Klima-, Energi- og Forsyningsudvalget 2024-25
L 111 Bilag 2
Offentligt
Udkast til bekendtgørelse om modstandsdygtighed og beredskab i energisektoren
Indhold
Kapitel 1 Formål, anvendelsesområde og definitioner
Kapitel 2 Niveauinddeling af virksomheder og klassificering af anlæg
Kapitel 3 Roller og ansvar
Kapitel 4 Politik for risikostyring
Kapitel 5 Beredskabsplanlægning
Fortegnelser
Risiko- og sårbarhedsvurdering
Beredskabsplaner
Øvelser og funktionstest
Kapitel 6 Uddannelse og awareness
Kapitel 7 Risikovurderinger af projekter
Kapitel 8 Leverandørstyring og forsyningskædesikkerhed
Kapitel 9 It-sikkerhedstjeneste
Kapitel 10 Anlægs modstandsdygtighed
Kapitel 11 Sikkerhed i net- og informationssystemer
Forvaltning af software- og hardwareaktiver
Adgangsstyring
Backup-styring
Kryptografi og sikret tale
Netværkssegmentering og netværksdokumentation
Logning og monitorering
Evaluering af sikkerheden i net- og informationssystemer
Kapitel 12 Håndtering af hændelser
Underretningsforpligtelser
Kapitel 13 Energinets opgavevaretagelse i forbindelse med sektorberedskabet
Kapitel 14 Energistyrelsens opgavevaretagelse i forbindelse med sektorberedskabet
Kapitel 15 Fortrolighed, udveksling af oplysninger og digital kommunikation
Kapitel 16 Tilsyn
Kapitel 17 Samordnet beredskab
Side
1
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Kapitel 18 Identificering af særlige virksomheder
Kapitel 19 Dispensation
Kapitel 20 Håndhævelse og klageadgang
Kapitel 21 Ikrafttrædelses- og overgangsbestemmelser
Bilag 1
Bilag 2
Bilag 3
Bilag 4
Bilag 5
Side
2
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0003.png
Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren
1)
I medfør af § 4, stk. 3, § 5, stk. 3 og 4, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, § 10, § 12, § 13, §
19, stk. 4 og 5, § 22, stk. 3, § 23, stk. 4, § 26, stk. 2, § 30, § 32, stk. 1, § 34, § 35, stk. 2, § 36
og § 37, stk. 4 i lov nr. [X] af [dd.mm.åå] om styrket beredskab i energisektoren og efter
forhandling med Ministeren for Samfundssikkerhed og Beredskab fastsættes efter
bemyndigelse i henhold til § [X] i bekendtgørelse nr. [X] af [dd.mm.åå] om
Energistyrelsens opgaver og beføjelser fastsættes:
Kapitel 1
Formål, anvendelsesområde og definitioner
§ 1.
Denne bekendtgørelse fastsætter regler om organisatorisk beredskab, fysisk sikring
og cybersikkerhed for virksomheder, der er væsentlige for energiforsyning og
energimarkeder i Danmark og Europa samt regler for Energistyrelsen og Energinets
forpligtelser på beredskabsområdet i energisektoren.
§ 2.
Bekendtgørelsen finder anvendelse på virksomheder omfattet af § 2 i lov om styrket
beredskab i energisektoren.
Stk. 2.
Regler om foranstaltninger til at understøtte anlægs modstandsdygtighed efter
kapitel 10 finder anvendelse på virksomheders anlæg klassificeret i henhold til § 6, stk. 2, jf.
dog § 8 og § 40.
Stk. 3.
Regler om foranstaltninger til at understøtte sikkerheden i net- og
informationssystemer i denne bekendtgørelse finder kun anvendelse på net- og
1
Bekendtgørelsen indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv (EU)
2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen,
om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148
(NIS 2-direktivet for net- og informationssystemer i hele Unionen, EU-Tidende 2022, nr. L 333, s. 80 og dele Europa-
Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om
ophævelse af Rådets direktiv 2008/114/EF, EU-Tidende 2022 nr. L 333, s. 164.
Side
3
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
informationssystemer, som virksomheder anvender i leveringen af deres tjenester jf. § 8, stk.
i lov om styrket beredskab i energisektoren.
§ 3.
I denne bekendtgørelse forstås ved:
1) Beredskab: Organisering af processer, aktiviteter og foranstaltninger, som aktiveres, når
der er behov for at forhindre, begrænse eller håndtere risici for nedbrud i eller
forstyrrelse af en tjeneste.
2) Cybersikkerhed: Som defineret i lov om styrket beredskab i energisektoren, § 3, nr. 3.
3) Forsyningskritisk net- og informationssystem: Et net- og informationssystem med
mulighed for direkte at afbryde eller påvirke fysiske og logiske processer, som er
nødvendige for forsyningen til en eller flere slutbrugere, herunder industrielle
kontrolsystemer, operationelle teknologier samt net- og informationssystemer med
direkte integration til disse.
4) Hændelse: Som defineret i lov om styrket beredskab i energisektoren, § 3, nr. 11.
5) Håndtering af en hændelse: Som defineret i lov om styrket beredskab i energisektoren, §
3, nr. 12.
6) Industrielle kontrolsystemer: Net- og informationssystemer, der anvendes til alle former
for digital styring, kontrol og overvågning af fysiske og industrielle processer,
eksempelvis styring, kontrol og overvågning af ventiler og pumper eller opsamling og
analyse af data fra et fysisk system, herunder sensorer og styringskomponenter forbundet
til et industrielt netværksmiljø.
7) Net- og informationssystem: Et net- og informationssystem, som defineret i lov om
styrket beredskab i energisektoren, § 3, nr. 21.
8) Operationelle teknologier: Fysiske net- og informationssystemer, der overvåges eller
styres af industrielle kontrolsystemer
.
9) Risiko: Som defineret i lov om styrket beredskab i energisektoren, § 3, nr. 26.
10) Risikovurdering: Som defineret i lov om styrket beredskab i energisektoren, § 3, nr. 27.
11) Sikkerhed i net- og informationssystemer: Net- og informationssystemers evne til på et
givet sikkerhedsniveau at modstå enhver begivenhed, der kan være til skade for
tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte
Side
4
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via disse
net- og informationssystemer.
12) Sårbarhed: En svaghed, modtagelighed eller fejl ved processer, produkter, tjenester,
fysiske indretninger og lignende, som kan påvirke sandsynligheden for, at der kan
indtræde en hændelse.
Kapitel 2
Niveauinddeling af virksomheder og klassificering af anlæg
§ 4.
Virksomheder inddeles i fem niveauer, jf. tærskelværdierne i bilag 1.
Stk. 2.
Energistyrelsen træffer afgørelse om en virksomheds niveauinddeling på grundlag
af virksomhedens aktiviteter og betydning for den samlede forsyning i den pågældende
delsektor på lokalt, regionalt, nationalt eller europæisk plan.
Stk. 3.
Virksomheder, der opererer inden for flere delsektorer, tildeles det højeste niveau,
efter hvilket virksomheden overskrider tærskelværdierne.
Stk. 4.
Virksomheder med samordnet beredskab, jf. § 113, tildeles samme niveau.
Energistyrelsen inddrager i afgørelsen virksomhedernes indbyrdes forhold i leveringen af
tjenesten og deres samlede betydning for den samlede forsyning i delsektoren.
Stk. 5.
Energistyrelsen kan træffe afgørelse om, at en virksomhed skal tildeles et andet
niveau, end hvad der fremgår af tærskelværdierne i bilag 1, hvis særlige omstændigheder
gør, at den pågældende virksomhed leverer sin tjeneste til slutbrugere, der udgør kritisk
infrastruktur i andre sektorer.
§ 5.
Virksomheder, som er inddelt i niveau 1, efter § 4, stk. 1 og 2, skal, uagtet
bestemmelserne i denne bekendtgørelse, kun overholde bestemmelserne i kapitel 1, 2, 15-17
og 19-20, samt §§ 19, stk. 1-5, 73, stk. 1 og 4, 105 og 106.
§ 6.
Virksomheders anlæg inddeles i fem klasser, jf. tærskelværdierne i bilag 2.
Side
5
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 2.
Energistyrelsen træffer afgørelse om klassificering af en virksomheds anlæg på
grundlag af anlæggets funktion og betydning for den samlede forsyning i den pågældende
delsektor på lokalt, regionalt, nationalt eller europæisk plan.
Stk. 3.
Anlæg, som anvendes inden for flere delsektorer, klassificeres i højeste klasse,
efter hvilken anlægget overskrider tærskelværdierne.
Stk. 4.
Sammenbyggede anlæg anses som ét anlæg og klassificeres efter anlægget med
højeste klasse.
Stk. 5.
Energistyrelsen kan træffe afgørelse om, at en virksomheds anlæg skal
klassificeres i en anden klasse, end hvad der fremgår af tærskelværdierne i bilag 2, hvis
særlige omstændigheder gør, at det pågældende anlæg kan påvirke leveringen af en
virksomheds tjeneste til slutbrugere, der udgør kritisk infrastruktur i andre sektorer.
Stk. 6.
Energistyrelsen kan give forhåndstilsagn om et anlægs forventede klasse ved
etablering, sammenlægning og ændring af et anlæg. Endelig afgørelse træffes, når anlægget
tages i brug.
§ 7.
Almindelige kontorfaciliteter, som virksomheder anvender til leveringen af
virksomhedens tjenester, klassificeres, uagtet tærskelværdierne i bilag 2, som anlæg i klasse
2.
§ 8.
Anlæg, som falder under tærskelværdierne i bilag 2, klassificeres ikke.
Foranstaltningerne i kapitel 10 finder ikke anvendelse for anlæg i klasse 1.
§ 9.
Virksomheder skal hvert tredje år den 1. oktober sende de oplysninger efter bilag 3 til
Energistyrelsen, som er nødvendige for niveauinddeling af virksomheder, jf. § 4, og
klassificering af anlæg, jf. § 6, dog første gang den 1. april 2025.
Stk. 2.
Virksomheder skal uden unødigt ophold sende oplysninger om ændrede forhold af
betydning for en virksomheds niveauinddeling og et anlægs klasse.
Stk. 3.
Energistyrelsen kan kræve, at en virksomhed inden for en nærmere angivet frist på
minimum en uge sender manglende oplysninger til brug for at træffe afgørelse efter § 4, stk.
2 og § 6, stk. 2.
Side
6
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 4.
Energistyrelsen meddeler Forsyningstilsynet om virksomheders tildelte niveau og
anlægs tildelte klasse i henholdsvis el- og fjernvarmesektoren.
Kapitel 3
Roller og ansvar
§ 10.
Virksomheders risikoaccept og beredskab fastlægges af virksomhedens ledelse, som
skal forholde sig til og godkende følgende:
1) Risiko- og sårbarhedsvurderinger efter § 18.
2) Risikovurderinger i forbindelse med projekter, som skal sendes til Energistyrelsen efter
§ 28, stk. 1.
3) Beredskabsplaner efter § 19.
4) Tilsynsrapporter efter § 112.
§ 11.
Virksomheder skal have en beredskabskoordinator til at koordinere
beredskabsplanlægningen, herunder bistå ved udarbejdelsen af risiko- og
sårbarhedsvurderinger efter § 18 og beredskabsplaner efter § 19.
Stk. 2.
Virksomheder skal have en cyberkoordinator til at kordinere foranstaltningerne til
at understøtte sikkerheden i net- og informationssystemer, samt bistå
beredskabsplanlægningen for virksomhedens net- og informationssystemer.
Stk. 3.
Virksomheder med anlæg i klasse 4 og 5 skal have en eller flere
sikringskoordinatorer til at koordinere foranstaltninger på virksomhedens anlæg.
Stk. 4.
Beredskabskoordinatoren, cyberkoordinatoren og sikringskoordinatoren skal
koordinere indbyrdes, så virksomhedens beredskab planlægges ud fra et samlet
risikobillede.
Stk. 5.
Virksomhedens ledelse skal minimum 4 gange årligt mødes med de koordinerende
roller i stk. 1-3 med henblik på at tage stilling til virksomhedens organisatoriske beredskab,
fysiske sikring og cybersikkerhed. Der skal føres referat af møderne.
Side
7
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 6.
Virksomheder i niveau 4 og 5 må ikke have personsammenfald mellem
beredskabskoordinatoren, cyberkoordinatoren og virksomhedens ledelsen.
Stk. 7.
Virksomheder skal underrette Energistyrelsen om opdaterede kontaktoplysninger
på de koordinerende roller i stk. 1-3.
Kapitel 4
Politik for risikostyring
§ 12.
Virksomheder skal have en politik for risikostyring. Politikken skal omfatte
følgende:
1) Beskrivelse af ledelsens ansvar og rolle.
2) Metoder til at identificere, vurdere og evaluere risici, herunder risici for anlæg og net- og
informationssystemer.
3) Metoder til identifikation, vurdering, håndtering og prioritering af passende
foranstaltninger til at mitigere og styre risici.
4) Kriterier for evaluering og prioritering af risici.
5) Kriterier for risikoaccept.
Kapitel 5
Beredskabsplanlægning
§ 13.
Virksomheder skal foretage beredskabsplanlægning, således at virksomhedens
beredskabsplaner efter § 19 sikrer driftskontinuitet, og virksomheden kan overholde sine
underretningsforpligtigelser i tilfælde af en hændelse.
Stk. 2.
Virksomheder skal tage stilling til behovet for redundans, herunder redundans af
net- og informationssystemer og anlæg, som anvendes i leveringen af virksomhedens
tjenester.
Side
8
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 3.
Virksomheder skal indgå i den nationale krisehåndtering, herunder omsætte
udmeldinger om ændringer i sektorberedskabsniveau og sektorberedskabsforanstaltninger til
nødvendige tiltag i egen organisation hurtigst muligt.
Fortegnelser
§ 14.
Virksomheder skal føre ajourførte fortegnelser over anlæg, som er nødvendige for at
virksomheden kan levere sine tjenester.
Stk. 2.
Fortegnelser efter stk. 1 skal beskrive et anlægs funktion i leveringen af
virksomhedens tjenester, dets kritikalitet for leveringen af virksomhedens tjenester,
geografiske placering og eventuelle afhængigheder af reservedele, net- og
informationssystemer og leverandører.
Stk. 3.
Fortegnelser efter stk. 1 skal indeholde oplysninger om virksomhedens
afhængighed af andre virksomheders anlæg i leveringen af virksomhedens tjenester.
§ 15.
Virksomheder skal føre ajourførte fortegnelser over net- og informationssystemer,
som virksomheden anvender i leveringen af sine tjenester.
Stk. 2.
Fortegnelser efter stk. 1 skal indeholde beskrivelser af de processer, et net- og
informationssystem understøtter, dets kritikalitet for leveringen af virksomhedens tjenester,
intern ansvarsplacering, levetid og eventuelle afhængigheder af andre net- og
informationssystemer og leverandører.
Stk. 3.
Fortegnelser efter stk. 1 skal indeholde oplysninger om virksomhedens
afhængighed af andre virksomheders net- og informationssystemer i leveringen af
virksomhedens tjenester.
§ 16.
Virksomheder skal føre en fortegnelse over fysiske og digitale
informationsstrømme, som indgår i styringskritiske funktioner og beslutningsprocesser i
leveringen af virksomhedens tjenester, og som virksomheden sender og modtager fra
eksterne aktører og eksterne net- og informationssystemer.
Side
9
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 2.
Fortegnelsen efter stk. 1 skal indeholde en vurdering af risici for tab af
fortrolighed, integritet og tilgængelighed for nævnte informationsstrømme.
§ 17.
Fortegnelser efter §§ 14
16 skal holdes opdateret, så fortegnelserne altid er
retvisende.
Risiko- og sårbarhedsvurdering
§ 18.
Virksomheder skal gennemføre en risiko- og sårbarhedsvurdering af kendte og
mulige risici, der kan forstyrre eller forhindre leveringen af virksomhedens tjenester.
Stk. 2.
Risiko- og sårbarhedsvurderingen efter stk. 1 skal indeholde:
1) En identifikation og vurdering af risici og sårbarheder.
2) En vurdering af konsekvenser ved hændelser, herunder mulige afledte samfundsmæssige
konsekvenser.
3) En handlingsplan for risikohåndtering, som angiver:
a) Foranstaltninger til at mitigere og styre risici og sårbarheder, herunder
foranstaltninger jf. kapitel 10 og kapitel 12.
b) Tidsplan for implementering af foranstaltningerne i litra a.
c) Intern ansvarsplacering for implementering foranstaltningerne i litra a.
Stk. 3.
Virksomheder skal som led i deres identifikation og analyse af risici og
sårbarheder:
1) Tage stilling til Energistyrelsens risiko- og sårbarhedsscenarier, jf. § 107, stk. 5.
2) Inkludere alle relevante informationskilder, herunder virksomhedens egne erfaringer
samt trussels- og sårbarhedsvurderinger fra myndigheder og it-sikkerhedstjenesten, jf. §
33, stk. 1.
3) Tage stilling til risici, der vurderes at være tilbage, efter at virksomheden har
implementeret foranstaltninger efter stk. 2, nr. 3, litra a.
Side
10
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 4.
Risiko- og sårbarhedsvurderingen efter stk. 1 skal gennemføres med inddragelse af
relevante medarbejdere og leverandører med teknisk og organisatorisk kendskab til
virksomhedens processer, anlæg, net- og informationssystemer, netværksinfrastruktur og
leverandørforhold.
Stk. 5.
Risiko- og sårbarhedsvurderingen efter stk. 1 skal opdateres ved væsentlige
ændringer og integreres i virksomhedens samlede risikobillede.
Stk. 6.
Foranstaltninger efter stk. 2, nr. 3, skal implementeres under hensyntagen til det
aktuelle tekniske niveau, implementeringsomkostninger og risicienes alvor.
Beredskabsplaner
§ 19.
Virksomheder skal have beredskabsplaner for håndtering af hændelser og styring af
kriseindsatsen. Beredskabsplaner kan omfatte en eller flere delberedskabsplaner, procedurer
og instrukser.
Stk. 2.
Beredskabsplaner efter stk. 1 skal som minimum beskrive:
1) Intern ansvars- og rollefordeling, herunder vagtordninger og etablering af en krisestab
eller krisestyringsorganisation af relevans for håndteringen af en hændelse.
2) Muligheder for at aktivere yderligere ressourcer og materiel, herunder ekstra
driftsbemanding samt støtte fra andre virksomheder i henhold kontrakter eller andre
aftaler.
3) Operationel ansvarsfordeling mellem virksomheden og dennes samarbejdspartnere eller
leverandører i forbindelse med håndteringen af en hændelse.
4) Kontaktoplysninger på relevante personer i forbindelse med håndteringen af en
hændelse, herunder beredskabsansvarlige og systemansvarlige medarbejdere samt
krisestabens medarbejdere.
5) Kriterier for aktivering af en krisestab til håndteringen af en hændelse.
6) Procedurer for at modtage, indhente, behandle og fordele relevant information internt i
virksomheden i forbindelse med håndteringen af en hændelse.
Side
11
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
7) Procedurer for ekstern informationsdeling om hændelser og håndteringen af hændelser
til relevante myndigheder, samarbejdspartner, forbrugere, pressen, offentligheden og
andre aktører.
Stk. 3.
Beredskabsplaner efter stk. 1 skal indeholde følgende procedurer:
1) Procedurer for etablering af alternative driftsformer ved nedbrud i processer, anlæg og
net- og informationssystemer, herunder beskrivelser af:
a) Muligheder for at overgå til manuel drift.
b) Metoder til og betingelser for at aktivere redundante net- og informationssystemer og
nødprocedurer.
2) Procedurer for isolering af industrielle kontrolsystemer og operationelle teknologier,
herunder en beskrivelse af metoder til at isolere systemerne samt betingelser for at
aktivere planerne.
3) Procedurer for genoprettelse af et anlæg, herunder en beskrivelse af hvor hurtigt
reservedele, mandskab og øvrige ressourcer kan anskaffes for at genoprette driften ved
beskadigelse af de dele af anlægget, der er væsentlige for virksomhedens tjeneste.
4) Procedurer for at fremskaffe kritiske reservedele fra eget lager eller fra leverandører.
5) Procedurer for genoprettelse af net- og informationssystemer, herunder beskrivelser af:
a) Maksimalt accepteret nedetid og datatab for net- og informationssystemer.
b) Målsætningen for genetableringstid og metoder til at genoprette net- og
informationssystemer fra backup.
c) Betingelserne for aktivering af procedurer for genoprettelse.
6) Procedurer for iværksættelse af foranstaltninger, som kan iværksættes i forbindelse med
håndteringen af en hændelse, herunder sektorberedskabsforanstaltninger.
7) Procedurer for udveksling af driftskritisk information ved nedbrud i normale
kommunikationslinjer i forbindelse med en hændelse.
8) Procedurer for dokumentation for virksomhedens håndtering af en hændelse.
Stk. 4.
Beredskabsplaner efter stk. 1 skal være i overensstemmelse med
sektorberedskabsplanen for den delsektor, virksomheden opererer inden for.
Side
12
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 5.
Beredskabsplaner efter skal være versionsstyrede med en kort beskrivelse af
ændringerne i forhold til tidligere versioner.
Stk. 6.
Beredskabsplaner efter stk. 1 skal tage højde for konklusionerne i risiko- og
sårbarhedsvurderingen, jf. § 18, og skal i nødvendigt omfang opdateres i forbindelse med
gennemførelsen af en risiko- og sårbarhedsvurdering.
Øvelser og funktionstest
§ 20.
Virksomheder skal have en plan over øvelser, som virksomheden planlægger at
gennemføre over en femårig periode i henhold til § 21.
Stk. 2.
Den femårige øvelsesplan skal dække alle øvelseselementer i bilag 4.
Stk. 3.
Virksomheder skal første gang udarbejde en femårig øvelsesplan som dækker
perioden fra den 1. oktober 2025 til den 30. september 2030. Derefter udarbejdes en ny
øvelsesplan for en ny femårig periode.
Stk. 4.
Den femårige øvelsesplan er tentativ og skal opdateres minimum én gang årligt og
ved væsentlige ændringer.
§ 21.
Virksomheder i niveau 3-5 skal minimum øve deres beredskab én gang om året med
udgangspunkt i egne beredskabsplaner, jf. § 19.
Stk. 2.
Virksomheder i niveau 2 skal minimum øve deres beredskab hvert andet år.
Stk. 3.
Virksomheder i niveau 4 og 5 skal 1. gang om året øve genopretning af net- og
informationssystemer, jf. øvelseselement nr. 18 i bilag 4.
Stk. 4.
Virksomheders ledelse skal i relevant omfang deltage i beredskabsøvelser.
§ 22.
Virksomheder skal årligt gennemføre funktionstests af teknisk udstyr, som
virksomheden planlægger at anvende i forbindelse med håndteringen af en hændelse,
herunder test af alternative kommunikationsmidler og teknisk kontrol af
kommunikationsveje.
Side
13
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
§ 23.
Virksomheder skal evaluere øvelser, som virksomheden gennemfører efter § 21.
Stk. 2.
Virksomheder skal udarbejde og sende en øvelsesevaluering til Energistyrelsen til
godkendelse senest tre måneder efter, at en øvelse er afholdt. Øvelsesevalueringen skal som
minimum indeholde en beskrivelse af:
1) Trænede øvelseselementer.
2) Øvelsens forløb.
3) Opnåede erfaringer.
4) Relevante læringspunkter.
5) Planlagt opfølgning på læringspunkterne i nr. 4, herunder tidsplan og intern
ansvarsplacering for opfølgningen.
Stk. 3.
Energistyrelsen kan videresende relevante læringspunkter fra en virksomhed i el-,
gas- eller brintsektorens øvelsesevaluering efter stk. 2, nr. 4, til Energinet, hvis
Energistyrelsen vurderer det nødvendigt for Energinets evne til at varetage de koordinerende
opgaver i sektorberedskabet, jf. § 81.
Stk. 4.
Energistyrelsen kan dele relevante læringspunkter fra en virksomheds
øvelsesevaluering med andre virksomheder og myndigheder, hvis Energistyrelsen vurderer
det relevant for sektorberedskabet som helhed.
Stk. 5.
Energistyrelsen skal høre den pågældende virksomhed, hvis læringspunkter
planlægges videresendt, inden videresendingen må finde sted efter stk. 3 og 4.
Kapitel 6
Uddannelse og awareness
§ 24.
Virksomhedens ledelse skal opbygge og fastholde de nødvendige kompetencer til at
kunne træffe beslutninger angående virksomhedens organisatoriske beredskab, fysiske
sikring og cybersikkerhed, jf. § 10.
§ 25.
Virksomheder skal sikre, at personer, som udfører opgaver inden for virksomhedens
organisatoriske beredskab, fysiske sikring og cybersikkerhed, opbygger og fastholder de
Side
14
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
nødvendige kompetencer, herunder modtager den fornødne instruktion, uddannelse og
træning.
§ 26.
Virksomheder skal årligt gennemføre awareness-tiltag for at fremme og fastholde
kendskab til relevante beredskabsplaner og trusler i virksomheden.
Stk. 2.
Virksomheder skal årligt gennemføre awareness-tiltag for at fremme og fastholde
virksomhedens evne til at genkende og håndtere relevante cybertrusler.
Kapitel 7
Risikovurderinger af projekter
§ 27.
Virksomheder skal gennemføre en risikovurdering i henhold til § 18 i forbindelse
med følgende projekter:
1) Erhvervelse og udvikling af forsyningskritiske net- og informationssystemer.
2) Anlæggelse af nye anlæg eller opkøb af anlæg i klasse 3-5, jf. tærskelværdierne i bilag 2.
Ændring af eksisterende anlæg i klasse 3-5, som forventes at medføre en ændring i et
anlægs klassificering, jf. tærskelværdierne i bilag 2.
3) Outsourcing af udviklings-, drifts- og vedligeholdelsesopgaver, der kan påvirke
leveringen af virksomhedens tjenester.
Stk. 2.
Risikovurderinger efter stk. 1, hvor der indgår et leverandørforhold, skal inkludere
en vurdering af risici som følger af leverandørforholdet, jf. procedurerne i § 29.
Stk. 3.
Risikovurderinger efter stk. 1 skal udarbejdes i tidspunktet for projektets opstart og
foreligge skriftligt. Risikovurderingen skal opdateres, når projektets omfang, tidsplan og
delleverancer ændres i en sådan grad, at det ændrer forudsætningerne for risikovurderingen.
§ 28.
Risikovurderinger efter § 27 skal forelægges Energistyrelsen til godkendelse i
forbindelse med følgende projekter:
1) Anlægsprojekter efter § 27, stk. 1, nr. 2-4, hvor et anlæg ved fuldførelse forventes at
opfylde tærskelværdierne for anlæg i klasse 4 og 5, jf. tærskelværdierne i bilag 2.
Side
15
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2) Erhvervelse eller udvikling af forsyningskritiske net- og informationssystemer efter §
27, stk. 1, nr. 2 og 4.
Stk. 2.
Risikovurderingen skal sendes til Energistyrelsens senest tre måneder efter
gennemførelse af en risikovurdering efter § 27, stk. 3.
Kapitel 8
Leverandørstyring og forsyningskædesikkerhed
§ 29.
Virksomheder skal have procedurer til at sikre forsyningskædesikkerhed i
leverandørforhold i forhold til produkter og tjenester, som anvendes i leveringen af
virksomhedens tjenester. Procedurerne skal indeholde:
1) Metoder til at identificere, vurdere og håndtere risici, der er specifikke for hver direkte
leverandør og tjenesteudbyder i forsyningskæden, herunder risici forbundet med
afhængigheder af underleverandører og internationale forhold i en aftale med en direkte
leverandør og tjenesteudbyder.
2) Metoder til at vurdere modstandsdygtigheden af leverede produkter og tjenester,
herunder den generelle kvalitet af eventuelt integrerede foranstaltninger til at styre risici
i net- og informationssystemer.
§ 30.
Virksomheder skal ved indgåelse af aftaler med direkte leverandører og
tjenesteudbydere af produkter og tjenester, som kan påvirke forsyningssikkerheden eller
påvirke sikkerheden i virksomhedens net- og informationssystemer, sikre:
1) At der stilles krav til passende foranstaltninger til at styre risici og håndtere hændelser,
for så vidt angår de leverede produkter og tjenester.
2) At virksomheden underrettes om væsentlige hændelser, jf. § 78, for så vidt angår de
leverede produkter og tjenester, hos den direkte leverandør eller tjenesteudbyder.
3) At den direkte leverandør eller tjenesteudbyder bistår virksomheden med at overholde
sine rapporteringsforpligtelser i tilfælde af væsentlige hændelser, jf. § 78.
Side
16
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
4) At direkte leverandører og tjenesteudbydere kan inddrages i forbindelse med
Energistyrelsens tilsyn med virksomheden angående overholdelse af bestemmelser i lov
om styrket beredskab i energisektoren og denne bekendtgørelse.
5) At direkte leverandører forpligter sig til i passende omfang at indgå i virksomhedens
øvelser, jf. bilag 4, nr. 13 og 14.
6) At direkte leverandører og tjenesteudbydere kan inddrages i virksomhedens
beredskabsarbejde i det omfang, det er relevant.
7) At der opstilles kriterier for direkte leverandørers udlicitering af væsentlige dele af en
leverandøraftale til en eller flere underleverandører.
8) At virksomheden i relation til direkte leverandører og tjenesteudbydere bevarer ejerskab
af data, som er nødvendig for leveringen af virksomhedens tjeneste eller som er
fortrolige, jf. § 26 i lov om styrket beredskab i energisektoren.
§ 31.
Virksomheder skal have procedurer for styring af fjernadgange for direkte
leverandører og tjenesteudbydere, som kan tilgå virksomhedens forsyningskritiske net- og
informationssystemer.
Stk. 2.
Hvis en direkte leverandør eller tjenesteudbydere har behov for fjernadgang, skal
procedurerne fremgå af leverandøraftalen.
§ 32.
Krav til organisatorisk beredskab, fysisk sikring og cybersikkerhed rettet mod
direkte leverandører eller tjenesteudbydere i henhold til § 30 og § 31 skal fremgå af en
leverandøraftale.
Stk. 2.
Virksomheder skal sikre, at direkte leverandører og tjenesteudbydere over for
virksomheden kan dokumentere overholdelse af krav, som stilles i en leverandøraftale, jf. §
30 og § 31.
Kapitel 9
It-sikkerhedstjeneste
Side
17
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
§ 33.
Virksomheder skal være tilmeldt en it-sikkerhedstjeneste, som skal varsle
virksomheden om relevante sårbarheder og cybertrusler uden ugrundet ophold og vejlede
virksomheden om mitigerende tiltag.
Stk. 2.
Det skal fremgå af leverandøraftalen med en it-sikkerhedstjeneste, hvor hurtigt it-
sikkerhedstjenesten skal varsle virksomheden efter opdagelse af sårbarheder og cybertrusler.
Stk. 3.
Virksomheder skal sikre, at it-sikkerhedstjenesten har det nødvendige kendskab til
virksomhedens net- og informationssystemer, så it-sikkerhedstjenesten kan identificere og
varsle virksomheden om relevante sårbarheder og cybertrusler.
Stk. 4.
Virksomheder skal sikre, at varsler modtages af personer med de nødvendige
kompetencer til at omsætte varsler til mitigerende handling i virksomheden under
hensyntagen til et varsels alvor.
Stk. 5.
Virksomheder, som indgår en fælles kontrakt med en it-sikkerhedstjeneste, skal
alle fremgå af kontrakten med it-sikkerhedstjenesten. Kontrakten skal opbevares hos alle
tilmeldte virksomheder.
§ 34.
Virksomheder i niveau 3-5 skal sikre, at en it-sikkerhedstjeneste bistår
virksomheden i forbindelse med håndteringen af en hændelse, herunder at it-
sikkerhedstjenesten kan yde assistance til skadesbegrænsning, bevisindsamling og teknisk
bistand til genoprettelse af net- og informationssystemer.
§ 35.
Virksomheder skal sikre, at oplysninger om sårbarheder og hændelser, som
tilvejebringes gennem virksomhedens it-sikkerhedstjeneste, kan videreformidles til andre
virksomheder uden ugrundet ophold.
Kapitel 10
Anlægs modstandsdygtighed
§ 36.
Virksomheder skal have foranstaltninger til sikre, at virksomhedens anlæg kan
modstå skader og funktionstab som følge af en hændelse.
Side
18
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 2.
Virksomheder træffer passende og forholdsmæssige foranstaltninger til at
klimasikre virksomhedens anlæg, så anlæg har lav sårbarhed over for skader eller
funktionstab som følge af klimaforandringer.
Stk. 3.
Virksomheder skal for anlæg i klasse 3-5 implementere foranstaltninger til at
understøtte følgende:
1) At brand, ekstreme vejrforhold, skader eller fejl på anlægget opdages, verificeres og
alarmeres.
2) At anlægget har lav sårbarhed over for funktionssvigt af net- og informationssystemer.
3) At anlægget har lav sårbarhed over for funktionssvigt af offentligt udbudte elektroniske
kommunikationsnet eller
–tjenester.
Stk. 4.
Anlæg i klasse 3-5 skal have nødstrømsforsyning, som i tilfælde af
strømafbrydelse sikrer anlæggets funktionalitet i perioden frem til strømforsyningens
genopretning.
Stk. 5.
Virksomheder skal udbedre funktionstab og skader på anlæg inden for en rimelig
tidsperiode, så anlæggets funktioner kan genoprettes uden unødigt ophold.
Stk. 6.
Virksomheder skal som minimum hvert halve år foretage kontrol med, at
foranstaltninger efter stk. 2-4 gennemføres, er intakte og fungerer efter hensigten, herunder
foretage afprøvning af et anlægs nødstrøm.
§ 37.
Virksomheder skal have et system for styret adgangskontrol, så kun godkendte og
verificerede personer med et arbejdsbetinget behov kan få adgang til virksomhedens anlæg.
Stk. 2.
Virksomheder skal tage stilling til, hvilke medarbejdere og leverandører der må og
kan få adgang til forskellige dele af virksomhedens anlæg, herunder mulighed for at færdes
uledsaget på anlægget.
Stk. 3.
Gæster og andre personer, som ikke har fast arbejdsgang på et anlæg, eller på dele
af anlægget, skal indgå i den styrede adgangskontrol.
Stk. 4.
Adgange skal logges, så virksomheden til kan trække personhenførbare logs på
adgange til virksomhedens anlæg. Logs skal beskyttes som beskrevet i § 67.
Side
19
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 5.
Virksomheder skal som minimum hvert halve år foretage kontrol med, at den
styrede adgangskontrol efter stk. 1-4 gennemføres, er intakt og fungerer efter hensigten,
herunder at kun personer med et arbejdsbetinget behov kan få adgang til et anlæg.
§ 38.
Virksomheder skal have foranstaltninger til at sikre, at forsøg på uautoriseret adgang
på virksomhedens anlæg forebygges, opdages og reageres på, jf. dog § 42.
Stk. 2.
Foranstaltninger efter stk. 1 skal som minimum omfatte:
1) Styret adgangskontrol, jf. § 37.
2) Sikring til at forsinke og besværliggøre fysisk indtrængen på anlægget.
3) Elektronisk overvågning til at opdage forsøg på indtrængen, herunder forsøg på
sabotage, indbrud og tyveri.
4) Elektronisk overvågning til at verificere forsøg på indtrængen på anlæg i klasse 4 og 5.
Stk. 3.
Sikring efter stk. 2 skal omfatte en generel perimetersikring, så uautoriserede
personer og køretøjer ikke kan få adgang til at bevæge sig ind på et anlægs perimeter uden
at blive opdaget.
Stk. 4.
Virksomheder skal for anlæg i klasse 4 og 5 foretage celle- eller objektsikring af
områder med adgang til forsyningskritiske net- og informationssystemer, arbejdsstationer,
anlægskomponenter og netværksudstyr, der kan tilgå forsyningskritiske net- og
informationssystemer, herunder kontrolrum, serverrum og datacentre.
Stk. 5.
Virksomheder i niveau 4 og 5 skal foretage visuel afskærmning af områder og
udstyr, der opbevarer og behandler fortrolig information, jf. § 26 i lov om styrket beredskab
i energisektoren.
Stk. 6.
Virksomheder skal foretage kontrol med, at foranstaltninger efter stk. 2-5
gennemføres, er intakte og fungerer efter hensigten, herunder besigtige og afprøve anlægs
fysiske sikring. Kontrollen for anlæg i klasse 2 og 3 skal foretages hvert kvartal. Kontrollen
for anlæg i klasse 4 og 5 skal foretages hver måned.
§ 39.
Virksomheder skal have procedurer for håndtering af alarmer om ulovlig
indtrængen på virksomhedens anlæg, så alarmer håndteres på en hurtig og kvalificeret
måde.
Side
20
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 2.
Forsøg på indtrængen på anlæg skal omgående alarmeres til et døgnbemandet
kontrolrum eller en af Rigspolitiet godkendt kontrolcentral.
Stk. 3.
Virksomheder skal hvert kvartal foretage kontrol med, at procedurer for håndtering
af alarmer efter stk. 1 og 2 gennemføres på effektiv vis.
§ 40.
Virksomheder skal have en plan for, hvornår virksomheden i løbet af et år
planlægger at gennemføre kontrol med et anlægs sikringsforanstaltninger, jf. § 36, stk. 6, §
37, stk. 5, § 38, stk. 6 og § 39, stk. 3.
Stk. 2.
Fejl og mangler ved foranstaltningerne efter skal rettes hurtigt og årsagerne hertil
undersøges.
Stk. 3.
Virksomheder skal føre log over gennemførte kontroller.
§ 41.
Virksomheder skal implementere foranstaltninger efter §§ 36
39 på anlæg, som er
sammenbygget med andre anlæg, uanset sammenbygningen. Foranstaltningerne skal
implementeres i henhold til anlægget med højeste klasse.
§ 42.
Virksomheder skal for rørledninger og kabler som er nedgravet, suspenderet i
luften, ligger på eller nedgravet i havbunden kun implementere foranstaltninger efter § 36
og § 38, stk. 2, nr. 3.
§ 43.
Virksomheder skal have foranstaltninger til at sikre, at forsøg på indtrængen og
uautoriseret adgang på virksomhedens anlæg, lokationer, faciliteter, aktiver og udstyr, som
ikke er klassificeret, men hvorfra der opbevares netværksudstyr, der kan tilgå net- og
informationssystemer, opdages og omgående alarmeres til et døgnbemandet kontrolrum
eller en af Rigspolitiet godkendt kontrolcentral.
Stk. 2.
Virksomheder skal foretage stikprøvevis kontrol med, at foranstaltninger efter stk.
1 gennemføres, er intakte og fungerer efter hensigten, jf. § 40, stk. 2 og 3.
Side
21
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Kapitel 11
Sikkerhed i net- og informationssystemer
§ 44.
Virksomheder skal have en politik for informationssystemsikkerhed til at fastlægge
en overordnet ramme for sikkerhed i virksomhedens net- og informationssystemer.
§ 45.
Virksomheder skal have procedurer for sikkerhed i forbindelse med erhvervelse,
udvikling og vedligeholdelse af net- og informationssystemer. Procedurerne skal indeholde:
1) Krav til opretholdelse af et passende sikkerhedsniveau i net- og informationssystemer,
som en virksomhed erhverver, udvikler og vedligeholder, herunder krav til sikkerheden i
udviklings- og testmiljøer.
2) Metoder til at kontrollere, om de erhvervede eller udviklede net- og
informationssystemer lever op til virksomhedens krav efter nr. 1.
§ 46.
Virksomheder skal sikre, at virksomhedens net- og informationssystemer og it-
udstyr, som anvendes i leveringen af virksomhedens tjenester, så vidt muligt hærdes med
antimalware og nyeste system- og sikkerhedsopdateringer i hele deres livscyklus.
Stk. 2.
System- og sikkerhedsopdateringer af forsyningskritiske net- og
informationssystemer skal gennemføres på baggrund af en risikovurdering, hvor risici mod
sikkerheden i systemerne evalueres i forhold til risici for opretholdelsen af virksomhedens
evne til at levere sine tjenester.
§ 47.
Virksomheder skal være i stand til at identificere, reagere på og mitigere
sårbarheder, som kan påvirke sikkerheden i virksomhedens net- og informationssystemer.
Stk. 2.
Virksomheder skal i stand til at modtage varsler om sårbarheder på elektronisk vis.
Stk. 3.
Virksomheder skal ved modtagelse af et varsel om en sårbarhed foretage en
risikovurdering af virksomhedens eksponering og mitigere sårbarheder, som kan påvirke
sikkerheden i virksomhedens net- og informationssystemer.
Side
22
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 4.
Virksomheder i niveau 4 og 5 skal være i stand til øjeblikket at reagere på varsler
efter stk. 2 og 3.
Stk. 5.
Virksomheder skal tage stilling til, om sårbarheder, som virksomheden
identificerer i virksomhedens net- og informationssystemer, bør offentliggøres, herunder i
forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer,
jf. § 45.
Stk. 6.
Virksomheder skal sikre, at oplysninger om sårbarheder, som kan have
sikkerhedsmæssig betydning for energisektoren, videreformidles til Energistyrelsen og
virksomheder, som varetager sektorberedskabet.
Forvaltning af software- og hardwareaktiver
§ 48.
Virksomheder skal have ajourførte fortegnelser over følgende software- og
hardwareaktiver:
1) Servere, databaser og netværksudstyr, som anvendes i forbindelse med leveringen af
virksomhedens tjenester.
2) Endpoints og virtuelle maskiner, der kan tilgå virksomhedens net- og
informationssystemer.
3) Software- og hardwareaktiver i virksomhedens forsyningskritiske net- og
informationssystemer.
Stk. 2.
Fortegnelserne skal være tilstrækkeligt detaljerede til at sikre hurtig identifikation
af et aktiv, så eventuelle sårbarheder kan identificeres, vurderes og mitigeres, jf. § 47.
Stk. 3.
Virksomhederne skal regelmæssigt og som minimum årligt kontrollere, at
fortegnelser efter stk. 1 er ajourførte. Fejl og mangler skal rettes hurtigt og årsagerne hertil
undersøges.
Stk. 4.
Virksomhederne skal mitigere risici for software og hardware, der anvendes i
leveringen af virksomhedens tjenester, som ikke længere kan supporteres med system- og
sikkerhedsopdateringer, jf. § 46, stk. 1.
Side
23
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
§ 49.
Virksomheder skal have procedurer til at sikre, at virksomhedens net- og
informationssystemer samt software- og hardwareaktiver efter § 48 konfigureres på sikker
vis, herunder at funktioner, services, applikationer, netværksprotokoller og porte, som ikke
er nødvendige for at levere virksomhedens tjenester, lukkes eller deaktiveres.
Stk. 2.
Procedurer efter stk. 1 skal omfatte sikker tilslutning af nye enheder i de netværk,
som virksomheden er afhængige af i leveringen af virksomhedens tjenester.
Stk. 3.
Virksomheder skal logge væsentlige konfigurationsændringer i virksomhedens
forsyningskritiske net- og informationssystemer.
Stk. 4.
Virksomheder skal logge ændringer på netværksudstyr, der anvendes i
segmenteringen af netværk efter § 62.
Stk. 5.
Virksomheder skal regelmæssigt og som minimum årligt kontrollere, at
virksomhedens net- og informationssystemer samt software- og hardwareaktiver efter § 48
er konfigureret efter stk. 1-4. Fejl og mangler skal rettes hurtigt og årsagerne hertil
undersøges.
§ 50.
Virksomheder i niveau 4 og 5 skal placere servere og datacentre, der understøtter
virksomhedens forsyningskritiske net- og informationssystemer, inden for EU/EØS/EFTA-
lande eller i andre lande med en tilstrækkelighedsafgørelse fra EU.
Adgangsstyring
§ 51.
Virksomheder skal udarbejde en politik for adgangskontrol til at sikre, at
virksomhedens net- og informationssystemer beskyttes mod uautoriseret fysisk og logisk
adgang.
§ 52.
Virksomheder skal foretage adgangskontrol af adgange, identiteter og rettigheder til
virksomhedens net- og informationssystemer. Adgangskontrollen skal understøtte følgende:
1) At adgange og rettigheder er personhenførbare og kun tildeles ved et arbejdsbetinget
behov.
2) At inaktive identiteter, bruger- og servicekonti deaktiveres og fjernes.
Side
24
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
3) At tildeling, ændring og fjernelse af adgange, identiteter, rettigheder og konti
systematisk logges.
Stk. 2.
Virksomheder skal som minimum gennemføre en kvartalvis sanering af adgange,
identiteter og rettigheder til forsyningskritiske net- og informationssystemer.
§ 53.
Virksomheder skal anvende multifaktorautentificering (MFA) eller kontinuerlig
autentificering ved adgang til virksomhedens net- og informationssystemer.
§ 54.
Virksomheder skal foretage styring af passwords til virksomhedens net- og
informationssystemer samt til netværksudstyr, der kan påvirke leveringen af virksomhedens
tjenester. Passwordstyringen skal understøtte, at kompleksiteten af passwords modsvarer
kritikaliteten af det pågældende system eller udstyr samt der så vidt muligt sker tvungen
udskiftning af passwords.
Stk. 2.
Virksomheder skal foretage tvungen udskiftning af standardpasswords til net- og
informationssystemer og netværksudstyr, inden at de tilsluttes virksomhedens netværk, jf. §
49, stk. 2.
§ 55.
Virksomheder skal sikre, at fjernadgange til virksomhedens net- og
informationssystemer beskyttes efter bestemmelserne i §§ 52-54.
Stk. 2.
Fjernadgange til virksomhedens net- og informationssystemer skal tildeles i en
tidsbegrænset periode, så fjernadgange kun er åbne i tidsrum med et godkendt
arbejdsbetinget behov for at tilgå et system.
Stk. 3.
Virksomheder skal udarbejde procedurer til at kunne opdage og håndtere
cyberangreb mod fjernadgange til forsyningskritiske net- og informationssystemer.
§ 56.
Virksomheder skal sikre, at mobile enheder, der kan tilgå virksomhedens
industrielle kontrolsystemer og operationelle kontrolsystemer, ikke anvendes til privat brug.
Side
25
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
§ 57.
Virksomheder skal regelmæssigt kontrollere, at foranstaltninger efter §§ 52-56
gennemføres og fungerer efter hensigten. Fejl og mangler skal rettes hurtigt og årsagerne
hertil undersøges.
Backup-styring
§ 58.
Virksomheder skal have procedurer for backup-styring for virksomhedens net- og
informationssystemer. Procedurerne skal som minimum indeholde minimumsfrekvensfor at
tage backup samt passende opbevaringstider for backup.
§ 59.
Virksomheder skal tage backup af virksomhedens forsyningskritiske net- og
informationssystemer og netværkskonfigurationer, så virksomheden kan genoprette
netværksinfrastrukturen for forsyningskritiske net- og informationssystemer.
Stk. 2.
Backups efter stk. 1 skal beskyttes med foranstaltninger, der garanterer samme
beskyttelsesniveau som for det forsyningskritiske net- og informationssystem, der tages
backup af.
Stk. 3.
Virksomheder i niveau 4 og 5 skal tage backup efter stk. 1 i flere kopier. Backups
skal opbevares særskilt fra det forsyningskritiske net- og informationssystem, der tages
backup af, herunder som offline kopier.
Kryptografi og sikret tale
§ 60.
Virksomheder skal have politikker og procedurer for brug af kryptografi, og, hvor
det er relevant, skal kryptering anvendes med henblik på at beskytte data, når data lagres, og
når data overføres mellem netværk.
§ 61.
Virksomheder skal anvende sikret tale-, video- og tekstkommunikation i
virksomheden, hvor det er relevant, for at beskytte mod hændelser.
Side
26
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Netværkssegmentering og netværksdokumentation
§ 62.
Virksomheder skal foretage netværkssegmentering, så virksomhedens
forsyningskritiske net- og informationssystemer isoleres fra andre net- og
informationssystemer og udstyr.
Stk. 2.
Netværkssegmentering efter stk. 1, stk. 3 og stk. 5, skal ske ved brug af en
demilitariseret zone, som skal placeres mellem det isolerede netværk med forsyningskritiske
net- og informationssystemer og øvrige netværk.
Stk. 3.
Virksomheder i niveau 4 og 5 skal fysisk adskille netværk med forsyningskritiske
net- og informationssystemer fra andre netværk, jf. dog stk. 5.
Stk. 4.
Multiforsyningsvirksomheder i niveau 4 og 5 skal sikre, at netværk med
forsyningskritiske net- og informationssystemer er fysisk adskilt på tværs af forsyningsarter
i henhold til stk. 3, medmindre det er forsyningskritisk net- og informationssystem til
styring af et anlæg der leverer flere energiforsyningstjenester.
Stk. 5.
Virksomheder i niveau 4 og 5 skal foretage netværkssegmentering for net- og
informationssystemer, som anvendes i adgangskontrollen for anlæg, jf. § 37 og § 38, stk. 2,
nr. 3 og 4. Net- og informationssystemerne kan placeres i samme fysiske netværk som
forsyningskritiske net- og informationssystemer.
§ 63.
Virksomheder skal have ajourført netværksdokumentation, der beskriver
opbygningen af virksomhedens netværksinfrastruktur, herunder netværkssegmenteringen i §
62.
Stk. 2.
Virksomheder skal have ajourført dokumentation over kommunikationsprotokoller,
der anvendes i netværkssegmenter med forsyningskritiske net- og informationssystemer jf. §
62, herunder kommunikationsprotokoller med adgang til forsyningskritiske net- og
informationssystemer.
Stk. 3.
Virksomheder skal regelmæssigt og som minimum årligt kontrollere, at
dokumentationen efter stk. 1 og 2 er opdateret.
Logning og monitorering
Side
27
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
§ 64.
Virksomheder skal udarbejde en logpolitik til at fastlægge en overordnet ramme for
logning og monitorering i virksomhedens net- og informationssystemer. Logpolitikken skal
indeholde følgende:
1) Metoder for systematisk opsamling af logs, som er nødvendige for at identificere og
efterforske hændelser.
2) Metoder for monitorering af logs.
3) Ansvar for monitorering af logs.
4) Opbevaringstid for opbevaring af logs.
§ 65.
Virksomheder i niveau 2 og 3 skal i fornødent omfang implementere logning og
monitorering i virksomhedens net- og informationssystemer og netværksinfrastruktur med
henblik på at kunne identificere hændelser og nærvedhændelser samt understøtte
myndighedernes efterforskning.
§ 66.
Virksomheder i niveau 4 og 5 skal implementere logning og monitorering i
virksomhedens net- og informationssystemer og netværksinfrastruktur med henblik på at
kunne identificere hændelser og nærvedhændelser i realtid samt understøtte
myndighedernes efterforskning.
Stk. 2.
Virksomheder i niveau 4 og 5 skal som minimum logge følgende:
1) Steder, hvorfra der går datatrafik ind og ud af virksomhedens netværk, herunder
firewalls og internetvendte tjenester.
2) Hardware og software der understøtter leveringen af tjenesten, herunder
netværkskomponenter og udstyr til fjernadgang.
3) På hardware og software der understøtter et anlægs adgangskontrol, jf. 38. stk. 2.
§ 67.
Logs efter § 65 og § 66 skal være tidssynkroniserede og skal beskyttes med
foranstaltninger, der garanterer samme beskyttelsesniveau, som net- og
informationssystemet eller netværksudstyret, hvorfra der opsamles logs.
Side
28
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 3.
Logs skal opbevares særskilt fra de net- og informationssystemer og
netværksudstyr, hvorfra der opsamles logs, og skal sikres mod manipulation og beskyttes
mod uautoriseret adgang.
Stk. 4.
Virksomheder i niveau i 4 og 5 skal opbevare logs efter § 66 i 13 måneder.
§ 68.
Virksomheder i niveau 4 og 5 skal kunne reagere på uregelmæssigheder i net- og
informationssystemer og netværksinfrastruktur i realtid med henblik på at sikre, at
hændelser håndteres øjeblikkeligt.
§ 69.
Virksomheder skal planlægge logning og monitoreringen jf. §§ 65-68 i koordination
med virksomhedens it-sikkerhedstjeneste, så der opsamles og monitoreres logs af relevans
for it-sikkerhedstjenestens hændelseshåndtering.
Stk. 2.
Virksomheder i niveau 4 og 5 skal være i stand til at afgive logs til it-
sikkerhedstjenesten inden for 24 timer.
§ 70.
Virksomheder skal regelmæssigt og som minimum årligt kontrollere, at der
opsamles korrekte logs fra virksomhedens net- og informationssystemer og at logs kan
anvendes til at identificere og efterforske hændelser. Fejl og mangler skal rettes hurtigt og
årsagerne hertil undersøges.
Evaluering af sikkerheden i net- og informationssystemer
§ 71.
Virksomheder skal udarbejde en politik og procedurer for vurdering af effektiviteten
af foranstaltninger, som virksomheden implementerer til at understøtte sikkerheden i net- og
informationssystemer, jf. § 44.
Kapitel 12
Håndtering af hændelser
Side
29
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
§ 72.
Hændelser skal håndteres af den enkelte virksomhed med udgangspunkt i
virksomhedens beredskabsplaner med de nødvendige tilpasninger til situationen.
Stk. 2.
Virksomheder i niveau 3-5 skal i forbindelse med håndteringen af en hændelse
være i stand at indsætte tilstrækkeligt personale og teknisk assistance på alle tider af døgnet,
så virksomheden kan opretholde eller genoprette virksomhedens tjenester.
§ 73.
Virksomheder skal have et operationelt kontaktpunkt inden for egen organisation,
som myndigheder og virksomheder, der forestår sektorberedskabet, kan kontakte.
Stk. 2.
Det operationelle kontaktpunkt skal være i stand til at modtage udmeldinger om
ændringer i sektorberedskabsniveau på alle tider af døgnet, så virksomheden kan iværksætte
sektorberedskabsforanstaltninger i henhold til § 13, stk. 3, og skal videreformidle
information og udmeldinger internt i virksomheden.
Stk. 3.
Virksomheder skal holde Energistyrelsen underrettet om opdaterede
kontaktoplysninger på virksomhedens operationelle kontaktpunkt, jf. dog stk. 5.
Stk. 4.
Virksomheder i henholdsvis el-, gas- og brintsektoren skal holde Energinet
underrettet om opdaterede kontaktoplysninger på virksomhedens operationelle
kontaktpunkt.
§ 74.
Virksomheder skal være i stand til at opretholde kommunikationslinjer eller
anvende alternative kommunikationsformer i forbindelse med håndteringen af en hændelse.
Underretningsforpligtelser
§ 75.
Virksomheder skal uden unødigt ophold underrette modtagere af deres tjenester, om
væsentlige cybertrusler eller hændelser, der negativt påvirker eller har potentiale til negativt
at påvirke modtagerne af virksomhedens tjenester.
Stk. 2.
Virksomhederne skal sammen ved underretningen efter stk. 1, angive:
1) Den væsentlige cybertrussels forventede konsekvenser eller hændelsens faktiske
konsekvenser og den forventede varighed af hændelsen der er opstået eller måtte opstå
såfremt den væsentlige cybertrussel materialiseres.
Side
30
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2) Eventuelle foranstaltninger eller modforholdsregler, som modtagerne af virksomhedens
tjeneste kan træffe for at afbøde risici eller konsekvenser som følge af den pågældende
trussel eller hændelse.
3) Tidspunkter for yderligere information.
Stk. 3.
Virksomhederne skal, når det er nødvendigt for at modtagerne af deres tjenester
kan træffe effektive foranstaltninger eller modforholdsregler på baggrund af underretningen
efter stk. 1 og 2, give konkrete informationer om den væsentlige cybertrussel eller hændelse
er, herunder IP-adresser, angrebsmetoder og sårbarheder.
Stk. 4.
Virksomheder må ikke tage betaling fra modtagerne af deres tjenester for at give
underretninger efter stk. 1.
Stk. 5.
Virksomheder er ved underretninger efter stk. 1-3, ikke fritaget fra at træffe
passende og øjeblikkelige foranstaltninger til at forebygge eller afhjælpe enhver trussel eller
hændelses negative eller potentielle negative indvirkning på modtagerne af virksomhedens
tjeneste.
§ 76.
Virksomheder skal uden unødigt ophold underrette
Energistyrelsen og CSIRT’en,
om væsentlige cybertrusler, der negativt påvirker eller har potentiale til negativt at påvirke
leveringen af virksomhedens tjenester.
Stk. 2.
Virksomheder i el, gas- og brintsektoren skal ved underretninger efter stk. 1,
ligeledes underrette Energinet.
Stk. 3.
Virksomhedernes underretning efter stk. 1 og 2 skal angive de samme oplysninger
som specificeret i § 75, stk. 2.
Stk. 4.
Virksomhederne skal ved underretninger efter stk. 1 og 2, give konkrete
informationer om den væsentlige cybertrussel, herunder IP-adresser, angrebsmetoder og
sårbarheder.
§ 77.
Virksomheder skal uden unødigt ophold og under alle omstændigheder underrette
Energistyrelsen om enhver hændelse, der har en væsentlig indvirkning på leveringen af
virksomhedens tjenester, jf. dog stk. 4 og 5.
Stk. 2.
Væsentlige hændelser efter stk. 1 omfatter:
Side
31
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
1) Hændelser, som har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser
i leveringen af virksomhedens tjenester, herunder som følge af havari af anlæg,
arbejdsmarkedskonflikter og manglende leverancer af væsentlig betydning for
samfundets energiforsyning.
2) Hændelser, som har forårsaget eller er i stand til at forårsage økonomisk tab for den
berørte virksomhed.
3) Hændelser, som har påvirket eller er i stand til at påvirke andre fysiske eller juridiske
personer ved at forårsage betydelig materiel eller ikke-fysisk skade.
4) Hændelser, som har aktiveret eller burde have aktiveret virksomhedens
beredskabsplaner, herunder:
a) Hændelser, hvor et net- og informationssystems fortrolighed, integritet,
tilgængelighed og autenticiteten er blevet kompromitteret.
b) Hændelser, hvor der er begrundet mistanke om eller kendskab til indbrud, tyveri,
sabotage og spionage.
c) Hændelser, der har krævet bistand til situationsudredning, udbedring og genopretning
af virksomhedens net- og informationssystemer, herunder fra en it-
sikkerhedstjeneste, CSIRT og Energinet.
Stk. 2.
Virksomheder skal uden unødigt ophold og senest inden for 24 timer efter at have
fået kendskab til en væsentlig hændelse varsle Energistyrelsen. Virksomheden skal ved
indberetning angive følgende oplysning om hændelsen:
1) Hændelsens kendetegn, art eller type.
2) Hvad er årsagen til hændelsen.
3) Hændelsens konsekvenser.
4) Om hændelsen mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger.
5) Om hændelsen kunne have en grænseoverskridende virkning.
Stk. 3.
Virksomheder skal inden for 72 timer efter at have fået kendskab til en væsentlig
hændelse underrette Energistyrelsen, om status på hændelsen, herunder give en indledende
vurdering af hændelsens alvor, indvirkning og hvis muligt kompromitteringsindikatorerne.
Stk. 4.
Virksomheder skal underrette CSIRT’en ved væsentlige
hændelser, hvor
hændelsen har kompromitteret sikkerheden i virksomhedens net- og informationssystemer,
Side
32
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
på samme måde som underretninger til Energistyrelsen efter § 77, stk. 1-4, og § 78, stk. 1 og
2.
Stk. 5.
Virksomheder i henholdsvis el-, gas- og brintsektoren skal uden unødigt ophold
varsle Energinet om væsentlige hændelser efter stk. 2 i henhold til stk. 2-4.
Stk. 6.
Virksomheder skal efter anmodning fra Energistyrelsen eller
sikkerhedsmyndighederne fremsende en foreløbig rapport om relevante statusopdateringer.
§ 78.
Virksomheder skal senest én måned efter af hændelsesunderretningen i § 77, stk. 3,
sende en hændelsesrapport til Energistyrelsen. Hændelsesrapporten skal indeholde en
detaljeret beskrivelse af hændelsen og virksomhedens håndtering af hændelsen, herunder:
1) Hændelsens alvor og indvirkning.
2) Antallet og andelen af brugere berørt af en eventuel forstyrrelse i leveringen af tjenesten
samt forstyrrelsens varighed.
3) Geografisk område berørt at en eventuel forstyrrelse i leveringen af tjenesten.
4) Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen.
5) Anvendte og igangværende afbødende foranstaltninger.
6) Eventuelle grænseoverskridende virkninger af hændelsen.
7) En beskrivelse af samarbejdet med eksterne parter i håndteringen af hændelsen.
8) Opnåede erfaringer og læringspunkter fra virksomhedens håndtering af hændelsen.
9) Planlagt opfølgning på erfaringer og læringspunkter efter nr. 8, herunder tidsplan for
opfølgning.
Stk. 2.
Hvis en hændelse pågår for tidspunktet for hændelsesrapporten i stk. 1, kan
virksomheden sende en foreløbig rapport med relevante statusopdateringer på det
pågældende tidspunkt og en endelig hændelsesrapport senest en måned efter virksomhedens
håndtering af hændelsen.
Stk. 3.
Virksomheder kan i forbindelse med stk. 2 ansøge Energistyrelsen om, at
hændelsesevalueringen i stk. 1 godkendes som en øvelsesevaluering, jf. § 23, hvis
virksomheden har afprøvet konkrete øvelseselementer i bilag 4 i håndteringen af hændelsen.
Side
33
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Ansøgninger om godkendelse af hændelse som en øvelse skal vedlægges en opdateret
øvelsesplan, jf. § 20.
§ 79.
Underretning om væsentlige hændelser, hvor hændelsen har kompromitteret
sikkerheden i virksomhedens net- og informationssystemer, efter § 77, stk. 1-4, og § 78, stk.
1 og 2, skal indberettes til
CSIRT’en og
Energistyrelsen via
den af CSIRT’en anviste
selvbetjeningsløsning, jf. dog stk. 2.
Stk. 2.
Underretning om alle andre væsentlige hændelser efter § 78 skal ske gennem den
af Energistyrelsen anviste selvbetjeningsløsning.
Stk. 3.
Ansøgninger om godkendelse af en hændelse som en øvelse efter § 78, stk. 3 og 4,
skal sendes til Energistyrelsen gennem den af Energistyrelsen anviste selvbetjeningsløsning.
§ 80.
Virksomheder skal anmelde hændelser på land, hvor der er begrundet mistanke om
eller kendskab til indbrud, tyveri, sabotage og spionage til politiet.
Stk. 2.
Virksomheder skal anmelde hændelser på havet, hvor der er begrundet mistanke
om eller kendskab til indbrud, tyveri, sabotage og spionage til politiet og Forsvaret
Kapitel 13
Energinets opgavevaretagelse i forbindelse med sektorberedskabet
§ 81.
Energinet skal varetage de koordinerende, planlægningsmæssige og operative
opgaver i sektorberedskabet før, under og efter en hændelse for henholdsvis el-, gas- og
brintsektoren, herunder:
1) Indhente og videreformidle data og information af relevans for sektorberedskabet
mellem myndigheder og virksomheder i henholdsvis el-, gas- og brintsektoren, herunder
data og information af betydning for forsyningssikkerheden.
2) Udmelde ændringer i sektorberedskabsniveau og iværksættelse af
sektorberedskabsforanstaltninger for henholdsvis el-, gas- og brintsektoren.
Side
34
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
3) Forestå krisehåndteringen ved aktivering af sektorberedskabsplaner for henholdsvis el-,
gas- og brintsektoren.
Stk. 2.
Energinet skal i forbindelse med krisehåndteringen efter stk. 1, nr. 3, indhente
relevant og opdateret information om henholdsvis:
1) Situationen i nabolandes el-, gas- og brintforsyningssystemer af relevans for
krisehåndteringen i henholdsvis el-, gas- og brintsektoren.
2) Situationen i væsentlige dele af det indenlandske elnet, også på spændingsniveauer
under 100 kV.
3) Situationen i væsentlige dele af de indenlandske gas- og brintforsyningssystemer,
herunder også distribution, produktion og lager.
Stk. 3.
Energinet skal ved forsyningsafbrydelser, som berører flere virksomheder i
henholdsvis el-, gas- og brintsektoren, koordinere krisehåndteringen på tværs af relevante
virksomheder og Energistyrelsen, herunder bistå med kontaktoplysninger til virksomheder
og myndigheder i en akut situation samt oplysninger om aktuelle driftstilstande brug for
virksomheders håndtering af hændelser.
Stk. 4.
Energinet skal til enhver tid og uden unødigt ophold kunne modtage og
videreformidle information af betydning for beredskabet, som Energinet modtager fra
myndigheder og andre aktører, til relevante virksomheder i henholdsvis el-, gas- og
brintsektoren og Energistyrelsen.
§ 82.
Energinet skal etablere et formaliseret samarbejde om beredskabsforhold i
henholdsvis el-, gas- og brintsektoren, herunder gennem vidensdeling og møder om
beredskab, fysisk sikring og cybersikkerhed.
§ 83.
Energinet skal varetage arbejdet for henholdsvis el-, gas- og brintsektoren i de
lokale beredskabsstabe, som er etableret af politikredsene, og kan inddrage de øvrige
virksomheder heri. Energinet skal sammen med Energistyrelsen kunne indgå i den nationale
krisestyring.
Side
35
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
§ 84.
Energinet kan udsende beredskabsmeddelelser om el-, gas- og brintforsyningen i
henhold til aftale mellem DR, TV 2/DANMARK A/S, Rigspolitiet og Beredskabsstyrelsen
om fremgangsmåden ved udsendelse af beredskabsmeddelelser (varslingsaftalen).
§ 85.
Energinet skal føre en fortegnelse over informationsstrømme i digital og fysisk
form, som indgår i styringskritiske funktioner og beslutningsprocesser i sektorberedskabet
for henholdsvis el-, gas-, og brintsektoren. Fortegnelsen skal indeholde et samlet overblik
over de indbyrdes relationer for aktørerne i forsyningssystemerne for henholdsvis el-, gas-,
og brintsektoren samt en vurdering af risici for tab af fortrolighed, integritet og
tilgængelighed for informationsstrømmene.
Stk. 2.
Fortegnelsen skal holdes opdateret, så fortegnelsen altid er retvisende.
§ 86.
Energinet skal årligt den 1. marts udarbejde en sektorrisiko- og sårbarhedsvurdering
for henholdsvis el-, gas- og brintforsyningssystemerne i Danmark, første gang i 2026.
Stk. 2.
Sektorrisiko- og sårbarhedsvurderinger efter stk. 1 skal baseres på konklusioner fra
virksomheders risiko- og sårbarhedsvurderinger, jf. § 107, i henholdsvis el-, gas- og
brintsektoren. Energistyrelsen sender senest den. 1. november hvert år konklusionerne til
Energinet
Stk. 3.
Sektorrisiko- og sårbarhedsvurderinger skal inkludere risici forbundet med
forsyningssystemernes sammenhænge med relevante forsyningssystemer i udlandet og
gensidige afhængigheder.
Stk. 4.
Energistyrelsen kan påbyde Energinet at opdatere og sende en opdateret
sektorrisiko- og sårbarhedsvurdering til Energistyrelsen ved ændringer i trusselsbilledet
eller forsyningssituationen i øvrigt.
§ 87.
Energinet skal udarbejde sektorberedskabsplaner for henholdsvis el-, gas- og
brintforsyningssystemerne i Danmark. Sektorberedskabsplanerne skal angive, hvordan
Energinet planlægger at styre kriseindsatsen på en koordineret måde.
Sektorberedskabsplaner skal indeholde:
1) Ansvarsfordelingen mellem virksomheder i henholdsvis el-, gas- og brintsektoren og
Energinet.
Side
36
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2) Beskrivelse af hvordan Energinet planlægger at informere virksomheder i henholdsvis
el-, gas- og brintsektoren om ændringer i sektorberedskabet, således at der opnås en
fælles situationsforståelse hos virksomheder.
3) Krav til form på og indhold i situationsrapporter, som virksomheder i henholdsvis el-,
gas- og brintsektoren skal sende til Energinet i forbindelse med håndteringen af en
hændelse, som har aktiveret sektorberedskabsplanerne.
4) Beskrivelse af kommunikationsveje, herunder alternative kommunikationsveje og
forholdsregler i forbindelse med kompromittering af normale kommunikationsveje.
5) Instruktion om kryptering af information og driftsordrer.
Stk. 3.
Sektorberedskabsplanerne skal være koordineret på tværs af henholdsvis el-, gas-
og brintsektoren.
Stk. 4.
Sektorberedskabsplanerne skal forholde sig til relevante forsyningssystemer i
udlandet og være koordineret med de relevante systemansvarlige virksomheder i udlandet.
§ 88.
Sektorberedskabsplaner efter § 87 skal opdateres senest tre måneder efter
gennemførelse eller opdatering af en sektorrisiko- og sårbarhedsvurdering, jf. § 86.
Stk. 2.
Sektorberedskabsplanerne skal være versionsstyret med en kort beskrivelse af
ændringer i forhold til tidligere versioner.
Stk. 3.
Energinet skal årligt den 1. april sende opdaterede sektorberedskabsplaner for
henholdsvis el-, gas- og brintsektoren til Energistyrelsen, første gang i 2026.
Stk. 4.
Energistyrelsen skal godkende sektorberedskabsplanerne for henholdsvis el-, gas-
og brintsektoren. Sektorberedskabsplanerne må tages i brug under godkendelsesprocessen.
§ 89.
Energinet skal mindst én gang hvert andet år afholde sektorberedskabsøvelser for
henholdsvis el-, gas- og brintsektoren med udgangspunkt i sektorberedskabsplanerne i § 87.
§ 90.
Energinet skal have en plan over sektorøvelser, som Energinet planlægger at
gennemføre for henholdsvis el-, gas- og brintsektoren over en femårig periode.
Side
37
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 2.
Den femårige øvelsesplan for sektorberedskabet skal som minimum dække
øvelseselementerne nr. 1-11, 13-14, 16-17 og 19-12, 15, 18 og 19 i bilag 4.
Stk. 3.
Energinet skal første gang udarbejde en femårig øvelsesplan for sektorberedskabet,
som dækker perioden fra den 1. april 2025 til den 31. marts 2030. Derefter udarbejdes en ny
øvelsesplan for en ny femårig periode.
Stk. 4.
Den femårige øvelsesplan for sektorberedskabet er tentativ og skal opdateres em
gang årligt og ved væsentlige ændringer.
§ 91.
Energinet skal evaluere sektorberedskabsøvelser som gennemføres i henhold til §
88. Energinet skal involvere relevante virksomheder i evalueringsprocessen.
Stk. 2. Energinet skal udarbejde og sende en øvelsesevaluering til godkendelse i
energistyrelsen senest tre måneder efter, at en sektorberedskabsøvelse er afholdt.
Øvelsesevalueringen skal indeholde elementerne beskrevet i § 23, stk. 3.
Stk. 2.
Energinet skal videreformidle konklusioner fra øvelsesrapporten til virksomheder
omfattet af sektorberedskabet i henholdsvis el-, gas- og brintsektoren.
§ 92.
Energistyrelsen kan godkende, at en evaluering af en hændelse, som har aktiveret
henholdsvis sektorberedskabsplaner for el-, gas- og brintsektoren, kan indgå som en
sektorberedskabsøvelse i sektorberedskabets øvelsesplan. Energinet skal i forbindelse med
ansøgningen sende en opdateret øvelsesplan for sektorberedskabet sammen med en
hændelsesevaluering efter § 78.
§ 93.
Energinet skal årligt gennemføre funktionstests af teknisk udstyr, som Energinet
planlægger at anvende i forbindelse med aktiveringen af sektorberedskabsplaner for
henholdsvis el-, gas- og brintsektoren, herunder test af alternative kommunikationsmidler og
teknisk kontrol af kommunikationsveje.
§ 94.
Energinet skal senest 1. maj hvert år fremsende en årlig redegørelse til
Energistyrelsen om status på henholdsvis el-, gas- og brintsektorens beredskab, herunder om
virksomhedens beredskabsarbejde for henholdsvis el-, gas- og brintsektoren i det forløbne
år.
Side
38
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Kapitel 14
Energistyrelsens opgavevaretagelse i forbindelse med sektorberedskabet
§ 95.
Energistyrelsen varetager de koordinerende, planlægningsmæssige og operative
opgaver i sektorberedskabet før, under og efter for henholdsvis olie-, fjernvarme- og
fjernkølingssektoren, herunder:
1) Indhentning og videreformidling af data og information af relevans for
sektorberedskabet mellem myndigheder og virksomheder i henholdsvis olie-,
fjernvarme- og fjernkølingssektoren.
2) Udmelding om ændringer i sektorberedskabsniveau og iværksættelse af
sektorberedskabsforanstaltninger for virksomheder i henholdsvis olie-, fjernvarme- og
fjernkølingssektoren.
3) Krisehåndteringen ved aktivering sektorberedskabsplaner for henholdsvis olie-,
fjernvarme- og fjernkølingssektoren.
Stk. 3.
I tilfælde af forsyningsafbrydelser, som berører flere virksomheder i henholdsvis
olie-, fjernvarme- og fjernkølingssektoren, koordinerer Energistyrelsen krisehåndteringen
med de relevante virksomheder.
Stk. 4.
Energistyrelsen sender uden unødigt ophold relevant information om
beredskabsmæssige forhold til relevante virksomheder i henholdsvis olie-, fjernvarme- og
fjernkølingssektoren samt Energinet.
§ 96.
Energistyrelsen etablerer et formaliseret samarbejde om beredskabsforhold i
henholdsvis olie-, fjernvarme- og fjernkølingssektoren, herunder gennem vidensdeling og
møder om beredskabsforhold, fysisk sikring og cybersikkerhed.
§ 97.
Energistyrelsen varetager arbejdet for henholdsvis olie-, fjernvarme- og
fjernkølingssektoren i de lokale beredskabsstabe, som er etableret af politikredsene, og kan
inddrage de øvrige virksomheder heri.
Side
39
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
§ 98.
Energistyrelsen kan udsende beredskabsmeddelelser om henholdsvis olie-,
fjernvarme- og fjernkølingsforsyningen i henhold til aftale mellem DR, TV 2/DANMARK
A/S, Rigspolitiet og Beredskabsstyrelsen om fremgangsmåden ved udsendelse af
beredskabsmeddelelser (varslingsaftalen).
§ 99.
Energistyrelsen udarbejder årligt den 1. marts en sektorrisiko- og
sårbarhedsvurdering for henholdsvis olie-, fjernvarme- og fjernkølingsforsyningssystemerne
i Danmark, første gang i 2026. Sektorrisiko- og sårbarhedsvurdering udarbejdes på
baggrund af konklusioner fra virksomheders risiko- og sårbarhedsvurderinger, jf. § 107.
§ 100.
Energistyrelsen udarbejder sektorberedskabsplaner for henholdsvis olie-,
fjernvarme- og fjernkølingssektoren i Danmark. Sektorberedskabsplanerne angiver, hvordan
Energistyrelsen planlægger at styre kriseindsatsen på en koordineret måde, så der opnås en
fælles situationsforståelse ved ændringer i sektorberedskabet for henholdsvis olie-,
fjernvarme- og fjernkølingssektoren.
Stk. 2.
Energistyrelsen koordinerer i fornødent omfang sektorberedskabsplanerne efter
stk. 1 på tværs af olie-, fjernvarme- og fjernkølingssektoren såvel som Energinets
sektorberedskabsplaner efter § 87.
Stk. 3.
Sektorberedskabsplaner efter stk. 1 skal opdateres senest tre måneder efter
gennemførelse af en sektorrisiko- og sårbarhedsvurdering, jf. § 99.
§ 101.
Energistyrelsen afholder mindst hvert andet år sektorberedskabsøvelser for
henholdsvis olie-, fjernvarme- og fjernkølingssektoren med udgangspunkt i
sektorberedskabsplanerne efter § 100.
§ 102.
Energistyrelsen udarbejder en plan over sektorøvelser, som Energistyrelsen
planlægger at gennemføre for henholdsvis olie-, fjernvarme- og fjernkølingssektoren over
en femårig periode.
Stk. 2.
Den femårige øvelsesplan for sektorberedskabet dækker øvelseselementer i bilag 3,
som Energistyrelsen vurderer er relevante for henholdsvis olie-, fjernvarme- og
fjernkølingssektoren.
Side
40
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 3.
Den femårige øvelsesplan for sektorberedskabet udarbejdes første gang, så den
dækker perioden fra 1. april 2025 til 31. marts 2030. Derefter udarbejdes en ny øvelsesplan
for en ny femårig periode.
§ 103.
Energistyrelsen udarbejder evalueringer af afholdte senest tre måneder efter, at en
sektorberedskabsøvelse er afholdt.
Stk. 2.
Energistyrelsen videreformidler konklusioner fra en sektorberedskabsøvelses
evaluering til virksomhederne i olie-, fjernvarme- og fjernkølingssektoren.
Kapitel 15
Fortrolighed, udveksling af oplysninger og digital kommunikation
§ 104.
Fortrolig information jf. § 26 i lov om styrket beredskab i energisektoren, skal
opbevares, håndteres og behandles på en måde, der sikrer fortrolighed, integritet og
tilgængelighed.
Stk. 2.
Indsigt i fortrolig information må kun gives til personer, for hvem en sådan indsigt
er tjenestelig nødvendig, eller som kan gøre lovkrav herpå.
Stk. 3.
Fortrolig information i fysisk og digital dokumentform skal bære tydelig mærkning
af materialets fortrolighed.
Stk. 4.
Dokumenter efter stk. 3 og it-udstyr, der har været anvendt til at lagre fortrolig
information, som ikke længere benyttes, skal destrueres eller bortskaffes på sikker vis i
overensstemmelse med materialets fortrolighed, medmindre andet følger af lov eller
bestemmelser fastsat af lov.
Stk. 5.
Hvis der konstateres eller er mistanke om kompromittering af fortroligheden og
integriteten af fortrolig information, skal der foretages en vurdering af, hvorvidt
kompromitteringen kan udgøre en trussel for forsyningssikkerheden. For fortrolig
information hos virksomheder foretages denne vurdering af virksomheden, som uden
unødigt ophold skal underrette Energistyrelsen herom. For anden fortrolig information
foretages vurderingen af Energistyrelsen.
Side
41
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 6.
Energistyrelsen kan pålægge virksomheder at iværksætte mitigerende tiltag i
tilfælde af hændelser, jf. stk. 5.
§ 105.
Skriftlig kommunikation fra virksomheder til Energistyrelsen om forhold, der er
omfattet af lov om styrket beredskab i energisektoren og denne bekendtgørelse, skal ske
digitalt gennem den af Energistyrelsen anviste selvbetjeningsløsning.
Stk. 2.
Ved skriftlig kommunikation forstås afsendelse og modtagelse af alle relevante
meddelelser, dokumenter og anden kommunikation, som påkrævet efter bestemmelser i lov
om styrket beredskab i energisektoren eller denne bekendtgørelse.
Stk. 3.
Stk. 1. finder ikke anvendelse for virksomheder, som er fritaget fra obligatorisk
tilslutning til Digital Post efter bekendtgørelse om fritagelse af juridiske enheder med CVR-
nummer, samt fysiske personer med erhvervsaktiviteter for tilslutning til Digital Post.
Stk. 4.
Den digitale kommunikation skal være forsynet med den offentlige digitale
signatur MitID Erhverv.
§ 106.
Den digitale kommunikation, som er forsynet med den digitale signatur efter §
105, stk. 4, anses for at være kommet frem på det tidspunkt, hvor den er tilgængelig for
Energistyrelsen.
Stk. 2.
Den digitale kommunikation, som er forsynet med den digitale signatur efter §
105, stk. 4, anses for at være afsendt af den angivne afsender.
Stk. 3.
Skriftlig kommunikation fra virksomheder til Energistyrelsen om forhold omfattet
af § 105, stk. 1 anses ikke for modtaget i Energistyrelsen, hvis virksomheden har indsendt
den skriftlige kommunikation på anden måde end beskrevet i § 105.
Stk. 4.
Energistyrelsen kan i særlige tilfælde behandle en skriftlig kommunikation
modtaget på anden måde end beskrevet i § 105.
Stk. 5.
Energistyrelsen kan i særlige tilfælde behandle en skriftlig kommunikation, der er
modtaget digitalt i henhold til § 105, selv om den ikke er forsynet med digital signatur, som
beskrevet i § 105, stk. 4.
Side
42
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Kapitel 16
Tilsyn
§ 107.
Energistyrelsen skal godkende virksomheders konklusioner på risiko- og
sårbarhedsvurdering, jf. § 18, og beredskabsplaner, jf. 19. Beredskabsplaner må tages i brug
under godkendelsesprocessen.
Stk. 2.
Virksomheder i niveau 4 og 5 skal hvert år den 1. oktober sende konklusioner på
en opdateret risiko- og sårbarhedsvurdering, jf. § 18, og opdaterede beredskabsplaner, jf. §
19, til Energistyrelsen, dog første gang den 1. august 2025.
Stk. 3.
Virksomheder i niveau 2 og 3 skal hvert tredje år den 1. oktober sende
konklusioner på en opdateret risiko- og sårbarhedsvurdering, jf. § 18, og opdaterede
beredskabsplaner, jf. § 19, til Energistyrelsen. Virksomheder i fjernvarme- og
fjernkølingssektoren skal sende første gang den 1. oktober 2025. Virksomheder i
henholdsvis gas-, brint- og oliesektoren skal sende første gang den 1. oktober 2026.
Virksomheder i elsektoren skal sende første gang den 1. oktober 2027.
Stk. 4.
Virksomheder i niveau 1 skal fremsende deres beredskabsplaner, jf. § 19, stk. 1-5,
til Energistyrelsen efter anmodning herom fra Energistyrelsen.
Stk. 5.
Energistyrelsen udarbejder risiko- og sårbarhedsscenarier, som skal indgå i
virksomheders risiko- og sårbarhedsvurdering, jf. § 18. Risiko- og sårbarhedsscenarier skal
deles med virksomhederne senest seks måneder, inden at virksomheder skal sende
konklusioner på en opdateret risiko- og sårbarhedsvurdering til Energistyrelsen i henhold til
stk. 2-4.
Stk. 6.
Energistyrelsen kan påbyde virksomheder at opdatere deres risiko- og
sårbarhedsvurdering ved ændringer i trusselsbilledet. Virksomheder skal unødigt ophold
sende en opdateret risiko- og sårbarhedsvurdering til Energistyrelsen.
§ 108.
Energistyrelsens tilsyn med virksomheder gennemføres frekvensbaseret som
specificeret i stk. 2-4.
Stk. 2.
For virksomheder i niveau 4 og 5, føres der tilsyn hvert år.
Stk. 3.
For virksomheder i niveau 3, føres der tilsyn hvert tredje år.
Side
43
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 3.
For virksomheder i niveau 2, føres der tilsyn hvert sjette år.
§ 109.
Energistyrelsens tilsyn gennemføres ved brug af stikprøver, der vurderes at
afspejle en virksomheds samlede overholdelse af reglerne i rimeligt omfang.
Stk. 2.
Energistyrelsens tilsyn kan gennemføres på anden vis, hvis Energistyrelsen
vurderer, at situationen nødvendiggør et dybdegående tilsyn.
Stk. 3.
Energistyrelsen kan basere dele af tilsynet på en virksomheds auditering i det
omfang, at Energistyrelsen vurderer, at auditering dækker de forhold, der føres tilsyn med.
§ 110.
Energistyrelsen varsler skriftligt virksomheder om gennemførelse af et fysisk
tilsyn senest 21 dage før tilsynet skal finde sted.
§ 111.
Energistyrelsen kan kræve, at virksomheder oversætter materiale til dansk, når
dette materiale skal bruges til Energistyrelsens tilsyn. Omkostningen med sådan
oversættelse afholdes af virksomheden selv.
§ 112.
Energistyrelsen udarbejder en rapport på baggrund af gennemførte tilsyn.
Rapporten forelægges virksomheder til kommentering inden færdiggørelse.
Stk. 2.
Virksomheder kan sende et eventuelt høringssvar senest to uger efter rapporten er
blevet den forelagt efter stk. 1.
Kapitel 17
Samordnet beredskab
§ 113.
Virksomheder kan skriftligt ansøge om at etablere samordnet beredskab, der
medfører, at beredskabsarbejdet efter lov om styrket beredskab i energisektoren,
[bekendtgørelse om sikkerhedsgodkendelser og baggrundskontrol for energisektoren] og
denne bekendtgørelse varetages i fællesskab eller af den ene part.
Side
44
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 2.
Ansøgninger om samordnet beredskab skal sendes til Energistyrelsen til
godkendelse og skal som minimum indeholde følgende:
1) En begrundelse for ansøgningen.
2) En beskrivelse af de geografiske forhold mellem virksomhederne.
3) En beskrivelse af organisatoriske forhold hos virksomhederne og forskellene herved.
4) En beskrivelse af fordele og ulemper ved de praktiske og tekniske konsekvenser ved et
samordnet beredskab.
5) Hvordan den operative indsats af virksomhederne skal håndteres, herunder angivelse af
virksomhedernes indbyrdes ansvars- og kompetenceforhold, samt kommunikations- og
informationsforhold.
Stk. 3.
Energinet skal høres ved ansøgninger om samordnet beredskab for virksomheder i
henholdsvis el-, gas- og brintsektoren.
Stk. 4.
Energistyrelsen lægger i sin afgørelse vægt på, om en samordning af beredskabet
for virksomhederne må anses at styrke modstandsdygtigheden og beredskabet hos hver
enkelt virksomhed, virksomhederne som gruppe og energisektoren som helhed.
Kapitel 18
Identificering af særlige virksomheder
§ 114.
Energistyrelsen identificerer og udarbejder en liste over væsentlige og vigtige
enheder.
Stk. 2.
Energistyrelsen udfører de stk. 1, nævnte opgaver første gang senest den 17. april,
2025 og derefter når det er relevant, dog mindst hvert andet år.
Stk. 3.
Energistyrelsen identificerer efter stk. 1, virksomheder som væsentlige virksomheder
hvis de opfylder et af følgende kriterier:
1) Virksomheder der overskrider en af følgende tærskler:
a) Har 50 ansatte eller derover, eller
b) en årlig omsætning og en årlig samlet balance, der overstiger 10. mio. EUR.
Side
45
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2) Virksomheden er en kritisk virksomhed i henhold til § 115.
§ 115.
Energistyrelsen identificerer kritiske virksomheder og udarbejder en liste over
disse.
Stk. 2.
Energistyrelsen foretager de stk. 1, nævnte opgaver første gang senest den 17. juli,
2026 og derefter når det er relevant, dog mindst hvert fjerde år.
Stk. 3.
Virksomheder inddelt på niveau 2-5 efter § 4, er kritiske virksomheder.
Stk. 4.
Virksomheder underrettes om at de er blevet identificeret som en kritisk virksomhed
senest en måned efter Energistyrelsen har udarbejdet listen i stk. 1.
Stk. 3.
Energistyrelsen tager ved identifikationen efter stk. 1 behørigt hensyn til
resultaterne af Danmarks nationale risikovurdering og nationale strategi for kritiske
enheders modstandsdygtighed som udarbejdes i henhold til CER-direktivet, og ligger
samtidig vægt på om:
1) Virksomheden leverer en elle flere væsentlige tjenester.
2) Virksomheden opererer et aktiv, en facilitet, udstyr, et netværk eller et system, eller en
del af sådanne, som er nødvendigt(t) for leveringen af en væsentlig tjeneste.
3) Virksomhedens infrastruktur jf. nr. 2, er beliggende i Danmark.
4) En hændelse hos virksomheden vil have betydelige forstyrrende virkning, jf. stk. 4, på
virksomhedens levering af en eller flere væsentlige tjenester til eller på leveringen af
andre væsentlige tjenester i sektorerne anført i bilag 6 som er afhængige af denne eller
disse væsentlige tjenester.
§ 116.
Energistyrelsen identificerer virksomheder af særlig europæisk betydning.
Stk. 2.
Virksomheder der har modtaget underretning efter § 115, stk. 4, skal såfremt de
leverer de samme eller lignede væsentlige tjenester til eller i seks eller flere EU-
medlemslande oplyse Energistyrelsen om:
1) Hvilke væsentlige tjenester der leveres, og
2) I hvilke EU-medlemslande disse væsentlige tjenester leveres.
Side
46
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 3.
Der skal ske underretning til Energistyrelsen efter stk. 2 snarest muligt og senest en
måned efter underretningen efter § 115, stk. 4.
Stk. 4.
Energistyrelsen underretter snarest muligt EU-Kommissionen om underretninger
der modtages efter stk. 2.
Stk. 5.
Såfremt Energistyrelsen modtager underretning fra EU-Kommissionen om, at EU-
Kommissionen har konstateret, at virksomheden er en kritisk virksomhed af særlig
europæisk betydning, oplyser Energistyrelsen den kritiske virksomhed herom jf. § 5, stk. 2, i
lov om styrket beredskab i energisektoren.
Stk. 6.
Virksomheder, der er identificeret som en virksomhed af særlig europæisk
betydning, skal efter en afsluttet rådgivende mission, jf. § 20, stk. 1, i lov om styrket
beredskab for energisektoren, skriftligt redegøre for Energistyrelsen, hvilke af de
foranstaltninger den rådgivende mission har foreslået at virksomheden gennemfører, som
virksomheden har gennemført.
Stk. 7.
Energistyrelsen skal modtage redegørelsen efter stk. 6, senest seks måneder efter,
at den rådgivende mission har fremsendt sin udtalelse med foreslåede foranstaltninger til
virksomheden af særlig europæisk betydning.
Kapitel 19
Dispensation
§ 117.
Energistyrelsen kan efter ansøgning dispensere fra bestemmelser i denne
bekendtgørelse, hvor ansøgeren har godtgjort, at en dispensation fra den konkrete
bestemmelse har mindre betydning for eller reduceret effekt på organisatorisk beredskab,
fysisk sikring og cybersikkerhed hos virksomheden eller i energisektoren.
Kapitel 20
Håndhævelse og klageadgang
§ 118.
Afgørelser truffet efter lov om styrket beredskab i energisektoren og denne
bekendtgørelse kan ikke påklages til anden administrativ myndighed.
Side
47
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Stk. 2.
Afgørelser efter stk. 1 kan dog påklages til Energiklagenævnet for så vidt angår
retlige spørgsmål.
§ 119.
Energistyrelsen skal ved påbud om revision af en virksomhed efter § 22, stk. 1, i
lov om styrket beredskab i energisektoren specificere de områder, hvor der skal foretages
revision, og angive fristen for revisionens afslutning.
§ 120.
Revision efter § 119 skal foretages af en af virksomheden uafhængig revisor.
Revisoren vælges af virksomheden selv og skal som minimum opfylde følgende krav:
1) Revisoren må ikke have udført nogen opgaver for virksomheden eller koncernforbundne
virksomheder inden for de sidste fem fulde kalenderår.
2) Faglige kvalifikationer som knytter sig til det område, der skal føres revision af.
Stk. 2.
Energistyrelsen skal godkende den valgte revisionsvirksomhed og de konkrete
revisorer, der skal udføre revisionen, inden revisionen kan påbegyndes.
Stk. 3.
Virksomheden skal, senest to uger efter modtagelsen af påbuddet efter § 22, stk. 1,
i lov om styrket beredskab i energisektoren, sende oplysninger om valg af revisor, pris på
løsning af opgaven og dokumentation for, at kriterierne i stk. 1 er overholdt, til
Energistyrelsen. Såfremt virksomheden ikke overholder fristen, vælger Energistyrelsen en
revisor.
Stk. 4.
Energistyrelsen har to uger fra modtagelsen af ansøgningen efter stk. 3 til at
godkende eller afvise virksomhedens valg af revisor. Såfremt Energistyrelsen ikke
overholder fristen, kan revisionen påbegyndes uden godkendelse.
§ 121.
Efter gennemført revision skal revisorens rapport snarest muligt forlægges for
Energistyrelsen og virksomheden, således at Energistyrelsen snarest muligt kan træffe
afgørelse om påbud efter § 22, stk. 2, i lov om styrket beredskab i energisektoren.
§ 122.
Noget om certificeringer der kan fratages efter § 23, stk. 1, nr. 1, i lov om styrket
beredskab.
Side
48
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
§ 123.
Noget om godkendelse der kan fratages efter§ 23, stk. 1, nr. 1, i lov om styrket
beredskab.
Kapitel 21
Ikrafttrædelses- og overgangsbestemmelser
§ 124.
Bekendtgørelsen træder i kraft den 1. marts 2025.
Stk. 2.
Samtidig ophæves bekendtgørelse nr. 11 af 07/01/2011 om identifikation og
udpegning af europæisk kritisk infrastruktur på energiområdet og vurdering af behovet for
bedre beskyttelse (EPCIP-direktivet), bekendtgørelse nr. 424 af 25/04/2018 om beredskab
for oliesektoren, bekendtgørelse nr. 821 af 14/08/2019 om beredskab for naturgassektoren,
bekendtgørelsen nr. 2646 af 28/12/2021 om beredskab for elsektoren og bekendtgørelse nr.
2647 nr. 28/12/201 om it-beredskab for el- og naturgassektorerne.
Stk. 3.
Ansøgning om forhøjelse af reguleringsprisen for omkostninger afholdt i 2024 sker
efter de hidtil gældende regler.
Stk. 4.
Foranstaltninger efter § 36 og § 37 skal senest være gennemført den 1. marts 2026,
jf. dog stk. 6.
Stk. 5.
Foranstaltninger efter §§ 38, 43, 48, 50 og 62skal senest være gennemført den 1.
marts 2027, jf. dog stk. 6.
Stk. 6.
Gennemførelse af foranstaltninger efter stk. 4 og 5 sker efter de hidtil gældende
regler for virksomheder omfattet af bestemmelserne i bekendtgørelse nr. 424 af 25/04/2018
om beredskab for oliesektoren, bekendtgørelse nr. 821 af 14/08/2019 om beredskab for
naturgassektoren, bekendtgørelsen nr. 2646 af 28/12/2021 om beredskab for elsektoren og
bekendtgørelse nr. 2647 nr. 28/12/201 om it-beredskab for el- og naturgassektorerne, skal
uagtet
Kristoffer Böttzauw
/
Jesper Rode Tholstrup
Side
49
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0050.png
Bilag 1
Skemaer med tærskelværdier for niveauinddeling af virksomheder
1.0.
1.1.
a)
Tærskelværdier for virksomheder i elsektoren
Tærskelværdier for niveau 5
Elproducenter, udpegede elektricitetsmarkedsoperatører og markedsdeltagere, der
leverer tjenester, som vedrører aggregering, fleksibelt elforbrug eller energilagring,
og som producerer eller håndterer en kapacitet på 1.650 MW elproduktion eller
elforbrug.
Operatører af ladepunkter, der er ansvarlige for forvaltningen og driften af en
ladepunkter, som leverer en ladetjeneste til slutbrugere, herunder i en
mobilitetstjenesteudbyders navn og på dennes vegne, og som har en samlet
kapacitet på 1.650 MW elforbrug fra det kollektive elnet.
Operatører inden for brintproduktion, der har en kapacitet på 1.650 MW elforbrug
fra det kollektive elnet.
Distributionssystemoperatører, der forvalter et forsyningsområde med over
750.000 slutbrugere.
Transmissionssystemoperatører.
Virksomheder, der har delegerede myndighedsopgaver med betydning for
elforsyningen på nationalt plan.
Tærskelværdier for niveau 4
Elproducenter, udpegede elektricitetsmarkedsoperatører og markedsdeltagere, der
leverer tjenester, som vedrører aggregering, fleksibelt elforbrug eller energilagring,
og som producerer eller håndterer en kapacitet på 600 MW elproduktion eller
elforbrug.
Operatører af ladepunkter, der er ansvarlige for forvaltningen og driften af et
ladepunkt, som leverer en ladetjeneste til slutbrugere, herunder i en
b)
c)
d)
e)
f)
1.2.
a)
b)
Side
50
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0051.png
mobilitetstjenesteudbyders navn og på dennes vegne, og som har en samlet
kapacitet på 600 MW elforbrug fra det kollektive elnet.
c)
d)
e)
1.3.
a)
Operatører inden for brintproduktion, der har en kapacitet på 600 MW elforbrug
fra det kollektive elnet.
Distributionssystemoperatører, der forvalter et forsyningsområde med over
250.000 slutbrugere.
Regionale koordinationscentre.
Tærskelværdier for niveau 3
Elproducenter, udpegede elektricitetsmarkedsoperatører og markedsdeltagere, der
leverer tjenester, som vedrører aggregering, fleksibelt elforbrug eller energilagring,
og som producerer eller håndterer en kapacitet på 100 MW elproduktion eller
elforbrug.
Operatører af ladepunkter, der er ansvarlige for forvaltningen og driften af et
ladepunkt, som leverer en ladetjeneste til slutbrugere, herunder i en
mobilitetstjenesteudbyders navn og på dennes vegne, og som har en samlet
kapacitet på 100 MW elforbrug fra det kollektive elnet.
Operatører inden for brintproduktion, der har en kapacitet på 100 MW elforbrug
fra det kollektive elnet.
Distributionssystemoperatører, der forvalter et forsyningsområde med over 30.000
slutbrugere.
Tærskelværdier for niveau 2
Elproducenter, udpegede elektricitetsmarkedsoperatører og markedsdeltagere, der
leverer tjenester, som vedrører aggregering, fleksibelt elforbrug eller energilagring,
og som producerer eller håndterer en kapacitet på 25 MW elproduktion eller
elforbrug.
Operatører af ladepunkter, der er ansvarlige for forvaltningen og driften af et
ladepunkt, som leverer en ladetjeneste til slutbrugere, herunder i en
mobilitetstjenesteudbyders navn og på dennes vegne, og som har en samlet
kapacitet på 25 MW elforbrug fra det kollektive elnet.
b)
c)
d)
1.4.
a)
b)
Side
51
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0052.png
c)
d)
e)
Operatører inden for brintproduktion, der har en kapacitet på 25 MW elforbrug fra
det kollektive elnet.
Øvrige distributionssystemoperatører, der forvalter et forsyningsområde, og som
falder under tærskelværdierne for niveau 3-5.
Elektricitetsvirksomheder, der varetager levering af elektricitet, og som
beskæftiger minimum 50 ansatte og har en årlig omsætning på minimum 10 mio.
EUR eller en årlig samlet balance på minimum 10 mio. EUR.
Virksomhedstyper som nævnt i pkt. a, b og c, som beskæftiger minimum 50
ansatte eller har en årlig omsætning på minimum 10 mio. EUR og en årlig balance
på minimum 10 mio. EUR.
Tærskelværdier for niveau 1
Ikke relevant.
f)
1.5.
2.0.
2.1.
a)
Tærskelværdier for virksomheder i gassektoren
Tærskelværdier for niveau 5
Virksomheder, der årligt producerer eller injicerer 1.125 mio. Nm3 gas i et gasnet,
herunder operatører af naturgasraffinaderier og
–behandlingsanlæg,
som årligt
producerer 1.125 mio. Nm3 gas.
Lagersystemoperatører, der har en samlet udtrækskapacitet på mere end 5 mio.
Nm3 gas pr. dag eller en injektionskapacitet på mere end 2 mio. Nm3 gas pr. dag.
Virksomheder, der har delegerede myndighedsopgaver med betydning for
gasforsyningen på nationalt plan.
Transmissionssystemoperatører.
Tærskelværdier for niveau 4
Virksomheder, der årligt producerer 375 mio. Nm3 gas eller injicerer 375 mio.
Nm3 gas i et gasnet, herunder operatører af naturgasraffinaderier og
behandlingsanlæg, som årligt producerer 375 mio. Nm3 gas.
b)
c)
d)
2.2.
a)
Side
52
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0053.png
b)
c)
2.3.
Lagersystemoperatører, der har en samlet udtrækskapacitet på mere end 3 mio.
Nm3 gas pr. dag eller en injektionskapacitet på mere end 1 mio. Nm3 gas pr. dag.
Gasforsyningsvirksomheder, der håndterer 100.000 Nm3 gas/time.
Tærskelværdier for niveau 3
a) Virksomheder, der årligt producerer eller injicerer 100 mio. Nm3 gas i et gasnet.
b) Lagersystemoperatører, der har en samlet udtrækskapacitet på mere end 1 mio. Nm3
gas pr. dag eller en injektionskapacitet på mere end 0,5 mio. Nm3
c) Virksomheder, der håndterer 10.000 Nm3 gas/time.
2.4.
a)
b)
c)
d)
Tærskelværdier for niveau 2
Virksomheder, der årligt producerer eller injicerer 26 mio. Nm3 i et gasnet.
Lagersystemoperatører, der har en samlet udtrækskapacitet på mere end 0,5 mio.
Nm3 gas pr. dag eller en injektionskapacitet på mere end 200.000 Nm3 gas pr. dag.
Øvrige gasforsyningsvirksomheder, der distribuerer gas til slutbrugere.
Virksomhedstyper som nævnt i pkt. a, b og c, som beskæftiger minimum 50
ansatte eller har en årlig omsætning på minimum 10 mio. EUR og en årlig balance
på minimum 10 mio. EUR.
Tærskelværdier for niveau 1
Ikke relevant.
2.5.
3. Tærskelværdier for virksomheder i oliesektoren
3.1.
a)
b)
c)
Tærskelværdier for niveau 5
Virksomheder, der har delegerede myndighedsopgaver.
Den centrale lagerenhed.
Virksomheder, der er operatører af olieproduktionsanlæg og offshore olieanlæg
med en årlig produktion af olie på 1 mio. m3 i tre ud af fem år, eller som har en
forventet produktion af olie på 1 mio. m3 i et kalenderår.
Side
53
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0054.png
d)
Virksomheder, der er operatører af olieraffinaderier eller oliebehandlingsanlæg, og
som har en årlig forarbejdning på 1 mio. m3 råolie i tre ud af fem år, eller som har
en forventet forarbejdning af råolie på 1 mio. m3 i et kalenderår.
Tærskelværdier for niveau 4
Virksomheder, der er olierørledningsoperatører eller operatører af olietransmission.
Virksomheder, der er operatører af olieproduktionsanlæg og offshore olieanlæg
med en årlig produktion af olie på 375.000 m3 i tre ud af fem år, eller som har en
forventet produktion af olie på 375.000 m3 i et kalenderår.
Virksomheder, der er operatører af olieraffinaderier eller oliebehandlingsanlæg, og
som har en årlig forarbejdning på 375.000 m3 råolie i tre ud af fem år, eller som
har en forventet forarbejdning af råolie på 375.000 m3 i et kalenderår.
Tærskelværdier for niveau 3
Virksomheder, der ejer olieterminaler eller
–lagre
med en samlet kapacitet over
300.000 m3.
Virksomheder, der er operatører af olieproduktionsanlæg og offshore olieanlæg
med en årlig produktion af olie på 100.000 m3 i tre ud af fem år, eller som har en
forventet produktion af olie på 100.000 m3 i et kalenderår.
Virksomheder, der er operatører af olieraffinaderier eller oliebehandlingsanlæg, og
som har en årlig forarbejdning på 100.000 m3 råolie i tre ud af fem år, eller som
har en forventet forarbejdning af råolie på 100.000 m3 i et kalenderår.
Tærskelværdier for niveau 2
Virksomheder, der er operatører af olieterminaler eller
–lagre
med en samlet
kapacitet over 100.000 m
3
.
Øvrige virksomheder med positiv lagringspligt.
Virksomheder, der er operatører af olieproduktionsanlæg og offshore olieanlæg
med en årlig produktion af olie på 26.000 m3 i tre ud af fem år, eller som har en
forventet produktion af olie på 26.000 m3 i et kalenderår.
3.2.
a)
b)
c)
3.3.
a)
b)
c)
3.4.
a)
b)
c)
Side
54
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0055.png
d)
Virksomheder, der er operatører af olieraffinaderier eller oliebehandlingsanlæg, og
som har en årlig forarbejdning på 26.000 m3 råolie i tre ud af fem år, eller som har
en forventet forarbejdning af råolie på 26.000 m3 i et kalenderår.
Operatører af tankstationer med et samlet årligt salg over 600.000 m
3
, eller som
opererer flere end 100 tankstationer i Danmark.
Virksomhedstyper, som nævnt i pkt. a, b, c og d, som beskæftiger minimum 50
ansatte eller har en årlig omsætning på minimum 10 mio. EUR og en årlig balance
på minimum 10 mio. EUR.
Tærskelværdier for niveau 1
Ikke relevant.
e)
f)
3.5.
4. Tærskelværdier for virksomheder i fjernvarmesektoren og fjernkølingssektoren
4.1.
Tærskelværdier for niveau 5
Ikke relevant.
4.2.
a)
Tærskelværdier for niveau 4
Virksomheder, der i to ud af de seneste tre år har distribueret og/eller transmitteret
4.525 GWh fjernvarme eller fjernkøling.
Tærskelværdier for niveau 3
Virksomheder, der i to ud af de seneste tre år har distribueret og/eller transmitteret
543 GWh fjernvarme eller fjernkøling.
Tærskelværdier for niveau 2
Virksomheder, der i to ud af de seneste tre år har distribueret og/eller transmitteret
181 GWh fjernvarme eller fjernkøling.
Virksomhedstyper som nævnt i pkt. a, som beskæftiger minimum 50 ansatte eller
har en årlig omsætning på minimum 10 mio. EUR og en årlig balance på minimum
10 mio. EUR.
Tærskelværdier for niveau 1
4.3.
a)
4.4.
a)
b)
4.5.
Side
55
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0056.png
a)
Virksomheder, der i to ud af de seneste tre år har distribueret og/eller transmitteret
13,9 GWh fjernvarme eller fjernkøling.
Side
56
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0057.png
Bilag 2
Skemaer med tærskelværdier for klassificering af anlæg
1. Tærskelværdier for anlæg i elsektoren
1.1.
a)
Tærskelværdier for klasse 5
Anlæg af væsentlig betydning for at opretholde elforsyningen for de
sammenhængende elforsyningssystemer på europæisk plan eller væsentlige dele af
disse.
Anlæg, der har kapacitet til at håndtere 1.650 MW elproduktion eller elforbrug fra
det kollektive net.
Brintproducerende anlæg med kapacitet til at forbruge 1.650 MW el fra det
kollektive net eller tilbageføre 1650 MW til det kollektive net.
Anlæg af væsentlig betydning for at opretholde distributionen af el til 750.000
slutbrugere.
Tærskelværdier for klasse 4
Anlæg af væsentlig betydning for at opretholde elforsyningen for de
sammenhængende elforsyningssystemer på nationalt plan eller væsentlige dele af
disse.
Anlæg, der har kapacitet til at håndtere 600 MW elproduktion eller elforbrug fra
det kollektive net.
Brintproducerende anlæg med kapacitet til at forbruge 600 MW el fra det
kollektive net eller tilbageføre 600 MW til det kollektive net.
Anlæg af væsentlig betydning for at opretholde distributionen af el til 250.000
slutbrugere.
Tærskelværdier for klasse 3
b)
c)
d)
1.2.
a)
b)
c)
d)
1.3.
Side
57
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0058.png
a)
Anlæg af væsentlig betydning for at opretholde elforsyningen for de
sammenhængende elforsyningssystemer på regionalt plan eller væsentlige dele af
disse.
Anlæg, der har kapacitet til at håndtere 100 MW elproduktion eller elforbrug fra
det kollektive net.
Brintproducerende anlæg med kapacitet til at forbruge 100 MW el fra det
kollektive net eller tilbageføre 100 MW til det kollektive net.
Anlæg af væsentlig betydning for at opretholde distributionen af el til 30.000
slutbrugere.
Tærskelværdier for klasse 2
Anlæg, der har kapacitet til at håndtere 25 MW elproduktion eller elforbrug fra det
kollektive net.
Brintproducerende anlæg med kapacitet til at forbruge 25 MW el fra det kollektive
net eller tilbageføre 25 MW til det kollektive net.
Tærskelværdier for klasse 1
Ikke relevant.
b)
c)
d)
1.4.
a)
b)
1.5.
2 Tærskelværdier for anlæg i gassektoren
2.1
a)
b)
c)
Tærskelværdier for klasse 5
Anlæg af væsentlig betydning for at opretholde gasforsyningen på europæisk
niveau eller væsentlige dele af dette.
Anlæg, der årligt producerer eller injicerer 1.000 mio. Nm3 eller mere gas i
gasnettet.
Gaslagre, der har en samlet udtrækskapacitet på mere end 5 mio. Nm3 gas pr. dag
eller en injektionskapacitet på mere end 3 mio. Nm3 gas pr. dag.
Tærskelværdier for klasse 4
2.2.
Side
58
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0059.png
a)
b)
d)
c)
2.3.
a)
b)
c)
d)
2.4.
a)
b)
c)
Anlæg af væsentlig betydning for at opretholde gasforsyningen for det samlede
danske gasforsyningssystem eller væsentlige dele af dette.
Anlæg, der årligt producerer eller injicerer mere end 375 mio. Nm3 gas i et gasnet.
Gaslagre, der har en samlet udtrækskapacitet på mere end 3 mio. Nm3 gas pr. dag
eller en injektionskapacitet på mere end 1 mio. Nm3 gas pr. dag.
Anlæg med betydning for distributionen af 100.000 Nm3/time.
Tærskelværdier for klasse 3
Anlæg af væsentlig betydning for at opretholde gasforsyningen på regionalt
niveau eller væsentlige dele af dette.
Anlæg, der årligt producerer eller injicerer 100 mio. Nm3 gas i et gasnet.
Gaslagre, der har en samlet udtrækskapacitet på mere end 1 mio. Nm3 gas pr. dag
eller en injektionskapacitet på mere end 0,5 mio. Nm3.
Anlæg med betydning for distributionen af 10.000 Nm3/time.
Tærskelværdier for klasse 2
Anlæg, der årligt producerer eller injicerer 26 mio. Nm3 gas i et gasnet.
Øvrige anlæg med betydning for distributionen af gas.
Gaslagre, der har en samlet udtrækskapacitet på mere end 0,5 mio. Nm3 gas pr.
dag eller en injektionskapacitet på mere end 200.000 Nm3 gas pr. dag.
Tærskelværdier for klasse 1
Ikke relevant.
2.5.
3. Tærskelværdier for anlæg i oliesektoren
3.1.
a)
b)
Tærskelværdier for klasse 5
Anlæg med betydning for olieforsyningen på europæisk niveau.
Olieproduktionsanlæg og offshore olieanlæg med en årlig produktion af olie på 1
mio. m3 i tre ud af fem år, eller som har en forventet produktion af olie på 1 mio.
m3 i et kalenderår.
Side
59
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0060.png
c)
Olieraffinaderier og oliebehandlingsanlæg med en årlig forarbejdning på 1 mio. m3
råolie i tre ud af fem år, eller som har en forventet forarbejdning af råolie på 1 mio.
m3 i et kalenderår.
Tærskelværdier for klasse 4
Olierørledninger og olietransmissionsanlæg med betydning for olieforsyningen på
nationalt niveau.
Olieraffinaderier med betydning for olieforsyningen på nationalt niveau.
Olieproduktionsanlæg og offshore olieanlæg med en årlig produktion af olie på
375.000 m3 i tre ud af fem år, eller som har en forventet produktion af olie på
375.000 m3 i et kalenderår.
Olieraffinaderier og oliebehandlingsanlæg med en årlig forarbejdning på 375.000
m3 råolie i tre ud af fem år, eller som har en forventet forarbejdning af råolie på
375.000 m3 i et kalenderår.
Tærskelværdier for klasse 3
Olieterminaler eller
–lagre
med en samlet kapacitet over 300.000 m
3
.
Olieproduktionsanlæg og offshore olieanlæg med en årlig produktion af olie på
100.000 m3 i tre ud af fem år, eller som har en forventet produktion af olie på
100.000 m3 i et kalenderår.
Olieraffinaderier og oliebehandlingsanlæg med en årlig forarbejdning på 100.000
m3 råolie i tre ud af fem år, eller som har en forventet forarbejdning af råolie på
100.000. m3 i et kalenderår.
Tærskelværdier for klasse 2
Olieterminaler og
–lagre
med en samlet kapacitet over 100.000 m
3
.
Olieproduktionsanlæg og offshore olieanlæg med en årlig produktion af olie på
26.000 m3 i tre ud af fem år, eller som har en forventet produktion af olie på
26.000 m3 i et kalenderår.
3.2.
a)
b)
c)
d)
3.3.
a)
b)
c)
3.4.
a)
b)
Side
60
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0061.png
c)
Olieraffinaderier og oliebehandlingsanlæg med en årlig forarbejdning på 26.000
m3 råolie i tre ud af fem år, eller som har en forventet forarbejdning af råolie på
26.000 m3 i et kalenderår.
Tærskelværdier for klasse 1
Ikke relevant.
3.2.
4. Tærskelværdier for anlæg i fjernvarmesektoren og fjernkølingssektoren
4.1.
Tærskelværdier for klasse 5
Ikke relevant.
4.2.
a)
Tærskelværdier for klasse 4
Anlæg med væsentlig betydning for at opretholde forsyningen af 4.525 GWh
fjernvarme eller fjernkøling, herunder kraftvarmeværker, fjernkølingsanlæg, spids-
og reservelastanlæg, ledningsnet, pumpestationer, varmevekslerstationer,
varmepumper og kontrolrum, der styrer, regulerer eller overvåger varmeleverancer.
Tærskelværdier for klasse 3
Anlæg med væsentlig betydning for at opretholde forsyningen af 543 GWh
fjernvarme eller fjernkøling, herunder kraftvarmeværker, fjernkølingsanlæg, spids-
og reservelastanlæg, ledningsnet, pumpestationer, varmevekslerstationer,
varmepumper og kontrolrum, der styrer, regulerer eller overvåger varmeleverancer.
Tærskelværdier for klasse 2
Anlæg med væsentlig betydning for at opretholde forsyningen af 181 GWh
fjernvarme eller fjernkøling, herunder kraftvarmeværker, fjernkølingsanlæg, spids-
og reservelastanlæg, ledningsnet, pumpestationer, varmevekslerstationer,
varmepumper og kontrolrum, der styrer, regulerer eller overvåger varmeleverancer.
Tærskelværdier for klasse 1
Ikke relevant.
4.3.
a)
4.4.
a)
4.5.
Side
61
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
Bilag 3
Oplysninger, som virksomheder skal indsende til Energistyrelsen til brug for
Energistyrelsens niveauinddeling af virksomheder og klassificering af anlæg, jf. § 9.
1) Virksomhedens navn, adresse og CVR-nummer.
2) Den relevante delsektor, som virksomheden er omfattet af, jf. bilag 1 i NIS 2-direktivet
og CER-direktivet.
3) Beskrivelse af den eller de tjenester, som virksomheden leverer til den relevante
delsektor, jf. nr. 2.
4) Ajourførte kontaktoplysninger på virksomheden, herunder e-mailadresser, IP-intervaller
og telefonnumre.
5) De medlemsstater i Den Europæiske Union, hvor virksomheden leverer tjenester.
6) Virksomhedens bevilling til energiproduktion.
7) Oplysninger om den samlede energimængde, som virksomheden håndterer inden for en
nærmere fastsat tidsperiode, herunder:
a) Mængde af elektricitet, som virksomheden årligt producerer, forbruger eller
kontrollerer.
b) Mængde af gas, som virksomheden producerer, injicerer eller transporterer i et
gasnet. Mængden skal opgøres i Nm3.
c) Mængde af olie, som virksomheden producerer, lagrer og transporterer eller som
virksomheden har solgt inden for sidste fulde kalenderår.
d) Mængde af varme, som virksomheden har solgt inden for de seneste tre kalenderår.
8) Oplysninger om virksomhedens anlæg efter nr. 9-14, herunder antal anlæg, type af
anlæg, anlæggets geografiske placering og energimængden, som anlægget samlet set
håndterer inden for en nærmere fastsat tidsperiode.
9) Produktionsanlæg med bevilling efter elforsyningsloven, anlæg med systembærende
egenskaber, stationer til el-transmission og forbindelser i el-systemet, som håndterer
energimængder svarende til tærskelværdierne for anlæg i elsektoren, jf. skema 1 i bilag
2, herunder kraftværk, nødstartsanlæg, transformerstationer, kabelovergangsstationer,
Side
62
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
stationsanlæg, kabelanlæg, luftledningsanlæg, ledningsstrækninger,
tilbageførelsesanlæggene, forbindelseslinjer, anlæg med vindmøller (inkl. havmøller),
solceller, batterier, ladestandere mv.
10) Anlæg i gassektoren, der håndterer energimængder efter tærskelværdierne for anlæg i
gassektoren, jf. skema 2 i bilag 2, herunder kompressorstation, gaslagre,
beskyttelsesanlæg, stationer (M/R stationer, tilbageførelsesanlæg, linjeventilstationer,
ledningsstrækning), ledninger (transmissionsledning) samt kontrolrum, der styrer,
regulerer eller overvåger gasleverancer.
11) Anlæg i oliesektoren, der håndterer energimængder efter tærskelværdierne for anlæg i
oliesektoren, jf. skema 3 i bilag 2, herunder olieproduktionsanlæg, olieraffinaderier,
oliebehandlingsanlæg, olielagre, olietransmissionsanlæg, olielagre, olierørledninger og
tankstationer.
12) Anlæg i brintsektoren, som håndterer energimængder svarende til tærskelværdierne for
anlæg i elsektoren, jf. skema 1 i bilag 2.
13) Antal anlæg i fjernvarme- og fjernkølingssektoren, som håndterer energimængder
svarende til tærskelværdierne for anlæg i elsektoren, jf. skema 4 i bilag 2, herunder
kraftvarmeværker, fjernkølingsanlæg, spids- og reservelastanlæg, ledningsnet,
pumpestationer, varmevekslerstationer, varmepumper og kontrolrum.
14) Anlægskontrolrum, der styrer, regulerer eller overvåger leverancer til et energisystem,
herunder kontrolcentre.
Side
63
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0064.png
Bilag 4
Øvelseselementer, jf. 20
1.
Virksomhedens krisestyringsorganisation.
2.
Sikring af forsat drift.
3.
Genopretning af forsyning.
4.
Mobilisering af ekstra ressourcer og materialer.
5.
Intern kommunikation.
6.
Ekstern kommunikation.
7.
Information til forbrugere.
8.
Brugen af alternative kommunikationsmidler.
9.
Modtagelse af og kvittering for udmeldinger om ændringer i sektorberedskabsniveau
og sektorberedskabsforanstaltninger.
10.
Iværksættelse af sektorberedskabsforanstaltninger i henhold til
sektorberedskabsniveauet.
11.
Modtagelse og håndtering af varsler om cybertrusler og sårbarheder.
12.
Procedurerne i det samordnede beredskab.
13.
Inddragelse af leverandører i håndteringen af hændelser.
14.
Inddragelse af leverandører af forsyningskritiske net- og informationssystemer i
håndteringen af hændelser.
15.
Aktivering af virksomhedens it-sikkerhedstjeneste.
16.
Nødprocedure for isolering af kritiske net- og informationssystemer i
produktionsmiljøet.
17.
Nødprocedure for alternativ drift af net- og informationssystemer og aktivering af
redundante systemer.
18.
Genopretning af net- og informationssystemer fra backup, herunder genopretning af
kildekode og systemdata.
Side
64
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0065.png
19.
Normalisering efter nøddrift af net- og informationssystemer.
20.
Penetrationstest (WI-FI, SCADA mv.).
Side
65
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0066.png
Bilag 5
Sektorer af særligt kritisk betydning
Sektor
1.
Energi
Delsektor
a)
Elektricitet
Type enhed
Elektricitetsvirksomheder som defineret i artikel
2, nr. 57), i Europa-Parlamentets og Rådets
direktiv (EU) 2019/944(1), der varetager
»levering« som defineret i nævnte direktivs
artikel 2, nr. 12.
-
-
-
Distributionssystemoperatører som defineret i
artikel 2, nr. 29), i direktiv (EU) 2019/944.
Transmissionssystemoperatører som defineret i
artikel 2, nr. 35), i direktiv (EU) 2019/944.
Udpegede elektricitetsmarkedsoperatører som
defineret i artikel 2, nr. 8), i Europa-Parlamentets
og Rådets forordning (EU) 2019/943.
Markedsdeltagere som defineret i artikel 2, nr.
25), i forordning (EU) 2019/943, der leverer
tjenester, der vedrører aggregering, fleksibelt
elforbrug eller energilagring som defineret i
artikel 2, nr. 18), 20) og 59), i direktiv (EU)
2019/944.
Operatører af fjernvarme eller fjernkøling som
defineret i artikel 2, nr. 19), i Europa-
Parlamentets og Rådets direktiv (EU) 2018/2001.
-
-
b)
Fjernvarme og Olierørledningsoperatører.
-
fjernkøling
c)
Olie
- Operatører af olieproduktionsanlæg, -
raffinaderier og -behandlingsanlæg, olielagre og
olietransmission.
-
-
Centrale lagerenheder som defineret i artikel 2,
litra f), i Rådets direktiv 2009/119/EF.
Forsyningsvirksomheder som defineret i artikel
2, nr. 8), i Europa-Parlamentets og Rådets
direktiv 2009/73/EF.
Side
66
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0067.png
d)
Gas
-
-
-
-
-
-
-
Distributionssystemoperatører som defineret i
artikel 2, nr. 6), i direktiv 2009/73/EF.
Transmissionssystemoperatører som defineret i
artikel 2, nr. 4), i direktiv 2009/73/EF.
Lagersystemoperatører som defineret i artikel 2,
nr. 10), i direktiv 2009/73/EF.
LNG-systemoperatører som defineret i artikel 2,
nr. 12), i direktiv 2009/73/EF.
Naturgasvirksomheder som defineret i artikel 2,
nr. 1), i direktiv 2009/73/EF.
Operatører af naturgasraffinaderier og -
behandlingsanlæg.
Operatører inden for brintproduktion, -lagring og
-transmission
e)
Brint
2.
Transport
a)
Luft
-
-
Luftfartsselskaber som defineret i artikel 3, nr. 4,
i forordning (EF) nr. 300/2008, der anvendes til
kommercielle formål.
Lufthavnsdriftsorganer som defineret i artikel 2,
nr. 2, i Europa-Parlamentets og Rådets direktiv
2009/12/EF, lufthavne som defineret i nævnte
direktivs artikel 2, nr. 1, herunder de
hovedlufthavne, der er anført i afsnit 2 i bilag II
til Europa-Parlamentets og Rådets forordning
(EU) nr. 1315/2013 og enheder med tilknyttede
anlæg i lufthavne.
Trafikledelses- og kontroloperatører, der udøver
flyvekontroltjenester som defineret i artikel 2, nr.
1, i Europa-Parlamentets og Rådets forordning
(EF) nr. 549/2004.
Infrastrukturforvaltere som defineret i artikel 3,
nr. 2, i Europa-Parlamentets og Rådets direktiv
2012/34/EU.
Jernbanevirksomheder som defineret i artikel 3,
nr. 1, i direktiv 2012/34/EU, herunder operatører
-
-
b)
Jernbane
-
-
Side
67
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0068.png
af servicefaciliteter som defineret i nævnte
direktivs artikel 3, nr. 12.
c)
Vand
-
Rederier, som udfører passager- og godstransport
ad indre vandveje, i højsøfarvand eller kystnært
farvand som defineret for søtransport i bilag I til
Europa-Parlamentets og Rådets forordning (EF)
nr. 725/2004, bortset fra de enkelte fartøjer, som
drives af disse rederier.
Driftsorganer i havne som defineret i artikel 3,
nr. 1, i Europa-Parlamentets og Rådets direktiv
2005/65/EF, herunder deres havnefaciliteter som
defineret i artikel 2, nr. 11, i forordning (EF)
nr. 725/2004, og enheder, der opererer anlæg og
udstyr i havne.
Operatører af skibstrafiktjenester som defineret i
artikel 3, litra o, i Europa-Parlamentets og
Rådets direktiv 2002/59/EF.
Vejmyndigheder som defineret i artikel 2, nr. 12,
i Kommissionens delegerede forordning (EU)
2015/962, der er ansvarlige for trafikledelse, med
undtagelse af offentlige enheder, for hvilke
trafikledelse eller drift af intelligente
transportsystemer er en ikke-væsentlig del af
deres generelle aktivitet.
Operatører af intelligente transportsystemer som
defineret i artikel 4, nr. 1, i Europa-Parlamentets
og Rådets direktiv 2010/40/EU.
Sundhedstjenesteydere som defineret i artikel 3,
litra g, i Europa-Parlamentets og Rådets direktiv
2011/24/EU.
EU-referencelaboratorier, der er omhandlet i
artikel 15, i Europa-Parlamentets og Rådets
forordning (EU) 2022/2371.
Enheder, der udfører forsknings- og
udviklingsaktiviteter vedrørende lægemidler som
defineret i artikel 1, nr. 2, i Europa-Parlamentets
og Rådets direktiv 2001/83/EF.
-
-
d)
Vejtransport -
-
3.
Sundhed
-
-
Side
68
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0069.png
-
Enheder, der fremstiller farmaceutiske råvarer og
farmaceutiske præparater som omhandlet i
hovedafdeling C, hovedgruppe 21, i NACE rev.
2.
Enheder som fremstiller medicinsk udstyr, som
den anser for at være kritisk i en
folkesundhedsmæssig krisesituation (»liste over
kritisk medicinsk udstyr til
folkesundhedsmæssige krisesituationer«) i den i
artikel 22 i Europa-Parlamentets og Rådets
forordning (EU) 2022/123 anvendte betydning.
Leverandører og distributører af drikkevand som
defineret i artikel 2, nr. 1, litra a, i Europa-
Parlamentets og Rådets direktiv (EU)
2020/2184, bortset fra distributører for hvilke
distribution af drikkevand er en ikke-væsentlig
del af deres generelle aktivitet med distribution
af andre råvarer og varer.
Virksomheder der indsamler, bortskaffer eller
behandler byspildevand, husspildevand eller
industrispildevand som defineret i artikel 2,
nr. 1-3, i Rådets direktiv 91/271/EØF, bortset fra
virksomheder for hvilke indsamling,
bortskaffelse eller behandling af byspildevand,
husspildevand eller industrispildevand er en
ikke-væsentlig del af deres generelle aktivitet.
Udbydere af internetudvekslingspunkter.
DNS-tjenesteudbydere, bortset fra operatører af
rodnavneservere.
Topdomænenavneadministratorer.
Udbydere af cloudcomputingtjenester.
Udbydere af datacentertjenester med undtagelse
af datacentertjenester, der er udpeget i medfør af
§ 333, stk. 1, i lov om finansiel virksomhed.
Udbydere af indholdsleveringsnetværk.
Tillidstjenesteudbydere.
-
4.
Drikkevand
-
5.
Spildevand
-
6.
Digital
infrastruktur
-
-
-
-
-
-
-
Side
69
af
70
L 111 - 2024-25 - Bilag 2: Orientering om høringsbrev og udkast til bekendtgørelse om beredskab og modstandsdygtig-hed i energisektoren og bekendtgørelse om Energistyrelsens gebyrer på bered-skabsområdet i energisektoren, fra klima-, energi- og forsyningsministeren
2957291_0070.png
-
Udbydere af offentlige elektroniske
kommunikationsnet med undtagelse af udbydere,
der er omfattet af lov om cybersikkerhed i
telesektoren.
Udbydere af offentligt tilgængelige elektroniske
kommunikationstjenester med undtagelse af
udbydere, der er omfattet af lov om
cybersikkerhed i telesektoren.
Udbydere af administrerede tjenester
-
7.
Forvaltning af
IKT-tjenester
(business-to-
business)
-
-
Udbydere af administrerede sikkerhedstjenester
8.
Offentlig
forvaltning
-
Offentlige forvaltningsenheder under den
centrale forvaltning som defineret af en
medlemsstat i overensstemmelse med national
ret.
Offentlige forvaltningsenheder på regionalt plan
som defineret af en medlemsstat i
overensstemmelse med national ret.
Operatører af jordbaseret infrastruktur, der ejes,
forvaltes og drives af medlemsstater eller private
parter, og som understøtter levering af
rumbaserede tjenester, undtagen udbydere af
offentlige elektroniske kommunikationsnet.
-
9.
Rummet
-
Side
70
af
70