan træffe de nødvendige

håndhævelsesforanstaltninger for at bringe virksomhedernes beredskabs-

mæssige forhold i orden.

NIS 2-direktivet og CER-direktivet oplister de håndhævelsesforanstaltnin-

ger, der som minimum skal kunne anvendes over for virksomheder, som

ikke opfylder deres beredskabsforpligtelser.

Side 82/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Efter direktiverne skal myndighederne kunne pålægge enhederne at af-

hjælpe konstaterede mangler eller på en nærmere angivet måde at over-

holde kravene til deres foranstaltninger til styring af fysisk sikring og cy-

bersikkerhedsrisici eller at efterleve underretningsforpligtelserne.

Efter NIS 2-direktivet skal myndighederne desuden sikre sig ret til at

kunne midlertidigt inddrage en autorisation, som fx. kan være en bevilling

eller en tilladelse, samt retten til at forbyde enhver fysisk person med le-

delsesansvar eller juridisk repræsentant at udøve ledelsesfunktioner.

Foranstaltningerne skal være effektive, stå i et rimeligt forhold til overtræ-

delses og have en afskrækkende virkning under hensyntagen til omstæn-

dighederne i hver enkelt sag.

NIS 2-direktivet foreskriver nærmere, hvilke hensyn, der skal indgå i en

afgørelse om at træffe håndhævelsesforanstaltninger. I direktivets artikel

32, stk. 7, er følgende hensyn oplistet: 1) overtrædelsens grovhed og vig-

tigheden af de overtrådte bestemmelser, idet bl.a. følgende under alle om-

stændigheder skal betragtes som alvorlige overtrædelser: a) gentagne over-

trædelser, b) manglende underretning om eller afhjælpning af væsentlige

hændelser, c) manglende afhjælpning af mangler efter bindende instrukser

fra den kompetente myndighed, d) hindringer for audits eller overvåg-

ningsaktiviteter beordret af den kompetente myndighed efter konstatering

af en overtrædelse, e) afgivelse af urigtige eller klart unøjagtige oplysnin-

ger vedrørende cybersikkerhedsforanstaltninger eller rapporteringsforplig-

telser, der er fastsat i direktivets artikel 21 og 23, 2) overtrædelsens varig-

hed, 3) den pågældende enheds relevante tidligere overtrædelser, 4) enhver

materiel eller immateriel skade, der er forårsaget, herunder ethvert finan-

sielt eller økonomisk tab, virkninger for andre tjenester og antallet af bru-

gere, der er berørt, 5) hvorvidt gerningsmanden har begået overtrædelsen

forsætligt eller uagtsomt, 6) enhver foranstaltning truffet af enheden for at

forebygge eller afbøde den materielle eller immaterielle skade, 7) hvorvidt

godkendte adfærdskodekser eller godkendte certificeringsmekanismer er

overholdt, og 8) i hvilken udstrækning de fysiske eller juridiske personer,

der holdes ansvarlige, samarbejder med den kompetente myndighed.

De hensyn som er oplistet i NIS 2-direktivet skal iagttages uagtet om der

foretages håndhævelsesforanstaltninger på baggrund af bestemmelser der

er en videreførelse af gældende ret eller implementering af NIS 2- og

CER-direktiverne.

Side 83/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det vurderes mest hensigtsmæssigt, at afgørelse om håndhævelsesforan-

staltninger træffes af den myndighed der fører tilsyn efter loven. Det for-

ventes at disse kompetencer delegeres til Energistyrelsen.

Håndhævelsesforanstaltninger som fratager en virksomhed deres autorisa-

tion eller forbyder et medlem af ledelsen at udføre ledelsesopgaver, er me-

get indgribende foranstaltninger. Foranstaltninger bør derfor ledsages af de

fornødne retssikkerhedsmæssige garantier.

I lighed med NIS 1-direktivet indeholder NIS 2-direktivet i artikel 36 en

bestemmelse, hvorefter medlemsstaterne skal fastsætte regler om sanktio-

ner, der skal anvendes i tilfælde af overtrædelse af de nationale foranstalt-

ninger, der er vedtaget i medfør af direktivet, ligesom medlemsstaterne

skal træffe alle nødvendige foranstaltninger for at sikre, at de gennemføres.

Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen

og have afskrækkende virkning.

NIS 2-direktivets artikel 34 indeholder herudover regler om de generelle

betingelser for pålæggelse af administrative bøder til væsentlige og vigtige

enheder.

Der lægges i NIS 2-direktivets artikel 34 op til, at bøder pålægges admini-

strativt – dvs. af de kompetente myndigheder – medmindre medlemsstater-

nes nationale retssystem ikke giver mulighed herfor. I givet fald skal be-

stemmelserne om administrative bøder anvendes, således at disse i sidste

ende pålægges af de nationale domstole. Det skal sikres, at virkningen sva-

rer til virkningen af administrative bøder.

Indførelsen af administrative bøder giver i dansk ret betænkeligheder i for-

hold til grundlovens § 3 om magtens tredeling. Bestemmelsen antages at

indebære, at lovgivningsmagten ikke i almindelighed kan henlægge be-

handlingen af strafferetlige bødesager til administrative myndigheder. I

dansk retspleje er det i øvrigt et grundlæggende princip, at bøder, der har

karakter af en strafferetlig sanktion, kun kan idømmes ved domstolene og i

strafferetsplejens former, der sikrer den sigtede en effektiv beskyttelse. Det

er på den baggrund Klima- Energi- og Forsyningsministeriets vurdering, at

direktivets undtagelsesbestemmelse ift. administrative bøder finder anven-

delse. Direktivets bestemmelser om administrative bøder vil således skulle

fortolkes og implementeres på en måde, hvor bøder ikke pålægges admini-

strativt, men i det almindelige strafferetlige system. Det indebærer, at de

kompetente myndigheder i givet fald vil skulle indgive politianmeldelse,

Side 84/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

såfremt de konstaterer strafbelagte overtrædelser af denne lov eller regler

udstedt i medfør af denne lov.

Det følger af NIS 2-direktivet, at (administrative) bøder vil kunne blive på-

lagt i tillæg til en hvilken som helst af håndhævelsesforanstaltningerne

vedrørende væsentlige og vigtige enheder, herunder – for så vidt angår væ-

sentlige enheder – også den særlige suspensions- og forbudsordning.

Klima- energi- forsyningsministeren vil skulle påse, at denne lov og regler

udstedt i medfør af loven efterleves, herunder undersøge mulige overtræ-

delser af lovgivningen. I den situation, hvor en kompetent myndighed

måtte blive bekendt med, at der kan være sket en strafbar overtrædelse af

loven eller regler udstedt i medfør af loven, vil myndigheden efter Klima-

Energi- og Forsyningsministeriets opfattelse skulle foretage en konkret

vurdering – under hensyntagen til omstændighederne i hver enkelt sag og

sanktionsregimets effektivitet, forholdsmæssighed og afskrækkende virk-

ning – og på den baggrund beslutte, om forholdet skal anmeldes til politiet.

NIS 2-direktivets artikel 34, stk. 3, foreskriver desuden nærmere, hvilke

hensyn, der skal indgå i beslutningen om, hvorvidt der skal pålægges en

bøde, samt bødens størrelse. Hensynene er de samme som de hensyn, der

skal indgå i en afgørelse om at træffe håndhævelsesforanstaltninger efter

artikel 32, stk. 7, jf. afsnit 3.4.2 ovenfor.

Henset til, at der ikke anvendes administrative bøder i dansk ret, jf. oven-

for, forudsættes det, at de pågældende hensyn indgår i de kompetente myn-

digheders beslutning om politianmeldelse af et forhold, samt i politi- og

anklagemyndighedens samt domstolenes vurdering af sagen, herunder ved

udmålingen af en eventuel bøde.

Efter NIS 2-direktivets artikel 34, stk. 4, skal væsentlige enheders overtræ-

delse af direktivets artikel 21 (foranstaltninger til styring af cybersikker-

hedsrisici) eller artikel 23 (rapporteringsforpligtelser) straffes med et mak-

simum på mindst 10.000.000 euro eller et maksimum på mindst 2 pct. af

den samlede globale årsomsætning i det foregående regnskabsår i den virk-

somhed, som den væsentlige enhed tilhører, alt efter, hvad der er højest.

Efter NIS 2-direktivets artikel 34, stk. 5, skal vigtige enheders overtræ-

delse af direktivets artikel 21 (foranstaltninger til styring af cybersikker-

hedsrisici) eller artikel 23 (rapporteringsforpligtelser) straffes med et mak-

simum på mindst 7.000.000 euro eller et maksimum på mindst 1,4 pct. af

Side 85/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

den samlede globale årsomsætning i det foregående regnskabsår i den virk-

somhed, som den væsentlige enhed tilhører, alt efter, hvad der er højest.

Klima-, Energi- og Forsyningsministeriet vurderer, at der bør kunne udmå-

les bøder til virksomhederne svarende til de i direktivet fastsatte maksi-

male bødeniveauer. Klima-, Energi-, og Forsyningsministeriet finder såle-

des ikke anledning til at fastsætte højere maksimumniveauer end de i di-

rektivet foreskrevne.

Klima-, Energi- og Forsyningsministeriet lægger i øvrigt vægt på at fore-

tage en implementering der i overensstemmelse med NIS 2- og CER-di-

rektiverne fastsætter bestemmelser om sanktioner, som sikrer at disse er

effektive, forholdsmæssige og har afskrækkende virkning.

3.7.2.1 Særligt om tvangsbøder

Det følger af NIS 2-direktivet, at medlemsstaterne kan fastsætte beføjelser

til at pålægge tvangsbøder for at tvinge en væsentlig eller vigtig enhed til

at bringe en overtrædelse af direktivet til ophør i overensstemmelse med

en forudgående afgørelse truffet af den kompetente myndighed.

Efter retsplejelovens § 997, stk. 3, kan der i domme, hvorved nogen tilplig-

tes at opfylde en forpligtelse mod det offentlige, som tvangsmiddel fast-

sættes en fortløbende bøde, der tilfalder statskassen (tvangsbøder).

Det følger således allerede af de almindelige regler i retsplejeloven, at

domstolene kan udskrive tvangsbøder for at få nogen, herunder i givet fald

virksomhederne som foreslås omfattet, til at opfylde en forpligtelse mod

det offentlige, herunder de kompetente myndigheder.

Administrative tvangsbøder er derimod tvangsbøder, som ikke pålægges af

domstolene, men af forvaltningen. En administrativ tvangsbøde er således

en afgørelse om, at en økonomisk sanktion vil blive pålagt, hvis en handle-

pligt ikke opfyldes – fx. et påbud eller en pligt til at udlevere bestemte op-

lysninger.

Sådanne bøder kan ofte opfattes som en straf, og der er ikke samme rets-

sikkerhedsgarantier som tvangsbøder pålagt af domstolene. Det antages

derfor normalt, at der kun bør gives hjemmel til administrative tvangsbø-

der, hvis der foreligger et helt særligt behov for effektiv kontrol og hånd-

hævelse på det pågældende område. Endvidere bør de forhold, der udløser

tvangsbøderne, være let konstaterbare.

Side 86/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Klima-, Energi- og Forsyningsministeriet er på baggrund af ovenstående

tilbageholdende med at foreslå, at der skabes hjemmel til administrative

tvangsbøder på dette område. Det skal bl.a. ses i lyset af, at det på nuvæ-

rende tidspunkt er usikkert, om de forhold, der i givet fald vil kunne be-

grunde tvangsbøder, er så tilstrækkeligt objektivt konstaterbare, at det vil

være ubetænkeligt at skabe en sådan hjemmel.

Klima-, Energi- og Forsyningsministeriet vurderer således som udgangs-

punkt, at de retsmidler, der foreslås med denne lov, herunder tilsyns- og

håndhævelsesforanstaltningerne samt muligheden for at offentliggøre af-

gørelser mv., er tilstrækkelige til at sikre, at reglerne efterleves. Dette skal

også ses i lyset af de eksisterende muligheder i retsplejeloven for at an-

vende tvangsbøder.

3.7.2.2 Særligt om fysiske personers strafansvar, herunder valg af

ansvarssubjekt

NIS 2-direktivets artikel 34 om generelle betingelser for pålæggelse af bø-

der er rettet mod væsentlige og vigtige enheder, og dermed de juridiske

personer som sådan. De forudsatte bødeniveauer udmåles bl.a. på bag-

grund af virksomhedens årsomsætning.

Det følger dog af NIS 2-direktivets artikel 32, stk. 6, at medlemsstaterne

sikrer, at enhver fysisk person, der er ansvarlig for eller optræder som juri-

disk repræsentant for en væsentlig enhed på grundlag af beføjelsen til at

repræsentere den, beføjelsen til at træffe afgørelser på dennes vegne eller

beføjelsen til at udøve kontrol over den, har beføjelse til at sikre, at den

overholder dette direktiv. Medlemsstaterne sikrer, at det er muligt at drage

sådanne fysiske personer til ansvar for tilsidesættelse af deres forpligtelser

til at sikre overholdelse af dette direktiv.

Det er i direktivets præambelbetragtning 130 forudsat, at hvor en bøde på-

lægges en person, der ikke er en virksomhed, bør den kompetente myndig-

hed ved fastsættelsen af en passende bødestørrelse tage hensyn til det ge-

nerelle indkomstniveau i den pågældende medlemsstat og personens øko-

nomiske stilling.

Det følger af Rigsadvokatmeddelelse CIR1H nr. 11550 af 17. april 2015

om strafansvar for juridiske personer, at udgangspunktet ved valg af an-

svarssubjekt i særlovgivningen er, at tiltalen rejses mod den juridiske per-

son.

Side 87/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det er i den forbindelse en forudsætning for at pålægge en juridisk person

ansvar, at der inden for dens virksomhed er begået en overtrædelse, der

kan tilregnes en eller flere til virksomheden knyttede personer eller virk-

somheden som sådan, jf. straffelovens § 27, stk. 1.

Det fremgår dog også af rigsadvokatmeddelelsen, at der i en række tilfælde

kan være anledning til – ud over tiltalen mod den juridiske person – tillige

at rejse tiltale mod en eller flere fysiske personer, såfremt den eller de på-

gældende har handlet forsætligt eller udvist grov uagtsomhed. Der angives

endvidere retningslinjer for afgørelsen herom.

Det beskrives i den forbindelse, at der på en række områder er fastsat sær-

lige regler, som pålægger enkeltpersoner et selvstændigt og individuelt

strafansvar i kraft af deres særlige stilling eller funktion, eksempelvis pilo-

ter og besætningsmedlemmer. I så fald er udgangspunktet, at der rejses til-

tale mod den pågældende person samt i almindelighed tillige mod den juri-

diske person. I visse tilfælde indeholder lovgivningen endvidere mulighed

for et selvstændigt og individuelt strafansvar, selv om overtrædelsen ikke

kan tilregnes de pågældende som forsætlig eller uagtsom (objektivt indivi-

dualansvar).

Klima-, Energi- og Forsyningsministeriet finder ikke på dette område an-

ledning til at fastsætte særlige regler om et selvstændigt og individuelt

strafansvar for fysiske personer, herunder regler, som går videre end straf-

ansvaret for juridiske personer. Det er således Klima-, Energi- og Forsy-

ningsministeriet vurdering, at NIS 2-direktivets krav om at nærmere be-

stemte fysiske personer kan drages til ansvar for tilsidesættelse af deres

forpligtelser efter direktivet, ikke synes at stille krav om mere end det, der

allerede i dag følger af de almindelige regler.

Dermed vil et eventuelt strafansvar for fysiske personer følge det alminde-

lige udgangspunkt i særlovgivningen, hvorefter der i tillæg til den juridiske

person efter nærmere retningslinjer kan rejses tiltale mod en fysisk person,

såfremt denne har handlet forsætligt eller groft uagtsomt. Bøder vil i givet

fald skulle udmåles i overensstemmelse med direktivets forudsætninger

om størrelsen heraf.

3.7.2.3 Særligt om brud på persondatasikkerheden

NIS 2-direktivets artikel 35, stk. 2, indeholder særlige bestemmelser for så

vidt angår overtrædelser af forpligtelserne i direktivets artikel 21 (om for-

Side 88/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

anstaltninger til styring af cybersikkerhedsrisici) og artikel 23 (om under-

retningsforpligtelser), der (også) kan medføre et brud på persondatasikker-

heden i medfør af databeskyttelsesforordningen. I givet fald skal de kom-

petente myndigheder uden unødigt ophold underrette de relevante tilsyns-

myndigheder, i dansk ret Datatilsynet, og der kan ikke straffes med (admi-

nistrativ) bøde i medfør af NIS 2-direktivet, såfremt den samme adfærd

straffes med (administrativ) bøde efter databeskyttelsesforordningen.

Det følger af direktivet, at de kompetente myndigheder ikke er afskåret fra

at anvende håndhævelsesforanstaltninger i de pågældende situationer.

Henset til, at der ikke anvendes administrative bøder i dansk ret, jf. oven-

for, vil bestemmelserne skulle fortolkes og implementeres i lyset heraf.

3.7.3. Den foreslåede ordning

Det forslås, at klima-, energi- og forsyningsministeren kan pålægge at for-

hold der ikke lever op til lovens krav bringes i orden. Påbud kan ske på

baggrund af tilsyn eller, hvis ministeren på anden måde bliver bekendt

med, at pligterne efter loven ikke efterleves. Ministeren kan blive bekendt

med beredskabsforhold gennem anden kommunikation med den pågæl-

dende virksomhed, kommunikation om den pågældende virksomheder el-

ler tilsyn, som føres efter anden regulering m.v.

Der kan være tilfælde, hvor Energistyrelsen ved tilsyn bliver opmærksom

på væsentlige afvigelser i virksomhedernes risikostyring og sikkerhedsfor-

anstaltninger. Dette kan bl.a. være i tilfælde af, at virksomheden ikke retter

op på forhold, der har givet anledning til væsentlige påbud, eller hvor det

vurderes, at en virksomheds risikovurderinger vedrørende risici for forsy-

ningen er mangelfulde. Det foreslås derfor, at Energistyrelsen i særlige til-

fælde kan pålægge virksomheden ekstern beredskabsrevision. I sådanne

tilfælde foreslås det desuden, at Energistyrelsen er ansvarlig for at beskrive

rammerne for revisionen samt vælge hvilke revisorselskaber, der kan be-

nyttes.

Det foreslås, at den særlige ordning om at forbyde en fysisk person af le-

delsen at udøve ledelsesfunktioner og midlertidig suspension af autorisa-

tion, som udgangspunkt bliver anvendt i de tilfælde, hvor allerede pålagte

håndhævelsesforanstaltninger er utilstrækkelige. Efter den foreslåede ord-

ning, fastsættes der en frist, inden for hvilken manglerne afhjælpes eller

myndighedernes krav efterleves. Efter forslaget bliver udgangspunktet,

Side 89/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

hvis de nødvendige tiltag ikke er foretaget inden for den fastsatte frist, at

ministeren kan træffe afgørelse om:

1) Midlertidigt at suspendere en myndighedsudstedt certificering eller

godkendelse vedrørende dele af eller alle de relevante tjenester, en-

heden leverer, eller aktiviteter, der udføres af enheden.

2) Midlertidigt at forbyde enhver fysisk person med ledelsesansvar på

direktionsniveau eller juridisk repræsentant i enheden at udøve le-

delsesfunktioner i den pågældende enhed.

Det vil i udgangspunktet være en forudsætning, at ordningen først anven-

des, når det kan konstateres at mindre indgribende midler har vist sig util-

strækkelige.

Der foreslås endvidere, at muligheden for at anvende ordningen om su-

spension og forbud i helt særlige tilfælde kan anvendes uden forudgående

påbud. Det skal være muligt i tilfælde, hvor ledelsen bevidst eller ved grov

uagtsomhed har forsømt deres beredskabsmæssige forpligtelser i en sådan

grad, at der er en overhængende fare for at virksomheden ved en væsentlig

hændelse ikke ville kunne genoprette sine virksomhedsaktiviteter. Samme

mulighed skal være til stede i de tilfælde, hvor ledelsen har nedprioriteret

beredskabsniveauet i en sådan grad, at det kan have nationale forsynings-

mæssige konsekvenser.

Det foreslås, at sådanne midlertidige suspensioner eller midlertidige for-

bud mod, at fysiske personer må udøve ledelsesfunktioner, kun kan anven-

des, indtil virksomheden træffer de nødvendige foranstaltninger til at af-

hjælpe de mangler eller opfylde de krav, som gav anledning til, at foran-

staltningerne blev anvendt.

Det foreslås at håndhævelsesforanstaltninger der fratager en virksomhed

deres autorisation eller forbyder et medlem af ledelsen at udføre ledelses-

opgaver, kan forlanges indbragt for domstolene. Desuden foreslås det, at

domstolene kan bestemme at sagsanlæg har opsættende virkning.

Det foreslås, at der som led i implementeringen af CER og NIS 2-direkti-

verne indsættes sanktionsbestemmelser i loven med det formål, at alle ma-

terielle og processuelle krav i loven eller regler udstedt i medfør af loven,

som ikke bliver overholdt kan medføre bødestraf.

Side 90/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det foreslås således, at den, der 1) overtræder §§ 6-10, § 11, stk. 2, §§ 12

og 13, 2) undlader at efterkomme en afgørelse efter § § 23, stk. 1, nr. 1 el-

ler 2, 3) undlader at efterkomme påbud efter § 21 og § 22, 4) undlader at

efterkomme krav efter § 14, stk. 2 eller § 19, stk. 2, nr. 5-7, 5) hindrer

myndighederne i at føre kontrol efter bestemmelserne i 19, stk. 2, nr. 1-4,

6) meddeler klima-, energi- og forsyningsministeren eller Energiklagenæv-

net urigtige eller vildledende oplysninger eller efter anmodning undlader at

afgive oplysninger, kan straffes med bøde. Det foreslås i den forbindelse,

at der ikke anvendes administrative bøder, men at bøder udstedes og ud-

måles i det almindelige straffeprocessuelle system.

Det foreslås, at bøder vil kunne pålægges fysiske personer og selskaber

m.v. (juridiske personer), i det omfang de omfattes af lovens anvendelses-

område eller de allerede gældende bestemmelser i straffeloven.

NIS 2-direktivet indeholder ikke særlige forudsætninger for så vidt angår

bødeniveauet for manglende efterlevelse af forpligtelser i direktivet ud

over artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) og ar-

tikel 23 (rapporteringsforpligtelser). Der stilles ikke særlige krav til bøde-

størrelse efter CER-direktivet, men det foreslås at der i lovforslaget stilles

bødekrav svarende til dem i NIS 2-direktivet til bestemmelserne som im-

plementerer artikel 13 (kritiske enheder modstandsdygtighedsforanstalt-

ninger) og artikel 15 (underretning om hændelser).

Det forudsættes i overensstemmelse med NIS 2-direktivets artikel 34, stk.

4 og 5, at bødens størrelse for så vidt angår overtrædelse af bestemmel-

serne i §§ 6-10, § 11, stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr. 1-7,

§§ 21, 22 og § 23, stk. 1, nr. 1 eller 2 samt reglerne udstedt i medfør af §§

6-10, § 11, stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr. 1-7, §§ 21 og

22 og § 23, stk. 1, nr. 1 eller 2 maksimalt vil udgøre et beløb svarende til

10.000.000 euro eller 2 pct. af virksomhedens samlede globale årsomsæt-

ning i det foregående regnskabsår, alt efter, hvad der er højest.

Der forudsættes i overensstemmelses med CER-direktivets artikel 22, at

sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen

og have afskrækkende virkning. Da fysisk sikkerhed og cybersikkerhed er

tæt forbundet foreslås det at bødestørrelsen for overtrædelsen af bestem-

melserne i §§ 6-10, § 11, stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr. 1-

7, §§ 21, 22 og § 23, stk. 1, nr. 1 eller 2 samt reglerne udstedt i medfør af §§

6-10, § 11, stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr. 1-7, §§ 21

Side 91/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

og 22 og § 23, stk. 1, nr. 1 eller 2 skal følge samme bødestørrelse som den

der er angivet efter NIS 2-direktivets artikel 34, stk. 4 og 5.

Der foreslås ikke i tilknytning til øvrige bestemmelser end de specifikt an-

givne ovenfor anlagt særlige forudsætninger for så vidt angår udmålingen

af bødernes størrelse. Det samme gælder eventuel udmåling af bøder til fy-

siske personer, hvor det dog forudsættes, at der tages behørigt hensyn til

direktivets forudsætninger om at lægge vægt på det generelle indkomstni-

veau og personens økonomiske stilling.

Bøderne vil kunne pålægges i tillæg til håndhævelsesforanstaltningerne i

de foreslåede §§ 21-23.

Ved afgørelse om at politianmelde et forhold, ved pålæg af en bøde og ved

udmåling af bødens størrelse forudsættes det, at der lægges vægt på de i af-

snit 3.7.2. beskrevne hensyn.

Det foreslås endvidere, i overensstemmelse med NIS 2-direktivet, at hvor

der er pålagt en bøde for overtrædelse af databeskyttelsesforordningen el-

ler databeskyttelsesloven, kan der ikke pålægges en bøde for overtrædelse

af denne lov eller regler udstedt i medfør af loven, hvis overtrædelsen

skyldes den samme adfærd.

3.8 Nødvendige omkostninger til beredskab efter lov om varmeforsy-

ning

3.8.1. Gældende ret

Udgangspunktet for prisreguleringen følger af § 20, stk. 1, i lov om varme-

forsyning. Prisreguleringen indebærer, at varmepriserne reguleres efter

princippet om nødvendige omkostninger – også kaldet den omkostningsbe-

stemte varmepris. Varmeforsyningsvirksomhederne kan alene indregne

nødvendige omkostninger i varmeprisen. Derudover må prisen ikke være

urimelig, jf. § 21, stk. 4, i lov om varmeforsyning.

Bestemmelsen i § 20, stk. 1, i varmeforsyningsloven, indeholder en ikke

udtømmende opregning af de virksomheder, der er omfattet af prisbestem-

melserne. Afgørende for at være omfattet er, at virksomheden leverer op-

varmet vand, damp eller gas bortset fra naturgas til det indenlandske mar-

ked med det formål at levere energi til bygningers opvarmning og forsy-

ning med varmt vand, dvs. til rumvarmeformål. Bestemmelsen finder til-

svarende anvendelse på levering af opvarmet vand til andre formål fra cen-

trale kraftvarmeanlæg.

Side 92/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

De omkostninger, der må indregnes i priserne, skal ud over at være nød-

vendige, også efter deres art være indregningsberettigede. Det drejer sig

bl.a. om omkostninger som følge af pålagte offentlige forpligtelser, herun-

der omkostninger til energispareaktiviteter efter §§ 28 a, 28 b og 29.

Omkostninger til energispareaktiviteter efter §§ 28 a, 28 b og 29 er nær-

mere reguleret i kapitel 7 i lov om varmeforsyning om offentlige forplig-

telser for varmeforsyningsanlæg. Ud over de disse bestemmelser er bered-

skab til bygas også reguleret, jf. § 29 a.

Virksomheder, som driver anlæg til produktion og fremføring af bygas,

skal foretage nødvendig planlægning og træffe de nødvendige foranstalt-

ninger for at sikre bygasforsyningen i beredskabssituationer og andre eks-

traordinære situationer, jf. § 29 a, stk. 1, i lov om varmeforsyning. Klima-,

energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i

stk. 1 nævnte opgaver samt om varetagelse af de overordnede, koordine-

rende planlægningsmæssige og operative opgaver vedrørende beredskabet,

jf. § 29 a, stk. 2, i lov om varmeforsyning.

Bestemmelsen omfatter alene bygas. Anden energi er således ikke omfat-

tet.

Det fremgår af de specielle bemærkninger til bestemmelsen i stk. 1, at det

ikke blev fundet nødvendigt at etablere et beredskab for andre dele af var-

meforsyningen, da brændstofforsyninger til varme- eller kraftvarmeværker

påregnedes dækket af dels beredskabslagrene på olieområdet, dels bered-

skabet for naturgas. Derudover ville varmeproduktion og -distribution

blive dækket af det almindelig driftsberedskab. Dertil kom, at varmeforsy-

ning ikke blev anset for at være af afgørende betydning for opretholdelse

af samfundets funktioner i en krisesituation.

Bygas blev foreslået omfattet af bestemmelserne, da bygas i vidt omfang

er sidestillet med naturgas, og da bygas- og naturgasselskaberne gennem

længere tid havde samarbejdet om beredskabsforhold.

Det fremgår af de specielle bemærkninger til bestemmelsen i stk. 2, at be-

stemmelsen endvidere skulle give hjemmel til at fastsætte regler for vareta-

gelse af de overordnede, koordinerende planlægningsmæssige og operative

opgaver vedrørende beredskabet; som hidtil varetaget i samarbejde med

virksomheder inden for naturgassektoren. Bemyndigelsen er på nuværende

tidspunkt ikke udnyttet.

Side 93/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Udover, at en omkostning skal være nødvendig, må den samlede pris ikke

være urimelig, jf. § 21, stk. 4, i lov om varmeforsyning. Det er Forsynings-

tilsynet, der i konkrete sager afgør, hvilke udgifter og omkostninger, der

må anses for nødvendige, og som derfor kan indregnes i priserne.

Finder Forsyningstilsynet, at tariffer (priser), omkostningsfordeling på an-

læg med forenet produktion eller andre betingelser er urimelige eller i strid

med nærmere fastlagte retsregler eller regler udstedt i henhold til loven, gi-

ver tilsynet, såfremt forholdet ikke gennem forhandling kan bringes til op-

hør, pålæg om ændring af tariffer, omkostningsfordeling på anlæg med

forenet produktion eller betingelser, jf. § 21, stk. 4.

Det følger af Forsyningstilsynets praksis, at den samlede varmepris ikke

må overstige den i administrativ praksis udviklede substitutionspris. Sub-

stitutionsprisprincippet er udviklet i den administrativ praksis. Substituti-

onsprisprincippet er derfor ikke fastsat ved lov. Substitutionsprisprincippet

indebærer, at der for køb af varme ikke må indregnes en højere pris end

den pris, som varmekøber selv ville kunne producere den omfattede var-

memængde for eller købe den for fra tredjemand. Princippet kan efter

praksis få virkning i alle led i værdikæden, dvs. for alle leverancer omfattet

af § 20, stk. 1, i lov om varmeforsyning. I praksis fungerer substitutions-

prisen således som et lokalt prisloft for varmeforsyningsvirksomhedernes

køb af opvarmet vand m.v. En varmeforsyningsvirksomheds substitutions-

pris er dynamisk og kan ændre sig fra år til år. Det er Forsyningstilsynet,

der af egen drift eller på baggrund af en henvendelse eller en klage, kan

vurdere, om substitutionsprisprincippet finder anvendelse i et konkret leve-

ringsforhold, herunder fastsætte substitutionsprisen. Princippet har dog

ikke virkning for den del af værdikæden, der er mellem varmedistributi-

onsvirksomhed og slutkunde.

De virksomheder, der er omfattet af prisreguleringen i lov om varmeforsy-

ning, er derudover omfattet af en anmeldelsespligt af visse oplysninger til

Forsyningstilsynet efter § 21, stk. 1, i lov om varmeforsyning. Anmeldel-

sespligten indebærer, at bl.a. priser for ydelser omfattet af § 20 i lov om

varmeforsyning, skal anmeldes til Forsyningstilsynet med angivelse af

grundlaget herfor efter nærmere regler fastsat af tilsynet. Forsyningstilsy-

net kan fastsætte regler om formen for anmeldelse og om, at anmeldelse

skal foretages elektronisk. Forsyningstilsynet kan fastsætte regler om, at

anmeldelse skal ledsages af en erklæring afgivet af en registreret revisor,

statsautoriseret revisor eller kommunens revisor. Forsyningstilsynet kan

give pålæg om anmeldelse. Anmeldelse er en gyldighedsbetingelse, jf. §

Side 94/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

21, stk. 3, i lov om varmeforsyning, men indebærer ikke en godkendelse af

det anmeldte fra Forsyningstilsynet.

3.8.2. Klima-, Energi- og Forsyningsministeriets overvejelser

Lovforslaget skal styrke energisektorens beredskabsniveau med henblik på

at forebygge og modstå hændelser, som truer energiforsyningen. Der i dag

et højt og markant trusselsniveau mod energisektoren i forhold til især cy-

berangreb og spionage, og lovforslaget skal sikre, at der er et tidsvarende,

ambitiøst og robust beredskab i energisektoren. Der henvises til de almin-

delige bemærkninger i afsnittene 2 og 3.1.2 og 3.1.2. samt 3.2.2. og 3.2.3.

Fjernvarme er ikke i dag omfattet af beredskabsregulering, selvom denne

delsektor har en væsentlig og stigende betydning for den danske energifor-

syning.

Energisektorens beredskabsregulering har til formål at sikre, at sektoren er

forberedt til at kunne opretholde og videreføre energiforsyningen i tilfælde

af naturskabte, menneskeskabte og teknologiske risici.

Lovforslaget vil samle de beredskabsbestemmelser, der er i de respektive

forsyningslove, herunder i lov om varmeforsyning, og placere dem i en

samlet lov om beredskab for energisektoren.

3.8.3. Den foreslåede ordning

Det foreslås at ophæve bestemmelsen i § 29 a, i lov om varmeforsyning

om beredskab for virksomheder, som driver anlæg til produktion og frem-

føring af bygas.

Med lovforslaget vil det endvidere skulle sikres, at varmeforsyningsvirk-

somhederne vil kunne indregne de nødvendige omkostninger, der er for-

bundet med det tilstrækkelige/nødvendige beredskab.

Det foreslås derfor videre at indføre i § 20, stk. 1, 1. pkt., at varmeforsy-

ningsvirksomheder vil kunne til omkostninger til beredskab efter lov om

styrket beredskab i energisektoren. Den foreslåede ændring, jf. lovforsla-

gets § X, nr. 1, vil medføre, at varmeforsyningsvirksomheder omfattet af §

20, stk. 1, vil kunne indregne nødvendige omkostninger til beredskab efter

lov om styrket beredskab i energisektoren. Forsyningstilsynet vil [fortsat]

kunne vurdere, om en omkostning til beredskab er nødvendig, ligesom

Forsyningstilsynets almindelige indgrebsbeføjelser vil finde anvendelse, jf.

§ 21, stk. 4, i lov om varmeforsyning,

Side 95/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

4. Økonomiske konsekvenser og implementerings-

konsekvenser for det offentlige

Lovforslaget vurderes at have økonomiske konsekvenser for staten, herun-

der implementeringskonsekvenser for statslige myndigheder.

De statsfinansielle meromkostninger forventes at være 3,0-4,0 mio. kr. år-

ligt. Meromkostningerne kan henføres til opgaver, der følger af den nye re-

gulering, herunder generel vejledning om lovgivningen eller koordinering

med EU.

Ud over de statsfinansielle konsekvenser, skønnes det, at der vil være mer-

omkostninger på 8,2 mio. kr., der forventes gebyrfinansieret.

Estimaterne dækker både monopolvirksomheder og konkurrenceudsatte

virksomheder. Gebyret opkræves til at dække bl.a. sagsbehandling vedr.

samordnet beredskab, dispensationer, administration ved gebyropkræv- ning,

udarbejdelse af risiko- og sårbarhedsscenarier, forhåndstilsagn om

klassificering af anlæg og sagsbehandling af risikovurderinger af projekter.

Derudover indgår omkostninger ifm. afholdelse af tilsyn.

De forventede statslige meromkostninger skyldes bl.a., at lovforslaget ud-

vider beredskabskravene og tilsynsforpligtelsen til at gælde nye sektorer. I

dag omfatter tilsynsforpligtelsen store dele af el-, gas- og oliesektoren.

Fremadrettet skal beredskabskravene, herunder tilsyn hermed ligeledes

omfatte fjernvarme-, fjernkøling- og brintsektorerne. Samtidig udvides

kredsen af virksomheder i gas-, el- og oliesektorerne, der omfattes af be-

redskabskrave efter direktiverne. Dermed udvides Energistyrelsens vejled-

nings- og tilsynsforpligtelse til at gælde nye sektorer.

Som følge af den udvidede kreds af omfattede virksomheder øges behovet

for at kunne administrere dokumentationsmateriale ifm. tilsyn og anden

kommunikation med virksomhederne. Der forventes derfor behov for at

opdatere eksisterende onlineportal, som i dag benyttes. Der er bl.a. behov

for at øge kapaciteten (dvs. storage) samt sikkerhedshærdning af portalen.

Det forventes, at udgifterne hertil vil være meget begrænsede, idet online-

portalen allerede eksisterer, og der kun er tale om en opdatering.

Side 96/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Fsva. efterlevelse af krav i NIS2 og CER om indberetning af sikkerheds-

hændelser forventes fælles statslig løsning anvendt, hvilket følger princip

nr. 6 anvendelse af offentlig infrastruktur fra principperne for digitalise-

ringsklar lovgivning. Der forventes således ikke behov for at udvikle egen

digital løsning for hændelsesindberetning for energisektoren.

De syv principper for digitaliseringsklar lovgivning er iagttaget. Foruden

ovenstående henvisning gælder det særligt ift. princip nr. 1 vedrørende

enkle og klare regler,

da loven samler hjemmelsbestemmelser og krav fra

andre love i én lov, nr. 2

digital kommunikation,

da loven indeholder reg-

ler, som understøtter digital kommunikation med borgere og virksomhe-

der. Loven sikrer også, at fremtidige digitale platforme kan anvendes, da

hjemlen til digital kommunikation er formuleret teknologineutralt. Derud-

over er der også fokus på princip nr. 5 om

tryg og sikker datahåndtering,

da loven understøtter digital kommunikation på en måde, hvorpå sikkerhed

prioriteres hørt.

De øvrige principper for digitaliseringsklar lovgivning vurderes ikke rele-

vante.

Lovforslaget vurderes at kunne have økonomiske konsekvenser for Klima-

, Energi- og Forsyningsministeriet, som følge af forventet øget myndig-

hedsbehandling i navnlig Energistyrelsen. Herudover kan Energiklagenæv-

net opleve flere klagesager.

Energiklagenævnet er i dag generel klageinstans for afgørelser truffet efter

elforsyningsloven, gasforsyningsloven og olieberedskabsloven herunder i

forhold til beredskab. Energiklagenævnets rolle som klageinstans foreslås

overført til den nye lov om styrket beredskab i energisektoren. Lovforsla-

gets udvidelse af omfattede virksomheder kan medføre en øget mængde

klager over Energistyrelsens afgørelser efter loven eller regler fastsat i

medfør af loven. For nuværende vurderes omkostningerne at være små, da

der ikke forventes mange klagesager på baggrund af lovforslagets klagead-

gang. Vurderingen er foretages på baggrund af, at der ikke tidligere er ind-

givet klager til Energiklagenævnet på baggrund af Elforsyningslovens § 85 b

og 85 c, Gasforsyningslovens § 15 a og 15 b eller olieberedskabsloven.

Vurderingen er dog undergivet en vis usikkerhed, da lovforslaget vil om-

fatte nye typer af virksomheder og nye sektorer.

Da omkostninger til Energiklagenævnet ikke efter vanlig praksis gebyrfi-

nansieres, foreslås det, at de potentielle meromkostninger, der vil følge af

Side 97/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

nærværende lovforslag vil blive afregnet mellem Energistyrelsen og Næv-

nenes Hus kvartalsvis på medgåede timer. Finansieringen af potentielle

meromkostninger til Energiklagenævnet tages op til revision, når markedet

er modnet, og der er kommet indikationer på antallet af klagesager.

Lovforslaget forventes herudover ikke at medføre nogle implementerings-

konsekvenser for det offentlige.

5. Økonomiske og administrative konsekvenser for

erhvervslivet m.v.

Lovforslaget vurderes at have erhvervsøkonomiske konsekvenser, herun-

der både omstillingsomkostninger og løbende omkostninger samt admini-

strative konsekvenser for erhvervslivet.

De forventede erhvervsøkonomiske konsekvenser vil i samarbejde med Er-

hvervsstyrelsens Område for Bedre Regulering (OBR) blive kvantificeret

yderligere i forbindelse med høringen af bekendtgørelsen, der skal ud-

mønte kravene i lov om styrket beredskab.

Lovforslaget vil indebære enkelte krav, som vil medføre administrative

konsekvenser i form af omkostninger for erhvervslivet. Det forventes dog,

at de økonomiske og administrative konsekvenser ved lovforslaget vil

være under 4 mio. kr. De administrative konsekvenser består i, at myndig-

hederne efter § 14, stk. 2 kan kræve, at virksomheder foretager en offent-

liggørelse af en hændelse. Dette kan fx indebære udarbejdelse og udsen-

delse af en pressemeddelelse. Hyppigheden forventes at være lav på sam-

fundsniveau, da de fleste virksomheder formentligt selv vil offentliggøre

hændelsen, hvis det er nødvendigt og under hensyntagen til hændelsens

karakter og omfang. Desuden kan der være administrative konsekvenser

efter § 21, hvor rådgivende missioner kan føre tilsyn med virksomheder,

som er udpeget som enheder af særlig europæisk betydning. Da der sand-

synligvis vil være få enheder af særlig europæisk betydning, vurderes de

administrative konsekvenser at være begrænsede.

Med lovforslaget skønnes omkring 100-110 private virksomheder i energi-

sektoren omfattet inden for el-, gas-, olie- og brintsektorerne. Derudover

skønnes yderligere omkring 70-80 monopolvirksomheder omfattet inden

for bl.a. eldistribution og fjernvarmesektoren. Monopolvirksomhederne er

Side 98/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

iht. Erhvervsstyrelsens vejledning ikke medtaget i de erhvervsøkonomiske

konsekvensberegninger.

De samlede omstillingsomkostninger for private virksomheder skønnes

med betydelig usikkerhed at udgøre ca. 650 mio. kr. Såfremt tallene korri-

geres for at mange virksomheder i forvejen forventes at afholde de udgif-

ter, som reguleringen medfører (dvs. business-as-usual), skønnes omstil-

lingsomkostningerne med betydelig usikkerhed at være ca. 250 mio. kr.

Omstillingsomkostningerne skyldes primært, at virksomhederne som følge

af de nye krav vil skulle foretage en række engangsinvesteringer vedr. for-

bedring af fysisk sikkerhed og cybersikkerhedstiltag.

De direkte løbende efterlevelsesomkostninger skønnes med betydelig usik-

kerhed i alt at udgøre ca. 100 mio. kr. årligt. Tages der højde for business-

as-usual skønnes de løbende omkostninger med betydelig usikkerhed til at

være ca. 30 mio. kr. Disse omkostninger kan henføres til bl.a. netværks-

segmentering, fysisk sikring af anlæg og kritiske lokaler, omkostninger

forbundet med leverandørstyring, logning og uddannelse af medarbejdere.

Både de løbende og omstillingsmeromkostningerne for virksomheder, som

i dag er beredskabsreguleret, forventes at være relativt lavere end for nyre-

gulerede virksomheder, da de allerede har beredskabspersonel ansat, og da

direktiverne på flere områder overlapper med eksisterende krav. Den nu-

værende regulering sætter fx allerede krav til fysisk sikring af de mest for-

syningskritiske anlæg, og derfor er det forventningen, at udgifterne for

ikke-nyregulerede virksomheder vil være lavere. Desuden forventes om-

kostningerne at være størst for de virksomheder, der er mest kritiske for

opretholdelse af forsyningen, da det vil være forbundet med større opgaver

for disse virksomheder at efterleve kravene, da de fx har flere anlæg og

større netværk. De administrative omstillingsomkostninger for erhvervsli-

vet skønnes med betydelig usikkerhed at være ca. 25 mio. kr. Tages der

højde for business-as-usual, skønnes de administrative omstillingsomkost-

ninger til at være ca. 15 mio. kr.

De løbende administrative omkostninger skønnes med betydelig usikker-

hed at være ca. 65 mio. kr. Tages højde for business-as-usual skønnes de at

være ca. 30 mio. kr.

Omkostningerne kan henføres til bl.a. virksomheders udarbejdelse af be-

redskabsplaner, risiko- og sårbarhedsanalyser, risikovurderinger ifm. leve-

randørforhold og projekter og forberedelse og deltagelse i Energistyrelsens

Side 99/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

beredskabstilsyn. Den administrative omstillingsomkostning forventes især

at påhvile de virksomheder, der ikke er omfattet af beredskabsregulering i

dag.

Det vurderes, at Innovations- og Iværksættertjekket ikke er relevant for

lovforslaget, fordi forslaget ikke påvirker virksomheders eller iværksætte-

res muligheder for at teste, udvikle og anvende nye teknologier og innova-

tion.

Det forventes desuden, at reguleringen er relevant for punkt 3, idet den vil

fremme brugen af security-by-design. Dette skyldes bl.a., at det er hensig-

ten at sikkerhedsfremmende teknologier eller metoder tænkes ind i pro-

jekt- eller anlægsfasen ifm. fx IT- eller anlægsprojekter, der har betydning

for energiforsyningssikkerheden. Derudover stiller reguleringen krav om,

at virksomheder skal sikre, at sikkerhed er integreret i udviklingsdesignet

fra begyndelsen, samt at energivirksomhederne integrerer komponenter og

systemer i net- og informationssystemer på en måde, der understøtter sik-

kerheden for leveringen af tjenesten. Dermed imødekommer reguleringen

de sårbarheder, som digitaliseringen af energisektoren introducerer.

6. Administrative konsekvenser for borgerne

Det vurderes, at lovforslaget ikke har administrative konsekvenser for bor-

gerne.

7. Klimamæssige konsekvenser

Lovforslagets formål er at styrke det eksisterende beredskab i energi-

sektoren, herunder øge modstandsdygtigheden over for fysiske an-

greb og cybertrusler.

Lovforslaget forventes ikke at have klimamæssige konsekvenser.

Lovforslaget kan dog have en klimaeffekt i det omfang, at tiltaget

gør det relativt dyrere at producere el på fossile brændsler. Omvendt

kan der være øgede udledninger, hvis forslaget gør det relativt dyrere

at producere fx el på baggrund af VE-energikilder.

Side 100/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

8. Miljø- og naturmæssige konsekvenser

Lovforslaget vurderes ikke at have nogen miljø- og naturmæssige konse-

kvenser.

9. Forholdet til EU-retten

Forslaget implementerer EU-regler i form af:

Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. de-

cember 2022 om foranstaltninger til sikring af et højt fælles cyber-

sikkerhedsniveau i hele Unionen, om ændring af forordning (EU)

nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af di-

rektiv (EU) 2016/1148 (NIS 2-direktivet)

Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. de-

cember 2022 om kritiske enheders modstandsdygtighed og om op-

hævelse af Rådets direktiv 2008/114/EF.

10. Forholdet til databeskyttelsesforordningen og da-

tabeskyttelsesloven

Behandling af personoplysninger er i almindelighed reguleret i databeskyt-

telsesforordningen og databeskyttelsesloven.

Spørgsmålet om, hvorvidt der må behandles personoplysninger, er i dag

som udgangspunkt reguleret i databeskyttelsesforordningens artikel 6, stk.

1, (om behandling af almindelige personoplysninger), artikel 9, stk. 2, (om

behandling af følsomme personoplysninger) og artikel 10 (om behandling

af personoplysninger vedrørende straffedomme og lovovertrædelser).

Almindelige personoplysninger omfatter fx. væsentlige sociale oplysninger,

andre private forhold, økonomi, skat, gæld, sygedage, tjenstlige forhold, fa-

milieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling,

arbejdsområde, arbejdstelefon, navn, adresse, fødselsdato m.v.

Følsomme personoplysninger omfatter fx. oplysninger om race og etnisk

oprindelse, politisk overbevisning, religiøs og filosofisk overbevisning, fag-

foreningsmæssige tilhørsforhold, genetiske data, biometriske med henblik

på entydig identifikation, helbredsoplysninger og seksuelle forhold eller

seksuel orientering.

Efter databeskyttelsesforordningens artikel 10 gælder, at behandling af per-

sonoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyt-

tede sikkerhedsforanstaltninger på grundlag af forordningens artikel 6, stk.

Side 101/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

1, kun må foretages under kontrol af en offentlig myndighed, eller hvis be-

handling har hjemmel i EU-retten eller medlemsstaternes nationale ret, som

giver passende garantier for registreredes rettigheder og frihedsrettigheder.

Der anlægges en vid fortolkning af begrebet strafbare forhold. Ikke alene

oplysninger om lovovertrædelser som har eller kan udløse strafansvar, men

også andre sanktioner som fx. rettighedsfrakendelse er omfattet af begre-

bet. Det er imidlertid ikke alle oplysninger om et muligt strafbart forhold,

herunder politianmeldelse, der er omfattet. Hertil kræves, at anmeldelsen i

en eller anden form kan anses for underbygget.

Med lovforslaget gennemføres hhv. NIS 2-direktivet og CER-direktivet in-

den for klima-, energi og forsyningsministerens ressort.

Lovforslaget indebærer en række forpligtelser for omfattede virksomheder

samt myndighedsopgaver for Energistyrelsen og enkelte andre myndighe-

der, der i et vist omfang vil indebære behandling af personoplysninger.

Der vil således kunne indgå almindelige personoplysninger som nævnt

ovenfor i de oplysninger, som virksomheder efter lovforslaget skal indgive

til Energistyrelsen i medfør af lovforslagets §§ 5 og 6, hvorefter Energisty-

relsen kan kræve, at virksomheder fremlægger oplysninger og materiale,

der er nødvendig for stillingtagen til, hvordan en virksomhed, dens anlæg

og systemer skal kategoriseres samt om virksomheden ska udpeges som en

enhed af særlig europæisk betydning.

Der kan videre indgå almindelige personoplysninger i de oplysninger, som

virksomheder efter lovforslaget i medfør af lovforslagets § 6, stk. 2, nr. 3,

skal indmelde om en udpeget kontaktperson til Energistyrelsen.

Derudover kan der indgå almindelige personoplysninger i en kritisk en-

heds underretning om hændelser efter lovforslagets §§ 13 og 14, hvorefter

virksomheder skal underrette Energistyrelsen og andre myndighed om

hændelser, der i betydelig grad forstyrrer eller har potentiale til at forstyrre

leveringen af virksomhedens væsentlige tjenester. Af forarbejderne til §§

13 og 14, fremgår, at underretninger skal indeholde alle tilgængelige op-

lysninger, der er nødvendige for, at Energistyrelsen og andre myndigheder

kan forstå hændelsens art, årsag og mulige konsekvenser, herunder alle til-

gængelige oplysninger der er nødvendige for at fastslå hændelsens eventu-

elle grænseoverskridende indvirkning. I en virksomheds underretning om

en hændelse kan der således fx. indgå almindelige personoplysninger i for-

bindelse med en redegørelse for hændelsens faktiske forløb, eller ved at

Side 102/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

der vedlægges e-mails eller andet materiale, der belyser hændelsens forløb,

karakter eller håndtering.

Efter lovforslagets §§ 16 og 17 skal virksomheder have sikkerhedsgod-

kendt visse medarbejdere og andre medarbejdere skal opnå godkendt bag-

grundskontrol i overensstemmelse med nærmere regler fastsat efter for-

handling med justitsministeren, der; 1) varetager følsomme funktioner i el-

ler til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds

modstandsdygtighed, 2) er bemyndiget til at få direkte adgang eller fjern-

adgang til en kritisk enheds lokaler, oplysninger eller kontrolsystemer, her-

under i forbindelse med den kritiske enheds sikkerhed eller 3) overvejes

ansat i stillinger, der indebærer opgavevaretagelse som nævnt ovenfor.

Gennemførelse af sikkerhedsgodkendelse og baggrundskontrol sker såle-

des på baggrund af en anmodning fra en virksomhed og forudsætter at ved-

kommende virksomhed og dennes medarbejder eller potentielle medarbej-

der har meddelt samtykke dertil. Gennemførelse af baggrundskontrol og

sikkerhedsgodkendelse vurderes at kunne medføre behandling af alminde-

lige personoplysninger.

Der kan endvidere i forbindelse med anvendelsen af tilsyns- og håndhæ-

velsesforanstaltninger i medfør af de foreslåede bestemmelser i §§ 21-27

blive behandlet almindelige personoplysninger. Det er Klima-, Energi- og

Forsyningsministeriets vurdering, såvel som Forsvarsministeriets i forslag

til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau, at

de oplysninger, der måtte blive behandlet i denne forbindelse, vil udgøre

oplysninger om virksomhedens medarbejdere. Disse oplysninger vil pri-

mært udgøre kontaktoplysninger på virksomhedens kontaktpersoner, lige-

som der eksempelvis kan være tale om oplysninger om hvilke medarbej-

dere, der har adgang til enhedens net- og informationssystemer.

Det følger af NIS 2-direktivets artikel 2, stk. 14, 1. led, at enheder, de

kompetente myndigheder, de centrale kontaktpunkter og CSIRT'erne be-

handler personoplysninger i det omfang, det er nødvendigt med henblik på

dette direktiv og i overensstemmelse med databeskyttelsesforordningen,

navnlig på grundlag af artikel 6 deri.

Det er Klima-, Energi- og Forsyningsministeriets vurdering, såvel som

Forsvarsministeriets i lovforslag [NIS 2] at behandling af almindelige per-

sonoplysninger i forbindelse med overholdelsen af underretningsforpligtel-

serne i §§ 13 og 14, samt i forbindelse med myndighedernes anvendelse af

Side 103/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

tilsyns- og håndhævelsesforanstaltninger efter reglerne i kapitel 6 for pri-

vate virksomheder vil kunne ske i medfør af databeskyttelsesforordningens

artikel 6, stk. 1, litra c og e. Det følger af artikel 6, stk. 1, litra c, at behand-

ling er lovlig, hvis den er nødvendig for at overholde en retlig forpligtelse,

som påhviler den dataansvarlige, ligesom det følger af litra e, at behand-

ling er lovlig, hvis den er nødvendig af hensyn til udførelse af en opgave i

samfundets interesse. Det er endvidere Klima-, Energi- og Forsyningsmi-

nisteriets vurdering, såvel som Forsvarsministeriets i lovforslag [NIS 2], at

behandlingen af almindelige personoplysninger kan ske i medfør af data-

beskyttelsesforordningens artikel 6, stk. 1, litra f. Det følger af denne be-

stemmelse, at behandling er lovlig, hvis den er nødvendig for, at den data-

ansvarlige eller en tredjemand kan forfølge en legitim interesse, medmin-

dre den registreredes interesser eller grundlæggende rettigheder og friheds-

rettigheder, der kræver beskyttelse af personoplysninger, går forud herfor,

navnlig hvis den registrerede er et barn.

For så vidt angår offentlige myndigheder henvises der til forordningens ar-

tikel 6, stk. 1, litra e, hvorefter behandling bl.a. er lovlig, hvis behandlin-

gen er nødvendig af hensyn til udførelse af en opgave i samfundets inte-

resse.

8.1. Videregivelse af oplysninger til CSIRT’en og det centrale kontakt-

punkt

Center for Cybersikkerhed varetager opgaverne som centralt kontaktpunkt

og national CSIRT.

Navnlig vil opgaven som national CSIRT indebære, at Center for Cyber-

sikkerhed vil kunne behandle personoplysninger hos de berørte enheder. Det

følger således af den foreslåede § 17, at CSIRT’en efter anmodning fra

en enhed skal kunne yde bistand vedrørende monitorering af enhedens net-

og informationssystemer, reagere på hændelser og yde bistand til de be-

rørte enheder samt efter anmodning fra en enhed foretage en proaktiv

scanning af enhedens net- og informationssystemer. I forbindelse med løs-

ningen af disse opgaver vil centeret kunne få adgang til enhedens it-syste-

mer. Såfremt disse it-systemer indeholder personoplysninger, herunder føl-

somme personoplysninger og personoplysninger vedrørende straffedomme

og lovovertrædelser, vil det ikke helt kunne udelukkes, at centeret vil få

adgang til disse oplysninger. Det bemærkes i den forbindelse, at centerets

medarbejdere ikke vil have til formål at bruge de konkrete oplysninger om

Side 104/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

eksempelvis strafbare forhold, men derimod alene undersøge data med

henblik på at afdække sikkerhedshændelser eller sårbarheder.

Det følger af § 8 i lov om Center for Cybersikkerhed, jf. lovbekendtgørelse

nr. 836 af 7. august 2019, og § 3, stk. 2, i databeskyttelsesloven, at cente-

rets virksomhed er undtaget databeskyttelsesloven og databeskyttelsesfor-

ordningen. Uanset at Center for Cybersikkerheds virksomhed er undtaget

fra databeskyttelseslovgivningen, finder størstedelen af de centrale princip-

per i databeskyttelseslovgivningen anvendelse på Center for Cybersikker-

hed, jf. kapitel 6 i lov om Center for Cybersikkerhed.

Databeskyttelsesforordningen og databeskyttelsesloven vil imidlertid finde

anvendelse for de væsentlige og vigtige enheder, som anmoder om cente-

rets bistand i medfør af den foreslåede § 17.

Center for Cybersikkerhed er som nævnt ikke omfattet af de databeskyttel-

sesretlige regler, hvorfor centeret heller ikke er omfattet af begrebet ”data-

ansvarlig” i databeskyttelsesforordningen og databeskyttelsesloven. Cente-

ret vil dog i relation til de væsentlige og vigtige enheder være at betragte

som en selvstændig dataansvarlig for den behandling af personoplysnin-

ger, som centeret udfører. I tilfælde af, at Center for Cybersikkerhed som

CSIRT får adgang til oplysninger hos væsentlige og vigtige enheder, er det

dermed at betragte som en videregivelse mellem to selvstændige dataan-

svarlige. Denne videregivelse sker inden for rammerne af databeskyttelses-

forordningen og databeskyttelsesloven.

I relation til almindelige personoplysninger henvises der for så vidt angår

private virksomheder til databeskyttelsesforordningens artikel 6, stk. 1,

litra f. Det følger af denne bestemmelse, at behandling er lovlig, hvis den

er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en

legitim interesse, medmindre den registreredes interesser eller grundlæg-

gende rettigheder og frihedsrettigheder, der kræver beskyttelse af person-

oplysninger, går forud herfor, navnlig hvis den registrerede er et barn. Det

fremgår i den forbindelse af databeskyttelsesforordningens præambelbe-

tragtning 49, at behandling af personoplysninger – i det omfang, det er

strengt nødvendigt og forholdsmæssigt for at sikre net- og informationssik-

kerheden – der foretages af eksempelvis Computer Emergency Response

Teams (CERT’er), udgør en legitim interesse for den berørte dataansvar-

lige.

Side 105/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

For så vidt angår den situation, hvor Energistyrelsen som kompetent myn-

dighed efter NIS 2- og CER-direktiverne, videregiver oplysninger til Cen-

ter for Cybersikkerhed som CSIRT og Beredskabsstyrelsen som national

kontaktpunkt efter CER-direktivet, EU-Kommissionen eller dennes sær-

lige rådgivningsmissioner efter § 6 om enheder af særlig europæisk betyd-

ning og lignende, henvises der til forordningens artikel 6, stk. 1, litra e,

hvorefter behandling bl.a. er lovlig, hvis behandlingen er nødvendig af

hensyn til udførelse af en opgave i samfundets interesse. Henset til at vide-

regivelsen er nødvendig af hensyn til udførelsen af Energistyrelsens op-

gave som kompetent myndighed for energisektoren og Center for Cyber-

sikkerheds opgave som CSIRT og centralt kontaktpunkt samt Beredskabs-

styrelsen opgave som national kontaktpunkt, vurderer Klima-, Energi- og

Forsyningsministeriet, såvel som Forsvarsministeriets i lovforslag [NIS 2],

at videregivelse af almindelige personoplysninger til fx. Center for Cyber-

sikkerhed er omfattet af forordningens artikel 6, stk. 1, litra e.

Det vurderes på den baggrund, at virksomheder samt andre kompetente

myndigheder, Beredskabsstyrelsen og Center for Cybersikkerhed med

hjemmel i databeskyttelsesforordningens artikel 6 kan videregive alminde-

lige personoplysninger til Energistyrelsen og omvendt.

I relation til behandling af eventuelle oplysninger om strafbare forhold

henvises der til § 8 i databeskyttelsesloven. Private virksomheders videre-

givelse af oplysninger om strafbare forhold vurderes at være omfattet af

databeskyttelseslovens § 8, stk. 4, 2. pkt., hvorefter videregivelse bl.a. kan

ske, når det sker til varetagelse af offentlige interesser, der klart overstiger

hensynet til de interesser, der begrunder hemmeligholdelse. Som nævnt

ovenfor vurderes formålet med videregivelsen at varetage væsentlige of-

fentlige interesser, som klart overstiger hensynet til den enkelte. Klima-,

Energi- og Forsyningsministeriet har ved vurderingen lagt vægt på, at

Energistyrelsen som kompetent myndighed bl.a. vil få til opgave at analy-

sere cybertrusler, sårbarheder og hændelser på nationalt plan, samt at rea-

gere på hændelser.

Offentlige myndigheders videregivelse af oplysninger om strafbare forhold

vurderes at være omfattet af databeskyttelseslovens § 8, stk. 2, nr. 2 og 3,

hvorefter videregivelse af sådanne oplysninger bl.a. kan ske, hvis videregi-

velsen sker til varetagelse af offentlige interesser, der klart overstiger hen-

synet til de interesser, der begrunder hemmeligholdelse, eller hvis videre-

givelsen er nødvendig for udførelsen af en myndigheds virksomhed.

Klima-, Energi- og Forsyningsministeriet henviser i den forbindelse til

Side 106/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

overvejelserne i forhold til private virksomheders videregivelse af sådanne

oplysninger, jf. ovenfor, idet der tillige lægges vægt på, at videregivelsen

af oplysningerne vil være nødvendig for Energistyrelsen og andre myndig-

heders udførelse af opgaverne som hhv. kompetentmyndighed, CSIRT og

centralt kontaktpunkt efter NIS 2- og CER-direktiverne.

Det er Klima-, Energi- og Forsyningsministeriets, såvel som Forsvarsmini-

steriets vurdering, at for så vidt angår behandling af eventuelle oplysninger

om strafbare forhold, jf. den foreslåede § 16 om sikkerhedsgodkendelse og

baggrundskontrol, vil dette alene kunne ske på grundlag af samtykke fra den

person, der er genstand for kontrollen, jf. databeskyttelsesforordningens ar-

tikel 6, stk. 1, litra a, hvoraf det følger, at behandling af personoplysninger er

lovlig, hvis den registrerede har givet samtykke til behandling af sine per-

sonoplysninger til et eller flere specifikke formål. Den registreredes sam-

tykke skal herudover opfylde betingelserne for samtykke i persondatafor-

ordningens artikel 7.

Det bemærkes herudover, at baggrundskontrol § 16 vil skulle ske inden

for rammerne af CER-direktivets artikel 14, stk. 2, hvoraf det følger, at

anmodninger om baggrundskontrol vurderes

inden for en rimelig frist

og behandles i overensstemmelse med national ret og nationale procedurer

samt relevant og gældende EU-ret, herunder databeskyttelsesforordningen og

Europa-Parlamentets og Rådets direktiv (EU) 2016/680 om beskyttelse af

fysiske personer i forbindelse med kompetente myndigheders behandling af

personoplysninger med henblik på at forebygge, efterforske, afsløre eller

retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og

om fri udveksling af sådanne oplysninger og om ophævelse af Rådets ram-

meafgørelse 2008/977/RIA, samt at baggrundskontrol skal være forholds-

mæssig og strengt begrænset til, hvad der er nødvendigt.

Det vurderes på den baggrund, at myndigheder og virksomheder med

hjemmel i databeskyttelseslovens § 8 kan videregive oplysninger om straf-

bare forhold til Energistyrelsen og andre myndigheder efter lovens regler.

I relation til behandling af særlige kategorier af personoplysninger omfat- tet

af databeskyttelsesforordningens artikel 9, henvises til bestemmelsens stk.

2, litra g, hvorefter forbuddet mod behandling af sådanne personoplys-

ninger ikke finder anvendelse, når behandlingen er nødvendig af hensyn til

væsentlige samfundsinteresser på grundlag af EU-retten eller medlemssta-

ternes nationale ret og står i et rimeligt forhold til det mål, der forfølges,

respekterer det væsentligste indhold af retten til databeskyttelse og sikrer

passende og specifikke foranstaltninger til beskyttelse af den registreredes

grundlæggende rettigheder og interesser.

Side 107/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Henvisningen til EU-retten eller medlemsstaternes nationale ret i artikel 9,

stk. 2, litra g, forudsætter, at behandlingen er forankret i fx. national ret,

for at udgangspunktet i artikel 9, stk. 1, om forbud mod behandling kan

fraviges. Forordningens artikel 9, stk. 2, litra g, stiller således krav om ud-

fyldning i national ret og kan ikke uden videre anvendes som behandlings-

hjemmel. Der stilles imidlertid ikke krav om, at den nationale ret skal inde-

holde en udtrykkelig hjemmel til behandling af sådanne personoplysnin-

ger. Det vurderes på den baggrund at være tilstrækkeligt, at myndigheders

og virksomheders videregivelse af personoplysninger er forudsat i nærvæ-

rende lov, som gennemfører NIS 2- og CER-direktivet. Forsvarsministeriet

har i den forbindelse foretaget en vurdering i henhold til den tjekliste om

udarbejdelse af nye nationale særregler for behandling af følsomme per-

sonoplysninger, som fremgår af betænkning nr. 1565 om databeskyttelses-

forordningen.

11. Hørte myndigheder og organisationer m.v.

Et udkast til lovforslag har i perioden fra den … til den … (… dage) været

sendt i høring hos følgende myndigheder og organisationer m.v.:

12. Sammenfattende skema

Positive konsekvenser/mindreud-

gifter (hvis ja, angiv omfang/hvis

nej, anfør »Ingen«)

Ingen

Økonomiske

konsekvenser

for stat, kom-

muner og regio-

ner

Ingen

Implemente-

ringskonse-

kvenser for stat,

kommuner og

regioner

Økonomiske

konsekvenser

Negative konsekvenser/merudgifter

(hvis ja, angiv omfang/hvis nej, anfør

»Ingen«)

3-4 mio. kr.

Ingen

Ingen/kvantificeres yderligere ifm. 650 mio.kr. i omstillingsomkostninger.

udarbejdelse af bekendtgørelse.

Side 108/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

for erhvervsli-

vet m.v.

100 mio.kr. i løbende omkostninger.

Her er business-as-usual ikke iagttaget.

Administrative Ingen/kvantificeres yderligere ifm. 25 mio. kr. i omstillingsomkostninger.

konsekvenser udarbejdelse af bekendtgørelse.

65 mio. kr. i løbende omkostninger.

for erhvervsli-

vet m.v.

Her er business-as-usual ikke iagttaget.

Administrative Ingen

konsekvenser

for borgerne

Klimamæssige Ingen

konsekvenser

Miljø- og natur-Ingen

mæssige konse-

kvenser

Forholdet til

EU-retten

Ingen

Lovforslaget skal foruden at styrke beredskabsreguleringen i energisekto-

ren implementere EU-direktiverne NIS2 og CER.

Det er hensigten, at implementeringen af lovforslaget tager hensyn til, at

danske virksomheder inden for energisektoren ikke stilles dårligere konkur-

rencemæssigt i international sammenhæng – samt udmøntningen af direkti-

verne ikke går videre end minimumskravene i direktiverne, medmindre at

den eksisterende beredskabsregulering sætter større krav, end hvad direkti-

verne pålægger, eller såfremt sektorspecifikke hensyn, herunder trusselsbil-

ledet tilsiger andet.

Af hensyn til at sikre harmonisering af krav og definitioner på tværs af sek-

torer sker der tæt koordinering med FMN, der forestår overordnet imple-

mentering af NIS2 og CER på tværs af ministerområderne. Det skal sikre,

at bl.a. multiforsyningsvirksomheder, som tilhører flere sektorer, samt mul-

tinationale virksomheder ikke pålægges uhensigtsmæssige forskellige krav.

Lovforslaget tager højde for, at der ikke reguleres unødigt og uproportio-

nalt, herunder:

Side 109/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

1. at virksomhederne selv foretager risikovurderinger, således at sik-

kerhedsforanstaltningerne kan tilpasses de mange forskellige virk-

somhedstypers forretningsmodeller.

2. at der i videst muligt omfang ikke stilles krav om anvendelse af spe-

cifikke teknologier. I stedet stilles der krav om, at virksomhederne

selv kortlægger deres netværk og kritiske systemer, og på den bag-

grund skal leve op til en række beredskabskrav.

3. at virksomhederne allerede er underlagt krav til beredskabsregule-

ring.

Lovforslaget tager hensyn til princippet om at træde i kraft senest muligt og

under hensyntagen til de fælles ikrafttrædelsesdatoer.

Er i strid med Ja

de fem princip-

per for imple-

mentering af er-

[X]

hvervsrettet

EU-regulering

(der i relevant

omfang også

gælder ved im-

plementering af

ikke-erhvervs-

rettet EU-regu-

lering) (sæt X)

Nej

[]

Side 110/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1 [Kapitel 1]

Det foreslås med lovens

§ 1, stk. 1,

at loven har til formål at styrke virk-

somhederne i energisektorens modstandsdygtighed overfor naturskabte,

menneskeskabte og teknologiske trusler. Dette skal ske ved at fastsætte

regler om virksomhedernes organisatoriske beredskab, deres fysiske sik-

ring og cybersikkerhed. Formålet med bestemmelsen er at fastsætte den

overordnet ramme for loven og give kontekst til de resterende bestemmel-

ser i loven.

Formålet i stk. 1 sigter på at klima-, energi- og forsyningsministeren løfter

sit sektoransvar efter Beredskabslovens § 24, der bestemmer at hver mini-

ster indenfor sit område skal stå for planlægningen af det civile beredskab,

altså opretholdelsen og videreførelsen af samfundets funktioner i tilfælde

af større ulykker, katastrofer, antagonistiske handlinger og krig. Klima-,

energi- og forsyningsministeren løfter således sit planlægningsmæssige

sektoransvar ved udstedelse af denne lov og tilhørende bekendtgørelser,

således virksomhederne er robuste og har et velforberedt beredskab, samt

at virksomhedernes samarbejde med hinanden og med myndighederne er

fastlagt på forhånd medhenblik på at virksomhederne, såvel som myndig-

hederne kan handle hurtigt og effektivt for at imødegå en nærtstående

hændelse i energisektoren eller minimere konsekvenserne af en allerede

aktualiseret hændelse og sikre hurtig genopretning af forsyningen.

Samtidig må gøres klart, at der som led i dette formål ikke vil blive stillet

krav til virksomhederne om, at de aktivt skal kunne beskytte sig mod ter-

rorangreb el. angreb af en militaristisk natur. Det er således i udgangs-

punktet kun den civile sektors ansvar at have passive beskyttelsesforan-

staltninger kunne beskytte sig mod kriminelle, idet staten har til opgave

beskytte Danmark igennem suverænitetshævelse, overvågning af danske

farvande og luftrum og opretholde sikkerhed, fred og orden ved at føre

kontrol med, at lovene overholdes, og at skride ind over for lovovertrædel-

ser ved efterforskning og forfølgning.

Ovenstående er gældende både i den fysiske og logiske verden. Eksempel-

vis betyder det at en virksomhed ikke vil skulle kunne forhindre en terro-

rist der har intention om at detonere en bombe på en transformerstation.

Men virksomheden skal kunne opdage når uautoriserede personer forsøger

Side 111/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

på eller er kommet ind på lokation som indeholder kritisk energiinfrastruk-

tur, at forsinke deres indtrængen igennem passive installationer som hegn,

låse og barrikader og virksomheden skal have procedurer på plads der gør

at politiet eller andre myndigheder underrettes hurtigt, ligesom der skal

kunne indsamles overvågningsmateriale, der kan hjælpe myndighederne i

deres opklaringsarbejde.

Det samme er gældende for den digitale verden, hvor virksomhederne

igennem tekniske og organisatoriske foranstaltninger, skal kunne beskytte

sig mod hackerangreb, ved i at videst muligt omfang at forhindre uautori-

serede personer i at tilgår deres netværk, forsinke deres videre færd igen-

nem deres netværk og systemer, når de er kommet ind i et system. Dette

kan opnås f.eks. ved segmentering af systemer både logisk og fysisk. Lige-

ledes skal virksomhederne kunne detektere når de bliver kompromitteret

eller forsøgt kompromitteret, have procedurer på plads til at foretage miti-

gerende foranstaltninger og underrette de relevante myndigheder og sam-

arbejdspartnere, samt indsamle bevismaterialer såsom logs og adgangsre-

gistre der kan hjælpe myndigheder i deres opklaringsarbejde.

Det følger af det foreslåede stk. 2, at loven endvidere har til formål at

sikre, at der føres et grundigt og faglig funderet myndighedstilsyn med

overholdelsen af disse regler, samt sikre et stærkt samarbejde mellem virk-

somhederne, organisationer og myndigheder der varetager roller i planlæg-

ningen af beredskabet og håndteringen af beredskabshændelser i energi-

sektoren.

Det sekundære formål med loven jf. det foreslåede § 1, stk. 2 er todelt. Det

første del af formålet er at sikre at der føres et grundigt og faglig funderet

myndighedstilsyn med overholdelsen af disse regler. Således har Energi-

styrelsen der i dag varetager tilsynet med beredskabet i energisektoren på

vegne af klima-, energi- og forsyningsministeren oparbejdet et tilsyn der er

forankret i en stærk beredskabs- og cybersikkerhedsfaglighed der ligger

vægt på at være værdiskabende for virksomhederne, således at udgangs-

punktet tilsynet er at gøre den enkelte virksomheds beredskab og cybersik-

kerhed bedre efter fuldendt tilsyn.

For at kunne opnå dette formål, er det en fundamental forudsætning, at til-

synet med virksomhedernes almene beredskab og it-beredskabet ligger hos

den samme myndighed, af hensyn til synergien mellem disse opgaver og

for at sikre en holistisk sikring af virksomhederne. Det har således også hi-

Side 112/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

storisk været tilfældet, idet tilsynet med el- og naturgassektorerne har lig-

get hos Energinet fra 2005 til 2019, hvorefter Energistyrelsen har varetaget

tilsynsopgaven.

Det andet delformål er at tilsikre et stærkt samarbejde mellem virksomhe-

derne, organisationer og myndigheder, der direkte eller indirekte varetager

en rolle i planlægningen af beredskabet og håndteringen af beredskabs-

hændelser i energisektoren. Her tænkes der særligt på, at der et stor behov

der er for informationsudveksling i forbindelse med planlægningen af be-

redskabet, men også under en hændelse og efter en hændelse. Her skal lo-

vens forskellige paragraffer være med til at skabe tillid imellem de nævnte

aktører således der kan ske effektiv planlægning, udførsel og evaluering af

beredskabet, uden at beskyttelsesværdige informationer kommer uved-

kommende i hænde. Ligeledes skal det tilsikres at mødefora, vejlednings-

materiale og systemer oprettes og vedligeholdes til at understøtte den før-

nævnte informationsudveksling.

Til § 2 [Kapitel 1]

Den nuværende beredskabsregulering i energisektoren omfatter krav til

hhv. alment beredskab og it-beredskab.

Beredskabet i el- og gassektoren er reguleret i elforsyningsloven og gasfor-

syningsloven samt tilhørende bekendtgørelser. Beredskabet i oliesektoren

er reguleret i olieberedskabsloven og dertil hørende bekendtgørelse om be-

redskab i oliesektoren, samt i undergrundsloven, hvis bemyndigelsespar-

agraf ikke er udmøntet i en bekendtgørelse. Endvidere er der i lov om var-

meforsyning krav om beredskabsplanlægning om end bemyndigelsen til at

fastsætte nærmere regler heller ikke her er blevet udmøntet ved bekendtgø-

relse.

Beredskabsreguleringen for elsektoren omfatter virksomheder som er be-

villingspligtige efter §§ 10 og 19 i elforsyningsloven eller har tilladelse til

elproduktion fra anlæg med en kapacitet på over 25 MW efter § 29 i lov

om fremme af vedvarende energi eller § 11, elforsyningsvirksomhed, der

varetages af Energinet eller denne virksomheds helejede datterselskaber i

medfør af § 2, stk. 2 og 3, i lov om Energinet, samt virksomheder, der yder

balancering af elsystemet.

Beredskabsreguleringen for gassektoren omfatter selskaber, der er bevil-

lingspligtige efter § 10, samt Energinet og dennes helejede datterselskaber,

Side 113/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

der varetager gasforsyningsvirksomhed i henhold til § 2, stk. 2 og 3, i lov

om Energinet.

Beredskabet for oliesektoren omhandler primært lagerberedskab af olie-

produkter. Olieberedskabsbekendtgørelsen har ophæng i olieberedskabslo-

ven, som fastsætter regler om beredskab for virksomheder, der er kritiske

for forsyning af råolie og olieprodukter i Danmark i en beredskabssituation

og andre ekstraordinære situationer. Bekendtgørelsen finder anvendelse på

virksomheder med positiv lagringspligt samt den centrale lagerenhed FDO

(Danske Olieberedskabslagre). Virksomhederne og FDO skal foretage be-

redskabsplanlægning, der sikrer forsyningen af olie fra egne lagre i en be-

redskabssituation.

Derudover regulerer undergrundsloven forsyningsberedskabet for virk-

somheder, som driver offshore olie- og gasplatforme og rørledninger i

Nordsøen i forbindelse med udvindingen af olie og gas. Loven indeholder

en generel forpligtigelse til virksomheder om beredskabsplanlægning mm.

for at kunne opretholde og videreføre forsyningen af kulbrinter til samfun-

det i krisesituationer. Loven giver ministeren mulighed for at fastsætte

nærmere regler herom, men denne hjemmel har ikke hidtil været benyttet.

I varmeforsyningsloven er der ligeledes en generel forpligtigelse til at virk-

somheder der driver anlæg til produktion og fremføring af bygas, skal fo-

retage nødvendig planlægning og træffe de nødvendige foranstaltninger for

at sikre bygasforsyningen i beredskabssituationer og andre ekstraordinære

situationer. Loven giver ministeren mulighed for at fastsætte nærmere reg-

ler herom, men denne hjemmel har ikke hidtil været benyttet, ligesom ved

undergrundsloven.

Efter gældende ret er det altså kun nogle begrænset typer virksomheder og

virksomheder af en vis størrelse i de forskellige delsektorer, der omfattet af

beredskabskravene. Således er lang række af virksomheder i energisekto-

ren ikke omfattet af gældende ret, f.eks. fjernvarmevirksomheder, fjernkø-

lingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder

der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virk-

somheder i downstream oliesektoren hvis disse ikke har pligt til at holde

olieberedskabslagre.

Side 114/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Da indeværende lovforslag bl.a. skal gennemføre NIS 2- og CER-direkti-

verne for klima-, energi- og forsyningsministerens ressort, er det foreslå-

ede anvendelsesområde for loven i høj grad dikteret af disse direktivers an-

vendelsesområder.

Det følger derfor af den foreslåede § 2,

stk. 1,

at loven i udgangspunktet

finder anvendelse på følgende virksomheder når disse leverer deres tjene-

ster eller udfører deres aktivitet inden for Danmark jf. dog stk. 2-4; 1)

Elektricitetsvirksomheder, 2) Distributionssystemoperatører, 3) Transmis-

sionssystemoperatører, 4) Elproducenter, 5) Udpegede elektricitetsmar-

kedsoperatører, 6) Markedsdeltagere der leverer tjenester, der vedrører ag-

gregering, fleksibelt elforbrug eller energilagring, 7) Operatører af ladesta-

tioner, der er ansvarlige for forvaltningen og driften af en ladestation, som

leverer en ladetjeneste til slutbrugere, herunder i en mobilitetstjenesteud-

byders navn og på dennes vegne, 8) Operatører af fjernvarme eller fjernkø-

ling, 9) Olierørledningsoperatører, 10) Operatører af olieproduktionsan-

læg, -raffinaderier og -behandlingsanlæg, olielagre og olietransmission,

11) Centrale lagerenheder, 12) Gasforsyningsvirksomheder, 13) Lagersy-

stemoperatører,14) LNG-systemoperatører, 15) Naturgasvirksomheder,

16) Operatører af naturgasraffinaderier og –behandlingsanlæg ,17) Opera-

tører inden for brintproduktion, -lagring og –transmission, 18) Operatører

af tankstationer, der er ansvarlige for forvaltningen og driften af en tank-

station.

De ovennævnte typer af virksomheder modsvarer de virksomheder der er

nævnt i bilag I i NIS 2- og CER-direktivet for energisektoren, dog med

undtagelse af nr. 18) Operatører af tankstationer, der er ansvarlige for for-

valtningen og driften af en tankstation, denne tilføjelse er efter nationalt

ønske om også lade tankstationer omfatte af reglerne.

Det følger af foreslåede § 2,

stk. 2,

at udgangspunktet for anvendelsesområ-

det for loven modificeres for de virksomheder der er nævnt i nr. 1-8, 10, 12

og 18, således at disse typer af virksomheder kun er omfattet såfremt de

overskrider de minimumskriterier der oplistes i stk. 2, nr. 1-5. Det følger

således at loven kun gælder for disse virksomheder såfremt virksomheden;

1) årligt producerer, forbruger eller kontrollerer mere end 25 MW elektrici-

tet, 2) i 2 ud af 3 sidste år har solgt mere end 13,9 GWh eller produceret over

181 Gwh fjernvarme, 3) årligt producerer/injicerer mere end 26 mio. Nm

gas

i et gasnet, 4) Olieterminaler og lagre med kapacitet på 100.000 m

eller

derover, 5) opererer en eller flere tankstationer med et årligt salg af

olieprodukter på 600.000 m

eller derover.

Side 115/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

De foreslåede nedre grænse for visse typer af virksomheder er udtryk for en

fastholdelse af den eksisterende afgrænsning af virksomheder, som i høj

grad er baseret på forsyningsstørrelse og kritikalitet. Den foreslåede af-

grænsning i stk. 2, nr. 1, på 25 MW følger således den afgrænsning der gæl-

der i dag for elproduktionsvirksomheder, hvor kun virksomheder med el-

produktionsbevilling efter elforsyningsloven og virksomheder med tilla-

delse til elproduktion fra anlæg med en kapacitet på over 25 MW efter § 29 i

lov om fremme af vedvarende energi er omfattet.

Den foreslåede bestemmelse i § 2 stk. 2,

nr. 2,

medfører at virksomheder

omfattes af loven, såfremt de i 2 ud af de sidste 3 år har solgt mere end 13,9

GWh eller produceret over 181 GWh fjernvarme. Grænserne i bestemmel-

sen er en konvertering af 25 MW grænsen til fjernvarmesektoren. Grunden

til at det er solgt eller produceret i 2 af de 3 sidste år, er fordi fjernvarme-

virksomhederne kan opleve udsving i salg/produktionen alt efter vejret og

priserne på elmarkedet.

Den foreslåede bestemmelse i § 2, stk. 2,

nr. 3,

medfører at virksomheder

omfattes af loven, såfremt de årligt producerer eller injicerer mere end 26

mio. Nm

gas i et gasnet. Den foreslåede grænse er blevet fastsat efter dis-

kussion med blandet andet biogasbranchen, hvorefter at man får frasorteret

de mindste og derfor ikke kritiske biogasproducenter.

Den foreslåede bestemmelse i § 2, stk. 2,

nr. 4,

medfører at virksomheder

omfattes af loven, såfremt de operer olieterminaler og lagre med kapacitet på

100.000 m

eller derover. Den foreslåede grænse er blevet fastsat hensyn til at

frasortere de mindste olielagre og terminaler, således operatører af min- dre og

ikke kritiske olieterminaler og lagre ikke er omfattet.

Den foreslåede bestemmelse i § 2, stk. 2,

nr. 5,

medfører at virksomheder

omfattes af loven, såfremt de opererer en eller flere tankstationer med et

årligt salg af olieprodukter på 600.000 m

eller derover. Den foreslåede

grænser er fastsat ud fra det hensyn at beskytte forsyningen af benzin og

diesel til vejtransport. Grænsen er fastsat således at kun de største tankstati-

onsoperatører vil blive omfattet, og skal forstås som en operatørs samlede

årlige salg af olieprodukter på tværs af alle de tankstationer som operatøren

operer. Det således Klima-, Energi- og Forsyningsministeriets forståelse at et

helt netværk af tankstationer kan kompromitteres igennem de net- og in-

formationssystemer der bruges til at overvåge beholdninger af olieprodukter

på stationerne. Men idet at Danmark er et af de lande med den største kon-

Side 116/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

centration af tankstationer pr. indbygger har Klima-, Energi- og Forsynings-

ministeriet valgt at foreslå at kun de største operatører skal omfattes således

der altid være et minimum af forsyning af olieprodukter til understøttelse af

vejtransporten.

I dag er 84 virksomheder inden for el-, gas- og oliesektoren omfattet af be-

red-skabsbekendtgørelserne. Direktivernes tilføjelse af nye delsektorer

samt en fastholdelse af eksisterende afgrænsningsmodel baseret på forsy-

ningsstørrelse og kritikalitet indebærer, at antallet af virksomheder, som

omfattes af beredskabskrav og fast tilsyn estimeres at øges til ca. 180 virk-

somheder. I tillæg til de ca. 180 virksomheder estimeres det at yderligere

ca. 200 energivirksomheder med lille forsyning omfattes af nye krav om

en beredskabsplan og et kontaktpunkt.

Det følger af den foreslåede § 2,

stk. 3,

at Loven gælder uanset stk. 2, for

virksomheder; 1) der har en positiv lagringsforpligtelse efter Oliebered-

skabsloven, 2) nævnt i stk. 1, men som falder under grænserne i stk. 2, så-

fremt virksomheden beskæftiger minimum 50 ansatte eller har en årlig om-

sætning på minimum 10 mio. EUR og en årlig samlet balance på minimum

10 mio. EUR.

Det foreslåede § 2, stk. 3,

nr. 1,

er en regel der fungerer som sikkerheds-

ventil ift. de nedre grænser foreslåede i stk. 2. Således er det med den fore-

slåede stk. 3, nr. 1, sikret at virksomheder med positiv lagringsforpligti-

gelse efter Olieberedskabsloven altid er omfattet den foreslåede lov også

selvom de ikke selv ejer lagret eller terminalen som beredskabsolien befin-

der sig i eller hvis de har en kapacitet på mindre end 100.000 m

. Det er

essentielt at de virksomheder med positiv lagringsforpligtigelse efter olie-

beredskabsloven er omfattet denne lov, idet tilgængeligheden af bered-

skabslagrene disse virksomheder holder, er et grundlæggende krav for at

kunne have et velfungerende og brugbart olielagerberedskab.

Den foreslåede § 2, stk. 3,

nr. 2,

er for sikre at der uagtet de nedre grænser

i stk. 2, forsat kan ske EU konform implementering af NIS 2 direktivet.

NIS 2-direktivets art. 2, stk. 1 forskriver således at direktivet skal finde an-

vendelse offentlige eller private enheder af den type, der er omhandlet i bi-

lag I eller II, som udgør mellemstore virksomheder i henhold til artikel 2 i

bilaget til henstilling 2003/361/EF, eller overskrider tærsklerne for mel-

lemstore virksomheder fastsat i nævnte artikels stk. 1, og som leverer deres

tjenester eller udfører deres aktiviteter inden for Unionen.

Side 117/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det følger af det foreslåede

§ 2, stk. 4,

at kapitel 5 om sikkerhedsgodken-

delser og baggrundkontrol samt § 18 om gebyrbetaling for anmodning om

sikkerhedsgodkendelse og baggrundskontrol finder anvendelse på alle

virksomheder, organisation, fonde og erhvervsdrivende fonde, der vareta-

ger opgaver som direkte led eller i forbindelse med leveringen af de i stk.

1, nævnte tjenester.

Den foreslåede bestemmelse udvider anvendelsesområdet for, hvilke aktø-

rer der kan anmode Klima-, Energi- og Forsyningsministeriet om at få fo-

retaget undersøgelse og afgørelse om sikkerhedsgodkendelse og bag-

grundskontrol af deres ansatte. Således vil organisationer, fonde og er-

hvervsdrivende fonde samt flere virksomheder end de i § 2, stk. 1-3

nævnte kunne anmode herom, såfremt den pågældende ansatte varetager

opgaver som et direkte led eller i forbindelse med leveringen af de tjene-

ster, der er nævnt i § 2, stk. 1. Endvidere indebærer bestemmelsen, at virk-

somheder, organisationer, fonde og erhvervsdrivende er omfattet af kravet

om at skulle betale for deres ansøgninger om baggrundskontrol og sikker-

hedsgodkendelse hos Klima-, Energi- og Forsyningsministeriet på vegne

af virksomheden, organisationen, fonden eller den erhvervsdrivende fond.

Den foreslåede bestemmelse tager hensyn til, at energisektoren omfatter

mange aktører, der ikke nødvendigvis har en direkte forbindelse til leverin-

gen af tjenesterne nævnt i § 2, stk. 1, men som leverer andre tjenester, ser-

vices eller indsigt, der bidrager til at skabe en mere robust og sikker ener-

gisektor. Flere fora, der diskuterer resiliens og sikkerhed i energisektoren,

anvender sikkerhedsgodkendelser som et krav for at kunne deltage. Det vil

eksempelvis være fora, hvor emner omhandlende kritisk infrastruktur og

kortlægning heraf drøftes. Derfor foreslås det, at der sikres en hjemmel til

at sikkerhedsgodkende af disse aktører. Endvidere vil eksempelvis virk-

somheder, som indsamler data om cybertrusler og -angreb om energisekto-

ren, ikke være omfattet af lovens almene anvendelsesområde, men vil være

omfattet af det udvidede anvendelsesområde for sikkerhedsgodkendelser

og baggrundskontrol i lovens kapitel 5.

Der henvises i øvrigt til afsnit 3.4 om sikkerhedsgodkendelser og bag-

grundskontrol i lovforslagets almindelige bemærkninger.

Det følger af den foreslåede § 2,

stk. 5,

at loven gælder på land- og søterri-

toriet, den eksklusive økonomiske zone samt kontinentalsokkelen.

Side 118/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Den foreslåede bestemmelse er en forsættelse af de paragraffer der findes i

en række af de forsyningslove som beredskabet tidligere har været foran-

kret i og cementerer at loven og regler udstedt i medfør af loven gælder på

land- og søterritoriet, den eksklusive økonomiske zone samt kontinental-

sokkelen.

Til § 3 [Kapitel 1]

Den foreslåede bestemmelse i § 3 indeholder definitioner af lovens cen-

trale begreber.

Definitionerne bygger på de relevante tilsvarende definitioner i artikel 6 i

NIS 2-direktivet. Definitionerne bygger endvidere også på de relevante til-

svarende definitioner i artikel 2 i CER-direktivet. Endvidere gengives defi-

nitionerne fra de to direktivers bilag I fsva. energisektorens enhedskatego-

rier, og såfremt der her er henvist til artikler i andre direktiver og forord-

ninger er disse medtaget i indeværende lovforslags definitioner for at

hjælpe regelanvenderne, således at der ikke er behov for at slå op i to eller

flere EU-retsakter for at forstå definitionen.

Definitionerne i den foreslåede § 3 svarer således indholdsmæssigt til de

relevante dele af NIS 2-direktivets artikel 6 og CER-direktivets artikel 2,

og skal i udgangspunktet forstås og anvendes i overensstemmelse med di-

rektivernes forudsætninger. Der er dog enkelte tilfælde, hvor definitioner

er blevet lagt sammen eller udvidet, idet indeværende lovforslag imple-

menterer både NIS 2- og CER-direktivet, og begge direktiver taler om til-

nærmelsesvis samme begreber flere steder. Således er en »hændelse« efter

denne lov både en hændelse som defineret i NIS 2- og CER-direktivet,

mens en »cyberhændelse« er en cyberhændelse som defineret i NIS 2-di-

rektivet. Det vil fremgå for hver definition nedenfor.

Det foreslås i § 3, stk. 1,

nr. 1,

at »aggregering« defineres som funktion, der

varetages af en fysisk eller juridisk person, der samler flere kunders forbrug

eller producerede elektricitet til salg, køb eller auktion på et elektricitets-

marked. Aggregering er ikke levering af elektricitet.

Det foreslås i § 3, stk. 1,

nr. 2,

at »centrale lagerenheder « defineres som et

organ eller tjeneste, som er tildelet beføjelser til at handle med henblik på at

erhverve, holde eller sælge olielagre, herunder beredskabslager og speci-

fikke lagre.

Side 119/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det foreslås i § 3, stk. 1,

nr. 3,

at »cyberhændelse« defineres som en begi-

venhed, der bringer tilgængeligheden, autenticiteten, integriteten eller for-

troligheden af lagrede, overførte eller behandlede data eller af de tjenester,

der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare.

Den foreslåede bestemmelse svarer til definitionen i NIS 2-direktivets arti-

kel 6, nr. 6. Det forudsættes, at bestemmelsen fortolkes i overensstemmelse

med NIS 2-direktivets definition.

Det foreslås i § 3, stk. 1,

nr. 4,

at »cybersikkerhed« defineres som de aktivi-

teter, der er nødvendige for at beskytte net- og informationssystemer, bru-

gerne af sådanne systemer og andre personer berørt af cybertrusler.

Efter NIS 2-direktivets artikel 6, nr. 3, skal cybersikkerhed forstås på

samme måde som definitionen i artikel 2, nr. 1, i Europa-Parlamentets og

Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Euro-

pæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertifice-

ring af informations- og kommunikationsteknologi og om ophævelse af

forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).

Den foreslåede bestemmelse svarer til definitionen i den nævnte forordning.

Det forudsættes, at bestemmelsen fortolkes i overensstemmelse med denne

definition.

Det foreslås i § 3, stk. 1,

nr. 5,

at »cybertrussel« defineres som enhver po-

tentiel omstændighed, begivenhed eller handling, som kan skade, forstyrre

eller på anden måde have en negativ indvirkning på net- og informationssy-

stemer, brugerne af sådanne systemer og andre personer.

Efter NIS 2-direktivets artikel 6, nr. 10, skal cybertrussel forstås på samme

måde som definitionen i artikel 2, nr. 8, i Europa-Parlamentets og Rådets

forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske

Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af

informations- og kommunikationsteknologi og om ophævelse af forord-

ning (EU) nr. 526/2013 (forordningen om cybersikkerhed).

Den foreslåede bestemmelse svarer til definitionen i den nævnte forord-

ning. Det forudsættes, at bestemmelsen fortolkes i overensstemmelse med

denne definition.

Det foreslås i § 3, stk. 1,

nr. 6,

at »distributionssystemoperatører« defineres

som en fysisk eller juridisk person, der er ansvarlig for driften, vedligehol-

delsen og om nødvendigt udbygningen af distributionssystemet i et givet

Side 120/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

område samt i givet fald dets sammenkoblinger med andre systemer og for at

sikre, at systemet på lang sigt kan tilfredsstille en rimelig efterspørgsel efter

distribution af elektricitet eller gas.

Det foreslås i § 3, stk. 1,

nr. 7,

at » elektricitetsvirksomheder« defineres som

en fysisk eller juridisk person, der driver mindst en af følgende former for

virksomhed: produktion, transmission, distribution, aggregering, fleksibelt

elforbrug, energilag-ring, levering eller køb af elektricitet, og som er ansvar-

lig for de kommercielle, tekniske eller vedligeholdelsesmæssige opgaver i

forbindelse med disse aktiviteter, men som ikke er slutkunde der varetager

salg, herunder videresalg, af elektricitet til kunder.

Det foreslås i § 3, stk. 1,

nr. 8,

at »elproducenter« defineres som en fysisk

eller juridisk person, der fremstiller elektricitet.

Det foreslås i § 3, stk. 1,

nr. 9,

at »energilagring« defineres som i elektrici-

tetssystemet, udsættelse af den endelige anvendelse af elektricitet til et se-

nere tidspunkt end det, hvor den blev produceret, eller konvertering af elek-

trisk energi til en energiform, der kan lagres, lagringen af sådan energi og den

efterfølgende rekonvertering af sådan energi til elektrisk energi eller

anvendelse som anden energibærer.

Det foreslås i § 3, stk. 1,

nr. 10,

at »fleksibelt elforbrug« defineres som æn-

dringer i en slutkundes elforbrug i forhold til det normale eller aktuelle for-

brugsmønster som reaktion på markedssignaler, herunder som reaktion på

tidspunktafhængige elpriser eller finansielle incitamenter, eller som reaktion

på accept af slutkundens bud om at sælge en forbrugsreduktion eller -for-

øgelse til en bestemt pris på et organiseret marked, hvad enten dette sker

alene eller gennem aggregering.

Det foreslås i § 3, stk. 1,

nr. 11,

at »gasforsyningsvirksomheder« defineres

som Enhver fysisk eller juridisk person, der varetager forsyningsopgaven.

Det foreslås i § 3, stk. 1,

nr. 12,

at »hændelse« defineres som en begivenhed,

herunder en cyberhændelse, der har potentiale til i betydelig grad at for-

styrre, eller som forstyrrer, leveringen af en væsentlig tjeneste, herunder når

den påvirker de nationale systemer, der sikrer retsstatsprincippet, samt cy-

berhændelser.

Bestemmelsen bygger på CER-direktivets artikel 2, nr. 3, hvorefter der ved

»hændelse« forstås en begivenhed, der har potentiale til i betydelig grad at

forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste, herunder

Side 121/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

når den påvirker de nationale systemer, der sikrer retsstatsprincippet. Dog er

der tilføjet ”herunder en cyberhændelse”, medhenblik på at gøre det klart at

hændelsesbegrebet i denne lov omfatter alle hændelser.

Det foreslås i § 3, stk. 1,

nr. 13,

at »håndtering af hændelser« defineres som

enhver handling og procedure, der tager sigte på at forebygge, opdage, ana-

lysere og inddæmme eller at reagere på og reetablere sig efter en hændelse.

Den foreslåede bestemmelse svarer til definitionen i NIS 2-direktivets arti-

kel 6, nr. 8. Det forudsættes, at bestemmelsen fortolkes i overensstemmelse

med NIS 2-direktivets definition. Men i modsætning til NIS 2-direktivets

artikel vil den blive anvendt og skal forstås i kontekst både af den fysiske og

den logiske verden.

Det foreslås i § 3, stk. 1,

nr. 14, at

»IKT-proces« defineres som aktiviteter,

der udføres for at udforme, udvikle, levere eller vedligeholde et IKT-pro-

dukt eller en IKT-tjeneste.

Efter NIS 2-direktivets artikel 6, nr. 14, skal IKT-proces forstås på samme

måde som definitionen i artikel 2, nr. 14, i Europa-Parlamentets og Rådets

forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske

Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af

informations- og kommunikationsteknologi og om ophævelse af forord-

ning (EU) nr. 526/2013 (forordningen om cybersikkerhed).

Den foreslåede bestemmelse svarer til definitionen i den nævnte forord-

ning. Det forudsættes, at bestemmelsen fortolkes i overensstemmelse med

denne definition.

Det foreslås i § 3, stk. 1,

nr. 15,

at »IKT-produkt«: Et element eller en

gruppe af elementer i net- og informationssystemer.

Efter NIS 2-direktivets artikel 6, nr. 12, skal IKT-produkt forstås på

samme måde som definitionen i artikel 2, nr. 12, i Europa-Parlamentets og

Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Euro-

pæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertifice-

ring af informations- og kommunikationsteknologi og om ophævelse af

forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).

Den foreslåede bestemmelse svarer til definitionen i den nævnte forord-

ning. Det forudsættes, at bestemmelsen fortolkes i overensstemmelse med

denne definition.

Side 122/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det foreslås i § 3, stk. 1,

nr. 16,

at »IKT-tjeneste«: En tjeneste, der helt eller

hovedsageligt består af overførsel, lagring, indhentning eller behandling af

oplysninger ved hjælp af net- og informationssystemer.

Efter NIS 2-direktivets artikel 6, nr. 13, skal IKT-tjeneste forstås på

samme måde som definitionen i artikel 2, nr. 13, i Europa-Parlamentets og

Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Euro-

pæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertifice-

ring af informations- og kommunikationsteknologi og om ophævelse af

forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).

Den foreslåede bestemmelse svarer til definitionen i den nævnte forord-

ning. Det forudsættes, at bestemmelsen fortolkes i overensstemmelse med

denne definition.

Det foreslås i § 3, stk. 1,

nr. 17,

at »lagersystemoperatører« defineres som

enhver fysisk eller juridisk person, der foretager oplagring af gas og er an-

svarlig for driften af en gaslagerfacilitet.

Det foreslås i § 3, stk. 1,

nr. 18,

at »LNG-systemoperatører« defineres som

enhver fysisk eller juridisk person, der foretager flydendegørelse af naturgas

eller import, losning og forgasning af LNG og er ansvarlig for driften af en

LNG-facilitet.

Det foreslås i § 3, stk. 1,

nr. 19,

at »markedsdeltagere der leverer tjenester,

der vedrører aggregering, fleksibelt elforbrug eller energilagring« define-

res som en fysisk eller juridisk person, der køber, sælger eller producerer

elektricitet, der udfører aggregering, eller der er en operatør af tjenester

vedrørende fleksibelt elforbrug eller energilagringstjenester, herunder ved

afgivelse af handelsordrer, på et eller flere elektricitetsmarkeder, herunder

på balanceringsenergimarkeder.

Det foreslås i § 3, stk. 1,

nr. 20,

at »modstandsdygtighed« defineres som en

enhed evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, ab-

sorbere, tilpasse sig og komme på fode igen efter en hændelse.

Bestemmelsen bygger på CER-direktivets artikel 2, nr. 2, hvorefter der ved

»modstandsdygtighed« forstås en kritisk enheds evne til at forebygge, be-

skytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og komme på

fode igen efter en hændelse.

Det foreslås i § 3, stk. 1,

nr. 21,

at »naturgasvirksomheder« defineres som

enhver fysisk eller juridisk person, der driver mindst en af følgende former

Side 123/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

for virksomhed: produktion, transmission, distribution, forsyning, køb eller

oplagring af naturgas, herunder LNG, og som er ansvarlig for de kommer-

cielle, tekniske og/eller vedligeholdelsesmæssige opgaver i forbindelse med

disse aktiviteter, men som ikke er endelig kunde.

Det foreslås i § 3, stk. 1,

nr. 22,

at »net- og informationssystem « defineres

som; a) et elektronisk kommunikationsnet, hvorved forstås transmissions-

syste-mer, uanset om de bygger på en permanent infrastruktur eller centra-

liseret administrationskapacitet, og, hvor det er relevant, koblings- og diri-

gerings-udstyr og andre ressourcer, herunder netelementer, der ikke er ak-

tive, som gør det muligt at overføre signaler ved hjælp af trådforbindelse,

radiobøl-ger, lyslederteknik eller andre elektromagnetiske midler, herunder

satellit-net, jordbaserede fastnet (kredsløbs og pakkekoblede, herunder i in-

ternet-tet) og mobilnet, elkabelsystemer, i det omfang de anvendes til trans-

missi-on af signaler, net, som anvendes til radio- og tv-spredning, samt ka-

bel-tv-net, uanset hvilken type information der overføres, b) enhver anord-

ning eller gruppe af forbundne eller beslægtede anordninger, hvoraf en eller

flere ved hjælp af et program udfører automatisk behandling af digitale data,

og c) digitale data som lagres, behandles, fremfindes eller overføres af ele-

menter i litra a og b med henblik på deres drift, brug, beskyttelse og vedli-

geholdelse.

Den foreslåede bestemmelse svarer til definitionen i NIS 2-direktivets arti-

kel 6, nr. 1. Det forudsættes, at bestemmelsen fortolkes i overensstemmelse

NIS 2-direktivets definition.

Det foreslås i § 3, stk. 1,

nr. 23,

at »nærvedhændelse« defineres som en

begivenhed, der kunne have bragt tilgængeligheden, autenticiteten, integri-

teten eller fortroligheden af lagrede, overførte eller behandlede data eller af

de tjenester, der tilbydes af eller er tilgængelige via net- og informationssy-

stemer, i fare, men som det lykkedes at forhindre, eller som ikke materiali-

serede sig.

Den foreslåede bestemmelse svarer til definitionen i NIS 2-direktivets arti-

kel 6, nr. 5. Det forudsættes, at bestemmelsen fortolkes i overensstemmelse

NIS 2-direktivets definition.

Det foreslås i § 3, stk. 1,

nr. 24,

at »operatører af fjernvarme eller fjernkø-

ling« defineres som operatører af distribution af termisk energi i form af

Side 124/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

damp, varmt vand eller afkølede væsker fra centrale eller decentrale pro-

duktionssteder gennem et net til flere bygninger eller anlæg til anvendelse

ved rum- eller procesopvarmning eller –køling.

Det foreslås i § 3, stk. 1,

nr. 25,

at »organiseret marked« defineres som; a) Et

multilateralt system, der samler eller faciliterer samlingen af flere tredje-

parters købs- og salgsinteresser i engrosenergiprodukter på en måde, der fø-

rer til indgåelse af en kontrakt, b) Ethvert andet system eller enhver anden

facilitet, hvor flere købs- og salgsinteresser i engrosenergiprodukter tilhø-

rende tredjeparter kan interagere på en måde, der fører til indgåelse af en

kontrakt. Dette omfatter elektricitets- og gasbørser, mæglere og andre per-

soner, der erhvervsmæssigt arrangerer transaktioner, og markedspladser,

herunder ethvert reguleret marked, en MHF eller en OHF.

Det foreslås i § 3, stk. 1,

nr. 26,

at »risiko« defineres som potentialet for tab

eller forstyrrelse som følge af en hændelse, udtrykt som en kombination af

størrelsen af et sådant tab eller en sådan forstyrrelse og sandsynligheden for, at

hændelsen indtræffer.

Den foreslåede bestemmelse svarer til definitionen i NIS 2-direktivets arti-

kel 6, nr. 9 og CER-direktivets artikel 2, nr. 6. Det forudsættes, at bestem-

melsen fortolkes i overensstemmelse med NIS 2-direktivets definition.

Det foreslås i § 3, stk. 1,

nr. 27,

at »risikovurdering« defineres som den

samlede proces med henblik på at bestemme arten og omfanget af en risiko

ved at identificere og analysere potentielle relevante trusler, sårbarheder og

farer, der kunne føre til en hændelse, og ved at evaluere det potentielle tab

eller den potentielle forstyrrelse af leveringen af en væsentlig tjeneste forår-

saget af denne hændelse.

Den foreslåede bestemmelse svarer til definitionen i CER-direktivets artikel 2,

nr. 7. Det forudsættes, at bestemmelsen fortolkes i overensstemmelse med

CER-direktivets definition.

Det foreslås i § 3, stk. 1,

nr. 28,

at »transmissionssystemoperatører « defi-

neres som en fysisk eller juridisk person, der er ansvarlig for driften, vedli-

geholdelsen og om nødvendigt udbygningen af transmissionssystemet i et

givet område samt i givet fald dets sammenkoblinger med andre systemer og

for at sikre, at systemet på lang sigt kan tilfredsstille en rimelig efter-

spørgsel efter transmission af elektricitet eller gas.

Side 125/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det foreslås i § 3, stk. 1,

nr. 29,

at »udpegede elektricitetsmarkedsoperatø-

rer« defineres som en markedsoperatør, der af den kompetente myndighed er

blevet udpeget til at udføre opgaver i forbindelse med den fælles day-

ahead- eller intraday-kobling.

Det foreslås i § 3, stk. 1,

nr. 30,

at »væsentlig cybertrussel« defineres som

en cybertrussel, som på grundlag af sine tekniske karakteristika kan anta-

ges at have potentiale til at få alvorlig indvirkning på en enheds net- og in-

formationssystemer eller på brugerne af enhedens tjenester ved at forår-

sage betydelig materiel eller immateriel skade.

Den foreslåede bestemmelse svarer til definitionen i NIS 2-direktivets arti-

kel 6, nr. 11. Det forudsættes, at bestemmelsen fortolkes i overensstem-

melse med NIS 2-direktivets definition.

Det foreslås i § 3, stk. 1, nr. 31, at »væsentlig tjeneste« defineres som en

tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige

funktioner, økonomiske aktiviteter, folkesundhed og offentlig sikkerhed

eller miljøet

Den foreslåede bestemmelse svarer til definitionen i CER-direktivets arti-

kel 2, nr. 5. Det forudsættes, at bestemmelsen fortolkes i overensstem-

melse med CER-direktivets definition.

Det bemærkes, at Kommissionens delegerede forordning (EU) 2023/2450 af

25. juli 2023, til supplering af Europa-Parlamentets og Rådets direktiv (EU)

2022/2557 ved opstilling af en liste over væsentlige tjenester, opstiller en ikke

udtømmende lister over væsentlige tjenester i artikel 2.

Til § 4 [Kapitel 2]

Rådets direktiv (EU) 2008/114 af 8. december 2008 om indkredsning og

udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at

beskytte den bedre (EPCIP-direktivet) finder anvendelse for energi- og

transportsektorerne.

I energisektoren er EPCIP-direktivet implementeret ved bekendtgørelse

om identifikation og udpegning af europæisk kritisk infrastruktur på ener-

giområdet og vurdering af behovet for bedre beskyttelse. Efter § 3, stk. 1,

foretager Energistyrelsen identifikation af europæisk kritisk infrastruktur.

Metoden for udpegelse fremgår af bekendtgørelsens § 4, stk. 1.

Ifølge bekendtgørelse om beredskab om elsektoren § 11, stk. 1 og bekendt-

gørelse om beredskab for gassektorens § 11, stk. 1, skal Energistyrelsen

Side 126/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

foretage en klassificering af anlæg i el og gassektoren. Det følger af be-

kendtgørelse om it-beredskab for el- og naturgassektoren, at Energistyrel-

sen skal foretage kategorisering af virksomheder.

Ifølge bekendtgørelse om beredskab i elsektoren § 11, stk. 1 og bekendtgø-

relse i beredskab for gassektorens § 11, stk. 1, skal Energistyrelsen fore-

tage en klassificering af anlæg i el og gassektoren. Kategorisering og klas-

sificering afhænger af anlæggets eller virksomhedens betydning for energi-

forsyningen og er afgørende for, hvilke beredskabskrav der stilles til virk-

somhederne.

For oliesektoren er der ikke indført en kategorisering af virksomheder,

som fastsætter, hvilke beredskabskrav de skal overholde.

Det følger af den foreslåede § 4,

stk. 1,

at klima-, energi- og forsyningsmi-

nisteren identificerer kritiske virksomheder samt kritiske systemer og an-

læg i energisektoren, der anvendes til at levere virksomhedens tjenester.

Den foreslåede bestemmelse gennemfører artikel 6, stk. 1, i CER-direkti-

vet, hvoraf det fremgår, at hver medlemsstat senest den 17. juli 2026 skal

have identificeret de kritiske enheder for de sektorer og delsektorer, der er

anført i bilaget til CER-direktivet. Med bestemmelsen har klima-, energi-

og forsyningsministeren hjemmel til at foretage identificeringen.

Om baggrunden for artikel 6, stk. 1, beskrives det i CER-direktivets præ-

ambelbetragtning nr. 8, at medlemsstaterne, for at opnå en høj grad af

modstandsdygtighed, bør identificere kritiske enheder, som vil være under-

lagt specifikke krav og specifikke tilsyn, og som vil ydes særlig støtte og

vejledning over for alle relevante risici. Den særlige støtte og vejledning

vil eksempelvis komme til udtryk i nationale strategier eller risiko- og sår-

barhedsscenarier.

Bestemmelsen vil desuden gennemføre NIS 2-direktivets artikel 3, stk. 3,

hvoraf det fremgår, at medlemsstater senest den 17. april 2025 udarbejder

medlemsstaterne en liste over væsentlige og vigtige enheder samt enheder,

der leverer domænenavnsregistreringstjenester. Medlemsstaterne reviderer

og, hvor det er relevant, ajourfører derefter listen med jævne mellemrum,

mindst hvert andet år.

Den foreslåede bestemmelse skal ses i sammenhæng med den foreslåede §

35, stk. 2, om indmeldingspligt for virksomheder, som skal sikre informa-

tionsgrundlaget for at foretage identifikation af virksomheder.

Side 127/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Identificering vil være en afgørelse i forvaltningsretlig forstand. Afgørel-

sen vil derfor skulle overholde de almindelige forvaltningsretlige regler og

principper. Det medfører også, at en virksomhed vil kunne påklage en af-

gørelse om kategorisering til en højere administrativ myndighed efter de

almindelige forvaltningsretlige principper om administrativ rekurs.

Efter den foreslåede § 4,

stk. 2,

fastsætter klima-, energi- og forsyningsmi-

nisteren nærmere regler om identifikation og kategorisering af virksomhe-

der og af virksomheders systemer og anlæg som anvendes til levering af

virksomhedens tjenester.

Det følger af den foreslåede bestemmelse, at klima-, energi- og forsynings-

ministeren kan fastsætte nærmere regler om kategorisering i energisekto-

ren. Det forudsættes med bestemmelsen, at der med kategoriseringen der-

igennem sker en identifikation af virksomheder samt kritiske systemer og

anlæg som opfylder kravene for kritiske enheder efter CER-direktivets ar-

tikel 6, stk. 2.

Kategoriseringen forventes at blive udformet, således at virksomheder ind-

deles i niveauer på baggrund af kritikalitet. Virksomheder, som er mindst

kritiske, indplaceres på niveau 1. Kategoriseringen af net- og informations-

systemer og anlæg, vil ske ved at inddele disse i forskellige klasser. Ved

klassificeringen vil de mindst kritiske net- og informationssystemer og an-

læg indplaceres i klasse 1.

Efter den foreslåede bestemmelse, kan klima-, energi- og forsyningsmini-

steren fastsætte regler om identificering og kategorisering af ikke kritiske

virksomheder og af virksomheder systemer og anlæg som anvendes til

virksomhedens tjenester.

Det forventes, at der vil ske kategorisering af net- og informationssystemer

og anlæg, som falder uden for anvendelsesområdet af NIS 2- og CER-di-

rektivet. Dette vil være virksomheder i de laveste niveauer og net- og in-

formationssystemer i de laveste klasser. Dette sikrer, at der kan fastsættes

regler om, at visse virksomheder skal efterleve simplere beredskabs krav,

end hvad der fremgår af direktiverne.

Det bemærkes, at virksomheder som placeres i de lave kategorier ikke vil

skulle indmeldes til kommissionen efter NIS 2-direktiets artikel 3, stk. 4

og CER-direktivets artikel 6, stk. 3.

Side 128/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Virksomheder, der er omfattet af loven, anses som kritiske enheder efter

CER-direktivets artikel 6, stk. 2 og væsentlige og vigtige enheder efter

NIS 2-direktivets artikel 3, stk. 3. Dog ikke virksomheder i de lave kate-

gorier.

Det forudsættes, at de nærmere regler om identificering og kategorisering

inddrager følgende hensyn; 1) den nationale strategi for styrkelse af mod-

standsdygtighed, 2) den nationale risikovurdering med henblik på katego-

risering, 3) om enheden leverer en eller flere væsentlige tjenester, 4) om

enheden opererer og har sin kritiske infrastruktur beliggende på dansk ter-

ritorium og 5) om en hændelse vil have virkning på forsyningssikkerheden

eller på leveringen af andre væsentlige tjenester i sektorer i bilag 1 af Eu-

ropa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december

2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rå-

dets direktiv 2008/114/EF (CER-direktivet), som er afhængige af denne el-

ler disse væsentlige tjenester.

De ovenfor anførte hensyn fremgår af CER-direktivets artikel 6, stk. 2,

hvoraf det fremgår, at når en medlemsstat identificerer kritiske enheder, ta-

ger den hensyn til resultaterne af dens medlemsstatsrisikovurdering og

dens strategi, og anvender alle følgende kriterier; a) enheden leverer en el-

ler flere væsentlige tjenester, b) enheden opererer og dens kritiske infra-

struktur er beliggende på denne medlemsstats område, og c) en hændelse

vil have betydelige forstyrrende virkninger som fastslået i overensstem-

melse med CER-direktivets artikel 7, stk. 1, (om betydelige forstyrrende

virkninger) på enhedens levering af en eller flere væsentlige tjenester eller

på leveringen af andre væsentlige tjenester i sektorerne anført i direktivets

bilag, som er afhængige af denne eller disse væsentlige tjenester.

Bestemmelsen vil således gennemføre CER-direktivets artikel 6, stk. 2.

Det bemærkes i den forbindelse, at den danske sprogversions gengivelse af

direktivets kriterier for identificering af kritiske enheder omtaler, hvorvidt

»enheden opererer og dens kritiske infrastruktur er beliggende på denne

medlemsstats område«. Den engelske sprogversion anvender derimod »ter-

ritory«. Det samme gør sig gældende i direktivets præambelbetragtning nr.

16, hvorefter en enhed vil skulle anses for at operere på en medlemsstats

område – i den engelske sprogversion »the territory« – hvor den udfører de

aktiviteter, der er nødvendige for den eller de pågældende væsentlige tje-

nester, og hvor enhedens kritiske infrastruktur, som anvendes til at levere

den eller de pågældende tjenester, er beliggende. Hvis der ikke er nogen

Side 129/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

enhed, der opfylder disse kriterier i en medlemsstat, bør den pågældende

medlemsstat ikke være forpligtet til at identificere en kritisk enhed i den

tilsvarende sektor eller delsektor.

Energisektoren anvender i stort omfang det vindenergipotentiale som er i

den eksklusive økonomiske zone ved opstilling af vindmøller. Disse vind-

møller placeres således uden for dansk territorie. Desuden udnyttes der

gas- og oliefelter som er placeret uden for dansk territorie. Energisektoren

har derved flere former for virksomheder med tilhørende infrastruktur som

er placeret inden for dansk område, men uden for dansk territorie.

Henset til, at der vurderes at være en indholdsmæssig forskel på »område«

og »territory« og de særlige forhold der gør sig gældende for infrastruktur i

energisektoren, foreslår klima-, energi og forsyningsministeriet, at nærvæ-

rende lovforslag lægger sig op ad den danske sprogversion. Det indebærer,

at der ved identificering af kritiske enheder bl.a. vil skulle lægges vægt på,

om virksomheden opererer i og har sin kritiske infrastruktur beliggende

»på dansk område«, hvor område også vurderes at omfatte den danske eks-

klusive økonomiske zone.

De nærmere regler om identificering kategorisering skal desuden tage hen-

syn til følgende kriterier; 1) antal brugere, der er afhængige af den væsent-

lige tjeneste, som udbydes af den berørte virksomhed, 2) omfanget af an-

dre i bilaget anførte sektorers og delsektorers afhængighed af den pågæl-

dende væsentlige tjeneste, 3) den indvirkning som hændelser kunne have

med hensyn til omfang og varighed på økonomiske og samfundsmæssige

aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens sundhed,

4) virksomhedens markedsandel på markedet for den berørte væsentlige

tjeneste eller de berørte væsentlige tjenester, 5) det geografiske område,

der kunne blive berørt af en hændelse, herunder eventuel grænseoverskri-

dende indvirkning, under hensyntagen til den sårbarhed, som er forbundet

med den grad af afsondrethed, der kendetegner visse typer af geografiske

områder, såsom ø-regioner, afsidesliggende regioner eller bjergområder,

og 6) virksomhedens betydning med hensyn til at opretholde et tilstrække-

ligt niveau for den væsentlige tjeneste under hensyntagen til tilgængelig-

hed af alternative måder at levere denne væsentlige tjeneste på. Den fore-

slåede bestemmelse gennemfører således CER-direktivets artikel 7, stk. 1,

som opstiller samme kriterier.

Baggrunden for artikel 7, stk. 1, beskrives i CER-direktivets præambelbe-

tragtning nr. 18, hvoraf det bl.a. fremgår, at der bør fastlægges kriterier for

Side 130/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

bestemmelse af betydningen af en forstyrrende virkning som følge af en

hændelse, og at disse kriterier bør være baseret på kriterierne i Europa-Par-

lamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstalt-

ninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informati-

onssystemer i hele Unionen (NIS 1-direktivet). Det fremgår videre, at

større kriser, såsom covid-19-pandemien, har vist, hvor vigtigt det er at

sørge for forsyningskædesikkerhed, og hvordan forstyrrelse heraf kan have

negativ økonomisk og samfundsmæssig indvirkning inden for en lang

række sektorer og på tværs af grænserne. Medlemsstaterne bør derfor også

i det omfang, det er muligt, overveje virkningerne på forsyningskæden, når

de fastslår i hvilket omfang andre sektorer og delsektorer afhænger af de

væsentlige tjenester, der udbydes af en kritisk enhed.

Bestemmelsen vil kunne anvendes til at fastsætte nærmere de nærmere kri-

terier for identificering af kritiske virksomheder, systemer og anlæg. De

nærmere regler for identificering kan ændres over tid i forbindelse med

den dynamiske udvikling af energisystemers opbygning og den gensidige

afhængighed, der er mellem forskellige energiformer.

Det forventes, at kategoriseringen af virksomheder sker ved at inddele

virksomhederne i niveauer. Med niveauinddeling kan der fastsættes diffe-

rentierede krav om foranstaltninger og tilsyn, som tager hensyn til virk-

somhedernes kritikalitet for forsyningen. Det forventes, at virksomhederne

vil blive inddelt i fem niveauer. De mindst kritiske virksomheder vil være

niveau 1, mens de mest kritiske vil være niveau 5. Reglerne forventes ud-

formet, således at antallet af niveauer kan udvides, i det omfang udviklin-

gen af energisektoren kræver det.

Det forventes, at niveauinddelingen af virksomheder vil tage udgangs-

punkt i, hvilken delsektor virksomheden operer inden for, og den tjeneste,

som virksomheden leverer. Hvis en virksomhed leverer tjenester i flere

delsektorer, f.eks. hvis den leverer både el og varme, vil virksomheden kun

blive inddelt på ét niveau. Det forventes, at virksomheden vil blive inddelt

i niveauet for den forsyningsart, hvor tjenesten vil være mest kritisk.

Det forventes også, at virksomhedens samlede betydning for forsynings-

sikkerheden vil have betydning for, hvilket niveau virksomheden vil blive

inddelt på. Ligeledes vil det have en betydning, om virksomheden leverer

en tjeneste, som påvirker eller kan påvirke andre kritiske sektorer.

Side 131/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Virksomhedernes niveauinddeling vil blive foretaget ud fra en konkret

vurdering med udgangspunkt i den samlede energimængde, virksomheden

kontrollerer, virksomhedens betydning for energiforsyningen, om virksom-

heden leverer tjenester til andre kritiske sektorer eller varetager samfunds-

kritiske opgaver.

Det forventes, at kategoriseringen af anlæg og systemer sker ved at inddele

disse i klasser. Det forventes, at der ved klassificeringen vil blive taget ud-

gangspunkt i den tjeneste, som anlægget eller systemer vedrører, mængden af

energi, som de er med til at understøtte, og deres betydning for forsy-

ningssikkerheden.

Det bemærkes at niveau inddeling og klassificering vurderes at være om-

fattet af begrebet kategorisering.

Klima-, energi- og forsyningsministeren kan fastsætte nærmere regler for,

frekvensen af identificering og kategorisering.

Den foreslåede bestemmelse, vil dermed gennemføre CER-direktivets arti-

kel 6, stk. 5, 1. pkt., hvoraf det fremgår, at medlemsstaterne gennemgår,

hvor det er nødvendigt og under alle omstændigheder mindst hvert fjerde

år, listen over identificerede kritiske enheder.

Det bemærkes, at identificering og kategorisering, foretaget på baggrund

af regler udstedt i medfør af bestemmelsen, vil være en afgørelse i forvalt-

ningsretlig forstand. Afgørelsen vil derfor skulle overholde de almindelige

forvaltningsretlige regler og principper. Det medfører også, at en virksom-

hed vil kunne påklage en afgørelse om kategorisering til en højere admini-

strativ myndighed efter de almindelige forvaltningsretlige principper om

administrativ rekurs.

Der henvises i øvrigt til afsnit 3.1 i lovforslagets almindelige bemærknin-

ger.

Til § 5 [Kapitel 2]

EPCIP-direktivet fastsætter en procedure og nærmere kriterier for ind-

kredsning af potentiel europæisk kritisk infrastruktur og eventuel efterføl-

gende udpegning af den europæiske kritiske infrastruktur som sådan.

Det følger af artikel 3, stk. 1, i EPCIP-direktivet, at hver medlemsstat ind-

kredser den potentielle europæiske kritiske infrastruktur, som opfylder

Side 132/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

nærmere fastsatte tværgående og sektorbaserede kriterier og er i overens-

stemmelse med definitionerne for »kritisk infrastruktur« og »europæisk

kritisk infrastruktur« i EPCIP-direktivets artikel 2, litra a og b. I direktivets

bilag III er fastsat en nærmere procedure for medlemsstaternes indkreds-

ning af europæisk kritisk infrastruktur.

Det følger af EPCIP-direktivets artikel 2, litra b, at der ved »europæisk kri-

tisk infrastruktur« forstås kritisk infrastruktur, der befinder sig i medlems-

staterne, og hvis afbrydelse eller ødelæggelse ville få betydelige konse-

kvenser for to eller flere medlemsstater.

EPCIP-direktivet fastsætter herefter en høringsmekanisme, hvorefter med-

lemsstaterne efter indkredsning af potentiel europæisk kritisk infrastruktur

underretter og indleder drøftelser med de øvrige medlemsstater, som kan

blive berørt i betydelig grad af en potentiel europæisk kritisk infrastruktur.

På baggrund af drøftelsen og nærmere aftale herom, kan den medlemsstat,

på hvis område en potentiel europæisk kritisk infrastruktur er beliggende,

derefter udpege den som europæisk kritisk infrastruktur. Medlemsstaten

skal herefter underrette ejeren/operatøren af infrastrukturen om dens ud-

pegning som europæisk kritisk infrastruktur.

Det følger af den foreslåede § 5,

stk. 1,

at virksomheder betragtes som kri-

tiske enheder af særlig europæisk betydning, når virksomheden opfylder

alle af følgende betingelser; 1) Er blevet identificeret som kritisk efter § 4,

stk. 1., 2)

Leverer de samme eller lignende væsentlige tjenester til eller i

seks eller flere medlemsstater, 3)

Er blevet underrettet om, at virksomhe-

den betragtes som en kritisk enhed af særlig europæisk betydning i over-

ensstemmelse med EU-regler.

Den foreslåede bestemmelse er med til at gennemføre artikel 17, stk. 1, i

Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december

2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rå-

dets direktiv 2008/114/EF (CER-direktivet), hvorefter en enhed betragtes

som en kritisk enhed af særlig europæisk betydning, hvor den a) er blevet

identificeret som en kritisk enhed i henhold til direktivets artikel 6, stk. 1, b)

leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere

medlemsstater, og c) er blevet underrettet i henhold til direktivets ar- tikel

17, stk. 3.

Udpegelsen som kritisk enhed af særlig europæisk betydning, kan således

alene ske, såfremt de tre betingelser som er oplistet i direktivet af opfyldt.

Side 133/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Den første betingelse om at enheden skal være identificeret som kritisk, vil

ske i overensstemmelse med lovens foreslåede § 4, hvor der ved kategori-

seringen af virksomheder og anlæg deri også vil ske en identifikation af

virksomheder som opfylder eller ejer anlæg der opfylder kriterierne for

kritiske enheder.

Det er således en forudsætning efter den foreslåede bestemmelse, at der le-

veres de samme eller lignende væsentlige tjenester til eller i seks eller flere

EU-medlemsstater.

For at fastslå om der sker levering af væsentlige tjenester i fornødent om-

fang, vil den konsultationsprocedure, som reguleres i CER-direktivets arti-

kel 17, stk. 2, og 3, skulle følges. Konsultationsproceduren indebærer

overordnet, at Europa-Kommissionen konsulterer de kritiske enheder og

de kompetente myndigheder i de medlemsstater, hvor de pågældende en-

heder har oplyst at levere væsentlige tjenester, med henblik på at under-

søge, om enheden leverer de samme eller lignende væsentlige tjenester i

eller til seks eller flere EU-medlemsstater. Europa-Kommissionen vil på

den baggrund konstatere, om den pågældende kritiske enhed er at betragte

som en kritisk enhed af væsentlig europæisk betydning. Klima-, energi-

og forsyningsministeren kan således først udpege en kritisk enhed af særlig

europæisk betydning, når Europa-kommissionen har konstateret at betin-

gelserne herfor er opfyldt.

Efter den foreslåede § 5,

stk. 2,

underretter klima-, energi- og forsynings-

ministeren virksomheder, at de betragtes som kritiske enheder af særlig eu-

ropæisk betydning i energisektoren i overensstemmelse med EU-regler.

Det følger af bestemmelsen, at klima-, energi- og forsyningsministeren un-

derretter virksomheder, at de betragtes som kritiske enheder af særlig euro-

pæisk betydning. Ministeren vil skulle foretage underretningen, når kom-

missionen giver besked om at en virksomhed betragtes som en kritisk en-

hed af særlig europæisk betydning.

Efter bestemmelsen skal underretningen ske i overensstemmelse med gæl-

dende EU-regler. Denne del af bestemmelsen, sikrer at en fremtidig æn-

dring hos Kommissionen, om hvornår en kritisk enhed betragtes som en

kritisk enhed af særlig europæisk betydning, vil være i overensstemmelse

med den foreslåede bestemmelse.

Side 134/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Efter den foreslåede § 5,

stk. 3,

fastsætter klima-, energi- og forsyningsmi-

nisteren nærmere regler til brug for udpegelsen af kritiske enheder af sær-

lig europæisk betydning.

Det forventes at der på baggrund af bestemmelsen, at der eksempelvis vil

blive fastsat nærmere regler om, at relevante virksomheder skal underrette

Klima-, Energi-, og Forsyningsministeriet, såfremt de eller anlæg de ejer

leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater. I

den forbindelse forventes, det at der fastsættes regler om, at der ved under-

retning skal ske oplysning om, hvilke væsentlige tjenester der leveres, og

til hvilke EU-medlemsstater der leveres til eller i.

På baggrund af de regler, der forventes at blive fastsat, vil det i første om-

gang være op til de virksomheder, som opfylder kravene for kritiske enhe-

der, at vurdere, om de leverer væsentlige tjenester til eller i seks eller flere

EU-medlemsstater og derfor er omfattet af underretningspligten. En væ-

sentlig tjeneste er defineret i den foreslåede § 3, stk. 1, nr. 29, som en tje-

neste, der er afgørende for opretholdelsen af vitale samfundsmæssige funk-

tioner, økonomiske aktiviteter, folkesundhed og offentlig sikkerhed eller

miljøet.

Der kan ligeledes fastsættes nærmere regler om, hvad der er en væsentlig

tjeneste inden for energisektoren da dette har betydning for udpegningen af

kritiske enheder af særlig europæisk betydning. Såfremt en virksomhed er

i tvivl om, hvorvidt de måtte levere væsentlige tjenester til eller i seks eller

flere EU-medlemsstater, vil de kunne søge rådgivning hos den relevante

kompetente myndighed.

Bestemmelsen gennemfører CER-direktivets artikel 17, stk. 2, 1. led, hvor-

efter medlemsstaterne sikrer, at en kritisk enhed efter den i direktivets arti-

kel 6, stk. 3, omhandlede underretning oplyser sin kompetente myndighed,

hvis den leverer væsentlige tjenester til eller i seks eller flere medlemssta-

ter. I så fald sikrer medlemsstaterne, at den kritiske enhed oplyser sin kom-

petente myndighed om de væsentlige tjenester, den leverer til eller i disse

medlemsstater, og om de medlemsstater, hvortil eller hvori den leverer så-

danne væsentlige tjenester. Medlemsstaterne underretter uden unødigt op-

hold Kommissionen om identiteten af sådanne kritiske enheder samt om de

oplysninger, de leverer i henhold til nærværende stykke.

Side 135/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Efter den foreslåede § 5,

stk. 4,

kan klima-, energi- og forsyningsministe-

ren fastsætte nærmere regler om særlige forpligtelser for virksomheder, der

er eller ejer kritiske enheder af særlig europæisk betydning.

Det forventes eksempelvis, at klima-, energi- og forsyningsministeren vil

fastsætte regler om, at kritiske enheder af særlig europæisk betydning skal

modtage rådgivende missioner. Det følger af CER-direktivets art. 18, stk.

5, at hver rådgivende mission består af eksperter fra den medlemsstat, hvor

den kritiske enhed af særlig europæisk betydning er beliggende, eksperter

fra de medlemsstater, hvortil eller hvori den væsentlige tjeneste leveres, og

repræsentanter for Kommissionen. Disse medlemsstater kan foreslå kandi-

dater til at deltage i en rådgivende mission. Kommissionen udvælger og

udnævner efter en konsultation med den medlemsstat, som har identificeret

en kritisk enhed af særlig europæisk betydning som en kritisk enhed i hen-

hold til artikel 6, stk. 1, medlemmerne af hver rådgivende mission i over-

ensstemmelse med deres faglige kapacitet og sikrer, hvor det er muligt, en

geografisk afbalanceret repræsentation fra alle disse medlemsstater. Når

det er nødvendigt, skal medlemmerne af den rådgivende mission have gyl-

dig og passende sikkerhedsgodkendelse. Kommissionen afholder omkost-

ningerne i forbindelse med deltagelse i rådgivende missioner.

Det forventes desuden, at der vil blive fastsat regler, om hvornår en kritisk

enhed skal efterleve de særlige krav.

Bestemmelsen gennemfører CER-direktivets artikel 17, stk. 3, om at hvis

Kommissionen på grundlag af de i direktivets artikel 17, stk. 2, omhand-

lede konsultationer konstaterer, at den pågældende kritiske enhed leverer

væsentlige tjenester til eller i seks eller flere medlemsstater, så underretter

Kommissionen gennem den kompetente myndighed den pågældende kriti-

ske enhed om, at den anses for at være en kritisk enhed af særlig europæ-

isk betydning, og oplyser den kritiske enhed om dens forpligtelser i hen-

hold til direktivets kapitel om kritiske enheder af særlig europæisk betyd-

ning og om, fra hvilken dato disse forpligtelser finder anvendelse på den.

Når Kommissionen således har oplyst den kompetente myndighed om sin

beslutning om at betragte en kritisk enhed som en kritisk enhed af særlig

europæisk betydning, videresender den kompetente myndighed uden unø-

digt ophold denne underretning til den pågældende kritiske enhed.

Bestemmelsen skal fortolkes i overensstemmelse af CER-direktivet og Eu-

ropa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december

2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau

Side 136/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv

(EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-di-

rektivet). Desuden skal bestemmelsen fortolkes i overensstemmelse med

udviklingen på beredskabsområdet generelt, den geopolitiske udvikling og

det dertilhørende trusselsbillede.

Bemyndigelsesbestemmelsen vil også sikre, at der ved større afhængighed

mellem de forskellige systemer på tværs af EU kan stilles tidssvarende

krav til kritiske enheder af særlig europæisk betydning.

Der henvises i øvrigt til afsnit 3.1. i lovforslagets almindelige bemærknin-

ger.

Til § 6 [Kapitel 3]

Det følger af elforsyningslovens § 85 b og § 85 c, at visse virksomheder

med bevilling eller tilladelse til produktion af el skal have et klassisk be-

redskab og et it-beredskab. Det samme gælder for Energinet og dennes he-

lejede datterselskaber, samt virksomheder, der yder balancering af elsyste-

met.

Efter elforsyningslovens § 85 b, stk. 4, kan klima-, energi- og forsynings-

ministeren fastsætte regler om udførelse af tilsyn med virksomhedernes

beredskabsarbejde, herunder om virksomhedernes fremsendelse af materi-

ale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virksom-

hederne og om klageadgang.

Elforsyningslovens § 85 c, stk. 5, indeholder en bemyndigelsesbestem- melse

om at klima-, energi- og forsyningsministeren kan fastsætte nær- mere regler

om it-beredskabet, herunder regler om; 1) organisering af virk-

somhedens it-beredskab og evne til at modtage advarsler om trusler mod it-

sikkerheden, 2) planlægning og beredskabsarbejde, som virksomhederne

skal udføre for at modvirke trusler mod it-sikkerheden, herunder virksom-

hedernes pligt til at videregive oplysninger til Energinet og relevante myn-

digheder, 3) virksomhedernes risikostyring, herunder inddragelse af andre

virksomheder i risikovurderinger, 4) tilmelding til en it-sikkerhedstjeneste,

der yder varsler og informationer om it-sikkerhedstrusler og 5) Energinets

varetagelse af overordnede, koordinerende planlægningsmæssige og ope-

rative opgaver vedrørende it-beredskab, jf. stk. 1.

Det følger af gasforsyningslovens § 15 a og § 15 b, at virksomheder som

er bevillingspligtige efter gasforsyningslovens § 10, samt Energinet og

Side 137/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

dennes helejede datterselskaber, som foretager gasforsyningsvirksomhed

skal have et klassisk beredskab og et it-beredskab.

Efter gasforsyningslovens § 15, a, stk. 4, kan klima-, energi- og forsy-

ningsministeren fastsætte regler om udførelse af tilsyn med virksomheder-

nes beredskabsarbejde, herunder om virksomhedernes fremsendelse af ma-

teriale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virk-

somhederne og om klageadgang.

Gasforsyningslovens § 15 b, stk. 5, indeholder en bemyndigelsesbestem-

melse om, at klima-, energi- og forsyningsministeren kan fastsætte nær-

mere regler om it-beredskabet, herunder regler om; 1) organisering af virk-

somhedens it-beredskab og evne til at modtage advarsler om trusler mod it-

sikkerheden, 2) planlægning og beredskabsarbejde, som virksomhederne

skal udføre for at modvirke trusler mod it-sikkerheden, herunder virksom-

hedernes pligt til at videregive oplysninger til Energinet og til klima-,

energi- og forsyningsministeren, 3) virksomhedernes risikostyring, herun-

der inddragelse af andre virksomheder i risikovurderinger, 4) tilmelding til

en tjeneste, der yder varsler og informationer om it-sikkerhedstrusler og

5) Energinets varetagelse af overordnede, koordinerende planlægnings-

mæssige og operative opgaver vedrørende it-beredskabet, jf. stk. 1.

For el- og gassektorerne er de nærmere regler for organisatorisk beredskab

gennemført i bekendtgørelse om beredskab for elsektoren, bekendtgørelse

om beredskab for naturgassektoren og bekendtgørelse om it-beredskab for

el- og naturgassektorerne.

Ifølge § 5, stk. 1, 1. pkt., i bekendtgørelse om beredskab for elsektoren og

bekendtgørelse om beredskab i naturgassektoren, skal virksomhederne ud-

pege en beredskabskoordinator og et kontaktpunkt i krisesituationer (ope-

rationel kontakt). Virksomhederne skal desuden efter bekendtgørelsernes §

5, stk. 4, meddele kontaktoplysningerne på medarbejderne til Energinet,

Energistyrelsen og det lokale politi. Virksomheder med klasse 1- og 2 an-

læg, skal desuden have en sikringsansvarlig medarbejder, jf. § 5, stk. 1, 2.

pkt.

Ifølge bekendtgørelse om it-beredskab i el- og naturgassektorerne § 6, stk.

1, skal virksomhederne have en it-beredskabsansvarlig. Virksomheder skal

efter § 6, stk. 3, sikre at der sker koordination mellem det almene bered-

skab og it-beredskabet mindst fire gange årligt. Efter bekendtgørelsens § 7,

Side 138/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

skal virksomhederne organiseres sådan, at det sikres de kan modtage it-

sikkerhedsvarsler.

Virksomheder i el- og naturgassektoren skal udarbejde risiko- og sårbar-

hedsvurderinger inden for både klassisk og it-beredskab, jf. bekendtgørelse

om beredskab i elsektoren § 6, skt. 1, bekendtgørelse om beredskab i na-

turgassektoren § 6, stk. 1 og bekendtgørelse om it-beredskab for el- og na-

turgassektoren § 10, stk. 1. Risiko- og sårbarhedsvurderinger skal inde-

holde alle relevante forhold, herunder virksomheders egne erfaringer fra

øvelser og hændelser. Dertil indeholder bekendtgørelser formkrav til udar-

bejdelse af vurderingerne.

Virksomheder i el- og naturgassektoren skal udarbejde beredskabsplaner for

både klassisk og it-beredskabet, jf. bekendtgørelse om beredskab i el-

sektoren § 7, skt. 1, bekendtgørelse om beredskab i naturgassektoren § 7,

stk. 1 og bekendtgørelse om it-beredskab for el- og naturgassektoren § 14,

stk. 1. Beredskabsplanerne skal baseres på virksomhedernes sårbarheds-

vurderinger.

Beredskabsplanerne for det klassiske beredskab, skal indeholde følgende

elementer; 1) aktivering, etablering og drift af krisehåndteringsorganisatio-

nen, 2) indhentning, behandling og fordeling af relevante informationer,

3) koordinering af aktørernes handlinger og ressourceanvendelse, 4) ud-

sendelse af relevant, opdateret og samordnet ekstern information og

5) ydelse af en forsvarlig operativ indsats. Desuden skal planerne angive

følgende konkrete forhold; 1) virksomhedens modtagelse af oplysninger

om situationen, 2) virksomhedens kompetence- og beslutningsforhold af

relevans for krisehåndteringen, 3) virksomhedens information af relevante

myndigheder, samarbejdsparter m.fl. om situationen og krisehåndteringen,

4) virksomhedens muligheder for at indsætte yderligere ressourcer i krise-

håndteringen i form af personale, materiel, støtte fra andre virksomheder i

henhold til aftale og lign. herom og 5) virksomhedens planer for fremskaf-

felse af kritiske reservedele fra eget lager eller fra leverandører, jf. be-

kendtgørelse om beredskab for elsektorens § 7, stk. 2 og 3 og bekendtgø-

relse om beredskab for naturgassektorens § 7, stk. 2 og 3.

It-beredskabsplaner for virksomheder i el- og naturgassektorens, skal efter

bekendtgørelse om it-beredskabs for el- og naturgassektorens § 14, stk. 2,

indeholde følgende; 1) En identificering af forsyningskritiske it-systemer

og afhængighed af andre systemer, 2) Beskrivelse af forebyggende foran-

staltninger til at imødegå utilsigtede it-hændelser, herunder muligheder for

Side 139/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

segmentering af it-infrastruktur og alternative driftsformer. Anvendes

fjernadgang til forsyningskritisk it-systemer, skal beredskabsplanen inde-

holde en plan for, hvordan angreb på disse systemer opdages og håndteres,

3) Beskrivelse af intern ansvars- og rollefordeling under krisestyring,

4) Beskrivelse af intern ansvarsplacering af systemansvar for forsynings-

kritiske it-systemer, 5) Beskrivelse af kommunikation med Energinet eller

Energistyrelsen og virksomhedens tilknyttede it-sikkerhedstjeneste, 6) Be-

skrivelse af procedurer for etablering af alternativ drift ved nedbrud på for-

syningskritiske it-systemer, 7) Plan for genoprettelse af forsyningskritiske

it-systemer, 8) Plan for dokumentation og opfølgning på hændelser, 9) Be-

skrivelse af den operative ansvarsfordeling mellem virksomheden og den-

nes samarbejdsparter.

Det følger af bekendtgørelse om beredskab i elsektoren §§ 20 og 21, stk. 1,

bekendtgørelse om beredskab i naturgassektoren §§ 20 og 21, stk. 1, samt

bekendtgørelse om it-beredskab for el- og naturgassektoren §§ 18 og § 19,

stk. 1, at virksomhederne i el- og gassektoren løbende skal sikre at medar-

bejdere modtager den fornødne instruktion og uddannelse i klassisk bered-

skab samt it-beredskab. Det følger desuden af bestemmelserne, at virksom-

hederne skal afholde øvelser, med udgangspunkt i egene beredskabsplaner.

Bekendtgørelse om it-beredskab i el- og naturgassektoren § 24, stk. 2, tilsi-

ger at virksomheder og skal etablere procedurer for leverandørers adgang

til forsyningskritisk infrastruktur. Dette omfatter også fjernadgang, hvor

procedurerne for fjernadgang til beskrives i kontrakter med leverandører.

Det følger af olieberedskabslovens § 16, stk. 1, at lagringspligtige virk-

somheder skal foretage nødvendig planlægning og træffe nødvendige for-

anstaltninger for, at sikre olieforsyningen i beredskabssituationer og andre

ekstraordinære situationer. Efter § 16, stk. 3, kan klima-, energi- og forsy-

ningsministeren fastsætte nærmere regler, om beredskabsplanlægningen

efter stk. 1. De nærmere regler er gennemført i bekendtgørelse om bered-

skab for oliesektoren.

Ifølge bekendtgørelse om beredskab for oliesektorens § 5, skal beredskabs-

arbejdet baseres på alle risici, sådan ledelsen har et samlet risikobillede.

Det følger desuden af § 6, i bekendtgørelsen, at organisationen skal indret-

tes, således det sikres, at der kan modtages varsler af teknisk karakter. Ef-

ter § 6, stk. 1, skal organisationen sikre, at der i akutte situationer kan

kommunikeres med relevante samarbejdsparter, for at genoprette forsynin-

gen.

Side 140/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Virksomheder og den centrale lagerenhed i oliesektoren skal udarbejde en

vurdering af alle de risici og sårbarheder, der kan påvirke virksomhedens

forsyning fra egne beredskabslagre i en beredskabssituation eller anden

ekstraordinær situation, jf. bekendtgørelse om beredskab for oliesektorens

§ 8, stk. 1. Vurderinger skal indeholde alle relevante forhold, herunder

egene erfaringer fra øvelser og hændelser, jf. § 8, stk. 2.

Virksomheder og den centrale lagenhed i oliesektoren skal udarbejde be-

redskabsplaner, som skal baseres på deres risiko- og sårbarhedsvurderin-

ger, jf. bekendtgørelse om beredskab for oliesektorens § 11, stk. 1. Bered-

skabsplanerne skal indeholder; 1) En identificering af forsyningskritiske

anlæg og processer, samt afhængighed af andre systemer uden for virk-

somheden, 2) Beskrivelse af forebyggende foranstaltninger til mulig

iværksættelse under en beredskabssituation, herunder muligheder for alter-

native driftsformer, 3) Beskrivelse af intern ansvars- og rollefordeling un-

der krisestyring, 4) Overordnet beskrivelse af intern beredskabsorganise-

ring, der kan iværksættes for at håndtere en beredskabssituation, som f.

eks. en krisestab eller skærpet driftsbemanding, 5) Beskrivelse af kommu-

nikation med andre virksomheder, den centrale lagerenhed, Energistyrel-

sen og andre myndigheder i en akut krisesituation, 6) Beskrivelse af proce-

durer for etablering af alternativ drift ved nedbrud på forsyningskritiske

anlæg og processer, 7) Plan for genoprettelse af forsyningskritisk infra-

struktur og processer, 8) Plan for dokumentation og opfølgning på hændel-

ser, 9) Beskrivelse af den operative ansvarsfordeling mellem virksomhe-

den og dennes samarbejdsparter, jf. § 11, stk. 2.

Virksomheder og den centrale lagerenhed i oliesektoren skal sikre, at be-

redskabsmedarbejdere løbende modtager den fornødne instruktion, uddan-

nelse og træning, jf. bekendtgørelse om beredskab i oliesektorens § 12.

Efter bekendtgørelse om beredskab for oliesektorens § 13, stk. 1, skal virk-

somheder og den centrale lagerenhed afholde beredskabsøvelser med ud-

gangspunkt i egne beredskabsplaner. Der skal desuden udarbejdes en øvel-

sesplan for en treårig periode, jf. § 13, skt. 2.

Bekendtgørelse om beredskab for oliesektorens § 17, stk. 2, tilsiger at virk-

somheder og den centrale lagerenhed skal etablere procedurer for leveran-

dørers adgang til forsyningskritisk infrastruktur. Dette omfatter også fjern-

adgang, hvor procedurerne for fjernadgang til beskrives i kontrakter med

leverandører.

Side 141/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det foreslås i

§ 6, stk. 1,

at virksomheder, skal foretage nødvendig bered-

skabsplanlægning og gennemføre passende organisatoriske foranstaltnin-

ger for at beskytte leveringen af deres tjenester og sikre effektiv genopret-

telse af deres tjenester.

Med de foreslåede § 6, stk. 1 rammesættes de overordnede krav til virk-

somhedens modstandsdygtighed og etableringen af et organisatorisk be-

redskab. De nærmere krav detaljeres i det foreslåede § 6, stk. 2, hvorefter

klima-, energi- og forsyningsministeren fastsætter nærmere regler om det

organisatoriske beredskab. Der vil således i bekendtgørelsesform blive stil-

let konkretiserede krav til den planlægning og de foranstaltninger, som

virksomheder skal træffe i medfør af den foreslåede bestemmelse i stk. 1.

Der henvises til bemærkningerne til stk. 2.

De foreslåede bestemmelser viderefører i vidt omfang de gældende be-

stemmelser om organisatorisk beredskab i den gældende elforsyningslov

§§ 85b, stk.1 og 85, stk. c, stk. 1 samt i den gældende gasforsyningslov §§

15 a og b, som udmøntet i gældende beredskabsregulering for el og gas-

sektoren, dog skærpes kravene på en række områder.

Det foreslås i § 6,

stk. 2,

at indføre hjemmel til at klima-, energi- og forsy-

ningsministeren fastsætter efter forhandling med forsvarsministeren nær-

mere regler om organisatorisk beredskab. Bemyndigelsen forventes ud-

møntet i en bekendtgørelse, der blandt andet fastsætter nærmere regler for

de i nr. 1 – 12 nævnte elementer af organisatorisk beredskab, som beskre-

vet nedenfor. Ved at bemyndige klima-, energi- og forsyningsministeren til

at fastsætte sådanne regler, vil nye trusler kunne imødegås og relevante

tidsvarende nye rammer for de organisatoriske kunne indarbejdes i kra-

vene til virksomhedernes organisatoriske beredskabsarbejde smidigt, hvis

reglerne udstedes i bekendtgørelse.

Det foreslås i § 6, stk. 2,

nr. 1,

at klima-, energi- og forsyningsministeren

fastsætter nærmere regler om ledelsesansvar, herunder krav om godken-

delse af virksomhedens risiko- og sårbarhedsvurdering samt beredskabs-

planer, tilsynsrapporter og leverandørkontrakter.

Ved de nærmere regler om ledelsesansvar, forventes det, at vil der blive

stillet krav til, at ledelsen aktivt forholder sig i virksomhedens beredskab

og niveau af modstandsdygtighed. På baggrund af bestemmelsen, forven-

tes der fastsat nærmere regler om, at den enkelte virksomheds ledelse kon-

Side 142/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

tinuerligt godkender virksomhedens beredskabsplaner og risiko- og sårbar-

hedsvurderinger, herunder bl.a. godkender foranstaltninger for styring af

cybersikkerhedsrisici. Den foreslåede ordning vil medføre, at virksomhe-

dens ledelse har et samlet og ajourført billede af beredskabet samt kendte

og mulige risici mod produktion, forsyning eller levering af virksomhe-

dens tjenester.

Den foreslåede bestemmelse gennemfører NIS 2-direktivets artikel 20, stk.

1, hvorefter medlemsstater sikrer, at de væsentlige og vigtige enheders le-

delsesorganer godkender de foranstaltninger til styring af cybersikkerheds-

risici, som disse enheder har truffet og fører tilsyn med gennemførelsen.

I den foreslåede bestemmelse lægges der op til, at ledelsen både gøres an-

svarlig for foranstaltninger til styring af organisatorisk sikkerhed, fysisk

sikring og cybersikkerhed. Dette er en udvidelse af NIS 2-direktivets arti-

kel 20, idet denne udelukkende omhandler styring i forhold til cybersikker-

hedsrisici. Denne udvidelse i forhold til, hvad der er indeholdt i NIS 2-dir-

ketivet foreslås ud fra en betragtning om, at konsekvensen ved afbrud i le-

veringen af virksomhedens tjeneste og omkostninger ved genopretning er

lige kritiske, uagtet om dette skyldes organisatoriske forhold, manglende

fysisk sikring eller cybersikkerhed. Endvidere er der indbyrdes forbindel-

ser mellem organisatorisk beredskab, fysisk sikring og cybersikkerhed, og

det kan i praksis være svært at adskille risici inden for disse områder.

Klima-, Energi- og Forsyningsministeren forventes endvidere på baggrund

af bestemmelsen, at fastsætte nærmere regler, der præciserer, at ledelsen

har ansvar for at inddrage sikkerhedshensyn i forbindelse med beslutninger

der vedrører leverandørkontrakter. Ved leverandørkontrakter forstås i

denne sammenhæng nye projekter og leverandør- samt serviceaftaler.

Med den foreslåede ordning vil det sikres, at virksomheder vil skulle for-

holde sig til trusler og sårbarheder i forbindelse med f.eks. anlægsprojekter

eller systemerhvervelser, som har mulighed for at påvirke leveringen af

virksomhedens tjenester. Det forventes desuden, at der fastsættes nærmere

regler om, at ledelsen skal tage stilling til passende foranstaltninger, der

skal mitigere identificerede risici forbundet med de konkrete projekt eller

erhvervelse.

Det følger af den foreslåede § 6, stk. 2,

nr. 2,

at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om, at ledelsesorganer tilegner

Side 143/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

sig viden og kundskaber inden for risiko- og sårbarhedsstyring. Det for-

ventes på baggrund af den foreslåede bestemmelse, at der vil blive fastsat

nærmere regler om, at ledelsen opbygger viden og kompetencer til at

træffe kvalificerede beslutninger vedrørende cybersikkerhed og beredskab.

Den foreslåede ordning vil medføre, at det vil være ledelsens ansvar at

etablere en sikkerhedskultur og sikre uddannelse i hele organisationen.

Den foreslåede bestemmelse gennemfører dele af NIS 2-direktivets artikel

20, stk. 2, hvorefter medlemmerne af væsentlige og vigtige enheders ledel-

sesorganer er forpligtet til at følge kurser, der gør ledelsen i stand til at

identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici.

Den foreslåede bestemmelse lægges der dog op til, at ledelsen både skal

kunne gøres i stand til at identificere risici forbundet med organisatorisk

sikkerhed, fysisk sikring og cybersikkerhed. Dette er en udvidelse af NIS

2-direktivets artikel 20, idet denne udelukkende omhandler uddannelse og

kurser vedrørende styring i forhold til cybersikkerhedsrisici.

Det følger af den foreslåede § 6, stk. 2,

nr. 3,

at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om identifikations- og adgangs-

kontrolpolitikker for beskyttelse mod uautoriseret adgang.

Den foreslåede bestemmelse gennemfører dele af CER-direktivets artikel

13, stk. 1, litra b, hvorefter kritiske enheder skal sikre tilstrækkelig fysisk

beskyttelse af deres lokaler og kritiske infrastruktur under hensyntagen til

f.eks. adgangskontrol. Derudover gennemfører bestemmelsen artikel 13,

stk. 1, litra e, hvorefter kritiske enheder skal sikre passende medarbejder-

sikkerhedsstyring såsom fastlæggelse af adgangsrettigheder til lokaler, kri-

tisk infrastruktur og følsomme oplysninger. Desuden gennemfører den fo-

reslåede bestemmelse NIS 2-direktivets artikel 21, stk. 2, litra i, hvorefter

vigtige og væsentlige enheder skal træffe foranstaltninger om bl.a. perso-

nalesikkerhed og adgangskontrolpolitikker.

Det forventes på baggrund af den foreslåede bestemmelse, at der fastsættes

nærmere regler om, at virksomhederne skal have politikker og procedurer

for identifikation af personel med adgang til virksomhedens anlæg. Det

forventes også, at der fastsættes regler for virksomheden skal have politik-

ker og procedurer for at identificere fysiske områder og inddele adgang til

disse områder i zoner, som del af en samlet tilgang til fysisk sikring med

henblik på at kunne identificere og verificere hvilke personer, der må op-

holde sig i og omkring virksomhedens anlæg.

Side 144/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Ministeren forventes på endvidere baggrund af bestemmelsen, at fastsætte

nærmere regler om, at virksomheden skal kunne etablere adgangsstyring

baseret på roller og arbejdsbetinget behov med henblik på at sikre klart de-

finerede regler for, hvilke medarbejdere eller medarbejdergrupper, der kan

tilgå forskellige dele af et anlæg eller net- og informationssystemer. På den

baggrund forventes, der eksempelvis fastsat nærmere regler om, at virk-

somhederne skal have procedurer for hvordan adgange til kritiske anlæg

og net- og informationssystemer tildeles, ændres og lukkes for både virk-

somhedens egne medarbejdere såvel som for gæster, konsulenter, eksterne

samarbejdspartnere og leverandører.

Det følger af den foreslåede § 6 stk. 2,

nr. 4,

at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om udpegelse af personer til at

varetage specifikke beredskabsroller.

Den foreslåede bestemmelse gennemfører CER-direktivets artikel 13, stk.

3, hvorefter medlemsstaterne sikrer, at hver kritisk enhed udpeger en for-

bindelsesofficer eller tilsvarende som kontaktpunkt for de kompetente

myndigheder.

Som en udvidelse af CER-direktivets krav foreslås det med dette lov-

forslag, at der også kan fastsættes regler om roller vedrørende cyberbered-

skabet.

Den nødvendige beredskabsplanlægning kræver, at der er klart definerede

roller og ansvar for de involverede. Det forventes, at gældende ret for ud-

pegelsen af beredskabsroller videreføres i vidt omfang. Dog ændres beteg-

nelsen it-beredskabsansvarlig til cyberberedskabskoordinator, som er et

kontaktpunkt for kommunikation med myndigheder. Dette er ikke den

samme rolle som det operationelle kontaktpunkt, som forventes at være

døgnbemandet. På baggrund af bestemmelsen forventes det således, at

virksomhederne bl.a. ville skulle udpege en beredskabskoordinator, en cy-

berberedskabskoordinator, et operationelt kontaktpunkt og en eller flere

sikringsansvarlige medarbejdere.

Det følger af den foreslåede § 6, stk. 2,

nr. 5,

at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om politikker for informations-

systemsikkerhed.

Den foreslåede bestemmelse gennemfører dele af NIS 2-direktivets artikel

21, stk. 2, litra a, hvorefter vigtige og væsentlige enheder skal have politik-

ker for informationssystemsikkerhed.

Side 145/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det forventes på baggrund af den foreslåede bestemmelse, at der fastsættes

nærmere regler om at virksomheden som del af organisatorisk modstands-

dygtighed skal udarbejde en informationssystemsikkerhedspolitik, der sæt-

ter en overordnet ramme for beskyttelse af virksomhedens informationer,

herunder at virksomheden selv har forhold sig til relevante aktiviteter for

beskyttelse af anvendte net- og informationssystemer.

Det foreslås, at der differentieres i hvilke virksomheder, der skal efterleve

den foreslåede § 6, stk. 2, nr. 5, således at de mere forsyningskritiske virk-

somheder skal følge flere elementer af kravene. Dette er ud fra en betragt-

ning om, at en forstyrrelse af disse virksomheders tjenester vil have større

betydning for samfundet samt ud fra en betragtning om, at der bør være

proportionalitet mellem sikkerhedseffekten og omkostningen ved kravene.

Det følger af den foreslåede § 6, stk. 2,

nr. 6,

at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om politikker for og udarbej-

delse af risiko- og sårbarhedsvurderinger, som omfatter nyindkøb, projek-

ter og etablering af net- og informationssystemer og anlæg

Den foreslåede bestemmelse gennemfører dele af NIS 2-direktivets artikel

21, stk. 2, litra a, hvorefter vigtige og væsentlige enheder skal have politik-

ker for politikker for risikoanalyse. Desuden gennemfører den foreslåede

bestemmelse CER-direktivets artikel 12, stk. 1-2, hvorefter kritiske enhe-

der foretager en risikovurdering for at vurdere alle relevante risici, der

kunne forstyrre leveringen af deres væsentlige tjenester.

Som en udvidelse af NIS 2-direktivets krav foreslås det med dette lov-

forslag, at der også fastsættes regler om, at virksomheder også skal fore-

tage risiko- og sårbarhedsvurderinger under hele aktivets livscyklus såsom

i forbindelse med indkøb, projekter og nyetableringer.

Ministeren forventes på endvidere baggrund af bestemmelsen, at fastsætte

nærmere regler om, at virksomheden skal udarbejde risiko- og sårbarheds-

vurderinger, som identificerer og vurderer risici og sårbarheder i forhold til

virksomhedens kontinuitet.

Det forventes endvidere, at der fastsættes nærmere regler om, at risiko- og

sårbarhedsvurderingerne og handlingsplanerne skal gennemgås med fast

interval eller når nye risici, trusler eller sårbarheder erkendes samt ved væ-

sentlige ændringer af virksomhedens organisation, kritiske systemer eller

infrastruktur eller ved ændringer i trusselsbilledet. Det foreslås samtidig, at

vurderingen af cybersikkerhedsrisici, organisatoriske risici og fysiske risici

Side 146/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

kobles sammen, ved at virksomhedernes opdateringer af deres risiko- og

sårbarhedsvurderinger af henholdsvis virksomhedens cybersikkerhed og

fysiske sikring følger samme kadence for udarbejdelse og indsendelse til

Energistyrelsen.

De foreslåede bestemmelser viderefører i vidt omfang de gældende ret for

udarbejdelse af risiko- og sårbarhedsvurdering. Det forventes således, at

der fastsættes nærmere regler om, at virksomhederne skal udarbejde en

vurdering af virksomhedens risici og sårbarheder på baggrund af risiko- og

sårbarhedsscenarier, som Energistyrelsen udarbejder.

Som noget nyt forventes der fastsat nærmere regler om at som led i udar-

bejdelsen af risiko- og sårbarhedsvurderinger, at virksomhederne skal ud-

arbejde en politik og have en proces for risikostyring, der skal identificere

og vurdere de væsentligste risici for virksomhedens organisation, kritiske

net- og informationssystemer og infrastruktur med henblik på opretholdel-

sen af leveringen af deres tjeneste.

På baggrund af bestemmelsen forventes der udstedt nærmere regler om, at

virksomhedernes processer for risikostyring skal forholde sig til de væ-

sentligste trusler og sårbarheder og forankres i organisationen således at

virksomhedsledelsen forholder sig til både processerne for risikostyring,

de identificerede risici, samt de foranstaltninger til styring af risici, som

virksomheden iværksætter på baggrund heraf.

Det foreslås, at der differentieres i hvilke virksomheder, der skal efterleve

den foreslåede § 6, stk. 2, nr. 6, således at de mere forsyningskritiske virk-

somheder skal følge flere elementer af kravene.

Dette er ud fra en betragtning om, at en forstyrrelse af disse virksomheders

tjenester vil have større betydning for samfundet samt ud fra en betragt-

ning om, at der bør være proportionalitet mellem sikkerhedseffekten og

omkostningen ved kravene.

Det følger af den foreslåede § 6, stk. 2,

nr. 7

at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om forsyningskædesikkerhed,

herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem

virksomheden og dens direkte leverandører eller tjenesteudbydere.

Den foreslåede bestemmelse gennemfører NIS 2-direktivets artikel 21, stk.

2, litra d, hvorefter væsentlige og vigtige enheder træffer foranstaltninger

Side 147/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

for forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter ved-

rørende forholdene mellem den enkelte enhed og dens direkte leverandører

eller tjenesteudbydere. Den foreslåede bestemmelse gennemfører desuden

NIS 2-direktivets artikel 21, stk. 2, hvorefter væsentlige og vigtige enheder

tager hensyn til de sårbarheder, der er specifikke for hver direkte leveran-

dør og tjenesteudbyder.

På baggrund af den foreslåede bestemmelse fastsætter ministeren nærmere

regler om, at virksomhederne skal etablere den nødvendige leverandørsty-

ring, herunder at virksomhederne skal iværksætte sikkerhedsrelaterede for-

anstaltninger til styring af risici i virksomhedens leverandørkæder.

Den foreslåede bestemmelse vil indebære, at virksomhederne skal sikre, at

leverandører, der varetager opgaver i relation til anlæg, komponenter og

net- og informationssystemer med betydning for leveringen af tjenesten,

overholder samme krav for opretholdelse af virksomhedens modstands-

dygtighed, som virksomheden er underlagt efter den foreslåede lov. Det

følger heraf, at virksomhederne skal have politikker og procedurer for kon-

trol af, at leverandørerne efterlever kravene og opretholder det nødvendige

sikkerhedsniveau i forbindelse med udførelsen af opgaven.

Som følge af bestemmelsen fastsætter ministeren nærmere regler om, at

virksomhederne skal vurdere og håndtere de risici, der er forbundet med

indgåelse af leverandøraftaler. Dette vil blandt andet indebære, at virksom-

hederne inden indgåelse af en aftale samt løbende skal tage stilling til sik-

kerhedsrisici forbundet med kritikaliteten af opgaven eller leverancen,

hvorvidt der sker væsentlige forandringer hos leverandøren der kan på-

virke leverancen, leverandørernes villighed til at efterleve kravene i den

foreslåede lov og det aktuelle trusselsbillede.

Det foreslås derudover, at ministeren kan fastsætte nærmere regler om, at

leverandører, som varetager opgaver i relation til anlæg, komponenter og

net- og informationssystemer eller leverandører af net- og informationssy-

stemer med betydning for leveringen af tjenesten, deltager i relevante dele

af virksomhedens beredskabsplanlægning. Dette indebærer bl.a., at mini-

steren kan fastsætte nærmere regler om, at leverandørerne deltager i virk-

somhedens arbejde med risiko- og sårbarhedsvurderinger samt øvelser, der

træner de dele af beredskabet, hvor leverandørerne har betydning for op-

retholdelse af leveringen af virksomhedens tjenester.

Side 148/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det følger af den foreslåede § 6, stk. 2,

nr. 8,

at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om beredskabsplaner og bered-

skabsplanlægning for håndtering af hændelser.

Den foreslåede bestemmelse gennemfører CER-direktivets artikel 13, stk.

2, hvorefter medlemsstaterne sikrer, at kritiske enheder har indført og an-

vender en plan for modstandsdygtighed eller et eller flere tilsvarende do-

kumenter. Derudover gennemfører den foreslåede bestemmelse elementer

af NIS 2-direktivets artikel 21, stk. 2, litra b og c, hvorefter vigtige og væ-

sentlige enheder skal træffe foranstaltninger, der omfatter håndtering af

hændelser, driftskontinuitet og krisestyring.

Det foreslås, at gældende ret for udarbejdelse og indhold af beredskabspla-

ner i vidt omfang videreføres. Det forventes at der fastættes nærmere reg-

ler om, at beredskabsplanerne bl.a. skal beskrive virksomhedens krise-

håndtering, hvordan virksomhedens krisehåndteringsorganisation aktive-

res, etableres og driftes, og hvordan der koordineres og udsendes informa-

tion internt og eksternt i virksomheden. Desuden foreslås det, at virksom-

hederne skal have metoder til at sikre, at virksomhederne overholder deres

underretnings- og rapporteringsforpligtelser i forbindelse med en hæn-

delse. Beredskabsplanen skal kunne bruges som en operativ vejledning,

når en hændelse bliver varslet eller opstår.

Det foreslås

§ 6 stk. 2,

nr. 9,

at klima-, energi- og forsyningsministeren

fastsætter nærmere regler om øvelsesplanlægning, herunder afholdelse af

øvelser og træning af beredskabsforanstaltninger.

Den foreslåede bestemmelse gennemfører CER-direktivets artikel 13, stk.

1, litra f, hvorefter medlemsstaterne sikrer, at kritiske enheder øger be-

vidstheden blandt det relevante personale under hensyntagen til øvelser.

NIS 2-direktivet stiller ikke krav om, at vigtige og væsentlige enheder af-

holder øvelser. Den foreslåede bestemmelse går dermed videre end NIS 2-

direktivet, idet det foreslås, at der også fastsættes regler om, at virksomhe-

der også skal afholde øvelser, der træner cyberberedskabet.

Ministeren forventes på endvidere baggrund af bestemmelsen, at fastsætte

nærmere regler om, at det at virksomhederne skal udarbejde en øvelses-

plan og afholde øvelser efter nærmere fastsatte kadencer, med udgangs-

punkt i virksomhedens beredskabsplaner. Det forventes endvidere, at der

Side 149/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

fastsættes nærmere regler om revidering af øvelsesplanen, eksempelvis

mindst en gang om året og i forbindelse med særlige sårbarheder eller væ-

sentlige ændringer i virksomhedens beredskab. Der forventes også fastsat

nærmere regler om, at en evaluering af en hændelse kan godkendes som en

øvelse på øvelsesplanen, hvis hændelsen har afprøvet konkrete forhold i

virksomhedens beredskab og vurderes at have samme værdi, som en

øvelse.

Det forventes endelig, at der fastsættes nærmere regler om at virksomhe-

den løbende skal sikre at medarbejdere modtager den fornødne instruktion

og uddannelse i beredskab, herunder cybersikkerhed samt, at der stilles

krav om at virksomheden gennemføre awareness-tiltag om cybersikkerhed

efter en nærmere fastsat kadence.

Den foreslåede bestemmelse viderefører i vidt omfang de gældende ret for

øvelsesplanlægning, herunder afholdelse af øvelser og træning af bered-

skabsforanstaltninger, dog forventes det som noget nyt, at der vil bliver

fastsat nærmere regler om indholdet i øvelsesplanerne, herunder elementer

i beredskabet, som skal øves, eksempelvis krisestyring, mobilisering af

ekstra ressourcer og materialer, henholdsvis intern og ekstern kommunika-

tion, genopretning af forsyning eller sikring af fortsat drift og iværksæt-

telse af foranstaltninger i henhold til nyt sektorberedskabsniveau.

Det følger af den foreslåede § 6, stk. 2,

nr. 10,

at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om beredskabstræning, cyber-

sikkerhedsadfærd- og sikkerhedsuddannelse af ansatte i virksomheden.

Den foreslåede bestemmelse gennemfører CER-direktivets artikel 13, stk.

1, litra f, hvorefter medlemsstaterne sikrer, at kritiske enheder øger be-

vidstheden blandt det relevante personale under hensyntagen til bl.a. ud-

dannelseskurser og informationsmateriale.

Desuden gennemfører den foreslåede bestemmelse NIS 2-direktivets arti-

kel 20, stk. 2, hvorefter ledelsen i vigtige og væsentlige enheder skal til-

skynde deres ansatte at følge kurser, således at de opnår tilstrækkelige

kundskaber og færdigheder til at kunne identificere risici og vurdere meto-

derne til styring af cybersikkerhedsrisici. Bestemmelsen gennemfører også

NIS 2-direktivets artikel 21, stk. 2, litra g, hvorefter vigtige og væsentlige

enheder træffer foranstaltninger om grundlæggende cyberhygiejnepraksis-

ser og cybersikkerhedsuddannelse. Det foreslås, at virksomhederne stilles

Side 150/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

krav om at øge sikkerhedsbevidstheden hos medarbejderne. Den foreslå-

ede bestemmelse vil medføre, at de medarbejdere, der deltager i virksom-

hedens arbejde med beredskabsplanlægning, fysisk sikring og sikkerheden

i net- og informationssystemer, skal have tilstrækkelige færdigheder samt

viden til at kunne varetage deres opgaver.

Det forventes, at der vil blive fastsat nærmere regler om,at medarbejdere

har kompetence til at agere sikkerhedsmæssigt forsvarligt i de opgaver, der

skal udføres jf. § 6, stk. 2, nr. 1. Den gældende regulering af el- og gassek-

torerne, som stiller krav om at virksomhederne gennemfører awareness-til-

tag om it-sikkerhed, forventes udvidet med krav om at disse tiltag kan om-

fatte både cybersikkerhed fx sikker konfigurering af- og test af it-udstyr,

netværk og infrastruktur, cloud-løsninger eller identitets- og adgangssty-

ring, såvel som årvågenhed i forhold til fx spionage, uautoriseret adgang,

utilsigtet informationsdeling og andre forhold, der kan kompromittere for-

syningssikkerheden. De pågældende tiltag skal baseres på medarbejderens

funktion i virksomheden. Den foreslåede ordning vil sikre, at også medar-

bejdere med adgang til og på kritiske anlæg og lokationer, herunder daglig

stationsadgang, sikres tilstrækkelig viden og sikkerhedsbevidsthed.

Ifølge den foreslåede bestemmelse kan dette indebære, at disse medarbej-

dere i relevant omfang skal følge uddannelsesforløb. Den foreslåede be-

stemmelse vil derudover medføre, at virksomheden skal gennemføre

awareness-tiltag om fysisk sikring, cybersikkerhed og beredskab, der øger

den organisatoriske modstandsdygtighed på tværs af virksomheden.

Det følger af den foreslåede § 6, stk. 2,

nr. 11,

at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om kapacitet til at modtage og

videreformidle advarsler om trusler.

Den foreslåede bestemmelse gennemfører elementer af NIS 2-direktivets

artikel 21, stk. 2, litra e, hvorefter væsentlige og vigtige enheder træffer

foranstaltninger til håndtering og offentliggørelse af sårbarheder.

På den baggrund forventes der eksempelvis fastsat nærmere regler om, at

virksomheden skal indrette cyberberedskabet på en måde, der sikrer opera-

tionel koordinering af varsler og alarmer på tværs af virksomhedens forret-

ningsområder og aktiver. Det forventes blandt andet at indbefatte krav om,

at virksomheden skal have metoder til at identificere sårbarheder og skal

Side 151/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

organisere et beredskab med evne til at modtage og videreformidle advars-

ler om trusler og sårbarheder, der potentielt kan påvirke virksomhedens

evne til at levere deres tjeneste.

Med den foreslåede ordning sikres det, at virksomheden både vil kunne

modtage varsler fra samarbejdspartnere, operatører eller øvrige aktører og

videreformidle sådanne data og information, som en mitigerende foran-

staltning for tjenesten, samt videregive oplysninger til klima-, energi- og

forsyningsministeren, andre myndigheder og relevante samarbejdspart-

nere, såsom leverandører og kunder uden unødig forsinkelse.

Det følger af den foreslåede § 6, stk. 2,

nr. 12,

at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om tilmelding til en it-sikker-

hedstjeneste.

Den foreslåede bestemmelse gennemfører elementer af NIS 2-direktivets

artikel 21, stk. 2, litra e, hvorefter væsentlige og vigtige enheder træffer

foranstaltninger til sikkerhed i forbindelse med erhvervelse, udvikling og

vedligeholdelse af net- og informationssystemer, herunder foranstaltninger

til håndtering og offentliggørelse af sårbarheder. Desuden gennemfører

den foreslåede bestemmelse NIS 2-direktivets artikel 21, stk. 2, litra c,

hvorefter væsentlige og vigtige enheder træffer foranstaltninger til bl.a. re-

etablering og krisestyring. Den foreslåede bestemmelse går videre end NIS

2-direktivet, idet der direkte stilles krav om, at virksomhederne skal tilmel-

des en it-sikkerhedstjeneste.

Det forventes på baggrund af den foreslåede bestemmelse, at fastsætte

nærmere regler om at virksomheder i energisektoren indgår aftale om at

være tilmeldt en it-sikkerhedstjeneste. Virksomheden skal sikre sig at være

tilmeldt en it-sikkerhedstjeneste, der yder vejledning om vurdering og mi-

tigering af sårbarheder. Den it-sikkerhedstjeneste skal endvidere give in-

formationer og varsle om relevante it-sikkerhedstrusler. Supplerende til

eksisterende krav foreslås det at virksomhedens proaktive indsats skal om-

fatte viden om trusler baseret på globale informationer fra anerkendte kil-

der, såsom abonnementer på cyber-trusselsfeed, der er leveret af globale

aktører inden for cybersikkerhed. Den foreslåede bemyndigelsesbestem-

melse vil også medføre, at der kan fastsættes regler om, at virksomheden

skal være tilmeldt en reaktiv it-sikkerhedstjeneste, der bistår virksomheden

ved nedbrud eller angreb på it-systemer, herunder assistance til akut ska-

desbegrænsning, bevisindsamling og reetablering i akutte sikkerhedsmæs-

Side 152/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

sige situationer. Information fra it-sikkerhedstjenesten skal kunne videre-

formidles til andre virksomheder i energisektoren uden forsinkelse, så-

fremt disse oplysninger vurderes at have betydning for leveringen af andre

virksomheders tjenester.

Til § 7 [Kapitel 3]

Det følger af elforsyningslovens § 85 b, at visse virksomheder med bevil-

ling eller tilladelse til produktion eller distribution af elektricitet skal have et

klassisk beredskab. Det samme gælder for Energinet og dennes helejede

datterselskaber.

Efter elforsyningslovens § 85 b, stk. 4, kan klima-, energi- og forsynings-

ministeren fastsætte regler om udførelse af tilsyn med virksomhedernes

beredskabsarbejde, herunder om virksomhedernes fremsendelse af materi-

ale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virksom-

hederne og om klageadgang. De nærmere regler er gennemført i bekendt-

gørelse om beredskab for elsektoren.

Det følger af gasforsyningslovens § 15 a, at virksomheder som er bevil-

lingspligtige efter gasforsyningslovens § 10, samt Energinet og dennes he-

lejede datterselskaber, som foretager gasforsyningsvirksomhed skal have

et klassisk beredskab.

Efter gasforsyningslovens § 15, a, stk. 4, kan klima-, energi- og forsy-

ningsministeren fastsætte regler om udførelse af tilsyn med virksomheder-

nes beredskabsarbejde, herunder om virksomhedernes fremsendelse af ma-

teriale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virk-

somhederne og om klageadgang. De nærmere regler er gennemført i be-

kendtgørelse om beredskab for naturgassektoren.

Efter bekendtgørelse om beredskab for elsektoren og bekendtgørelse for

beredskab for naturgassektorens § 12, stk. 1, skal virksomhederne udar-

bejde sikringsplaner, som omfatter kortmateriale, oversigt over anlægs sår-

barheder, m.v. Virksomhederne skal desuden efter bekendtgørelsernes §

13, stk. 1, sikre 1) at anlæg har lav sårbarhed over for funktionssvigt af of-

fentligt udbudte net og tjenester for elektronisk kommunikation, 2) at an-

læg har lav sårbarhed over for funktionssvigt af væsentlige it-systemer, og

Side 153/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

3) at anlæg har nødstrømsforsyning, som i tilfælde af strømafbrydelse sik-

rer anlæggets funktionalitet i perioden frem til strømforsyningens reetable-

ring.

Det gælder desuden at ubemandede anlæg i klasse 1, skal sikres mod uau-

toriseret adgang gennem etablering af mekaniske og elektroniske sikrings-

og overvågningsforanstaltninger, jf. bekendtgørelsernes § 13, stk. 2. Virk-

somheder skal desuden etablere et system for styret adgangskontrol til

klasse anlæg, jf. bekendtgørelsernes § 13, stk. 3. Der skal regelmæssigt og

mindst hver måned, føres kontrol med at den fysiske sikring af klasse 1 an-

læg, hvilket virksomhederne skal føre en log over, jf. bekendtgørelsernes §

13, stk. 4.

Det følger af olieberedskabslovens § 16, stk. 1, at lagringspligtige virk-

somheder skal foretage nødvendig planlægning og træffe nødvendige for-

anstaltninger for, at sikre olieforsyningen i beredskabssituationer og andre

ekstraordinære situationer. Efter § 16, stk. 3, kan klima-, energi- og forsy-

ningsministeren fastsætte nærmere regler, om beredskabsplanlægningen

efter stk. 1.

Ifølge bekendtgørelse om beredskab for oliesektorens § 16, stk. 1, skal

virksomhederne og den centrale lagerenhed sikre, at forsyningskritiske an-

læg beskyttes i forhold til deres kritikalitet. Virksomhederne skal desuden,

sikre forsyningskritiske anlæg mod uautoriseret adgang, jf. § 16, stk. 2.

Det følger af den foreslåede § 7,

stk. 1,

at virksomhederne skal sikre, at der

implementeres passende foranstaltninger, der opretholder nødvendig fysisk

sikring af lokationer og anlæg, der bruges til at levere virksomhedens tje-

nester, eller hvorfra drift af net- og informationssystemer finder sted. Dette

vil indebære, at virksomhederne etablerer den nødvendige fysiske sikring

af net- og informationssystemer, som bruges til eller understøtter leverin-

gen af tjenesten. Efter den foreslåede bestemmelse, skal virksomhederne

beskytte anlæg, lokationer og net- og informationssystemer i forhold til

både tilsigtede og utilsigtede hændelser.

Det foreslås i § 7,

stk. 2,

at indføre hjemmel til at klima-, energi- og forsy-

ningsministeren fastsætter nærmere regler om fysisk sikring. Bemyndigel-

sen forventes udmøntet i en bekendtgørelse, der blandt andet fastsætter

nærmere regler for de i nr. 1 – 5 nævnte elementer af fysisk sikring, som

beskrevet nedenfor. Ved at bemyndige klima-, energi- og forsyningsmini-

steren til at fastsætte sådanne regler, vil nye trusler kumme imødegås og

Side 154/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

relevante tidsvarende nye rammer for fysisk sikring kunne indarbejdes i

kravene til virksomhedernes beredskabsarbejde med fysisk sikring hurti-

gere, hvis reglerne udstedes i bekendtgørelsesform end hvis de fastsættes

ved lov.

Det foreslås

§ 7 stk. 2,

nr. 1,

at klima-, energi- og forsyningsministeren

kan fastsætte nærmere regler om, at virksomhederne skal forhindre hæn-

delser i at indtræffe under behørig hensyntagen til katastroferisikoredukti-

ons- og klimatilpasningsforanstaltninger.

Den foreslåede bestemmelse gennemfører CER-direktivets artikel 13, stk.

1, litra a, hvorefter medlemsstaterne sikrer, at kritiske enheder forhindrer

hændelser i at indtræffe under behørig hensyntagen til katastroferisikore-

duktions- og klimatilpasningsforanstaltninger.

Denne bestemmelse forventes at medføre, at virksomhederne skal identifi-

cere deres kritiske anlæg og net- og informationssystemer. Desuden skal

virksomhederne have overblik over sårbarheder i forhold til naturkatastro-

fer og ekstreme vejrforhold, herunder at virksomhederne løbende forholder

sig til risici, der er forbundet med at intensiteten og hyppigheden af eks-

treme vejrforhold stiger i takt med klimaforandringerne. Det foreslås desu-

den, at virksomhederne skal iværksætte foranstaltninger, der tager højde

for vurderingen af de risici, der er forbundet med naturkatastrofer og eks-

treme vejrforhold, og som minimerer risikoen for, at disse hændelser kan

forstyrre leveringen af tjenesten. Den foreslåede bestemmelse indebærer

også, at virksomhederne skal tage højde for klimatilpasningsforanstaltnin-

ger i beslutninger vedrørende hvor og hvordan anlæg og net- og informati-

onssystemer etableres og driftes. Ligeledes foreslås det med den nævnte

bestemmelse, at beredskabsplanlægningen i relevant omfang skal vurdere

muligheder for genopretning af leveringen af tjenesten i tilfælde af større

katastrofer og ekstreme vejrforhold.

Ifølge den foreslåede § 7, stk. 2,

nr. 2,

kan klima-, energi- og forsynings-

ministeren fastsætte nærmere regler om, at virksomhederne skal etablere

foranstaltninger til overvågning, detektion og reaktion i forbindelse med

uautoriseret adgang til og på anlæg og lokationer.

Den foreslåede bestemmelse vil gennemføre dele CER-direktivets artikel

13, stk. 1, litra b, hvorefter kritiske enheder træffer foranstaltninger til fy-

sisk beskyttelse af deres lokaler og kritiske infrastruktur under hensynta-

gen til værktøjer og rutiner til overvågning af perimetre, detektionsudstyr

Side 155/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

og adgangskontrol. Den foreslåede bestemmelse går videre end CER-di-

rektivet, idet der stilles krav om, at virksomhederne desuden skal etablere

overvågning, der kan opdage uautoriseret adgang til net- og informations-

systemer med betydning for leveringen af tjenesten.

Det foreslås på baggrund af bestemmelsen, at der fastsættes nærmere reg-

ler om, at virksomheden skal træffe passende tekniske foranstaltninger og

konfigurationer, der sikrer monitorering og detektion af uautoriseret ad-

gang til net- og informationssystemer. Det forventes på baggrund af be-

stemmelsen, at der vil blive fastsat nærmere regler om, at virksomheden

skal sikre koordination af sikkerhedsniveauet for tekniske og elektroniske

foranstaltninger med fysiske og organisatoriske sikringsforanstaltninger.

Det forventes, at ministeren kan fastsætte nærmere regler om brug af vi-

deoovervågning, herunder om elektronisk og fysisk sikring af net- og in-

formationssystemer, der benyttes til videoovervågning, der har betydning

for leveringen af tjenesten.

Ligeledes foreslås det, at virksomhedernes skal være i stand til at detek-

tere, verificere og alarmere i tilfælde af utilsigtede hændelser såsom brand,

naturkatastrofer og ekstreme vejrforhold.

Bestemmelsen skal derudover sikre, at uautoriseret adgang kan opdages i

realtid og at virksomhederne skal have fastlagt procedurer for, hvordan der

reageres på forsøg på uautoriseret adgang til og på lokationer og anlæg

med betydning for leveringen af tjenesten. I denne sammenhæng kan den

nødvendige overvågning og detektion fx omfatte en kombinationen af ka-

mera, sensorer, alarmer, hegn, vagtordninger eller lignende foranstaltnin-

ger. Det foreslås, at bestemmelsen giver klima-, energi- og forsyningsmini-

steren mulighed for at fastsætte regler om reaktionstid.

Det foreslås på baggrund af bestemmelsen, at der fastsættes nærmere reg-

ler om, at virksomheden skal træffe passende tekniske foranstaltninger og

konfigurationer, der sikrer monitorering og detektion af uautoriseret ad-

gang til net- og informationssystemer. Den foreslåede bestemmelse vil in-

debære, at uautoriseret adgang til anlæg eller komponenter med netværks-

adgang skal kunne opdages i realtid. Det forventes på baggrund af be-

stemmelsen, at der vil blive fastsat nærmere regler om, at virksomheden

skal sikre koordination af sikkerhedsniveauet for tekniske og elektroniske

foranstaltninger med fysiske og organisatoriske sikringsforanstaltninger.

Det foreslås desuden, at ministeren kan fastsætte nærmere regler om brug

af fx videoovervågning, herunder om elektronisk og fysisk sikring af net-

Side 156/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

og informationssystemer, der benyttes til videoovervågning, der har betyd-

ning for leveringen af tjenesten.

Det foreslås i § 7, stk. 2,

nr. 3,

at virksomhederne skal sikre tilstrækkelig

fysisk sikring af virksomhedens anlæg og lokationer, herunder kontrolrum

og kontrolrummets arbejdsstationer.

Den foreslåede bestemmelse vil gennemføre dele af CER-direktivets arti-

kel 13, stk. 1, litra b, hvorefter kritiske enheder sikrer tilstrækkelig fysisk

beskyttelse af deres lokaler og kritiske infrastruktur under behørig hensyn-

tagen til f.eks. hegn, barrierer, værktøjer og rutiner til overvågning af peri-

metre.

Bestemmelsen vil medføre, at den fysiske sikring skal etableres uanset, om

der er tale om anlæg, der allerede er i drift eller anlæg, som er projekterede

eller under etablering. Her forstås fysisk sikring som perimeter-, skal- og

cellesikring. Det vil sige, at der skal være sikring af den ydre grænse rundt

om anlægget, sikring af anlægget, herunder anlæggets bygninger og ydre

mure og sikring af udvalgte rum eller komponenter. Med den foreslåede

ordning, sikres der sammenhæng mellem virksomhedernes fysiske sikring

af anlæg og lokationer og de overvågnings- og detektionsforanstaltninger,

der er foreslået i § 7 stk. 2, nr. 3.

Efter bestemmelsen, kan klima-, energi- og forsyningsministeren endvi-

dere fastsætte nærmere regler om, at anlæg og komponenter med net-

værksadgang til net- og informationssystemer, der har betydning for leve-

ringen af tjenesten, skal have tilstrækkelig fysisk sikring. Ifølge den fore-

slåede bestemmelse skal virksomhederne derudover sikre, at der er til-

strækkelig afskærmning af anlæg, lokationer og komponenter for visuel

eksponering, således at uvedkommende ikke kan få adgang til eller indblik

i informationer, der har betydning for leveringen af virksomhedens tjene-

ster.

Den foreslåede bestemmelse gælder anlæg, lokationer og komponenter,

der er i drift såvel som anlæg, lokationer og komponenter der er projekte-

rede, herunder er under etablering. Bestemmelsen vil således medføre, at

virksomhederne skal sikre, at deres anlæg og net- og informationssystemer

ikke kompromitteres inden de er idriftsat og dermed har indbyggede sår-

barheder. Således foreslås det, at der stilles krav om virksomhederne alle-

rede under projekteringen skal forholde sig til fysiske sikkerhedsrisici og

Side 157/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

cybersikkerhedsrisici og mitigere disse i relevant omfang. Med bestem-

melsen foreslås det derudover, at klima-, energi- og forsyningsministeren

kan fastsætte nærmere regler om, at virksomhederne skal have tilstrække-

lig fysisk sikring samt overvågnings- og detektionsforanstaltninger ved og

omkring de anlæg og lokationer, der benyttes ved en relokering af kontrol-

rum eller serverrum.

Det foreslås i § 7, stk. 2,

nr. 4,

at klima-, energi- og forsyningsministeren

fastsætter nærmere regler om, at virksomheder skal have planer for håndte-

ring af hændelser og genopretning efter hændelser.

Den foreslåede bestemmelse gennemfører CER-direktivets artikel 13, stk.

1, litra c, hvorefter kritiske enheder skal være i stand til at reagere på,

modstå og afbøde følgerne af hændelser under behørig hensyntagen til

gennemførelsen af risiko- og krisestyringsprocedurer og -protokoller samt

varslingsrutiner. Desuden gennemfører bestemmelsen CER-direktivets ar-

tikel 13, stk. 1, litra d, hvorefter kritiske enheder skal træffe foranstaltnin-

ger, der sikrer genopretning efter hændelser under behørig hensyntagen til

forretningskontinuitetsforanstaltninger og identifikation af alternative for-

syningskæder.

Med den foreslåede bestemmelse skal virksomhedernes hændelseshåndte-

ring indebære planer og procedurer for, hvordan virksomhederne håndterer

en hændelse. Dette vil indebære, at virksomhederne skal have planer for,

hvordan de forebygger hændelser, hvordan de opdager, analyserer og vars-

ler hændelser, og hvordan de inddæmmer eller reagerer på og reetablerer

sig efter en hændelse. Ifølge den foreslåede bestemmelse skal virksomhe-

derne således have procedurer, der sikrer integriteten og den fysiske be-

skyttelse af virksomhedens anlæg i tilfælde af både tilsigtede og utilsigtede

hændelser med henblik på, at leveringen af tjenesten videreføres.

Med den foreslåede bestemmelse skal virksomhederne have etableret pro-

cedurer og foranstaltninger, der sikrer at virksomhederne hurtigst muligt

kan genoprette leveringen af tjenesten i tilfælde af, at en hændelse har haft

forstyrrende indvirkning. Det foreslås i bestemmelsen, at virksomhedernes

procedurer for genopretning skal bygge på virksomhedernes egen identifi-

kation af kritiske anlæg og komponenter og deres fysiske sårbarheder. Det

foreslås således, at virksomhederne skal have overblik over tilgængelighe-

den af reservedele og identificere alternative forsyningskæder, der kan

sikre, at leveringen af tjenesten genoprettes.

Side 158/287

L 111 - 2024-25 - Bilag 1: Høringssvar og høringsnotat, fra klima-, energi- og forsyningsministeren

Det foreslås i § 7 stk. 2,

nr. 5,

at klima-, energi- og forsyningsministeren

fastsætter nærmere regler om medarbejdersikkerhedsstyring.

Den foreslåede bestemmelse gennemfører CER-direktivets artikel 13, stk.

1, litra sikre passende medarbejdersikkerhedsstyring under behørig hen-

syntagen til foranstaltninger såsom fastsættelse af kategorier af personale,

der udøver kritiske funktioner, fastlæggelse af adgangsrettigheder til loka-

ler, kritisk infrastruktur og følsomme oplysninger, fastsættelse af procedu-

rer for baggrundskontrol.

Herved foreslås det, at virksomhederne skal have politikker og systemer

for styret adgangskontrol, således at der tages stilling til hvilke medarbej-

dere, herunder eksterne, der har adgang til hvilke dele af anlægget samt

hvilke medarbejdere, herunder eksterne, der har fysisk adgang til net- og

informationssystemer. Dette vil desuden indebære, at der føres log over

denne adgang, og at der vil føres løbende kontrol med, at adgangskontrol-

len virker efter hensigten. Det følger derudover af den foreslåede bestem-

melse, at der skal sikres sammenhæng med bestemmelsen om autentifice-

ring og adgangsbeskyttelse af net- og informationssystemer, jf. den fore-

slåede § 8 stk. 2, nr. 9.

Til § 8 [Kapitel 3]

Det følger af elforsyningslovens § 85 c, at visse virksomheder med bevil-

ling eller tilladelse til produktion af el skal have et it-beredskab. Det

samme gælder for Energinet og dennes helejede datterselskaber, samt virk-

somheder der yder balancering af elsystemet.