Efter afstemningen i Folketinget ved 2.
behandling den 20. februar 2025
Forslag
til
Lov om styrket beredskab i energisektoren1)
Kapitel 1
Formål, anvendelsesområde
og definitioner
§ 1.
Lovens formål er at fastsætte en ramme for
modstandsdygtighed og beredskab i forhold til naturskabte,
menneskeskabte og teknologiske trusler, der kan true eller skade
energiforsyningen, gennem regler om organisatorisk beredskab,
fysisk sikring og cybersikkerhed for virksomheder i
energisektoren.
Stk. 2. Loven
har endvidere til formål at fastsætte en ramme for
myndighedstilsyn med overholdelsen af disse regler og danne
grundlag for samarbejde mellem virksomheder, myndigheder og
øvrige organisationer, der varetager roller i
planlægningen af beredskabet og håndteringen af
beredskabshændelser i energisektoren.
§ 2.
Denne lov finder anvendelse på følgende typer af
virksomheder, jf. dog stk. 2 og 3:
1)
Elektricitetsvirksomheder.
2)
Distributionssystemoperatører.
3)
Transmissionssystemoperatører.
4)
Elproducenter.
5) Udpegede
elektricitetsmarkedsoperatører.
6)
Markedsdeltagere, der leverer tjenester, der vedrører
aggregering, fleksibelt elforbrug eller energilagring.
7)
Operatører af ladepunkter, der er ansvarlige for
forvaltningen og driften af et ladepunkt, som leverer en
ladetjeneste til slutbrugere, herunder i en
mobilitetstjenesteudbyders navn og på dennes vegne.
8)
Operatører af fjernvarme eller fjernkøling.
9)
Olierørledningsoperatører.
10)
Operatører af olieproduktionsanlæg, -raffinaderier og
-behandlingsanlæg, olielagre og olietransmission.
11) Centrale
lagerenheder.
12)
Gasforsyningsvirksomheder.
13)
Lagersystemoperatører.
14)
LNG-systemoperatører.
15)
Naturgasvirksomheder.
16)
Operatører af naturgasraffinaderier og
-behandlingsanlæg.
17)
Operatører inden for brintproduktion, -lagring og
-transmission.
18)
Operatører af tankstationer, der er ansvarlige for
forvaltningen og driften af tankstationer.
19)
Operatører af regionale koordinationscentre.
20)
Operatører af bygasnet.
Stk. 2. Loven
finder dog kun anvendelse på typer af virksomheder efter stk.
1, som beskæftiger under 50 personer, eller som har en
årlig omsætning og en samlet årlig balance
på ikke over 10 mio. euro, såfremt virksomheden
opfylder en eller flere af følgende betingelser:
1) Leverer
tjenester, der vedrører aggregering, fleksibelt elforbrug
eller energilagring med en kapacitet på 25 MW eller derover
eller 25 MW elproduktion eller derover.
2) Opererer
ladepunkter med en samlet kapacitet på 25 MW eller
derover.
3) I 2 ud af de
sidste 3 år har haft et årligt salg på mere end
13,9 GWh fjernvarme eller fjernkøling.
4) Årligt
producerer mere end 26 mio. Nm3
gas eller injicerer mere end 26 mio. Nm3 gas i et gasnet.
5) Opererer
olieterminaler eller olielagre med en kapacitet på 100.000
m3 eller derover.
6) Opererer
brintproduktion, der i sit tilslutningspunkt til et kollektivt
elnet har en kapacitet på 25 MW eller derover.
7) Opererer en
eller flere tankstationer, der sammenlagt har et årligt salg
af olieprodukter på 600.000 m3 eller derover, eller som opererer
flere end 100 tankstationer på nationalt plan.
8) Har en
positiv lagringspligt efter olieberedskabsloven eller regler
udstedt i medfør af olieberedskabsloven.
9) Er
distributionssystemoperatør.
10) Er central
lagerenhed.
11) Er
operatør af naturgasbehandlingsanlæg.
12) Er
operatør af regionale koordinationscentre.
13) Er
operatør af bygasnet.
Stk. 3. Lovens
kapitel 5 om baggrundskontrol og sikkerhedsgodkendelse finder
endvidere anvendelse på aktører og virksomheder, der
ikke omfattes af stk. 1 og 2, men som varetager opgaver som direkte
led i eller i forbindelse med leveringen af de tjenester og
aktiviteter, der varetages af virksomhedstyperne opregnet i stk.
1.
Stk. 4. Loven
finder anvendelse på land- og søterritoriet, i den
danske eksklusive økonomiske zone og på den danske
kontinentalsokkel, jf. dog stk. 5.
Stk. 5. Loven
finder ikke anvendelse på transmissionssystemer på
søterritoriet, i den eksklusive økonomiske zone og
på den danske kontinentalsokkel, der ikke har tilslutning til
danske forsyningsnet.
§ 3.
I denne lov forstås ved:
1) Aggregering:
Funktion, der varetages af en fysisk eller juridisk person, der
samler flere kunders forbrug eller producerede elektricitet til
salg, køb eller auktion på et elektricitetsmarked.
Aggregering er ikke levering af elektricitet.
2) Central
lagerenhed: Organ eller tjeneste, som er tildelt beføjelser
til at handle med henblik på at erhverve, holde eller
sælge olielagre, herunder beredskabslager og specifikke
lagre.
3)
Cybersikkerhed: De aktiviteter, der er nødvendige for at
beskytte net- og informationssystemer, brugerne af sådanne
systemer og andre personer berørt af cybertrusler.
4) Cybertrussel:
Enhver potentiel omstændighed, begivenhed eller handling, som
kan skade, forstyrre eller på anden måde have en
negativ indvirkning på net- og informationssystemer, brugerne
af sådanne systemer og andre personer.
5)
Distributionssystemoperatør: En fysisk eller juridisk
person, der er ansvarlig for driften, vedligeholdelsen og om
nødvendigt udbygningen af distributionssystemet i et givet
område og i givet fald dets sammenkoblinger med andre
systemer og for at sikre, at systemet på lang sigt kan
tilfredsstille en rimelig efterspørgsel efter distribution
af elektricitet eller gas.
6)
Elektricitetsvirksomhed: En fysisk eller juridisk person, der
driver mindst en af følgende former for virksomhed:
produktion, transmission, distribution, aggregering, fleksibelt
elforbrug, energilagring, levering eller køb af
elektricitet, og som er ansvarlig for de kommercielle, tekniske
eller vedligeholdelsesmæssige opgaver i forbindelse med disse
aktiviteter, men som ikke er slutkunde, der varetager salg,
herunder videresalg, af elektricitet til kunder.
7) Elproducent:
En fysisk eller juridisk person, der fremstiller elektricitet.
8)
Energilagring: I elektricitetssystemet udsættelse af den
endelige anvendelse af elektricitet til et senere tidspunkt end
det, hvor den blev produceret, eller konvertering af elektrisk
energi til en energiform, der kan lagres, lagringen af sådan
energi og den efterfølgende rekonvertering af sådan
energi til elektrisk energi eller anvendelse som anden
energibærer.
9) Fleksibelt
elforbrug: Ændringer i en slutkundes elforbrug i forhold til
det normale eller aktuelle forbrugsmønster som reaktion
på markedssignaler, herunder som reaktion på
tidspunktafhængige elpriser eller finansielle incitamenter,
eller som reaktion på accept af slutkundens bud om at
sælge en forbrugsreduktion eller -forøgelse til en
bestemt pris på et organiseret marked, hvad enten dette sker
alene eller gennem aggregering.
10)
Gasforsyningsvirksomhed: Enhver fysisk eller juridisk person,
der varetager forsyningsopgaven.
11)
Hændelse: En begivenhed, der har potentiale til i betydelig
grad at forstyrre, eller som forstyrrer leveringen af en
væsentlig tjeneste, herunder når den påvirker de
nationale systemer, der sikrer retsstatsprincippet, herunder en
begivenhed, der bringer tilgængeligheden, autenticiteten,
integriteten eller fortroligheden af lagrede, overførte
eller behandlede data eller af de tjenester, der tilbydes af eller
er tilgængelige via net- og informationssystemer, i fare.
12)
Håndtering af hændelser: Enhver handling og procedure,
der tager sigte på at forebygge, opdage, analysere og
inddæmme eller at reagere på og reetablere sig efter en
hændelse.
13) Ikt-proces:
Aktiviteter, der udføres for at udforme, udvikle, levere
eller vedligeholde et ikt-produkt eller en ikt-tjeneste.
14) Ikt-produkt:
Et element eller en gruppe af elementer i net- og
informationssystemer.
15)
Ikt-tjeneste: En tjeneste, der helt eller hovedsageligt
består af overførsel, lagring, indhentning eller
behandling af oplysninger ved hjælp af net- og
informationssystemer.
16)
Lagersystemoperatør: Enhver fysisk eller juridisk person,
der foretager oplagring af gas og er ansvarlig for driften af en
gaslagerfacilitet.
17)
LNG-systemoperatør: Enhver fysisk eller juridisk person, der
varetager funktionen med at gøre naturgas flydende eller
varetager import, losning og forgasning af LNG og er ansvarlig for
driften af en LNG-facilitet.
18)
Markedsdeltager, der leverer tjenester, der vedrører
aggregering, fleksibelt elforbrug eller energilagring: En fysisk
eller juridisk person, der køber, sælger eller
producerer elektricitet, der udfører aggregering, eller der
er en operatør af tjenester vedrørende fleksibelt
elforbrug eller energilagringstjenester, herunder ved afgivelse af
handelsordrer, på et eller flere elektricitetsmarkeder,
herunder på balanceringsenergimarkeder.
19)
Modstandsdygtighed: En enheds evne til at forebygge, beskytte mod,
reagere på, modstå, afbøde, absorbere, tilpasse
sig og sikre genopretning efter en hændelse.
20)
Naturgasvirksomhed: Enhver fysisk eller juridisk person, der driver
mindst en af følgende former for virksomhed: produktion,
transmission, distribution, forsyning, køb eller oplagring
af naturgas, herunder LNG, og som er ansvarlig for de kommercielle,
tekniske eller vedligeholdelsesmæssige opgaver i forbindelse
med disse aktiviteter, men som ikke er endelig kunde.
21) Net- og
informationssystem:
a) Et
elektronisk kommunikationsnet, hvorved forstås
transmissionssystemer, uanset om de bygger på en permanent
infrastruktur eller centraliseret administrationskapacitet, og,
hvor det er relevant, koblings- og dirigeringsudstyr og andre
ressourcer, herunder netelementer, der ikke er aktive, som
gør det muligt at overføre signaler ved hjælp
af trådforbindelse, radiobølger, lyslederteknik eller
andre elektromagnetiske midler, herunder satellitnet, jordbaserede
fastnet og mobilnet, elkabelsystemer, i det omfang de anvendes til
transmission af signaler, net, som anvendes til radio- og
tv-spredning, og kabel-tv-net, uanset hvilken type information der
overføres.
b) Enhver
anordning eller gruppe af forbundne eller beslægtede
anordninger, hvoraf en eller flere ved hjælp af et program
udfører automatisk behandling af digitale data.
c) Digitale
data, som lagres, behandles, fremfindes eller overføres af
elementer i litra a og b med henblik på deres drift, brug,
beskyttelse og vedligeholdelse.
22)
Nærvedhændelse: En begivenhed, der kunne have bragt
tilgængeligheden, autenticiteten, integriteten eller
fortroligheden af lagrede, overførte eller behandlede data
eller af de tjenester, der tilbydes af eller er tilgængelige
via net- og informationssystemer, i fare, men som det lykkedes at
forhindre, eller som ikke materialiserede sig.
23)
Operatør af fjernvarme eller fjernkøling:
Operatør af distribution af termisk energi i form af damp,
varmt vand eller afkølede væsker fra centrale eller
decentrale produktionssteder gennem et net til flere bygninger
eller anlæg til anvendelse ved rum- eller procesopvarmning
eller -køling.
24) Organiseret
marked:
a) Et
multilateralt system, der samler eller faciliterer samlingen af
flere tredjeparters købs- og salgsinteresser i
engrosenergiprodukter på en måde, der fører til
indgåelse af en kontrakt.
b) Ethvert andet
system eller enhver anden facilitet, hvor flere købs- og
salgsinteresser i engrosenergiprodukter tilhørende
tredjeparter kan interagere på en måde, der
fører til indgåelse af en kontrakt.
25) Regionalt
koordinationscenter: Et regionalt koordinationscenter, som oprettes
i Danmark i henhold til artikel 35 i Europa-Parlamentets og
Rådets forordning om det indre marked for elektricitet.
26) Risiko:
Potentialet for tab eller forstyrrelse som følge af en
hændelse udtrykt som en kombination af størrelsen af
et sådant tab eller en sådan forstyrrelse og
sandsynligheden for, at hændelsen indtræffer.
27)
Risikovurdering: Den samlede proces med henblik på at
bestemme arten og omfanget af en risiko ved at identificere og
analysere potentielle relevante trusler, sårbarheder og
farer, der kunne føre til en hændelse, og ved at
evaluere det potentielle tab eller den potentielle
forstyrrelse af leveringen af en væsentlig tjeneste
forårsaget af denne hændelse.
28)
Transmissionssystemoperatør: En fysisk eller juridisk
person, der er ansvarlig for driften, vedligeholdelsen og om
nødvendigt udbygningen af transmissionssystemet i et givet
område og i givet fald dets sammenkoblinger med andre
systemer og for at sikre, at systemet på lang sigt kan
tilfredsstille en rimelig efterspørgsel efter transmission
af elektricitet eller gas.
29) Udpeget
elektricitetsmarkedsoperatør: En markedsoperatør, der
af Forsyningstilsynet er blevet udpeget til at udføre
opgaver i forbindelse med den fælles day ahead- eller
intradaykobling.
30) Virksomhed:
En fysisk eller juridisk person, der er oprettet og anerkendt som
sådan i henhold til den nationale ret på det sted, hvor
den er etableret, og som i eget navn kan udøve rettigheder
og være underlagt forpligtelser.
31)
Væsentlig cybertrussel: En cybertrussel, som på
grundlag af sine tekniske karakteristika kan antages at have
potentiale til at få alvorlig indvirkning på en enheds
net- og informationssystemer eller på brugerne af enhedens
tjenester ved at forårsage betydelig materiel eller
immateriel skade.
32)
Væsentlig tjeneste: En tjeneste, der er afgørende for
opretholdelsen af vitale samfundsmæssige funktioner,
økonomiske aktiviteter, folkesundhed og offentlig sikkerhed
eller miljøet.
Kapitel 2
Identificering og kategorisering af
virksomheder
§ 4.
Klima-, energi- og forsyningsministeren identificerer kritiske
virksomheder, kritiske systemer og anlæg omfattet af loven,
der anvendes til at levere virksomhedernes tjenester.
Stk. 2. Klima-,
energi- og forsyningsministeren kategoriserer endvidere
virksomheder, deres systemer og anlæg omfattet af loven, der
anvendes til at levere virksomhedernes tjenester.
Stk. 3. Klima-,
energi- og forsyningsministeren fastsætter nærmere
regler om identificering og kategorisering af virksomheder og
systemer og anlæg, som anvendes til at levere virksomhedernes
tjenester efter stk. 1 og 2.
§ 5.
En virksomhed er en kritisk enhed af særlig europæisk
betydning, når virksomheden opfylder følgende
betingelser:
1) Virksomheden
er blevet identificeret som kritisk virksomhed efter § 4, stk.
1.
2) Virksomheden
leverer de samme eller lignende væsentlige tjenester til
eller i seks eller flere medlemsstater.
Stk. 2. Klima-,
energi- og forsyningsministeren underretter virksomheder om, at de
betragtes som kritiske enheder af særlig europæisk
betydning i energisektoren i medfør af reglerne i artikel 17
i Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af
14. december 2022 om kritiske enheders modstandsdygtighed og om
ophævelse af Rådets direktiv 2008/114/EF
(CER-direktivet).
Stk. 3. Klima-,
energi- og forsyningsministeren fastsætter nærmere
regler om udpegelsen af kritiske enheder af særlig
europæisk betydning.
Stk. 4. Klima-,
energi- og forsyningsministeren kan fastsætte regler om
særlige forpligtelser for virksomheder, der er kritiske
enheder af særlig europæisk betydning.
Kapitel 3
Virksomheders modstandsdygtighed og
beredskab
Organisatorisk
beredskab
§ 6.
Virksomheder omfattet af denne lov skal foretage nødvendig
beredskabsplanlægning og gennemføre passende
organisatoriske foranstaltninger for at beskytte leveringen af
deres tjenester og sikre effektiv genoprettelse af deres
tjenester.
Stk. 2. Klima-,
energi- og forsyningsministeren fastsætter efter forhandling
med ministeren for samfundssikkerhed og beredskab nærmere
regler om beredskabsplanlægning og foranstaltninger efter
stk. 1, herunder om følgende:
1)
Ledelsespligter, herunder krav om godkendelse af virksomhedens
risiko- og sårbarhedsvurdering og beredskabsplaner,
tilsynsrapporter og leverandørkontrakter, og virksomhedens
overblik over forsyningskæder og forsyningssikkerhed af
kritiske ressourcer.
2) At
ledelsesorganer skal tilegne sig viden og kundskaber inden for
risiko- og sårbarhedsstyring.
3)
Identifikations- og adgangskontrolpolitikker for beskyttelse mod
uautoriseret adgang.
4) Udpegelse af
personer til at varetage specifikke beredskabsroller.
5) Politikker
for informationssystemsikkerhed.
6) Politikker
for og udarbejdelse af risiko- og sårbarhedsvurderinger, som
omfatter nyindkøb, projekter og etablering af net- og
informationssystemer og anlæg.
7)
Forsyningskædesikkerhed, herunder sikkerhedsrelaterede
aspekter vedrørende forholdene mellem virksomheden og dens
direkte leverandører eller tjenesteudbydere.
8)
Beredskabsplaner og beredskabsplanlægning for
håndtering af hændelser.
9)
Øvelsesplanlægning, herunder afholdelse af
øvelser og træning af beredskabsforanstaltninger.
10)
Beredskabstræning, cybersikkerhedsadfærds- og
sikkerhedsuddannelse af ansatte i virksomheden.
11) Kapacitet
til at modtage og videreformidle advarsler om trusler.
12) Tilmelding
til en it-sikkerhedstjeneste.
Fysisk sikring
§ 7.
Virksomheder omfattet af denne lov skal træffe passende
foranstaltninger for at opretholde nødvendig fysisk sikring
af lokationer og anlæg, der bruges til at levere
virksomhedens tjenester, eller hvorfra drift af net- og
informationssystemer finder sted.
Stk. 2. Klima-,
energi- og forsyningsministeren fastsætter nærmere
regler om fysisk sikring efter stk. 1, herunder om
følgende:
1) Forhindring
af, at hændelser indtræffer, under behørig
hensyntagen til katastroferisikoreduktions- og
klimatilpasningsforanstaltninger.
2) Etablering af
foranstaltninger til overvågning, detektion og reaktion i
forbindelse med uautoriseret adgang til og på anlæg og
lokationer.
3)
Tilstrækkelig fysisk sikring af virksomhedens anlæg og
lokationer, herunder kontrolrum og kontrolrummets
arbejdsstationer.
4)
Håndtering af hændelser og genopretning efter
hændelser.
5)
Medarbejdersikkerhedsstyring.
Cybersikkerhed
§ 8.
Virksomheder omfattet af denne lov skal foretage nødvendig
planlægning og træffe passende
cybersikkerhedsforanstaltninger for at sikre beskyttelsen af net-
og informationssystemer, der bruges til at levere virksomhedens
tjenester.
Stk. 2. Klima-,
energi- og forsyningsministeren fastsætter efter forhandling
med ministeren for samfundssikkerhed og beredskab nærmere
regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder
om følgende:
1) Forvaltning
af net- og informationssystemer og passende teknisk sikkerhed til
beskyttelse af enheder med adgang til virksomhedens
netværk.
2) Etablering af
netværks- og infrastruktursikkerhed, herunder principper for
netværksarkitektur og -topologi med henblik på at
minimere risici for virksomhedens net- og informationssystemer.
3)
Sikkerhedskrav til geografisk placering af drift af net- og
informationssystemer.
4) Sikkerhed i
forbindelse med erhvervelse, udvikling og vedligeholdelse af net-
og informationssystemer.
5) Backupstyring
og genopretning af net- og informationssystemer til sikring af
driftskontinuitet for leveringen af tjenesten.
6) Etablering af
logning til at understøtte alarmer, efterforskningsarbejde,
hændelseshåndtering og monitorering af
uregelmæssigheder i net- og informationssystemer.
7) Etablering af
procedurer for løbende kontrol af cybersikkerheden i og
omkring net- og informationssystemer.
8) Brug af
sikret tale-, video- og tekstkommunikation og sikrede
nødkommunikationssystemer.
9) Brug af
kryptering og politikker og procedurer, der skal understøtte
sikkerheden og fortroligheden af net- og informationssystemer, der
er kritiske for leveringen af virksomhedens tjenester.
10) Brug af
multifaktorautentificering eller kontinuerlig autentificering og
adgangsbeskyttelse til sikring mod uautoriseret adgang til
virksomhedernes net- og informationssystemer.
11)
Foranstaltninger til forebyggelse og håndtering af
hændelser.
§ 9.
Klima-, energi- og forsyningsministeren kan efter forhandling med
ministeren for samfundssikkerhed og beredskab fastsætte
regler om, at virksomheder skal anvende særlige
ikt-produkter, -tjenester og -processer, der er udviklet af
virksomheden eller indkøbt fra tredjeparter, og som er
certificeret i henhold til en europæisk
cybersikkerhedscertificeringsordning, for at påvise
overensstemmelse med bestemte krav i § 8, stk. 1, eller i
regler om krav til foranstaltninger fastsat i medfør af
§ 8, stk. 2.
Koordinerende og
operative opgaver
§
10. Klima-, energi- og forsyningsministeren fastsætter
regler om ministerens og Energinets varetagelse af koordinerende
planlægningsmæssige og operative opgaver
vedrørende beredskab, jf. §§ 6-8.
Sektorberedskabsniveauer
og sektorberedskabsforanstaltninger
§
11. Klima-, energi- og forsyningsministeren kan i en
beredskabssituation omfattende sikkerhedsrelaterede hændelser
fastsætte og udmelde sektorberedskabsniveauer for hele
energisektoren eller en eller flere delsektorer.
Stk. 2. Klima-,
energi- og forsyningsministeren kan i en beredskabssituation
omfattende sikkerhedsrelaterede hændelser fastsætte og
pålægge sektorberedskabsforanstaltninger for hele
energisektoren, delsektorer, en eller flere virksomheder og
bestemte anlæg.
Stk. 3. Klima-,
energi- og forsyningsministeren kan i en beredskabssituation
bestemme, at de i stk. 2 nævnte foranstaltninger og andre
foranstaltninger, der skal foretages efter loven eller regler
udstedt i medfør af loven, midlertidigt skal intensiveres og
suppleres med yderligere foranstaltninger for at sikre en hurtig,
koordineret og prioriteret krisehåndtering, herunder
gennemførelse af myndighedernes beslutninger i den nationale
krisehåndtering.
Stk. 4.
Energinet kan i en beredskabssituation omfattende
sikkerhedsrelaterede hændelser i særlige
tilfælde, hvor klima-, energi- og forsyningsministeren ikke
kan fastsætte og udmelde sektorberedskabsniveauer og
foranstaltninger efter stk. 1-3, varetage opgaven på
ministerens vegne.
Kapitel 4
Underretningspligt
§
12. Klima-, energi- og forsyningsministeren kan
fastsætte regler om underretning og indrapportering af
hændelser, væsentlige cybertrusler og
nærvedhændelser.
§
13. Klima-, energi- og forsyningsministeren kan
fastsætte regler om virksomheders pligt til at underrette
modtagere af deres tjenester, myndigheder eller juridiske personer,
som udfører myndighedsopgaver, om trusler eller
hændelser, der kan påvirke eller har potentiale til at
påvirke virksomhedens levering af tjenester.
§
14. Klima-, energi- og forsyningsministeren kan efter
høring af en virksomhed, der er eller kan blive ramt af en
hændelse, informere offentligheden om hændelsen, hvis
det er nødvendigt for at forebygge eller håndtere
hændelsen, eller hvor informeringen af offentligheden om
hændelsen på anden måde er i offentlighedens
interesse.
Stk. 2. Klima-,
energi- og forsyningsministeren kan i situationer efter stk. 1
påbyde virksomheder at informere offentligheden om
hændelsen.
§
15. Enhver kan underrette Klima-, Energi- og
Forsyningsministeriet om væsentlige hændelser,
cybertrusler og nærvedhændelser, der negativt
påvirker eller vurderes at kunne påvirke
tilgængelighed, integritet eller fortrolighed af data,
informationssystemer, digitale netværk eller digitale
servicer i energisektoren.
Stk. 2. Klima-,
energi- og forsyningsministeren skal uden unødigt ophold
videresende underretninger efter stk. 1 til det danske Computer
Incident Response Team.
Kapitel 5
Baggrundskontrol og
sikkerhedsgodkendelse
§
16. Klima-, energi- og forsyningsministeren kan efter
forhandling med justitsministeren fastsætte regler om,
på hvilke betingelser virksomheder kan få foretaget
baggrundskontrol af personer i energisektoren, der
1) varetager
følsomme opgaver i eller til fordel for virksomheden,
navnlig vedrørende virksomhedens modstandsdygtighed,
2) er bemyndiget
til at få direkte adgang, indirekte adgang eller fjernadgang
til virksomhedens enheds lokaler, oplysninger eller
kontrolsystemer, herunder i forbindelse med virksomhedens
sikkerhed, eller
3) overvejes
ansat i stillinger, der indebærer opgavevaretagelse efter nr.
1 eller 2.
Stk. 2. Klima-,
energi- og forsyningsministeren kan efter forhandling med
justitsministeren og ministeren for samfundssikkerhed og beredskab
fastsætte regler om, at personer, der er omfattet af stk. 1,
skal sikkerhedsgodkendes af Klima-, Energi- og
Forsyningsministeriet. Klima-, energi- og forsyningsministeren kan
endvidere efter forhandling med justitsministeren og ministeren for
samfundssikkerhed og beredskab fastsætte regler om
ansøgninger vedrørende sikkerhedsgodkendelser,
herunder betingelser for indgivelse af sådanne
ansøgninger, samt meddelelse og tilbagekaldelse af
sikkerhedsgodkendelser.
Kapitel 6
Gebyrer
§
17. Virksomheder betaler halvårligt et fast
beløb til Klima-, Energi- og Forsyningsministeriet til
dækning af omkostninger til tilsyn med virksomheder efter
reglerne i denne lov eller regler udstedt i medfør af
loven.
Stk. 2.
Virksomheder betaler for ad hoc-tilsyn halvårligt et
beløb til Klima-, Energi- og Forsyningsministeriet til
dækning af omkostningerne for ad hoc-tilsynet med
virksomheden efter reglerne i denne lov eller regler udstedt i
medfør af loven.
Stk. 3. Klima-,
energi- og forsyningsministeren fastsætter regler om
størrelse, betaling og opkrævning af beløb
efter stk. 1 og 2, herunder om fordelingen af omkostningerne
på kategorier af virksomheder.
§
18. Virksomheder betaler for indgivelse af
ansøgninger og dispensationer et beløb for behandling
heraf efter reglerne i denne lov eller regler udstedt i
medfør af loven.
Stk. 2. Klima-,
energi- og forsyningsministeren fastsætter regler om
størrelse, betaling og opkrævning af beløb
efter stk. 1.
Kapitel 7
Tilsyn
§
19. Klima-, energi- og forsyningsministeren fører
tilsyn med, at virksomhederne opfylder deres forpligtelser i
henhold til loven og regler udstedt i medfør af loven.
Stk. 2. Klima-,
Energi og Forsyningsministeriet kan som led i sin
tilsynsforpligtelse anvende følgende tilsyns- og
kontrolforanstaltninger:
1) Foretage
tilsyn og kontrol hos virksomheden ved at inspicere de lokaler, som
virksomheden bruger til at levere sine tjenester og foretage
stikprøvekontroller.
2) Foretage
regelmæssige kontrol- og tilsynsbesøg hos
virksomheder.
3) Foretage ad
hoc-tilsyn.
4) Foretage
sikkerhedsscanninger af virksomhedens net- og
informationssystemer.
5) Kræve
at få udleveret oplysninger og dokumentation, der er
nødvendige for at vurdere foranstaltningerne
vedrørende organisatorisk beredskab, fysisk sikring og
cybersikkerhed, som virksomheden har indført efter loven og
regler udstedt i medfør af loven.
6) Kræve
at få adgang til data, dokumenter og oplysninger, der er
nødvendige for udførelsen af tilsynsopgaven, herunder
til afgørelse af, om et forhold er omfattet af denne lov
eller regler udstedt i medfør af loven.
Stk. 3. Klima-,
Energi- og Forsyningsministeriet er ansvarlig for eventuelle
skader, som en virksomhed måtte lide i forbindelse med
scanninger og test efter stk. 2, nr. 4.
Stk. 4. Klima-,
energi- og forsyningsministeren kan fastsætte nærmere
regler om tilsyn og kontrol af virksomhederne, herunder omfanget,
udførelsen og hyppigheden af tilsyns- og
kontrolbesøg.
Stk. 5. Klima-,
energi- og forsyningsministeren kan fastsætte regler om
udlevering af materiale til brug for tilsyn og formkrav hertil,
herunder om, hvilke sprog materialet skal udarbejdes på.
§
20. Rådgivende missioner, som er nedsat i
medfør af Europa-Parlamentets og Rådets direktiv om
kritiske enheders modstandsdygtighed, kan efter tilladelse fra
klima-, energi- og forsyningsministeren vurdere de
foranstaltninger, som virksomheder, der er kritiske enheder af
særlig europæisk betydning efter § 5, stk. 1, har
truffet for at opfylde deres forpligtelser i henhold til loven og
regler udstedt i medfør heraf.
Stk. 2.
Rådgivende missioner kan anvende tilsynsforanstaltninger
efter § 19, stk. 2, nr. 1 og 5, i det omfang det er
nødvendigt for at gennemføre den
pågældende rådgivende mission.
Stk. 3. Klima-,
energi og forsyningsministeren kan træffe afgørelse om
at begrænse rådgivende missioners
tilsynsforanstaltninger efter § 19, stk. 2, nr. 1 og 5, i det
omfang det er nødvendigt til beskyttelse af væsentlige
hensyn til følgende:
1) Statens
sikkerhed eller rigets forsvar.
2) Rigets
udenrigspolitiske eller udenrigsøkonomiske interesser,
herunder forholdet til fremmede magter eller mellemfolkelige
institutioner.
3) Private og
offentlige interesser, hvor hemmeligholdelse efter forholdets
særlige karakter er påkrævet.
Kapitel 8
Påbud og forbud
§
21. Klima-, energi- og forsyningsministeren kan over for en
virksomhed omfattet af denne lov anvende følgende
påbud og forbud:
1) Påbyde
virksomheden at træffe foranstaltninger, der er
nødvendige for at forhindre eller afhjælpe en
hændelse.
2) Meddele
påbud og forbud, der anses for nødvendige for at sikre
overholdelsen af krav fastsat i loven og regler udstedt i
medfør af loven.
3) Påbyde
virksomheden at underrette de fysiske eller juridiske personer, til
hvilke den leverer tjenester eller udfører aktiviteter, som
potentielt kan være berørt af en væsentlig
cybertrussel, om denne trussels karakter og om eventuelle
beskyttelsesforanstaltninger eller afhjælpende
foranstaltninger, som de fysiske eller juridiske personer kan
træffe som reaktion på denne trussel.
4) Påbyde
virksomheden at udpege en person med ansvar for i en nærmere
fastsat periode at føre tilsyn med virksomhedens
overholdelse af §§ 6-9 og 12-14 og regler udstedt i
medfør heraf.
5) Påbyde
virksomheden at offentliggøre afgørelser om
påbud eller forbud efter nr. 1-4 og resuméer af domme
eller bødeforlæg, hvor der idømmes eller
vedtages en bøde, i ikkeanonymiseret form og på en
nærmere angiven måde.
§
22. Klima-, energi- og forsyningsministeren kan ved
manglende opfyldelse af påbud efter § 21 påbyde
virksomheder at få foretaget en revision af net- og
informationsforanstaltninger, modstandsdygtighedsforanstaltninger
og kritiske systemer ved en uafhængig revisor. Udgifterne til
revisionen afholdes af virksomheden.
Stk. 2. Klima-,
energi- og forsyningsministeren kan påbyde virksomheder at
gennemføre tiltag, som på baggrund af en revision
efter stk. 1 vurderes nødvendige for at opretholde et
tilstrækkeligt beredskab.
Stk. 3. Klima-,
energi- og forsyningsministeren kan fastsætte nærmere
regler om, hvordan den uafhængige revisor efter stk. 1
udpeges og godkendes, samt omfanget af revisionen.
§
23. Overtræder en virksomhed, der er udpeget som en
væsentlig enhed, jf. § 4, stk. 1, et påbud eller
forbud, der er meddelt i medfør af § 21, nr. 1-4, og
§ 22, stk. 1 og 2, kan klima-, energi- og forsyningsministeren
fastsætte en frist, inden for hvilken virksomheden skal
foretage de nødvendige tiltag for at afhjælpe
manglerne eller opfylde myndighedernes krav. Er tiltagene ikke
foretaget inden for den fastsatte frist, kan klima-, energi- og
forsyningsministeren træffe afgørelse om
1) midlertidigt
at suspendere en certificering eller godkendelse vedrørende
dele af eller alle de relevante tjenester, virksomheden leverer,
eller aktiviteter, der udføres af virksomheden, og
2) midlertidigt
at forbyde enhver fysisk person med ledelsesansvar på niveau
med administrerende direktør eller den juridiske
repræsentant hos virksomheden at udøve
ledelsesfunktioner i den pågældende virksomhed.
Stk. 2.
Midlertidige suspensioner eller forbud, som er pålagt i
medfør af stk. 1, kan kun anvendes, indtil virksomheden
træffer de nødvendige foranstaltninger til at
afhjælpe de mangler eller til at opfylde de krav, som gav
anledning til, at foranstaltningerne blev anvendt.
Stk. 3. En
afgørelse efter stk. 1 kan af virksomheden eller den fysiske
person, afgørelsen vedrører, forlanges indbragt for
domstolene. Klima-, energi- og forsyningsministeren anlægger
i givet fald sag mod den virksomhed eller person, som har forlangt
sagen indbragt.
Stk. 4. Klima-,
energi- og forsyningsministeren kan efter forhandling med
ministeren for samfundssikkerhed og beredskab fastsætte
nærmere regler om, hvilke certificeringer og godkendelser der
er omfattet af stk. 1, nr. 1.
§
24. Inden klima-, energi- og forsyningsministeren
træffer afgørelse om at anvende
håndhævelsesforanstaltninger efter §§ 21-23,
underrettes den berørte virksomhed om de
påtænkte påbud eller forbud og begrundelsen
herfor. Klima-, energi- og forsyningsministeren skal give
virksomheden en rimelig frist til at fremsætte
bemærkninger, medmindre formålet med foranstaltningen
herved ville forspildes.
Kapitel 9
Gensidig bistand om
cybersikkerhed
§
25. Klima-, energi- og forsyningsministeren samarbejder med
andre medlemsstaters kompetente myndigheder i relevant omfang, hvor
en virksomhed leverer tjenester i mere end en medlemsstat i Den
Europæiske Union, eller hvor virksomheden leverer tjenester i
en eller flere medlemsstater, og virksomhedens net- og
informationssystemer er beliggende i en eller flere andre
medlemsstater. Samarbejdet indebærer, at
1) klima-,
energi- og forsyningsministeren via det centrale kontaktpunkt, der
er udpeget af regeringen i medfør af Europa-Parlamentets og
Rådets direktiv om foranstaltninger til sikring af et
højt fælles cybersikkerhedsniveau i hele Unionen,
underretter de kompetente myndigheder i relevante medlemsstater om
anvendte tilsyns- og håndhævelsesforanstaltninger,
2) klima-,
energi- og forsyningsministeren kan anmode en anden medlemsstats
kompetente myndighed om at anvende tilsyns- og
håndhævelsesforanstaltninger, og
3) klima-,
energi- og forsyningsministeren i rimeligt omfang yder bistand til
en anden medlemsstats kompetente myndighed efter modtagelse af en
begrundet anmodning herom.
Stk. 2. Klima-,
Energi- og Forsyningsministeriet kan efter nærmere aftale med
kompetente myndigheder fra andre medlemsstater i Den
Europæiske Union gennemføre fælles
tilsynstiltag.
Kapitel 10
Fortrolighed, udveksling af
oplysninger og digital kommunikation
§
26. Informationer om sikkerhedsgodkendelse og
baggrundskontrol samt forhold vedrørende organisatorisk
beredskab, fysisk sikring og cybersikkerhed i virksomheder, der er
omfattet af loven, eller informationer om energisektoren generelt,
som udarbejdes i medfør af denne lov, er fortrolige i
følgende tilfælde:
1)
Informationerne indgår i vurderingen af
sikkerhedsgodkendelser.
2)
Informationerne indgår i vurderingen af baggrundskontrol.
3)
Informationerne er væsentlige af hensyn til driften af
virksomheden.
4)
Informationerne er væsentlige af hensyn til driften af andre
virksomheder omfattet af loven.
5)
Informationerne er væsentlige af hensyn til driften af
energiforsyningen lokalt, regionalt, nationalt eller på
europæisk niveau.
Stk. 2. Klima-,
energi- og forsyningsministeren fastsætter nærmere
regler om, hvordan virksomheder og myndigheder behandler
informationer som nævnt i stk. 1.
§
27. Underretning efter § 15 er undtaget fra aktindsigt
efter lov om offentlighed i forvaltningen og partsaktindsigt efter
forvaltningsloven.
§
28. Klima-, Energi- og Forsyningsministeriet og andre
relevante myndigheder kan videregive oplysninger til andre
medlemsstaters myndigheder og til institutioner i Den
Europæiske Union for at varetage myndighedsopgaver i
medfør af denne lov, Europa-Parlamentets og Rådets
direktiv om foranstaltninger til sikring af et højt
fælles cybersikkerhedsniveau i hele Unionen og
Europa-Parlamentets og Rådets direktiv om kritiske enheders
modstandsdygtighed.
§
29. De forpligtelser, der er fastsat i denne lov eller i
regler udstedt i medfør af loven, omfatter ikke meddelelse
af oplysninger, når videregivelse ville stride mod
væsentlige interesser af hensyn til national sikkerhed,
offentlig sikkerhed eller forsvar.
Stk. 2.
Oplysninger, der modtages eller hidrører fra myndigheder i
andre EU-medlemsstater, behandles som fortrolige, såfremt den
afgivende myndighed betragter oplysningerne som fortrolige i
henhold til EU-regler eller nationale regler.
§
30. Klima-, energi- og forsyningsministeren kan
fastsætte regler om digital kommunikation, herunder om
anvendelsen af bestemte it-systemer og særlige digitale
formater samt digital signatur el.lign.
Kapitel 11
Klageadgang og
domstolsprøvelse m.v.
§
31. Energiklagenævnet behandler klager over
afgørelser truffet af klima-, energi- og
forsyningsministeren eller anden statslig myndighed efter denne lov
eller regler udstedt i medfør af loven.
Stk. 2.
Afgørelser nævnt i stk. 1 kan ikke indbringes for
anden administrativ myndighed end Energiklagenævnet.
Afgørelserne kan ikke indbringes for domstolene, før
den endelige administrative afgørelse foreligger, jf. dog
§ 23, stk. 3.
Stk. 3. Klage
efter stk. 1 skal være indgivet skriftligt til
Energiklagenævnet, inden 4 uger fra tidspunktet, hvor
afgørelsen er meddelt. Er afgørelsen offentliggjort,
regnes fristen dog fra offentliggørelsen. Udløber
klagefristen på en lørdag, søndag eller
helligdag, forlænges fristen til den følgende
hverdag.
Stk. 4.
Søgsmål til prøvelse af afgørelser
truffet af Energiklagenævnet efter loven eller regler udstedt
i medfør af loven skal være anlagt, inden 6
måneder efter at afgørelsen er meddelt den
pågældende. Er afgørelsen offentliggjort, regnes
fristen dog altid fra offentliggørelsen.
Stk. 5.
Energiklagenævnet kan i forbindelse med behandling af en
klage indhente oplysninger, der er nødvendige for behandling
af klagen, fra virksomheder omfattet af loven og myndigheder, der
træffer afgørelse efter loven eller regler udstedt i
medfør af loven.
§
32. Klima-, energi- og forsyningsministeren kan
fastsætte regler om adgangen til at klage over
afgørelser, der efter loven eller regler udstedt i
medfør af loven træffes af klima-, energi- og
forsyningsministeren, herunder at visse afgørelser ikke skal
kunne indbringes for Energiklagenævnet.
§
33. Klima-, energi- og forsyningsministeren kan bemyndige en
institution eller en anden myndighed oprettet under ministeriet til
at udøve de beføjelser, der i denne lov er tillagt
ministeren.
§
34. Klima-, energi- og forsyningsministeren kan
fastsætte regler med henblik på at gennemføre
eller anvende internationale konventioner og EU-regler om forhold,
der er omfattet af denne lov, herunder forordninger, direktiver og
beslutninger om beredskab og beskyttelse af energiinfrastruktur
på søterritoriet og i den eksklusive økonomiske
zone.
§
35. Klima-, energi- og forsyningsministeren og Energinet kan
fra virksomheder omfattet af loven indhente oplysninger, der er
nødvendige for varetagelsen af deres opgaver efter loven,
efter bestemmelser fastsat i medfør af loven eller efter
EU-retsakter eller internationale forpligtelser om forhold omfattet
af loven.
Stk. 2. Klima-,
energi- og forsyningsministeren fastsætter regler om, at
virksomheder omfattet af loven skal registrere sig, og om, hvilke
oplysninger virksomheder i den forbindelse skal give, herunder
oplysninger om følgende:
1) Virksomhedens
navn.
2) Virksomhedens
adresse og ajourførte kontaktoplysninger, herunder
e-mailadresser, ip-intervaller og telefonnumre.
3) Den relevante
sektor og delsektor, som virksomheden er omfattet af.
4) De
medlemsstater i Den Europæiske Union, hvor virksomheden
leverer tjenester.
Kapitel 12
Samordnet beredskab
§
36. Klima-, energi- og forsyningsministeren kan
fastsætte nærmere regler om samordnet beredskab, med
henblik på at beredskabsarbejdet efter denne lov og regler
udstedt i medfør heraf varetages af flere virksomheder i
fællesskab eller af den ene part.
Kapitel 13
Straf
§
37. Med bøde straffes den, der
1) undlader at
efterkomme påbud efter § 14, stk. 2,
2) hindrer
myndighederne i at føre kontrol efter § 19, stk. 2, nr.
1-6,
3) undlader at
efterkomme påbud efter § 21 og § 22, stk. 1 og
2,
4) undlader at
efterkomme en afgørelse efter § 23, stk. 1, nr. 1 eller
2,
5) meddeler
Energiklagenævnet urigtige, vildledende oplysninger eller
undlader at meddele oplysninger efter anmodning i medfør af
§ 31, stk. 5, eller
6) meddeler
klima-, energi- og forsyningsministeren eller Energinet urigtige
eller vildledende oplysninger eller undlader at meddele oplysninger
i medfør af § 35, stk. 1.
Stk. 2. Der kan
pålægges selskaber m.v. (juridiske personer)
strafansvar efter reglerne i straffelovens 5. kapitel.
Stk. 3. Der kan
ikke pålægges bøde efter denne lov, hvor der er
pålagt en bøde for overtrædelse af
databeskyttelsesforordningen eller databeskyttelsesloven, hvis
overtrædelsen skyldes den samme adfærd som den, der var
genstand for bøden i medfør af
databeskyttelsesforordningen eller databeskyttelsesloven.
Stk. 4. I
forskrifter, der udstedes i medfør af loven, kan der
fastsættes straf af bøde for overtrædelse af
bestemmelser i forskrifterne.
Kapitel 14
Ikrafttrædelse
§
38. Loven træder i kraft den 7. marts 2025.
Stk. 2. Regler
udstedt i medfør af § 15 a, stk. 3 og 4, § 15 b,
stk. 5 og 6, og § 30 a, stk. 5 og 6, i lov om gasforsyning,
jf. lovbekendtgørelse nr. 1100 af 16. august 2023, forbliver
i kraft, indtil de ophæves eller afløses af regler
udstedt i medfør af § 4, stk. 2, § 6, stk. 2,
§ 7, stk. 2, § 8, stk. 2, §§ 10, 12 og 13,
§ 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og 5,
§ 22, stk. 3, og § 26, stk. 2, i denne lov.
Stk. 3. Regler
udstedt i medfør af § 30 a, stk. 7, i lov om
gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16. august
2023, forbliver i kraft, indtil de ophæves eller
afløses af regler udstedt i medfør af § 30 a,
stk. 5, i lov om gasforsyning, jf. denne lovs § 41, nr. 5.
Stk. 4. Regler
udstedt i medfør af § 51 d, stk. 2, § 85 b, stk. 3
og 4, og § 85 c, stk. 5 og 6, i lov om elforsyning, jf.
lovbekendtgørelse nr. 1248 af 24. oktober 2023, forbliver i
kraft, indtil de ophæves eller afløses af regler
udstedt i medfør af § 4, stk. 2, § 6, stk. 2,
§ 7, stk. 2, § 8, stk. 2, §§ 10, 12 og 13,
§ 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og 5,
§ 22, stk. 3, og § 26, stk. 2, i denne lov.
Stk. 5. Regler
udstedt i medfør af § 16 i lov nr. 354 af 24. april
2012 om olieberedskab forbliver i kraft, indtil de ophæves
eller afløses af regler udstedt i medfør af § 4,
stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2,
§§ 10, 12 og 13, § 17, stk. 3, § 18, stk. 2,
§ 19, stk. 4 og 5, § 22, stk. 3, og § 26, stk. 2, i
denne lov.
Kapitel 15
Ændringer i anden
lovgivning
§ 39. I
olieberedskabsloven, lov nr. 354 af 24. april 2012, som
ændret ved lov nr. 1466 af 10. december 2024, foretages
følgende ændring:
1. §
16 ophæves.
§ 40. I
lov om elforsyning, jf. lovbekendtgørelse nr. 1248 af 24.
oktober 2023, som ændret bl.a. ved § 1 i lov nr. 1787 af
28. december 2023 og senest ved § 1 i lov nr. 1677 af 30.
december 2024, foretages følgende ændringer:
1. § 51
d ophæves.
2. Overskriften til kapitel 12 affattes
således:
»Kapitel 12
Fortrolighed, kontrol,
oplysningspligt og påbud«.
3. §§
85 b og 85 c ophæves.
§ 41. I
lov om gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16.
august 2023, som ændret senest ved § 2 i lov nr. 1677 af
30. december 2024, foretages følgende ændringer:
1. I
§ 12 a, stk. 3, udgår
»§ 15 a, stk. 1,«.
2. Overskriften før § 15 a
ophæves.
3. §§
15 a og 15 b ophæves.
4. I
§ 30 a, stk. 2, udgår
», jf. dog stk. 5«.
5. § 30 a,
stk. 5 og 6, ophæves.
Stk. 7 bliver herefter stk. 5.
6. I
§ 30 a, stk. 7, der bliver stk. 5,
ændres »stk. 1, 2, 5 og 6« til: »stk. 1 og
2«.
§ 42. I
lov om varmeforsyning, jf. lovbekendtgørelse nr. 124 af 2.
februar 2024, som ændret ved § 4 i lov nr. 673 af 11.
juni 2024, § 29 i lov nr. 1647 af 30. december 2024 og §
1 i lov nr. 1678 af 30. december 2024, foretages følgende
ændringer:
1. I
§ 20, stk. 1, 1. pkt.,
indsættes efter »§§ 28 a, 28 b og 29«:
»og omkostninger til beredskab efter lov om styrket beredskab
i energisektoren«.
2. § 29
a ophæves.
§ 43. I
lov om anvendelse af Danmarks undergrund, jf.
lovbekendtgørelse nr. 1461 af 29. november 2023, som
ændret ved § 34 i lov nr. 612 af 11. juni 2024,
foretages følgende ændring:
1. § 17
a ophæves.
§ 44. I
lov om Energinet, jf. lovbekendtgørelse nr. 271 af 9. marts
2023, som ændret ved § 35 i lov nr. 612 af 11. juni 2024
og § 6 i lov nr. 673 af 11. juni 2024, foretages
følgende ændring:
1. I
§ 2, stk. 2, 1. pkt.,
indsættes efter »reglerne i denne lov,«:
»lov om styrket beredskab i energisektoren,«.
Kapitel 16
Territorialbestemmelse
§
45. Loven gælder ikke for Færøerne og
Grønland.
Officielle noter
1)
Loven indeholder bestemmelser, der gennemfører dele af
Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14.
december 2022 om foranstaltninger til sikring af et højt
fælles cybersikkerhedsniveau i hele Unionen, om ændring
af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om
ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet),
EU-Tidende 2022, nr. L 333, side 80, og dele af Europa-Parlamentets
og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om
kritiske enheders modstandsdygtighed og om ophævelse af
Rådets direktiv 2008/114/EF (CER-direktivet), EU-Tidende
2022, nr. L 333, side 164.