Fremsat den 4. december 2024 af klima-, energi- og forsyningsministeren (Lars Aagaard)

Forslag

til

Lov om styrket beredskab i energisektoren1)

Kapitel 1

Formål, anvendelsesområde og definitioner

§ 1. Lovens formål er at fastsætte en ramme for modstandsdygtighed og beredskab i forhold til naturskabte, menneskeskabte og teknologiske trusler, der kan true eller skade energiforsyningen gennem regler om organisatorisk beredskab, fysisk sikring og cybersikkerhed for virksomheder i energisektoren.

Stk. 2. Loven har endvidere til formål at fastsætte en ramme for myndighedstilsyn med overholdelsen af disse regler og danne grundlag for samarbejde mellem virksomheder, myndigheder samt øvrige organisationer, der varetager roller i planlægningen af beredskabet og håndteringen af beredskabshændelser i energisektoren.

§ 2. Denne lov finder anvendelse på følgende typer af virksomheder, jf. dog stk. 2 og 3:

1) Elektricitetsvirksomheder.

2) Distributionssystemoperatører.

3) Transmissionssystemoperatører.

4) Elproducenter.

5) Udpegede elektricitetsmarkedsoperatører.

6) Markedsdeltagere, der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring.

7) Operatører af ladepunkter, der er ansvarlige for forvaltningen og driften af et ladepunkt, som leverer en ladetjeneste til slutbrugere, herunder i en mobilitetstjenesteudbyders navn og på dennes vegne.

8) Operatører af fjernvarme eller fjernkøling.

9) Olierørledningsoperatører.

10) Operatører af olieproduktionsanlæg, -raffinaderier og -behandlingsanlæg, olielagre og olietransmission.

11) Centrale lagerenheder.

12) Gasforsyningsvirksomheder.

13) Lagersystemoperatører.

14) LNG-systemoperatører.

15) Naturgasvirksomheder.

16) Operatører af naturgasraffinaderier og -behandlingsanlæg.

17) Operatører inden for brintproduktion, -lagring og -transmission.

18) Operatører af tankstationer, der er ansvarlige for forvaltningen og driften af tankstationer.

19) Operatører af regionale koordinationscentre.

20) Operatører af bygasnet.

Stk. 2. Loven finder dog kun anvendelse på typer af virksomheder efter stk. 1, som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt virksomheden opfylder én eller flere af følgende betingelser:

1) Leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring med en kapacitet på 25 MW eller derover eller håndterer en kapacitet på 25 MW elforbrug eller derover eller 25 MW elproduktion eller derover.

2) Opererer ladepunkter med en samlet kapacitet på 25 MW eller derover.

3) I 2 ud af de sidste 3 år har haft et årligt salg på mere end 13,9 GWh fjernvarme eller fjernkøling.

4) Årligt producerer mere end 26 mio. Nm3 gas eller injicerer mere end 26 mio. Nm3 gas i et gasnet.

5) Opererer olieterminaler eller olielagre med en kapacitet på 100.000 m3 eller derover.

6) Opererer brintproduktion, der i sit tilslutningspunkt til et kollektivt elnet har en kapacitet på 25 MW eller derover.

7) Opererer én eller flere tankstationer, der sammenlagt har et årligt salg af olieprodukter på 600.000 m3 eller derover, eller som opererer flere end 100 tankstationer på nationalt plan.

8) Har en positiv lagringspligt efter olieberedskabsloven eller regler udstedt i medfør af loven.

Stk. 3. Lovens kapitel 5 om baggrundskontrol og sikkerhedsgodkendelser, finder endvidere anvendelse på aktører og virksomheder, der ikke omfattes af stk. 1 og 2, men som varetager opgaver som direkte led i eller i forbindelse med leveringen af de tjenester og aktiviteter, der varetages af virksomhedstyperne opregnet i stk. 1.

Stk. 4. Loven finder anvendelse på land- og søterritoriet, i den danske eksklusive økonomiske zone samt på den danske kontinentalsokkel, jf. dog stk. 5.

Stk. 5. Loven finder ikke anvendelse på transmissionssystemer på søterritoriet, i den eksklusive økonomiske zone og på den danske kontinentalsokkel, der ikke har tilslutning til danske forsyningsnet.

§ 3. I denne lov forstås ved:

1) Aggregering: Funktion, der varetages af en fysisk eller juridisk person, der samler flere kunders forbrug eller producerede elektricitet til salg, køb eller auktion på et elektricitetsmarked. Aggregering er ikke levering af elektricitet.

2) Centrale lagerenheder: Organ eller tjeneste, som er tildelt beføjelser til at handle med henblik på at erhverve, holde eller sælge olielagre, herunder beredskabslager og specifikke lagre.

3) Cybersikkerhed: De aktiviteter, der er nødvendige for at beskytte net- og informationssystemer, brugerne af sådanne systemer og andre personer berørt af cybertrusler.

4) Cybertrussel: Enhver potentiel omstændighed, begivenhed eller handling, som kan skade, forstyrre eller på anden måde have en negativ indvirkning på net- og informationssystemer, brugerne af sådanne systemer og andre personer.

5) Distributionssystemoperatører: En fysisk eller juridisk person, der er ansvarlig for driften, vedligeholdelsen og om nødvendigt udbygningen af distributionssystemet i et givet område samt i givet fald dets sammenkoblinger med andre systemer og for at sikre, at systemet på lang sigt kan tilfredsstille en rimelig efterspørgsel efter distribution af elektricitet eller gas.

6) Elektricitetsvirksomheder: En fysisk eller juridisk person, der driver mindst en af følgende former for virksomhed: produktion, transmission, distribution, aggregering, fleksibelt elforbrug, energilagring, levering eller køb af elektricitet, og som er ansvarlig for de kommercielle, tekniske eller vedligeholdelsesmæssige opgaver i forbindelse med disse aktiviteter, men som ikke er slutkunde der varetager salg, herunder videresalg, af elektricitet til kunder.

7) Elproducenter: En fysisk eller juridisk person, der fremstiller elektricitet.

8) Energilagring: I elektricitetssystemet, udsættelse af den endelige anvendelse af elektricitet til et senere tidspunkt end det, hvor den blev produceret, eller konvertering af elektrisk energi til en energiform, der kan lagres, lagringen af sådan energi og den efterfølgende rekonvertering af sådan energi til elektrisk energi eller anvendelse som anden energibærer.

9) Fleksibelt elforbrug: Ændringer i en slutkundes elforbrug i forhold til det normale eller aktuelle forbrugsmønster som reaktion på markedssignaler, herunder som reaktion på tidspunktafhængige elpriser eller finansielle incitamenter, eller som reaktion på accept af slutkundens bud om at sælge en forbrugsreduktion eller -forøgelse til en bestemt pris på et organiseret marked, hvad enten dette sker alene eller gennem aggregering.

10) Gasforsyningsvirksomheder: Enhver fysisk eller juridisk person, der varetager forsyningsopgaven.

11) Hændelse: En begivenhed, der har potentiale til i betydelig grad at forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste, herunder når den påvirker de nationale systemer, der sikrer retsstatsprincippet, herunder en begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare.

12) Håndtering af hændelser: Enhver handling og procedure, der tager sigte på at forebygge, opdage, analysere og inddæmme eller at reagere på og reetablere sig efter en hændelse.

13) IKT-proces: Aktiviteter, der udføres for at udforme, udvikle, levere eller vedligeholde et IKT-produkt eller en IKT-tjeneste.

14) IKT-produkt: Et element eller en gruppe af elementer i net- og informationssystemer.

15) IKT-tjeneste: En tjeneste, der helt eller hovedsageligt består af overførsel, lagring, indhentning eller behandling af oplysninger ved hjælp af net- og informationssystemer.

16) Lagersystemoperatører: Enhver fysisk eller juridisk person, der foretager oplagring af gas og er ansvarlig for driften af en gaslagerfacilitet.

17) LNG-systemoperatører: Enhver fysisk eller juridisk person, der varetager funktionen med at gøre naturgas flydende eller varetager import, losning og forgasning af LNG og er ansvarlig for driften af en LNG-facilitet.

18) Markedsdeltagere, der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring: En fysisk eller juridisk person, der køber, sælger eller producerer elektricitet, der udfører aggregering, eller der er en operatør af tjenester vedrørende fleksibelt elforbrug eller energilagringstjenester, herunder ved afgivelse af handelsordrer, på et eller flere elektricitetsmarkeder, herunder på balanceringsenergimarkeder.

19) Modstandsdygtighed: En enheds evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og sikre genopretning efter en hændelse.

20) Naturgasvirksomheder: Enhver fysisk eller juridisk person, der driver mindst en af følgende former for virksomhed: produktion, transmission, distribution, forsyning, køb eller oplagring af naturgas, herunder LNG, og som er ansvarlig for de kommercielle, tekniske eller vedligeholdelsesmæssige opgaver i forbindelse med disse aktiviteter, men som ikke er endelig kunde.

21) Net- og informationssystem:

a) Et elektronisk kommunikationsnet, hvorved forstås transmissionssystemer, uanset om de bygger på en permanent infrastruktur eller centraliseret administrationskapacitet, og, hvor det er relevant, koblings- og dirigeringsudstyr og andre ressourcer, herunder netelementer, der ikke er aktive, som gør det muligt at overføre signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellitnet, jordbaserede fastnet og mobilnet, elkabelsystemer, i det omfang de anvendes til transmission af signaler, net, som anvendes til radio- og tv-spredning, samt kabel-tv-net, uanset hvilken type information der overføres.

b) Enhver anordning eller gruppe af forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data.

c) Digitale data, som lagres, behandles, fremfindes eller overføres af elementer i litra a) og b) med henblik på deres drift, brug, beskyttelse og vedligeholdelse.

22) Nærvedhændelse: En begivenhed, der kunne have bragt tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare, men som det lykkedes at forhindre, eller som ikke materialiserede sig.

23) Operatører af fjernvarme eller fjernkøling: Operatører af distribution af termisk energi i form af damp, varmt vand eller afkølede væsker fra centrale eller decentrale produktionssteder gennem et net til flere bygninger eller anlæg til anvendelse ved rum- eller procesopvarmning eller -køling.

24) Organiseret marked:

a) Et multilateralt system, der samler eller faciliterer samlingen af flere tredjeparters købs- og salgsinteresser i engrosenergiprodukter på en måde, der fører til indgåelse af en kontrakt.

b) Ethvert andet system eller enhver anden facilitet, hvor flere købs- og salgsinteresser i engrosenergiprodukter tilhørende tredjeparter kan interagere på en måde, der fører til indgåelse af en kontrakt.

25) Regionalt koordinationscenter: Et regionalt koordinationscenter, som oprettes i Danmark i henhold til artikel 35 i Europa-Parlamentets og Rådets forordning om det indre marked for elektricitet.

26) Risiko: Potentialet for tab eller forstyrrelse som følge af en hændelse, udtrykt som en kombination af størrelsen af et sådant tab eller en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræffer.

27) Risikovurdering: Den samlede proces med henblik på at bestemme arten og omfanget af en risiko ved at identificere og analysere potentielle relevante trusler, sårbarheder og farer, der kunne føre til en hændelse, og ved at evaluere det potentielle tab eller den potentielle forstyrrelse af leveringen af en væsentlig tjeneste forårsaget af denne hændelse.

28) Transmissionssystemoperatører: En fysisk eller juridisk person, der er ansvarlig for driften, vedligeholdelsen og om nødvendigt udbygningen af transmissionssystemet i et givet område samt i givet fald dets sammenkoblinger med andre systemer og for at sikre, at systemet på lang sigt kan tilfredsstille en rimelig efterspørgsel efter transmission af elektricitet eller gas.

29) Udpegede elektricitetsmarkedsoperatører: En markedsoperatør, der af Forsyningstilsynet er blevet udpeget til at udføre opgaver i forbindelse med den fælles day-ahead- eller intraday-kobling.

30) Virksomheder: En fysisk eller juridisk person, der er oprettet og anerkendt som sådan i henhold til den nationale ret på det sted, hvor den er etableret, og som i eget navn kan udøve rettigheder og være underlagt forpligtelser.

31) Væsentlig cybertrussel: En cybertrussel, som på grundlag af sine tekniske karakteristika kan antages at have potentiale til at få alvorlig indvirkning på en enheds net- og informationssystemer eller på brugerne af enhedens tjenester ved at forårsage betydelig materiel eller immateriel skade.

32) Væsentlig tjeneste: En tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed og offentlig sikkerhed eller miljøet.

Kapitel 2

Identificering og kategorisering af virksomheder

§ 4. Klima-, energi- og forsyningsministeren identificerer kritiske virksomheder, kritiske systemer og anlæg omfattet af loven, der anvendes til at levere virksomhedernes tjenester.

Stk. 2. Klima-, energi- og forsyningsministeren kategoriserer endvidere virksomheder, deres systemer og anlæg omfattet af loven, der anvendes til at levere virksomhedernes tjenester.

Stk. 3. Klima- energi-, og forsyningsministeren fastsætter nærmere regler om identifikation og kategorisering af virksomheder samt systemer og anlæg, som anvendes til at levere virksomhedernes tjenester efter stk. 1 og 2.

§ 5. En virksomhed er en kritisk enhed af særlig europæisk betydning, når virksomheden opfylder følgende betingelser:

1) Er blevet identificeret som kritisk virksomhed efter § 4, stk. 1.

2) Leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere medlemsstater.

Stk. 2. Klima-, energi- og forsyningsministeren underretter virksomheder om, at de betragtes som kritiske enheder af særlig europæisk betydning i energisektoren i medfør af reglerne i artikel 17 i Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet).

Stk. 3. Klima-, energi- og forsyningsministeren fastsætter nærmere regler om udpegelsen af kritiske enheder af særlig europæisk betydning.

Stk. 4. Klima-, energi- og forsyningsministeren kan fastsætte regler om særlige forpligtelser for virksomheder, der er kritiske enheder af særlig europæisk betydning.

Kapitel 3

Virksomheders modstandsdygtighed og beredskab

Organisatorisk beredskab

§ 6. Virksomheder omfattet af denne lov skal foretage nødvendig beredskabsplanlægning og gennemføre passende organisatoriske foranstaltninger for at beskytte leveringen af deres tjenester og sikre effektiv genoprettelse af deres tjenester.

Stk. 2. Klima-, energi- og forsyningsministeren fastsætter efter forhandling med ministeren for samfundssikkerhed og beredskab nærmere regler om beredskabsplanlægning og foranstaltninger efter stk. 1, herunder om følgende:

1) Ledelsespligter, herunder krav om godkendelse af virksomhedens risiko- og sårbarhedsvurdering samt beredskabsplaner, tilsynsrapporter og leverandørkontrakter, samt virksomhedens overblik over forsyningskæder og forsyningssikkerhed af kritiske ressourcer.

2) At ledelsesorganer skal tilegne sig viden og kundskaber inden for risiko- og sårbarhedsstyring.

3) Identifikations- og adgangskontrolpolitikker for beskyttelse mod uautoriseret adgang.

4) Udpegelse af personer til at varetage specifikke beredskabsroller.

5) Politikker for informationssystemsikkerhed.

6) Politikker for og udarbejdelse af risiko- og sårbarhedsvurderinger, som omfatter nyindkøb, projekter og etablering af net- og informationssystemer og anlæg.

7) Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem virksomheden og dens direkte leverandører eller tjenesteudbydere.

8) Beredskabsplaner og beredskabsplanlægning for håndtering af hændelser.

9) Øvelsesplanlægning, herunder afholdelse af øvelser og træning af beredskabsforanstaltninger.

10) Beredskabstræning, cybersikkerhedsadfærd- og sikkerhedsuddannelse af ansatte i virksomheden.

11) Kapacitet til at modtage og videreformidle advarsler om trusler.

12) Tilmelding til en it-sikkerhedstjeneste.

Fysisk sikring

§ 7. Virksomheder omfattet af denne lov skal træffe passende foranstaltninger for at opretholde nødvendig fysisk sikring af lokationer og anlæg, der bruges til at levere virksomhedens tjenester, eller hvorfra drift af net- og informationssystemer finder sted.

Stk. 2. Klima-, energi- og forsyningsministeren fastsætter nærmere regler om fysisk sikring efter stk. 1, herunder om følgende:

1) Forhindring af, at hændelser indtræffer under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger.

2) Etablering af foranstaltninger til overvågning, detektion og reaktion i forbindelse med uautoriseret adgang til og på anlæg og lokationer.

3) Tilstrækkelig fysisk sikring af virksomhedens anlæg og lokationer, herunder kontrolrum og kontrolrummets arbejdsstationer.

4) Håndtering af hændelser og genopretning efter hændelser.

5) Medarbejdersikkerhedsstyring.

Cybersikkerhed

§ 8. Virksomheder, omfattet af denne lov, skal foretage nødvendig planlægning og træffe passende cybersikkerhedsforanstaltninger for at sikre beskyttelsen af net- og informationssystemer, der bruges til at levere virksomhedens tjenester.

Stk. 2. Klima-, energi- og forsyningsministeren fastsætter efter forhandling med ministeren for samfundssikkerhed og beredskab nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om følgende:

1) Forvaltning af net- og informationssystemer og passende teknisk sikkerhed til beskyttelse af enheder med adgang til virksomhedens netværk.

2) Etablering af netværks- og infrastruktursikkerhed, herunder principper for netværksarkitektur og -topologi med henblik på at minimere risici for virksomhedens net- og informationssystemer.

3) Sikkerhedskrav til geografisk placering af drift af net- og informationssystemer.

4) Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer.

5) Backup-styring og genopretning af net- og informationssystemer til sikring af driftskontinuitet for leveringen af tjenesten.

6) Etablering af logning til at understøtte alarmer, efterforskningsarbejde, hændelseshåndtering og monitorering af uregelmæssigheder i net- og informationssystemer.

7) Etablering af procedurer for løbende kontrol af cybersikkerheden i og omkring net- og informationssystemer.

8) Brug af sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer.

9) Brug af kryptering samt politikker og procedurer, der skal understøtte sikkerheden og fortroligheden af net- og informationssystemer, der er kritiske for leveringen af virksomhedens tjenester.

10) Brug af multifaktorautentificering eller kontinuerlig autentificering og adgangsbeskyttelse til sikring mod uautoriseret adgang til virksomhedernes net- og informationssystemer.

11) Foranstaltninger til forebyggelse og håndtering af hændelser.

§ 9. Klima-, energi- og forsyningsministeren kan, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætte regler om, at virksomheder skal anvende særlige IKT-produkter, -tjenester og -processer, der er udviklet af virksomheden eller indkøbt fra tredjeparter, og som er certificeret i henhold til en europæisk cybersikkerhedscertificeringsordning for at påvise overensstemmelse med bestemte krav i § 8, stk. 1, eller i regler om krav til foranstaltninger fastsat i medfør af § 8, stk. 2.

Koordinerende og operative opgaver

§ 10. Klima-, energi- og forsyningsministeren fastsætter regler om ministerens og Energinets varetagelse af koordinerende planlægningsmæssige og operative opgaver vedrørende beredskab, jf. §§ 6-8.

Sektorberedskabsniveauer og sektorberedskabsforanstaltninger

§ 11. Klima-, energi- og forsyningsministeren kan i en beredskabssituation omfattende sikkerhedsrelaterede hændelser fastsætte og udmelde sektorberedskabsniveauer for hele energisektoren eller én eller flere delsektorer.

Stk. 2. Klima-, energi- og forsyningsministeren kan i en beredskabssituation omfattende sikkerhedsrelaterede hændelser fastsætte og pålægge sektorberedskabsforanstaltninger for hele energisektoren, delsektorer, én eller flere virksomheder og for bestemte anlæg.

Stk. 3. Klima-, energi- og forsyningsministeren kan i en beredskabssituation bestemme, at de i stk. 2 nævnte foranstaltninger samt andre foranstaltninger, der skal foretages efter loven eller regler udstedt i medfør af loven, midlertidigt skal intensiveres og suppleres med yderligere foranstaltninger for at sikre en hurtig, koordineret og prioriteret krisehåndtering, herunder gennemførelse af myndighedernes beslutninger i den nationale krisehåndtering.

Stk. 4. Energinet kan i en beredskabssituation omfattende sikkerhedsrelaterede hændelser i særlige tilfælde, hvor klima-, energi- og forsyningsministeren ikke kan fastsætte og udmelde sektorberedskabsniveauer og foranstaltninger efter stk. 1- 3 varetage opgaven på ministerens vegne.

Kapitel 4

Underretningspligt

§ 12. Klima-, energi- og forsyningsministeren kan fastsætte regler om underretning og indrapportering af hændelser, væsentlige cybertrusler og nærvedhændelser.

§ 13. Klima-, energi- og forsyningsministeren kan fastsætte regler om virksomheders pligt til at underrette modtagere af deres tjenester, myndigheder eller juridiske personer, som udfører myndighedsopgaver om trusler eller hændelser, der kan påvirke eller har potentiale til at påvirke virksomhedens levering af tjenester.

§ 14. Klima-, energi- og forsyningsministeren kan efter høring af en virksomhed, der er eller kan blive ramt af en hændelse, informere offentligheden om hændelsen, hvis det er nødvendigt for at forebygge eller håndtere hændelsen, eller hvor informeringen af offentligheden om hændelsen på anden måde er i offentlighedens interesse.

Stk. 2. Klima-, energi- og forsyningsministeren kan i situationer efter stk. 1 påbyde virksomheder at informere offentligheden om hændelsen.

§ 15. Enhver kan underrette Klima-, Energi- og Forsyningsministeriet om væsentlige hændelser, cybertrusler og nærvedhændelser, der negativt påvirker eller vurderes at kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale servicer i energisektoren.

Stk. 2. Klima-, energi- og forsyningsministeren skal uden unødigt ophold videresende underretninger efter stk. 1 til det danske Computer Incident Response Team.

Kapitel 5

Baggrundskontrol og sikkerhedsgodkendelse

§ 16. Klima-, energi- og forsyningsministeren kan efter forhandling med justitsministeren fastsætte regler om på hvilke betingelser, at virksomheder kan få foretaget baggrundskontrol af personer i energisektoren, der:

1) Varetager følsomme opgaver i eller til fordel for virksomheden, navnlig vedrørende virksomhedens modstandsdygtighed.

2) Er bemyndiget til at få direkte adgang, indirekte adgang eller fjernadgang til virksomhedens enheds lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med virksomhedens sikkerhed.

3) Overvejes ansat i stillinger, der indebærer opgavevaretagelse efter nr. 1 eller 2.

Stk. 2. Klima-, energi- og forsyningsministeren kan efter forhandling med justitsministeren og ministeren for samfundssikkerhed og beredskab fastsætte regler om, at personer, der er omfattet af stk. 1, skal sikkerhedsgodkendes af Klima-, Energi- og Forsyningsministeriet. Klima-, energi- og forsyningsministeren kan endvidere efter forhandling med justitsministeren og ministeren for samfundssikkerhed og beredskab fastsætte regler om ansøgninger vedrørende sikkerhedsgodkendelser, herunder betingelser for indgivelse af sådanne ansøgninger samt meddelelse og tilbagekaldelse af sikkerhedsgodkendelser.

Kapitel 6

Gebyrer

§ 17. Virksomheder betaler halvårligt et fast beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostninger til tilsyn med virksomheder efter reglerne i denne lov eller efter regler udstedt i medfør af loven.

Stk. 2. Virksomheder betaler for ad-hoc-tilsyn halvårligt et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostningerne for ad-hoc-tilsynet med virksomheden efter reglerne i denne lov eller efter regler udstedt i medfør af loven.

Stk. 3. Klima-, energi- og forsyningsministeren fastsætter regler om størrelse, betaling og opkrævning af beløb efter stk. 1 og 2, herunder om fordelingen af omkostningerne på kategorier af virksomheder.

§ 18. Virksomheder betaler for indgivelse af ansøgninger og dispensationer et beløb for behandling heraf efter reglerne i denne lov eller efter regler udstedt i medfør af loven.

Stk. 2. Klima-, energi- og forsyningsministeren fastsætter regler om størrelse, betaling og opkrævning af beløb efter stk. 1.

Kapitel 7

Tilsyn

§ 19. Klima-, energi- og forsyningsministeren fører tilsyn med, at virksomhederne opfylder deres forpligtelser i henhold til loven og regler udstedt i medfør af loven.

Stk. 2. Klima-, Energi og Forsyningsministeriet kan som led i sin tilsynsforpligtelse anvende følgende tilsyns- og kontrolforanstaltninger:

1) Foretage tilsyn og kontrol hos virksomheden ved at inspicere de lokaler, som virksomheden bruger til at levere sine tjenester og foretage stikprøvekontroller.

2) Foretage regelmæssige kontrol- og tilsynsbesøg hos virksomheder.

3) Foretage ad hoc-tilsyn.

4) Foretage sikkerhedsscanninger og penetrationstest af virksomhedens net- og informationssystemer samt fysiske lokationer.

5) Kræve at få udleveret oplysninger og dokumentation, der er nødvendige for at vurdere foranstaltningerne vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed, som virksomheden har indført efter loven og regler udstedt i medfør af loven.

6) Kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.

Stk. 3. Klima-, Energi- og Forsyningsministeriet er ansvarlig for eventuelle skader, som en virksomhed måtte lide i forbindelse med scanninger og tests efter stk. 2, nr. 4.

Stk. 4. Klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om tilsyn og kontrol af virksomhederne, herunder omfanget, udførelsen og hyppigheden af tilsyns- og kontrolbesøg.

Stk. 5. Klima-, energi- og forsyningsministeren kan fastsætte regler om udlevering af materiale til brug for tilsyn samt formkrav hertil, herunder om hvilke sprog materialet skal udarbejdes på.

§ 20. Rådgivende missioner, som er nedsat i medfør af Europa-Parlamentets og Rådets direktiv om kritiske enheders modstandsdygtighed, kan efter tilladelse fra klima-, energi- og forsyningsministeren vurdere de foranstaltninger, som virksomheder der er kritiske enheder af særlig europæisk betydning efter § 5, stk. 1, for at opfylde sine forpligtelser i henhold til loven og regler udstedt i medfør heraf.

Stk. 2. Rådgivende missioner kan anvende tilsynsforanstaltninger efter § 19, stk. 2, nr. 1 og 5 i det omfang det er nødvendigt for at gennemføre den pågældende rådgivende mission.

Stk. 3. Klima-, energi og forsyningsministeren kan træffe afgørelse om at begrænse rådgivende missioners tilsynsforanstaltninger efter § 19, stk. 2, nr. 1 og 5, i det omfang, det er nødvendigt til beskyttelse af væsentlige hensyn til følgende:

1) Statens sikkerhed eller rigets forsvar.

2) Rigets udenrigspolitiske eller udenrigsøkonomiske interesser, herunder forholdet til fremmede magter eller mellemfolkelige institutioner.

3) Private og offentlige interesser, hvor hemmeligholdelse efter forholdets særlige karakter er påkrævet.

Kapitel 8

Påbud og forbud

§ 21. Klima-, energi- og forsyningsministeren kan over for en virksomhed omfattet af denne lov anvende følgende påbud og forbud:

1) Påbyde virksomheden at træffe foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse.

2) Meddele påbud og forbud, der anses nødvendige for at sikre overholdelsen af krav fastsat i loven og regler udstedt i medfør af loven.

3) Påbyde virksomheden at underrette de fysiske eller juridiske personer, til hvilke den leverer tjenester eller udfører aktiviteter, som potentielt kan være berørt af en væsentlig cybertrussel, om denne trussels karakter samt om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel.

4) Påbyde virksomheden, at udpege en person med ansvar for i en nærmere fastsat periode at føre tilsyn med virksomhedens overholdelse af §§ 6-9 og §§ 12-14, samt regler udstedt i medfør heraf.

5) Påbyde virksomheden, at offentliggøre afgørelser om påbud eller forbud efter nr. 1-4 samt resumeer af domme eller bødeforlæg, hvor der idømmes eller vedtages en bøde, i ikke-anonymiseret form og på en nærmere angiven måde.

§ 22. Klima-, energi- og forsyningsministeren kan ved manglende opfyldelse af påbud efter § 21 påbyde virksomheder at få foretaget en revision af net- og informationsforanstaltninger, modstandsdygtighedsforanstaltninger og kritiske systemer ved en uafhængig revisor. Udgifterne til revisionen afholdes af virksomheden.

Stk. 2. Klima-, energi- og forsyningsministeren kan påbyde virksomheder at gennemføre tiltag, som på baggrund af en revision efter stk. 1, vurderes nødvendige for at opretholde et tilstrækkeligt beredskab.

Stk. 3. Klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om, hvordan den uafhængige revisor efter stk. 1 udpeges og godkendes samt omfanget af revisionen.

§ 23. Overtræder en virksomhed et påbud eller forbud, der er meddelt i medfør af § 21, nr. 1-4, og § 22, stk. 1 og 2, kan klima-, energi- og forsyningsministeren fastsætte en frist, inden for hvilken virksomheden skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde myndighedernes krav. Er tiltagene ikke foretaget inden for den fastsatte frist, kan klima-, energi- og forsyningsministeren træffe afgørelse om:

1) Midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, virksomheden leverer, eller aktiviteter, der udføres af virksomheden.

2) Midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos virksomheden at udøve ledelsesfunktioner i den pågældende virksomhed.

Stk. 2. Midlertidige suspensioner eller forbud, som er pålagt i medfør af stk. 1, kan kun anvendes, indtil virksomheden træffer de nødvendige foranstaltninger til at afhjælpe de mangler eller til at opfylde de krav, som gav anledning til, at foranstaltningerne blev anvendt.

Stk. 3. En afgørelse efter stk. 1 kan af virksomheden eller den fysiske person, afgørelsen vedrører, forlanges indbragt for domstolene. Klima-, energi- og forsyningsministeren anlægger i givet fald sag mod den virksomhed eller person, som har forlangt sagen indbragt.

Stk. 4. Klima-, energi- og forsyningsministeren kan efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætte nærmere regler om, hvilke certificeringer og godkendelser der er omfattet af stk. 1, nr. 1.

§ 24. Inden klima-, energi- og forsyningsministeren træffer afgørelse om at anvende håndhævelsesforanstaltninger efter §§ 21-23, underrettes den berørte virksomhed om de påtænkte påbud eller forbud samt begrundelsen herfor. Klima- energi- og forsyningsministeren skal give virksomheden en rimelig frist til at fremsætte bemærkninger, medmindre formålet med foranstaltningen herved ville forspildes.

Kapitel 9

Gensidig bistand om cybersikkerhed

§ 25. Klima-, energi og forsyningsministeren samarbejder med andre medlemsstaters kompetente myndigheder i relevant omfang, når en virksomhed leverer tjenester i mere end én medlemsstat i Den Europæiske Union, eller hvor virksomheden leverer tjenester i én eller flere medlemsstater, og virksomhedens net- og informationssystemer er beliggende i én eller flere andre medlemsstater. Samarbejdet indebærer at:

1) Klima-, energi- og forsyningsministeren via det centrale kontaktpunkt, der er udpeget af regeringen i medfør af, Europa-Parlamentets og Rådets direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, underretter de kompetente myndigheder i relevante medlemsstater om anvendte tilsyns- og håndhævelsesforanstaltninger.

2) Klima-, energi- og forsyningsministeren kan anmode en anden medlemsstats kompetente myndigheder om at anvende tilsyns- og håndhævelsesforanstaltninger.

3) Klima-, energi- og forsyningsministeren i rimeligt omfang yder bistand til en anden medlemsstats kompetente myndighed efter modtagelse af en begrundet anmodning herom.

Stk. 2. Klima-, Energi- og Forsyningsministeriet kan efter nærmere aftale med kompetente myndigheder fra andre medlemsstater i Den Europæiske Union gennemføre fælles tilsynstiltag.

Kapitel 10

Fortrolighed, udveksling af oplysninger og digital kommunikation

§ 26. Informationer om sikkerhedsgodkendelse og baggrundskontrol samt forhold vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed i virksomheder, der er omfattet af loven, eller informationer om energisektoren generelt, som udarbejdes i medfør af denne lov, er fortrolige i følgende tilfælde:

1) Informationerne indgår i vurderingen af sikkerhedsgodkendelser.

2) Informationerne indgår i vurderingen af baggrundskontrol.

3) Informationerne er væsentlige af hensyn til driften af virksomheden.

4) Informationerne er væsentlige af hensyn til driften af andre virksomheder omfattet af loven.

5) Informationerne er væsentlige af hensyn til driften af energiforsyningen lokalt, regionalt, nationalt eller på europæisk niveau.

Stk. 2. Klima-, energi- og forsyningsministeren fastsætter nærmere regler om, hvordan virksomheder og myndigheder behandler informationer som nævnt i stk. 1.

§ 27. Underretning efter § 15 er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

§ 28. Klima-, Energi- og Forsyningsministeriet og andre relevante myndigheder kan videregive oplysninger til andre medlemsstaters myndigheder og til institutioner i Den Europæiske Union for at varetage myndighedsopgaver i medfør af denne lov, Europa-Parlamentets og Rådets direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen og Europa-Parlamentets og Rådets direktiv om kritiske enheders modstandsdygtighed.

§ 29. De forpligtelser, der er fastsat i denne lov eller i regler udstedt i medfør af loven, omfatter ikke meddelelse af oplysninger, når videregivelse ville stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar.

Stk. 2. Oplysninger, der modtages eller hidrører fra myndigheder i andre EU-medlemsstater, behandles som fortrolige, såfremt den afgivende myndighed betragter oplysningerne som fortrolige i henhold til EU-regler eller nationale regler.

§ 30. Klima-, energi- og forsyningsministeren kan fastsætte regler om digital kommunikation, herunder om anvendelsen af bestemte it-systemer og særlige digitale formater samt digital signatur eller lignende.

Kapitel 11

Klageadgang og domstolsprøvelse m.v.

§ 31. Energiklagenævnet behandler klager over afgørelser truffet af klima-, energi- og forsyningsministeren eller anden statslig myndighed efter denne lov eller regler udstedt i medfør af loven.

Stk. 2. Afgørelser nævnt i stk. 1 kan ikke indbringes for anden administrativ myndighed end Energiklagenævnet. Afgørelserne kan ikke indbringes for domstolene, før den endelige administrative afgørelse foreligger, jf. dog § 23, stk. 3.

Stk. 3. Klage efter stk. 1 skal være indgivet skriftligt til Energiklagenævnet inden 4 uger fra tidspunktet, hvor afgørelsen er meddelt. Er afgørelsen offentliggjort, regnes fristen dog fra offentliggørelsen. Udløber klagefristen på en lørdag, søndag eller helligdag, forlænges fristen til den følgende hverdag.

Stk. 4. Energiklagenævnets formand kan efter aftale med nævnet træffe afgørelse på nævnets vegne i sager, der behandles efter denne lov eller regler udstedt i henhold til loven.

Stk. 5. Søgsmål til prøvelse af afgørelser truffet af Energiklagenævnet efter loven eller regler udstedt i medfør af loven, skal være anlagt inden 6 måneder efter, at afgørelsen er meddelt den pågældende. Er afgørelsen offentliggjort, regnes fristen dog altid fra offentliggørelsen.

Stk. 6. Energiklagenævnet kan i forbindelse med behandling af en klage indhente oplysninger, der er nødvendige for behandling af klagen fra virksomheder omfattet af loven samt myndigheder, der træffer afgørelse efter loven eller regler udstedt i medfør af loven.

§ 32. Klima-, energi- og forsyningsministeren kan fastsætte regler om adgangen til at klage over afgørelser, der efter loven eller regler udstedt i medfør af loven træffes af klima-, energi- og forsyningsministeren, herunder at visse afgørelser ikke skal kunne indbringes for Energiklagenævnet.

Stk. 2. Erhvervsministeren kan fastsætte regler om følgende:

1) At kommunikation med Energiklagenævnet skal ske digitalt. Ministeren kan herunder udstede regler om anvendelse af et bestemt digitalt system. Ved fastsættelse af regler efter 1. pkt. fastsætter ministeren regler om fritagelse for obligatorisk anvendelse for visse personer og virksomheder.

2) Betaling af gebyr ved indbringelse af en klage for Energiklagenævnet.

3) Energiklagenævnets sammensætning ved nævnets behandling af afgørelser efter denne lov eller regler udstedt i medfør af loven.

§ 33. Klima-, energi- og forsyningsministeren kan bemyndige en institution eller en anden myndighed oprettet under ministeriet til at udøve de beføjelser, der i denne lov er tillagt ministeren.

§ 34. Klima-, energi- og forsyningsministeren kan fastsætte regler med henblik på at gennemføre eller anvende internationale konventioner og EU-regler om forhold, der er omfattet af denne lov, herunder forordninger, direktiver og beslutninger om beredskab og beskyttelse af energiinfrastruktur på søterritoriet og den eksklusive økonomiske zone.

§ 35. Klima-, energi- og forsyningsministeren og Energinet kan fra virksomheder omfattet af loven indhente oplysninger, der er nødvendige for varetagelsen af deres opgaver efter loven, efter bestemmelser fastsat i medfør af loven eller efter EU-retsakter eller internationale forpligtelser om forhold omfattet af loven.

Stk. 2. Klima-, energi- og forsyningsministeren fastsætter regler om, at virksomheder omfattet af loven skal registrere sig, og om hvilke oplysninger, som virksomheder i den forbindelse skal oplyse, herunder oplysninger om følgende:

1) Virksomhedens navn.

2) Virksomhedens adresse og ajourførte kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre.

3) Den relevante sektor og delsektor, som virksomheden er omfattet af.

4) De medlemsstater i Den Europæiske Union, hvor virksomheden leverer tjenester.

Kapitel 12

Samordnet beredskab

§ 36. Klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om samordnet beredskab med henblik på at beredskabsarbejdet efter denne lov og regler udstedt i medfør heraf, varetages af flere virksomheder i fællesskab eller af den ene part.

Kapitel 13

Straf

§ 37. Med bøde straffes den, der

1) undlader at efterkomme påbud efter § 14, stk. 2,

2) hindrer myndighederne i at føre kontrol efter § 19, stk. 2, nr. 1-6,

3) undlader at efterkomme påbud efter § 21 og § 22, stk. 1 og 2,

4) undlader at efterkomme en afgørelse efter § 23, stk. 1, nr. 1 eller 2,

5) meddeler Energiklagenævnet urigtige, vildledende oplysninger eller undlader, at meddele oplysninger efter anmodning i medfør af § 31, stk. 6, eller

1) meddeler klima-, energi- og forsyningsministeren eller Energinet urigtige eller vildledende oplysninger eller undlader at meddele oplysninger i medfør af § 35, stk. 1.

Stk. 2. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Stk. 3. Der kan ikke pålægges bøde efter denne lov, hvor der er pålagt en bøde for overtrædelse af databeskyttelsesforordningen eller databeskyttelsesloven, hvis overtrædelsen skyldes den samme adfærd som den, der var genstand for bøden i medfør af databeskyttelsesforordningen eller databeskyttelsesloven.

Stk. 4. I forskrifter, der udstedes i medfør af loven, kan der fastsættes straf af bøde for overtrædelse af bestemmelser i forskrifterne.

Kapitel 14

Ikrafttrædelse

§ 38. Loven træder i kraft den 1. marts 2025.

Stk. 2. Regler udstedt i medfør af § 15 a, stk. 3 og 4, § 15 b, stk. 5 og 6, og § 30 a, stk. 5 og 6, i lov om gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16. august 2023, forbliver i kraft indtil de ophæves eller afløses af regler udstedt i medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, § 10, § 12, § 13, § 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og 5, § 22, stk. 3, § 26, stk. 2, i lov om styrket beredskab i energisektoren.

Stk. 3. Regler udstedt i medfør af § 30 a, stk. 7, i lov om gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16. august 2023, forbliver i kraft indtil de ophæves eller afløses af regler udstedt i medfør af § 30 a, stk. 5, i lov om gasforsyning, jf. denne lovs § 41, nr. 3.

Stk. 4. Regler udstedt i medfør af § 51 d, stk. 2, § 85 b, stk. 3 og 4 og § 85 c, stk. 5 og 6, i lov om elforsyning, jf. lovbekendtgørelse nr. 1248 af 24. oktober 2023, forbliver i kraft, indtil de ophæves eller afløses af regler udstedt i medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, § 10, § 12, § 13, § 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og 5, § 22, stk. 3, § 26, stk. 2, i lov om styrket beredskab i energisektoren.

Stk. 5. Regler udstedt i medfør af § 16, i lov nr. 354 af 24. april 2012 om olieberedskab, forbliver i kraft, indtil de ophæves eller afløses af regler udstedt i medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, § 10, § 12, § 13, § 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og 5, § 22, stk. 3, § 26, stk. 2, i lov om styrket beredskab i energisektoren.

Kapitel 15

Ændringer i anden lovgivning

§ 39. I olieberedskabslov, lov nr. 354 af 24. april 2012, foretages følgende ændring:

1. § 16 ophæves.

§ 40. I lov om elforsyning, jf. lovbekendtgørelse nr. 1248 af 24. oktober 2023, som ændret ved bl.a. § 1 i lov nr. 1787 af 28. december 2023 og senest ved § 5 i lov nr. 673 af 11. juni 2024, foretages følgende ændringer:

1. § 51 d ophæves.

2. Overskriften til kapitel 12 affattes således:

»Kapitel 12

Fortrolighed, kontrol, oplysningspligt og påbud«

3. §§ 85 b og 85 c ophæves.

§ 41. I lov om gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16. august 2023 som bl.a. ændret ved § 2 i lov nr. 1787 af 28. december 2023 og senest ved § 2 i lov nr. 674 af 11. juni 2024, foretages følgende ændringer:

1. Overskriften før § 15 a ophæves.

2. §§ 15 a og 15 b ophæves.

3. § 30 a, stk. 5 og 6, ophæves.

stk. 7 bliver herefter stk. 5.

4. I § 30 a, stk. 7, der bliver stk. 5, ændres »stk. 1, 2, 5 og 6.« til: »stk. 1 og 2.«

§ 42. I lov om varmeforsyning, jf. lovbekendtgørelse nr. 124 af 2. februar 2024, som ændret ved § 4 i lov nr. 673 af 11. juni 2024, (L77) og (L78), foretages følgende ændringer:

1. I § 20, stk. 1, 1. pkt, indsættes efter »§§ 28 a, 28 b og 29«: »og omkostninger til beredskab efter lov om styrket beredskab i energisektoren«.

2. § 29 a ophæves.

§ 43. I lov om anvendelse af Danmarks undergrund, jf. lovbekendtgørelse nr. 1461 af 29. november 2023, som senest ændret ved § 34 i lov nr. 612 af 11. juni 2024, foretages følgende ændring:

1. § 17 a ophæves.

§ 44. I lov om Energinet jf. lovbekendtgørelse nr. 271 af 9. marts 2023, som bl.a. ændret ved § 35 i lov nr. 612 af 11. juni 2024 og senest ved § 6 i lov nr. 673 af 11 juni 2024, foretages følgende ændring:

1. I § 2, stk. 2, 1. pkt., indsættes efter »reglerne i denne lov,«: »lov om styrket beredskab i energisektoren,«.

Kapitel 16

Territorialbestemmelse

§ 45. Loven gælder ikke for Færøerne og Grønland.

Bemærkninger til lovforslaget

1. Indledning

Mange samfundsvigtige funktioner er afhængige af, at en stabil energiforsyning opretholdes. Derfor er samfundet også særdeles sårbart, hvis dele af energiforsyningen i kortere eller længere perioder forstyrres, hvad enten det skyldes tekniske nedbrud på grund af fx systemfejl, vejrmæssige forhold eller det skyldes cyberangreb, hærværk eller sabotage.

Energisektorens beredskab har overordnet til formål at sikre, at sektoren er forberedt til at kunne beskytte og videreføre energiforsyningen i tilfælde af naturskabte, menneskeskabte og teknologiske risici. Dette lovforslag har til formål at styrke beredskabsreguleringen i den danske energisektor for at sikre, at lovgivningen på området er tidssvarende, og at virksomheder og energisektoren som helhed er robust overfor relevante risici og sårbarheder.

Desuden omfattes energisektoren af EU-direktiver, der implementeres som del af dette lovforslag. Det drejer sig om Europa-Parlamentets og Rådets Direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet) og Europa-Parlamentets og Rådets Direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet).

Lovforslaget rummer bl.a. bemyndigelsesbestemmelser til klima-, energi- og forsyningsministeren, der angår krav til virksomhedernes organisatoriske beredskab, fysisk sikring, cybersikkerhed, sikkerhedsgodkendelser, baggrundskontrol og digital kommunikation. Desuden indgår bestemmelser for fastsættelse af rammer for myndighedernes arbejde i forhold til vejledning, tilsyn, sanktioner og gebyrfinansiering af disse aktiviteter.

NIS 2- og CER-direktivet finder anvendelse på flere delsektorer end den gældende regulering. Beredskabet i energisektoren vil dermed blive styrket, idet lovforslaget vil omfatte flere virksomheder i flere delsektorer, og kravene til virksomhederne i relevant omfang skærpes og gøres mere detaljerede, end de har været i det hidtidige lovgrundlag.

Der redegøres nærmere herfor i de almindelige bemærkninger samt i bemærkningerne til lovforslagets enkelte bestemmelser.

2. Baggrund

Der er ikke foretaget væsentlige ændringer i reguleringen af energisektorens almene beredskab siden 2007 og it-beredskab siden 2017. Der er dog en række forandringer i samfundet, som er med til i disse år at ændre rammerne for beredskabet, og som gør, at der er behov for at opdatere beredskabsreguleringen i energisektoren.

Den grønne omstilling betyder bl.a., at energisystemet forandres. Større dele af energiforsyningen vil i fremtiden komme fra mange decentralt placerede VE-anlæg. Produktionen af el vil således fx ikke længere være koncentreret på få kraftværker, men vil i stedet blive spredt ud på mange små og store anlæg. Tilsvarende sker der en udvikling i brugen af digitale teknologier, der skaber nye sårbarheder på især cyberområdet. Også den geopolitiske situation i Europa og det generelle trusselsbillede har udviklet sig, og det har skabt en række afledte effekter for den danske energisektor. Der er bl.a. cyber- og spionageaktivitet mod energisektoren. Ligeledes sætter ændringer i klimaet som fx større mængder regn end tidligere nye krav til beredskabsmæssigt at robustgøre og klimatilpasse energianlæg, som kan være udsatte.

EU-direktiverne NIS 2 og CER skal implementeres i energisektoren. Direktiverne stiller krav om et højere beredskabsniveau på tværs af unionen. Overordnet stiller CER krav til kritiske enheders modstandsdygtighed, mens NIS2 stiller krav til væsentlige og vigtige enheders cybersikkerhed i kritiske sektorer. I energisektoren omfatter direktiverne el, gas, olie, fjernvarme, fjernkøling og brint. Direktiverne stiller således krav til delsektorer og virksomheder, der ikke i dag er omfattet af beredskabsregulering.

Ministeriet for Samfundssikkerhed og Beredskab er ansvarlig for koordineringen af implementeringen af NIS2- og CER-direktiverne. Ministeriet for Samfundssikkerhed og Beredskab har overtaget dette ansvar fra Forsvarsministeriet efter den kongelige resolution af 29. august 2024. For hvert direktiv fremsætter Ministeriet for Samfundssikkerhed og Beredskab én hovedlov, som omfatter alle berørte sektorer med undtagelse af energisektoren for så vidt angår CER og med undtagelse af energi-, tele- og finanssektoren for så vidt angår NIS2. Kravene i lovforslaget, som følger af direktiverne, er indtil den 29. august 2024 koordineret med Forsvarsministeriet. Herefter er koordineringen sket med Ministeriet for Samfundssikkerhed og Beredskab.

Det er væsentligt for et sammenhængende beredskab i energisektoren, at NIS2- og CER-direktivet tænkes sammen. Kravene, som følger af direktiverne, komplementerer hinanden. Et højt cybersikkerhedsniveau forudsætter fx, at der er passende fysiske sikring. I lovforslaget lægges der grundlæggende vægt på, at et robust beredskab kræver en holistisk tilgang, hvor tekniske, organisatoriske og fysiske foranstaltninger spiller sammen. Det følger også af direktiverne, at der er indbyrdes forbindelser, og at der i videst muligt omfang bør sikres en sammenhængende tilgang til implementeringen af direktiverne. Derfor fremlægges opdateringen af beredskabsreguleringen i energisektoren og implementeringen af NIS 2- og CER-direktivet ved dette samlede lovforslag. Samtidig overføres en række bestemmelser om beredskab og cybersikkerhed fra energisektorens forsyningslove til denne lov.

3. Lovforslagets hovedpunkter

3.1. Anvendelsesområde og identifikationsbestemmelser

3.1.1. Gældende ret

Beredskabet i el- og gassektoren er reguleret i hhv. lov om elforsyning, jf. lovbekendtgørelse nr. 1248 af 24. oktober 2023, som ændret ved bl.a. § 1 i lov nr. 1787 af 28. december 2023 og senest ved § 5 i lov nr. 673 af 11. juni 2024 (elforsyningsloven) og lov om gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16. august 2023 som bl.a. ændret ved § 2 i lov nr. 1787 af 28. december 2023 og senest ved § 2 i lov nr. 674 af 11. juni 2024 (gasforsyningsloven) med tilhørende bekendtgørelser. Beredskabet i oliesektoren er reguleret i olieberedskabslov, lov nr. 354 af 24. april 2012 (olieberedskabsloven), bekendtgørelse nr. 424 af 25. april 2018 om beredskab for oliesektoren (olieberedskabsbekendtgørelsen) og bekendtgørelse nr. 1340 af 10. december om lagringspligt m.v. (lagringspligtbekendtgørelsen), samt i lov om anvendelse af Danmarks undergrund, jf. lovbekendtgørelse nr. 1461 af 29. november 2023, som senest ændret ved § 34 i lov nr. 612 af 11. juni 2024 nr. (undergrundsloven), hvis bemyndigelse ikke er udmøntet i en bekendtgørelse. Endvidere er der i lovbekendtgørelse nr. 124 af 2. februar 2024 om varmeforsyning (varmeforsyningsloven) krav om beredskabsplanlægning om end bemyndigelsen til at fastsætte nærmere regler heller ikke her er blevet udmøntet ved bekendtgørelse. Endelig kan klima-, energi- og forsyningsministeren i henhold til lovbekendtgørelse nr. 88 af 26. februar 1986 om forsyningsmæssige foranstaltninger fastsætte bestemmelse om anvendelse og fordeling af landets varebeholdninger. Bemyndigelsen til at udstede forskrifter er dog ikke blevet udmøntet.

Reguleringen af beredskabsplanlægningen for virksomheder i den danske energisektor udspringer af sektoransvaret, der er det grundlæggende princip for organiseringen af det danske civilberedskab. Sektoransvaret er kodificeret i § 24 i lovbekendtgørelse nr. 314 af 3. april 2017 om bekendtgørelse af beredskabsloven (beredskabsloven). Det følger af beredskabslovens § 24, at hver minister inden for sit område skal stå for planlægning af det civile beredskab, som omfatter opretholdelse og videreførelse af samfundets funktioner i tilfælde af større ulykker og katastrofer. I forarbejderne til lov nr. 514 af 26. maj. 2014 om ændring af beredskabsloven gøres det ligeledes klart, at krigshandlinger, samt det at kunne yde støtte til forsvaret, fortsat er noget, den enkelte minister skal tage højde for i sin beredskabsplanlægning. Heri indgår efter praksis også at koordinere planlægningen med andre myndigheder, herunder at planlægge sammen med forsvaret og yde støtte til forsvaret, når dette findes relevant, fx i forhold til luftfartskontrol.

Den sektoransvarlige minister har som led i sin beredskabsplanlægningsforpligtelse ikke ansvar for den aktive beskyttelse af dansk territorium til lands, til vands eller i luften, den danske befolkning eller infrastruktur på dansk territorium mod konkrete angreb fra fremmede stater eller terrorister. Dette er afgrænset af beredskabslovens § 24, hvor civilberedskabsplanlægningen omfatter planlægningen for opretholdelse af og videreførelsen af samfundets funktioner efter større ulykker og naturkatastrofer herunder krigshandlinger.

Den sektoransvarlige minister har dog et ansvar for, at virksomheder inden for dennes ressort kan detektere forsøg på angreb mod disse virksomheder, har et minimum af sikring mod angreb og sabotage, og at virksomhederne har planer for opretholdelse og videreførelse af deres samfundsmæssige funktion, skulle de blive forsøgt angrebet eller faktisk angrebet, uanset hvem der står bag.

Sektoransvaret efter § 24 i beredskabsloven er for klima-, energi- og forsyningsministerens ressortområde siden lov nr. 316 af 22. maj 2002 om ændring af lov om elforsyning og visse andre energilove blevet varetaget ved bemyndigelsesbestemmelser i elforsyningsloven, gasforsyningsloven, varmeforsyningsloven, olieberedskabsloven, undergrundsloven og lov om forsyningsmæssige foranstaltninger, der i udgangspunktet er delegeret til Energistyrelsen. Før lov nr. 316 af 22. maj 2002 var sektoransvaret løftet ved hjælp af påbud til de enkelte virksomheder i medfør af § 28, stk. 1, i beredskabsloven.

Bestemmelserne om beredskab i disse love omhandler afværgende og mitigerende tiltag i forbindelse med forsyningsafbrud af energi og om nødvendigt, hurtigst mulig genoprettelse af forsyningen når denne har været afbrudt.

Klima-, energi- og forsyningsministeren har alene ansvaret for håndteringen af den civile beredskabsplanlægning i Danmark for den danske energiforsyning. Derfor finder ovennævnte forsyningslove i udgangspunktet kun anvendelse på virksomheder, der opererer som et direkte led i en forsyningskæde i Danmark, herunder i den danske eksklusive økonomisk zone, fra første produktion eller import, og indtil energiarten er forbrugt eller eksporteret. Beredskabsplanlægning for energi i transit fx i rørledninger, kabler eller på skibe, der ikke er forbundet til Danmark eller tilløber Danmark, falder således uden for klima-, energi- og forsyningsministerens ressort.

Beredskabsreguleringen for elsektoren finder, jf. elforsyningslovens § 85 b, stk. 1, og § 85 c, stk. 1, anvendelse på virksomheder som er bevillingspligtige efter §§ 10 og 19 i elforsyningsloven eller har tilladelse til elproduktion fra anlæg med en kapacitet på over 25 MW efter § 29 eller § 11 i lov om fremme af vedvarende energi, jf. lovbekendtgørelse nr. 1031 af 6. september 2024 (VE-loven), elforsyningsvirksomhed, der varetages af Energinet eller denne virksomheds helejede datterselskaber i medfør af § 2, stk. 2 og 3, i lov om Energinet, jf. lovbekendtgørelse nr. 271 af 9. marts 2023, samt virksomheder, der yder balancering af elsystemet jf. elforsyningslovens § 85 b, stk. 1, in fine og § 85 c, stk. 1, in fine.

Det følger af gasforsyningslovens § 15 a og § 15 b, at virksomheder som er bevillingspligtige efter gasforsyningslovens § 10, samt Energinet og dennes helejede datterselskaber, som foretager gasforsyningsvirksomhed, skal have et klassisk beredskab og et it-beredskab.

Beredskabsreguleringen for gassektoren omfatter jf. gasforsyningslovens § 15 a og § 15 b, virksomheder, der er bevillingspligtige efter § 10 i gasforsyningsloven, Energinet og dennes helejede datterselskaber, der varetager gasforsyningsvirksomhed i henhold til § 2, stk. 2 og 3, i lov om Energinet, samt virksomheder, som driver anlæg til produktion og fremføring af bygas.

Beredskabet for oliesektoren omhandler primært lagerberedskab af råolie og olieprodukter, der er reguleret i olieberedskabsloven. I medfør af olieberedskabsloven fastsætter olieberedskabsbekendtgørelsen regler om beredskab for virksomheder, der er kritiske for forsyning af råolie og olieprodukter i Danmark i en beredskabssituation og andre ekstraordinære situationer. Bekendtgørelsen finder anvendelse på virksomheder med positiv lagringspligt samt på den centrale lagerenhed, FDO (Danske Olieberedskabslagre). Virksomhederne og FDO skal foretage beredskabsplanlægning, der sikrer forsyningen af olie fra egne lagre i en beredskabssituation jf. olieberedskabslovens § 16, stk. 1, og olieberedskabsbekendtgørelsens § 11.

Beredskabsreguleringen for fjernvarmesektoren indeholder en generel forpligtelse til, at virksomheder, der driver anlæg til produktion og fremføring af bygas, skal foretage nødvendig planlægning og træffe de nødvendige foranstaltninger for at sikre bygasforsyningen i beredskabssituationer og andre ekstraordinære situationer, jf. varmeforsyningslovens § 29 a, stk. 1. Varmeforsyningsloven giver klima-, energi- og forsyningsministeren mulighed for at fastsætte nærmere regler herom, men denne hjemmel har ikke hidtil været benyttet.

Beredskabsreguleringen for off-shore olie og gassektoren, indeholder en generel forpligtelse til, at rettighedshavere med tilladelse til efterforskning og indvinding af kulbrinter eller tilladelse til etablering og drift af rørledningsanlæg i forbindelse med indvinding af kulbrinter skal planlægge med hensyn til opretholdelse og videreførelse af forsyningen af kulbrinter til samfundet i tilfælde af krisesituationer, herunder udarbejde beredskabsplaner og gennemføre nødvendige foranstaltninger til sikring af egne anlæg, rørledninger, kritiske systemer og data m.v. Dette gælder også ejere af tilstødende olie- og naturgasrørledningsanlæg, separationsfaciliteter og terminalanlæg for råolie, jf. § 1 i lov om etablering og benyttelse af en rørledning til transport af råolie og kondensat og §§ 3 a og 4 i lov om kontinentalsoklen og visse rørledningsanlæg på søterritoriet. Rettighedshavere og ejere skal koordinere dette beredskab med beredskab efter anden lovgivning., jf. undergrundlovens § 17 a, stk. 1. Undergrundslovens § 17 a, stk. 3, giver klima-, energi- og forsyningsministeren mulighed for at fastsætte nærmere regler herom, men denne hjemmel har ikke hidtil været benyttet.

Forholdet mellem dansk jurisdiktionskompetence og dansk rets anvendelse er ikke eksplicit behandlet i gældende ret. Imidlertid følger det af Justitsministeriets jurisdiktionsudvalgs betænkning nr. 1488/2007 om dansk straffemyndighed, side 47, at Danmark efter § 3 i lov om eksklusive økonomiske zoner har jurisdiktion i de eksklusive økonomiske zoner med hensyn til anlæggelse af og benyttelse af kunstige øer, installationer og anlæg, videnskabelig havforskning samt beskyttelse og bevarelse af havmiljøet. Videre følger det af betænkningen, at retsvirkningerne af den udvidede jurisdiktionskompetence i forhold til Danmarks eksklusive økonomiske zoner er, at de nævnte anlæg m.v. betragtes som dansk territorium for så vidt angår udstrækningen af dansk ret. Lovovertrædelser, der begås på disse steder, er dermed undergivet dansk straffemyndighed i kraft af straffelovens § 6, nr. 1, om territorialprincippet, hvoraf det følger, at handlinger som foretages i den danske stat, er under dansk straffemyndighed.

For så vidt angår anlæg omfattet af VE-loven er dansk rets anvendelse behandlet i lovens § 3, stk. 2, hvorefter dansk ret, med undtagelse af lovgivning om skatter og afgifter, gælder på anlæg omfattet af loven i den eksklusive økonomiske zone med de begrænsninger, der følger af folkeretten.

På denne baggrund er alle eksisterende anlæg, der forsyner Danmark med energi, omfattet af relevante regler om beredskab for energisektoren på land, i dansk territorialfarvand, i den danske eksklusive økonomiske zone og dansk kontinentalsokkelområde. Udgangspunktet er specificeret i en række af forsyningslovene.

Efter gældende ret er det altså kun visse virksomheder og virksomheder af en vis størrelse i de forskellige delsektorer, der omfattet af beredskabskravene. Således er en lang række af virksomheder i energisektoren ikke omfattet af krav til beredskab og cybersikkerhed efter gældende ret med henblik på at sikre og om nødvendigt genoprette forsyningen, fx fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Rådets direktiv (EU) 2008/114 af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) finder anvendelse for energi- og transportsektorerne. EPCIP-direktivet er implementeret i energisektoren ved bekendtgørelse nr. 11 af 7. januar 2011 om identifikation og udpegning af europæisk kritisk infrastruktur på energiområdet og vurdering af behovet for bedre beskyttelse (EPCIP-direktivet), (EPCIP-Bekendtgørelsen).

EPCIP-bekendtgørelsens §§ 3-8 fastsætter en procedure og nærmere kriterier for indkredsning af potentiel europæisk kritisk infrastruktur og eventuel efterfølgende udpegning af den europæiske kritiske infrastruktur som sådan.

Det følger EPCIP-bekendtgørelsens § 3, at Energistyrelsen foretager identifikation af europæiske kritisk infrastruktur i dialog med operatører af relevante infrastrukturer, som opfylder nærmere fastsatte tværgående og sektorbaserede kriterier og er i overensstemmelse med definitionerne for "kritisk infrastruktur" og "europæisk kritisk infrastruktur". Metoden for udpegelse fremgår af bekendtgørelsens § 4, stk. 1.

Efter EPCIP-bekendtgørelsens § 7, stk. 3, skal Energistyrelsen forud for udpegning af europæisk kritisk infrastruktur, drøfte med de øvrige medlemsstater, som i betydelig grad kan blive berørt af den potentielle europæiske kritiske infrastruktur. Såfremt der skal foretages udpegning, indgår Energistyrelsen aftale herom med relevante medlemsstater

Ifølge § 11, stk. 1, i bekendtgørelse nr. 2646 af 28. december 2021 om beredskab for elsektoren (elberedskabsbekendtgørelsen) og § 11, stk. 1, i bekendtgørelse nr. 821 af 14. august 2019 om beredskab for naturgassektoren (naturgasberedskabsbekendtgørelsen), skal Energistyrelsen foretage en klassificering af anlæg i el- og naturgassektoren. Det følger af § 9 i bekendtgørelse nr. 2647 af 28. december 2021 om it-beredskab for el- og naturgassektoren (it-beredskabsbekendtgørelsen), at Energistyrelsen skal foretage kategorisering af virksomheder.

Efter gældende ret inddeles anlæg i tre klasser, og virksomheder inddeles i tre kategorier afhængig af anlæggets eller virksomhedens betydning for energiforsyningen. Klassificeringen og kategoriseringen har betydning for, hvilke beredskabskrav virksomhederne skal efterleve, samt hvor ofte der føres tilsyn med virksomheden.

Ifølge olieberedskabslovens § 6, stk. 1, skal virksomheder holde beredskabslagre af råolie eller lagringspligtige olieprodukter efter lovens § 10, stk. 2, hvis virksomheden importerer her til landet, producerer her til landet eller lader råolie eller lagringspligtige olieprodukter producere hos en anden virksomhed i Danmark. Olieberedskabslagrene holdes i form af A-lagre (konventionelle tankanlæg) eller B-lagre (særligt beskyttede anlæg), jf. lagringspligtbekendtgørelsens § 5, stk. 1.

FDO er delegeret 70,0 pct. af virksomhedernes lagringspligt, og dækker hele forpligtelsen for virksomhederne til at holde B-lagre. Virksomhederne opfylder deres lagringspligt i form af A-lagre. Størrelsen af en virksomheds lagringspligt beregnes på baggrund af, hvor mange olieprodukter virksomheden sælger til slutbrug på det danske marked, jf. lagringspligtbekendtgørelsens §§ 11 og 12.

3.1.2. CER-direktivet

CER-direktivet fastsætter, jf. artikel 1, stk. 1, litra b, forpligtelser for kritiske enheder med henblik på at styrke deres modstandsdygtighed og evne til at levere de i litra a) omhandlede tjenester på det indre marked. CER-direktivet indfører desuden, jf. artikel 1, stk. 1, litra e, foranstaltninger med henblik på at opnå en høj grad af modstandsdygtighed i kritiske enheder for at sikre levering af væsentlige tjenester i Unionen og forbedre det indre markeds funktion. Det følger endvidere af direktivets artikel 2, nr. 1, at der ved kritisk enhed forstås: en offentlig eller privat enhed, som er blevet identificeret af en medlemsstat i overensstemmelse med artikel 6 som tilhørende en af kategorierne anført i tredje kolonne i tabellen i bilaget.

I medfør af CER-direktivets artikel 6, skal medlemsstaterne senest den 17. juli 2026 identificere kritiske virksomheder ud fra kriterierne om, at virksomheden leverer en eller flere væsentlige tjenester, og at en hændelse vil have betydelig forstyrrende virkning for enhedens levering af tjenesten. Ved identificeringen skal medlemsstaterne tage hensyn til den nationale risikovurdering og nationale strategi, der begge skal foreligge senest den 17. januar 2026.

CER-direktivets artikel 6 forpligter medlemsstaterne til at identificere deres kritiske enheder for sektorerne og delsektorerne anført i bilaget. Det fremgår af bilaget, at følgende typer af virksomheder i energisektoren, identificeres som kritiske enheder: 1) Elektricitetsvirksomheder, 2) Distributionssystemoperatører, 3) Transmissionssystemoperatører, 4) Elproducenter, 5) Udpegede elektricitetsmarkedsoperatører, 6) Markedsdeltagere, der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring, 7) Operatører af fjernvarme eller fjernkøling, 8) Olierørledningsoperatører, 9) Operatører af olieproduktionsanlæg, -raffinaderier og -behandlingsanlæg, olielagre og olietransmission, 10) Centrale lagerenheder, 11) Gasforsyningsvirksomheder, 12) Lagersystemoperatører, 13) LNG-systemoperatører, 14) Naturgasvirksomheder, 15) Operatører af naturgasraffinaderier og -behandlingsanlæg og 16) Operatører inden for brintproduktion, -lagring og -transmission.

Således skal der efter CER-direktivets ovenstående artikler og bilag fastsættes regler for virksomheder af ovenstående typer af virksomheder på klima-, energi- og forsyningsministerens ressort, såfremt de bliver udpeget som kritiske enheder efter proceduren i direktivets artikel 6.

3.1.3. NIS 2-direktivet

NIS-2 direktivet finder, jf. artikel 2, stk. 1, anvendelse på offentlige eller private enheder af den type, der er omhandlet i direktivets bilag I eller II, som udgør mellemstore virksomheder i henhold til artikel 2 i bilaget til henstilling 2003/361/EF, eller overskrider tærsklerne for mellemstore virksomheder fastsat i nævnte artikels stk. 1, og som leverer deres tjenester eller udfører deres aktiviteter inden for Unionen. Direktivets bilag 1, oplister følgende typer af virksomheder i energisektoren, der efter direktivets artikel 2, stk. 1 er omfattet af direktivets anvendelsesområde: 1) Elektricitetsvirksomheder, 2) Distributionssystemoperatører, 3) Transmissionssystemoperatører, 4) Elproducenter, 5) Udpegede elektricitetsmarkedsoperatører, 6) Markedsdeltagere, der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring, 7) Operatører af ladestationer, der er ansvarlige for forvaltningen og driften af en ladestation, som leverer en ladetjeneste til slutbrugere, herunder i en mobilitetstjenesteudbyders navn og på dennes vegne, 8) Operatører af fjernvarme eller fjernkøling, 9) Olierørledningsoperatører, 10) Operatører af olieproduktionsanlæg, -raffinaderier og -behandlingsanlæg, olielagre og olietransmission, 11) Centrale lagerenheder, 12) Gasforsyningsvirksomheder, 13) Lagersystemoperatører, 14) LNG-systemoperatører, 15) Naturgasvirksomheder, 16) Operatører af naturgasraffinaderier og -behandlingsanlæg og 17) Operatører inden for brintproduktion, -lagring og -transmission.

Det følger endvidere af direktivets artikel 2, stk. 3, at direktivet finder anvendelse på enheder, der er identificeret som kritiske enheder i henhold til direktiv (EU) 2022/2557 (CER-direktivet), uanset deres størrelse.

3.1.4. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

Det foreslås, at loven kommer til at finde anvendelse på de aktører i energisektoren, der er omfattet af NIS2- og CER-direktivet. Herudover foreslås, at loven kommer til at finde anvendelse på en række andre aktører, der ud fra et dansk perspektiv vurderes at varetage en række funktioner, der er kritiske for forsyningen og beredskabet i energisektoren.

Lovforslaget indeholder regler om sikkerhedsgodkendelse og baggrundskontrol, der tillige gælder for aktører, som varetager opgaver som direkte led i eller forbindelse med leveringen af de tjenester og aktiviteter, der varetages af de aktører, der er nævnt ovenfor.

Det foreslås at samle hjemmelsgrundlaget for beredskabsarbejdet i energisektoren i en ny hovedlov. Baggrunden herfor er bl.a., at sikre, at kravene er ensartede på tværs de forskellige forsyningsarter. Derudover giver en ny hovedlov et samlet overblik over beredskabsreguleringen for de omfattede virksomheder, hvoraf en del er multiforsyningsvirksomheder eller har aktiviteter i flere delsektorer.

Klima-, Energi og Forsyningsministeriet vil med dette lovforslag fortsætte med at løfte sit sektoransvar, som kodificeret i § 24 i beredskabsloven. Der ændres med forslaget ikke på de allerede eksisterende grundprincipper i den beredskabsplanlægning, som virksomhederne skal udføre.

Den grønne omstilling har medført og vil forsat medføre en større diversitet i danske forbrugeres og virksomheders energiforsyning. Den decentrale energiproduktion, som bl.a. hænger sammen med en øget integration af vedvarende energi i det danske energisystem, har bevirket, at forbrugere og virksomheder ikke blot er afhængige af en eller to energikilder. Der er ligeledes gensidige afhængigheder mellem de forskellige delsektorer, hvilket kan bevirke, at en forsyningsafbrydelse i den ene delsektor kan have betydning for forsyningen i andre delsektorer. Desuden har markedsliggørelsen og digitaliseringen af den danske og europæiske energiforsyning medført, at et langt større antal virksomheder har indflydelse på, at forsyningen er velfungerende, forudsigelig og ikke mindst sikker.

Med udbygningen af vind- og solenergi bliver elproduktionen mere decentraliseret. Produktionen af el vil således ikke længere være koncentreret om få kraftværker, men den vil i stedet blive spredt ud på mange små og store anlæg. Der vil bl.a. i de kommende år blive bygget store VE-anlæg (fx land- og havvindmølleparker), som vil have en størrelse, hvor de vil få væsentlig betydning for energiforsyningen på nationalt og europæisk niveau. Nogle af disse anlæg vil være geografisk placeret steder, hvor de kan være eksponeret.

Grundet udviklingen af energisystemerne hvor produktionen er blevet mere vejrafhængig og fluktuerende, vil forbrugssiden også få væsentlig indvirkning på forsyningssikkerheden af energi. Dette er særligt relevant for elforsyningen, hvor alt fra ladepunktsoperatører, PtX-anlæg, varmepumper og smartstyring af virksomheder og privatpersoners elforbrug potentielt kan få kritisk betydning for den nationale elforsyning, såfremt ondsindede aktører kan tage kontrollen med forbruget. Den nuværende regulering tager ikke tilstrækkeligt højde for denne udvikling inden for mangfoldigheden af aktører, der har betydning for energisektoren. Derfor foreslås det i overensstemmelse med NIS 2- og CER-direktiverne, at flere aktører på forbrugssiden vil omfattes af reguleringen. Velfungerende og sikre markedsaktører er ligeledes essentielle for en stabil forsyning af energi i Danmark og resten af Europa, hvorfor disse også foreslås omfattet af denne beredskabsregulering.

I takt med at brint bliver en vigtigere del af det danske energisystem, bør modstandsdygtigheden af brintforsyningen også understøttes. På sigt forventes der at være en del af de danske forbrugere og virksomheder, der vil være afhængige af den brint, som produceres på de brintproducerende anlæg. Beredskabsreguleringen af brintsektoren bør tage højde for denne udvikling af brintsektorens kritikalitet, hvor brintproducerende anlæg går fra at være kritiske for elforsyningssikkerheden på baggrund af deres forbrug af el til i stigende grad også at være kritiske på baggrund af den brint og dermed de PtX-produkter, som elektriciteten omdannes til på anlæggene. På den baggrund vurderer Klima-, Energi-, og Forsyningsministeriet, at beredskabsreguleringen af brintsektoren bør tage højde for, at brintproducerende anlæg kan være kritiske for energiforsyningen både på grund af forbruget af strøm og på grund af den brint, som anlæggene producerer.

Brintinfrastruktur kommer til at udgøre et vigtigt bindeled mellem produktion og forbrug af brint og bliver afgørende for, at brint kan handles på det indre marked. Brintinfrastruktur er i dag reguleret i gasforsyningsloven. Idet den økonomiske regulering og markedsforholdene for brint følger den model, der i en årrække har været gældende på naturgasområdet, er det nærliggende, at beredskabsreguleringen af brintinfrastrukturen følger den model, der gælder for naturgassektoren i den nuværende beredskabsregulering.

I gassystemet er der de seneste år sket en udvikling, hvor naturgas fra den danske del af Nordsøen eller import af naturgas i vidt omfang er blevet erstattet af decentral biogasproduktion. Opgraderet biogas svarede således i 2023 til ca. 40 pct. af det samlede danske gasforbrug, og andelen af biogas i gasnettet forventes at stige yderligere fremover.

Biogasproduktionen har dermed fået en væsentlig betydning i gassystemet, og Klima-, Energi- og Forsyningsministeriet vurderer derfor, at det er væsentligt at omfatte biogasproduktionsanlæggene af reguleringen.

Det gælder for både biogasanlæg såvel som for øvrige gasproducerende anlæg og gasbehandlingsanlæg, at det enkelte anlæg ikke er kritisk i sig selv, fordi anlægget producerer til et sammenhængende gasnet. Ikke desto mindre er de gasproducerende anlæg vigtige for at gøre energiforsyningen modstandsdygtig over for uforudsete hændelser på tværs af de enkelte led.

Der sker i disse år en udfasning af fossile brændsler til opvarmning, som især erstattes af fjernvarme. Fjernvarmesektoren er karakteriseret af mange små og mellemstore anlæg, som således ikke nødvendigvis har betydning for energiforsyningen på nationalt plan. Fjernvarmesektoren er karakteriseret af naturlige monopoler, hvor langt størstedelen af slutbrugerne således kun har ét varmerør, der forsyner deres hus eller bygning. Dette forhold understreger fjernvarmens kritikalitet for især private boliger samt fx hospitaler og andre samfundskritiske funktioner, hvor varmeforsyning er afgørende, og Klima-, Energi- og Forsyningsministeriet vurderer derfor, at det er væsentligt at omfatte virksomheder, der producerer eller distribuerer fjernvarme af reguleringen.

Fjernkølingssektoren i Danmark er under udvikling og forventes at få en tiltagende betydning for køling i især industrien såvel som for hospitaler og lignende samfundskritiske bygninger og anlæg, der har behov for stabil køling. På den baggrund vurderes det relevant at omfatte virksomheder, der opererer inden for fjernkøling.

Den gældende beredskabsregulering af oliesektoren omhandler primært krav om lagerberedskab af olieprodukter. Danmark er efter gældende EU-regler forpligtet til at holde beredskabslagre af olie svarende til 61 dages gennemsnitligt forbrug. Forpligtelsen til at holde beredskabslagre er pålagt de lagringspligtige virksomheder, hvilket er den gruppe af olievirksomheder i Danmark, som foretager import eller produktion af enten råolie eller olieprodukter. Det vil sige, at virksomhederne og den centrale lagerenhed skal foretage beredskabsplanlægning, der sikrer forsyningen af olie fra egne lagre i en beredskabssituation. Med lovforslaget foreslås det at udvide beredskabsreguleringen af olievirksomheders lagre til også at omfatte flere led i olieforsyningen. Derned vil flere led i værdikæden for olieforsyning blive omfattet af beredskabskrav.

Oliesektoren i Danmark er i høj grad karakteriseret af globale markedsmekanismer og for mange af kunderne i oliesektoren, er der substitutionsmuligheder. Kritikaliteten afhænger ikke på samme måde af virksomhedernes størrelse målt på mængden af energi, de håndterer, men den afhænger i højere grad af deres rolle i værdikæden, og hvorvidt deres kunder har substitutionsmuligheder. I oliesektoren er der flere aktører i forsyningskæden, for hvilke der er få substitutionsmuligheder på nationalt plan, herunder fx raffinaderier, olierør og offshore-platforme, og som derfor er kritiske for olieforsyningen. Ligeledes er der relativt få aktører, der ejer fx terminaler og olielagre, og hvor substitutionsmulighederne på nationalt plan er få, hvorfor det også vurderes hensigtsmæssigt, at beredskabsreguleringen omfatter disse, således at oliemarkedets funktion understøttes af krav til virksomhedernes modstandsdygtighed og beredskab.

Derudover vurderes det, at tankstationsvirksomhed bør omfattes af beredskabsreguleringen, idet tankstationer er et væsentligt led i distributionen af olieprodukter. Det er ikke den enkelte tankstation, der er kritisk for forsyningen af olieprodukter. Der kan derimod være risici forbundet med, at mange tankstationskæder har ét samlet IT-system, som benyttes på tværs af tankstationskæden, og som forbinder forsynings- og forretningskritiske systemer. Et cyberangreb vil kunne forstyrre olieforsyningen fra en større delmængde af de danske tankstationer og skabe usikkerhed omkring brændstofforsyningen. Reguleringen af tankstationsvirksomhederne vil således gøre sektoren mere modstandsdygtig og understøtte brugernes tillid til markedets funktion.

Operatører af regionale koordinationscentre foreslås desuden omfattet af loven, selvom de ikke er omfattet i NIS 2- og CER-direktiverne, da de varetager en række funktioner, der er kritiske for forsyningen og beredskabet i elsektoren, herunder koordinering af regionale sikkerhedsberegninger, TSO'ernes tiltag til sikring af systemsikkerhed samt opfølgning og rapportering i tilfælde af black out.

Af disse årsager foreslås det at udvide beredskabsreglernes anvendelsesområde i forhold til gældende ret. Ligeledes foreslås det, at beredskabsreguleringen samles og modificeres, så den stiller ensartede krav på tværs af de omfattede delsektorer for dermed at imødekomme de gensidige afhængigheder og for at øge modstandsdygtigheden på tværs af energisektoren. Med lovforslaget vil reglerne fremadrettet i tillæg til el-, gas- og oliesektorerne også komme til at gælde for såvel fjernvarme-, fjernkøling- og brintsektorerne. Endvidere vil nye aktører blive omfattet i el-, gas og oliesektorerne. Disse aktører er hovedsageligt omfattet af NIS2 og CER-direktivernes anvendelsesområde.

Det er samtidig Klima-, Energi- og Forsyningsministeriets vurdering, at en del virksomheder, der vurderes kritiske i opretholdelsen af energiforsyningen, ikke ville være omfattet af lovforslaget, hvis NIS 2-direktivets anvendelsesområde alene var anvendt som afgrænsning. Anvendelsesområdet for loven foreslås derfor modificeret i forhold til NIS2-direktivets grænser for ansatte, årlig omsætning eller balance for visse typer af virksomheder. Denne modificering er ligeledes et udtryk for kravet om identificeringen af kritiske enheder efter CER-direktivets artikel 6 inden for energisektoren. Det vurderes, at lovforslaget i denne sammenhæng går videre end minimumskriterierne for fastlæggelse af anvendelsesområdet i både NIS2- og CER-direktiverne.

I lyset af et stadigt skiftende trusselsbillede og deraf væsentligt øget behov for at styrke beredskabet i energisektoren vurderer Klima-, Energi- og Forsyningsministeriet, at det vil være uhensigtsmæssigt, hvis identificering af kritiske virksomheder i energisektoren først ville finde sted umiddelbart før implementeringsfristen for CER-direktivet 1. juli 2026.

Det foreslås derfor, at en foreløbig identificering af kritiske virksomheder efter CER-direktivet sker samtidig med implementeringen af NIS 2-direktivet, så de samme virksomheder omfattes af krav fra begge direktiver baseret på forsyningstørrelse. Baggrunden herfor skal samtidig ses i lyset af, at der er tæt sammenhæng mellem direktiverne, og at kravene i direktiverne komplementerer hinanden. Når den nationale risikovurdering og strategi efter CER-direktivet på et senere tidspunkt foreligger, vil Klima-, Energi- og Forsyningsministeriet på ny forholde sig til identificeringen af kritiske virksomheder. Identificering af virksomheder vil ske på baggrund af regler fastsat på bekendtgørelsesniveau.

På den baggrund foreslås en videreførelse af den gældende regulerings anvendelse af kritikalitet som parameter for, hvornår virksomheder og anlæg omfattes af reguleringen. Herved er det forsyningsstørrelsen, forstået som fx den samlede energiproduktion, produktions- eller lagerkapacitet eller antal kunder, og i nogle tilfælde virksomhedens eller anlæggets rolle i energisystemerne, der er afgørende for, om virksomheden omfattes af beredskabsregulering. Dette skyldes, at forsyningsstørrelsen i højere grad afspejler virksomhedens kritikalitet for energiforsyningen. For at understøtte en proportionel regulering i forhold til sikkerhedseffekten hos virksomhederne og de omkostninger, de skal afholde for at efterleve reguleringen, foreslås et differentieret reguleringstryk. Med denne tilgang vil reguleringen stille skærpede krav til de virksomheder, der er mest kritiske for energiforsyningen. I de tilfælde hvor virksomheder ikke omfattes af CER-direktivets anvendelsesområde på baggrund af grænseværdier fastsat på baggrund af kritikalitet, men dog lever op til grænseværdierne for at være omfattet af NIS2-direktivets anvendelsesområde, foreslås det, at virksomhederne også vil blive omfattet af loven.

Den gældende regulering arbejder med en klassificering af anlæg og en kategorisering af virksomheder. Det vurderes hensigtsmæssigt at videreføre inddelingen, som vil sikre et differentieret reguleringstryk. For at sikre tydelighed i anvendelsen af begreber, der har betydning for hvilke krav, der stilles til hvilke type virksomheder, vil klassificeringen af anlæg blive videreført. Fremover vil der imidlertid ske niveauinddeling af virksomheder, som erstatter den gældende kategorisering. Reglerne forventes at blive udformet således, at antallet af niveauer og klasser kan udvides, i det omfang udviklingen af energisektoren kræver det.

For at sikre implementering af NIS2- og CER-direktivets anvendelsesområde foreslås, at loven finder anvendelse på den type virksomheder, der fremgår af den foreslåede § 2, stk. 1.

De regionale koordinationscentre varetager en række funktioner, der er kritiske for forsyningen og beredskabet i elsektoren, herunder koordinering af regionale sikkerhedsberegninger, transmissionssystemoperatørernes (TSO) tiltag til sikring af systemsikkerhed samt opfølgning og rapportering i tilfælde af black out. De omfattes således som en selvstændig gruppe af loven. Endelig medtages bygasnet som en selvstændig gruppe for at sikre, at disse omfattes af loven, idet de ellers ikke nødvendigvis vil være omfattet af de øvrige typer af gasvirksomhed, nævnt i den foreslåede bestemmelse i § 2, stk. 1, nr. 1 - 17.

Det foreslås, at lovens anvendelsesområde baseres på en række grænseværdier for hver af de omfattede delsektorer, der tager udgangspunkt i virksomhedernes kritikalitet for energiforsyningen.

Det foreslås således, at loven kun finder anvendelse på virksomheder, som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt virksomheden opfylder én eller flere af de betingelser, der fremgår af den foreslåede § 2, stk. 2.

Endvidere foreslås det, at virksomheder med positiv lagringspligt efter olieberedskabsloven altid vil være omfattet den foreslåede lov, selvom de ikke selv ejer lageret eller terminalen, som beredskabsolien befinder sig i, eller hvis de har en kapacitet på mindre end 100.000 m3. Det er essentielt, at virksomheder med positiv lagringspligt efter olieberedskabsloven er omfattet af lovforslaget, idet tilgængeligheden af beredskabslagrene, som disse virksomheder holder, er en grundlæggende forudsætning for at have et velfungerende og brugbart olielagerberedskab.

Konsekvensen af det foreslåede anvendelsesområde baseret på direktivernes minimumskrav, samt på forsyningsstørrelse og kritikalitet indebærer, at antallet af virksomheder, som omfattes af beredskabskrav og fast tilsyn, ud fra et estimat øges fra ca. 84 virksomheder til ca. 180 virksomheder. I tillæg til de ca. 180 virksomheder estimeres det, at yderligere ca. 200 energivirksomheder med lille forsyning vil blive omfattet af nye krav om en beredskabsplan og et kontaktpunkt.

For de foreslåede bestemmelser i § 16 og kapitel 5, der vedrører muligheden for at få foretaget sikkerhedsgodkendelse eller baggrundskontrol, forslås et bredere anvendelsesområde end for de resterende bestemmelser i loven. Dette er nødvendigt for at aktører, der er leverandører til de af loven omfattede virksomheder, også kan blive sikkerhedsgodkendt eller få foretaget baggrundskontrol, således at leverandøren vil kunne udføre de opgaver, som de virksomheder, der omfattet af lovforslagets § 2, stk. 1 og 2, skal have udført. Der kan også være andre aktører, som har en mere indirekte betydning for modstandsdygtigheden, cybersikkerheden og beredskabet i energisektoren, fx rådgivende fora som ikke har nogle kontraktuelle forhold til de virksomheder, der omfattet af § 2, stk. 1 og 2, men som har aktiviteter, som alle sektorens virksomheder kan drage fordel af. Dette kan fx indebære udvikling af best practices for cybersikkerhed i OT-miljøer (operationel teknologi), som er de systemer, der ofte anvendes i styring eller overvågning af mekaniske systemer i bl.a. energisektoren.

Det foreslås, at forslagets bestemmelser om baggrundskontrol og sikkerhedsgodkendelser, også finder anvendelse på aktører, der ikke allerede omfattes af loven, men som varetager opgaver som direkte led i eller i forbindelse med leveringen af de tjenester og aktiviteter, der varetages af virksomheder omfattet af loven. Formålet med at omfatte dem af bestemmelserne er ikke at fastsætte krav om at sådanne aktører skal have foretaget baggrundskontrol eller sikkerhedsgodkendelse af deres personale, men blot åbne op for klima-, energi- og forsyningsministeren har hjemmel til baggrundskontrollere og sikkerhedsgodkende sådanne aktører, når det findes nødvendigt.

Det vurderes hensigtsmæssigt, at lovforslaget finder anvendelse på operatører af infrastruktur, der ligger på havet eller på havbunden. Det fremgår således af den foreslåede bestemmelse i § 2, stk. 4, at loven vil finde anvendelse på land- og søterritoriet, i den danske eksklusive økonomiske zone samt på den danske kontinentalsokkel.

Klima-, energi- og forsyningsministerens sektoransvar omfatter alene beredskab med henblik på, at den danske energiforsyning kan fungere. Derfor foreslås det, at energi i transit mellem to andre lande uden direkte forbindelse til Danmarks energiinfrastruktur vil være undtaget lovforslaget. Herefter vil lovforslaget ikke finde anvendelse på transmissionssystemer på søterritoriet, i den eksklusive økonomiske zone og på den danske kontinentalsokkel, der ikke har tilslutning til danske forsyningsnet.

3.2. Foranstaltninger for beredskab og modstandsdygtighed i energisektoren

3.2.1. Gældende ret

Efter gældende ret skal virksomheder med bevilling til netvirksomhed efter elforsyningslovens § 10, virksomheder med bevilling til elproduktion efter elforsyningslovens § 19, virksomheder med tilladelse til elproduktion over 25 MW efter elforsyningslovens § 11 eller efter § 29 i VE-loven, virksomheder med bevilling til distribution af gas efter § 10 i gasforsyningsloven, Energinet og Energinets helejede datterselskaber, balanceansvarlige virksomheder, centrale lagerenheder, virksomheder med positiv lagringspligt efter olieberedskabsloven, virksomheder der driver anlæg til produktion og fremføring af bygas, samt rettighedshavere med tilladelse til efterforskning og indvinding af kulbrinter eller tilladelse til etablering og drift af rørledningsanlæg i forbindelse med indvinding af kulbrinter planlægge og gennemføre beredskab for deres forsyning af elektricitet, naturgas, råolie, mineralolieprodukter, bygas og kulbrinter.

Forpligtelserne for disse virksomheder er i dag overordnet set fastsat i en række forsyningslove, som for visse delsektorer i energisektoren er yderligere udmøntet i en eller flere bekendtgørelser. Der er således tale om § 85 b og § 85 c i elforsyningsloven, § 15 a og § 15 b i gasforsyningsloven, § 16 i olieberedskabsloven, § 29 a i varmeforsyningsloven og § 17 a i undergrundsloven, der individuelt eller sammen er udmøntet i elberedskabsbekendtgørelsen, naturgasberedskabsbekendtgørelsen, it-beredskabsbekendtgørelsen, olieberedskabsbekendtgørelse samt bekendtgørelse om identifikation og udpegning af europæisk kritisk infrastruktur på energiområdet og vurdering af behovet for bedre beskyttelse.

Beredskab forstås bredt, idet forpligtigelsen angår både organisatorisk beredskab, fysisk sikring af bygninger og anlæg samt cybersikkerhed for forsyningskritiske systemer, som virksomheder benytter sig af i deres produktion, transmission, distribution, lagring, indvinding eller levering af elektricitet, naturgas, bygas, råolie, mineralolieprodukter eller kulbrinter.

3.2.1.1. Organisatorisk beredskab

Det følger af de ovennævnte bestemmelser, at virksomheder skal foretage den nødvendige planlægning for at sikre forsyningen i beredskabssituationer og andre ekstraordinære situationer. Denne planlægningsforpligtelse er gældende for de fysiske aspekter af virksomheden, for de logiske systemer og for den organisatoriske styring, som virksomheden benytter til at sikre forsyningen.

Beredskabsplanlægning indebærer således først og fremmest organisatoriske forhold, som i dag er reguleret i elberedskabsbekendtgørelsens § 5, naturgasberedskabsbekendtgørelsens § 5, olieberedskabsbekendtgørelsens § 6 og it-beredskabsbekendtgørelsens § 6. Beredskabsplanlægningen indebærer endvidere fysisk sikring, som i dag er reguleret i elberedskabsbekendtgørelsens §§ 11-14, naturgasberedskabsbekendtgørelsens §§ 11-14, olieberedskabsbekendtgørelsens § 16 og it-beredskabsbekendtgørelsens § 23, stk. 2.

Beredskabsplanlægning indebærer desuden it-beredskab som i dag er reguleret i olieberedskabsbekendtgørelsens § 16 og it-beredskabsbekendtgørelsens § 23. En anden essentiel del af beredskabsplanlægningen er risiko- og sårbarhedsvurderinger, som i dag er reguleret i elberedskabsbekendtgørelsens § 6, naturgasberedskabsbekendtgørelsens § 6, olieberedskabsbekendtgørelsens § 8 og it-beredskabsbekendtgørelsens § 10, samt udarbejdelse af beredskabsplaner som i dag er reguleret i elberedskabsbekendtgørelsens §§ 7, 9 og 10, naturgasberedskabsbekendtgørelsens §§ 7, 9 og 10, olieberedskabsbekendtgørelsens § 11 og it-beredskabsbekendtgørelsens § 14. november 2024.

Endvidere er øvelser også en del af beredskabsplanlægningen som i dag er reguleret i elberedskabsbekendtgørelsens § 21, naturgasberedskabsbekendtgørelsens § 21, olieberedskabsbekendtgørelsens § 13 og it-beredskabsbekendtgørelsens § 19. Desuden er underrettelsesforpligtelser også en relevant del beredskabsplanlægningen, hvilket er reguleret i elberedskabsbekendtgørelsens § 22 og § 23, naturgasberedskabsbekendtgørelsens § 22 og § 23, olieberedskabsbekendtgørelsens § 14 og § 15 og it-beredskabsbekendtgørelsens § 21 og § 22.

Derefter er en række operative forhold omkring beredskabet i el, naturgas og oliesektoren reguleret elberedskabsbekendtgørelsens §§ 24-26, naturgasberedskabsbekendtgørelsens §§ 24-26, olieberedskabsbekendtgørelsens § 4 og it-beredskabsbekendtgørelsens § 4. Endeligt er en vigtig del af beredskabet i el-, naturgas og oliesektoren uddannelse af ledelse og personale, hvilket i dag er reguleret i elberedskabsbekendtgørelsens § 20, naturgasberedskabsbekendtgørelsens § 20, olieberedskabsbekendtgørelsens § 12 og it-beredskabsbekendtgørelsens § 18.

Det følger af krav til organisatoriske forhold i el- og naturgassektoren, at virksomheder skal udpege en beredskabskoordinator, en it-beredskabsansvarlig medarbejder, en operationel kontakt og en eller flere sikringsansvarlige medarbejdere, jf. elberedskabsbekendtgørelsens § 5, naturgasberedskabsbekendtgørelsens § 5 og it-beredskabsbekendtgørelsens § 6.

Beredskabskoordinatoren varetager sammen med den sikringsansvarlige medarbejder virksomhedens beredskabsopgaver, herunder kontakt til myndigheder inkl. politiet, jf. § 5, stk. 2, i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsens § 5, stk. 2. Den it-beredskabsansvarlige medarbejder koordinerer virksomhedens sikring af forsyningskritiske it-systemer, jf. it-beredskabsbekendtgørelsens § 6, stk. 1, og skal mindst fire gange om året koordinere it-beredskabet med det almene beredskab sammen med beredskabskoordinatoren og ledelsen, jf. § 6, stk. 3 i it-beredskabsbekendtgørelsen. Der må af samme årsag ikke være personsammenfald mellem beredskabskoordinatoren, den it-beredskabsansvarlige og ledelsen, jf. it-beredskabsbekendtgørelsens § 6, stk. 4.

Den/de sikringsansvarlige medarbejder(e) er en konkret medarbejder, der skal varetage beredskabs- og sikringsopgaver for et eller flere individuelle anlæg, jf. § 5, stk. 1, i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen. Mens de andre roller har et bredere ansvar for virksomhedens beredskab, har den sikringsansvarlige medarbejder et ansvar for et eller flere anlæg, som virksomheden ejer.

Det følger af § 5, stk. 3, i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen, at virksomheders operationelle kontakt når som helst skal kunne fungere som forbindelsesled til virksomheden, hvilket betyder at kontakten skal kunne modtage informationer fra myndighederne og/eller Energinet. Den operationelle kontakt sikrer, at virksomheden iværksætter de nødvendige foranstaltninger, herunder videreformidling af informationer internt i virksomheden.

Virksomheder i oliesektoren skal efter olieberedskabsbekendtgørelsens § 6, stk. 2, kunne modtage varsler fra andre virksomheder og myndigheder samt iværksætte relevante tiltag ved modtagelse af et varsel.

I tillæg til udpegelsen af diverse beredskabsroller fastsætter gældende ret krav til, at virksomheder skal sikre, at de medarbejdere, som skal indgå i beredskabet, løbende modtager den fornødne instruktion, uddannelse og træning i disse opgaver, jf. elberedskabsbekendtgørelsens § 20, naturgasberedskabsbekendtgørelsens § 20, olieberedskabsbekendtgørelsens § 12 og it-beredskabsbekendtgørelsens § 18.

Der er ligeledes krav om, at virksomheder i el- og naturgassektoren skal udarbejde og gennemføre awareness-tiltag om it-sikkerhed, jf. it-beredskabsbekendtgørelsens § 20, herunder formidle oplysning om hvordan it-sikkerheden skal varetages af den berørte gruppe af medarbejdere eller af eksterne. Det følger særligt af henholdsvis stk. 2 og stk. 3, at de mest kritiske virksomheder skal gennemføre årlige awareness-tiltag, mens de mindre kritiske kun skal gennemføre dem minimum hvert tredje år.

3.2.1.1.1. Risiko- og sårbarhedsvurderinger

Efter gældende ret skal virksomheder, der i dag er omfattet af beredskabsreguleringen, udarbejde en vurdering af virksomhedens risici og sårbarheder i relation til virksomhedens kontinuitet, jf. elberedskabsbekendtgørelsens § 6, naturgasberedskabsbekendtgørelsens § 6 og olieberedskabsbekendtgørelsens § 8, herunder risici og sårbarheder som kan påvirke virksomhedens forsyningskritiske it-systemer, jf. it-beredskabsbekendtgørelsens § 10.

Udarbejdelsen af risiko- og sårbarhedsvurderingen foregår ved, at virksomheder modtager en samling af risiko- og sårbarhedsscenarier fra Energistyrelsen, som virksomheden skal forholde sig til i udarbejdelsen af risiko- og sårbarhedsvurderingen (ROS). Virksomheden skal i analysen af risiko- og sårbarhedsscenarierne vurdere konsekvenserne for virksomhedens kontinuitet, såfremt et scenarier udspiller sig, og på denne baggrund identificere virksomhedens sårbarheder. Virksomheden skal herefter udvælge passende foranstaltninger til at mitigere og styre identificerede risici og sårbarheder samt prioritere beredskabet i forhold til de identificerede risici og sårbarheder.

En risiko- og sårbarhedsvurdering er overordnet set virksomhedens vurdering af, hvordan forskellige trusselscenariers kan få konsekvenser for egen forsyningsevne. Risiko- og sårbarhedsvurderingens konklusionerne giver virksomheden indsigt i egne sårbarheder og hjælper med at afgøre, hvordan virksomheden bør fokusere beredskabsarbejdet, herunder i forhold til at afdække behovet for intern prioritering af ressourcer til beredskabsarbejdet.

3.2.1.1.2. Beredskabsplanlægning og øvelser

Efter gældende ret er det et krav, at virksomheder skal udarbejde beredskabsplaner og it-beredskabsplaner for håndtering af beredskabssituationer, jf. elberedskabsbekendtgørelsens § 7, naturgasberedskabsbekendtgørelsens § 7, olieberedskabsbekendtgørelsens § 11 og it-beredskabsbekendtgørelsens § 14. Beredskabsplanerne skal baseres på virksomhedens risiko- og sårbarhedsvurdering samt beskrive virksomhedens krisehåndtering, herunder hvordan virksomhedens krisehåndteringsorganisation aktiveres, etableres og driftes, og hvordan der koordineres og udsendes information. Beredskabsplanen skal kunne bruges som en operativ vejledning, når en beredskabssituation bliver varslet eller opstår.

Virksomheder i el- og naturgassektoren skal efter § 20 og § 21, stk. 1, i henholdsvis elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen, afholde øvelser, som træner virksomhedens beredskab. Elberedskabsbekendtgørelsens § 21, stk. 3 og naturgasberedskabsbekendtgørelsens § 21, stk. 3 stiller krav om, at der mindst hvert andet år holdes en øvelse, og at øvelserne skal være planlagt, så de over en femårig periode dækker de væsentligste dele af virksomhedens beredskab.

Det følger af it-beredskabsbekendtgørelsens § 19, at virksomheder i el- og naturgassektoren skal afholde øvelser af virksomhedens it-beredskabsplaner. Der stilles efter § 19, stk. 3 forskellige krav til hyppigheden af øvelser alt efter, hvilken kategori en virksomhed befinder sig i; Kategori 1-virksomheder skal som minimum afholde én årlig øvelse af it-beredskabet samt gennemføre awareness-tiltag årligt efter § 18. Kategori 2- og 3-virksomheder skal derimod tilsikre, at virksomhedens it-beredskabsplaner i relevant omfang øves, når det almene beredskab øves, samt at virksomheden gennemfører awareness-tiltag minimum hvert andet år, jf. § 18.

Virksomheder i el- og naturgassektoren skal efter § 21, stk. 3 i henholdsvis elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen udarbejde en femårig øvelsesplan for at sikre, at virksomheders beredskabsplaner trænes og fungerer efter hensigten. Den femårige øvelsesplan skal indeholde elementer for både it-beredskab og klassisk beredskab og skal opdateres minimum årligt. Den femårige øvelsesplan er tentativ, forstået på den måde at den må og skal tilpasses løbende. Øvelsesplanerne indgår som en del af Energistyrelsens tilsyn med virksomhederne, men de skal dog ikke fremsendes til godkendelse.

Det følger af § 21, stk. 4 i henholdsvis elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen, at virksomheder i el- og naturgassektoren skal evaluere afholdte øvelser og sende en evalueringsrapport til Energistyrelsen senest tre måneder efter, at øvelsen er afholdt. Rapporten skal indeholde beskrivelser af øvelsens forløb, opnåede erfaringer samt hvordan og hvornår, virksomheden planlægger at følge op på læringspunkter fra øvelsen.

Energistyrelsen kan i særlige tilfælde godkende, at virksomheders evaluering af en hændelse kan erstatte en planlagt øvelse, jf. elberedskabsbekendtgørelsens § 22, stk. 2 og naturgasberedskabsbekendtgørelsens § 22, stk. 2. Det forudsætter dog, at virksomheden ansøger om at få hændelsen godkendt som en øvelse, at Energistyrelsen har modtaget en øvelsesplan, og at hændelsen er indarbejdet i den, at hændelsen i væsentligt omfang har afprøvet konkrete forhold i beredskabsplanen, at hændelsen har den samme værdi som en planlagt øvelse, og at der er udarbejdet en tilfredsstillende evaluering af hændelsen.

For el- og naturgassektoren skal Energinet efter gældende ret afholde beredskabsøvelser i anvendelse af sektorberedskabsplanen, jf. elberedskabsbekendtgørelsens § 21, stk. 2, naturgasberedskabsbekendtgørelsens § 21, stk. 2.

Virksomheder i oliesektoren skal efter § 13, stk. 1 og 3 i olieberedskabsbekendtgørelsen afholde øvelser med udgangspunkt i egne beredskabsplaner minimum én gang årligt. Det fremgår særligt af § 13, stk. 2, at virksomheder skal udarbejde en treårig øvelsesplan, som indeholder alle væsentlige elementer, inklusiv elementer fra alment beredskab og it-beredskab. Virksomheder skal endvidere evaluere afholdte øvelser, som angiver øvelsens forløb, opnåede erfaringer samt planlagt opfølgning på læringspunkter og tidsplan herfor, jf. § 13, stk. 4.

3.2.1.1.3. Hændelsesrapporteringer

Det fremgår af elberedskabsbekendtgørelsens § 23, naturgasberedskabsbekendtgørelsens § 23 og it-beredskabsbekendtgørelsens § 21, at virksomheder i el- og naturgassektorerne omgående skal underrette Energinet om beredskabshændelser og alvorlige it-sikkerhedshændelser, der er af relevans for beredskabssituationen i el- og naturgassektoren. Energinet skal omgående underrette Energistyrelsen, såfremt indberetningen er af betydning for el- eller naturgasforsyningen på nationalt niveau, samt vurdere, om information om hændelsen skal viderebringes til Center for Cybersikkerhed eller andre virksomheder i el- eller naturgassektorerne.

Virksomheder i oliesektoren skal efter § 14 i olieberedskabsbekendtgørelsen uden ugrundet ophold underrette Energistyrelsen om hændelser, der i væsentlig grad reducerer virksomhedens eller den centrale lagerenheds funktionalitet eller funktionaliteten af andre dele af oliesektoren. Virksomhederne skal uden ugrundet ophold underrette Energistyrelsen og Center for Cybersikkerhed om it-sikkerhedshændelser, der påvirker forsyningskritiske it-systemer, gennem Erhvervsstyrelsens dertil indrettede internetbaserede portal.

3.2.1.2. Fysisk sikring

Efter den gældende ret klassificerer Energistyrelsen el- og naturgassektorens anlæg efter anlæggenes betydning for at opretholde henholdsvis el- og naturgasforsyningen på nationalt, regionalt og lokalt niveau. Klasse 1-anlæg anses som mest forsyningskritisk, mens klasse 3-anlæg anses som mindst forsyningskritisk. Klassificeringen af et anlæg afgør, hvilke krav der stilles til sikringen af det pågældende anlæg.

Det følger af § 13, stk. 1, i henholdsvis elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen, at klasse 1-anlæg og klasse 2- anlæg i el- og naturgassektoren skal sikres således, at anlægget har lav sårbarhed over for såvel funktionssvigt af offentligt udbudte net og tjenester for elektronisk kommunikation som funktionssvigt af væsentlige it-systemer. Anlæggene skal dertil have nødstrømsforsyning, som i tilfælde af strømafbrydelse sikrer anlæggets funktionalitet i perioden frem til strømforsyningens reetablering.

Det fremgår af § 13, stk. 2, i henholdsvis elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen, at ubemandede klasse 1-anlæg i el- og naturgassektoren skal sikres mod uautoriseret adgang gennem etablering af mekaniske og elektroniske sikrings- og overvågningsforanstaltninger. Uautoriseret adgang skal omgående alarmeres til et døgnbemandet kontrolrum eller en af Rigspolitiet godkendt kontrolcentral, hvortil virksomheden skal have procedurer til at sikre, at alarmer modtages og behandles således, at der sker en hurtig og kvalificeret reaktion.

Virksomheder skal i henhold til § 13, stk. 3, i henholdsvis elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen endvidere etablere et system for styret adgangskontrol på klasse 1-anlæg i el- og naturgassektoren, hvor der tages stilling til, hvem der kan få adgang til hvilke dele af anlægget, og hvor der løbende føres log over denne adgang.

Virksomheder skal jf. § 13, stk. 4, i henholdsvis elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen, dertil regelmæssigt og som minimum hver måned føre kontrol med, at de nævnte foranstaltninger for fysisk sikring i bekendtgørelsernes § 13, gennemføres, er intakte og fungerer efter hensigten, hvilket virksomheden skal føre log over.

Ifølge olieberedskabsbekendtgørelsens § 16, stk. 1, skal virksomheder i oliesektoren sikre, at forsyningskritiske anlæg beskyttes i forhold til deres kritikalitet. Virksomheder skal desuden, sikre forsyningskritiske anlæg mod uautoriseret adgang, jf. § 16, stk. 2.

3.2.1.3. It-beredskab

I tillæg til de ovennævnte foranstaltninger stiller den gældende regulering krav til virksomhedernes it-beredskabsplanlægning.

Det følger af § 10 i olieberedskabsbekendtgørelsen og § 12 i it-beredskabsbekendtgørelsen, at virksomheder i planlægningen af deres it-beredskab skal identificere forsyningskritiske it-systemer og informationsstrømme med styringskritiske relationer, som virksomheden har til andre virksomheder eller aktører. Virksomheder udarbejder planmateriale, som beskriver virksomhedens forsyningskritiske it-systemer, herunder afhængigheder af leverandører og andre systemer i de forsyningskritiske it-systemers forsyningskæde, jf. olieberedskabsbekendtgørelsens § 10, stk. 1, nr. 1 og 3, og it-beredskabsbekendtgørelsens § 14, stk. 2, nr. 1.

Virksomheder skal udarbejde it-beredskabsplaner, som skal baseres på virksomhedens risiko- og sårbarhedsvurdering og indgå en del af virksomhedens samlede beredskabsplanlægning, jf. olieberedskabsbekendtgørelsens § 11, stk. 1, og it-beredskabsbekendtgørelsens § 14, stk. 1 og 4. It-beredskabsplaner skal blandt andet indeholde beskrivelser af virksomhedens interne ansvars- og rollefordeling under krisestyring, herunder intern ansvarsplacering for forsyningskritiske it-systemer, samt operativ ansvarsdeling mellem virksomheden og dens samarbejdsparter, jf. olieberedskabsbekendtgørelsens § 11, stk. 2, nr. 3-5, og it-beredskabsbekendtgørelsens § 14, stk. 2, nr. 3, 4 og 9.

For virksomheder i el- og naturgassektoren skal it-beredskabsplanerne også beskrive virksomhedens kommunikation med Energinet eller Energistyrelsen og virksomhedens it-sikkerhedstjeneste, jf. it-beredskabsbekendtgørelsens § 14, stk. 2, nr. 5.

It-beredskabsplaner efter olieberedskabsbekendtgørelsens § 11 og it-beredskabsbekendtgørelsens § 14 skal dertil indeholde beskrivelser af forebyggende foranstaltninger til at imødegå utilsigtede it-hændelser, inklusiv muligheden for at segmentere virksomhedens it-infrastruktur og muligheden for alternative driftsformer, samt procedurer for etablering af alternativ drift og genopretning af forsyningskritiske it-systemer. Virksomheder, der anvender fjernadgang til forsyningskritisk it-systemer, skal have en plan for, hvordan angreb på disse systemer opdages og håndteres. It-beredskabsplaner skal endvidere indeholde planer for dokumentation og opfølgning på hændelser.

Ud over it-beredskabsplanlægningen skal virksomheder efter gældende ret sikre, at den fysiske opbevaring af forsyningskritiske it-systemer beskyttes i forhold til deres kritikalitet for forsyningen på lige vilkår med den fysiske beskyttelse af fysiske anlæg, jf. olieberedskabsbekendtgørelsens § 16 og it-beredskabsbekendtgørelsens § 23. I det omfang at virksomhederne anvender leverandører til virksomhedens it-systemer, har virksomheden efter gældende ret ansvar for it-sikkerheden og skal etablere procedurer for adgangsstyring for leverandører af forsyningskritiske it-systemer, jf. olieberedskabsbekendtgørelsens § 17, stk. 1 og 2, og it-beredskabsbekendtgørelsens § 24, stk. 1 og 2. Derudover stilles der krav om, at virksomhederne skal bevare ejerskab af data og at adgangen til data logges og opbevares i sikre lokaler, jf. olieberedskabsbekendtgørelsens § 17, stk. 3, og it-beredskabsbekendtgørelsens § 24, stk. 3.

Det følger af den gældende ret, at virksomheder i el- og naturgassektoren skal være tilmeldt en proaktiv it-sikkerhedstjeneste, der yder vejledning og mitigering af sårbarheder samt giver informationer og varsler om it-sikkerhedstrusler, jf. it-beredskabsbekendtgørelsens § 25, stk. 1. Kategori 1-virksomheder og kategori 2-virksomheder, som er de mest forsyningskritiske virksomheder, skal endvidere være tilmeldt en reaktiv it-sikkerhedstjeneste, der bistår virksomheden ved nedbrud eller angreb på it-systemer, herunder yder assistance til akut skadesbegrænsning, bevisindsamling og reetablering i akutte sikkerhedsmæssige situationer, jf. it-beredskabsbekendtgørelsens § 25, stk. 2. Virksomheder skal hertil sikre, at oplysninger, der har sikkerhedsmæssig betydning for andre virksomheder i energisektoren, kan viderebringes og bliver viderebragt til andre virksomheder, jf. it-beredskabsbekendtgørelsens § 25, stk. 3.

3.2.2. CER-direktivet

Det følger af CER-direktivets artikel 12, stk. 1, at kritiske enheder inden for ni måneder efter modtagelsen af den i artikel 6, stk. 3, omhandlede underretning, når det er nødvendigt efterfølgende, og mindst hvert fjerde år, på grundlag af medlemsstatsrisikovurderinger og andre relevante informationskilder, foretager en risikovurdering for at vurdere alle relevante risici, der kunne forstyrre leveringen af deres væsentlige tjenester (»kritiske enheders risikovurderinger«).

Det følger desuden artikel 12, stk. 2, at risikovurderinger skal tage højde for alle relevante naturlige og menneskeskabte risici, der kunne føre til en hændelse, herunder af tværsektoriel eller grænseoverskridende karakter, ulykker, naturkatastrofer, folkesundhedskriser og hybride trusler og andre antagonistiske trusler, herunder terrorhandlinger som fastsat i direktiv (EU) 2017/541. En kritisk enheds risikovurdering skal tage hensyn til det omfang andre sektorer anført i bilaget afhænger af den væsentlige tjeneste, der leveres af den kritiske enhed, og det omfang den kritiske enheds afhænger af væsentlige tjenester, der leveres af andre enheder i sådanne andre sektorer, herunder i nabomedlemsstater og tredjelande hvor det er relevant.

Af direktivets artikel 13, stk. 1 fremgår det, at kritiske enheder træffer passende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre deres modstandsdygtighed på grundlag af de relevante oplysninger, som medlemsstaterne har givet om medlemsstatsrisikovurderingen, og af resultaterne af de kritiske enheders risikovurderinger, herunder foranstaltninger, der er nødvendige for at: a) forhindre hændelser i at indtræffe under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger, b) sikre tilstrækkelig fysisk beskyttelse af deres lokaler og kritiske infrastruktur under behørig hensyntagen til fx hegn, barrierer, værktøjer og rutiner til overvågning af perimetre, detektionsudstyr og adgangskontrol, c) reagere på, modstå og afbøde følgerne af hændelser under behørig hensyntagen til gennemførelsen af risiko- og krisestyringsprocedurer og -protokoller samt varslingsrutiner, d) sikre genopretning efter hændelser under behørig hensyntagen til forretningskontinuitetsforanstaltninger og identifikation af alternative forsyningskæder for at genoptage leveringen af væsentlige tjenester, e) sikre passende medarbejdersikkerhedsstyring under behørig hensyntagen til foranstaltninger såsom fastsættelse af kategorier af personale, der udøver kritiske funktioner, fastlæggelse af adgangsrettigheder til lokaler, kritisk infrastruktur og følsomme oplysninger, fastsættelse af procedurer for baggrundskontrol i overensstemmelse med artikel 14 og udpegelse af kategorier af personer, som er forpligtet til at gennemgå sådanne baggrundskontrol, samt fastlæggelse af passende uddannelseskrav og kvalifikationer, f) øge bevidstheden blandt det relevante personale om de foranstaltninger, der er omhandlet i litra a)-e), under behørig hensyntagen til uddannelseskurser, informationsmateriale og øvelser.

Med henblik på første afsnits litra e) sikrer medlemsstaterne, at kritiske enheder tager hensyn til eksterne tjenesteudbyderes personale, når der fastsættes kategorier af personale, som udøver kritiske funktioner.

Af artikel 13, stk. 2 fremgår det desuden, at kritiske enheder har indført og anvender en plan for modstandsdygtighed eller et eller flere tilsvarende dokumenter, der beskriver foranstaltningerne truffet i henhold til stk. 1. Hvis kritiske enheder har udarbejdet dokumenter eller truffet foranstaltninger i henhold til forpligtelser i andre retsakter, der er relevante for foranstaltningerne omhandlet i stk. 1, kan de anvende disse dokumenter og foranstaltninger til at opfylde de krav, der er fastsat i denne artikel. Den kompetente myndighed kan ved udøvelsen af sine tilsynsfunktioner erklære, at en kritisk enheds eksisterende modstandsdygtighedsstyrkende foranstaltninger, der på en passende og forholdsmæssig måde tager hånd om de tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger, som er omhandlet i stk. 1, helt eller delvist opfylder forpligtelserne i henhold til denne artikel.

Af artikel 13, stk. 3, fremgår det endeligt, at hver kritisk enhed udpeger en forbindelsesofficer eller tilsvarende som kontaktpunkt for de kompetente myndigheder.

3.2.3. NIS 2-direktivet

Det fremgår af NIS 2-direktivets artikel 20, stk. 1, at, de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet med henblik på at overholde artikel 21, fører tilsyn med dens gennemførelse og kan gøres ansvarlige for enhedernes overtrædelser af forpligtelserne i nævnte artikel.

Anvendelsen af dette stykke berører ikke national ret for så vidt angår de ansvarsregler, der gælder for offentlige institutioner, samt ansvaret for embedsmænd og personer valgt eller udnævnt til offentlige hverv.

Det fremgår desuden af artikel 20, stk. 2, at medlemmerne af væsentlige og vigtige enheders ledelsesorganer er forpligtet til at følge kurser, og skal tilskynde væsentlige og vigtige enheder til løbende at tilbyde tilsvarende kurser til deres ansatte, således at de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici og deres indvirkning på de tjenester, der leveres af enheden.

Af direktivets artikel 21, stk. 1, fremgår det, at væsentlige og vigtige enheder træffer passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som disse enheder anvender til deres operationer eller til at levere deres tjenester, og for at forhindre hændelser eller minimere deres indvirkning på modtagere af deres tjenester og på andre tjenester. Under hensyntagen til det aktuelle teknologiske stade og i givet fald til relevante europæiske og internationale standarder samt gennemførelsesomkostningerne skal de i første afsnit omhandlede foranstaltninger tilvejebringe et sikkerhedsniveau i net- og informationssystemer, der står i forhold til risiciene. Ved vurderingen af proportionaliteten af disse foranstaltninger tages der behørigt hensyn til graden af enhedens eksponering for risici, enhedens størrelse og sandsynligheden for hændelser og deres alvor, herunder deres samfundsmæssige og økonomiske indvirkning.

Af artikel 21, stk. 2, fremgår det desuden, at de i stk. 1 omhandlede foranstaltninger baseres på en tilgang, der omfatter alle farer og sigter på at beskytte net- og informationssystemer og disse systemers fysiske miljø mod hændelser, og mindst omfatter følgende: a) politikker for risikoanalyse og informationssystemsikkerhed, b) håndtering af hændelser, c) driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring, d) forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere, e) sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder, f) politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici, g) grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse, h) politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering, i) personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver, j) brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.

Af artikel 21, stk. 3, fremgår det endvidere, at enhederne, når de overvejer, hvilke foranstaltninger omhandlet i denne artikels stk. 2, litra d), der er passende, tager hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den generelle kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer. Medlemsstaterne sikrer også, at enhederne, når de overvejer, hvilke foranstaltninger omhandlet i nævnte litra, der er passende, er forpligtet til at tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der foretages i overensstemmelse med artikel 22, stk. 1.

3.2.4. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

Klima-, Energi- og Forsyningsministeriet vurderer, at det hybride trusselsbillede giver anledning til at nytænke samfundets beredskab, herunder hvordan kritiske anlæg og net- og informationssystemer gøres modstandsdygtige over for både cybertruslen, fysiske trusler og konsekvenserne af klimaforandringerne samt andre hændelser, så forsyningssikkerheden opretholdes.

I den sammenhæng vurderes det hensigtsmæssigt, at den fysiske sikring tænkes sammen med et højt cybersikkerhedsniveau, samt at disse understøttes af det organisatoriske beredskab og at virksomhederne i deres risikostyring løbende forholder sig til nye trusler og sårbarheder. Således er det formålet med lovforslaget, at virksomhederne øger deres robusthed, og ud fra en risikobaseret tilgang minimerer sårbarheder over for fx fysisk spionage, sabotage, uautoriseret adgang og manipulation af data samt kompromittering af kritiske systemer og følsomme dokumenter.

På den baggrund foreslår Klima-, Energi- og Forsyningsministeriet med dette lovforslag, at der tilvejebringes hjemmel til, at der vil kunne fastsættes nærmere regler om organisatorisk beredskab, fysisk sikring og cybersikkerhed af energisektoren, der vil modsvare det hybride trusselsbillede og de nye sårbarheder, som især digitaliseringen af energiinfrastrukturen har introduceret. Samtidig forventes det at den udmøntende regulering vil kunne tage højde for nye teknologier, som introduceres i forbindelse med den grønne omstilling. Derudover vil der kunne fastsættes regler om en ledelsesmæssig forankring af arbejdet med risikostyring i forhold til cybersikkerhed og fysisk sikkerhed.

3.2.4.1. Organisatorisk beredskab

Klima-, Energi- og Forsyningsministeriet vurderer, at det organisatoriske beredskab er et afgørende led i at etablere en organisation, der i tilstrækkelig grad kan identificere og mitigere potentielle risici for energiforsyningen. Det vurderes derfor hensigtsmæssigt, at der vil kunne fastsættes regler om, at omfattede virksomheder skal have klare rammer for risikostyring, hvor både relevante trusler og sårbarheder løbende kan identificeres og styres, og hvor tekniske, fysiske og organisatoriske foranstaltninger evalueres. Denne form for risikostyring, hvor sikkerhedsrisici vil indgå som et centralt element i virksomhedens beslutninger, vurderes ligeledes at burde indgå som en del af virksomhedens beslutninger om væsentlige ændringer i deres systemer, i deres leverandørforhold og i beslutninger vedrørende nye projekter, der vurderes at have betydning for processer eller funktioner, der er kritiske for leveringen af virksomhedens tjeneste.

3.2.4.1.1. Risikostyring

Klima-, Energi- og Forsyningsministeriet foreslår, at ministeren bemyndiges til at fastsætte regler om, at virksomheder vil skulle udarbejde politikker for risikostyring, der skal identificere og vurdere de væsentligste risici for virksomhedens organisation, net- og informationssystemer og infrastruktur, således at risikostyringen forankres på det organisatoriske plan i virksomhederne. Den risikobaserede tilgang vil dermed være en overordnet ramme for de foreslåede bestemmelser i §§ 6-8 og for arbejdet med at udarbejde risikovurderinger og gennemføre de foreslåede foranstaltninger.

Der vil kunne fastsættes regler om, at virksomhederne vil skulle underrette relevante medarbejdere om de identificerede risici, og identificere hvem, der er ansvarlige for at implementere foranstaltningerne. Således vil der med den foreslåede § 6, stk. 2, nr. 1-2, blive fastsat krav om en tydelig ansvarsdeling, hvor ledelsen vil kunne gøres ansvarlig for virksomhedens overordnede risikostyring, og som skal understøtte, at der vil kunne iværksættes passende tiltag til styring af risici efter reglerne i lovforslagets § 23, stk. 2, nr. 1.

Det foreslås som led heri, jf. § 6, stk. 2, nr. 4, at virksomhederne vil skulle udpege en beredskabskoordinator, en cyberkoordinator og et operationelt kontaktpunkt, som bl.a. skal sikre en effektiv kommunikation med myndighederne i krisesituationer. Det foreslås således, at nuværende ordning for udpegelsen af beredskabsroller vil blive videreført i vidt omfang i udmøntningen af bemyndigelsesbestemmelsen. Det vurderes dog hensigtsmæssigt fremover at ændre betegnelsen it-beredskabsansvarlig til cyberkoordinator.

Med henblik på at understøtte en bredt forankret sikkerhedsorganisation vil der kunne fastsættes regler om, at virksomhederne vil skulle indføre procedurer, der følger en fast kadence, og som skal understøtte de tekniske foranstaltninger, som virksomhederne iværksætter. Dette vil eksempelvis indebære, at virksomhederne løbende vil skulle tage stilling til risici- og sårbarheder i bl.a. firewalls, leverandørforhold og informationsstrømme, og at virksomhederne vil skulle have politikker og procedurer for fx patching og opdateringer, der skal imødegå sårbarheder.

Det foreslås, at disse procedurer vil skulle indgå i virksomhedens politik for risikostyring og skal bl.a. understøtte sikkerheden af virksomhedernes net- og informationssystemer og kritiske anlæg.

For at sikre at det kun er de medarbejdere, der har arbejdsbetinget behov, som har adgang til kritiske anlæg og net- og informationssystemer, vil der med hjemmel i det foreslåede § 6, stk. 2, nr. 3 samt § 8, stk. 2, nr. 10, kunne blive fastsat regler om, at virksomhederne vil skulle have politikker og foranstaltninger for adgangsstyring. Der vil således skulle være klart definerede regler for hvilke medarbejdere eller medarbejdergrupper, der kan tilgå forskellige dele af et anlæg eller net- og informationssystemer. Dette vil indebære, at virksomhederne vil skulle have procedurer for, hvordan adgange til kritiske anlæg og net- og informationssystemer tildeles, ændres og lukkes for både virksomhedens egne medarbejdere såvel som leverandører. Samtidig vil der vil kunne fastsættes regler om, at virksomhederne vil skulle føre log over denne adgang.

Med henblik på at gøre disse sikkerhedsforanstaltninger til en fast del af virksomhedens drift forventes det ved udmøntningen, at disse procedurer og de etablerede foranstaltninger vil skulle være genstand for et fast kontrolregime.

3.2.4.1.2. Risiko- og sårbarhedsvurderinger

Klima-, Energi- og Forsyningsministeriet foreslår, at der vil kunne fastsættes regler om at virksomhedernes risiko- og sårbarhedsvurderinger og handlingsplaner vil skulle gennemgås med fast interval, eller når nye risici, trusler eller sårbarheder erkendes samt ved væsentlige ændringer af virksomhedens organisation, kritiske net- og informationssystemer eller infrastruktur eller ved ændringer i trusselsbilledet. Det er hensigten, at bemyndigelserne i § 6, stk. 2, nr. 6, udmøntes i nærmere regler, hvorefter vurderingen af cybersikkerhedsrisici, organisatoriske risici og fysiske risici vil skulle koordineres med virksomhedernes opdateringer af deres risiko- og sårbarhedsvurderinger. Der vil ligeledes kunne fastsættes regler om, at udarbejdelsen af risiko- og sårbarhedsvurderingerne af henholdsvis forhold, der vedrører cybersikkerhed og fysisk sikring vil skulle følge samme kadence for udarbejdelse og indsendelse til Energistyrelsen. Den forventede udmøntende ordning vil således understøtte virksomhedernes modstandsdygtighed, ved at der sikres sammenhæng i virksomhedernes risikostyring af fysiske og cyberrelaterede trusler og sårbarheder.

3.2.4.1.3. Risikovurdering af projekter

Det er et væsentligt element i den fremadrettede beredskabsregulering, at virksomhedernes arbejde med risikostyring vil indebære, at virksomhederne vil skulle tage stilling til relevante sikkerhedsrisici i forbindelse med projekter og leverandøraftaler, der har mulighed for at påvirke leveringen af tjenesten. Denne påvirkning kan enten være på grund af mulig påvirkning af kritiske dele af organisationen, net- og informationssystemer, der har betydning for leveringen af tjenesten eller som følge af større anlægsprojekter. Derfor foreslås det, jf. § 6, stk. 2, nr. 6, at der vil kunne fastsættes krav om, at virksomhederne vil skulle foretage en risikovurdering af det pågældende projekt eller af leverandøraftalen, som omfatter en vurdering af eventuelle sikkerhedsrisici.

I sammenhæng med § 6, stk. 2, nr. 1, foreslås det derudover, at risikovurderingen vil skulle indgå i ledelsens beslutningsprocedurer, samt at der vil kunne fastsættes krav om, at ledelsen vil blive gjort ansvarlig for eventuelle risici for forsyningen, der er forbundet hermed. Den foreslåede ordning vil således understøtte, at sikkerhedshensyn tænkes ind i projekter fra starten, samt at risici for forsyningen og herved samfundet minimeres med direkte involvering af ledelsen.

3.2.4.1.4. Ledelsens pligter

Klima-, Energi- og Forsyningsministeriet finder det også væsentligt, at beredskabet ledelsesforankres. Det følger bl.a. af NIS 2-direktivet, at ledelsesorganer godkender foranstaltninger til styring af cybersikkerhedsrisici og fører tilsyn med deres gennemførelse. Klima-, Energi- og Forsyningsministeriet lægger vægt på, at det er væsentligt, at ledelsesorganer er sikkerhedsmæssigt bevidste og har en generel forståelse for beredskabet i deres organisation samt kender deres ledelsesmæssige ansvar. Dette skal være med til at sikre, at arbejdet med virksomhedens modstandsdygtighed tildeles ledelsesfokus, og at ledelsen såvel som medarbejdere har de nødvendige faglige kompetencer og viden til at træffe beslutninger vedrørende risikostyring i forhold til sikkerhedstrusler og sårbarheder.

Det foreslås, at der vil kunne fastsættes krav om, at virksomhedernes ledelse vil skulle tage stilling til virksomhedens vurdering af cybersikkerhedsrisici og sikkerhedsrisici mod kritisk infrastruktur som en fast del af virksomhedens arbejde med risikostyring. Den foreslåede ordning vil medføre, at virksomhedens ledelse vil skulle have et samlet risikobillede, der repræsenterer kendte og mulige risici mod produktionen, forsyningen eller leveringen af tjenesten. Ordningen vil desuden sikre, at den løbende stillingtagen til sikkerhedsrisici forankres hos virksomhedernes beslutningstagere.

Ligeledes foreslås det, at der vil kunne fastsættes krav om, at ledelsen vil skulle deltage i virksomhedens beredskabskoordinering med henblik på, at ledelsen har overblik over, hvordan virksomheden organiserer virksomhedens beredskab. I tråd med NIS 2-direktivets krav om at ledelsen skal gøres ansvarlige for foranstaltninger til styring af cybersikkerhedsrisici, vil der kunne fastsættes krav om, at ledelsen vil skulle godkende virksomhedens foranstaltninger til styring af risici mod forsyningen og gøres retligt ansvarlige for virksomhedens overtrædelse af forpligtelserne i beredskabsreguleringen. Med den foreslåede ordning går Klima-, Energi-, og Forsyningsministeriet dog videre end direktivet ved med § 6, stk. 2, nr.1, at foreslå, at der vil kunne fastsættes krav om, at ledelsen både vil skulle kunne gøres ansvarlige for foranstaltninger til styring af organisatorisk sikkerhed, fysisk sikring og cybersikkerhed på baggrund af den foreslåede § 23, stk. 1 og § 37, stk. 1, nr, 4. Heraf følger, at ledelsen også vil kunne gøres retligt ansvarlige for virksomhedernes overtrædelser af beredskabsreguleringen, uanset om der er tale om overtrædelser, der relaterer sig til den organisatoriske sikkerhed, den fysiske sikring af kritiske energiinfrastruktur eller om der er tale om cybersikkerhed. Dette foreslås ud fra en betragtning om, at organisatoriske forhold, cybersikkerhed og fysisk sikring er lige kritiske, samt at det i praksis kan være svært at sondre mellem en overtrædelse, der vedrører det organisatoriske, cybersikkerhed eller fysik sikring.

NIS 2-direktivet stiller derudover krav om, at ledelsen følger kurser, der gør dem i stand til at vurdere risici og styring af cybersikkerhedsrisici. Med lovforslagets § 6, stk. 2, nr. 2, foreslås at udvide dette krav således at der vil kunne fastsættes krav om, at ledelsen i danske energiselskaber ville skulle tilegne sig en tilstrækkelig viden inden for styring af risici, der relaterer sig til cybersikkerhed såvel som fysisk sikring, god sikkerhedskultur og beredskab. Dette vil understøtte, at vurderingen af sikkerhedsrisici indgår i virksomhedens løbende risikostyring. Den foreslåede ordning vil således sikre, at ledelsen er i stand til at træffe beslutninger på et oplyst grundlag og stille kritiske spørgsmål.

3.2.4.1.5. Beredskabsplanlægning

Det foreslås at der vil kunne fastsættes krav om, at virksomhederne vil skulle foretage den nødvendige beredskabsplanlægning, således at virksomhederne udarbejder beredskabsplaner, der er baseret på risiko- og sårbarhedsvurderingerne, og som beskriver relevante tiltag, der skal sikre virksomhedens modstandsdygtighed og kontinuiteten af forsyningen. Det er desuden hensigten, at bemyndigelserne i § 6, stk. 2, nr. 8, udmøntes til at omfatte beredskabssituationer, der i væsentlig grad reducerer funktionaliteten i virksomheden og eventuelt øvrige dele af energisektoren eller af samfundet. Den foreslåede ordning vil i vidt omfang videreføre gældende ret for udarbejdelse og indhold af beredskabsplaner.

3.2.4.1.6. Modstandsdygtighed og krisestyring

Krisestyring, hændelseshåndtering og genopretning er vital for at øge samfundets robusthed og opretholde forsyningssikkerheden. På den baggrund foreslås det i § 6, stk. 2, nr. 8, § 7, stk. 2, nr. 4, samt § 8, stk. 2, nr. 5-6 og nr. 11, der vil kunne fastsættes krav til virksomhedernes planer for genoprettelse af virksomhedens tjenester, herunder net- og informationssystemer, komponenter og anlæg samt til de tekniske og organisatoriske foranstaltninger, der skal sikre en effektiv hændelseshåndtering. Dette vil indebære, at der vil kunne fastsættes krav om, at der etableres og dokumenteres procedurer for hændelseshåndtering.

Det foreslås derudover, at der vil kunne fastsættes krav om, at de relevante beredskabsforanstaltninger vil skulle trænes og at virksomhederne vil skulle foretage øvelsesplanlægning. Det er hensigten med bemyndigelsen i § 6, stk. 2, nr. 9, at der vil kunne fastsættes regler om, at gældende krav til øvelsesplanlægning, afholdelse og -evaluering i vidt omfang vil skulle videreføres.

Det foreslås, at der vil skulle sikres sammenhæng mellem træningen af det klassiske beredskab og cyberberedskabet. Klima-, Energi- og Forsyningsministeriet foreslår således, at der vil kunne fastsættes krav om, at der vil skulle ske koordinering af øvelser, der træner henholdsvis det klassiske beredskab og cyberberedskab, og at de fremover følger samme kadence for afholdelse, evaluering og indsendelse til Energistyrelsen.

Det foreslås desuden, at der vil kunne fastsættes krav om, at Energinet fortsat vil skulle afholde beredskabsøvelser for el- og naturgassektoren, og at Energistyrelsen vil være ansvarlig for at afholde beredskabsøvelser for de sektorer, der ikke tidligere har været omfattet af krav om beredskab og cybersikkerhed.

Endvidere foreslås det, at der vil kunne fastsættes krav om, at relevante leverandører vil skulle deltage i de øvelser, hvor de vurderes at have en rolle i tilfælde af en hændelse. Udmøntningen af bemyndigelsen i § 6, stk. 2, nr. 7, vil understøtte, at både virksomhederne og deres leverandører er bevidste om deres ansvar i tilfælde af en hændelse. Det er væsentligt, at beredskabsplanlægningen klart definerer roller og ansvar for de involverede i håndteringen af en beredskabssituation. Ligeledes er det væsentligt, at disse roller koordinerer virksomhedens beredskabsforanstaltninger på tværs af forretningsområder. For el- og naturgassektorerne vil den nuværende praksis blive videreført med hensyn til Energinets ansvar for at udarbejde risiko- og sårbarhedsvurderinger, sammenfattende beredskabsplaner og sektorberedskabsplaner for henholdsvis det sammenhængende elforsyningssystem og gasforsyningssystem.

3.2.4.1.7. Hændelseshåndtering og genopretning

Som det også understreges i NIS 2- og CER-direktiverne, er klare procedurer for hændelseshåndtering essentielt i en beredskabssituation og skal bidrage til, at organisationen kan opretholde eller genoprette driften oven på hændelsen. Det er ligeledes væsentligt, at ledelsen prioriterer midler til hændelseshåndtering og genopretning, samt at ledelsen er bevidst om dennes rolle i organisationens krisestyring. Samtidig skal hændelseshåndteringen muliggøre koordination på tværs af aktører og myndigheder, således at andre organisationer er informeret om truslen, og risikoen for at denne kan sprede sig til andre organisationer.

I energisektoren er det ikke altid muligt at skelne mellem en beredskabssituation, der aktiverer det fysiske beredskab eller cyberberedskabet eller udvikler sig på en måde, der involverer begge typer beredskaber. For at imødekomme dette, og for at understøtte en effektiv krisestyring, foreslår Klima-, Energi- og Forsyningsministeriet, at der vil kunne fastsættes ens krav til begge typer hændelseshåndteringer og -indberetninger. Ligeledes foreslås det, at der i risikostyringen og i beredskabsplanlægningen vil skulle være en højere grad af sammenhæng mellem den fysiske sikkerhed og cybersikkerhed, end det er tilfældet efter den gældende regulering.

3.2.4.2. Fysisk sikring

Fysisk sikring af anlæg medvirker til at forsinke eller besværliggøre hændelser, herunder spionage og anden uautoriseret adgang, der kan kompromittere anlæggets sikkerhed og potentielt påvirke forsyningssikkerheden. Derudover kan en helhedsorienteret fysisk sikring af anlæg medvirke til at understøtte den logiske sikkerhed af energiinfrastrukturen. I den gældende beredskabsregulering stilles udelukkende krav om fysisk sikring af ubemandede klasse 1-anlæg, som er de mest forsyningskritiske anlæg efter gældende regulering. Klima-, Energi- og Forsyningsministeriet vurderer imidlertid, at bemanding af anlæg ikke nødvendigvis giver en tilstrækkelig sikkerhed, hvorfor der fremover også bør stilles krav til den fysiske sikring af bemandede anlæg.

Klimaforandringerne introducerer en øget fysisk risiko i form af naturkatastrofer og ekstreme vejrforhold samt langsigtede ændringer i klimaforholdene. Dette kan have betydning for energiinfrastrukturens kapacitet, effektivitet og levetid. Det følger af CER-direktivet, at virksomhederne i deres beredskab skal forholde sig til bl.a. klimatilpasningsforanstaltninger.

Digitaliseringen af energiinfrastruktur betyder, at infrastrukturen er forbundet i netværk. Dermed kan en hændelse i ét anlæg have konsekvenser for andre anlæg. Dette gør energiinfrastruktur sårbar over for cyberangreb, men det betyder også, at den fysiske sikkerhed er afgørende for at forhindre adgang til de dele af anlæggene, der er tilkoblet et samlet system. I det omfang et anlæg har netværksadgang til et større net eller system, introducerer disse også en potentiel sårbarhed. I denne sammenhæng kan mindre anlæg, der ikke er tilstrækkeligt sikret, være medvirkende til en kompromittering af fx et sammenhængende elnet.

Det hybride trusselsbillede bevirker, at virksomheder i energisektoren skal have et højt niveau af modstandsdygtighed over for både naturlige og menneskeskabte farer, hvad enten de er hændelige eller tilsigtede. Dette indebærer også, at virksomhederne skal sikre, at deres anlæg og infrastruktur kan modstå stadigt hyppigere ekstreme vejrhold, som intensiveres af klimaforandringerne.

På den baggrund foreslår Klima-, Energi- og Forsyningsministeriet, at der vil kunne fastsættes krav om, at virksomhederne vil skulle vurdere de risici mod deres infrastruktur, der er forbundet med naturkatastrofer og ekstreme vejrforhold, som klimaforandringerne intensiverer. Således foreslås det i § 7, stk. 2. nr. 1, at virksomhedernes sikringsforanstaltninger vil skulle minimere risikoen for hændelser ved at sikre, at deres anlæg og kritiske systemer har lav sårbarhed gennem katastroferisikoreduktions- og klimatilpasningsforanstaltninger. Kravet er således en implementering af CER-direktivets krav til samme.

Med den foreslåede ordning, vil der kunne fastsættes krav om, at virksomhedernes sikringsforanstaltninger derudover vil skulle understøtte, at anlæg og net- og informationssystemer med betydning for leveringen af tjenesten beskyttes mod uautoriseret adgang. Den fysiske sikring af anlæg og net- og informationssystemer vil skulle medvirke til at forsinke eller besværliggøre uautoriseret adgang inden for rammerne af sektoransvaret. Med bestemmelsen i § 7, stk. 2, nr. 2-3 foreslås det, at der vil kunne fastsættes krav om, at virksomhederne på baggrund af egne risikovurderinger vil skulle etablere den nødvendige fysiske sikring i form af passende perimetersikring rund om anlægget, skalsikring af selve anlægget og cellesikring af udvalgte rum eller komponenter i anlægget.

Som følge af den foreslåede bemyndigelse, vil der kunne fastsættes krav om, at virksomhederne vil skulle sikre, at de får en alarm, hvis nogen forsøger uautoriseret at tilgå deres anlæg, bygninger og installationer. Virksomheden vil skulle kunne verificere, at der er tale om forsøg på uautoriseret adgang, samt kunne alarmere vagtselskaber, politi eller lignende via en certificeret vagtcentral, afhængig af karakteren af uautoriseret adgang. Både detektion, verifikation og alarmering vil skulle ske hurtigt og kvalificeret.

Med henblik på at sikre sammenhæng mellem den logiske og fysiske sikring af energiinfrastrukturen foreslås det i § 7, stk. 2, nr. 2-3 samt i § 8, stk. 2, nr. 1, at der vil kunne fastsættes krav om, at der stilles krav om at netværksudstyr, der ikke i sig selv har betydning for leveringen af tjenesten, men som giver mulighed for logisk adgang til net- og informationssystemer med betydning for leveringen af tjenesten, vil skulle have fysisk sikring. Et sådan krav, vil skulle medvirke til at minimere risikoen for, at uvedkommende kan få adgang til net- og informationssystemer med betydning for leveringen af tjenesten gennem netværksudstyret placeret på andre lokationer. Tilstrækkelig fysisk sikring kan bidrage til at minimere konsekvenserne af uautoriseret adgang. I den sammenhæng foreslås det, at virksomhederne vil skulle være i stand til at detektere og alarmere.

Derudover foreslås det med § 7, stk. 2, nr. 4, at der vil kunne fastsættes krav om, at virksomhederne skal etablere procedurer for hændelseshåndtering, som sikrer, at deres anlæg og kritiske systemer er i stand til at videreføre forretningen eller hurtigst muligt komme på fode igen. Det foreslås derfor, at beredskabsplanlægningen vil skulle indeholde planer og procedurer for, hvordan de reagerer på en sådan alarm. Det foreslås desuden, at de nuværende krav til sikringsplaner og genopretning i vidt omfang videreføres.

3.2.4.3. Cybersikkerhed

3.2.4.3.1. Industrielle kontrolsystemer

Inden for en række energivirksomheders net- og informationssystemer er der industrielle kontrolsystemer, som benyttes til at overvåge og styre forsyningsprocesser (fx spændingsniveau, temperatur og tryk). Industrielle kontrolsystemer forstås her som digital overvågning og styring af fysiske systemer. Således kan industrielle kontrolsystemer fx forstås som en betegnelse for it-systemer (informationsteknologi) eller elementer heraf, der overvåger og kontrollerer enkelte OT-systemer (operationel teknologi). Operationel teknologi er de programmerbare digitale systemer eller enheder, der interagerer med det fysiske miljø eller styrer enheder, der interagerer med det fysiske miljø. Dette kan fx være SCADA-systemer, SRO-systemer samt PLC'er og RTU'er.

Nogle af disse industrielle kontrolsystemer har - i modsætning til normale it-systemer - typisk en lang levetid på op mod 30-40 år, og kan være svære at hærde og dermed gøre mindre sårbare over for kompromittering, da det kan forstyrre produktionen at sikkerhedsopdatere produkterne. Det gør systemerne særligt sårbare, hvis en angriber får adgang til systemerne. Udviklingen går i retning af, at de kontrolsystemer, der styrer de fysiske processer, smeltes sammen med øvrige dele af virksomhedernes netværk, og at der skabes flere indgange til kontrolsystemerne end tidligere. Klima-, Energi-, og Forsyningsministeriet vurderer derfor, at det er væsentligt, at de industrielle kontrolsystemer beskyttes, og at virksomhederne har overblik og styring i forhold til bl.a. netværksarkitektur, adgang, integrationspunkter, autentificering og logning. På den baggrund foreslås det i § 7, stk. 2, nr. 2-3 samt i § 8, stk. 2, nr. 1-3, at der stilles skærpede krav til både den logiske og fysiske sikring af kritiske net- og informationssystemer samt til den geografiske placering af disse.

3.2.4.3.2. Internetforbundne enheder og fjernadgange

Der ses et øget brug af internetforbundne enheder, som skal understøtte øget produktions- og forbrugsfleksibilitet samt datadeling. Større dele af den infrastruktur og de systemer, som understøtter produktion, transmission, distribution og monitorering af energi, forbindes enten direkte eller indirekte til internettet. Denne udvikling er med til at skabe nye angrebsvinkler og mulige sårbarheder, som kan påvirke processer med betydning for leveringen af tjenesten. Det er samtidig gradvist blevet mere udbredt at udføre opgaver inden for de kritiske net- og informationssystemer via fjernadgange. Det er således ofte ikke nødvendigt, at operatører befinder sig i virksomhedens kontrolcenter eller på transformerstationen for at udføre systemopgaver, da det i flere tilfælde kan udføres fx hjemmefra hos leverandøren. Det betyder dog samlet set, at angrebsfladen vokser. I § 8, stk. 2, nr. 10 foreslås det derfor, at der vil kunne fastsættes krav om fremover stilles skærpede tekniske og organisatoriske krav til, hvordan fjernadgang kan benyttes på en sikker måde.

3.2.4.3.3. Leverandørstyring

Mange energiselskaber er afhængige af leverandører, som selv typisk er afhængige af underleverandører, hvilket skaber lange leverandørkæder. Dette kan gøre energiselskaberne sårbare over for supply chain-angreb og udbredelsen af sårbarheder i leverandørernes produkter. Sårbarhederne i forhold til angreb i leverandørkæden understreger, at der er behov for at stille skærpede krav til leverandørforhold ligesom NIS 2-direktivet stiller krav om forsyningskædesikkerhed. Med den foreslåede § 6, stk. 2, nr. 7, vil der kunne fastsættes krav om, at virksomhederne inddrager vurderingen af eventuelle risici for forsyningssikkerheden i beslutninger om leverandøraftaler, samt at leverandørerne bliver bevidste om deres betydning for forsyningssikkerheden i en eventuel beredskabssituation.

Derudover ses en tendens hos nogle virksomheder i energisektoren mod outsourcing, hvilket kan medføre at net- og informationssystemernes sårbarhed over for cyberspionage og cyberkriminalitet øges. For at understøtte en tilstrækkelig sikkerhed i forhold til hvem, der har adgang til virksomhedernes net- og informationssystemer og for at undgå kompromittering af disse, foreslås det i § 8, stk. 2, nr. 3, at der vil kunne fastsættes krav til hvordan outsourcing kan ske på forsvarlig vis, herunder at der vil ske en afgrænsning af, til hvilke lande der kan foretages outsourcing af driften af kritiske net- og informationssystemer.

Det er essentielt, at virksomhederne vurderer risici for forsyningssikkerheden ved indgåelse af leverandøraftaler. Det foreslås derfor i § 6, stk. 2, nr. 7, at der vil kunne fastsættes krav om, at virksomhederne vil skulle stille krav til deres leverandører af tjenester, net- og informationssystemer, komponenter og anlæg, der understøtter processer med betydning for leveringen af tjenesten. Det er således hensigten med den foreslåede bemyndigelse, at leverandøren overholder beredskabsreguleringen for så vidt angår de leverancer, der har betydning for leveringen af tjenesten, samt at virksomhederne fører kontrol hermed. For at understøtte at sikkerhedsrisici udgør et væsentligt parameter i beslutninger vedrørende leverandøraftaler, foreslås det i § 6, stk. 2, nr. 6-7 og i § 8, stk. 2, nr. 4, at der vil kunne fastsættes krav om, at virksomhederne vil skulle stille krav til deres leverandører på baggrund af en risikovurdering af den pågældende aftale, herunder en vurdering af leverandøren samt kritikaliteten af de tjenester, net- og informationssystemer, komponenter eller anlæg, der vil blive påvirket af den pågældende aftale. Derudover foreslås det, at der vil kunne fastsættes krav om, at de sikkerhedsrisici, der er forbundet med leverandør- og outsourcingaftaler, gøres klart for ledelsen i den pågældende virksomhed, således at denne kan træffe beslutninger på et oplyst grundlag, jf. den foreslåede § 6, stk. 2, nr. 1.

3.2.4.3.4. Awareness og uddannelse

For at sikre et højt niveau af sikkerhed af virksomhedens kritiske systemer, infrastruktur og anlæg foreslås det med § 6, stk. 2, nr. 10, at der vil kunne fastsættes krav om, at virksomhederne vil skulle indføre cybersikkerhedsuddannelse og awareness-tiltag for virksomhedens medarbejdere. Det er således hensigten med udmøntningen af bemyndigelsen, at virksomhederne fastsætter et ambitiøst niveau for, hvordan sikkerhedshensyn og de risici, der er forbundet med det hybride trusselsbillede, gøres til en central del af medarbejdernes bevidsthed, samt hvordan medarbejderne bør agere for at beskytte kritiske systemer, informationer, infrastruktur og anlæg.

3.2.4.3.5. Backup og logning

For at sikre tilstrækkelig og hurtig reetablering efter en hændelse er det centralt, at virksomheden har backup-styring, da backup fungerer som virksomhedens livslinje i tilfælde af fx et cyberangreb, hvor virksomheden har mistet data. Idet nedetid typisk er kritisk i energisektoren, er genoprettelse af systemer fra backup, samt procedurer for hvordan man sikrer netværket mod yderligere kompromittering, essentiel. Det foreslås derfor i § 8, stk. 2, nr. 5, at der vil kunne fastsættes krav om, at virksomhederne vil skulle have backup-styring. Derudover foreslås det i § 8, stk. 2, nr. 6, at der vil kunne fastsættes krav om, at virksomhederne vil skulle have en logpolitik for hvilke aktiviteter og datastrømme, der skal logges, samt have etableret tekniske værktøjer, der foretager den relevante logning, som bl.a. kan understøtte hændelseshåndtering og efterfølgende hændelsesopklaring. For de virksomheder, der er mere kritiske for energiforsyningen, foreslås det derudover, at virksomheden løbende og risikobaseret vil skulle monitorere netværket, således at man er i stand til at opdage uregelmæssigheder i net- og informationssystemer i realtid.

3.2.4.3.6. Netværkssikkerhed

Med § 8, stk. 2, nr. 1-2, foreslås det, at der vil kunne fastsættes krav til virksomhedernes netværkssikkerhed, herunder at virksomhederne skal indføre passende netværkssegmentering, der opdeler net- og informationssystemer i netværk eller zoner ud fra en vurdering af systemernes relationer og funktioner. Gennem netværkssegmentering sikrer virksomhederne sig, at de kritiske dele af netværket bliver adskilt fra fx internettet. På den måde sikrer virksomheden sig bedre imod, at et angreb ikke spreder sig og dermed påvirker leveringen af tjenesten. For de virksomheder, der er mere kritiske for energiforsyningen, foreslås det, at segmenteringen vil skulle være fysisk. Med henblik på at understøtte netværkssikkerheden foreslås det desuden, at virksomhederne vil skulle have overblik og styring over arkitektur og datatrafik, herunder eventuelle integrationspunkter, internetvendte enheder og firewall-regler.

Med den foreslåede ordning vil der blive stillet krav til virksomhedernes brug af fjernadgang til net- og informationssystemer med betydning for leveringen af tjenesten. Det er blevet mere udbredt at benytte fjernadgange til at tilgå net- og informationssystemer, og det kan i mange tilfælde også være med til at højne sikkerheden. Denne udvikling bevirker imidlertid, at angrebsfladen vokser, hvorfor det i § 8, stk. 2, nr. 10, foreslås, at der bl.a. vil kunne fastsættes krav om, at fjernadgang til virksomhedernes net- og informationssystemer gør brug af multifaktorgodkendelsesløsninger. Samtidig foreslås det, at fjernadgang til kontrolrum med mulighed for styring af net- og informationssystemer med betydning for leveringen af tjenesten, kun må ske under specifikke forudsætninger såsom kryptering og såfremt, der er tale om tidsbegrænsede og personlige adgange. På den måde etableres der sikre procedurer for, hvordan fx leverandører får adgang til de kritiske systemer.

Derudover foreslås det med § 8, stk. 2, nr. 9, at der vil kunne fastsættes krav om, at datatrafik på virksomhedens trådløse netværk vil skulle være krypteret med en tidssvarende løsning. Det foreslås således, at der vil kunne fastsættes regler om kryptering og politikker og procedurer, der skal understøtte, at virksomhedens net- og informationssystemer behandles med den nødvendige fortrolighed, og at risikoen for kompromittering minimeres. Efter den foreslåede § 8, stk. 2, nr. 7, vil der kunne fastsættes krav om, at virksomhederne ligeledes vil skulle forholde sig til beskyttelse på mobile enheder. Dette kan være på fx PC, mobiltelefoner og tablets. Dette krav stilles ud fra en betragtning om, at beskyttelse på mobile enheder er et væsentligt element for virksomhedernes samlede sikkerhed. Konkret foreslås det, at der stilles krav om, at mobile enheder bl.a. er adgangskodebeskyttet, softwareopdateret og efter relevans antivirusbeskyttet.

3.2.4.3.7. Outsourcing

I den nuværende regulering stilles der krav om ejerskab af data, men der stilles ikke krav til hvem og hvor, outsourcingen kan ske til. I NIS 2 - og CER-direktiverne sættes der nye krav til virksomhedernes forsyningskædesikkerhed og leverandørstyring, men der sættes ikke krav til placeringen af drift af net- og informationssystemer. Den foreslåede ordning går således videre end direktiverne, idet det i § 6, stk. 2, nr. 3, foreslås, at der vil kunne fastsættes krav om, at servere og datacentre, der understøtter virksomhedernes kritiske net- og informationssystemer med betydning for leveringen af tjenesten på nationalt og europæisk niveau vil skulle være underlagt EU/EØS-jurisdiktion. Det er således hensigten med den foreslåede bemyndigelse, at der ikke skabes afhængigheder, som kan sætte leveringen af tjenesten under pres. Dette kan fx være i tilfælde af en ændret geopolitisk situation. Formålet med den foreslåede ordning er bl.a., at det vil være EU/EØS-regulering - og dermed ikke andre landes lovgivning - der regulerer adgang til og drift af kritiske net- og informationssystemer.

3.3. Underretning

3.3.1. Gældende ret

For el- og naturgassektoren er der fastsat regler om underretning af hændelser for klassisk beredskab i elberedskabsbekendtgørelsens § 23 og i naturgasberedskabsbekendtgørelsen § 23. Reglerne om underretning af hændelser for it-beredskabet fremgår af it-beredskabsbekendtgørelsens § 21.

For oliesektoren er der fastsat regler om underretning af beredskabsmæssige hændelser i olieberedskabsbekendtgørelsens § 14. Olieberedskabsbekendtgørelsen vedrører både hændelser for klassisk beredskab og it-beredskab.

Det fremgår af bekendtgørelserne for både it-beredskab og klassisk beredskab, at der skal foretages meddelelse om hændelser, der i væsentlig grad reducerer funktionaliteten hos den berørte juridiske person. Bekendtgørelserne stiller også krav om, at de berørte juridiske personer efter en hændelse skal udarbejde en hændelsesevaluering, som skal fremsendes til myndighederne.

Der stilles kun krav om underretning af hændelser i el-, gas- og oliesektoren inden for energisektoren.

3.3.2. CER-direktivet

Det følger CER-direktivets artikel 15, stk. 1, at kritiske enheder uden unødigt ophold underretter den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af væsentlige tjenester. Medlemsstaterne sikrer, at kritiske enheder, med mindre det operationelt ikke er muligt, indgiver en første underretning senest 24 timer, efter at være blevet opmærksom på en hændelse, efterfulgt, hvor det er relevant, af en detaljeret rapport senest en måned derefter. Med henblik på at fastslå en forstyrrelses omfang tages navnlig følgende kriterier i betragtning: a) antallet og andelen af brugere, der er berørt af forstyrrelsen, b) forstyrrelsens varigheden, c) det geografiske område, der er berørt af forstyrrelsen, idet der tages hensyn til, om det er et geografisk isoleret område. Hvor en hændelse har eller kunne have betydelig indvirkning på kontinuiteten i leveringen af væsentlige tjenester til eller i seks eller flere medlemsstater, underretter de kompetente myndigheder i de medlemsstater, der er berørt af hændelsen, EU-Kommissionen om en denne hændelse.

Det følger desuden af artikel 15, stk. 2, at underretninger som omhandlet i stk. 1, første afsnit, skal indeholde alle tilgængelige oplysninger, der er nødvendige for, at den kompetente myndighed kan forstå hændelsens art, årsag og mulige konsekvenser, herunder alle tilgængelige oplysninger, der er nødvendige for at fastslå hændelsens eventuelle grænseoverskridende indvirkning. Sådanne underretninger medfører ikke et øget ansvar for kritiske enheder.

Endeligt følger det af artikel 15, stk. 4, at så snart som muligt efter modtagelse af en underretning, som omhandlet i stk. 1, giver den kompetente myndighed den berørte kritiske enhed relevante opfølgende oplysninger, herunder oplysninger, som kunne understøtte en effektiv reaktion fra denne kritiske enhed på den pågældende hændelse. Medlemsstaterne orienterer offentligheden, hvor de vurderer, at det vil være i offentlighedens interesse at gøre det.

3.3.3. NIS 2-direktivet

Det følger af NIS 2-direktivets artikel 23, stk. 1, at væsentlige og vigtige enheder uden unødigt ophold underretter dens CSIRT (Computer Incident Response Team) eller i givet fald dens kompetente myndighed i overensstemmelse med stk. 4 om enhver hændelse, der har en væsentlig indvirkning på leveringen af deres tjenester som omhandlet i stk. 3 (væsentlig hændelse). Hvor det er relevant, underretter de pågældende enheder uden unødigt ophold modtagerne af deres tjenester om væsentlige hændelser, der sandsynligvis vil påvirke leveringen af disse tjenester negativt. Hver medlemsstat sikrer, at disse enheder indberetter bl.a. alle oplysninger, der gør det muligt for CSIRT'en, eller i givet fald den kompetente myndighed, at fastslå eventuelle grænseoverskridende virkninger af hændelsen. Underretningen i sig selv medfører ikke et øget ansvar for den underrettende enhed.

Hvor de berørte enheder underretter den kompetente myndighed om en væsentlig hændelse i henhold til første afsnit, sikrer medlemsstaten, at den pågældende kompetente myndighed videresender underretningen til CSIRT'en på tidspunktet for modtagelsen.

I tilfælde af en grænseoverskridende eller tværsektoriel væsentlig hændelse sikrer medlemsstaterne, at deres centrale kontaktpunkter rettidigt forsynes med relevante oplysninger, som der er givet underretning om i overensstemmelse med stk. 4.

Det følger desuden af artikel 23, stk. 2, at væsentlige og vigtige enheder uden unødigt ophold meddeler modtagerne af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, eventuelle foranstaltninger eller modforholdsregler, som disse modtagere kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal enhederne også informere de pågældende modtagere om selve den væsentlige cybertrussel.

Det følger endvidere af artikel 23, stk. 4, at de berørte enheder med henblik på den i stk. 1 omhandlede underretning fremsender følgende til CSIRT'en eller i givet fald den kompetente myndighed:

a) uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at have fået kendskab til den væsentlige hændelse en tidlig varsling, som i givet fald skal angive, om den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning,

b) uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at have fået kendskab til den væsentlige hændelse, en hændelsesunderretning, som i givet fald skal ajourføre de oplysninger, der er omhandlet under litra a), og give en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger,

c) efter anmodning fra en CSIRT eller i givet fald den kompetente myndighed en foreløbig rapport om relevante statusopdateringer,

d) en endelig rapport senest en måned efter forelæggelsen af den i litra b) omhandlede hændelsesunderretning, der skal omfatte følgende: i) en detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning, ii) den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen, iii) anvendte og igangværende afbødende foranstaltninger, iv) i givet fald de grænseoverskridende virkninger af hændelsen.

e) i tilfælde af at en hændelse pågår på tidspunktet for indgivelsen af den i litra d), omhandlede endelige rapport, sikrer medlemsstaterne, at berørte enheder forelægger en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter deres håndtering af hændelsen.

Desuden fastsætter artikel 23, stk. 5, at CSIRT'en eller den kompetente myndighed giver uden unødigt ophold og, hvor det er muligt, inden for 24 timer efter modtagelsen af den i stk. 4, litra a), omhandlede tidlige varsling den underrettende enhed et svar, herunder indledende tilbagemeldinger om den væsentlige hændelse og, efter anmodning fra enheden, vejledning eller operativ rådgivning om gennemførelsen af mulige afbødende foranstaltninger. Hvor CSIRT'en ikke er den oprindelige modtager af den i stk. 1 omhandlede underretning, gives vejledningen af den kompetente myndighed i samarbejde med CSIRT'en. CSIRT'en yder supplerende teknisk bistand, hvis den berørte enhed anmoder herom. Hvor den væsentlige hændelse mistænkes for at være af strafferetlig karakter, giver CSIRT'en eller den kompetente myndighed også vejledning om underretning om den væsentlige hændelse til retshåndhævende myndigheder.

Endelig fastsætter artikel 23, stk. 7, at hvor offentlighedens kendskab er nødvendig for at forebygge en væsentlig hændelse eller for at håndtere en igangværende væsentlig hændelse, eller hvor offentliggørelse af den væsentlige hændelse på anden vis er i offentlighedens interesse, kan en medlemsstats CSIRT eller i givet fald dens kompetente myndighed og, hvor det er relevant, CSIRT'erne eller de kompetente myndigheder i andre berørte medlemsstater efter høring af den berørte enhed informere offentligheden om den væsentlige hændelse eller kræve, at enheden gør det.

3.3.4. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

NIS 2-direktivets artikel 23 indeholder en forpligtelse for væsentlige og vigtige enheder til at foretage hændelsesunderretning, som i det væsentlige svarer til forpligtelserne i NIS 1-direktivet.

Enhederne skal således uden unødigt ophold underrette deres CSIRT eller kompetente myndighed om enhver hændelse, der har væsentlig indvirkning på leveringen af enhedens tjenester. Direktivet fastsætter nærmere kriterier for, hvornår en hændelse anses for at være væsentlig, herunder; a) hvis den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed, eller b) den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.

Direktivet fastsætter endvidere bestemte frister for, hvornår der skal afgives henholdsvis en tidlig varsling, en ajourføring heraf, en foreløbig rapport, eventuelt en statusrapport og en endelig rapport.

Som noget nyt i forhold til NIS 1-direktivet pålægger NIS 2-direktivet desuden væsentlige og vigtige enheder at informere modtagerne af deres tjenester (brugerne) om væsentlige hændelser, der sandsynligvis vil påvirke leveringen af disse tjenester negativt, samt - i tilfælde af en væsentlig cybertrussel - om eventuelle modforanstaltninger, som brugerne kan træffe.

Herudover foreskriver direktivet, ligesom NIS 1-direktivet, at myndighederne efter høring af den berørte enhed kan informere offentligheden om en væsentlig hændelse eller kræve, at enheden gør det, såfremt dette er nødvendigt eller i øvrigt i offentlighedens interesse. Det vurderes mest hensigtsmæssigt, at den nuværende rollefordeling i forhold til at informere offentligheden videreføres, således at det som udgangspunkt er Energistyrelsen, der foretager dette. CFCS inddrages ved hændelser, der kan påvirke flere sektorer, offentligheden, eller som har grænseoverskridende karakter.

Det vil skulle sikres, at offentligheden informeres på en ansvarlig måde, som ikke kompromitterer fortrolige oplysninger.

Det foreslås, at klima, energi- og forsyningsministeren vil kunne fastsætte regler om underretning og indrapportering af hændelser, væsentlige cybertrusler og nærvedhændelser. Efter forslaget vil de nærmere regler implementere NIS 2-direktivets artikel 23 om hændelsesrapporteringer og CER-direktivets artikel 15 om kritiske enheders underretningspligt. Med den foreslåede bemyndigelse vil der således kunne fastsættes nærmere regler for, til hvem underretning vil skulle ske, hvornår og hvor udførligt underretning vil skulle ske. Desuden vil der kunne fastsættes nærmere regler for, hvilke hændelser der skal indrapporteres.

Det foreslås herudover i overensstemmelse med artikel 23, stk. 1, 2. pkt., i NIS 2-direktivet, at klima, energi- og forsyningsministeren vil kunne fastsætte regler om, at virksomheder vil skulle underrette modtagerne af deres tjenester, myndigheder eller juridiske personer, som udfører myndighedsopgaver, om trusler eller hændelser, der kan påvirke eller har potentiale til at påvirke leveringen af deres tjenester. Der vil endvidere kunne fastsættes regler om, at virksomheder vil skulle oplyse modtagerne af deres tjenester, som potentielt er berørt af en væsentlig hændelse, om eventuelle foranstaltninger eller modforholdsregler, som modtagerne kan træffe som reaktion på den pågældende trussel og eventuelt også oplyse om selve truslen.

Klima-, Energi- og Forsyningsministeriet har i forbindelse med udformningen af den foreslåede bemyndigelse til at fastsætte regler om underretning og indrapportering af hændelser, væsentlige cybertrusler og nærvedhændelser overvejet om de regler, der vil kunne blive fastsat i medfør af bemyndigelsen vil være i overensstemmelse med § 10 i bekendtgørelse nr. 1121 af 12. november 2019 af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter (retssikkerhedsloven), om forbud mod selvinkriminering.

Bestemmelsen i § 10, stk. 1, i retssikkerhedsloven bygger bl.a. på artikel 6 i Den Europæiske Menneskerettighedskonvention. I den pågældende lovbestemmelse fastslås det, at en person, som mistænkes for en lovovertrædelse, der kan medføre straf, ikke i medfør af den øvrige lovgivning vil have pligt til at meddele oplysninger til en forvaltningsmyndighed, medmindre det kan udelukkes, at de oplysninger, der søges tilvejebragt, har betydning for bedømmelsen af den formodede lovovertrædelse.

Det er Klima-, Energi- og Forsyningsministeriets forventning, at det i forbindelse med efterlevelsen af reglerne om underretning og indrapportering vil fremgå klart i vejledningsmateriale, skabeloner og online formularer til brug for underretninger og indrapporteringer efter bemyndigelsen, at virksomheder i forbindelse med denne underretning eller indrapportering ikke vil være forpligtigede til at afgive oplysninger, der vil kunne inkriminere virksomheden i forhold til loven.

Det er således Klima-, Energi- og Forsyningsministeriets forventning, at underretningerne og indrapporteringerne vil have fokus på, hvad der er sket og ikke hvorfor det er sket. Underretningerne og indrapporteringerne vil dog forsat skulle overholde minimumskravene til indhold som fastsat i NIS 2-direktivets artikel 23 og CER-direktivets artikel 15.

Endelig foreslås det, at klima-, energi- og forsyningsministeren vil kunne informere offentligheden om den væsentlige hændelse eller kræve, at virksomheden gør det, hvis informering af offentligheden er nødvendig for at forebygge eller håndtere hændelsen, eller hvis information om hændelsen på anden måde er i offentlighedens interesse. I tilfælde, hvor hændelsen berører flere samfundsvigtige sektorer, herunder eventuelt også sektorer uden for lovens anvendelsesområde eller hvor der er tale om en hændelse i en anden EU-medlemsstat, forventes det at være den nationale CSIRT og centralt kontaktpunkt, der vil kunne informere offentligheden om den væsentlige hændelse.

Center for Cybersikkerhed (CFCS) blev ved implementeringen af NIS 1-direktivet udpeget som CSIRT i Danmark, og opgaven har hidtil været varetaget som en del af Netsikkerhedstjenesten i CFCS.

Med den kongelige resolution af 29. august 2024 er Center for Cybersikkerhed, bortset fra Netsikkerhedstjenesten, blevet overdraget til Ministeriet for Samfundssikkerhed og Beredskab. Det betyder, at Forsvarsministeriet, herunder FE, indtil videre bibeholder ansvaret for CSIRT-funktionen.

Forud for orientering af offentligheden vil virksomheden, der har underrettet om hændelsen, skulle høres, herunder med henblik på vurdering af, hvilke oplysninger der må betragtes som fortrolige. Ved overvejelse om orientering af offentligheden om en hændelse skal det sikres, at forvaltningslovens § 27 om offentligt ansattes tavshedspligt iagttages. Dette omfatter bl.a. hensynet til enkeltpersoners private forhold, forretningshemmeligheder samt hensynet til forebyggelse, efterforskning og forfølgning af lovovertrædelser.

Der sikres også i den foreslåede § 15 muligheden for, at personer og virksomheder, der ikke ellers er omfattet af lovens anvendelsesområde, frivilligt kan underrette klima-, energi- og forsyningsministen om hændelser, der har betydning for energisektoren. Disse frivillige underretninger efter § 15, foreslås undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og parts aktindsigt efter forvaltningsloven, i medfør af den foreslåede bestemmelse i lovforslagets § 27.

Forslaget om at undtage disse underretninger fra aktindsigt efter offentlighedsloven og forvaltningsloven, skyldes kravet i NIS 2-direktivets artikel 30, stk. 2, afsnit 2, om at de kompetente myndigheder og CSIRT'en beskytter fortroligheden af oplysningerne, ligesom den underrettende enhed ikke må pålægges nogen forpligtigelser, som den ikke ville være omfattet af, hvis den ikke havde fortaget underretningen. Klima-, energi- og forsyningsministeriet forslår at denne bestemmelse indføres, da det er ministeriets vurdering, at kravene i NIS 2-direktivets artikel 30, stk. 2, afsnit 2, bedst implementeres således.

Der henvises i øvrigt til de specielle bemærkninger til de foreslåede §§ 12-15 og § 27.

3.4. Baggrundskontrol og sikkerhedsgodkendelse

3.4.1. Gældende ret

Gældende ret på energiområdet indeholder ikke regler om, at der skal være mulighed for at få foretaget baggrundskontrol af personer i energisektoren. Enhver offentlig myndighed kan efter sikkerhedscirkulærets § 13 træffe afgørelse om sikkerhedsgodkendelse af ansatte i myndigheden og ansatte i private firmaer, der arbejder for den offentlige myndighed. Sikkerhedsgodkendelsen har kun gyldighed for den sikkerhedsgodkendte persons arbejde for den pågældende myndighed.

3.4.1.1. Regler om udvidet baggrundskontrol og sikkerhedsgodkendelser inden for luftfartssikkerhed

På luftfartsområdet er der i Europa-Parlamentet og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 fastsat regler om baggrundskontrol af visse personer, der udfører funktioner inden for luftfartssikkerhed. De nærmere regler herom er fastsat i bekendtgørelse nr. 2567 af 14. december 2021 om udvidet baggrundskontrol og sikkerhedsgodkendelse af personer, som har funktioner inden for luftfartssikkerhed (security).

Lov om luftfart, jf. lovbekendtgørelse nr. 118 af 31. januar 2024 (luftfartsloven) fastsætter regler for luftfartssikkerhed. Loven gennemfører dele af forordning nr. 300/2008, herunder reglerne om baggrundskontrol.

Det fremgår af luftfartslovens § 1 a, at transportministeren kan fastsætte sådanne forskrifter, som er nødvendige for at gennemføre de af Den Europæiske Union udstedte direktiver om luftfart, eller som er nødvendige for at anvende de af Den Europæiske Union udstedte forordninger på luftfartsområdet, herunder droneområdet. Det følger endvidere af luftfartslovens § 70, stk. 1, 2. pkt., at transportministeren kan fastsætte regler om, at der kun til personer, der er godkendt af politiet, kan udstedes en generel adgangshjemmel til lufthavnens afspærrede område.

Det følger endvidere af luftfartslovens § 70 a, stk. 2, at transportministeren efter forhandling med justitsministeren kan fastsætte regler om, at personer, som udfører sikkerhedskontrol eller har adgang til klassificerede regler eller sikkerhedsplaner i virksomheder, som er sikkerhedsgodkendt efter de forordninger om sikkerhed inden for civil luftfart, der er udstedt af Den Europæiske Union, skal sikkerhedsgodkendes af Trafikstyrelsen.

Bemyndigelserne i luftfartslovens §§ 1 a, 70, stk.1, 2. pkt., og 70 a, stk. 2, er bl.a. udmøntet ved bekendtgørelse nr. 2567 af 14. december 2021 om udvidet baggrundskontrol og sikkerhedsgodkendelse af personer, som har funktioner inden for luftfartssikkerhed (security).

Bekendtgørelsen stiller krav om, at nogle ansatte i luftfartssektoren enten skal gennemgå udvidet baggrundskontrol eller sikkerhedsgodkendes, afhængigt af bl.a. deres ansættelsesfunktion. Bekendtgørelsen finder anvendelse på personer, der udfører funktioner, har adgange eller rettigheder inden for luftfartssikkerhed (security), jf. bekendtgørelsens § 1. Det følger af bekendtgørelsens § 3, at en udvidet baggrundskontrol skal 1) fastslå en persons identitet på grundlag af dokumentation, 2) omfatte strafferegistre i alle personens bopælslande for mindst de foregående fem år, 3) omfatte personens beskæftigelse, uddannelse og eventuelle afbrydelser i mindst de foregående fem år og 4) omfatte efterretninger og andre relevante oplysninger, som de kompetente nationale myndigheder råder over, og som efter deres vurdering kan være relevante for en persons egnethed til at arbejde i en funktion, som kræver en udvidet baggrundskontrol.

Ansøgninger om udvidet baggrundskontrol inden for luftfartssikkerhed indgives til politiet ved hjælp af elektronisk ansøgningsblanket, jf. bekendtgørelsens § 8. Før ansøgningen indgives, skal arbejdsgiveren, lufthavnen eller luftfartsselskabet have gennemført ID- og CV-kontrol med et tilfredsstillende resultat, jf. bekendtgørelsens § 8, stk. 3.

Politiet har ansvaret for sagsbehandlingen af ansøgninger om udvidet baggrundskontrol, herunder at indhente og kontrollere strafferegisteroplysninger, kontrollere efterretninger og alle andre relevante oplysninger, som politiet råder over, samt at foretage en vurdering af alle de lovovertrædelser og terrorhandlinger, der henvises til i forordningens bilag, jf. bekendtgørelsens §§ 10-12. Det følger af bekendtgørelsens § 14, at politidirektøren ved Midt- og Vestjyllands Politi på baggrund af oplysningerne træffer afgørelser om, hvorvidt en person har gennemgået en udvidet baggrundskontrol med et tilfredsstillende resultat og om tilbagekaldelse af en afgørelse om udvidet baggrundskontrol.

3.4.1.2. Regler om sikkerhedsgodkendelser efter sikkerhedscirkulære

Cirkulære nr. 10338 af 17. december 2014 om sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO eller EU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt (sikkerhedscirkulæret) indeholder de almindelige regler for bl.a. sikkerhedsundersøgelser og sikkerhedsgodkendelser til brug for ansættelse i offentlige myndigheder.

Det fremgår af sikkerhedscirkulærets § 13, stk. 1, at enhver offentlig myndighed træffer afgørelse om sikkerhedsgodkendelse af ansatte i myndigheden og ansatte i private firmaer, der arbejder for den offentlige myndighed. Sikkerhedsgodkendelsen har kun gyldighed for den sikkerhedsgodkendte persons arbejde for den pågældende myndighed. Det fremgår af stk. 3, at Politiets Efterretningstjeneste foretager en sikkerhedsundersøgelse til brug for den offentlige myndigheds afgørelse om sikkerhedsgodkendelse af ansatte.

Afgørelse om sikkerhedsgodkendelse træffes i medfør af sikkerhedscirkulærets § 14 på grundlag af en konkret vurdering af alle de oplysninger, der foreligger om personen. Der lægges herved navnlig vægt på, om den pågældende har udvist ubestridt loyalitet, og om den pågældende har en sådan adfærd og karakter, herunder vaner, forbindelser og diskretion, at der ikke kan være tvivl om den pågældendes pålidelighed i forbindelse med håndtering af klassificerede informationer.

Det bemærkes, at der herudover på visse særlige områder er fastsat regler om sikkerhedsgodkendelse af personer, herunder på teleområdet.

3.4.1.3. Eksisterende praksis i energisektoren

Energistyrelsen træffer i dag afgørelser om sikkerhedsgodkendelser for så vidt angår ansatte og konsulenter i Energinet, som er en selvstændig offentlig virksomhed under Klima-, Energi- og Forsyningsministeriet samt konsulenter som indgår i samarbejdsforhold med Energistyrelsen i regi af den Nationale Operative Stab eller Lokale Beredskabsstabe efter lov om Energinet og Sikkerhedscirkulæret.

Energistyrelsen har i dag ikke hjemmel til at sikkerhedsgodkende personer inden for energisektoren, der ikke er ansat i eller udfører opgaver for Energistyrelsen eller en anden offentlig myndighed.

I perioden fra 2019 til 2023 har Energistyrelsen dog truffet afgørelser om sikkerhedsgodkendelse af personer inden for energisektoren, der ikke var ansat i eller udførte opgaver for Energistyrelsen. Den 20. april 2023 traf Energistyrelsen en administrativ beslutning om at sætte sagsbehandlingen af verserende sager om sikkerhedsgodkendelse af personer, der ikke var ansat i eller udførte opgaver for Energistyrelsen, i bero. Dette skyldtes, at Energistyrelsen blev bekendt med, at Energistyrelsen ikke havde hjemmel til at træffe de nævnte afgørelser. Klima-, Energi- og Forsyningsministeriet har den 23. juni 2023 orienteret Klima-, Energi- og Forsyningsudvalget om den manglende hjemmel. ¬

3.4.2. CER-direktivet

Det følger af CER-direktivets artikel 14, stk. 1, at medlemsstaterne angiver, på hvilke betingelser en kritisk enhed i behørigt begrundede tilfælde og under hensyntagen til medlemsstatsrisikovurderingen har tilladelse til at indgive anmodninger om baggrundskontrol af personer, der: a) varetager følsomme opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds modstandsdygtighed, b) er bemyndiget til at få direkte adgang eller fjernadgang til en kritisk enheds lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med den kritiske enheds sikkerhed, c) overvejes ansat i stillinger, der hører under kriterierne i litra a) eller b).

Det følger desuden af artikel 14, stk. 2, at anmodninger som omhandlet i denne artikels stk. 1 vurderes inden for en rimelig frist og behandles i overensstemmelse med national ret og nationale procedurer samt relevant og gældende EU-ret, herunder forordning (EU) 2016/679 og Europa-Parlamentets og Rådets direktiv (EU) 2016/680(37). Baggrundskontrol skal være forholdsmæssig og strengt begrænset til, hvad der er nødvendigt. Den foretages udelukkende med henblik på at vurdere en potentiel sikkerhedsrisiko for den berørte kritiske enhed.

Endelig følger det af artikel 14, stk. 3, at en baggrundskontrol som omhandlet i stk. 1 som minimum skal: a) bekræfte identiteten af den person, der er genstand for baggrundskontrollen, og b) kontrollere strafferegistrene for den pågældende person for så vidt angår lovovertrædelser, der ville være relevante for en bestemt stilling.

Det følger ligeledes af artikel 14, stk. 3, at når medlemsstater foretager baggrundskontrol, skal de anvende det europæiske informationssystem vedrørende strafferegistre i overensstemmelse med procedurerne i rammeafgørelse 2009/315/RIA og, hvor det er relevant og finder anvendelse, forordning (EU) 2019/816 med henblik på indhentning af oplysninger fra andre medlemsstaters strafferegistre. De centrale myndigheder omhandlet i artikel 3, stk. 1, i rammeafgørelse 2009/315/RIA og i artikel 3, nr. 5), i forordning (EU) 2019/816, besvarer anmodninger om sådanne oplysninger inden for ti arbejdsdage efter datoen for modtagelsen af anmodningen i overensstemmelse med artikel 8, stk. 1, i rammeafgørelse 2009/315/RIA.

3.4.3. NIS 2-direktivet

Det bemærkes, at NIS 2-direktivet ikke indeholder regler om baggrundskontrol eller sikkerhedsgodkendelser.

3.4.4. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

Det er Klima-, Energi- Forsyningsministeriets vurdering, at personelsikkerhed er et væsentligt element i forhold til at beskytte fx anlæg og systemer i energisektoren. Det er bl.a. en væsentlig kontrol i forhold til at vurdere ansatte og konsulenters pålidelighed og herunder imødegå risikoen for fx misbrug af adgange eller rettidigheder til at forvolde skade.

Med den foreslåede § 16, stk. 1, lægges der op til, at klima-, energi- og forsyningsministeren efter forhandling med justitsministeren kan fastsætte regler om, på hvilke betingelser virksomheder kan få foretaget baggrundskontrol af personer i energisektoren, der 1) varetager følsomme opgaver i eller til fordel for en virksomhed, navnlig vedrørende virksomhedens modstandsdygtighed, 2) er bemyndiget til at få direkte adgang, indirekte adgang eller fjernadgang til virksomhedens lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med virksomhedens sikkerhed eller 3) overvejes ansat i stillinger, der indebærer opgavevaretagelse efter nr. 1 og/eller nr. 2.

Den foreslåede bestemmelse i § 16, stk. 1, gennemfører artikel 14 i CER-direktivet, hvorefter medlemsstaterne efter artiklens stk. 1, angiver, på hvilke betingelser en kritisk enhed i behørigt begrundede tilfælde og under hensyntagen til medlemsstatsrisikovurderingen har tilladelse til at indgive anmodninger om baggrundskontrol af personer, der a) varetager følsomme opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds modstandsdygtighed, b) er bemyndiget til at få direkte adgang eller fjernadgang til en kritisk enheds lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med den kritiske enheds sikkerhed, c) overvejes ansat i stillinger, der hører under kriterierne i litra a) eller b).

Den foreslåede ordning medfører, at klima-, energi- og forsyningsministeren efter forhandling med justitsministeren vil kunne fastsætte nærmere regler, der sammen med bestemmelsen vil skulle udmønte den nærmere ordning for gennemførelse af CER-direktivets artikel 14 om baggrundskontrol i energisektoren.

Det er udgangspunkteet for implementeringen af CER-direktivets bestemmelse om baggrundskontrol er, at baggrundskontrollen 1) skal bekræfte identiteten af den person, der er genstand for baggrundskontrollen og 2) kontrollere strafferegistrene for den pågældende person for så vidt angår lovovertrædelser, der ville være relevante for en bestemt stilling, jf. artikel 14, stk. 3. Det er desuden udgangspunktet, at baggrundskontrollen skal være forholdsmæssig og strengt begrænset til, hvad der er nødvendigt. Der kan dog være sektorspecifikke behov, som tilsiger en mere omfattende sikkerhedsundersøgelse i form af udvidet baggrundskontrol. Dette vurderes at være tilfældet i energisektoren.

Det er således forventningen, at den nærmere udmøntning af ordningen for baggrundskontrol som minimum vil ske i overensstemmelse med kravene i CER-direktivets artikel 14, stk. 2 og 3, men at der i den nærmere udmøntning vil kunne være mulighed for, at indføre krav om udvidet baggrundskontrol i lighed med ordningen for udvidet baggrundskontrol på luftfartsområdet, jf. pkt. 3.4.1 ovenfor. Formålet med at indføre krav om udvidet baggrundskontrol er mulighed for at kunne indhente og kontrollere bl.a. efterretninger og alle andre relevante oplysninger, som politiet råder over i forhold til pågældende person. Som det også fremgår af CER-direktivets præambelbetragtninger, vil udformningen af baggrundskontrollen desuden skulle fastsættes under hensyntagen til medlemsstaternes risikovurderinger.

Det bemærkes i den forbindelse, at CER-direktivets krav om baggrundskontrol har til formål at imødegå risikoen for, at ansatte i kritiske enheder misbruger eksempelvis deres adgangsret inden for den kritiske enheds organisation til at skade og forvolde skade. Dette vil derfor også være styrende for den nærmere vurdering af, hvilke kriterier der skal indgå i overvejelserne om godkendelsesniveauet, samt hvilke strafbare eller personlige forhold, der skal have betydning for baggrundskontrollen i forhold til den konkrete stilling.

Afgørelser om, hvorvidt en person har gennemgået en udvidet baggrundskontrol med et tilfredsstillende resultat og om tilbagekaldelse af en afgørelse om udvidet baggrundskontrol, vil skulle træffes af Energistyrelsen. Energistyrelsens afgørelser træffes på baggrund af oplysninger om pågældende person, som politiet tilvejebringer.

Det er Klima-, Energi- og Forsyningsministeriets vurdering, at baggrundskontrol og udvidet baggrundskontrol i visse tilfælde ikke vil være tilstrækkeligt til at sikre den fornødne sikkerhed i energisektoren. Det skyldes bl.a., at nogle ansatte eller konsulenter i energisektoren i deres konkrete opgaveløsning har mulighed for potentielt at påvirke energiforsyningen på fx regionalt, nationalt eller europæisk niveau. Det kan fx være personer med direkte fysisk adgang til kontrolrum eller personer med udvidede rettigheder inden for virksomhedens netværk, som kan benyttes til at påvirke energiforsyningen.

Med den foreslåede § 16, stk. 2, lægges der op til, at klima-, energi- og forsyningsministeren efter forhandling med justitsministeren og ministeren for samfundssikkerhed og beredskab kan fastsætte regler om sikkerhedsgodkendelse af personer, der er omfattet af stk. 1, samt regler om ansøgninger vedrørende sikkerhedsgodkendelser, herunder betingelser for indgivelse af sådanne ansøgninger samt meddelelse og tilbagekaldelse af sikkerhedsgodkendelser.

Den foreslåede bestemmelse indebærer en særskilt hjemmel til fastsættelse af regler om sikkerhedsgodkendelse af personale i energisektoren.

Ordningen for sikkerhedsgodkendelse vil i overensstemmelse med gældende praksis på området skulle indgives til Klima-, Energi- og Forsyningsministeriet, som træffer afgørelse på baggrund af en sikkerhedsundersøgelse foretaget af Politiets Efterretningstjeneste.

Det bemærkes, at den foreslåede bestemmelse ikke ændrer på den gældende ordning om sikkerhedsgodkendelse efter sikkerhedscirkulæret, hvor Energistyrelsen kan træffe afgørelser om sikkerhedsgodkendelse for så vidt angår ansatte og konsulenter i Energinet samt konsulenter, som indgår i samarbejdsforhold med Energistyrelsen i regi af den Nationale Operative Stab eller Lokale Beredskabsstabe efter lov om Energinet og sikkerhedscirkulæret.

Der henvises i øvrigt til bemærkningerne til den foreslåede § 16.

3.5. Bestemmelser om gebyrbetaling for myndighedsbehandling

3.5.1. Gældende ret

3.5.1.1. Virksomhedernes gebyrbetaling for myndighedsbehandling

Det følger af elforsyningslovens § 51 d og gasforsyningslovens § 30 a, stk. 5-7, at de virksomheder, der i dag er pålagt krav om beredskabsplanlægning, fysisk sikring og cybersikkerhed i el- og gassektorerne, halvårligt skal betale et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostningerne ved ministeriets tilsyn med virksomhedernes overholdelse af regler udstedt i medfør af elforsyningslovens §§ 85 b, stk. 4, og 85 c, stk. 6, samt gasforsyningslovens §§ 15 a, stk. 4, og 15 b, stk. 6.

Denne betalingsforpligtelse trådte i kraft den 1. juli 2019 ved lov nr. 494 af 1. maj 2019 om ændring lov om Energinet, lov om elforsyning og lov om naturgasforsyning. Med denne lov blev det sikret, at den planlagte virksomhedsoverdragelse af tilsynsforpligtelsen med de ovennævnte beredskabsregler fra Energinet til Energistyrelsen den 1. juli 2019 kunne finansieres gennem en betaling fra de virksomheder, der modtog dette tilsyn.

De ovennævnte bestemmelser § 51 d i elforsyningsloven og § 30 a, stk. 5-7, i gasforsyningsloven er bemyndigelsesbestemmelser, hvorefter ministeren kan fastsætte nærmere regler om størrelsen af de beløb, som de nævnte virksomheder skal betale, og nærmere regler om betaling og opkrævning af disse beløb.

Gebyrernes størrelse er blevet fastsat i bekendtgørelse nr. 805 af 15. juni 2023 om betaling for myndighedsbehandling i Energistyrelsen (gebyrbekendtgørelsen). Gebyrerne er jf. § 10 i gebyrbekendtgørelsen fastsat som generelle grundbeløb fordelt på 4 kategorier og gradueret således, at gebyret er størst for virksomheder i kategori 1 og lavest for virksomheder i kategori 4. De fire gebyrkategorier for gebyropkrævningen er baseret på den kategorisering, som Energistyrelsen foretager af virksomhederne efter it-beredskabsbekendtgørelsen § 9, dog under hensyn til antallet af klasse 1 anlæg, som virksomheden ejer. Klassificeringen af anlæg foretages efter elberedskabsbekendtgørelsen § 11 og naturgasberedskabsbekendtgørelsens § 11.

Virksomheder har i dag mulighed for at få samordnet beredskab, hvor en virksomhed forestår beredskabsplanlægningen og udførelsen på vegne af to eller flere virksomheder, som regel fordi der er en koncernforbindelse, tæt geografisk tilknytning eller afhængighed, eller fordi ejeren af et energianlæg, fx en solcellepark, også er operatør af en lang række andre solcelleparker, som den tidligere har ejet, men solgt fra til investorer. Når virksomheder har fået samordnet beredskab på både det almene beredskab og it-beredskab, har Energistyrelsen kun ført tilsyn med den virksomhed, der forestår beredskabsplanlægningen og udførelsen heraf, hvorfor kun denne virksomhed skal betale det generelle grundbeløb for tilsyn med virksomhedens beredskab.

Desuden bemærkes det, at ekstraordinære tilsyn med virksomheder i dag ikke kan gebyrfinansieres, hvilket i sidste ende betyder, at andre opgaver må bortprioriteres af Klima-, Energi- og Forsyningsministeriet.

Endeligt bemærkes det, at Energistyrelsen, modtager en række ansøgninger og dispensationsansøgninger efter reglerne i elberedskabs-, naturgasberedskabs- og it-beredskabsbekendtgørelserne. Der er tale om ansøgninger om samordnet beredskab mellem to eller flere virksomheder, dispensation fra overholdelse af alle eller dele af reglerne i de tre bekendtgørelser, dispensationer fra frister og dispensationer om personsammenfald. Endeligt behandler Energistyrelsen et stadigt stigende antal ansøgninger om sikkerhedsgodkendelse af personer efter cirkulære nr. 10338 af 17. december 2014 om sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO eller EU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt.

Sagsbehandlingen af disse ansøgninger, dispensationsansøgninger og ansøgninger om sikkerhedsgodkendelse er i dag ikke gebyrfinansieret.

3.5.1.2. Energinets gebyrbetaling for myndighedsbehandling

Klima-, energi- og forsyningsministerens tilsyn med det almene beredskab og it-beredskabet hos Energinet er siden den 1. juli 2019 blevet finansieret via lovfastsat grundbeløb i elforsyningslovens § 51 b og gasforsyningslovens § 30 a, stk. 3, hvor beløbet er en delmængde af et større beløb, der opkræves for tilsyn med Energinets aktiviteter efter de to love.

Fra 2017 til 2019 var det kun tilsynet med Energinets it-beredskab, der var gebyrfinansieret, da der blev indført separat hjemmel til dette i den dagældende § 51, stk. 2, i elforsyningsloven og § 30, stk. 2, i naturgasforsyningsloven i forbindelse med indførelsen af kravene om it-beredskab i el- og naturgassektorerne i lov nr. 1755 af 12. december 2016 om ændring af lov om elforsyning og lov om naturgasforsyning.

Disse bestemmelser blev sidenhen ændret ved lov nr. 1399 af 5. december 2017 om ændring af lov om elforsyning, lov om fremme af vedvarende energi, lov om naturgasforsyning, lov om Energinet.dk og lov om varmeforsyning. Her ændredes gebyrerne for klima-, energi- og forsyningsministerens tilsyn fra kun at have været opkrævet fra Energinet til at være opkrævet hos de individuelle virksomheder, således det kunne sikres, at virksomhederne kun betalte for den myndighedsbehandling, som de fik. I den forbindelse ændredes gebyropkrævningen for tilsynet med Energinet og denne virksomheds helejede datterselskaber til at være lovfikseret grundbeløb fastsat i hhv. elforsyningslovens § 51 b, stk. 2, på 4,5 mio. kr. og naturgasforsyningslovens § 30 a, stk. 3 på 0,7 mio. kr.

I 2019 ændredes de to bestemmelser igen ved lov nr. 494 af 1. maj 2019 om ændring af lov om Energinet, lov om elforsyning og lov om naturgasforsyning. Her ændredes beløbene således, at Energistyrelsens tilsyn med Energinets almene beredskab også kunne finansieres af Energinet, på samme måde som tilsynet med it-beredskabet var finansieret. På den måde sikredes ensartethed i finansieringen af Energistyrelsens beredskabstilsyn med Energinet.

Klima-, energi- og forsyningsministeren opkræver i dag årligt gebyr for 1000 timers tilsyn med Energinets almene beredskab og it-beredskab. De 1000 timer er lovmæssigt fordelt med 600 timer til Energinets El TSO og 400 timer til Energinets Gas TSO, hvilket efter Energistyrelsens 2024 timetakts for en gennemsnitsmedarbejder på 746,68 kr. svarer til 746.680 kr. Der er i tillæg til de 1000 timeres tilsyn, som Energistyrelsen fører, også finansieret 50 timers ekstern konsulentbistand til tilsyn med it-beredskab pga. områdets særlige tekniske karakter. Denne udgift udgjorde 62.500 kr., da man anlagde en formodning om at en konsulent kostede 1250 kr. i timen.

Endeligt bemærkes det at ekstraordinære tilsyn med Energinet i dag ikke kan gebyrfinansieres, hvilket i sidste ende betyder, at andre opgaver må bortprioriteres af Klima-, Energi- og Forsyningsministeriet.

3.5.2. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

3.5.2.1 Generelle grundbeløb til finansiering af almindeligt tilsyn og administration af ordningen

Klima-, Energi- og Forsyningsministeriet vurderer, at den nuværende gebyrordning for dækning af de omkostninger, der er til administration af ordningen og tilsynet med virksomhedernes organisatoriske beredskab, fysiske sikring og cybersikkerhed, er en hensigtsmæssig ordning, der sikrer, at virksomhederne kun betaler for det tilsyn, de modtager, samtidig med at Energistyrelsen har en let administrerbar gebyrordning, der samtidig er fleksibel nok til, at der kan ske justering af gebyrerne, såfremt tilsynsmængden for virksomhederne generelt set skal op- eller nedjusteres.

Klima-, Energi- og Forsyningsministeriet foreslår derfor, at den eksisterende gebyrordning for tilsynet med el- og naturgasvirksomhedernes organisatoriske beredskab, fysiske sikring og cybersikkerhed og dækning af de omkostninger, der er til administration af ordningen, vil blive videreført med lovforslaget. Det foreslås samtidig at gebyrordningen, jf. lovforslagets anvendelsesområde, udvides til at gælde alle virksomheder omfattet af dette lovforslag, herunder også Energinets opgaver som el- og gastransmissionsoperatør. Det foreslås, at § 51 d i elforsyningsloven og § 30 a, stk. 5 og 6, i gasforsyningsloven ophæves og erstattes af den foreslåede § 17, stk. 1, i dette lovforslag.

Justeringen af beløbet i elforsyningslovens § 51 b vil blive foreslået foretaget i forslag til lov om ændring af lov om elforsyning, lov om gasforsyning og straffeloven (Gennemførelse af elmarkedsdirektivet og fremtidssikret regulering af netvirksomheder m.v.), der planlægges fremsat samtidig med dette lovforslag.

Som beskrevet i afsnit 3.5.1.1 om gældende ret har virksomheder i dag mulighed for at få samordnet beredskab, hvor kun den udførende virksomhed opkræves betaling for tilsyn med beredskabsplanlægningen. Denne praksis har medført en uhensigtsmæssighed i nogle tilfælde, hvor en virksomhed varetager beredskabet for et stort antal anlæg, som regel vedvarende energi-anlæg, der hver for sig kun er klasse 3 eller 2 anlæg, men som tilsammen udgør en meget stor andel af den danske elproduktion.

Det er Klima-, Energi- og Forsyningsministeriet vurdering, at når dette er tilfældet, bør virksomheden, der varetager det samordnede beredskab, modtage tilsyn, som var de indplaceret på det niveau den akkumulerede MW-produktion, antal forbrugere etc. ville medføre. Dette problem foreslås løst i den foreslåede § 4, hvor virksomheder med samordnet beredskab, der tilsammen har så stor en energi- eller kundeportefølje, at de falder ind under et højere niveau, bliver indplaceret på dette niveau. Dette har samtidig den konsekvens, at virksomheden indplaceres i den tilsvarende gebyrkategori, og dermed er det Klima-, Energi- og Forsyningsministeriets vurdering, at der er den nødvendige finansiering af disse særtilfælde med store samordnede beredskaber.

Klima-, Energi- og Forsyningsministeriet foreslår med § 17, stk. 1, at de omfattede virksomheder halvårligt vil skulle betale et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af de omkostninger, der er til administration af ordningen og tilsyn med virksomhederne efter reglerne i denne lov og regler udstedt i medfør af denne lov. Den halvårlige betaling vil være en fortsættelse af den hidtidige frekvens for betaling for tilsyn med virksomhedernes beredskabsarbejde. Den halvårlige frekvens vil sikre, at der ikke skal betales for store beløb ad gangen, samt at opkrævningen kan finde sted i samme frekvens som andre betalinger for myndighedsbehandling efter elforsyningsloven, gasforsyningsloven og olieberedskabsloven.

Det foreslås endvidere i § 17, stk. 3, at klima-, energi- og forsyningsministeren vil kunne fastsætte nærmere regler om betaling og opkrævning af beløb til dækning af omkostningerne efter § 17, stk. 1 og stk. 2. Den foreslåede bestemmelse vil indebære, at størrelsen af gebyrerne for både stk. 1 og stk. 2, som hidtil vil blive fastsat administrativt ved bekendtgørelse.

Det forventes, at klima-, energi- og forsyningsministeren vil udmønte bemyndigelsen i § 17, stk. 3, ved at fastsætte regler om, at gebyrerne efter § 17, stk. 1, som det er tilfældet i dag, vil blive fastsat som generelle grundbeløb, der dækker de udgifter som Klima-, Energi- og Forsyningsministeriet har med tilsyn med virksomhederne og dækning af de omkostninger, der er til administration af ordningen. Det forventes, at gebyrstørrelserne vil blive differentieret i minimum 6 gebyrkategorier, hvor gebyret vil være lavest for gebyrkategori 1 og højest for gebyrkategori 6, således at disse vil svare til den niveauinddeling, der vil ske af virksomhederne i reglerne udmøntet efter den foreslåede bestemmelse i § 4, stk. 2 om kategorisering af virksomheder samt virksomhedernes systemer og anlæg, dog med indførelsen af en ekstra gebyrkategori (kategori 6).

Denne niveauinddeling vil som beskrevet være bestemmende for, hvor stort et reguleringstryk virksomheden vil blive underlagt efter disse regler, ligesom det også vil være bestemmende for, hvor ofte og hvor mange timers tilsyn Klima-, Energi- og Forsyningsministeriet i gennemsnit forventer at bruge på virksomhederne på det givne niveau. Klima-, energi og forsyningsministeren forventes endvidere at udmønte bemyndigelsen i § 17, stk. 3 til at indføre en ekstra gebyrkategori 6, som vil skulle bruges specifikt til Energinets transmissionssystemoperatør for elektricitet og transmissionssystemoperatør for gas, samt andre virksomheder der grundet deres helt særlige ansvar for funktionen af energisystemerne i Danmark, vil skulle modtage et væsentligt mere grundigt og dybdegående tilsyn end alle andre virksomheder.

I tillæg hertil vil gebyrkategorierne, som det er tilfældet i dag, tage højde for antallet af anlæg som virksomhederne ejer. Virksomheder i niveau 5 med mange klasse 4 og 5 anlæg vil således blive indplaceret i en højere gebyrkategori, end virksomheder i niveau 5 med kun få klasse 4 og 5 anlæg.

Det forventes desuden, at klima-, energi- og forsyningsministeren vil udmønte bemyndigelsen i § 17 stk. 3, til at fastsætte, at gebyrerne efter stk. 1, skal indbetales senest 30 dage efter fakturaens udstedelse, og der såfremt beløbet ikke betales rettidigt, betales renter af det opkrævede beløb i medfør af renteloven.

3.5.2.2 Aktivitetsberegnet beløb til finansiering af ad-hoc tilsyn

Klima-, Energi- og Forsyningsministeriet vurderer, at der i tillæg til de almindelige planlagte tilsyn med fast kadence kan blive behov for ekstraordinære tilsyn i situationer, hvor klima-, energi- og forsyningsministeren bliver opmærksom på eller mistænker særligt grove overtrædelser af reglerne i loven eller fastsat i medfør af loven. Her kan tilsyn med virksomheden ikke vente til tidspunktet, hvor tilsynet i den normale tilsynskadence er planlagt til at blive afholdt.

Sådanne ekstraordinære tilsyn kan i dag ikke gebyrfinansieres, hvilket i sidste ende betyder, at andre opgaver må bortprioriteres af Klima-, Energi- og Forsyningsministeriet. For at bringe lighed mellem tilsynsopgaverne, uanset om der er tale om almindeligt planlagte tilsyn efter den normale tilsynskadence eller ekstraordinære tilsyn uden for kadencen, vurderer Klima-, Energi- og Forsyningsministeriet, at det er mest hensigtsmæssigt også at gebyrfinansiere ekstraordinære tilsyn. Det er Klima-, Energi- og Forsyningsministeriets vurdering, at det er mest gennemsigtigt at sådanne ekstraordinære tilsyn bliver afregnet som aktivitetsberegnet gebyrer, hvor virksomheden opkræves for det antal timer, der er medgået i udførelsen af det ekstraordinære tilsyn tillagt en forholdsmæssig andel af de udgifter, der ellers måtte være tilgået i gennemførelsen af ad-hoc tilsynet.

Et af de kriterier, der lægges til grund for vurderingen af behovet for gennemførelsen af et eller flere ekstraordinære tilsyn efter § 19, stk. 2, nr. 3, med en virksomhed, er, om overtrædelsen eller den mistænkte overtrædelse vurderes til konkret at kunne bringe leveringen af virksomhedens tjeneste i fare.

Da dette ekstraordinære tilsyn indledes på grund af en konkret begrundet mistanke om en virksomheds manglende overholdelse eller tilsidesættelse af reglerne på en sådan måde, at det har potentiale til at bringe virksomhedens levering af deres tjeneste i fare, findes det ikke hensigtsmæssigt blot at indregne udgifter til sådanne ekstraordinære tilsyn i de generelle grundbeløb, der finansierer de almindelige tilsyn. Hvis det var tilfældet, vil andre virksomheder, der overholder reglerne, reelt komme til at afholde en andel af tilsynsudgiften for andre virksomheder, fordi de andre virksomheder ikke overholder gældende ret. På den baggrund vurderer Klima-, Energi- og Forsyningsministeriet, at der indføres en separat gebyrfinansiering af sådanne tilsyn.

Klima, Energi- og Forsyningsministeriet foreslår i § 17, stk. 2, at de omfattede virksomheder halvårligt vil skulle betale et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostninger til ad-hoc tilsyn med virksomhederne efter reglerne i denne lov eller efter regler udstedt i medfør af regler i denne lov. Dette beløb vil skulle dække tilsyn, der er blevet gennemført med virksomhederne uden for den almindelige kadence, som virksomhederne modtager tilsyn fx årligt eller hvert tredje år.

Det forventes, at klima-, energi- og forsyningsministeren vil bruge bemyndigelsen i § 17, stk. 3, til at fastsætte regler om at gebyrerne efter den forslåede § 17, stk. 2, vil blive afregnet på aktivitetsbasis, således at virksomheden opkræves det antal timer, der er blevet brugt af klima-, energi- og forsyningsministeren til ad-hoc tilsyn, ganget med den budgetterede timepris i det pågældende år, hvor tilsynet er blevet gennemført, tillagt en forholdsmæssig andel af de udgifter, der ellers måtte være tilgået i gennemførelsen af ad-hoc tilsynet.

Det forventes endvidere, at klima-, energi- og forsyningsministeren vil fastsætte regler om, at hvis ad-hoc tilsynet strækker sig over 2 kalenderår, fx fordi det er blevet indledt i slutningen af december, så benyttes den budgetterede timepris i det år, hvor den enkelte time til ad-hoc tilsynet er blevet afholdt.

Det forventes desuden, at klima-, energi- og forsyningsministeren vil bruge bemyndigelsen i § 17, stk. 3, til at fastsætte regler om, at gebyrerne efter stk. 2, vil skulle indbetales senest 30 dage efter fakturaens udstedelse, og der såfremt beløbet ikke betales rettidigt, vil skulle betales renter af det opkrævede beløb i medfør af renteloven. Klima-, energi- og forsyningsministeren forventes også at bruge bemyndigelsen til at fastsætte regler om efterregulering af eventuelle betalinger opkrævet i medfør af § 17, stk. 2.

3.5.2.3 Betaling af beløb for indgivelse og behandling af virksomhedernes ansøgninger i egeninteresse

Det er Klima-, Energi- og Forsyningsministeriets vurdering, at det fremover vil være hensigtsmæssigt at gebyrfinansiere sagsbehandlingen af de ovennævnte ansøgninger. Dette er, fordi klima-, energi- og forsyningsministeren må forventes at modtage væsentligt flere af disse ansøgninger, idet der fremover vil være flere virksomheder, der er omfattet reglerne. Det yderligere ressourceforbrug til sådanne ansøgninger må ventes at føre til en nedprioritering af andre opgaver, hvis det ikke finansieres. Klima-, Energi- og Forsyningsministeriet finder det mest hensigtsmæssigt, at finansieringen tilvejebringes ved at gebyrfinansiere sagsbehandlingen.

Det må forventes, at virksomhederne, på samme måde som det sker ved andre allerede gældende gebyrer, overvælter de øgede omkostninger, som gebyrerne medfører, på prisen for den tjeneste, som de leverer.

Klima-, Energi- og Forsyningsministeriet foreslår med § 18, stk. 1, at virksomheder ved indgivelse af ansøgninger eller dispensationer vil skulle betale et beløb for behandling af ansøgninger og dispensationer efter reglerne i denne lov eller efter regler udstedt i medfør af loven. Der forstås herved, at virksomhederne kun skal betale gebyr, såfremt de har de rent faktisk har indgivet en eller flere ansøgninger eller dispensationsansøgninger til behandling efter loven.

Det forventes derfor, at klima-, energi- og forsyningsministeren vil bruge bemyndigelsen i § 18, stk. 2, til at fastsætte gebyrerne efter den forslåede § 18, stk. 1, som administrativt fastsatte gebyrer i en bekendtgørelse. Der er tale om et fast vederlag pr. ansøgning, hvor vederlaget vil være forskelligt, alt efter hvad der ansøges om. Det forventes således, at ministeren vil fastsætte et separat gebyr for hhv. ansøgninger om samordnet beredskab, ansøgninger om personsammenfald og ansøgning om dispensation efter den generelle dispensationsregel.

Det forventes, at vederlaget for de enkelte ansøgningstyper i første omgang vil blive fastsat på baggrund af klima-, energi- og forsyningsministerens initiale estimering af, hvor mange timer det gennemsnitligt tager at behandle en sådanne ansøgning ganget med den budgetteret timepris. Efter der er opbygget et tilstrækkeligt datagrundlag gennem medarbejdernes tidsregistrering, vil den initiale estimering erstattes af det konkrete gennemsnitlige tidsforbrug pr. ansøgningstype, hvorfor de fastsatte vederlag vil op- eller nedjusteres på dette grundlag, ligesom hvis den budgetterede timepris ændrer sig, idet gebyrordningen skal balancere over en 4-årig periode i overensstemmelse med Finansministeriets budgetvejledning.

Endeligt forventes det, at klima-, energi- og forsyningsministeren vil bruge bemyndigelsen i § 18, stk. 2, til at fastsætte regler om, at gebyrerne efter stk. 1, vil skulle opkræves halvårligt og indbetales inden for et fast tidspunkt efter fakturaens udstedelse, og at der såfremt beløbet ikke betales rettidigt, vil skulle betales renter af det opkrævede beløb i medfør af renteloven, samt at vederlagene vil skulle indkræves sammen med de vederlag, der opkræves efter § 17, stk. 1 og 2.

For nærmere beskrivelse af gebyrerne, henvises til bemærkningerne til lovforslagets §§ 17 og 18.

3.6. Tilsyn

3.6.1. Gældende ret

Der føres tilsyn med virksomheder i elsektoren, som har en produktionsbevilling, en produktionstilladelse eller som har et balanceansvar for energisektoren. Desuden føres der tilsyn med distributions- og transmissionsvirksomheder. Der føres tilsyn med virksomhedernes klassiske beredskab efter elforsyningslovens § 85 b og med virksomhedernes it-beredskab efter elforsyningslovens § 85 c.

Efter elforsyningslovens § 85 b, stk. 4, kan Klima-, Energi- og Forsyningsministeriet fastsætte nærmere regler for udførelsen af tilsyn med beredskabsarbejdet efter stk. 1. De nærmere regler for tilsyn er fastsat i elberedskabsbekendtgørelsens kapitel 10.

Efter elforsyningslovens § 85 c, stk. 5, kan Klima-, Energi- og Forsyningsministeriet fastsætte nærmere regler for it-beredskab. De nærmere regler er fastsat i it-beredskabsbekendtgørelsen, som bl.a. indeholder regler om it-beredskabsplanlægning i §§ 14-17. Efter bekendtgørelserne er Energistyrelsen tilsynsmyndighed.

Klima-, energi- og forsyningsministeren kan på baggrund af gasforsyningslovens § 15 a, stk. 4, fastsætte nærmere regler for udførelsen af selskabernes beredskabsarbejde. De nærmere regler for tilsyn er fastsat i bekendtgørelsen om beredskab for naturgassektoren. Energistyrelsen er tilsynsmyndigheden for selskabernes overholdelse af beredskabsreguleringen.

I gassektoren føres der tilsyn med virksomheder der er bevillingspligtige efter gasforsyningsloven og Energinet samt Energinets helejede datterselskaber. Der føres tilsyn med virksomhedernes klassiske beredskab efter gasforsyningslovens § 15 a og med virksomhedernes it-beredskab efter gasforsyningslovens § 15 b. De nærmere regler om tilsyn fremgår af naturgasberedskabsbekendtgørelsen og it-beredskabsbekendtgørelsen.

For el- og gassektorerne inddeles virksomhederne i kategorier, der afgør frekvensen af tilsyn. Virksomhederne inddeles i 3 kategorier, hvor kategori 1 er de mindst kritiske virksomheder og kategori 3 er de mest kritiske virksomheder. Der føres tilsyn mindst hvert tredje år med virksomheder i kategori 2 og 3, mens der hvert år føres tilsyn med virksomheder i kategori 1.

Forpligtelsen til at føre tilsyn med el- og naturgassektorernes almene beredskaber lå 2005 til 2019 hos Energinet.

Ministeren besluttede på baggrund af en evaluering at overføre tilsynet med el- og naturgasvirksomhedernes almene beredskab og it-beredskab fra Energinet til Energistyrelsen med virkning fra den 1. juli 2019.

For oliesektoren føres der tilsyn med lagringspligtige virksomheder og den centrale lagerenhed.

Det følger af olieberedskabslovens § 17, stk. 1, at klima-, energi- og forsyningsministeren fører tilsyn med, at loven og regler udstedt i medfør af loven overholdes for både det klassiske beredskab og it-beredskabet. Olieberedskabslovens indeholder i § 16, beredskabspligter for virksomheder omfattet af loven. Klima-, energi- og forsyningsministeren fører således tilsyn med olievirksomhedernes beredskab. Efter olieberedskabslovens § 17, stk. 5, kan klima-, energi og forsyningsministeren fastsætte nærmere regler om fremsendelse af oplysninger til brug for tilsyn, om virksomhedernes medvirken i tilsyn og om virksomhedernes fremsendelse af revisorerklæring. De nærmere regler er bl.a. fastsat i olieberedskabsbekendtgørelsens § 18 og lagringspligtbekendtgørelsens § 43.

Ens for el-, gas- og oliesektorerne er, at tilsynet sker proaktivt med mulighed for at foretage et reaktivt tilsyn.

Efter gældende ret er der ikke fastsat nærmere regler for tilsyn af virksomheders beredskab i fjernvarme og -kølesektoren eller virksomhedernes beredskab efter undergrundsloven.

3.6.2. CER-direktivet

Det følger af CER-direktivets artikel 21, stk. 1, at med henblik på at vurdere, om de enheder medlemsstaterne har identificeret som kritiske enheder i henhold til artikel 6, stk. 1, opfylder forpligtelserne i dette direktiv, sikrer medlemsstaterne, at de kompetente myndigheder har beføjelser og midler til: a) at foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, og eksternt tilsyn med de foranstaltninger, som kritiske enheder har truffet i overensstemmelse med artikel 13 og b) at foretage eller kræve revision af kritiske enheder.

Det følger desuden af artikel 21, stk. 2, at medlemsstaterne sikrer, at de kompetente myndigheder har beføjelser og midler til, hvor det er nødvendigt for udførelsen af deres opgaver i henhold til dette direktiv, at kræve, at enhederne i henhold til NIS 2-direktivet, som medlemsstaterne har identificeret som kritiske enheder i henhold til nærværende direktiv, inden for en rimelig tidsfrist, der fastsættes af disse myndigheder, giver: a) de oplysninger, der er nødvendige for at vurdere, hvorvidt de foranstaltninger, der træffes af disse enheder for at sikre deres modstandsdygtighed, opfylder kravene i artikel 13 og b) dokumentation for faktisk gennemførelse af disse foranstaltninger, herunder resultaterne af en revision foretaget af en uafhængig og kvalificeret revisor udvalgt af denne enhed og foretaget på dennes regning. Når der anmodes om disse oplysninger, angiver de kompetente myndigheder formålet med kravet og anfører, hvilke oplysninger der kræves.

Det følger endvidere af artikel 21, stk. 3, at det uden det berører muligheden for at pålægge sanktioner i overensstemmelse med artikel 22, kan de kompetente myndigheder efter de i denne artikels stk. 1 omhandlede tilsynsforanstaltninger eller vurderingen af de i denne artikels stk. 2 omhandlede oplysninger pålægge de berørte kritiske enheder at træffe de nødvendige og forholdsmæssige foranstaltninger for at afhjælpe enhver konstateret overtrædelse af dette direktiv inden for en rimelig frist, der fastsættes af disse myndigheder, og give disse myndigheder oplysninger om de trufne foranstaltninger. Disse påbud skal navnlig tage hensyn til overtrædelsens grovhed.

Det følger endvidere af art. 21, stk. 4, at medlemsstaterne sikrer, at de i stk. 1, 2 og 3 omhandlede beføjelser kun kan udøves med forbehold af passende garantier. Disse garantier skal navnlig sikre, at en sådan udøvelse finder sted på en objektiv, gennemsigtig og forholdsmæssig måde, og at de berørte kritiske enheders rettigheder og legitime interesser såsom beskyttelse af forretningshemmeligheder garanteres behørigt, herunder deres ret til at blive hørt, til et forsvar og til effektive retsmidler ved en uafhængig domstol.

Endelig følger det af artikel 21, stk. 5, at medlemsstaterne sikrer, at en kompetent myndighed i henhold til dette direktiv, hvor den vurderer en kritisk enheds overholdelse i henhold til denne artikel, orienterer denne kompetente myndighed de kompetente myndigheder i de berørte medlemsstater i henhold til NIS 2-direktivet. Med henblik herpå sikrer medlemsstaterne, at kompetente myndigheder i henhold til nærværende direktiv kan anmode de kompetente myndigheder i henhold til direktiv (EU) 2022/ 2555 om at udøve deres tilsyns- og håndhævelsesbeføjelser over for en enhed i henhold til nævnte direktiv, som er identificeret som en kritisk enhed i henhold til nærværende direktiv. Med henblik herpå sikrer medlemsstaterne, at kompetente myndigheder i henhold til nærværende direktiv samarbejder og udveksler oplysninger med de kompetente myndigheder i henhold til direktiv NIS 2-direktivet.

3.6.3. NIS 2-direktivet

Af NIS 2-direktivets artikel 21, stk. 4, fremgår det, at medlemsstaterne sikrer, at en enhed, der finder, at den ikke overholder foranstaltningerne i artikel 21, stk. 2, uden unødigt ophold træffer alle nødvendige, passende og forholdsmæssige korrigerende foranstaltninger.

Af NIS 2-direktivets artikel 31, stk. 1, fremgår det, at medlemsstaterne sikrer, at deres kompetente myndigheder effektivt overvåger og træffer de nødvendige foranstaltninger til at sikre, at dette direktiv overholdes.

Det fremgår desuden af artikel 31, stk. 2, medlemsstaterne kan tillade deres kompetente myndigheder at prioritere tilsynsopgaver. En sådan prioritering baseres på en risikobaseret tilgang. Med henblik herpå kan de kompetente myndigheder, når de udfører deres tilsynsopgaver i henhold til artikel 32 og 33, fastlægge tilsynsmetoder, der gør det muligt at prioritere sådanne opgaver efter en risikobaseret tilgang.

Af artikel 31, stk. 3, fremgår det, at de kompetente myndigheder arbejder tæt sammen med tilsynsmyndigheder i henhold til databeskyttelsesforordningen, når de håndterer hændelser, der medfører brud på persondatasikkerheden, uden at det berører de kompetencer og opgaver, som tilsynsmyndighederne har i henhold til nævnte forordning.

Af NIS 2-direktivets artikel 32, stk. 1, fremgår det, at medlemsstaterne sikrer, at de tilsyns- eller håndhævelsesforanstaltninger, der pålægges væsentlige enheder for så vidt angår forpligtelserne fastsat i dette direktiv er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.

Af artikel 32, stk. 2, fremgår det desuden, at medlemsstaterne sikrer, at de kompetente myndigheder, når de udfører deres tilsynsopgaver vedrørende væsentlige enheder, som minimum har beføjelse til at pålægge disse enheder: a) kontrol på stedet og eksternt tilsyn, herunder stikprøvekontrol, som skal udføres af uddannede fagfolk, b) regelmæssige og målrettede sikkerhedsaudits udført af et kvalificeret uafhængigt organ eller en kompetent myndighed, c) ad hoc-audits, herunder hvor det er berettiget på grund af en væsentlig hændelse eller en overtrædelse af dette direktiv fra den væsentlige enheds side, d) sikkerhedsscanninger baseret på objektive, ikkediskriminerende, fair og gennemsigtige risikovurderingskriterier, hvor det er nødvendigt i samarbejde med den berørte enhed, e) anmodninger om oplysninger, der er nødvendige for at vurdere de foranstaltninger til styring af cybersikkerhedsrisici, som den berørte enhed har indført, herunder dokumenterede cybersikkerhedspolitikker, samt overholdelse af forpligtelsen til at indgive oplysninger til de kompetente myndigheder i henhold til artikel 27, f) anmodninger om adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af deres tilsynsopgaver, g) anmodninger om dokumentation for gennemførelsen af cybersikkerhedspolitikker såsom resultaterne af sikkerhedsaudits udført af en kvalificeret revisor og den respektive underliggende dokumentation.

Det fremgår ligeledes af artikel 32, stk. 2, at de målrettede sikkerhedsaudits, der er omhandlet i første afsnit, litra b), baseres på risikovurderinger foretaget af den kompetente myndighed eller den reviderede enhed eller på andre tilgængelige risikorelaterede oplysninger. Resultaterne af enhver målrettet sikkerhedsaudit stilles til rådighed for den kompetente myndighed. Omkostningerne ved en sådan målrettet sikkerhedsaudit, der udføres af et uafhængigt organ, afholdes af den reviderede enhed, undtagen i behørigt begrundede tilfælde når den kompetente myndighed bestemmer andet.

Endvidere fremgår det af artikel 32, stk. 3, at de kompetente myndigheder ved udøvelsen af deres beføjelser i henhold til stk. 2, litra e), f) eller g), skal angive formålet med anmodningen og præciserer, hvilke oplysninger der anmodes om.

Af artikel 32, stk. 4, fremgår det, at medlemsstaterne sikrer, at deres kompetente myndigheder, når de udøver deres håndhævelsesbeføjelser over for væsentlige enheder, som minimum har beføjelse til at: a) udstede advarsler om de pågældende enheders overtrædelser af dette direktiv, b) udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, samt frister for gennemførelse af sådanne foranstaltninger og for rapportering om deres gennemførelse eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af dette direktiv, c) pålægge de pågældende enheder at ophøre med at udvise adfærd, der overtræder dette direktiv, og afstå fra at gentage denne adfærd, d) pålægge de pågældende enheder, på en nærmere angivet måde og inden for en nærmere angivet frist, at sikre, at deres foranstaltninger til styring af cybersikkerhedsrisici overholder artikel 21, eller at efterleve underretningsforpligtelserne i artikel 23, e) pålægge de pågældende enheder at underrette de fysiske eller juridiske personer med hensyn til hvilke de leverer tjenester eller udfører aktiviteter, som potentielt er berørt af en væsentlig cybertrussel, om denne trussels karakter samt om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som disse fysiske eller juridiske personer kan træffe som reaktion på denne trussel, f) pålægge de pågældende enheder at gennemføre de anbefalinger, der er fremsat som følge af en sikkerhedsaudit, inden for en rimelig frist, g) udpege en overvågningsansvarlig med veldefinerede opgaver til i en nærmere fastsat periode at føre tilsyn med de pågældende enheders overholdelse af artikel 21 og 23, h) pålægge de pågældende enheder at offentliggøre aspekter af overtrædelser af dette direktiv på en nærmere angivet måde, i) pålægge, eller anmode de relevante organer eller domstole om i overensstemmelse med national ret at pålægge, en administrativ bøde i henhold til artikel 34 ud over enhver af de foranstaltninger, der er omhandlet i dette stykkes litra a)-h).

Det følger endvidere af artikel 32, stk. 5, at hvor håndhævelsesforanstaltninger vedtaget i henhold til stk. 4, litra a)-d) og f), er virkningsløse, sikrer medlemsstaterne, at deres kompetente myndigheder har beføjelse til at fastsætte en frist, inden for hvilken den væsentlige enhed anmodes om at tage de nødvendige tiltag for at afhjælpe manglerne eller opfylde disse myndigheders krav. Hvis de ønskede tiltag ikke tages inden for den fastsatte frist, sikrer medlemsstaterne, at de kompetente myndigheder har beføjelse til: a) midlertidigt at suspendere, eller anmode et certificerings- eller godkendelsesorgan eller en domstol om i overensstemmelse med national ret midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, der leveres, eller aktiviteter, der udføres, af en væsentlig enhed, b) at anmode de relevante organer eller domstole om i overensstemmelse med national ret midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau eller som juridisk repræsentant i den pågældende væsentlige enhed at udøve ledelsesfunktioner i den pågældende enhed. Midlertidige suspensioner eller forbud, som er pålagt i henhold til dette stykke, anvendes kun, indtil den pågældende enhed træffer de nødvendige foranstaltninger til at afhjælpe manglerne eller opfylde den kompetente myndighed krav, som gav anledning til, at disse håndhævelsesforanstaltninger blev anvendt. Pålæggelse af sådanne midlertidige suspensioner eller forbud skal være underlagt passende proceduremæssige garantier i overensstemmelse med de generelle principper i EU-retten og chartret, herunder retten til effektive retsmidler og til en retfærdig rettergang, uskyldsformodningen og retten til et forsvar.

Af artikel 32, stk. 6 fremgår det, at medlemsstaterne sikrer, at enhver fysisk person, der er ansvarlig for eller optræder som juridisk repræsentant for en væsentlig enhed på grundlag af beføjelsen til at repræsentere den, beføjelsen til at træffe afgørelser på dennes vegne eller beføjelsen til at udøve kontrol over den, har beføjelse til at sikre, at den overholder dette direktiv. Medlemsstaterne sikrer, at det er muligt at drage sådanne fysiske personer til ansvar for tilsidesættelse af deres forpligtelser til at sikre overholdelse af dette direktiv.

Af artikel 32, stk. 7, følger det, at når de kompetente myndigheder træffer håndhævelsesforanstaltninger omhandlet i stk. 4 eller 5, skal de overholde retten til forsvar og tage hensyn til omstændighederne i hver enkelt sag og som minimum tage behørigt hensyn til:

a) overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser, idet bl.a. følgende under alle omstændigheder skal betragtes som alvorlige overtrædelser: i) gentagne overtrædelser, ii) manglende underretning om eller afhjælpning af væsentlige hændelser, iii) manglende afhjælpning af mangler efter bindende instrukser fra kompetente myndigheder, iv) hindringer for audits eller overvågningsaktiviteter beordret af den kompetente myndighed efter konstatering af en overtrædelse, v) afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende cybersikkerhedsrisikostyringsforanstaltninger eller rapporteringsforpligtelser, der er fastsat i artikel 21 og 23, b) overtrædelsens varighed, c) den pågældende enheds relevante tidligere overtrædelser, d) enhver materiel eller immateriel skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt, e) hvorvidt gerningsmanden har begået overtrædelsen forsætligt eller uagtsomt, f) enhver foranstaltning truffet af enheden for at forebygge eller afbøde den materielle eller immaterielle skade, g) hvorvidt godkendte adfærdskodekser eller godkendte certificeringsmekanismer er overholdt, h) i hvilken udstrækning de fysiske eller juridiske personer, der holdes ansvarlige, samarbejder med de kompetente myndigheder.

Endvidere følger det af artikel 32, stk. 8, at de kompetente myndigheder giver en detaljeret begrundelse for deres håndhævelsesforanstaltninger. Inden de kompetente myndigheder træffer sådanne foranstaltninger, underretter de berørte enheder om deres foreløbige resultater. De giver også disse enheder en rimelig frist til at fremsætte bemærkninger, undtagen i behørigt begrundede tilfælde, hvor øjeblikkelige foranstaltninger til at forebygge eller reagere på hændelser ellers ville blive hindret.

Endvidere følger det af artikel 32, stk. 9, at medlemsstaterne sikrer, at deres kompetente myndigheder i henhold til dette direktiv underretter de relevante kompetente myndigheder i samme medlemsstat i henhold til CER-direktivet, når de udøver deres tilsyns- og håndhævelsesbeføjelser med det formål at sikre, at en enhed, der er identificeret som en kritisk enhed i henhold til CER-direktivet, overholder nærværende direktiv. Hvor det er relevant, kan de kompetente myndigheder i henhold til CER-direktivet anmode de kompetente myndigheder i henhold til nærværende direktiv om at udøve deres tilsyns- og håndhævelsesbeføjelser med hensyn til en enhed, som er identificeret som en kritisk enhed i henhold til CER-direktivet.

Endelig følger det af artikel 32, stk. 10, at medlemsstaterne sikrer, at deres kompetente myndigheder i henhold til dette direktiv samarbejder med de relevante kompetente myndigheder i den berørte medlemsstat i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (forordning om modstandsdygtighed i den finansielle sektor). Medlemsstaterne sikrer navnlig, at deres kompetente myndigheder i henhold til nærværende direktiv underretter tilsynsforummet oprettet i henhold til artikel 32, stk. 1, i forordning om modstandsdygtighed i den finansielle sektor , når de udøver deres tilsyns- og håndhævelsesbeføjelser med det formål at sikre, at en væsentlig enhed, der er udpeget som en kritisk tredjepartsudbyder af IKT-tjenester i henhold til artikel 31, i forordning om modstandsdygtighed i den finansielle sektor, overholder nærværende direktiv.

3.6.4. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

Der er, som beskrevet i punkt 3.6.2. og 3.6.3., i CER-direktivets artikel 21 og i NIS 2-direktivets artikel 31-33, fastsat bestemmelser om tilsyn og håndhævelse. Medlemsstaterne forpligtes i disse bestemmelser til at sikre, at deres kompetente myndigheder effektivt overvåger og træffer de nødvendige foranstaltninger til at sikre, at direktivet overholdes. Medlemsstaterne kan dog tillade, at de kompetente myndigheder prioriterer deres tilsynsopgaver baseret på en risikobaseret tilgang.

Direktivet skelner mellem væsentlige og vigtige enheder, til brug for tilsynsfrekvens og hvilke tiltag det er muligt for myndighederne at anvende ved tilsyn. Sondringen mellem enheder i direktivet, passer sammen med den måde de nuværende regler for tilsyn sondrer mellem virksomheder i energisektoren. Klima-, Energi- og Forsyningsministeriet vurderer, at den nuværende ordning i for el- og gassektorerne med kategorisering af virksomheder bør videreføres, da dette hjælper til at sikre en rimelig balance mellem forpligtelserne af virksomhederne og tilsynsenheden, og er foreneligt med den sondring som foreslås efter NIS 2-direktivet. Klima-, Energi- og Forsyningsministeriet vurderer også, at det er nødvendigt at ordningen udvides til at omfatte de andre sektorer, som skal omfattes af loven, således NIS 2-direktivets artikel 31-33 og CER-direktivets artikel 21 kan implementeres i dansk ret for energisektoren. Det foreslås derfor, at reglerne om tilsyn jf. de foreslåede bestemmelser i §§ 19 og 20 fremadrettet også gælder for visse ikke allerede omfattede virksomheder i el-, gas- og oliesektoren, samt alle virksomheder i fjernvarme-, fjernkølings- og brintsektorerne jf. de foreslåede bestemmelser i § 2, stk. 1-2. Fremadrettet forventes det, at virksomheder ikke bliver inddelt i kategorier, men derimod i niveauer. Desuden forventes det fremadrettet, at jo højere et niveau en virksomhed inddeles på, jo mere kritisk er virksomhed for forsyningssikkerheden. Dermed vil niveau 1 virksomheder være de mindst kritiske, mens et højere niveau betyder at en virksomhed er mere kritiske og skal efterleve flere krav.

Der skelnes i NIS 2-direktiver mellem vigtige og væsentlige enheder i forhold til, hvilke tilsynsforanstaltninger der skal kunne anvendes. Det er dog Klima-, Energi- og Forsyningsministeriets vurdering, at alle tilsynsforanstaltninger som udgangspunkt skal kunne anvendes overfor alle virksomheder uagtet virksomhedens niveau, for at sikre en robust energisektor.

Virksomhederne i de forskellige delsektorer er vigtige for den danske forsyning af energi. Klima-, Energi- og Forsyningsministeriet vurderer derfor ikke, at det vil være tilstrækkeligt, at nogen virksomheder kun modtager reaktive tilsyn, efter en hændelse er indtruffet, som NIS-direktivets artikel 33 fastsætter som et minimumskrav for tilsyn med vigtige virksomheder. Af hensyn til alle danskeres forsyningssikkerhed af energi, foreslås det med § 19, stk. 3, at de nuværende regler om proaktive tilsyn for alle virksomheder vil kunne videreføres ved fastsættelse af regler på bekendtgørelsesniveau, dog med den differentiering i hvor ofte det proaktive tilsyn gennemføres.

Direktivet oplister herudover de tilsynsforanstaltninger, som minimum skal kunne anvendes ved tilsyn med virksomhederne. Der er navnlig tale om, at tilsynsmyndigheden skal kunne føre kontrol på stedet hos enhederne, foretage målrettede sikkerhedsaudits og sikkerhedsscanninger samt kræve at få udleveret oplysninger og dokumentation, der er nødvendige for udførelsen af myndighedernes tilsynsopgaver.

Det foreslås med § 19, stk. 1, at klima-, energi- og forsyningsministeren fører tilsyn med virksomheder i energisektoren omfattet af denne lov.

I dag føres der tilsyn, med henblik på at skabe værdi i sektoren, for at højne det fælles sikkerhedsniveau i energisektoren. Denne værdiskabende tilgang til tilsynet vil være grundstenen i den måde de forskellige tilsynsforanstaltninger i den foreslåede § 19, stk. 2, nr. 1-6 skal anvendes.

Det foreslås med § 19, stk. 2, nr. 1-6, at klima-, energi- og forsyningsministeren for at opfylde sin tilsynsforpligtelse kan anvende en række tilsyns- og kontrolforanstaltninger, såsom at føre tilsyn og kontrol hos virksomhed, foretage regelmæssige tilsyns- og kontrolbesøg samt ad-hoc tilsyn. Desuden foreslås der med forslaget til § 35, stk. 1, en hjemmel til at få udleveret oplysninger og få adgang til relevante data og dokumenter, når det er nødvendigt for klima-, energi- og forsyningsministerens eller Energinets opgaver efter loven, efter bestemmelser efter loven elle efter EU-retsakter eller internationale forpligtigelser om forhold omfattet af loven.

Klima-, Energi- og Forsyningsministeriet har i forbindelse med udformningen af de foreslåede tilsynsbestemmelser, overvejet om reglerne er nødvendige, og de er i overensstemmelse med retssikkerhedslovens regler for forvaltningens brug af tvangsindgreb uden for strafferetsplejen.

Det er Klima-, Energi- og Forsyningsministeriets vurdering, at reglerne er nødvendige, idet reglerne skal implementere særligt NIS 2-direktivets meget specifikke og meget strenge krav til tilsyns- og håndhævelsesforanstaltninger i artikel 32, samt CER-direktivets artikel 21, der har næsten ligeså vidt gående krav til tilsyn og håndhævelse som NIS 2-direktivet.

Det forudsættes, at der ved valget om en af de i § 19, stk. 2, nr. 1-6, tvangsindgreb vil skulle anvendes, at klima-, energi- og forsyningsministeren iagttager proportionalitetsprincippet i retssikkerhedslovens § 2, og således kun anvender foranstaltninger, hvis indgreb står i rimeligt forhold til formålet med indgrebet.

Det forudsættes ligeledes, at retssikkerhedslovens § 3 til § 8 iagttages ved anvendelsen af det valgte tvangsindgreb. Således skal der ske underretning af virksomheden, og formkravene i § 5, stk. 2 skal overholdes medmindre undtagelserne i § 5, stk. 4, måtte finde anvendelse.

Det er således Klima-, Energi- og Forsyningsministeriets vurdering, at reglerne er nødvendige og at retssikkerhedslovens regler for forvaltningen brug af tvangsindgreb uden strafferetsplejens overholdes.

Den foreslåede ordning i § 19, stk. 4, vil medføre, at ministeren kan fastsætte nærmere regler om i hvilke tilfælde, tilsynet kan ske ved et fysisk tilsyn med fremmøde hos virksomheden, eller at tilsynet kan ske som et eksternt tilsyn. Ministeren vil også kunne fastsætte nærmere regler om hyppigheden af tilsyn.

Det foreslåede indebærer, at der fastsættes en ramme for myndighedstilsyn med overholdelsen af reglerne i loven og regler udstedt i medfør af loven. Således har Energistyrelsen, der i dag varetager tilsynet med beredskabet i energisektoren på vegne af klima-, energi- og forsyningsministeren, oparbejdet et tilsyn der er forankret i en stærk beredskabs- og cybersikkerhedsfaglighed, der ligger vægt på at være værdiskabende for virksomhederne, således at udgangspunktet for tilsynet er at gøre den enkelte virksomheds beredskab og cybersikkerhed bedre efter fuldendt tilsyn. Med de foreslåede tilsynsbestemmelser vil dette værdiskabende tilsyn kunne forsættes.

Den foreslåede § 19, stk. 4, vil derudover kunne anvendes til at fastsætte nærmere regler om, den geografiske og tidsmæssige udstrækning af tilsyn, så længe tilsynet er proportionelt med en virksomheds betydning for forsyningssikkerheden. Det foreslås med § 19, stk. 4, at ministeren kan bruge bestemmelsen til at fastsætte nærmere regler om tilsyn og kontrol af virksomhederne, såsom metoder for og varigheden af tilsynet. Dette vil være med til at fremtidssikre loven, således at der til enhver tid vil kunne føres et tilpas grundigt tilsyn hos virksomhederne i energisektoren, afhængig af vigtigheden af den enkelte forsyningsart og trusselsniveauet mod den pågældende delsektor.

Det foreslås i § 19, stk. 5, at klima-, energi- og forsyningsministeren kan fastsætte regler om udlevering af materiale til brug for tilsyn samt formkrav hertil, herunder regler om hvilke sprog materialet skal udarbejdes på.

Den foreslåede bestemmelse vil medføre, at ministeren kan fastsætte regler om, at oplysninger eller materiale til brug for tilsyn udleveres på en bestemt måde, på et bestemt sprog og i en bestemt form. Eksempelvis vil der kunne fastsættes regler om, at virksomhederne skal anvende bestemte skemaer eller skabeloner ved udleveringen af tilsynsmateriale. Ligeledes vil der kunne fastsættes regler om, at virksomhederne forpligtes til at registrere visse oplysninger ved brug af en bestemt hjemmeside eller it-løsning. Endeligt vil bestemmelsen også kunne bruges til at fastsætte regler om at dokumentation og oplysninger til brug for klima-, energi- og forsyningsministeren skal indgive i en dansk version uagtet hvad virksomhedens organisationssprog måtte være.

For de nærmere beskrivelser af den foreslåede ordning, henvises til de specielle bemærkninger til §§ 19 og 20.

3.7. Påbud, forbud og straf

3.7.1. Gældende ret

EPCIP-direktivet indeholder ikke bestemmelser om håndhævelse og sanktioner.

EPCIP-direktivet er blevet implementeret i energisektoren ved bekendtgørelse nr. 11 af 7. januar 2011 om identifikation og udpegning af europæisk kritisk infrastruktur på energiområdet og vurdering af behovet for bedre beskyttelse. Efter bekendtgørelsen kan virksomheder i forbindelse med tilsyn pålægges at udarbejde en sikkerhedsplan og ændre i virksomhedens beredskabsplaner.

Desuden kan virksomheder straffes med bøde, hvis de 1) ikke har udpeget en sikkerhedsofficer eller et kontaktpunkt for infrastruktur udpeget efter direktivets regler, ikke behandler materiale, der indeholder særligt følsomme oplysninger om infrastrukturen, fortroligt og opbevarer det sikkert eller undlader at oplyse Energistyrelsen om, at følsomme oplysninger er kompromitteret 2) ikke udarbejder eller reviderer planmateriale 3) afgiver urigtige eller vildledende oplysninger eller efter anmodning undlader at afgive oplysninger 4) ikke overholder pålæg meddelt efter denne bekendtgørelse eller 5) videregiver særligt følsomme oplysninger, til uvedkommende.

Efter NIS 1-direktivets artikel 21 skal medlemsstaterne fastsætte regler om sanktioner, der anvendes i tilfælde af overtrædelser af de nationale regler, der er vedtaget i medfør af direktivet, og træffe alle nødvendige foranstaltninger for at sikre, at de gennemføres. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

EPCIP-direktivet og NIS 1-direktivet indeholder ikke nærmere bestemmelser om ansvar for bestemte fysiske personer.

I energisektoren er virksomheders beredskab for forsyningssikkerheden af energi reguleret i delsektorerne el, gas og olie. Reguleringen omfatter både fysisk beredskab og it-beredskab. Klima-, energi- og forsyningsministeren kan bestemme, at opstrømsanlæg og bygasnet tilsvarende skal foretage beredskabsplanlægning og træffe beredskabsforanstaltninger, jf. varmeforsyningslovens § 29 a, stk. 2.

Efter elforsyningslovens § 85 d og gasforsyningslovens § 47 b, kan det påbydes, at forhold, der strider mod loven eller regler udstedt i medfør af loven, bringes i orden enten straks eller inden for en nærmere angivet frist. Virksomheder, der ikke overholder deres beredskabsforpligtelser, kan derfor gives påbud.

Klima-, energi- og forsyningsministeren kan efter § 54, stk. 4 i elforsyningsloven midlertidigt inddrage en bevilling eller tilladelse, hvis en overtrædelse af bestemmelser, vilkår eller påbud efter elforsyningsloven eller VE-loven eller regler udstedt i medfør af disse love indebærer tilsidesættelse af væsentlige hensyn til elforsyningssikkerheden. Dette gør sig ligeledes gældende, hvis en netvirksomhed gør sig skyldig i grove eller gentagne tilsidesættelse af vilkår stillet af Energinet i medfør af elforsyningslovens § 31, stk. 2, der berører virksomhedens bevillingspligtige aktivitet. Klima-, energi- og forsyningsministeren skal i forbindelse med afgørelsen vejlede den pågældende om prøvelsesadgangen

Klima-, energi- og forsyningsministeren kan inddrage en bevilling som er udstedt i medfør af gasforsyningslovens § 10, hvis virksomheden som har modtaget bevillingen, ikke efterkommer påbud meddelt jf. gasforsyningslovens § 33, stk. 1, nr. 1.

Virksomheder i el- og gassektorerne, som ikke efterlever påbud om manglende overholdelse af it-beredskab, kan påbydes at foretage en it-revision, jf. it-beredskabsbekendtgørelsens § 32, stk. 2 og § 33, stk. 2.

Efter elforsyningslovens § 88 og gasforsyningslovens § 50, kan der fastsættes regler om bødestraf for regler udsted i medfør af loven.

Virksomheder med beredskabsansvar i el- og gassektorerne kan straffes med bøde hvis virksomhederne, ikke udarbejder eller reviderer planmateriale, ikke fremsender planmateriale til godkendelse, afgiver urigtige eller vildledende oplysninger eller efter anmodning undlader at afgive oplysninger, ikke overholder pålæg meddelt efter denne bekendtgørelse eller videregiver følsomt materiale og oplysninger til uvedkommende, jf. elberedskabsbekendtgørelsens § 35 og naturgasberedskabsbekendtgørelsens § 35.

It-beredskabsbekendtgørelsen indeholder ikke en selvstændig strafbestemmelse.

Virksomheder i elsektoren som ikke efterlever påbud udstedt i medfør af elforsyningslovens § 85 d, straffes med bøde, jf. elforsyningslovens § 87, stk. 1, nr. 7. Virksomheder i gassektoren som ikke efterlever påbud udstedt i medfør af gasforsyningslovens § 47 b, straffes med bøde, jf. gasforsyningslovens § 49, stk. 1, nr. 6.

Efter olieberedskabslovens § 16, stk. 1, skal lagringspligtige olievirksomheder foretage den nødvendig planlægning og foretage de nødvendige foranstaltninger for at sikre forsyningen af råolie og olieprodukter i beredskabssituationer og andre ekstraordinære situationer. Klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om beredskabsarbejdet for virksomhederne efter olieberedskabslovens § 16, stk. 3.

Ifølge olieberedskabslovens § 18, kan klima- energi- og forsyningsministeren påbyde at forhold, der strider mod loven eller regler udstedt i henhold til loven, skal bringes i orden inden for en nærmere angivet frist. Klima-, energi- og forsyningsministeren kan dermed på baggrund af manglende overholdelse af beredskabsregler påbyde lagringspligtige virksomheder, at forholdene skal bringes i orden.

Efter olieberedskabslovens § 23, stk. 1, nr. 5, straffes den, der undlader at efterkomme påbud efter olieberedskabslovens § 18, med bøde. Derudover kan der i regler, som udstedes i medfør af olieberedskabsloven, fastsættes bødestraf for overtrædelse af bestemmelserne i reglerne eller vilkår fastsat i henhold til reglerne og for manglende overholdelse af påbud meddelt i henhold til reglerne. Der kan i henhold til olieberedskabslovens § 23, stk. 3, pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Virksomheder med beredskabsansvar kan efter olieberedskabsbekendtgørelsens § 22, straffes med bøde, hvis virksomhederne 1) undlader at meddele Energistyrelsen om virksomheden er afhængig af et forsyningskritisk it-system og en hændelse i dette forsyningskritiske it-system vil få væsentlige forstyrrende virkninger for leveringen af råolie eller olieprodukter i en beredskabssituation eller anden ekstraordinær situation, 2) undlader at underrette Energistyrelsen om hændelser, der i væsentlig grad reducerer funktionaliteten, 3) undlader at underrette Energistyrelsen eller Center for Cybersikkerhed om it-sikkerhedshændelser, der påvirker forsyningskritiske it-systemer, hvor underretningen som minimum indeholder en beskrivelse af hændelsen, hændelsens konsekvenser og hvorvidt hændelsen vurderes at have vidtrækkende konsekvenser for andre sektorer, 4) undlader at udarbejde evalueringer efter hændelser eller at fremsende disse til Energistyrelsen.

Kompetencen til at føre beredskabstilsyn, udstede bøder og inddrage autorisation for virksomheder i el- og olie- gassektorerne er delegeret til Energistyrelsen, jf. § 3, stk. 1, nr. 5 og nr. 6, i bekendtgørelse nr. 910 af 14. juni 2024 om Energistyrelsens opgaver og beføjelser (delegationsbekendtgørelsen).

3.7.2. CER-direktivet

Det følger af CER-direktivets artikel 22, at medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale foranstaltninger, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Medlemsstaterne giver senest den 17. oktober 2024 EU-Kommissionen meddelelse om disse regler og foranstaltninger, og underretter den straks om alle senere ændringer, der berører dem.

3.7.3. NIS 2-direktivet

Det følger af NIS 2-direktivets artikel 34, stk. 1, at medlemsstaterne sikrer, at de administrative bøder, der pålægges væsentlige og vigtige enheder i henhold til denne artikel for så vidt angår overtrædelser af dette direktiv, er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning, under hensyntagen til omstændighederne i hver enkelt sag.

Det følger desuden af artikel 34, stk. 2, at administrative bøder pålægges i tillæg til en hvilken som helst af foranstaltningerne omhandlet i artikel 32, stk. 4, litra a)-h), artikel 32, stk. 5, og artikel 33, stk. 4, litra a)-g).

Endvidere følger det af artikel 34, stk. 3, at når det besluttes, at der skal pålægges en administrativ bøde, og der træffes afgørelse om dens størrelse i hver enkelt sag, tages der som minimum behørigt hensyn til de i artikel 32, stk. 7, angivne elementer.

I medfør af artikel 34, stk. 4, følger det, at medlemsstaterne sikrer, at hvor væsentlige enheder overtræder artikel 21 eller 23, straffes de i overensstemmelse med nærværende artikels stk. 2 og 3 med administrative bøder med et maksimum på mindst 10.000.000 euro eller et maksimum på mindst 2 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den væsentlige enhed tilhører, alt efter hvad der er højest.

Desuden følger det af artikel 34, stk. 6, at medlemsstaterne kan fastsætte beføjelser til at pålægge tvangsbøder for at tvinge en væsentlig eller vigtig enhed til at bringe en overtrædelse af dette direktiv til ophør i overensstemmelse med en forudgående afgørelse truffet af den kompetente myndighed.

Endelig følger det af artikel 34, stk. 8, at hvis en medlemsstats retssystem ikke giver mulighed for at pålægge administrative bøder, sørger den pågældende medlemsstat for, at denne artikel anvendes på en sådan måde, at den kompetente myndighed tager skridt til bøder, og de kompetente nationale domstole pålægger dem, idet det sikres, at disse retsmidler er effektive, og at deres virkning svarer til virkningen af administrative bøder, som pålægges af de kompetente myndigheder. De bøder, der pålægges, skal under alle omstændigheder være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Medlemsstaten giver EU-Kommissionen meddelelse om bestemmelserne i de love, som den vedtager i henhold til dette stykke, senest den 17. oktober 2024 og underretter den straks om eventuelle senere ændringslove eller ændringer, der berører dem.

NIS 2-direktivets artikel 35, stk. 1, fastsætter, at hvor de kompetente myndigheder i forbindelse med tilsyn eller håndhævelse bliver opmærksomme på, at en væsentlig eller vigtig enheds overtrædelse af forpligtelserne i dette direktivs artikel 21 og 23 kan medføre et brud på persondatasikkerheden som defineret i artikel 4, nr. 12), i databeskyttelsesforordningen, som skal anmeldes i henhold til nævnte forordnings artikel 33, underretter de uden unødigt ophold tilsynsmyndigheder som omhandlet i nævnte forordnings artikel 55 eller 56.

Desuden følger det af artikel 35, stk. 2, at hvor tilsynsmyndighederne som omhandlet i artikel 55 eller 56 i databeskyttelsesforordningen pålægger en administrativ bøde i henhold til nævnte forordnings artikel 58, stk. 2, litra i), må de kompetente myndigheder ikke pålægge en administrativ bøde i henhold til dette direktivs artikel 34 for en i nærværende artikels stk. 1 omhandlet overtrædelse, der skyldes den samme adfærd som den, der var genstand for den administrative bøde i henhold til artikel 58, stk. 2, litra i), i databeskyttelsesforordningen. De kompetente myndigheder kan dog anvende de håndhævelsesforanstaltninger eller pålægge de sanktioner, der er omhandlet i dette direktivs artikel 32, stk. 4, litra a)-h), artikel 32, stk. 5, og artikel 33, stk. 4, litra a)-g).

Endelig følger det af artikel 35, stk. 3, at hvor den tilsynsmyndighed, der er kompetent i henhold til databeskyttelsesforordningen, er etableret i en anden medlemsstat end den kompetente myndighed, underretter den kompetente myndighed tilsynsmyndigheden, der er etableret i sin egen medlemsstat, om det i stk. 1 omhandlede potentielle brud på persondatasikkerheden.

Det følger af NIS 2- direktivets artikel 36, at medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale foranstaltninger, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Medlemsstaterne giver senest den 17. januar 2025 EU- Kommissionen meddelelse om disse regler og foranstaltninger og underretter den straks om alle senere ændringer, der berører dem.

3.7.4. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

De hensyn som er oplistet i NIS 2-direktivet skal iagttages uagtet om der foretages håndhævelsesforanstaltninger på baggrund af bestemmelser, der er en videreførelse af gældende ret eller implementering af NIS 2- og CER-direktiverne.

Det vurderes mest hensigtsmæssigt, at afgørelse om håndhævelsesforanstaltninger træffes af den myndighed, der fører tilsyn efter loven. Det forventes, at disse kompetencer delegeres til Energistyrelsen.

Håndhævelsesforanstaltninger som fratager en virksomhed deres autorisation eller forbyder et medlem af ledelsen at udføre ledelsesopgaver, er meget indgribende foranstaltninger. Foranstaltninger bør derfor ledsages af de fornødne retssikkerhedsmæssige garantier.

I lighed med NIS 1-direktivet indeholder NIS 2-direktivet i artikel 36 en bestemmelse, hvorefter medlemsstaterne skal fastsætte regler om sanktioner, der skal anvendes i tilfælde af overtrædelse af de nationale foranstaltninger, der er vedtaget i medfør af direktivet, ligesom medlemsstaterne skal træffe alle nødvendige foranstaltninger for at sikre, at de gennemføres.

Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

NIS 2-direktivets artikel 34 indeholder herudover regler om de generelle betingelser for pålæggelse af administrative bøder til væsentlige og vigtige enheder.

Der lægges i NIS 2-direktivets artikel 34 op til, at bøder pålægges administrativt - dvs. af de kompetente myndigheder - medmindre medlemsstaternes nationale retssystem ikke giver mulighed herfor. I givet fald skal bestemmelserne om administrative bøder anvendes, således at disse i sidste ende pålægges af de nationale domstole. Det skal sikres, at virkningen svarer til virkningen af administrative bøder.

Indførelsen af administrative bøder giver i dansk ret betænkeligheder i forhold til grundlovens § 3 om magtens tredeling. Bestemmelsen antages at indebære, at lovgivningsmagten ikke i almindelighed kan henlægge behandlingen af strafferetlige bødesager til administrative myndigheder. I dansk retspleje er det i øvrigt et grundlæggende princip, at bøder, der har karakter af en strafferetlig sanktion, kun kan idømmes ved domstolene og i strafferetsplejens former, der sikrer den sigtede en effektiv beskyttelse. Det er på den baggrund Klima- Energi- og Forsyningsministeriets vurdering, at direktivets undtagelsesbestemmelse ift. administrative bøder bør finde anvendelse. Direktivets bestemmelser om administrative bøder vil således skulle fortolkes og implementeres på en måde, hvor bøder ikke pålægges administrativt, men i det almindelige strafferetlige system.

Det følger af NIS 2-direktivet, at (administrative) bøder vil kunne blive pålagt i tillæg til en hvilken som helst af håndhævelsesforanstaltningerne vedrørende væsentlige og vigtige enheder, herunder - for så vidt angår væsentlige enheder - også den særlige suspensions- og forbudsordning.

Klima- energi- forsyningsministeren vil skulle påse, at denne lov og regler udstedt i medfør af loven efterleves, herunder undersøge mulige overtrædelser af lovgivningen. I den situation, hvor en kompetent myndighed måtte blive bekendt med, at der kan være sket en strafbar overtrædelse af loven eller regler udstedt i medfør af loven, vil myndigheden efter Klima-, Energi- og Forsyningsministeriets opfattelse skulle foretage en konkret vurdering - under hensyntagen til omstændighederne i hver enkelt sag og sanktionsregimets effektivitet, forholdsmæssighed og afskrækkende virkning - og på den baggrund beslutte, om forholdet skal anmeldes til politiet.

NIS 2-direktivets artikel 34, stk. 3, foreskriver desuden nærmere, hvilke hensyn, der skal indgå i beslutningen om, hvorvidt der skal pålægges en bøde, samt bødens størrelse. Hensynene er de samme som de hensyn, der skal indgå i en afgørelse om at træffe håndhævelsesforanstaltninger efter artikel 32, stk. 7, jf. afsnit 3.4.2 ovenfor.

Det forudsættes, at de pågældende hensyn indgår i de kompetente myndigheders beslutning om politianmeldelse af et forhold, samt i politi- og anklagemyndighedens samt domstolenes vurdering af sagen, herunder ved udmålingen af en eventuel bøde.

Efter NIS 2-direktivets artikel 34, stk. 4, skal væsentlige enheders overtrædelse af direktivets artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller artikel 23 (rapporteringsforpligtelser) straffes med et maksimum på mindst 10.000.000 euro eller et maksimum på mindst 2 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den væsentlige enhed tilhører, alt efter, hvad der er højest.

Efter NIS 2-direktivets artikel 34, stk. 5, skal vigtige enheders overtrædelse af direktivets artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller artikel 23 (rapporteringsforpligtelser) straffes med et maksimum på mindst 7.000.000 euro eller et maksimum på mindst 1,4 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den væsentlige enhed tilhører, alt efter, hvad der er højest.

Klima-, Energi- og Forsyningsministeriet vurderer, at der bør kunne udmåles bøder til virksomhederne svarende til de i direktivet fastlagte minimumsgrænser for det maksimale bødeniveau. Klima-, Energi-, og Forsyningsministeriet finder således ikke anledning til at fastsætte højere maksimumniveauer end de i direktivet fastlagte minimumsniveauer. Klima-, Energi- og Forsyningsministeriet lægger i øvrigt vægt på at foretage en implementering, der i overensstemmelse med NIS 2- og CER-direktiverne fastsætter bestemmelser om sanktioner, som sikrer at disse er effektive, forholdsmæssige og har afskrækkende virkning. De foreslåede bestemmelser om bøde, for manglende overholdes af NIS 2-direktivets artikel 21, fremgår af lovforslagets § 37, stk. 1, nr. 2-4.

3.7.4.1 Særligt om tvangsbøder

Det følger af NIS 2-direktivet, at medlemsstaterne kan fastsætte beføjelser til at pålægge tvangsbøder for at tvinge en væsentlig eller vigtig enhed til at bringe en overtrædelse af direktivet til ophør i overensstemmelse med en forudgående afgørelse truffet af den kompetente myndighed.

Efter retsplejelovens § 997, stk. 3, kan der i domme, hvorved nogen tilpligtes at opfylde en forpligtelse mod det offentlige, som tvangsmiddel fastsættes en fortløbende bøde, der tilfalder statskassen (tvangsbøder).

Det følger således allerede af de almindelige regler i retsplejeloven, at domstolene kan udskrive tvangsbøder for at få nogen, herunder i givet fald virksomhederne som foreslås omfattet, til at opfylde en forpligtelse mod det offentlige, herunder de kompetente myndigheder.

Administrative tvangsbøder er derimod tvangsbøder, som ikke pålægges af domstolene, men af forvaltningen. En administrativ tvangsbøde er således en afgørelse om, at en økonomisk sanktion vil blive pålagt, hvis en handlepligt ikke opfyldes - fx et påbud eller en pligt til at udlevere bestemte oplysninger.

Sådanne bøder kan ofte opfattes som en straf, og der er ikke samme retssikkerhedsgarantier som tvangsbøder pålagt af domstolene. Det antages derfor normalt, at der kun bør gives hjemmel til administrative tvangsbøder, hvis der foreligger et helt særligt behov for effektiv kontrol og håndhævelse på det pågældende område. Endvidere bør de forhold, der udløser tvangsbøderne, være let konstaterbare.

Klima-, Energi- og Forsyningsministeriet er på baggrund af ovenstående tilbageholdende med at foreslå, at der skabes hjemmel til administrative tvangsbøder på dette område. Det skal bl.a. ses i lyset af, at det på nuværende tidspunkt er usikkert, om de forhold, der i givet fald vil kunne begrunde tvangsbøder, er så tilstrækkeligt objektivt konstaterbare, at det vil være betænkeligt at skabe en sådan hjemmel.

Klima-, Energi- og Forsyningsministeriet vurderer således som udgangspunkt, at de retsmidler, der foreslås med denne lov, herunder tilsyns- og håndhævelsesforanstaltningerne i lovforslagets samt muligheden for at offentliggøre afgørelser mv., er tilstrækkelige til at sikre, at reglerne efterleves. Dette skal også ses i lyset af de eksisterende muligheder i retsplejeloven for at anvende tvangsbøder. De foreslåede retsmidler som nævnes ovenfor, fremgår af lovforslagets § 19, stk. 2, nr. 1-6, § 21, stk. 1, nr. 1-5, § 22, stk. 1 og § 23, skt. 1, nr. 1 og 2.

3.7.4.2 Særligt om fysiske personers strafansvar, herunder valg af ansvarssubjekt

NIS 2-direktivets artikel 34 om generelle betingelser for pålæggelse af bøder er rettet mod væsentlige og vigtige enheder, og dermed de juridiske personer som sådan. De forudsatte bødeniveauer udmåles bl.a. på baggrund af virksomhedens årsomsætning.

Det følger dog af NIS 2-direktivets artikel 32, stk. 6, at medlemsstaterne sikrer, at enhver fysisk person, der er ansvarlig for eller optræder som juridisk repræsentant for en væsentlig enhed på grundlag af beføjelsen til at repræsentere den, beføjelsen til at træffe afgørelser på dennes vegne eller beføjelsen til at udøve kontrol over den, har beføjelse til at sikre, at den overholder dette direktiv. Medlemsstaterne sikrer, at det er muligt at drage sådanne fysiske personer til ansvar for tilsidesættelse af deres forpligtelser til at sikre overholdelse af dette direktiv.

Det er i direktivets præambelbetragtning 130 forudsat, at hvor en bøde pålægges en person, der ikke er en virksomhed, bør den kompetente myndighed ved fastsættelsen af en passende bødestørrelse tage hensyn til det generelle indkomstniveau i den pågældende medlemsstat og personens økonomiske stilling.

Det følger af Rigsadvokatmeddelelse nr. 11550 af 17. april 2015 om strafansvar for juridiske personer, at udgangspunktet ved valg af ansvarssubjekt i særlovgivningen er, at tiltalen rejses mod den juridiske person.

Det er i den forbindelse en forudsætning for at pålægge en juridisk person ansvar, at der inden for dens virksomhed er begået en overtrædelse, der kan tilregnes en eller flere til virksomheden knyttede personer eller virksomheden som sådan, jf. straffelovens § 27, stk. 1.

Det fremgår dog også af rigsadvokatmeddelelsen, at der i en række tilfælde kan være anledning til - ud over tiltalen mod den juridiske person - tillige at rejse tiltale mod en eller flere fysiske personer, såfremt den eller de pågældende har handlet forsætligt eller udvist grov uagtsomhed. Der angives endvidere retningslinjer for afgørelsen herom.

Det beskrives i den forbindelse, at der på en række områder er fastsat særlige regler, som pålægger enkeltpersoner et selvstændigt og individuelt strafansvar i kraft af deres særlige stilling eller funktion, eksempelvis piloter og besætningsmedlemmer. I så fald er udgangspunktet, at der rejses tiltale mod den pågældende person samt i almindelighed tillige mod den juridiske person. I visse tilfælde indeholder lovgivningen endvidere mulighed for et selvstændigt og individuelt strafansvar, selv om overtrædelsen ikke kan tilregnes de pågældende som forsætlig eller uagtsom (objektivt individualansvar).

Klima-, Energi- og Forsyningsministeriet finder ikke på dette område anledning til at fastsætte særlige regler om et selvstændigt og individuelt strafansvar for fysiske personer, herunder regler, som går videre end strafansvaret for juridiske personer. Det er således Klima-, Energi- og Forsyningsministeriets vurdering, at NIS 2-direktivets krav om, at nærmere bestemte fysiske personer kan drages til ansvar for tilsidesættelse af deres forpligtelser efter direktivet, ikke synes at stille krav om mere end det, der allerede i dag følger af de almindelige regler.

Dermed vil et eventuelt strafansvar for fysiske personer følge det almindelige udgangspunkt i særlovgivningen, hvorefter der i tillæg til den juridiske person efter nærmere retningslinjer kan rejses tiltale mod en fysisk person, såfremt denne har handlet forsætligt eller groft uagtsomt. Bøder vil i givet fald skulle udmåles i overensstemmelse med direktivets forudsætninger om størrelsen heraf.

3.7.4.3 Særligt om brud på persondatasikkerheden

NIS 2-direktivets artikel 35, stk. 2, indeholder særlige bestemmelser for så vidt angår overtrædelser af forpligtelserne i direktivets artikel 21 (om foranstaltninger til styring af cybersikkerhedsrisici) og artikel 23 (om underretningsforpligtelser), der (også) kan medføre et brud på persondatasikkerheden i medfør af databeskyttelsesforordningen. I givet fald skal de kompetente myndigheder uden unødigt ophold underrette de relevante tilsynsmyndigheder, i dansk ret Datatilsynet, og der kan ikke straffes med (administrativ) bøde i medfør af NIS 2-direktivet, såfremt den samme adfærd straffes med (administrativ) bøde efter databeskyttelsesforordningen.

Det følger af direktivet, at de kompetente myndigheder ikke er afskåret fra at anvende håndhævelsesforanstaltninger i de pågældende situationer.

Henset til, at der ikke anvendes administrative bøder i dansk ret, jf. ovenfor, vil bestemmelserne skulle fortolkes og implementeres i lyset heraf.

3.7.4.4 Om andre påbud, forbud og straf

Det foreslås, at klima-, energi- og forsyningsministeren kan pålægge at forhold, der ikke lever op til lovens krav bringes i orden. Påbud kan ske på baggrund af tilsyn eller, hvis Energistyrelsen, der forventes at udføre tilsynet på ministerens vegne, på anden måde bliver bekendt med, at pligterne efter loven ikke efterleves. Energistyrelsen kan blive bekendt med beredskabsforhold gennem anden kommunikation med den pågældende virksomhed, kommunikation om den pågældende virksomheder eller tilsyn, som føres efter anden regulering m.v.

Der kan være tilfælde, hvor Energistyrelsen ved tilsyn bliver opmærksom på væsentlige afvigelser i virksomhedernes risikostyring og sikkerhedsforanstaltninger. Dette kan bl.a. være i tilfælde af, at virksomheden ikke retter op på forhold, der har givet anledning til væsentlige påbud, eller hvor det vurderes, at en virksomheds risikovurderinger vedrørende risici for forsyningen er mangelfulde. Det foreslås derfor i § 22, skt. 1, at Energistyrelsen i særlige tilfælde kan pålægge virksomheden ekstern beredskabsrevision. I sådanne tilfælde foreslås det desuden i § 22, stk. 3, at Energistyrelsen er ansvarlig for at beskrive rammerne for revisionen samt vælge hvilke revisorselskaber, der kan benyttes.

Det bemærkes desuden, at de eksisterende muligheder for rettighedsfrakendelse i straffeloven ikke vurderes tilstrækkelige til at sikre korrekt og tilstrækkelig implementering af bestemmelsen i direktivet. Det skyldes navnlig, at rettighedsfrakendelse i medfør af straffelovens § 79 alene kan ske i forbindelse med dom for strafbart forhold, og hvis det udviste forhold begrunder en nærliggende fare for misbrug af stillingen.

Det foreslås, at den særlige ordning om at forbyde en fysisk person af ledelsen at udøve ledelsesfunktioner og midlertidig suspension af autorisation, som udgangspunkt bliver anvendt i de tilfælde, hvor allerede pålagte håndhævelsesforanstaltninger er utilstrækkelige. Efter den foreslåede ordning, fastsættes der en frist, inden for hvilken manglerne afhjælpes eller myndighedernes krav efterleves. Efter forslaget i § 23 bliver udgangspunktet, hvis de nødvendige tiltag ikke er foretaget inden for den fastsatte frist, at ministeren kan træffe afgørelse om midlertidigt at suspendere en myndighedsudstedt certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, enheden leverer, eller aktiviteter, der udføres af enheden eller midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau eller juridisk repræsentant i enheden at udøve ledelsesfunktioner i den pågældende enhed.

Det vil i udgangspunktet være en forudsætning, at ordningen først anvendes, når det kan konstateres at mindre indgribende midler har vist sig utilstrækkelige.

Det foreslås, at sådanne midlertidige suspensioner eller midlertidige forbud mod, at fysiske personer må udøve ledelsesfunktioner, kun kan anvendes, indtil virksomheden træffer de nødvendige foranstaltninger til at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningerne blev anvendt.

Det foreslås, at håndhævelsesforanstaltninger, der fratager en virksomhed deres autorisation eller forbyder et medlem af ledelsen at udføre ledelsesopgaver, kan forlanges indbragt for domstolene. Desuden foreslås det, at domstolene kan bestemme, at sagsanlæg har opsættende virkning.

Det foreslås, at der som led i implementeringen af CER og NIS 2-direktiverne indsættes sanktionsbestemmelser i loven med det formål, at alle materielle og processuelle krav i loven eller regler udstedt i medfør af loven, som ikke bliver overholdt kan medføre bødestraf.

Det foreslås således, at med bøde straffes den, der: 1) undlader at efterkomme påbud efter § 14, stk. 2, 2) hindrer myndighederne i at føre kontrol efter § 19, stk. 2, nr. 1-6, 3) undlader at efterkomme påbud efter § 21 og § 22, stk. 1 og 2, 4) undlader at efterkomme en afgørelse efter § 23, stk. 1, nr. 1 eller 2, 5) meddeler Energiklagenævnet urigtige, vildledende oplysninger eller undlader, at meddele oplysninger efter anmodning i medfør af § 31, stk. 6, eller 6) meddeler klima-, energi- og forsyningsministeren eller Energinet urigtige eller vildledende oplysninger eller undlader at meddele oplysninger i medfør af den foreslåede § 35, stk. 1.

Det foreslås, at bøder vil kunne pålægges fysiske personer og selskaber m.v. (juridiske personer), i det omfang de omfattes af lovens anvendelsesområde eller de allerede gældende bestemmelser i straffeloven.

NIS 2-direktivet indeholder ikke særlige forudsætninger for så vidt angår bødeniveauet for manglende efterlevelse af forpligtelser i direktivet ud over artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) og artikel 23 (rapporteringsforpligtelser). Der stilles ikke særlige krav til bødestørrelse efter CER-direktivet, men det foreslås, at der i lovforslaget stilles bødekrav svarende til dem i NIS 2-direktivet til bestemmelserne, som implementerer artikel 13 (kritiske enheder modstandsdygtighedsforanstaltninger) og artikel 15 (underretning om hændelser).

Det forudsættes i overensstemmelses med CER-direktivets artikel 22, at sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Det forudsættes således og i overensstemmelse med NIS 2-direktivets artikel 34, stk. 4 og 5, at bødens størrelse for så vidt angår overtrædelse af bestemmelserne i § 14, stk. 2, § 19, stk. 2, nr. 1-6, §§ 21, 22, stk. 1 og 2 og § 23, stk. 1, nr. 1 eller 2 samt reglerne udstedt i medfør af §§ 6-10, § 11, stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr. 1-7, §§ 21 og 22 og § 23, stk. 1, nr. 1 eller 2 maksimalt vil udgøre et beløb svarende til 10.000.000 euro eller 2 pct. af virksomhedens samlede globale årsomsætning i det foregående regnskabsår, alt efter, hvad der er højest.

Der foreslås ikke i tilknytning til øvrige bestemmelser end de specifikt angivne ovenfor anlagt særlige forudsætninger for så vidt angår udmålingen af bødernes størrelse. Det samme gælder eventuel udmåling af bøder til fysiske personer, hvor det dog forudsættes, at der tages behørigt hensyn til direktivets forudsætninger om at lægge vægt på det generelle indkomstniveau og personens økonomiske stilling.

Bøderne vil kunne pålægges i tillæg til påbud og forbud i de foreslåede §§ 21-23.

Ved afgørelse om at politianmelde et forhold, ved pålæg af en bøde og ved udmåling af bødens størrelse forudsættes det, at der lægges vægt på de i afsnit 3.7.4.2. beskrevne hensyn.

Det foreslås endvidere, i overensstemmelse med NIS 2-direktivet, at hvor der er pålagt en bøde for overtrædelse af databeskyttelsesforordningen eller databeskyttelsesloven, kan der ikke pålægges en bøde for overtrædelse af denne lov eller regler udstedt i medfør af loven, hvis overtrædelsen skyldes den samme adfærd.

3.8 Monopolvirksomheders muligheder for at afholde omkostninger til beredskab

3.8.1. Gældende ret

Udgangspunktet for prisreguleringen af varmeforsyningsvirksomheder følger af § 20, stk. 1, i varmeforsyningsloven. Prisreguleringen indebærer, at varmepriserne reguleres efter princippet om nødvendige omkostninger - også kaldet den omkostningsbestemte varmepris. Varmeforsyningsvirksomhederne kan alene indregne nødvendige omkostninger i varmeprisen. Derudover må prisen ikke være urimelig, jf. § 21, stk. 4, i varmeforsyningsloven.

Bestemmelsen i § 20, stk. 1, i varmeforsyningsloven, indeholder en ikke udtømmende opregning af de virksomheder, der er omfattet af prisbestemmelserne. Afgørende for at være omfattet er, at virksomheden leverer opvarmet vand, damp eller gas bortset fra naturgas til det indenlandske marked med det formål at levere energi til bygningers opvarmning og forsyning med varmt vand, dvs. til rumvarmeformål. Bestemmelsen finder tilsvarende anvendelse på levering af opvarmet vand til andre formål fra centrale kraftvarmeanlæg.

De omkostninger, der må indregnes i priserne, skal ud over at være nødvendige, også efter deres art være indregningsberettigede. Det drejer sig bl.a. om omkostninger som følge af pålagte offentlige forpligtelser, herunder omkostninger til energispareaktiviteter efter §§ 28 a, 28 b og 29.

Omkostninger til energispareaktiviteter efter §§ 28 a, 28 b og 29 er nærmere reguleret i kapitel 7 i varmeforsyningsloven om offentlige forpligtelser for varmeforsyningsanlæg. Ud over de disse bestemmelser er beredskab til bygas også reguleret, jf. § 29 a.

Virksomheder, som driver anlæg til produktion og fremføring af bygas, skal foretage nødvendig planlægning og træffe de nødvendige foranstaltninger for at sikre bygasforsyningen i beredskabssituationer og andre ekstraordinære situationer, jf. § 29 a, stk. 1, i varmeforsyningsloven. Klima-, energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i stk. 1 nævnte opgaver samt om varetagelse af de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende beredskabet, jf. § 29 a, stk. 2, i varmeforsyningsloven.

Bestemmelsen omfatter alene bygas. Anden energi er således ikke omfattet.

Det fremgår af de specielle bemærkninger til bestemmelsen i stk. 1, at det ikke blev fundet nødvendigt at etablere et beredskab for andre dele af varmeforsyningen, da brændstofforsyninger til varme- eller kraftvarmeværker påregnedes dækket af dels beredskabslagrene på olieområdet, dels beredskabet for naturgas. Derudover ville varmeproduktion og -distribution blive dækket af det almindelige driftsberedskab. Dertil kom, at varmeforsyning ikke blev anset for at være af afgørende betydning for opretholdelse af samfundets funktioner i en krisesituation.

Bygas blev foreslået omfattet af bestemmelserne, da bygas i vidt omfang er sidestillet med naturgas, og da bygas- og naturgasselskaberne gennem længere tid havde samarbejdet om beredskabsforhold.

Det fremgår af de specielle bemærkninger til bestemmelsen i stk. 2, at bestemmelsen endvidere skulle give hjemmel til at fastsætte regler for varetagelse af de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende beredskabet; som hidtil varetaget i samarbejde med virksomheder inden for naturgassektoren. Bemyndigelsen er på nuværende tidspunkt ikke udnyttet.

Udover, at en omkostning skal være nødvendig, må den samlede pris ikke være urimelig, jf. § 21, stk. 4, i varmeforsyningsloven. Det er Forsyningstilsynet, der i konkrete sager afgør, hvilke udgifter og omkostninger, der må anses for nødvendige, og som derfor kan indregnes i priserne.

Finder Forsyningstilsynet, at tariffer (priser), omkostningsfordeling på anlæg med forenet produktion eller andre betingelser er urimelige eller i strid med nærmere fastlagte retsregler eller regler udstedt i medfør af loven, giver tilsynet, såfremt forholdet ikke gennem forhandling kan bringes til ophør, pålæg om ændring af tariffer, omkostningsfordeling på anlæg med forenet produktion eller betingelser, jf. § 21, stk. 4.

Det følger af Forsyningstilsynets praksis, at den samlede varmepris ikke må overstige den i administrativ praksis udviklede substitutionspris. Substitutionsprisprincippet er udviklet i den administrativ praksis. Substitutionsprisprincippet er derfor ikke fastsat ved lov. Substitutionsprisprincippet indebærer, at der for køb af varme ikke må indregnes en højere pris end den pris, som varmekøber selv ville kunne producere den omfattede varmemængde for eller købe den for fra tredjemand. Princippet kan efter praksis få virkning i alle led i værdikæden, dvs. for alle leverancer omfattet af § 20, stk. 1, i varmeforsyningsloven. I praksis fungerer substitutionsprisen således som et lokalt prisloft for varmeforsyningsvirksomhedernes køb af opvarmet vand m.v. En varmeforsyningsvirksomheds substitutionspris er dynamisk og kan ændre sig fra år til år. Det er Forsyningstilsynet, der af egen drift eller på baggrund af en henvendelse eller en klage, kan vurdere, om substitutionsprisprincippet finder anvendelse i et konkret leveringsforhold, herunder fastsætte substitutionsprisen. Princippet har dog ikke virkning for den del af værdikæden, der er mellem varmedistributionsvirksomhed og slutkunde.

De virksomheder, der er omfattet af prisreguleringen i varmeforsyningsloven, er derudover omfattet af en anmeldelsespligt af visse oplysninger til Forsyningstilsynet efter § 21, stk. 1, i varmeforsyningsloven. Anmeldelsespligten indebærer, at bl.a. priser for ydelser omfattet af § 20 i varmeforsyningsloven, skal anmeldes til Forsyningstilsynet med angivelse af grundlaget herfor efter nærmere regler fastsat af tilsynet. Forsyningstilsynet kan fastsætte regler om formen for anmeldelse og om, at anmeldelse skal foretages elektronisk. Forsyningstilsynet kan fastsætte regler om, at anmeldelse skal ledsages af en erklæring afgivet af en registreret revisor, statsautoriseret revisor eller kommunens revisor. Forsyningstilsynet kan give pålæg om anmeldelse. Anmeldelse er en gyldighedsbetingelse, jf. § 21, stk. 3, i varmeforsyningsloven, men indebærer ikke en godkendelse af det anmeldte fra Forsyningstilsynet.

Elforsyningslovens §§ 69-69 c indeholder de overordnede rammer for den økonomiske regulering af netvirksomhederne.

Netvirksomhederne er, ligesom varmeforsyningsvirksomhederne, naturlige monopoler og er derfor reguleret anderledes end virksomheder, som er udsat for konkurrence. På den ene side skal netvirksomhederne som forsyningsvirksomhed sikres økonomiske forudsætninger til at udbygge infrastruktur i takt med samfundets behov for elektricitet, men omvendt skal omkostningseffektivitet sikres med henblik på, at de som monopoler ikke fastsætter for høje tariffer over for forbrugerne.

Reguleringen af netvirksomhederne er derfor bygget op omkring indtægtsrammer, der lægger et loft over, hvor meget den enkelte netvirksomhed kan opkræve i indtægter fra elkunderne via tariffer. Inden for indtægtsrammen kan netvirksomhederne frit anvende deres midler til drift, vedligehold, investeringer, fleksibilitet, innovation mm.

§ 69, stk. 1 i elforsyningsloven, fastslår, at netvirksomhederne underlægges en indtægtsrammeregulering. Indtægtsrammen er et samlet beløb, som priserne skal fastsættes indenfor, mens selve prisfastsættelsen af netvirksomhedens enkelte ydelser sker efter offentliggjorte metoder, som godkendes af Forsyningstilsynet, jf. § 73 a.

Efter elforsyningslovens § 69, stk. 5 fastsætter Forsyningstilsynet bl.a. de individuelle effektiviseringskrav gennem benchmarking til hver netvirksomhed. De individuelle effektiviseringskrav til netvirksomhederne skal sikre, at ineffektive netvirksomheder holdes op mod effektiviteten hos effektive netvirksomheder, så elforbrugerne ikke permanent betaler for meget for transporten af elektricitet pga. ineffektivitet. Ved opgørelse af de individuelle effektiviseringskrav i Forsyningstilsynets benchmarkingmodel tages bl.a. højde for, at netvirksomhederne leverer forskellige outputs i form af leveret energi, normaliseret net og kapacitet mv, ligesom der skal tages højde for omkostninger, som ikke kan indgå i benchmarkingen. De individuelt opgjorte effektiviseringskrav skal understøtte, at netvirksomhederne vælger omkostningseffektive løsninger, fordi valg af mindre effektive løsninger på sigt vil udløse et effektiviseringskrav.

Det følger af § 29, stk. 1 og stk. 3 i indtægtsrammebekendtgørelsen, at Forsyningstilsynet efter ansøgning forhøjer en netvirksomheds omkostningsramme og justerer det samlede forrentningsgrundlag i reguleringsåret, såfremt en netvirksomhed får meromkostninger som følge af opgaver nævnt i stk. 3, herunder tilmelding til en it-sikkerhedstjeneste i henhold til regler fastsat af klima-, energi- og forsyningsministeren i medfør af lov om elforsyning, samt betaling af omkostninger til myndighedsbehandling i henhold til lov om elforsyning og lov om Forsyningstilsynet og regler fastsat i medfør heraf.

Energistyrelsen har i enkelte sager på Forsyningstilsynets foranledning vejledende udtalt sig om, i hvilket omfang kontrakten var dækkende for kravene i bekendtgørelsen om tilmelding til en it-sikkerhedstjeneste.

3.8.2. Klima-, Energi- og Forsyningsministeriets overvejelser og den foreslåede ordning

Lovforslaget skal styrke energisektorens beredskabsniveau med henblik på at forebygge og modstå hændelser, som truer energiforsyningen. Der er i dag et højt og markant trusselsniveau mod energisektoren i forhold til især cyberangreb og spionage, og lovforslaget skal sikre, at der er et tidsvarende, ambitiøst og robust beredskab i energisektoren. Der henvises til de almindelige bemærkninger i 3.1.4 og 3.2.4.

Fjernvarme er ikke i dag omfattet af beredskabsregulering, selvom denne delsektor har en væsentlig og stigende betydning for den danske energiforsyning.

Der er behov for at justere indtægtsrammereguleringen, således at elnetselskabernes omkostninger til beredskab kan indgå i omkostningsrammen, ligesom omkostningerne vil blive udeladt fra den økonomiske benchmarking.

Energisektorens beredskabsregulering har til formål at sikre, at sektoren er forberedt til at kunne opretholde og videreføre energiforsyningen i tilfælde af naturskabte, menneskeskabte og teknologiske risici.

Lovforslaget vil samle de beredskabsbestemmelser, der er i de respektive forsyningslove, herunder i varmeforsyningsloven, og placere dem i en samlet lov om beredskab for energisektoren.

Det foreslås at ophæve bestemmelsen i § 29 a, i varmeforsyningsloven om beredskab for virksomheder, som driver anlæg til produktion og fremføring af bygas.

Med lovforslaget vil det endvidere skulle sikres, at varmeforsyningsvirksomhederne vil kunne indregne de nødvendige omkostninger, der er forbundet med det tilstrækkelige/nødvendige beredskab.

Det foreslås derfor videre at indføre i varmeforsyningsloven i § 20, stk. 1, 1. pkt., at varmeforsyningsvirksomheder vil kunne indregne de nødvendige omkostninger, der er forbundet med det tilstrækkelige og nødvendige beredskab efter lovforslaget. Den foreslåede ændring, jf. lovforslagets § 42, nr. 1, vil medføre, at varmeforsyningsvirksomheder omfattet af § 20, stk. 1, vil kunne indregne nødvendige omkostninger til beredskab efter lov om styrket beredskab i energisektoren. Forsyningstilsynet vil fortsat kunne vurdere, om en omkostning til beredskab er nødvendig, ligesom Forsyningstilsynets almindelige indgrebsbeføjelser vil finde anvendelse, jf. § 21, stk. 4, i varmeforsyningsloven.

Det forventes, at bekendtgørelse nr. 774 af 12. juni 2024 om indtægtsrammer for netvirksomheder (indtægtsrammebekendtgørelsen) ændres således, at netvirksomhedernes omkostninger til beredskab kan dækkes fuldt ud efter ansøgning og godkendelse hos Forsyningstilsynet og at disse omkostningerne udelades fra beregningen af det individuelle effektiviseringskrav. Endvidere forventes det, at der tilføjes en bestemmelse, der giver mulighed for at indhente en faglig vurdering fra Energistyrelsen, hvis netvirksomheden er uenig i en afgørelse fra Forsyningstilsynet om forhøjelse af indtægtsrammen på baggrund af omkostninger til beredskab, og anmodningen grunder i overvejelser om netvirksomhedens sikring af det tilstrækkelige beredskabsmæssige niveau.

4. Forholdet til databeskyttelsesforordningen og databeskyttelsesloven

Med lovforslaget foreslås en række forpligtelser for omfattede virksomheder samt myndighedsopgaver for Energistyrelsen og enkelte andre myndigheder, der i et vist omfang vil indebære behandling af personoplysninger.

Behandling af personoplysninger er reguleret i databeskyttelsesforordningen og databeskyttelsesloven. Klima-, Energi- og Forsyningsministeriet vurderer, at det er nødvendigt at fastsætte nationale særregler for behandling af ikke-følsomme personoplysninger. Særreglerne er gennemgået nedenfor. Ministeriet vurderer, at de foreslåede særregler vil ligge inden for det nationale råderum i forordningens artikel 6, stk. 2, til at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling.

Den foreslåede bestemmelse i § 5, stk. 3, indeholder bemyndigelse til at klima-, energi- og forsyningsministeren fastsætter nærmere regler om udpegelsen af kritiske enheder af særlig europæisk betydning. Der vil i de regler der fastsættes efter bestemmelsen være hjemmel til behandling af personoplysninger bl.a. i form af navn, adresse og telefonnumre på enkeltmands virksomheder i det, at det ikke kan udelukkes, at enkeltmandsvirksomheder kan blive udpeget som kritiske enheder af særlig europæisk betydning. Oplysningerne indleveres til klima-, energi- og forsyningsministeren med henblik på at registrere virksomhederne ved ministeriet, samt videregivelse af oplysninger til andre myndigheder i Danmark eller andremedlemsstater, samt EU-Kommissionen, her vil oplysningerne blive opbevaret indtil virksomheden ikke længere er en kritisk enhed af særlig europæisk betydning, hvorefter oplysningerne vil blive destrueret.

Behandlingen kan ske i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra e, idet klima-, energi- og forsyningsministerens indsamling og videregivelse af oplysninger i forbindelse med registrering og videregivelse til andre myndigheder, er en opgave, som henhører under offentlig myndighedsudøvelse, som klima-, energi- og forsyningsministeren har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 12, indeholder bemyndigelse til at fastsætte nærmere regler om underretning og indrapportering af hændelser, væsentlige cybertrusler og nærvedshændelser. Bestemmelsen er samtidig hjemmel til, at myndighederne der skal modtage underretninger og indrapporteringerne, behandler de personoplysninger, der må indgå i disse. Der vil blive behandlet almindelige personoplysninger, herunder navn, adresse, telefonnumre og arbejdsgiver. Personoplysningerne vil blive indleveret til myndighederne med henblik på, at der kan iværksættes tilsyn, samt videregivelse til andre myndigheder således at myndighederne kan hjælpe virksomheden med at håndtere hændelsen, og myndighederne kan iværksætte foranstaltninger for sikre samfundets sikkerhed, såfremt hændelsen vurderes at have direkte påvirkning på befolkningen i Danmark eller EU.

Behandlingen af almindelige personoplysninger efter den foreslåede bestemmelse i lovens § 12, kan ske i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra e, jf. stk. 2 og 3, idet klima-, energi- og forsyningsministerens indsamling og videregivelse af oplysninger i forbindelse registrering og håndtering af hændelser, væsentlige cybertrusler og nærvedshændelser, er en opgave, som henhører under offentlig myndighedsudøvelse, som myndighederne har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 15, stk. 1 og 2, indeholder hjemmel til at Klima-, energi- og forsyningsministeriet, behandler personoplysninger, idet bestemmelsen fastsætter at enhver kan underrette ministeriet om væsentlige hændelser, cybertrusler og nærvedhændelser. Der vil blive behandlet almindelige personoplysninger, herunder navn, adresse, telefonnumre, arbejdsgiver og -titel og uddannelse. Personoplysningerne forventes at blive indsamlet af ministeriet som led i, at en underretning indsendes til ministeriet med henblik på, at ministeriet både kan starte tilsyn med en eller flere virksomheder, videregivelse information om hændelser, cybertrusler og nærvedhændelser til andre myndigheder, således at myndighederne kan hjælpe virksomheden med at håndtere hændelsen, og myndighederne kan iværksætte foranstaltninger for sikre samfundets sikkerhed, såfremt hændelsen vurderes at have direkte påvirkning på befolkningen i Danmark eller EU.

Behandlingen af almindelige personoplysninger efter den foreslåede bestemmelse i lovens § 15, stk. 1 og 2, kan ske i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra e, jf. stk. 2 og 3, idet klima-, energi- og forsyningsministerens indsamling og videregivelse af oplysninger i forbindelse registrering af underretning om hændelser, cybertrusler og nærvedshændelser og håndtering af disse hændelser og trusler, er en opgave, som henhører under offentlig myndighedsudøvelse, som myndighederne har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 16, stk. 1, indeholder bemyndigelse til at klima-, energi- og forsyningsministeren efter forhandling med justitsministeren kan fastsætte regler om betingelser for, at virksomheder kan få foretaget baggrundskontrol af personer i energisektoren. Bestemmelsen indeholder hjemmel til at myndighederne efter de nærmere fastsatte regler, behandler personoplysninger, der skal indgå i baggrundskontrollen. Der vil blive behandlet almindelige personoplysninger, herunder navn, adresse, telefonnumre, personnummer, arbejdsgiver og titel, uddannelse, økonomiske forhold, rejseaktivitet, strafferetlige oplysninger, efterretninger og alle andre relevante oplysninger, som politiet råder over, og som efter deres vurdering kan være relevante for en persons egnethed til at arbejde i en funktion, som kræver baggrundskontrol, dog ikke følsomme personoplysninger. Personoplysningerne vil blive indleveret til klima-, energi- og forsyningsministeren, der derefter vil videregive oplysningerne til PET med henblik på, at PET kan behandle ansøgningen og træffe afgørelse godkendelse eller afvisning.

Behandlingen af almindelige personoplysninger efter den foreslåede bestemmelser i lovens § 16, stk. 1, kan ske i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra c og e, jf. stk. 2 og 3, idet klima-, energi- og forsyningsministerens behandling af oplysninger i forbindelse med behandling af ansøgning om baggrundskontrol er en opgave, som henhører under offentlig myndighedsudøvelse, som klima-, energi- og forsyningsministeren har fået pålagt efter reglerne i loven.

Idet PET skal medvirke til baggrundskontrol af personer i energisektoren efter den foreslåede bestemmelse i lovforslagets § 16, stk. 1, skal det endvidere præciseres, at PET's virksomhed endvidere er undtaget fra retshåndhævelsesloven, jf. lov nr. 410 af 27. april 2017, der implementerer retshåndhævelsesdirektivet i dansk ret, jf. § 1, stk. 2, i retshåndhævelsesloven. Dette skal ses i lyset af henvisningen til CER-direktivets artikel 14(2) i bemærkningerne til lovforslagets § 16.

Den foreslåede bestemmelse i § 16, stk. 2, indeholder bemyndigelse til at klima-, energi- og forsyningsministeren efter forhandling med ministeren for samfundssikkerhed og beredskab, kan fastsætte regler om personer omfattet af § 16, stk. 1, skal sikkerhedsgodkendes af Klima-, Energi- og Forsyningsministeriet, ligesom ministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, kan fastsætte regler om ansøgning om, betingelser for samt meddelelse og tilbagekaldelse af sikkerhedsgodkendelser. Bestemmelsen indeholder hjemmel til at myndighederne efter de nærmere fastsatte regler, behandler personoplysninger, der skal indgå i sikkerhedsgodkendelsen. Der vil blive behandlet almindelige personoplysninger, herunder navn, adresse, telefonnumre, arbejdsgiver og titel, uddannelse, økonomiske forhold, rejseaktivitet, strafferetlige oplysninger, efterretninger og alle andre relevante oplysninger, som politiet råder over, og som efter deres vurdering kan være relevante for en persons egnethed til at arbejde i en funktion, som kræver baggrundskontrol, dog ikke følsomme personoplysninger. Der vil blive behandlet almindelige personoplysninger, herunder navn, adresse, telefonnumre, personnummer, arbejdsgiver og titel, uddannelse, økonomiske forhold, rejseaktivitet, strafferetlige oplysninger, efterretninger og alle andre relevante oplysninger, som politiet råder over, og som efter deres vurdering kan være relevante for en persons egnethed til at arbejde i en funktion, som kræver sikkerhedsgodkendelse, dog ikke følsomme personoplysninger. Personoplysningerne vil blive indleveret til klima-, energi- og forsyningsministeren, der derefter vil videregive oplysningerne til PET med henblik på, at PET kan foretage undersøgelse af ansøgeren, hvorefter PET's sikkerhedsundersøgelse sendes til klima-, energi- og forsyningsministeren, der så træffer afgørelse godkendelse eller afvisning af ansøgningen. Ved ansøgning om sikkerhedsgodkendelser indhentes og behandles der i tillæg til ansøgerens personoplysninger, også personoplysninger om en eventuel ægtefælles, samlevers, registreret partners eller samboende, idet disses adfærd, karakter og forhold i øvrigt kan tilsvarende kan tillægges vægt ved afgørelsen om sikkerhedsgodkendelse.

Behandlingen af almindelige personoplysninger efter den foreslåede bestemmelse i lovens § 16, stk. 2, kan ske i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra c og e, jf. stk. 2 og 3, idet klima-, energi- og forsyningsministerens behandling af oplysninger i forbindelse med behandling af ansøgning om sikkerhedsgodkendelser er en opgave, som henhører under offentlig myndighedsudøvelse, som klima-, energi- og forsyningsministeren har fået pålagt efter reglerne i loven.

Idet PET skal medvirke til sikkerhedsgodkendelse af personer i energisektoren efter den foreslåede bestemmelse i lovudkastets § 16, stk. 2, skal det endvidere præciseres, at PET's virksomhed endvidere er undtaget fra retshåndhævelsesloven, der implementerer retshåndhævelsesdirektivet i dansk ret, jf. § 1, stk. 2, i retshåndhævelsesloven.

Den foreslåede bestemmelse i § 17, stk. 3 og § 18, stk. 2, indeholder begge bemyndigelse til, at der kan fastsættes regler op opkrævningen af beløbet efter deres respektive stk. 1 og stk. 2. Bestemmelserne indeholder begge hjemmel til, at klima-, energi- og forsyningsministeren, behandler personoplysninger, idet det ikke kan udelukkes, at enkeltmandsvirksomheder, vil være omfattet af reglerne, hvorfor de vil skulle opkræves gebyr efter reglerne i § 17 og § 18, ligesom der er behov for kontaktoplysninger på personer i virksomhedernes regnskabsafdelinger, således der kan ske korrekt fakturering af virksomheden. Der vil blive behandlet almindelige personoplysninger, herunder navn, adresse, mailadresse og telefonnummer. Personoplysningerne vil blive indleveret til klima-, energi- og forsyningsministeren med henblik på fakturering af virksomhederne for den myndighedsbehandling de har modtaget fra klima-, energi- og forsyningsministeren.

Behandlingen af almindelige personoplysninger efter den foreslåede bestemmelser i lovens § 17, stk. 3 og § 18, stk. 2, kan ske i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra c og e, jf. stk. 2 og 3, idet klima-, energi- og forsyningsministerens behandling af oplysninger i forbindelse med fakturering af virksomhederne for myndighedsbehandling er en opgave, som henhører under offentlig myndighedsudøvelse, som klima-, energi- og forsyningsministeren har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 19, stk. 2, nr. 5 og nr. 6 og § 20, stk. 2, indeholder hjemmel til at klima-, energi- og forsyningsministeren og rådgivende missioner efter § 20, behandler personoplysninger. Disse kan således kræve at få udleveret oplysninger og dokumentation, der er nødvendige for at vurdere foranstaltningerne vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed, som virksomheden har indført efter loven og regler udstedt i medfør af loven idet disse kan. Ligeledes kan disse kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven. Der vil efter bestemmelserne blive behandlet almindelige personoplysninger, herunder navn, adresse, telefonnumre, e-mail, arbejdsgiver og -titel, uddannelse. Personoplysningerne vil blive indleveret til de to myndigheder med henblik på at gennemføre tilsyn med den pågældende virksomhed.

Behandlingen af almindelige personoplysninger efter den foreslåede bestemmelser i lovens § 19, stk. 2, nr. 5 og nr. 6 og § 20, stk. 2, kan ske i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra c og e, jf. stk. 2 og 3, idet klima-, energi- og forsyningsministerens og rådgivende missioners behandling af oplysninger i forbindelse med udførelse af tilsyn med virksomhederne er en opgave, som henhører under offentlig myndighedsudøvelse, som klima-, energi- og forsyningsministeren og de rådgivende missioner har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 21, nr. 5, indeholder hjemmel til at virksomhederne, behandler personoplysninger i forbindelse med gennemførelsen af påbud om offentliggørelse af afgørelse om påbud eller forbud efter § 21, nr. 1-4 samt resumeer af domme eller bødeforelæg, hvor der idømmes eller vedtages en bøde, i ikke-anonymiseret form og på en nærmere angivet måde. Der etableres dermed en hjemmel til offentliggørelse af oplysninger, herunder til offentliggørelse af almindelige personoplysninger, jf. databeskyttelsesforordningens artikel 6, stk. 1, og personoplysninger vedrørende strafbare forhold og lovovertrædelser, jf. databeskyttelsesforordningens artikel 10. Der vil blive behandlet almindelige personoplysninger i de tilfælde hvor enkeltmandsvirksomheder vil være omfattet af reglerne, herunder navn, adresse, telefonnumre og e-mailadresser. Personoplysningerne vil blive offentliggjort af virksomheden som led i efterlevelse af en forvaltningsretlig afgørelse om påbud om offentliggørelse.

Det følger af databeskyttelsesloven, at det er en forudsætning, at der skal ligge en særlig og klar lovhjemmel til grund for systematisk offentliggørelse af oplysninger om kontrol‐ resultater og afgørelser m.v. i ikke-anonymiseret form. Offentliggørelsen af personoplysninger vil være nødvendig for, at virksomhederne kan udføre den foreslåede offentliggørelse som del af sanktioneringen af virksomheden for ikke at overholde regler, ligesom den foreslåede bestemmelse er specifik, idet den alene vedrører offentliggørelse inden for lovforslagets område, jf. databeskyttelsesforordningens artikel 6, stk. 2 og 3. Idet der alene vil blive offentliggjort nødvendige personoplysninger, når betingelserne i den foreslåede bestemmelse er opfyldt og andre sanktionsmuligheder, der som udgangspunkt vil kunne anvendes før offentliggørelses sanktionen, vurderer Klima-, Energi- og Forsyningsministeriet ligeledes, at bestemmelsen er proportional, jf. databeskyttelsesforordningens artikel 6, stk. 2 og 3. Da bestemmelsen er en forvaltningsretlig afgørelse som partshøres inden afgørelsen træffes, samt at virksomheden har mulighed for at indbringe afgørelsen for domstolene der vil kunne fastsætte opsættende virkning, vurderer Klima-, Energi- og Forsyningsministeriet, at ordningen giver passende garantier for de registreredes rettigheder og frihedsrettigheder, jf. databeskyttelsesforordningen artikel 10.

Behandlingen af almindelige personoplysninger efter den foreslåede bestemmelse i lovens § 21, nr. 5, kan ske i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra c og e, jf. stk. 2 og 3 og efter iagttagelse af forordningens artikel 10, idet klima-, energi- og forsyningsministerens behandling af oplysninger i forbindelse med sanktionering af virksomhederne er en opgave, som henhører under offentlig myndighedsudøvelse, som klima-, energi- og forsyningsministeren har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 23, stk. 1, nr. 2, indeholder hjemmel til at klima-, energi- og forsyningsministeren behandler personoplysninger. Ministeren kan efter den nævnte bestemmelse træffe afgørelse om forbud mod enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos virksomheden at udøve ledelsesfunktioner i den pågældende virksomhed. Der vil i forbindelse med behandlingen af afgørelsen om forbud blive behandlet almindelige personoplysninger, herunder navn, adresse, telefonnumre, arbejdsgiver og titel, uddannelse på den eller de ledelsespersoner for hvem forbuddet går på. Personoplysningerne vil blive behandlet af klima-, energi- og forsyningsministeren med henblik på at træffe en forvaltningsretlig afgørelse om forbud efter § 23, stk. 1, nr. 2.

Behandlingen af almindelige personoplysninger efter den foreslåede bestemmelse i lovens § 23, stk. 1, nr. 2, kan ske i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra c og e, jf. stk. 2 og 3, idet klima-, energi- og forsyningsministerens behandling af oplysninger i forbindelse med sanktionering af virksomhederne er en opgave, som henhører under offentlig myndighedsudøvelse, som klima-, energi- og forsyningsministeren har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 25, stk. 1 giver hjemmel til at klima- energi- og forsyningsministeren behandler personoplysninger i forbindelse med samarbejdet med andre medlemsstaters kompetente myndigheder. Det kan ikke udelukkes at der vil blive behandlet almindelige personoplysninger, som fx videregivet til de andre medlemsstaters kompetente med henblik på at varetage det myndighedssamarbejde, der skal være som led i efterlevelsen af NIS 2- og CER-direktivets bestemmelser.

Behandlingen af almindelige personoplysninger efter den foreslåede bestemmelse i lovens § 25, stk. 1, kan ske i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra c og e, jf. stk. 2 og 3, idet klima-, energi- og forsyningsministerens behandling af oplysninger i forbindelse med samarbejde med andre medlemsstaters kompetente myndigheder er en opgave, som henhører under offentlig myndighedsudøvelse, som klima-, energi- og forsyningsministeren har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 28, indeholder hjemmel til at Klima- Energi- og Forsyningsministeriet og andre relevante myndigheder behandler personoplysninger som led i videregivelse af oplysninger til andre medlemsstaters myndigheder og til institutioner i EU. Det kan ikke udelukkes, at der vil blive behandlet almindelige personoplysninger, som fx navne, adresser, telefonnumre og e-mailadresser. Personoplysningerne vil blive videregivet til de andre medlemsstaters myndigheder og til institutioner i EU med henblik på at varetage myndighedsopgaver i medfør af denne lov, Europa-Parlamentets og Rådets direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen og Europa-Parlamentets og Rådets direktiv om kritiske enheders modstandsdygtighed.

Behandlingen af almindelige personoplysninger efter den foreslåede bestemmelser i lovens § 28, kan ske i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra c og e, jf. stk. 2 og 3, idet klima-, energi- og forsyningsministerens og andre relevante myndigheders behandling af oplysninger i forbindelse behov for videregivelse til andre medlemsstaters myndigheder og til institutioner i EU er en opgave, som henhører under offentlig myndighedsudøvelse, som klima-, energi- og forsyningsministeren og andre relevante myndigheder har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 30 og § 32, stk. 2, nr. 1, indeholder bemyndigelse til at hhv. klima-, energi- og forsyningsministen og erhvervsministeren kan fastsætte regler om hvordan hhv. klima-, energi- og forsyningsministeren og Energiklagenævnet behandler personoplysninger, som led i digital kommunikation mellem hhv. ministeren og virksomhederne eller nævnet og virksomhederne. Der vil blive behandlet almindelige personoplysninger, herunder navn, adresse, telefonnumre, e-mailadresse, arbejdsgiver og -titel, uddannelse, økonomiske forhold, rejseaktivitet, strafferetlige oplysninger. Personoplysningerne vil blive indleveret til ministeren og Energiklagenævnet med henblik på gennemførelse af tilsyn, oprettelse af nødvendige register, videregivelse til andre myndigheder og behandling af ansøgning og andre forvaltningsretlige afgørelser.

Behandlingen af almindelige personoplysninger efter de foreslåede bestemmelser i lovens § 30 og § 32, stk. 2, nr. 1, kan ske i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra c og e, jf. stk. 2 og 3, idet klima-, energi- og forsyningsministerens og Energiklagenævnets behandling af oplysninger i forbindelse med udførelse af tilsyn, oprettelse af nødvendige register, videregivelse til andre myndigheder og behandling af ansøgning og andre forvaltningsretlige afgørelser med og for virksomhederne, er en opgave, som henhører under offentlig myndighedsudøvelse, som klima-, energi- og forsyningsministeren og Energiklagenævnet har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 31, stk. 1 og stk. 6, indeholder hjemmel til, at Energiklagenævnet indhenter og behandler personoplysninger. Der vil blive behandlet almindelige personoplysninger, herunder navn, adresse, telefonnumre, e-mailadresse, arbejdsgiver og -titel. Personoplysningerne vil blive indhentet og behandlet af Energiklagenævnet med henblik på at Energiklagenævnet kan behandle klager over afgørelser truffet af myndigheder i henhold til denne lov.

Behandlingen af almindelige personoplysninger efter de foreslåede bestemmelser i lovens § 31, stk. 1 og stk. 6, kan ske i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra c og e, jf. stk. 2 og 3, idet Energiklagenævnets behandling af oplysninger med henblik på, at Energiklagenævnet kan behandle klager over afgørelser truffet af myndigheder i henhold til denne lov, er en opgave, som henhører under offentlig myndighedsudøvelse, som Energiklagenævnet har fået pålagt efter reglerne i loven.

Den foreslåede bestemmelse i § 35, stk. 1, indeholder hjemmel til at klima-, energi- og forsyningsministeren og Energinet behandler personoplysninger. Der vil blive behandlet almindelige personoplysninger, herunder navn, adresse, telefonnumre, e-mailadresser, arbejdsgiver og titel og uddannelse. Personoplysningerne vil blive indhentet af klima-, energi- og forsyningsministeren eller Energinet med henblik på disse kan varetage deres opgaver efter loven og bestemmelser fastsat i henhold til loven eller efter EU-retsakter eller internationale forpligtelser om forhold omfattet af loven.

Den foreslåede bestemmelse i § 35, stk. 2, nr. 1 og 2, indeholder bemyndigelse til, at klima-, energi- og forsyningsministeren kan fastsætte regler der indeholder hjemmel til, at klima-, energi- og forsyningsministeren behandler personoplysninger. Der vil blive behandlet almindelige personoplysninger, herunder navn, adresse, telefonnumre og e-mailadresser. Personoplysningerne vil blive indleveret til klima-, energi- og forsyningsministeren med henblik på, at ministeren kan etablere og vedligeholde et register over virksomheder omfattet af loven.

Klima-, Energi- og Forsyningsministeriet bemærker endvidere, at det forudsættes, at de grundlæggende principper i databeskyttelsesforordningen iagttages i forbindelse med den behandling af personoplysninger, der måtte ske i medfør af de foreslåede bestemmelser. Det betyder bl.a., at personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.

Klima-, Energi- og Forsyningsministeriet bemærker afslutningsvis at lovens § 37, stk. 3 indeholder en undtagelse til strafbestemmelserne, der relaterer sig til databeskyttelsesforordningen. Der henvises i øvrigt til de almindelige bemærkningers punkt 3.7.4.3. og de specielle bemærkninger til § 37, stk. 3.

5. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige

Lovforslaget vurderes at have økonomiske konsekvenser for staten, herunder implementeringskonsekvenser for statslige myndigheder.

De statsfinansielle meromkostninger forventes at være 3-4 mio. kr. årligt. Meromkostningerne kan henføres til opgaver, der følger af den nye regulering, herunder generel vejledning om lovgivningen eller koordinering med EU.

Ud over de statsfinansielle konsekvenser, skønnes det, at der vil være meromkostninger på 8,2 mio. kr., der forventes gebyrfinansieret.

Gebyromkostningerne dækker både monopolvirksomheder og konkurrenceudsatte virksomheder. Gebyret efter den foreslåede § 18 opkræves til at dække bl.a. sagsbehandling vedr. samordnet beredskab, dispensationer, forhåndstilsagn om klassificering af anlæg og ansøgning om, at virksomheder selv kan varetage rollen som it-sikkerhedstjeneste. Derudover indgår omkostninger ifm. afholdelse af direkte tilsyn, sagsbehandling af beredskabsmateriale, udarbejdelse af risiko- og sårbarhedsscenarier og sagsbehandling af risikovurderinger af projekter, som opkræves efter den foreslåede § 17.

De forventede statslige meromkostninger skyldes bl.a., at lovforslaget udvider beredskabskravene og tilsynsforpligtelsen til at gælde nye sektorer. I dag omfatter tilsynsforpligtelsen store dele af el-, gas- og oliesektoren. Fremadrettet skal beredskabskravene, herunder tilsyn hermed ligeledes omfatte fjernvarme-, fjernkøling- og brintsektorerne. Samtidig udvides kredsen af virksomheder i gas-, el- og oliesektorerne, der omfattes af beredskabskrave efter direktiverne. Dermed udvides Energistyrelsens vejlednings- og tilsynsforpligtelse til at gælde nye sektorer.

Som følge af den udvidede kreds af omfattede virksomheder øges behovet for at kunne administrere dokumentationsmateriale ifm. tilsyn og anden kommunikation med virksomhederne. Der forventes derfor behov for at opdatere eksisterende onlineportal, hos Energistyrelsen, som i dag bl.a. benyttes til vidensdeling og sektorspecifikke vejledninger samt udmeldinger om beredskabsforanstaltninger. Der er bl.a. behov for at øge kapaciteten samt sikkerhedshærdning af portalen.

Fsva. efterlevelse af krav i NIS 2 og CER om indberetning af sikkerhedshændelser forventes fælles statslig løsning anvendt, hvilket følger princip nr. 6: anvendelse af offentlig infrastruktur, fra Digitaliseringsstyrelsens vejledning om digitaliseringsklar lovgivning. Der forventes derfor ikke behov for at udvikle en ny digital løsning til brug for hændelsesindberetninger fra energisektoren.

De syv principper for digitaliseringsklar lovgivning er iagttaget. Foruden ovenstående i relation til princip nr. 6, gælder det særligt ift. princip nr. 1: enkle og klare regler, da loven samler hjemmelsbestemmelser og krav fra andre love i én lov, samt princip nr. 2: digital kommunikation, da loven indeholder regler, som understøtter digital kommunikation med borgere og virksomheder. Loven sikrer også, at fremtidige digitale platforme kan anvendes, da hjemlen til digital kommunikation er formuleret teknologineutralt. Derudover er der også fokus på princip nr. 5: tryg og sikker datahåndtering, da loven understøtter digital kommunikation på en måde, hvorpå sikkerhed prioriteres højt.

De øvrige principper for digitaliseringsklar lovgivning vurderes ikke at være relevante for lovforslaget.

Lovforslaget vurderes at kunne have økonomiske konsekvenser for Klima-, Energi- og Forsyningsministeriet, som følge af forventet øget myndighedsbehandling i navnlig Energistyrelsen. Herudover kan Energiklagenævnet modtage flere klagesager.

Energiklagenævnet er i dag klageinstans for afgørelser truffet efter elforsyningsloven, gasforsyningsloven og olieberedskabsloven, herunder i forhold til beredskab. Energiklagenævnets rolle som klageinstans foreslås overført til den foreslåede lov om styrket beredskab i energisektoren. Lovforslagets udvidelse af omfattede virksomheder kan medføre en øget mængde klager over Energistyrelsens afgørelser efter loven eller regler fastsat i medfør af loven. For nuværende vurderes de afledte omkostninger til forøget klagesagsbehandling i forbindelse hermed at være ubetydelige da der ikke forventes mange klagesager på baggrund af lovforslagets klageadgang. Vurderingen er foretage på baggrund af, at der ikke tidligere er indgivet klager til Energiklagenævnet på baggrund af Elforsyningslovens § 85 b og 85 c, Gasforsyningslovens § 15 a og 15 b eller olieberedskabsloven. Vurderingen er dog undergivet en vis usikkerhed, da lovforslaget vil omfatte nye typer af virksomheder og nye sektorer.

Da omkostninger til Energiklagenævnet ikke efter vanlig praksis gebyrfinansieres, foreslås det, at de potentielle meromkostninger, der vil følge af nærværende lovforslag vil blive afregnet mellem Energistyrelsen og Nævnenes Hus kvartalsvis, hvor de medgåede timer afregnes. Den konkrete model for finansiering af Energiklagenævnets opgaver vil blive evalueret efter en periode, og herefter om nødvendigt justeret.

Lovforslaget forventes herudover ikke at medføre økonomiske konsekvenser for stat, kommuner og regioner.

Lovforslaget forventes i øvrigt ikke at medføre implementeringskonsekvenser for staten, kommuner og regioner.

6. Økonomiske og administrative konsekvenser for erhvervslivet m.v.

Lovforslaget vurderes at have erhvervsøkonomiske konsekvenser, herunder både omstillingsomkostninger og løbende omkostninger samt administrative konsekvenser for erhvervslivet.

Lovforslaget indebærer enkelte krav, som vil medføre omkostninger for erhvervslivet. Det er dog langt overvejende de nærmere krav, som vil blive fastsat i bekendtgørelse, der vil medføre omkostninger for erhvervslivet. Det forventes, at de økonomiske og administrative konsekvenser, der følger af kravene i lovforslaget, vil være under 4 mio. kr. De administrative konsekvenser består i, at myndighederne efter den foreslåede § 14, stk. 2 kan kræve, at virksomheder foretager en offentliggørelse af en hændelse. Dette kan fx indebære udarbejdelse og udsendelse af en pressemeddelelse. Hyppigheden forventes at være lav på samfundsniveau, da de fleste virksomheder formentligt selv vil offentliggøre hændelsen, hvis det er nødvendigt og under hensyntagen til hændelsens karakter og omfang. Der kan desuden være administrative konsekvenser forbundet med den foreslåede § 15, hvorefter enhver kan underrette myndighederne om væsentlige hændelser, cybertrusler og nærvedhændelser. Der vil være tale om en frivillig indberetning, og hyppigheden forventes således at være lav på samfundsniveau. Desuden kan der være administrative konsekvenser efter den foreslåede § 21, hvor rådgivende missioner kan føre tilsyn med virksomheder, som er udpeget som enheder af særlig europæisk betydning. Da der sandsynligvis vil være få enheder af særlig europæisk betydning, vurderes de administrative konsekvenser at være begrænsede.

Med lovforslaget skønnes omkring 120-135 private virksomheder i energisektoren omfattet inden for el-, gas-, olie- og brintsektorerne. Derudover skønnes yderligere omkring 110-120 monopolvirksomheder omfattet inden for bl.a. eldistribution og fjernvarmesektoren. Desuden omfattes ca. 160-170 mindre virksomheder inden for primært fjernvarmesektoren af krav om grundlæggende beredskab. Dette indebærer, at virksomhederne skal have en beredskabsplan og et kontaktpunkt ved beredskabshændelser. Iht. Erhvervsstyrelsens vejledninger om erhvervsøkonomiske konsekvenser, medtages monopolvirksomhederne ikke i de erhvervsøkonomiske konsekvensberegninger, som vil blive udarbejdet ifm. høringen af bekendtgørelserne.

De nærmere forventede erhvervsøkonomiske konsekvenser vil i samarbejde med Erhvervsstyrelsens Område for Bedre Regulering (OBR) blive kvantificeret i forbindelse med høringen af bekendtgørelserne, der skal udmønte hjemmelsbestemmelserne og de materielle krav i lovforslaget.

7. Administrative konsekvenser for borgerne

Det vurderes, at lovforslaget ikke har administrative konsekvenser for borgerne.

8. Klimamæssige konsekvenser

Lovforslagets formål er at styrke det eksisterende beredskab i energisektoren, herunder øge modstandsdygtigheden over for fysiske angreb og cybertrusler.

Lovforslaget forventes samlet set ikke at have klimamæssige konsekvenser.

9. Miljø- og naturmæssige konsekvenser

Lovforslaget vurderes ikke at have miljø- og naturmæssige konsekvenser.

10. Forholdet til EU-retten

Lovforslaget skal foruden at styrke beredskabsreguleringen i energisektoren implementere EU-direktiverne NIS 2 og CER, henholdsvis, Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148, samt Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF.

Det er hensigten, at implementeringen af direktiverne med lovforslaget tager hensyn til, at danske virksomheder inden for energisektoren ikke stilles dårligere konkurrencemæssigt i international sammenhæng. Det er desuden hensigten, at udmøntningen af direktiverne ikke går videre end minimumskravene i direktiverne, medmindre den eksisterende beredskabsregulering sætter større krav, end hvad direktiverne pålægger, eller såfremt sektorspecifikke hensyn, herunder trusselsbilledet, tilsiger andet.

Af hensyn til at sikre harmonisering af krav og definitioner på tværs af sektorer sker der tæt koordinering med de ansvarlige ministerier, der forestår overordnet implementering af NIS 2 og CER på tværs af ministerområderne. Dette skal sikre, at bl.a. multiforsyningsvirksomheder, som tilhører flere sektorer, samt multinationale virksomheder ikke utilsigtet pålægges forskellige krav.

Lovforslaget tager højde for, at der ikke reguleres unødigt og uproportionelt, herunder at virksomhederne selv foretager risikovurderinger, således at sikkerhedsforanstaltningerne kan tilpasses de mange forskellige virksomhedstypers forretningsmodeller og således at der i videst muligt omfang ikke stilles krav om anvendelse af specifikke teknologier. I stedet stilles der krav om, at virksomhederne selv kortlægger deres netværk og kritiske systemer, og på den baggrund skal leve op til en række beredskabskrav.

Lovforslaget indeholder dele, som er i strid med de 5 principper for implementering af EU-regulering.

Den foreslåede bestemmelse om anvendelsesområde i lovforslagets § 2, stk. 1-4, går videre end minimumskravene i CER- og NIS 2-direktiverne. Bestemmelsen er i strid med princip 1.

Den foreslåede bestemmelse i lovforslagets § 19, stk. 2, nr. 2-4, om tilsynsforanstaltninger går videre end CER-direktivet. Lovforslaget vil implementere både CER- og NIS 2-direktiverne. Lovforslaget vil ikke skelne om virksomhederne er omfattet efter CER- eller NIS 2-direktivet. Tilsynsforanstaltninger som følger af NIS 2-direktivet, vil dermed finde anvendelse ved tilsyn, som udspringer af forhold forbundet med CER-direktivet.

Den foreslåede bestemmelse i lovforslagets § 19, stk. 2, nr. 2, om regelmæssige kontrol- og tilsynsbesøg hos virksomhederne går videre end NIS 2-direktivet. NIS 2-direktivet differentierer mellem væsentlige og vigtige enheder. Efter NIS 2-direktivet gælder kravet om regelmæssige tilsyn kun væsentlige enheder. Det foreslås med lovforslaget, at der skal gælde de samme tilsynsbestemmelser for alle virksomheder. Lovforslaget skelner ikke mellem vigtige og væsentlige enheder. Det foreslås dermed, at der kan føres regelmæssige tilsyn af virksomheder, der efter direktivet vil være vigtige enheder. Lovforslagets § 19, stk. 2, nr. 2-4 er i strid med princip 1 og 2.

De foreslåede bestemmelser i lovforslagets § 21, stk. 1, nr. 3-5, om påbud går videre end CER-direktivet. Lovforslaget vil implementere både CER- og NIS 2-direktiverne. Lovforslaget vil ikke skelne mellem om virksomhederne er omfattet efter CER- eller NIS 2-direktivet. Påbudsmuligheder som følger af NIS 2-direktivet, vil dermed finde anvendelse i forhold forbundet med CER-direktivet.

Den foreslåede bestemmelse i lovforslagets § 21, stk. 1, nr. 4, om påbud om at udpege en person med tilsynsansvar går videre end NIS 2-direktivet. NIS 2-direktivet differentierer mellem væsentlige og vigtige enheder. Efter NIS 2-direktivet vil det kun være væsentlige enheder, som kan påbydes at udpege en sådan person. Det foreslås med lovforslaget, at der skal gælde de samme påbudsbestemmelser for alle virksomheder. Lovforslaget skelner ikke mellem vigtige og væsentlige enheder. Det foreslås dermed, at virksomheder, som efter direktivet vil være vigtige enheder, kan påbydes at udpege en person med tilsynsansvar. Lovforslagets § 21, stk. 1, nr. 3-5, er i strid med princip 1 og 2.

Den foreslåede bestemmelse i lovforslagets § 22, stk. 1 og 2, om påbud af revision går videre end CER-direktivet. Efter lovforslaget kan virksomheder påbydes at få foretaget en revision for forhold forbundet med CER-direktivet. Det bemærkes, at der kan foretages påbud af revision efter gældende regler for el- og gassektorerne. Lovforslagets § 22, stk. 1 og 2 er i strid med princip 1 og 2.

Den foreslåede bestemmelse i lovforslagets § 23, stk. 1, nr. 2, om midlertidigt forbud for ledelsen om at udøve ledelsesfunktioner, går videre end CER- og NIS 2-direktivet. Lovforslaget vil ikke skelne om virksomhederne er omfattet efter CER- eller NIS 2-direktivet. Efter lovforslaget kan virksomheder modtage de midlertidige suspenderinger for forhold forbundet med CER-direktivet. Ifølge NIS 2-direktivet er det alene væsentlige enheder, som kan modtage de midlertidige suspenderinger. Lovforslaget skelner ikke mellem vigtige og væsentlige enheder. Lovforslagets § 23, stk. 1, nr. 1 og 2, er i strid med princip 1 og 2.

Den foreslåede bestemmelse i lovforslagets § 37, stk. 1, nr. 2 og 3, om straf går videre end CER-direktivets bestemmelse. CER-direktivet har ikke en bestemmelse, der fastsætter en minimumsbeløb i bødesager, hvis foranstaltninger ikke bliver overholdt. Visse forhold vedrørende foranstaltninger vil indeholde elementer, som udspringer af både CER- og NIS 2 direktivet. I sådanne tilfælde kan der opstå tvivl om hvilket direktivs foranstaltninger, der ikke er overholdt. Lovforslaget søger dette udbedret ved, at der i disse tilfælde kan anvendes bøder svarende til minimumsbeløbene i NIS 2 -direkitvet. Lovforslagets § 37, stk. 1, nr. 2 og 3, er i strid med princip 1 og 2.

Lovforslaget indeholder dele som er af beredskabsmæssig karakter, hvor kravene går videre end EU-reguleringen. Kravene udspringer af gældende beredskabskrav for den danske energisektor, og det er herefter Klima- Energi- og Forsyningsministeriets vurdering, at sådanne krav ikke er udtryk for overimplementering. Det drejer sig om kravet om sikkerhedsgodkendelse af personer, der varetager funktioner, der direkte kan påvirke energiforsyningen i lovforslagets § 16, stk. 2, 1. pkt.

Den foreslåede bestemmelse i lovforslagets § 23, stk. 1, nr. 1, om midlertidige suspenderinger af certificeringer eller godkendelse er også en bestemmelse, der udspringer af gældende beredskabskrav og som går videre end CER -direktivet.

Lovforslagets § 11 om sektorberedskabsniveauer og beredskabsforanstaltninger et beredskabsmæssigt krav som retter sig mod virksomheder, udspringer endvidere af gældende beredskabskrav og går videre end CER- og NIS 2-direktiverne. Kravet indgår i lovforslaget på baggrund af nationale forhold. Baggrunden herfor er navnlig et behov for hurtig og koordineret handling i forbindelse med en beredskabssituation, herunder omfattende sikkerhedsrelaterede hændelser. Det er således hensigten, at myndighederne hurtigt kan fastsætte og udmelde sektorberedskabsniveauer for hele energisektoren eller én eller flere delsektorer med henblik på at kunne sikre og eller genoprette forsyning af energi. Det vurderes derfor, at kravet ikke er i strid med de 5 principper for implementering af EU-regulering.

11. Hørte myndigheder og organisationer m.v.

Et udkast til lovforslag har i perioden fra den 12. juni 2024 til den 10. juli 2024 (28 dage) været sendt i høring hos følgende myndigheder og organisationer m.v.: Accura Advokatpartnerselskab, ADB (Association Dansk Biobrændsel), Advokatrådet - Advokatsamfundet, Affald Plus, AffaldVarme Aarhus, Akademikerne, Aktive energiforbrugere, Aluminium Danmark, Andel, Ankenævnet på Energiområdet, Antenneforeningen Vejen, Aramco Trading Limited, Arbejderbevægelsens Erhvervsråd, Arbejdstilsynet, Arcturus Sp. z.o.o., ARI (Affald- og ressourceindustrien under DI), Artelia A/S, BAT-kartellet, Better Energy, Billund Vand A/S, Biobrændselsforeningen, Biofos A/S, Biofuel Express A/S, BlueNord Energy Denmark A/S, Bopa Law, Borger Bornholms Energi og Forsyning (BEOF), BP Aviation A/S, BP Oil International Limited, Brancheforeningen for Decentral Kraftvarme, Brancheforeningen for Skov, Have og Park Forretninger, Brintbranchen, Brunata, Bryggeriforeningen, Business Region MidtVest (BRMV), Bygge-, Anlægs- og Trækartellet (BATT-kartellet), Byggecentrum, Byggeskadefonden, Bygningssagkyndige & Energikonsulenter, Bærebro A/S, C4 - Carbon Capture Cluster Copenhagen, Center for Electric Power and Energy (DTU), Centrica Energy Trading A/S, CEPOS, Cerius, Cevea, CO-industri, Concito, Copenhagen Infrastructure Partners, Copenhagen Merchants, COWI, Crossbridge Energy Fredericia, CTR, Daka, Daka ecoMotion A/S, DAKOFA, Dana Petroleum, DANAK (Den Danske Akkrediterings- og Metrologifond), Dan-balt Tanklager A/S, Danmarks Almene Boliger (BL), Danmarks Fiskeriforening, Danmarks Frie Autocampere, Danmarks Jordbrugsforskning, Danmarks Jægerforbund, Danmarks Naturfredningsforening, Danmarks Rederiforening, Danmarks Skibskredit, Danmarks Tekniske Universitet (DTU), Danmarks Vindmølleforening, Danoil Exploration A/S, Dansk Affaldsforening, Dansk Arbejdsgiverforening (DA), Dansk Biotek, Dansk Byggeri, Dansk Ejendomsmæglerforening, Dansk Erhverv, Dansk Facilities Management (DFM), Dansk Fjernvarme, Dansk Gartneri, Dansk Gasteknisk Center (DGC), Dansk Industri, Dansk Landbrugsrådgivning, Dansk Maskinhandlerforening, Dansk Metal, Dansk Methanolforening, Dansk Miljøteknologi, Dansk Producentansvarssystem, Dansk Retursystem A/S, Dansk Shell A/S, Dansk Skovforening, Dansk Solcelleforening, Dansk Standard, Dansk Told- og Skatteforbund, Dansk Transport og Logistik (DLTL), Dansk Varefakta Nævn, Danske Advokater, Danske Annoncører og Markedsførere, Danske Arkitektvirksomheder, Danske Bygningscenter, Danske Commodities A/S, Danske Energiforbrugere (DENFO), Danske halmleverandører, Danske Havne, Danske Maritime, Danske Mediedistributører, Danske Regioner, Danske Tegl, Danske Vandværker, DANVA (Dansk Vand- og Spildevandsforening), DANVAK, DCC Energi Naturgas, Decentral Energi, DELTA Dansk Elektronik, DI, DKCPC, DOF BirdLife, Dommerfuldmægtigforeningen, Drivkraft Danmark, DTU - Myndighedsbetjening, E. ON Danmark A/S, EA Energianalyse, EBO Consult A/S, EmballageIndustrien, Emmelev A/S, Energi Danmark, Energi Fyn, Energi- og Bygningsrådgivning A/S (EBAS), Energiforum Danmark, Energifællesskaber, Energiklagenævnet, Energinet, Energisammenslutningen, Energisystemer ApS, Energitjenesten, Enyday, Equinor ASA, Erhvervsflyvningens Sammenslutning (ES-DAA), Esso Norge AS, European Energy, EUROPEAN GREEN CITIES, Eurowind Energy A/S, Everfuel, Evida, EWE Energie AG, ExxonMobil Asia Pacific Private Ltd., Fagligt Fælles Forbund (3F), FDO, FH - Fagbevægelsens Hovedorganisation, Finans og Leasing, Finansforbundet, Finansrådet, Realkreditforeningen og Realkreditrådet - FinansDanmark, Fjernvarme Fyn, Fonden Kraka, Forbrugerrådet Tænk, Forenede Danske El-bilister (FDEL), Foreningen af Danske Skatteankenævn, Foreningen af fabrikanter og importører af elektriske husholdningsapparater (FEHA), Foreningen af Rådgivende Ingeniører (FRI), Foreningen Biogasbranchen, Foreningen Danske Revisorer, Foreningen for Platformsøkonomi i Danmark (FPD), Fors A/S, Forsikring & Pension, Forsikringsmæglerforeningen, Forsyningstilsynet, Fredericia Spildevand A/S, Frederiksberg Forsyning, Frederiksberg Kommune, Frie Funktionærer, FSE, FSR Danske revisorer, Gaz-system, Gentofte og Gladsaxe Fjernvarme, Go´on Gruppen A/S, GRAKOM, Green Power Denmark, Greenpeace, GreenTech Advisor, Grundfos, GTS (Godkendt Teknologisk service), Gunvor S. A, H2 Energy Esbjerg, Havarikommissionen for Offshore Olie- og Gasaktiviteter, HK-Kommunal, HK-Privat, HOFOR A/S, HOFOR el og varme, HOFOR Fjernkøling A/S, HORESTA, Hulgaard advokater, IBIS, Ineos Danmark, Ingeniørforeningen i Danmark (IDA), Institut for produktudvikling (IPU), Inter Terminals, Investering Danmark, IT-Branchen, Justitia, Kalundborg Refinery A/S, Kjærgaard A/S, Klimarådet, Kommunernes Landsforening, Kooperationen (Den Kooperative arbejdsgiver- og interesseorganisation i Danmark), Kraka, Kræftens Bekæmpelse, Københavns Kommune - Teknik- og Miljøforvaltningen, Københavns Kommune - Økonomiforvaltningen, Københavns Kulturcenter, Københavns Universitet, Landbrug & Fødevarer, Landdistrikternes Fællesråd, Landsbyggefonden, Landsforeningen af Solcelleejere, Landsforeningen for Bæredygtigt Landbrug, Landsforeningen Naboer til Kæmpevindmøller, Landsforeningen Polio-, Trafik- og Ulykkesskadede, LCA Center, Lederne Søfart, Ledernes Hovedorganisation, Lokale Pengeinstitutter, Macquarie Commodities Trading SA, Malik Energy A/S, Mellemfolkeligt Samvirke, Mercuria Energy Trading SA, Musket Europe Sarl, Maabjerg Energy Center - MEC, N1 A/S, Nationalbanken, Nationalt Center for Miljø og Energi, Nature Energy, NetVarme, Niras, NOAH Energi og Klima, Nordisk Energirådgivning ApS, Nordisk Folkecenter for Vedvarende Energi, Nordsøfonden, Noreco, Norlys, NRGi Renewables A/S, Nuuday, Nærbutikkernes landsforening, OK a.m.b.a., Olie Gas Danmark, Otto Kjær, Oxfam IBIS, Partnerskabet for Bølgekraft, Peninsula Trading Limited, Plan og Projekt, Planenergi, Plastindustrien, Plesner Advokatpartnerselskab, Procesindustrien, Q8 Danmark A/S, Radius Elnet A/S, Rambøll Regstrup Natur og miljøforening, Rejsearbejdere.dk, Rejsearrangører i Danmark, Ren Energi Oplysning (REO), RWE Renewables Denmark A/S, Rådet for Bæredygtig Trafik, Rådet for Bæredygtigt Byggeri, Rådet for grøn omstilling, Samtank A/S, SAS Oil Denmark A/S, SEAS-NVE, SEGES, Serviceforbundet, Shell International Trading and Shipping Company Limited, Shell Trading Rotterdam, Siemens Gamesa, SKAD - Autoskade- og Køretøjsopbyggerbranchen i Danmark, SMV danmark, Solaropti, Spirit Energy, Spyker Energy ApS, SRF Skattefaglig Forening, Statens ByggeforskningsInstitut, Stena Oil AB, Substain, Synergi, TEKNIQ Arbejdsgiverne, Teknologisk Institut, Total S. A., TotalEnergies Danmark A/S, TOTSA TotalEnergies Trading S. A., Trafigura Pte Ltd, TREFOR/EWII, T-REGS, Unimot Paliwa Sp. Z.o.o., Unioil Supply A/S, Uno-X Mobility Danmark A/S, Varmepumpefabrikantforeningen, Vattenfall A/S, Vedvarende Energi, Vejle Spildevand, VEKS, VELTEK, VELTEK - VVS- og El-Tekniske Leverandørers Brancheforening, Verdens Skove, Verdo Randers, Vestforbrænding, Vin og Spiritus Organisationen i Danmark, Vindenergi Danmark, Vindmølleindustrien, VisitDenmark, Vitol S. A., Wind Denmark, Wind Estate A/S, Wintershall Nordszee B. V., Ældre Sagen, Økologisk Landsforening, Ørsted, Aalborg Energikoncern, Aalborg Portland A/S, Aalborg Universitet og 92-Gruppen.

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Det foreslås i § 1, stk. 1, at lovens formål er at fastsætte en ramme for modstandsdygtighed og beredskab i forhold til naturskabte, menneskeskabte og teknologiske trusler, der kan true eller skade energiforsyningen gennem regler om organisatorisk beredskab, fysisk sikring og cybersikkerhed for virksomheder i energisektoren.

Den foreslåede bestemmelse angiver en delmængde af lovens formål, jf. § 1, stk. 2.

Bestemmelsen medfører ikke selvstændige pligter og rettigheder, men kan anvendes ved fortolkning af lovens andre bestemmelser.

Den foreslåede bestemmelse reflekterer dele af artikel 1, stk. 1 og 2, litra a-c, i NIS 2-direktivet og dele af artikel 1 i CER-direktivet, der ligeledes fastsætter dele af formålet med direktiverne.

Bestemmelsen vil sikre en overordnet forståelsesramme for lovens bestemmelser, der skal sikre virksomhedernes arbejde med modstandsdygtighed og beredskab, samt for myndighedernes rolle i varetagelsen af koordinationen af virksomhedernes beredskab.

Det foreslås i § 1, stk. 2, at loven endvidere har til formål at fastsætte en ramme for myndighedstilsyn med overholdelsen af disse regler og danne grundlag for samarbejde mellem virksomheder, myndigheder samt øvrige organisationer, der varetager roller i planlægningen af beredskabet og håndteringen af beredskabshændelser i energisektoren.

Den foreslåede bestemmelse implementerer NIS 2-direktivets artikel 1, stk. 2, litra d, og dele af NIS 2-direktivets artikel 1, stk. 1 og stk. 2, litra a-c. Den foreslåede bestemmelse implementerer endvidere dele af CER-direktivets artikel 1. De pågældende direktivbestemmelser fastsætter dele af direktivernes formål, der angår tilsyns- og håndhævelsesforpligtigelser.

Den foreslåede bestemmelse angiver den resterende delmængde af lovens formål, jf. § 1, stk. 1.

Bestemmelsen medfører ikke selvstændige pligter og rettigheder, men kan anvendes ved fortolkning af lovens andre bestemmelser.

Formålet er at sikre et stærkt samarbejde mellem virksomheder, organisationer og myndigheder, herunder virksomheder, organisationer og myndigheder, der direkte eller indirekte varetager en rolle i planlægningen af beredskabet og håndteringen af beredskabshændelser i energisektoren. Her tænkes særligt på, at der er et stort behov for informationsudveksling i forbindelse med planlægningen af beredskabet, men også under en hændelse og efter en hændelse.

Til § 2

Efter elforsyningslovens § 85 b, stk. 1, og § 85 c, stk. 1, er følgende virksomheder i elsektoren omfattet af beredskabsregulering, herunder krav om at foretage den nødvendige planlægning og træffe de nødvendige foranstaltninger for at sikre elforsyningen i beredskabssituationer og andre ekstraordinære situationer samt opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer, der er af betydning for elforsyningen. Virksomheder, som er bevillingspligtige efter elforsyningslovens §§ 10 og 19, virksomheder, der har tilladelse til elproduktion fra anlæg med en kapacitet på over 25 MW efter § 29 i VE-loven eller § 11 i elforsyningsloven, samt elforsyningsvirksomhed, der varetages af Energinet eller denne virksomheds helejede datterselskaber i medfør af § 2, stk. 2 og 3, i lov om Energinet.

Efter gasforsyningslovens § 15 a og § 15 b, er virksomheder, som er bevillingspligtige efter gasforsyningslovens § 10, Energinet og dennes helejede datterselskaber, som foretager gasforsyningsvirksomhed klassisk beredskab og it-beredskab.

I oliesektoren skal virksomheder med positiv lagringspligt og FDO foretage beredskabsplanlægning, der sikrer forsyningen af olie fra egne beredskabslagre i en beredskabssituation, jf. olieberedskabslovens § 16, stk. 1, og olieberedskabsbekendtgørelsens § 11.

Elforsyningsloven finder anvendelse på land- og søterritoriet og i den eksklusive zone, jf. lovens § 2, stk. 2. Gasforsyningsloven finder anvendelse på land, søterritoriet, i den eksklusive økonomiske zone og på dansk kontinentalsokkelområde, jf. lovens § 2, skt. 3. Gasforsyningsloven finder dog ikke anvendelse på transmissionssystemer på søterritoriet, i den eksklusive økonomiske zone og på dansk kontinentalsokkelområde, der ikke har tilslutning til det danske gassystem, jf. lovens § 2, stk. 4. Offshoresikkerhedsloven finder anvendelse på offshore olie- og gasaktiviteter.

Der henvises i øvrigt til punkt 3.1.1 i lovforslagets almindelige bemærkninger.

Det foreslås i § 2, stk. 1, at loven finder anvendelse på de i nr. 1-20 oplistede typer af virksomheder, jf. dog stk. 2 og 3.

Begrebet virksomheder vil skulle forstås i overensstemmelse med begrebet enheder, der anvendes i NIS 2-direktivet, jf. også lovforslagets § 3, nr. 30, der vil definere virksomheder i overensstemmelse med definitionen af den enslydende definition af enheder i NIS 2-direktivet. Virksomheder vil herefter blive den gennemgående referenceramme for lovforslagets anvendelse, i overensstemmelse med den hidtil indarbejdede måde at betegne retssubjekterne i lovgivningen på energiområdet.

Den foreslåede bestemmelse vil med nr. 1-17 implementere de dele af artikel 2, stk. 1, i NIS 2- direktivet og artikel 1, stk. 1, litra a og b, i CER-direktivet, som er relevant for energisektoren. De oplistede virksomheder i nr. 1-17 reflekterer således de enheder i energisektoren, som angivet i bilag 1 til NIS 2-direktivet, samt de kritiske enheder i energisektoren, som er angivet i bilaget til CER.

Nr. 18-20 er et udtryk for et nationalt ønske om at operatører af tankstationer, der er ansvarlige for forvaltningen og driften af tankstationer, operatører af regionale koordinationscentre og operatører af bygasnet, omfattes af loven, da disse virksomheder varetager en række funktioner, der er kritiske for forsyningen og beredskabet i energisektoren. Der henvises i øvrigt til bemærkningerne til § 2, stk. 1, nr. 18-20, nedenfor.

Den foreslåede bestemmelse vil videreføre gældende ret, idet de virksomheder, som efter elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven er omfattet af beredskabsregulering, også vil blive omfattet af beredskabsregulering med den foreslåede bestemmelse. Bestemmelsen udvider dog samtidig beredskabsreguleringen til fremover også at omfatte bl.a. fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Det foreslås i § 2, stk. 1, nr. 1, at elektricitetsvirksomheder omfattes af loven. Elektricitetsvirksomheder skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 7, og skal i øvrigt forestås i overensstemmelse med enhedskategorien elektricitetsvirksomheder angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1, nr. 2, at distributionssystemoperatører omfattes af loven. Distributionssystemoperatører skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 6, og skal i øvrigt forstås i overensstemmelse med enhedskategorien distributionssystemoperatører i hhv. elektricitets- og gassektoren angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.

Virksomheder, der er omfattet af begrebet "distributionsselskab", jf. gasforsyningslovens § 6, stk. 1, nr. 6, og virksomheder, der er omfattet af begrebet "netvirksomhed", jf. elforsyningslovens § 5, stk. 1, nr. 26, vil blandt andet være omfattet af den foreslåede bestemmelse. Bestemmelsen vil hermed blandt andet omfatte virksomheder, der har bevilling til distributionsvirksomhed efter gasforsyningslovens § 10, og virksomheder, der har bevilling til netvirksomhed efter elforsyningslovens § 19, jf. også bemærkningerne til forslagets § 3, stk. 1, nr. 5.

Det foreslås i § 2, stk. 1, nr. 3, at transmissionssystemoperatører omfattes af loven. Transmissionssystemoperatører skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 29, og skal i øvrigt forstås i overensstemmelse med enhedskategorien transmissionssystemoperatører i hhv. elektricitets- og gassektoren angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1, nr. 4, at elproducenter omfattes af loven. Elproducenter skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 8, og skal i øvrigt forestås i overensstemmelse med enhedskategorien producenter i elektricitetssektoren angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1, nr. 5, at udpegede elektricitetsmarkedsoperatører omfattes af loven. Udpegede elektricitetsmarkedsoperatører skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 30, og skal i øvrigt forestås i overensstemmelse med enhedskategorien udpegede elektricitetsmarkedsoperatører angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1, nr. 6, at markedsdeltagere, der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring, omfattes af loven. Markedsdeltagere der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring, skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 19, og skal i øvrigt forstås i overensstemmelse med enhedskategorien angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1, nr. 7, at operatører af ladepunkter, der er ansvarlige for forvaltningen og driften af et ladepunkt, som leverer en ladetjeneste til slutbrugere, herunder i en mobilitetstjenesteudbyders navn og på dennes vegne, omfattes af loven. Begrebet skal forstås i overensstemmelse med enhedskategorien operatører af ladestationer, der er ansvarlige for forvaltningen og driften af et ladepunkt, som leverer en ladetjeneste til slutbrugere, herunder i en mobilitetstjenesteudbyders navn og på dennes vegne, angivet i NIS 2-direktivets bilag I.

Det bemærkes, at NIS 2-direktivet i den danske sprogversion anvender termen ladestationer. Den engelske og franske sprogversion anvender termen "ladepunkt", henholdsvis "a recharging point" og "d'un point de recharge". Ladepunkt anvendes i øvrigt i dansk- og EU-lovgivning på transportområdet. På den baggrund anvendes i nærværende lovforslag termen ladepunkt som en samlebetegnelse, der også vil omfatte begrebet ladestation.

Det foreslås i § 2, stk. 1, nr. 8, at operatører af fjernvarme eller fjernkøling omfattes af loven. Operatører af fjernvarme eller fjernkøling skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 23, og skal i øvrigt forstås i overensstemmelse med enhedskategorien operatører af fjernvarme eller fjernkøling angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1, nr. 9, at olierørledningsoperatører omfattes af loven.

Det foreslås i § 2, stk. 1, nr. 10, at operatører af olieproduktionsanlæg, -raffinaderier og -behandlingsanlæg, olielagre og olietransmission omfattes af loven.

Det foreslås i § 2, stk. 1, nr. 11, at centrale lagerenheder omfattes af loven. Centrale lagerenheder skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 2, og skal i øvrigt forestås i overensstemmelse med enhedskategorien centrale lagerenheder angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1, nr. 12, at gasforsyningsvirksomheder omfattes af loven. Gasforsyningsvirksomheder skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 11, og skal i øvrigt forstås i overensstemmelse med enhedskategorien gasforsyningsvirksomheder angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1, nr. 13, at lagersystemoperatører omfattes af loven. Lagersystemoperatører skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 17, og skal i øvrigt forstås i overensstemmelse med enhedskategorien lagersystemoperatører angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1, nr. 14, at LNG-systemoperatører omfattes af loven. LNG-systemoperatører skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 18, og skal i øvrigt forstås i overensstemmelse med enhedskategorien LNG-systemoperatører angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1, nr. 15, at naturgasvirksomheder omfattes af loven. Naturgasvirksomheder skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 21, og skal i øvrigt forstås i overensstemmelse enhedskategorien naturgasvirksomheder angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.

Det foreslås i § 2, stk. 1, nr. 16, at operatører af naturgasraffinaderier og -behandlingsanlæg omfattes af loven.

Det foreslås i § 2, stk. 1, nr. 17, at operatører inden for brintproduktion, -lagring og -transmission omfattes af loven.

Det foreslås i § 2, stk. 1, nr. 18, at operatører af tankstationer, der er ansvarlige for forvaltningen og driften af en tankstation omfattes af loven.

Operatører af tankstationer, der er ansvarlige for forvaltningen og driften af en tankstation foreslås efter nationalt ønske omfattet af loven, selvom de ikke er omfattet af NIS 2- og CER-direktivet, idet tankstationer er et væsentligt led i distributionen af olieprodukter.

Det foreslås i § 2, stk. 1, nr. 19, at operatører af regionale koordinationscentre omfattes af loven. Regionale koordinationscentre skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 25, og skal i øvrigt forstås i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2019/943 af 5. juni 2019 om det indre marked for elektricitet.

Med regionale koordinationscentre forstås et regionalt koordinationscenter, som oprettes i Danmark i henhold til artikel 35 i Europa-Parlamentets og Rådets forordning om det indre marked for elektricitet.

Det foreslås i § 2, stk. 1, nr. 20, at operatører af bygasnet omfattes af loven.

Operatører af bygasnet foreslås selvstændigt omfattet af loven, da disse operatører normalt ikke anses for omfattet af ordene "distributionssystemoperatører" eller "naturgasvirksomheder", når disse bruges i gasforsyningsloven. Derfor er det fundet nødvendigt eksplicit at omfatte operatører af bygasnet, således at der ikke kan opstå tvivl, om de er omfattet af loven eller ej.

Det foreslås i § 2, stk. 2, at loven dog kun finder anvendelse på typer virksomheder efter stk. 1, som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt virksomheden opfylder én eller flere af de i nr. 1-8 oplistede betingelser.

Det følger af det forslåede stk. 2, at lovens anvendelsesområde vil blive afgrænset i relation til mikro- og små virksomheder i overensstemmelse med artikel 2 i bilaget til henstilling 2003/361/EF, så denne gruppe af virksomheder kun vil blive omfattet af loven, såfremt de opfylder én eller flere af de i stk. 2, nr. 1-8, forslåede grænseværdier. De foreslåede grænseværdier i nr. 1-8, tager udgangspunkt i virksomhedernes kritikalitet for energiforsyningen. Disse grænseværdier er således også udtryk for klima-, energi- og forsyningsministerens foreløbige identifikation af kritiske enheder i henhold til artikel 6 i CER-direktivet. Den foreløbige identifikation vil blive revurderet, når den nationale strategi og nationale risikovurdering efter CER-direktivets artikel 4 og 5 foreligger. De foreslåede kriterier er endelig også udtryk for fastholdelse af anvendelsesområdet for de eksisterende bestemmelser om beredskab og cybersikkerhed fra lov om elforsyning.

Det foreslås i § 2 stk. 2, nr. 1, at loven finder anvendelse på virksomheder som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt virksomhederne leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring med en kapacitet på 25 MW eller derover eller håndterer en kapacitet på 25 MW elforbrug eller derover eller 25 MW elproduktion eller derover.

Den foreslåede afgrænsning på 25 MW eller derover vil følge den gældende afgrænsning af elproduktionsvirksomheder underlagt krav om elproduktionsbevilling efter elforsyningslovens § 10 eller krav om elproduktionstilladelse efter § 29 i VE-loven.

Det foreslås i § 2, stk. 2, nr. 2, at loven finder anvendelse på virksomheder, som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt virksomhederne opererer ladepunkter med en samlet kapacitet på 25 MW eller derover.

Den foreslåede afgrænsning på 25 MW eller derover vil følge den gældende afgrænsning af elproduktionsvirksomheder underlagt krav om elproduktionsbevilling efter elforsyningslovens § 10 eller krav om elproduktionstilladelse efter § 29 i VE-loven.

Det foreslås i § 2, stk. 2, nr. 3, at loven finder anvendelse på virksomheder, som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt virksomhederne i 2 ud af de sidste 3 år har haft et årligt salg på mere end 13,9 GWh fjernvarme eller fjernkøling.

Grænserne i bestemmelsen er en konvertering af 25 MW grænsen til fjernvarmesektoren og fjernkølingssektoren. Grunden til at referenceperioden er sat til 2 af de 3 sidste år, er fordi fjernvarmevirksomhederne kan opleve udsving i salg og produktion alt efter vejret og priserne på elmarkedet.

Det foreslås i § 2, stk. 2, nr. 4, at loven finder anvendelse på virksomheder som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt de årligt producerer mere end 26 mio. Nm3 (normalkubikmeter) gas eller injicerer mere end 26 mio. Nm3 gas i et gasnet.

Det foreslås i § 2, stk. 2, nr. 5, at loven finder anvendelse på virksomheder som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt de opererer olieterminaler eller olielagre med en kapacitet på 100.000 m3 eller derover.

Den foreslåede grænseværdi vil frasortere de mindste olielagre og terminaler, så operatører af mindre og ikke kritiske olieterminaler og -lagre ikke vil blive omfattet af loven.

Det foreslås i § 2, stk. 2, nr. 6, at loven finder anvendelse på virksomheder, som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt de opererer brintproduktion, der i sit tilslutningspunkt til et kollektivt elnet har en kapacitet på 25 MW eller derover.

Den foreslåede grænse på 25 MW kapacitet eller derover for et anlægs tilslutningspunkt til et kollektivt elnet, er baseret på vurderingen, at brintproducerende anlæg i dag først og fremmest er kritiske på grund af deres potentielle negative indvirkning på elforsyningssikkerheden, fordi pludselig stigning eller fald i elforbruget fra det brintproducerende anlæg kan føre til udsving i frekvensen af elnettet, hvilket i yderste konsekvens kan føre til black out. Efterhånden som der opstår et nationalt eller internationalt forbrug af brint, vil produktionen af brinten også være kritisk for at opretholde brintforsyningen. Når dette vurderes at være tilfældet, kan det overvejes, om der skal indføres en grænse for brintproducerende anlæg, der baserer sig på deres brintproduktionskapacitet.

Det foreslås i § 2, stk. 2, nr. 7, at loven finder anvendelse på virksomheder, som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt de opererer én eller flere tankstationer, der sammenlagt har et årligt salg af olieprodukter på 600.000 m3 eller derover, eller som opererer flere end 100 tankstationer på nationalt plan.

Den foreslåede grænse er fastsat ud fra det hensyn at beskytte forsyningen af benzin og diesel til vejtransport. Efter den foreslåede grænse vil kun de største tankstationsoperatører blive omfattet af loven ud fra antallet af stationer, som de opererer eller deres samlede årlige salg af olieprodukter på tværs af tankstationer. Det er således Klima-, Energi- og Forsyningsministeriets vurdering, at et helt netværk af tankstationer kan kompromitteres igennem de net- og informationssystemer, der bruges til at overvåge beholdninger af olieprodukter på stationerne. Men idet at Danmark er et af de lande med den største koncentration af tankstationer pr. indbygger, har Klima-, Energi- og Forsyningsministeriet valgt at foreslå, at kun de største operatører skal omfattes, således at der altid være et minimum af forsyning af olieprodukter til understøttelse af vejtransporten.

Det foreslås i § 2, stk. 2, nr. 8, at loven finder anvendelse på virksomheder som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt de har en positiv lagringspligt efter olieberedskabsloven eller regler udstedt i medfør af loven.

Bestemmelsen medfører, at virksomheder, med positiv lagringspligt efter olieberedskabsloven eller regler udstedt i medfør heraf, vil blive omfattet af lovforslaget, idet tilgængeligheden af olieberedskabslagrene, som disse virksomheder holder, er et grundlæggende krav for at have et velfungerende og brugbart olielagerberedskab.

Det foreslås i § 2, stk. 3, at lovens kapitel 5 om baggrundskontrol og sikkerhedsgodkendelser, endvidere finder anvendelse på aktører, der ikke omfattes af stk. 1 og 2, men som varetager opgaver som direkte led i eller i forbindelse med leveringen af de tjenester og aktiviteter, der varetages af virksomhedstyperne opregnet i stk. 1.

Den foreslåede bestemmelse har til formål, at sikre at bestemmelserne om baggrundskontrol og sikkerhedsgodkendelser i lovforslagets § 16, også finder anvendelse på aktører, der ikke allerede omfattes af loven, men som varetager opgaver som direkte led i eller i forbindelse med leveringen af de tjenester og aktiviteter, der varetages af virksomheder omfattet af loven. Formålet med at omfatte dem af bestemmelserne i § 16 er ikke at fastsætte krav om, at sådanne aktører skal have foretaget baggrundskontrol eller sikkerhedsgodkendelse af deres personale, men blot åbne op for klima-, energi- og forsyningsministeren har hjemmel til at modtage, behandle og afgøre ansøgninger om baggrundskontrol og sikkerhedsgodkendelse fra ansatte hos sådanne aktører, når det findes nødvendigt af aktøren selv.

Den foreslåede bestemmelse vil udvide anvendelsesområdet for de nævnte dele af lovforslaget med henblik på, at aktører, der ikke omfattes af stk. 1 og 2, kan anmode Klima-, Energi- og Forsyningsministeriet om at få behandlet ansøgninger om sikkerhedsgodkendelse og baggrundskontrol. Aktører vil i denne kontekst skulle forstås bredt som såvel fysiske som juridiske personer, der kan dokumentere, at de varetager, eller vil varetage opgaver som direkte led i eller i forbindelse med leveringen af de tjenester og aktiviteter, der varetages af virksomhedstyperne opregnet i stk. 1.

Vurderingen af, hvorvidt en aktør konkret må anses for at varetage opgaver i forbindelse med leveringen af de tjenester og aktiviteter, der varetages af virksomhedstyperne opregnet i stk. 1, vil blive foretaget af klima, energi og forsyningsministeren i den konkrete sag, og ministeren kan afvise ansøgninger, hvis ministeren vurderer, at aktøren ikke lever op til kravet.

Vurderingen vil blive foretaget under hensyn til, at energisektoren omfatter mange aktører, der ikke nødvendigvis har en direkte forbindelse til virksomheder omfattet af § 2, stk. 1 og 2 og leveringen af deres tjenester, men som leverer andre tjenester, services eller indsigter, der bruges i forbindelse med leveringen af virksomhedens tjeneste eller på andre indirekte måder bidrager til at skabe en mere robust og sikker energisektor. Flere fora anvender således sikkerhedsgodkendelser som en forudsætning for deltagelse. Dette vil eksempelvis typisk være tilfældet i fora, der diskuterer resiliens og sikkerhed i energisektoren, eller hvor emner omhandlende kritisk infrastruktur og kortlægning heraf drøftes. Sådanne fora vil efter en konkret vurdering for eksempel kunne blive anset for at udføre opgaver i forbindelse med leveringen af de tjenester og aktiviteter, der varetages af virksomhedstyperne opregnet i stk. 1. Endvidere vil eksempelvis virksomheder, som indsamler data om cybertrusler og -angreb af relevans for energisektoren, ikke være omfattet af stk. 1 og 2, men vil være omfattet af det udvidede anvendelsesområde for sikkerhedsgodkendelser og baggrundskontrol, samt betaling herfor i lovens kapitel 5, § 18 og regler udstedt i medfør heraf, da de ligeledes vil blive anset for at udføre opgaver i forbindelse med leveringen af de tjenester og aktiviteter, der varetages af virksomhedstyperne opregnet i stk. 1.

Der henvises i øvrigt til pkt. 3.4 om sikkerhedsgodkendelser og baggrundskontrol samt pkt. 3.5 om gebyrbetaling for myndighedsbehandling i lovforslagets almindelige bemærkninger.

Det foreslås i § 2, stk. 4, at loven finder anvendelse på land- og søterritoriet, i den danske eksklusive økonomiske zone samt på den danske kontinentalsokkel, jf. dog stk. 5.

Efter den foreslåede bestemmelse, vil anvendelsesområdet udstrække sig til at gælde den eksklusive økonomiske zone. Det vil medføre, at anlæg som er placeret i det areal også vil være omfattet af kravene, som fremgår af lovens andre bestemmelser. Lovforslaget vil dermed finde anvendelse på bl.a. vindmølleparker eller boreplatforme, som er placeret uden for land- eller søterritoriet, men som er inden for den danske eksklusive økonomiske zone.

Udstrækningen af det geografiske anvendelsesområde vil medføre, at flere anlæg eller systemer vil skulle leve op til de nærmere beredskabsmæssige krav.

Den foreslåede bestemmelse er en forsættelse af de bestemmelser, der findes i en række af de forsyningslove, som beredskabet tidligere har været forankret i og cementerer, at loven og regler udstedt i medfør af loven gælder på land- og søterritoriet, den danske eksklusive økonomiske zone samt på den danske kontinentalsokkel.

Bestemmelsen skal dog ses i sammenhæng med undtagelsen i stk. 5.

Det foreslås i § 2, stk. 5, at loven ikke finder anvendelse på transmissionssystemer på søterritoriet, i den eksklusive økonomiske zone og på den danske kontinentalsokkel, der ikke har tilslutning til danske forsyningsnet.

Det er vurderingen, at et transmissionssystem, som ikke er tilsluttet det danske forsyningsnet, men blot passerer dansk territorium, ikke har betydning for Danmarks energiforsyning. Bestemmelsen præciserer derfor, at loven og regler udstedt i medfør heraf, ikke finder anvendelse på sådanne transmissionsnet.

Til § 3

Den foreslåede bestemmelse i § 3 indeholder definitioner af lovens centrale begreber.

Definitionerne vil implementere de relevante definitioner i artikel 6 i NIS 2-direktivet. Definitionerne vil endvidere implementere de relevante definitioner i artikel 2 i CER-direktivet. Endvidere implementeres definitionerne fra det enslydende bilag I til de to direktiver, for så vidt angår energisektorens enhedskategorier. I det omfang der i de relevante EU-definitioner er henvist til artikler i andre direktiver og forordninger, er disse indarbejdet i bestemmelserne for lette referencen.

De foreslåede definitioner vil således svare indholdsmæssigt til de relevante dele af NIS 2-direktivets artikel 6 og CER-direktivets artikel 2 og skal forstås og anvendes i overensstemmelse hermed.

I de tilfælde, hvor NIS 2- og CER-direktivet ikke anvender identiske definitioner for samme begreber, er der med lovforslaget tilstræbt størst mulig kongruens ved at sammenlægge definitionerne.

Således vil definitionen af en »hændelse« efter denne lov eksempelvis omfatte samme begreb i henholdsvis NIS 2- og CER-direktivet, selvom direktiverne definerer begrebet forskelligt.

Det foreslås i § 3, stk. 1, nr. 1, at »aggregering« defineres som en funktion, der varetages af en fysisk eller juridisk person, der samler flere kunders forbrug eller producerede elektricitet til salg, køb eller auktion på et elektricitetsmarked. Aggregering er ikke levering af elektricitet.

Bestemmelsen er identisk med den tilsvarende definition i elforsyningslovens § 5, nr. 3.

Bestemmelsens første punktum er en ordret gengivelse af artikel 2, nr. 18, i Europa-Parlamentets og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU og skal forstås i overensstemmelse hermed.

Bestemmelsens andet punktum er medtaget med inspiration fra elforsyningslovens § 5, nr. 3, idet en elhandelsvirksomhed, der sælger elektricitet m.v. kan godt på samme tid være en virksomhed, der varetager aggregering.

Det foreslås i § 3, stk. 1, nr. 2, at »central lagerenhed« defineres som et organ eller tjeneste, som er tildelt beføjelser til at handle med henblik på at erhverve, holde eller sælge olielagre, herunder beredskabslager og specifikke lagre.

Den foreslåede definition er en ordret gengivelse af definitionen af central lagerenhed i artikel 2, litra f, i Rådets direktiv 2009/119/EF af 14. september 2009 om forpligtelse for medlemsstaterne til at holde minimumslagre af råolie og/eller olieprodukter.

Den foreslåede bestemmelse vil hermed implementere definitionen af central lagerenhed i overensstemmelse med definitionen af centrale lagerenheder i bilag I i NIS 2-direktivet og bilaget CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Rådets direktiv 2009/119/EF af 14. september 2009 om forpligtelse for medlemsstaterne til at holde minimumslagre af råolie og/eller olieprodukter, samt NIS 2- og CER-direktivet.

I Danmark vil den centrale lagerenhed, der er udpeget efter lov nr. 354 af 24. april 2012 om olieberedskab, være omfattet af denne definition.

Det foreslås i § 3, stk. 1, nr. 3, at »cybersikkerhed« defineres som de aktiviteter, der er nødvendige for at beskytte net- og informationssystemer, brugerne af sådanne systemer og andre personer berørt af cybertrusler.

Den foreslåede definition er en ordret gengivelse af artikel 2, nr. 1, i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).

Den foreslåede bestemmelse vil hermed implementere definitionen af cybersikkerhed i overensstemmelse med definitionen af cybersikkerhed i NIS 2-direktivets artikel 6, nr. 3.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) og NIS 2-direktivet.

Det foreslås i § 3, stk. 1, nr. 4, at »cybertrussel« defineres som enhver potentiel omstændighed, begivenhed eller handling, som kan skade, forstyrre eller på anden måde have en negativ indvirkning på net- og informationssystemer, brugerne af sådanne systemer og andre personer.

Den foreslåede definition er en ordret gengivelse af artikel 2, nr. 8, i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).

Den foreslåede bestemmelse vil hermed implementere definitionen af cybersikkerhed i overensstemmelse med definitionen af cybersikkerhed i NIS 2-direktivets artikel 6, nr. 10.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) og NIS 2-direktivet.

Det foreslås i § 3, stk. 1, nr. 5, at »distributionssystemoperatør« defineres som en fysisk eller juridisk person, der er ansvarlig for driften, vedligeholdelsen og om nødvendigt udbygningen af distributionssystemet i et givet område samt i givet fald dets sammenkoblinger med andre systemer og for at sikre, at systemet på lang sigt kan tilfredsstille en rimelig efterspørgsel efter distribution af elektricitet eller gas.

Den foreslåede definition sammenlægger definitionerne for distributionssystemoperatør i artikel 2, nr. 29, i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU, og artikel 2, nr. 6, i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF. Den foreslåede definition gengiver ordret definitionen i førstnævnte direktiv og svarer indholdsmæssigt til definitionen i sidstnævnte direktiv.

Den foreslåede bestemmelse vil hermed implementere definitionen af distributionssystemoperatør i overensstemmelse med definitionen af distributionssystemoperatører i delsektorerne elektricitet og gas i bilag I i NIS 2-direktivet og bilaget CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU, Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-direktivet.

Definitionen i nr. 5, vil blandt andet omfatte begrebet "distributionsselskab", jf. gasforsyningslovens § 6, stk. 1, nr. 6, og begrebet "netvirksomhed", jf. elforsyningslovens § 5, stk. 1, nr. 26. Definitionen vil hermed blandt andet omfatte virksomheder, der har bevilling til distributionsvirksomhed efter gasforsyningslovens § 10, og virksomheder, der har bevilling til netvirksomhed efter elforsyningslovens § 19, jf. også bemærkninger til 2, stk. 1, nr. 2.

Det foreslås i § 3, stk. 1, nr. 6, at »elektricitetsvirksomhed« defineres som en fysisk eller juridisk person, der driver mindst en af følgende former for virksomhed: produktion, transmission, distribution, aggregering, fleksibelt elforbrug, energilagring, levering eller køb af elektricitet, og som er ansvarlig for de kommercielle, tekniske eller vedligeholdelsesmæssige opgaver i forbindelse med disse aktiviteter, men som ikke er slutkunde der varetager salg, herunder videresalg, af elektricitet til kunder.

Den foreslåede definition er en sammenlægning af definitionen af elektricitetsvirksomhed i artikel 2, nr. 57, i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU, og definitionen af levering i artikel 2, nr. 12, i samme direktiv. Den foreslåede definition gengiver direktivets definition af elektricitetsvirksomhed og inkluderer heri direktivets definition af levering.

Den foreslåede bestemmelse vil hermed implementere definitionen af elektricitetsvirksomhed i overensstemmelse med definitionen af elektricitetsvirksomheder i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU, NIS 2-direktivet og CER-direktivet.

Det foreslås i § 3, stk. 1, nr. 7, at »elproducent« defineres som en fysisk eller juridisk person, der fremstiller elektricitet.

Den foreslåede definition er en ordret gengivelse af definitionen af producent i artikel 2, nr. 38, i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU.

Den foreslåede bestemmelse vil hermed implementere definitionen af elproducent i overensstemmelse med definitionen af producenter i delsektoren elektricitet i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet for Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU, NIS 2-direktivet og CER-direktivet.

Det foreslås i § 3, stk. 1, nr. 8, at »energilagring« defineres som i elektricitetssystemet, som udsættelse af den endelige anvendelse af elektricitet til et senere tidspunkt end det, hvor den blev produceret, eller konvertering af elektrisk energi til en energiform, der kan lagres, lagringen af sådan energi og den efterfølgende rekonvertering af sådan energi til elektrisk energi eller anvendelse som anden energibærer.

Den foreslåede definition er en ordret gengivelse af definitionen af energilagring i artikel 2, nr. 59, i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU.

Det foreslås i § 3, stk. 1, nr. 9, at »fleksibelt elforbrug« defineres som ændringer i en slutkundes elforbrug i forhold til det normale eller aktuelle forbrugsmønster som reaktion på markedssignaler, herunder som reaktion på tidspunktafhængige elpriser eller finansielle incitamenter, eller som reaktion på accept af slutkundens bud om at sælge en forbrugsreduktion eller -forøgelse til en bestemt pris på et organiseret marked, hvad enten dette sker alene eller gennem aggregering.

Den foreslåede definition gengiver definitionen af fleksibelt elforbrug i artikel 2, nr. 20, i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU.

Definitionen af fleksibelt elforbrug i førnævnte direktiv henviser desuden til definitionen af organiseret marked i EU-Kommissionens gennemførelsesforordning (EU) nr. 1348/2014 af 17. december 2014 om dataindberetning til gennemførelse af artikel 8, stk. 2, og artikel 8, stk. 6, i Europa-Parlamentets og Rådets forordning (EU) nr. 1227/2011 om integritet og gennemsigtighed på engrosenergimarkederne. Organiseret marked i den foreslåede definition skal forstås i overensstemmelse hermed, jf. også bemærkningerne til § 3, stk. 1, nr. 24.

Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU.

Det foreslås i § 3, stk. 1, nr. 10, at »gasforsyningsvirksomhed« defineres som enhver fysisk eller juridisk person, der varetager forsyningsopgaven.

Den foreslåede definition er en ordret gengivelse af definitionen af forsyningsvirksomhed i artikel 2, nr. 8, i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF.

Den foreslåede bestemmelse vil hermed implementere definitionen af gasforsyningsvirksomhed i overensstemmelse med definitionen af forsyningsvirksomheder i delsektoren gas i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-direktivet.

Det foreslås i § 3, stk. 1, nr. 11, at »hændelse« defineres som en begivenhed, der har potentiale til i betydelig grad at forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste, herunder når den påvirker de nationale systemer, der sikrer retsstatsprincippet, herunder en begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare.

Bestemmelsen bygger på CER-direktivets artikel 2, nr. 3, hvorefter der ved »hændelse« forstås en begivenhed, der har potentiale til i betydelig grad at forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste, herunder når den påvirker de nationale systemer, der sikrer retsstatsprincippet. Dog er der tilføjet "herunder en begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare" for samtidigt at implementere definitionen af " hændelse" fra NIS 2-direktivets artikel 6, nr. 6, med henblik på at gøre det klart, at hændelsesbegrebet i denne lov omfatter alle hændelser.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med CER- og NIS 2-direktivets formål og anvendelsesområde.

Det foreslås i § 3, stk. 1, nr. 12, at »håndtering af hændelser« defineres som enhver handling og procedure, der tager sigte på at forebygge, opdage, analysere og inddæmme eller at reagere på og reetablere sig efter en hændelse.

Den foreslåede definition er en ordret gengivelse af definitionen i NIS 2-direktivets artikel 6, nr. 8. Den foreslåede bestemmelse implementerer hermed NIS 2-direktivets artikel 6, nr. 8.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med NIS 2-direktivets formål og anvendelsesområde.

Det foreslås i § 3, stk. 1, nr. 13, at »IKT-proces« defineres som aktiviteter, der udføres for at udforme, udvikle, levere eller vedligeholde et IKT-produkt eller en IKT-tjeneste.

Den foreslåede definition er en ordret gengivelse af definitionen i artikel 2, nr. 14, i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).

Den foreslåede bestemmelse implementerer hermed NIS 2-direktivets artikel 6, nr. 14.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) og NIS 2-direktivet.

Det foreslås i § 3, stk. 1, nr. 14, at »IKT-produkt« defineres som et element eller en gruppe af elementer i net- og informationssystemer.

Den foreslåede definition er en ordret gengivelse af definitionen i artikel 2, nr. 12, i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).

Den foreslåede bestemmelse implementerer hermed NIS 2-direktivets artikel 6, nr. 12.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) og NIS 2-direktivet.

Det foreslås i § 3, stk. 1, nr. 15, at »IKT-tjeneste« defineres som en tjeneste, der helt eller hovedsageligt består af overførsel, lagring, indhentning eller behandling af oplysninger ved hjælp af net- og informationssystemer.

Den foreslåede definition er en ordret gengivelse af definitionen i artikel 2, nr. 13, i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).

Den foreslåede bestemmelse implementerer hermed NIS 2-direktivets artikel 6, nr. 13.

Bestemmelsen vil skulle fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) og NIS 2-direktivet.

Det foreslås i § 3, stk. 1, nr. 16, at »lagersystemoperatør« defineres som enhver fysisk eller juridisk person, der foretager oplagring af gas og er ansvarlig for driften af en gaslagerfacilitet.

Den foreslåede definition er en ordret gengivelse af definitionen af lagersystemoperatør i artikel 2, nr. 10, i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF.

Den foreslåede bestemmelse vil hermed implementere definitionen af lagersystemoperatør i overensstemmelse med definitionen af lagersystemoperatører i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-direktivet.

Det foreslås i § 3, stk. 1, nr. 17, at »LNG-systemoperatør« defineres som enhver fysisk eller juridisk person, der foretager flydendegørelse af naturgas eller import, losning og forgasning af LNG og er ansvarlig for driften af en LNG-facilitet.

Den foreslåede definition er en ordret gengivelse af definitionen af LNG-systemoperatør i artikel 2, nr. 12, i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF.

Den foreslåede bestemmelse vil hermed implementere definitionen af LNG-systemoperatør i overensstemmelse med definitionen af LNG-systemoperatører i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-direktivet.

Det foreslås i § 3, stk. 1, nr. 18, at »markedsdeltager der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring« defineres som en fysisk eller juridisk person, der køber, sælger eller producerer elektricitet, der udfører aggregering, eller der er en operatør af tjenester vedrørende fleksibelt elforbrug eller energilagringstjenester, herunder ved afgivelse af handelsordrer, på et eller flere elektricitetsmarkeder, herunder på balanceringsenergimarkeder.

Den foreslåede definition af markedsdeltager der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring gengiver ordret definitionen af markedsdeltager i artikel 2, nr. 25, i Europa-Parlamentets og Rådets forordning (EU) 2019/943 af 5. juni 2019 om det indre marked for elektricitet.

Den foreslåede bestemmelse vil hermed implementere definitionen af markedsdeltager, der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring i overensstemmelse med definitionen af markedsdeltagere, der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets forordning (EU) 2019/943 af 5. juni 2019 om det indre marked for elektricitet, NIS 2-direktivet og CER-direktivet.

Det foreslås i § 3, stk. 1, nr. 19, at »modstandsdygtighed« defineres som en enheds evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og sikre genopretning efter en hændelse.

CER-direktivets artikel 2, nr. 2, definerer modstandsdygtighed som en kritisk enheds evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og komme på fode igen efter en hændelse.

Definitionen i den foreslåede bestemmelse er således ikke en ordret gengivelse af definitionen i CER. Ordet kritisk fra definitionen i CER-direktivet er ikke medtaget i den foreslåede definition. Det bemærkes desuden, at CER-direktivet anvender termen "komme på fode igen", hvor den engelske sprogversion anvender termen "recover". I den foreslåede bestemmelse anvendes termen "genopretning" i stedet for "komme på fode igen", da det er den anvendte terminologi den danske energisektor.

Den foreslåede bestemmelse implementerer CER-direktivets artikel 2, nr. 2.

Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med CER-direktivets formål og anvendelsesområde.

Det foreslås i § 3, stk. 1, nr. 20, at »naturgasvirksomhed« defineres som enhver fysisk eller juridisk person, der driver mindst en af følgende former for virksomhed: produktion, transmission, distribution, forsyning, køb eller oplagring af naturgas, herunder LNG, og som er ansvarlig for de kommercielle, tekniske og/eller vedligeholdelsesmæssige opgaver i forbindelse med disse aktiviteter, men som ikke er endelig kunde.

Den foreslåede definition er en ordret gengivelse af definitionen af naturgasvirksomhed i artikel 2, nr. 1, i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF.

Den foreslåede bestemmelse vil hermed implementere definitionen af naturgasvirksomhed i overensstemmelse med definitionen af naturgasvirksomheder i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-direktivet.

Det foreslås i § 3, stk. 1, nr. 21, at »net- og informationssystem« defineres som; a) et elektronisk kommunikationsnet, hvorved forstås transmissionssystemer, uanset om de bygger på en permanent infrastruktur eller centraliseret administrationskapacitet, og, hvor det er relevant, koblings- og dirigerings-udstyr og andre ressourcer, herunder netelementer, der ikke er aktive, som gør det muligt at overføre signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellit-net, jordbaserede fastnet og mobilnet, elkabelsystemer, i det omfang de anvendes til transmission af signaler, net, som anvendes til radio- og tv-spredning, samt kabel-tv-net, uanset hvilken type information der overføres, b) enhver anordning eller gruppe af forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data, og c) digitale data som lagres, behandles, fremfindes eller overføres af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.

Den foreslåede nr. 21, litra a, gengiver definitionen af elektronisk kommunikationsnet i artikel 2, nr. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2018/1972 af 11. december 2018 om oprettelse af en europæisk kodeks for elektronisk kommunikation. Den foreslåede definition implementerer hermed NIS 2-direktivets artikel 6, nr. 1, litra a.

Den foreslåede nr. 21, litra a, vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets direktiv (EU) 2018/1972 af 11. december 2018 om oprettelse af en europæisk kodeks for elektronisk kommunikation og NIS 2-direktivet.

Den foreslåede nr. 21, litra b og c, er en ordret gengivelse af NIS 2-direktivets artikel 6, nr. 1, litra b og c, og implementerer hermed NIS 2-direktivets artikel 6, nr. 1, litra a og b.

Den foreslåede nr. 21, litra b og c, vil skulle forstås og fortolkes i overensstemmelse med NIS 2-direktivets formål og anvendelsesområde.

Kredsløbs- og pakkekoblede fastnet, herunder i internettet er også omfattet af jordbaserede fastnet.

Det foreslås i § 3, stk. 1, nr. 22, at »nærvedhændelse« defineres som en begivenhed, der kunne have bragt tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare, men som det lykkedes at forhindre, eller som ikke materialiserede sig.

Den foreslåede definition er en ordret gengivelse af artikel 6, nr. 5, i NIS 2-direktivet.

Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med NIS 2-direktivets formål og anvendelsesområde.

Det foreslås i § 3, stk. 1, nr. 23, at »operatør af fjernvarme eller fjernkøling« defineres som operatør af distribution af termisk energi i form af damp, varmt vand eller afkølede væsker fra centrale eller decentrale produktionssteder gennem et net til flere bygninger eller anlæg til anvendelse ved rum- eller procesopvarmning eller -køling.

Den foreslåede definition af operatør af fjernvarme eller fjernkøling indeholder en ordret gengivelse af definitionen af fjernvarme eller fjernkøling i artikel 2, nr. 19, i Europa-Parlamentets og Rådets direktiv (EU) 2018/2001 af 11. december 2018 om fremme af anvendelsen af energi fra vedvarende energikilder.

Den foreslåede bestemmelse vil hermed implementere definitionen af operatør af fjernvarme eller fjernkøling i overensstemmelse med definitionen af operatører af fjernvarme eller fjernkøling i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets direktiv (EU) 2018/2001 af 11. december 2018 om fremme af anvendelsen af energi fra vedvarende energikilder, NIS 2-direktivet og CER-direktivet.

Det foreslås i § 3, stk. 1, nr. 24, at »organiseret marked« defineres som; a) Et multilateralt system, der samler eller faciliterer samlingen af flere tredjeparters købs- og salgsinteresser i engrosenergiprodukter på en måde, der fører til indgåelse af en kontrakt, b) Ethvert andet system eller enhver anden facilitet, hvor flere købs- og salgsinteresser i engrosenergiprodukter tilhørende tredjeparter kan interagere på en måde, der fører til indgåelse af en kontrakt.

Den foreslåede definition gengiver en del af definitionen af organiseret marked i artikel 2, nr. 4, i EU-Kommissionens gennemførelsesforordning (EU) nr. 1348/2014 af 17. december 2014 om dataindberetning til gennemførelse af artikel 8, stk. 2, og artikel 8, stk. 6, i Europa-Parlamentets og Rådets forordning (EU) nr. 1227/2011 om integritet og gennemsigtighed på engrosenergimarkederne, jf. artikel 2, nr. 4, litra a og b.

Det følger derudover af definitionen i den førnævnte gennemførelsesforordning, at et organiseret marked omfatter elektricitets- og gasbørser, mæglere og andre personer, der erhvervsmæssigt arrangerer transaktioner, og markedspladser, som defineret i artikel 4 i Europa-Parlamentets og Rådets direktiv 2014/65/EU.

Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU definerer i artikel 4, nr. 24, markedsplads som ethvert reguleret marked, en MHF eller en OHF. Med MHF forstås multilateral handelsfacilitet og med OHF forstås organiseret handelsfacilitet, som defineret i direktivets artikel 4, nr. 22 og 23.

Definitionen i den foreslåede bestemmelse omfatter i overensstemmelse EU-Kommissionens gennemførelsesforordning (EU) nr. 1348/2014 af 17. december 2014 om dataindberetning til gennemførelse af artikel 8, stk. 2, og artikel 8, stk. 6, i Europa-Parlamentets og Rådets forordning (EU) nr. 1227/2011 om integritet og gennemsigtighed på engrosenergimarkederne, elektricitets- og gasbørser, mæglere og andre personer, der erhvervsmæssigt arrangerer transaktioner, og markedspladser, herunder ethvert reguleret marked, en MHF eller en OHF.

Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i EU-Kommissionens gennemførelsesforordning (EU) nr. 1348/2014 af 17. december 2014 om dataindberetning til gennemførelse af artikel 8, stk. 2, og artikel 8, stk. 6, i Europa-Parlamentets og Rådets forordning (EU) nr. 1227/2011 om integritet og gennemsigtighed på engrosenergimarkederne og Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU.

Det foreslås i § 3, stk. 1, nr. 25, at »regionalt koordinationscenter« defineres som et regionalt koordinationscenter, som oprettes i Danmark i henhold til artikel 35 i Europa-Parlamentets og Rådets forordning om det indre marked for elektricitet.

Den foreslåede bestemmelse er en gengivelse af definitionen af regionalt koordinationscenter i artikel 2, nr. 50, i Europa-Parlamentets og Rådets forordning (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet, med den tilpasning, at det fremgår af bestemmelsens ordlyd, at det kun finder anvendelse på et regionalt koordinationscenter beliggende i Danmark.

Det foreslås i § 3, stk. 1, nr. 26, at »risiko« defineres som potentialet for tab eller forstyrrelse som følge af en hændelse, udtrykt som en kombination af størrelsen af et sådant tab eller en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræffer.

Den foreslåede definition sammenlægger definitionen af risiko i NIS 2-direktivets artikel 6, nr. 9, og definitionen af risiko i CER-direktivets artikel 2, nr. 6. Den foreslåede definition er en ordret gengivelse af NIS 2-direktivets definition. Den foreslåede definition svarer indholdsmæssigt til CER-direktivets definition. Den foreslåede bestemmelse implementerer hermed NIS 2-direktivets artikel 6, nr. 9 og CER-direktivets artikel 2, nr. 6.

Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med NIS 2- og CER-direktivets formål og anvendelsesområde.

Det foreslås i § 3, stk. 1, nr. 27, at »risikovurdering« defineres som den samlede proces med henblik på at bestemme arten og omfanget af en risiko ved at identificere og analysere potentielle relevante trusler, sårbarheder og farer, der kunne føre til en hændelse, og ved at evaluere det potentielle tab eller den potentielle forstyrrelse af leveringen af en væsentlig tjeneste forårsaget af denne hændelse.

Den foreslåede definition er en ordret gengivelse af definitionen af risikovurdering i CER-direktivets artikel 2, nr. 7, og den foreslåede bestemmelse implementerer hermed CER-direktivets artikel 2, nr. 7.

Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med CER-direktivets formål og anvendelsesområde.

Det foreslås i § 3, stk. 1, nr. 28, at »transmissionssystemoperatør« defineres som en fysisk eller juridisk person, der er ansvarlig for driften, vedligeholdelsen og om nødvendigt udbygningen af transmissionssystemet i et givet område samt i givet fald dets sammenkoblinger med andre systemer og for at sikre, at systemet på lang sigt kan tilfredsstille en rimelig efterspørgsel efter transmission af elektricitet eller gas.

Den foreslåede definition sammenlægger definitionerne for transmissionssystemoperatør i artikel 2, nr. 35, i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU, og artikel 2, nr. 4, i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF.

Den foreslåede definition er en ordret gengivelse af definitionen af transmissionssystemoperatør i førstnævnte direktiv og svarer indholdsmæssigt til definitionen af transmissionssystemoperatør i sidstnævnte direktiv.

Den foreslåede bestemmelse vil hermed implementere definitionen af transmissionssystemoperatør i overensstemmelse med definitionen af transmissionssystemoperatører i delsektorerne elektricitet og gas i bilag I i NIS 2-direktivet og bilaget CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU, Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-direktivet.

Det foreslås i § 3, stk. 1, nr. 29, at »udpeget elektricitetsmarkedsoperatør« defineres som en markedsoperatør, der af Forsyningstilsynet er blevet udpeget til at udføre opgaver i forbindelse med den fælles day-ahead- eller intraday-kobling.

Den foreslåede bestemmelse er en tilpasset gengivelse af definitionen af udpeget elektricitetsmarkedsoperatør i artikel 2, nr. 8, i Europa-Parlamentets og Rådets forordning (EU) 2019/943 af 5. juni 2019 om det indre marked for elektricitet. Tilpasningen består i at "kompetent myndighed" er blevet af erstattet af Forsyningstilsynet, da Forsyningstilsynet er den kompetente myndighed i Danmark til at udpege elektricitetsmarkedsoperatører, efter den før nævnte forordning.

Den foreslåede bestemmelse vil hermed implementere definitionen af udpeget elektricitetsmarkedsoperatør i overensstemmelse med definitionen af udpegede elektricitetsmarkedsoperatører i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.

Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets forordning (EU) 2019/943 af 5. juni 2019 om det indre marked for elektricitet, NIS 2-direktivet og CER-direktivet.

Det foreslås i § 3, stk. 1, nr. 30, at »virksomhed« defineres som en fysisk eller juridisk person, der er oprettet og anerkendt som sådan i henhold til den nationale ret på det sted, hvor den er etableret, og som i eget navn kan udøve rettigheder og være underlagt forpligtelser.

Den foreslåede definition er en ordret gengivelse af definitionen af enhed i NIS 2-direktivets artikel 2, nr. 38, og den foreslåede bestemmelse implementerer hermed NIS 2-direktivets artikel 2, nr. 38.

Det foreslås, at loven anvender begrebet "virksomheder" i stedet for begrebet "enheder", som anvendes i NIS 2-direktivet, da det er den indarbejdede måde at betegne retssubjekterne i lovgivningen på energiområdet.

Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med NIS 2-direktivets formål og anvendelsesområde.

Det foreslås i § 3, stk. 1, nr. 31, at »væsentlig cybertrussel« defineres som en cybertrussel, som på grundlag af sine tekniske karakteristika kan antages at have potentiale til at få alvorlig indvirkning på en enheds net- og informationssystemer eller på brugerne af enhedens tjenester ved at forårsage betydelig materiel eller immateriel skade.

Den foreslåede definition er en ordret gengivelse af definitionen af væsentlig cybertrussel i NIS 2-direktivets artikel 6, nr. 11. Den foreslåede bestemmelse implementerer hermed NIS 2-direktivets artikel 6, nr. 11.

Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med NIS 2-direktivets formål og anvendelsesområde.

Det foreslås i § 3, stk. 1, nr. 32, at »væsentlig tjeneste« defineres som en tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed og offentlig sikkerhed eller miljøet.

Den foreslåede definition er en ordret gengivelse af definitionen af væsentlig tjeneste i CER-direktivets artikel 2, nr. 5. Den foreslåede bestemmelse implementerer hermed CER-direktivets artikel 2, nr. 5.

Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med CER-direktivets formål og anvendelsesområde.

Det bemærkes, at EU-Kommissionens delegerede forordning (EU) 2023/2450 af 25. juli 2023, til supplering af Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 ved opstilling af en liste over væsentlige tjenester, opstiller en ikke-udtømmende lister over væsentlige tjenester i artikel 2. Disse væsentlige tjenester er også omfattet af de ovenstående definitioner.

Til § 4

Efter § 3, stk. 1, i bekendtgørelse om identifikation og udpegning af europæisk kritisk infrastruktur på energiområdet og vurdering af behovet for bedre beskyttelse, foretager Energistyrelsen identifikation af europæisk kritisk infrastruktur. Metoden for udpegelse fremgår af bekendtgørelsens § 4, stk. 1. Bekendtgørelsen er udstedt i medfør af elforsyningsloven, gasforsyningsloven, lov om kontinentalsoklen, offshoresikkerhedsloven og olieberedskabsloven og implementerer EPCIP-direktivet i energisektoren.

Det følger af it-beredskabsbekendtgørelsens § 9, der er udstedt i medfør af elforsyningsloven og gasforsyningsloven, at Energistyrelsen skal foretage kategorisering af virksomheder.

Ifølge elberedskabsbekendtgørelsens § 11, stk. 1, og naturgasberedskabsbekendtgørelsens § 11, stk. 1, skal Energistyrelsen foretage en klassificering af anlæg i el- og gassektoren.

Kategorisering og klassificering afhænger af anlæggets eller virksomhedens betydning for energiforsyningen og er afgørende for, hvilke beredskabskrav der stilles til virksomhederne.

For oliesektoren er der ikke indført en egentlig kategorisering af virksomheder. Dog følger det af olieberedskabsbekendtgørelsens § 2, stk. 1, nr.1, at bekendtgørelsen kun finder anvendelse på lagringspligtige virksomheder, der har en lagringspligtig omsætning større end nul, dvs. en pligt til at holde beredskabslagre. Da det kun er ca. halvdelen af alle virksomheder, som er omfattet af kravene i olieberedskabsloven, der har en lagringspligtig omsætning større end nul, bliver virksomheder i oliesektoren med beredskabslagre mødt af flere beredskabskrav efter olieberedskabsbekendtgørelsen.

Der henvises i øvrigt til afsnit 3.1.1 i lovforslagets almindelige bemærkninger.

Det følger af den foreslåede § 4, stk. 1, at klima-, energi- og forsyningsministeren identificerer kritiske virksomheder, kritiske systemer og anlæg omfattet af loven, der anvendes til at levere virksomhedernes tjenester.

Formålet med stk. 1 er implementere kravene til identificering af kritiske enheder efter CER-direktivet samt kravene til identificering af væsentlige og vigtige enheder samt enheder, der leverer domæne-navnsregistreringstjenester efter NIS-2-direktivet.

Den foreslåede bestemmelse skal ses i sammenhæng med den foreslåede § 35, stk. 2, om registrerings- og oplysningspligt for virksomheder, som vil sikre informationsgrundlaget for ministerens identifikation af væsentlige og vigtige enheder efter bestemmelsen.

Afhængig af identificeringen efter denne bestemmelse vil enhederne blive underlagt specifikke krav og specifikke tilsyn samt modtage særlig støtte og vejledning over for alle relevante risici. Den særlige støtte og vejledning vil eksempelvis komme til udtryk i nationale strategier eller risiko- og sårbarhedsscenarier.

Det bemærkes, at nogle af de mindste virksomheder, der falder indenfor lovforslagets anvendelsesområde, vil falde udenfor NIS 2- og CER-direktivernes anvendelsesområde, og de vil således aldrig blive identificeres som kritiske, væsentlige eller vigtige enheder efter bestemmelsen.

Det bemærkes, at ordet identificering angår designeringen af virksomheder som hhv. kritiske enheder i henhold til kravene CER-direktivet og væsentlige og vigtige enheder efter kravene NIS-2 direktivet.

Den foreslåede bestemmelse vil implementere CER-direktivets artikel 6, stk. 1 og 2, hvorefter hver medlemsstat senest den 17. juli 2026 skal have identificeret de kritiske enheder for de sektorer og delsektorer, der er anført i bilaget til CER-direktivet, herunder energisektoren. Med bestemmelsen har klima-, energi- og forsyningsministeren hjemmel til at foretage identificeringen.

Bestemmelsen vil desuden implementere NIS 2-direktivets artikel 3, stk. 3, hvorefter medlemsstater senest den 17. april 2025 udarbejder en liste over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester. Medlemsstaterne skal endvidere revidere og, hvor det er relevant, ajourføre listen med jævne mellemrum, mindst hvert andet år.

De indsamlede oplysninger efter § 35, stk. 2, vil i relevant omfang indgå i listen, der udarbejdes til EU-Kommissionen jf. NIS 2-direktivets artikel 3.

De nærmere regler for hvordan identificeringen af virksomhederne og deres systemer og anlæg nærmere vil blive fastlagt, jf. den foreslåede bemyndigelse i stk. 3.

Det følger af det foreslåede stk. 2, at klima-, energi- og forsyningsministeren endvidere kategoriserer virksomheder, deres systemer og anlæg omfattet af loven, der anvendes til at levere virksomhedernes tjenester.

Formålet med bestemmelsen er, at give hjemmel til klima-, energi- og forsyningsministeren til at træffe afgørelse om virksomheders kategorisering og kategorisering af virksomhedernes systemer og anlæg som udtryk for en forskellig kritikaliteten af disse. Dette giver grundlag, for at der kan differentieres i kritikaliteten af individuelle virksomheder, deres systemer og anlæg, således at der i de regler der fastsættes efter f.eks. § 6-9 og 19, stk. 4, kan fastsættes differentierede krav om foranstaltninger og tilsyn, som tager hensyn til virksomhedernes kritikalitet for forsyningssikkerheden og opretholdelse af samfundsvigtige funktioner.

Det bemærkes, at begrebet kategorisering anvendes som samlebetegnelse for hhv. niveauinddeling og klassificering, hvor niveauinddeling sker på virksomhedsniveau, mens klassificering sker på system og anlægs niveau.

Den foreslåede bestemmelse, vil endelig bemyndige klima- energi-, og forsyningsministeren til at foretage kategorisering af virksomheder, samt deres systemer og anlæg, som falder uden for anvendelsesområdet af NIS 2- og CER-direktivet. Dette vil være virksomheder, der efter nationalt ønske er omfattet af loven i fx fjernvarmesektoren.

De nærmere regler, for hvordan kategorisering af virksomhederne og deres systemer og anlæg skal ske, vil blive nærmere fastlagt, jf. den foreslåede bemyndigelse i stk. 3.

Efter det foreslåede stk. 3, fastsætter klima-, energi- og forsyningsministeren nærmere regler om identifikation og kategorisering af virksomheder og af virksomheders systemer og anlæg, som anvendes til levering af virksomhedens tjenester efter stk. 1 og 2.

Formålet med bestemmelsen er at skabe bemyndigelseshjemmel for ministeren til at fastsætte de nødvendige regler om identifikation af visse typer af virksomheder i energisektoren, jf. stk. 1, med henblik på, at der vil kunne fastsættes regler for, hvordan virksomhederne identificeres som hhv. kritiske enheder og vigtige eller væsentlige enheder samt fastsættelse af objektive kriterier eller andre regler, der vil fastsætte, hvilket niveau en virksomhed skal indplaceres på, og hvilken klasse en virksomheds system eller anlæg skal tildeles. Dette vil ske for at sikre korrekt implementering af NIS 2- og CER-direktiverne.

I fastsættelsen af de nærmere regler om identificering og kategorisering af virksomheder samt net- og informationssystemer og anlæg, herunder dem som falder uden for anvendelsesområdet af NIS 2- og CER-direktivet, vil følgende hensyn blive inddraget: 1) den nationale strategi for styrkelse af modstandsdygtighed, 2) den nationale risikovurdering med henblik på kategorisering, 3) om enheden leverer en eller flere væsentlige tjenester, 4) om enheden opererer og har sin kritiske infrastruktur beliggende på dansk territorium og 5) om en hændelse vil have virkning på forsyningssikkerheden eller på leveringen af andre væsentlige tjenester i sektorer i bilag 1 til CER-direktivet, som er afhængige af denne eller disse væsentlige tjenester.

Bestemmelsen vil således give hjemmel til, at der kan ske implementering af CER-direktivets artikel 6, stk. 2, i forbindelse med fastsættelsen af de nærmere regler for, hvordan virksomheder identificeres som kritiske enheder.

De nærmere regler om identificering af virksomheder som kritiske enheder, vil desuden tage hensyn til følgende kriterier: 1) antal brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den berørte virksomhed, 2) omfanget af andre i bilaget anførte sektorers og delsektorers afhængighed af den pågældende væsentlige tjeneste, 3) den indvirkning som hændelser kunne have med hensyn til omfang og varighed på økonomiske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens sundhed, 4) virksomhedens markedsandel på markedet for den berørte væsentlige tjeneste eller de berørte væsentlige tjenester, 5) det geografiske område, der kunne blive berørt af en hændelse, herunder eventuel grænseoverskridende indvirkning, under hensyntagen til den sårbarhed, som er forbundet med den grad af afsondrethed, der kendetegner visse typer af geografiske områder, såsom ø-regioner, afsidesliggende regioner eller bjergområder, og 6) virksomhedens betydning med hensyn til at opretholde et tilstrækkeligt niveau for den væsentlige tjeneste under hensyntagen til tilgængelighed af alternative måder at levere denne væsentlige tjeneste på.

Bestemmelsen vil i denne henseende give hjemmel til, at der kan ske implementering af CER-direktivets artikel 7, stk. 1, som opstiller kriterier for, hvornår en hændelse vil have betydeligt forstyrrende virkninger. At en hændelse vil have betydeligt forstyrrende virkning vil være et kriterie ved identifikationen af kritiske enheder.

Endvidere vil bestemmelsen bemyndige klima- energi-, og forsyningsministeren til at fastsætte regler om, hvornår virksomheder anses for væsentlige eller vigtige enheder i henhold til kriterierne i NIS 2-direktivets artikel 3, stk. 1 og 2.

Bemyndigelsen forventes udmøntet ved at fastsætte regler om, at virksomheder vil være væsentlige enheder, når de er omfattet af denne lovs § 2, stk. 1 og opfylder en af følgende kriterier: 1) er den eneste udbyder i en medlemsstat af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, 2) er en tjeneste hvis forstyrrelse vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden, 3) er en tjeneste hvis forstyrrelse vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer, hvor en sådan forstyrrelse kan have en grænseoverskridende virkning, 4) er kritisk på grund af sin specifikke betydning på nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i medlemsstaten, 5) er identificeret som kritiske enheder i henhold til direktiv (EU) 2022/2557 (CER-direktivet) eller 6) er identificeret som operatører af væsentlige tjenester i overensstemmelse med direktiv (EU) 2016/1148 (NIS 1-direktivet) eller national ret inden d. 16. januar 2023.

Bestemmelsen vil i denne henseende endvidere give hjemmel til, at der kan ske implementering af NIS-direktivets artikel 3, stk. 1 og 2, som opstiller samme kriterier.

Det forventes, at bemyndigelsen vil blive brugt til at fastsætte nærmere regler for frekvensen af identificeringen af virksomheder, deres systemer og anlæg. Den foreslåede bestemmelse vil dermed give hjemmel til på bekendtgørelsesniveau at implementere CER-direktivets artikel 6, stk. 5, 1. pkt., hvoraf det fremgår, at medlemsstaterne gennemgår, hvor det er nødvendigt og under alle omstændigheder mindst hvert fjerde år, listen over identificerede kritiske enheder. Ligeledes vil NIS 2-direktivets artikel 3, stk. 3, hvoraf det fremgår, at listen over væsentlige og vigtige enheder ajourføres mindst hvert andet år, også kunne implementeres i de nærmere fastsatte regler.

Den foreslåede bestemmelse har endvidere til formål at skabe bemyndigelseshjemmel til klima- energi-, og forsyningsministeren, pga. et nationalt ønske og behov, til at fastsætte de nærmere regler for kategorisering af virksomhederne samt de systemer og anlæg, de anvender til leveringen af deres tjeneste.

Det bemærkes, at begrebet kategorisering forsat anvendes som samlebetegnelse for hhv. niveauinddeling og klassificering, hvor niveauinddeling sker på virksomhedsniveau, mens klassificering sker på system og anlægs niveau.

Bestemmelsen forventes i denne henseende udmøntet ved regler om, at kategoriseringen af virksomheder vil ske ved at inddele virksomhederne i niveauer på baggrund af forsyningsstørrelse og kritikalitet for forsyningssikkerheden samt opretholdelsen af samfundsvigtige funktioner. De virksomheder, som er mindst kritiske, vil blive indplacet på niveau 1. De virksomheder, som er mest kritiske for forsyningssikkerheden og opretholdelsen af samfundsvigtige funktioner forventes at blive indplaceret på niveau 5.

Kategoriseringen af anlæg og lokationer med betydning for leveringen af tjenesten vil ske ved at inddele disse i klasser fra 2-5. Ved klassificeringen forventes de mindst kritiske anlæg og lokationer at blive indplaceret i klasse 2, mens de mest kritiske forventes indplaceret i klasse 5.

Endelig vil en række meget små virksomheder, efter den foreslåede bestemmelse, blive niveauinddelt for sig selv i det laveste niveau 1 og deres systemer og anlæg vil ikke blive tildelt en klasse. Dette vil sikre, at der kan fastsættes regler om, at sådanne virksomheder skal efterleve simplere beredskabskrav, end hvad der fremgår af direktiverne. De simplere beredskabskrav vil kunne være krav om en beredskabsplan eller kontaktliste og har ikke nærmere sammengæng med CER- eller NIS 2-direktiverne.

Bemyndigelsen forventes at kunne udnyttes dynamisk, således at der ved udviklinger i energisektoren, f.eks. ift. antallet af virksomheder, disses størrelser ift. produktion, antal af kunder mv., vil kunne tilføjes eller fjernes niveauer og klasser, hvis der skulle opstå behov for at være mere eller mindre differentieret i kritikaliteten.

Det forventes, at bemyndigelsen vi blive brugt til at fastsætte regler om niveauinddelingen af virksomheder vil skulle tage udgangspunkt i, hvilken delsektor virksomheden operer inden for, og den tjeneste, som virksomheden leverer. Hvis en virksomhed leverer tjenester i flere delsektorer, fx hvis den leverer både el og varme, vil virksomheden kun blive inddelt på ét niveau. Det forventes, at virksomheden vil blive inddelt i niveauet for den forsyningsart, hvor tjenesten vil være mest kritisk.

Det forventes desuden, at bemyndigelsen vil blive brugt til at fastsætte regler om, at virksomhedens samlede betydning for forsyningssikkerheden og opretholdelse af samfundsvigtige funktioner vil have betydning for, hvilket niveau virksomheden vil blive inddelt på. Ligeledes vil det have en betydning, om virksomheden leverer en tjeneste, som påvirker eller kan påvirke andre kritiske sektorer.

Det forventes ligeledes, at bemyndigelsen vil blive brugt til at fastsætte regler om niveauinddelingen af virksomhedernes vil ske ud fra en konkret vurdering med udgangspunkt i den samlede energimængde, virksomheden kontrollerer, virksomhedens betydning for energiforsyningen, om virksomheden leverer tjenester til andre kritiske sektorer eller varetager samfundskritiske opgaver.

Det forventes, at bemyndigelsen vil blive brugt til at der fastsættes regler om, at kategoriseringen af anlæg og systemer sker ved at inddele disse i klasser. Det forventes, at der ved klassificeringen vil blive taget udgangspunkt i den tjeneste, som anlægget eller systemer vedrører, mængden af energi, som de er med til at understøtte, og deres betydning for forsyningssikkerheden eller andre samfundsvigtige funktioner.

Efter bestemmelsen vil der desuden blive fastsat regler om kategorisering af net- og informationssystemer og anlæg, som falder uden for anvendelsesområdet af NIS 2- og CER-direktivet med henblik på, at disse anlæg og systemer kan blive omfattet af simplere beredskabskrav, end hvad der fremgår af direktiverne. Sådanne virksomheder vil følgelig ikke skulle indmeldes til Kommissionen efter NIS 2-direktiets artikel 3, stk. 4 og CER-direktivets artikel 6, stk. 3.

Det forventes, at bemyndigelsen vil blive brugt til at fastsætte nærmere regler for frekvensen af kategorisering af virksomheder, deres systemer og anlæg.

Der henvises i øvrigt til afsnit 3.1 i lovforslagets almindelige bemærkninger.

Til § 5

Efter § 3, stk. 1, i EPCIP-bekendtgørelsen og vurdering af behovet for bedre beskyttelse, foretager Energistyrelsen identifikation af europæisk kritisk infrastruktur. Metoden for udpegelse fremgår af bekendtgørelsens § 4, stk. 1. Bekendtgørelsen er udstedt i medfør af elforsyningsloven, gasforsyningsloven, lov om kontinentalsoklen, offshoresikkerhedsloven og olieberedskabsloven og implementerer EPCIP-direktivet i energisektoren.

EPCIP-bekendtgørelsens §§ 3-8 fastsætter en procedure og nærmere kriterier for indkredsning af potentiel europæisk kritisk infrastruktur og eventuel efterfølgende udpegning af den europæiske kritiske infrastruktur som sådan.

Det følger af EPCIP-bekendtgørelsens § 3, at Energistyrelsen foretager identifikation af europæiske kritisk infrastruktur i dialog med operatører af relevante infrastrukturer, som opfylder nærmere fastsatte tværgående og sektorbaserede kriterier og er i overensstemmelse med definitionerne for "kritisk infrastruktur" og "europæisk kritisk infrastruktur". Metoden for udpegelse fremgår af bekendtgørelsens § 4, stk. 1.

Det følger af den foreslåede § 5, stk. 1, at virksomheder betragtes som kritiske enheder af særlig europæisk betydning, når virksomheden er blevet identificeret som kritisk efter § 4, stk. 1, og leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere medlemsstater.

Formålet med bestemmelsen er at implementere CER-direktivets artikel 17, stk. 1, hvorefter en enhed betragtes som en kritisk enhed af særlig europæisk betydning, hvis den a) er blevet identificeret som en kritisk enhed i henhold til direktivets artikel 6, stk. 1 og b) leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere medlemsstater.

Den første betingelse om at virksomheden skal være identificeret som kritisk, vil blive opfyldt i forbindelse med identifikation af kritiske virksomheder efter § 4, stk. 1.

Den anden betingelse vil blive opfyldt, når EU-Kommissionen konstaterer, at virksomheden leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere EU-medlemsstater efter konsultationsproceduren i CER-direktivets artikel 17, stk. 2, og 3. EU-Kommissionen konsulterer efter proceduren de kritiske enheder og de kompetente myndigheder i de medlemsstater, hvor de pågældende enheder har oplyst at levere væsentlige tjenester, med henblik på at undersøge, om enheden leverer de samme eller lignende væsentlige tjenester i eller til seks eller flere EU-medlemsstater. EU-Kommissionen vil på den baggrund konstatere, om den pågældende kritiske virksomhed er at betragte som en kritisk enhed af væsentlig europæisk betydning og underretter Energistyrelsen, der påtænkes som kompetent myndighed for energisektoren i Danmark, samt de kompetente myndigheder i de øvrige relevante medlemsstater herom. Klima-, energi- og forsyningsministeren vil således først kunne identificere en virksomhed som en kritisk enhed af særlig europæisk betydning, når EU-Kommissionen har konstateret, at betingelserne herfor er opfyldt. Retsvirkningen af, at en virksomhed er en kritisk enhed af særlig europæisk betydning vil først indtræde efter underretning af virksomheden herom efter bestemmelsens stk. 2.

Efter den foreslåede § 5, stk. 2, underretter klima-, energi- og forsyningsministeren virksomheder om, at de betragtes som kritiske enheder af særlig europæisk betydning i energisektoren i medfør af reglerne i artikel 17 i Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet).

Det følger af bestemmelsen, at klima-, energi- og forsyningsministeren vil underrette virksomheder om, at de betragtes som kritiske enheder af særlig europæisk betydning. Ministeren vil skulle foretage underretningen, umiddelbart efter EU-Kommissionen har givet besked om, at en virksomhed betragtes som en kritisk enhed af særlig europæisk betydning.

Efter bestemmelsen vil underretningen ske i medfør af reglerne i artikel 17 i Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet).

Retsvirkningerne af, at en virksomhed er en kritisk enhed af særlig europæisk betydning, vil først indtræde, efter virksomheden er blevet underrettet herom efter bestemmelsen. Forud for underretningen vil virksomheden være orienteret herom af EU-Kommissionen i forbindelse med konsultationsproceduren i CER-direktivets artikel 17, stk. 2, og 3, som beskrevet i bemærkningerne til stk. 1.

Den foreslåede bestemmelse vil implementere CER-direktivets artikel 17, stk. 1, litra c, og artikel 17, stk. 3.

Efter den foreslåede § 5, stk. 3, fastsætter klima-, energi- og forsyningsministeren nærmere regler til brug for udpegelsen af kritiske enheder af særlig europæisk betydning.

Den foreslåede bestemmelse skal ses i sammenhæng med den foreslåede § 35, stk. 2, om registrerings- og oplysningspligt for virksomheder, som vil sikre informationsgrundlaget for ministerens identifikation af virksomheder og af kritiske enheder, der leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere medlemsstater.

Det forventes, at der på baggrund af bestemmelsen eksempelvis vil blive fastsat nærmere regler om, at relevante virksomheder skal underrette Klima-, Energi-, og Forsyningsministeriet, såfremt de eller anlæg de ejer leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater. I den forbindelse forventes det, at der vil blive fastsat regler om, at der ved underretning skal ske oplysning om, hvilke væsentlige tjenester der leveres, og til hvilke EU-medlemsstater der leveres til eller i. Underretning af disse informationer supplerer således de oplysninger, som virksomheder skal meddele efter § 35, stk. 2.

På baggrund af de regler der forventes at blive fastsat, vil det i første omgang være op til de virksomheder, som opfylder kravene for kritiske enheder, at vurdere, om de leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater og derfor er omfattet af underretningspligten. En væsentlig tjeneste er defineret i den foreslåede § 3, stk. 1, nr. 32, som en tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed og offentlig sikkerhed eller miljøet.

Der vil ligeledes kunne blive fastsat nærmere regler om, hvad der er en væsentlig tjeneste inden for energisektoren, da dette har betydning for udpegningen af kritiske enheder af særlig europæisk betydning. Såfremt en virksomhed er i tvivl om, hvorvidt de måtte levere væsentlige tjenester til eller i seks eller flere EU-medlemsstater, vil de kunne søge rådgivning hos Energistyrelsen, der er/vil blive udpeget som den kompetente myndighed.

Bestemmelsen gennemfører CER-direktivets artikel 17, stk. 2, 1. led, hvorefter medlemsstaterne sikrer, at en kritisk enhed efter den i direktivets artikel 6, stk. 3, omhandlede underretning oplyser sin kompetente myndighed, hvis den leverer væsentlige tjenester til eller i seks eller flere medlemsstater. I så fald sikrer medlemsstaterne, at den kritiske enhed oplyser sin kompetente myndighed om de væsentlige tjenester, den leverer til eller i disse medlemsstater, og om de medlemsstater, hvortil eller hvori den leverer sådanne væsentlige tjenester. Medlemsstaterne underretter uden unødigt ophold EU-Kommissionen om identiteten af sådanne kritiske enheder samt om de oplysninger, de leverer i henhold til nærværende stykke.

Efter den foreslåede § 5, stk. 4, kan klima-, energi- og forsyningsministeren fastsætte nærmere regler om særlige forpligtelser for virksomheder, der er eller ejer kritiske enheder af særlig europæisk betydning.

Formålet med bestemmelsen er at give ministeren bemyndigelse til at fastsætte de nødvendige regler til at implementere visse dele CER-direktivets artikel 18 om gennemførelse af rådgivende missioner til kritiske enheder af særlig europæisk betydning, som ikke implementeres efter den foreslåede § 20.

Således forventes det, at bemyndigelsen vil kunne bruges til at fastsætte regler om, at virksomheden, der er eller ejer kritiske enheder af særlig europæisk betydning, skal give oplysninger om, hvilke foranstaltninger der er blevet gennemført efter den rådgivende missions udtalelse efter CER-direktivet artikel 18, stk. 4.

Bemyndigelsen vil også kunne bruges til at implementere eventuelle nødvendige nationale regler til implementering af den gennemførelsesretsakt, der forventes vedtaget efter CER-direktivets artikel 18, stk. 6.

Bemyndigelsesbestemmelsen vil også sikre, at der ved større afhængighed mellem de forskellige systemer på tværs af EU, kan stilles tidssvarende krav til kritiske enheder af særlig europæisk betydning.

Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger. Der henvises i øvrigt til afsnit 3.1. i lovforslagets almindelige bemærkninger.

Til § 6

Det følger af elforsyningslovens § 85 b og § 85 c, at visse virksomheder med bevilling eller tilladelse til produktion af elektricitet skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre elforsyningen i beredskabssituationer og andre ekstraordinære situationer. Det samme gælder for Energinet og dennes helejede datterselskaber samt virksomheder, der yder balancering af elsystemet. Det følger af gasforsyningslovens § 15 a og § 15 b, at virksomheder som er bevillingspligtige efter gasforsyningslovens § 10 samt Energinet og dennes helejede datterselskaber, som foretager gasforsyningsvirksomhed, skal have et klassisk beredskab og et it-beredskab.

Elforsyningslovens §§ 85 b, stk. 3 og 85 c, stk. 5, og gasforsyningslovens §§ 15 a, stk. 3, og 15 b, stk. 5, indeholder bemyndigelsesbestemmelser om, at klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om klassisk beredskab og it-beredskabet, herunder regler om organisatorisk beredskab.

For el- og gassektorerne er de nærmere regler for organisatorisk beredskab gennemført i elberedskabsbekendtgørelsen, naturgasberedskabsbekendtgørelse og it-beredskabsbekendtgørelsen.

Det følger blandt andet af bekendtgørelserne, at virksomheder i el- og gassektoren skal udpege en beredskabskoordinator og et kontaktpunkt i krisesituationer (operationel kontakt), ligesom virksomheder med klasse 1 og 2-anlæg efter 11, stk. 1, nr. 1 og 2, skal have en sikringsansvarlig medarbejder, jf. § 5, stk. 1, i elberedskabsbekendtgørelsen og § 5, stk. 1, i naturgasberedskabsbekendtgørelsen. Virksomhederne skal have en it-beredskabsansvarlig samt sikre, at der sker koordination mellem det almene beredskab og it-beredskabet mindst fire gange årligt, jf. § 6, stk. 1 og 3, i it-beredskabsbekendtgørelsen.

Virksomheder i el- og naturgassektoren skal inden for både klassisk og it-beredskab derudover blandt andet udarbejde risiko- og sårbarhedsvurderinger og beredskabsplaner, afholde øvelser med udgangspunkt i beredskabsplanerne og sikre, at deres medarbejdere modtager den fornødne instruktion og uddannelse, jf. elberedskabsbekendtgørelsens §§ 6, skt. 1, og 7, stk. 1, 20 og 21, stk. 1, naturgasberedskabsbekendtgørelsens §§ 6, stk. 1, 7, stk. 1, 20 og 21, stk. 1, og it-beredskabsbekendtgørelsen §§ 10, stk. 1, og 14, stk. 1, 18 og 19, stk. 1. Endvidere skal virksomheder etablere procedurer for leverandørers adgang til forsyningskritiske it-systemer, jf. it-beredskabsbekendtgørelsens § 24, stk. 2.

Det følger af olieberedskabslovens § 16, stk. 1, at lagringspligtige virksomheder skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre olieforsyningen i beredskabssituationer og andre ekstraordinære situationer. Efter § 16, stk. 3, kan klima-, energi- og forsyningsministeren fastsætte nærmere regler om beredskabsplanlægningen efter stk. 1. De nærmere regler er gennemført i olieberedskabsbekendtgørelsen.

Ifølge olieberedskabsbekendtgørelsens § 5 skal beredskabsarbejdet baseres på alle risici, så ledelsen har et samlet risikobillede. Det følger desuden af bekendtgørelsens § 6, at organisationen skal indrettes, så det sikres, at virksomheden kan modtage varsler af teknisk karakter med henblik på at iværksætte relevante tiltag.

Virksomheder og den centrale lagerenhed i oliesektoren skal blandt andet udarbejde risiko- og sårbarhedsvurderinger samt beredskabsplaner, sikre at deres beredskabsmedarbejdere løbende modtager den fornødne instruktion, uddannelse og træning, afholde beredskabsøvelser med udgangspunkt i beredskabsplanerne og etablere procedurer for leverandørers adgang til forsyningskritisk infrastruktur, jf. olieberedskabsbekendtgørelsens §§ 8, stk. 1 og 11, stk. 1, § 12, 13, stk. 1, og 17, stk. 2.

Der findes i gældende ret ikke regler om fastsættelse af nærmere regler om beredskab og it-beredskab for fjernvarme, fjernkøling og brintsektoren.

Der henvises i øvrigt til afsnit 3.2.1.1 i lovforslagets almindelige bemærkninger.

Det foreslås i § 6, stk. 1, at virksomheder omfattet af lovforslaget skal foretage nødvendig beredskabsplanlægning og gennemføre passende organisatoriske foranstaltninger for at beskytte leveringen af deres tjenester og sikre effektiv genoprettelse af deres tjenester.

Formålet med bestemmelsen er at rammesætte de overordnede krav til virksomheders modstandsdygtighed og etableringen af et organisatorisk beredskab.

Bestemmelsen vil videreføre gældende ret for så vidt angår hvem kravene til organisatorisk beredskab vil finde anvendelse på i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet for kravene, idet kravene efter det foreslåede også vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet af krav til organisatorisk beredskab vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

De nærmere krav vil blive udmøntet i medfør af den foreslåede § 6, stk. 2.

Det foreslås i § 6, stk. 2, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om beredskabsplanlægning og foranstaltninger efter stk. 1, herunder elementer af organisatorisk beredskab opregnet i stk. 2, nr. 1-12.

Kravene i de regler der forventes fastsat i medfør af den foreslåede bestemmelse, vil kunne differentieres i intensitet ift. virksomhedernes niveauinddeling og klassificeringen af virksomhedernes systemer og anlæg, jf. de regler der forventes udstedt i medfør af lovforslagets § 4, stk. 2. Differentieringen vil således ske ud fra en betragtning om, at en forstyrrelse af særlig kritiske virksomheders tjenester vil have større betydning for samfundet samt ud fra en betragtning om, at der bør være proportionalitet mellem sikkerhedseffekter og omkostninger forbundet med de konkrete krav.

Ved udmøntningen af bemyndigelsesbestemmelsen forventes det endvidere, at der vil ske en differentiering af, hvilke virksomheder der skal efterleve de nærmere fastsatte krav, så de mere kritiske virksomheder skal følge flere elementer af kravene.

Klima-, energi- og forsyningsministeren skal fastsætte regler om de nr. 1-12 oplistede emner. Reglerne kan indenfor hvert emne tilpasses, når det måtte være nødvendigt pga. udvikling i trusselsbilledet mod energisektoren, og når det vurderes nødvendigt for at imødegå den teknologiske udvikling i energisektoren og cybersikkerheden.

Bemyndigelsen forventes udmøntet i en bekendtgørelse, der blandt andet vil fastsætte nærmere regler for de i nr. 1 - 12 nævnte elementer af organisatorisk beredskab, som beskrevet nedenfor.

Det foreslås i § 6, stk. 2, nr. 1, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om ledelsespligter, herunder krav om godkendelse af virksomhedens risiko- og sårbarhedsvurdering samt beredskabsplaner, tilsynsrapporter og leverandørkontrakter.

Bestemmelsens formål er at bemyndige klima-, energi- og forsyningsministeren til at implementere NIS 2-direktivets krav til væsentlige og vigtige enheders ledelsesorganer samt til at udvide disse krav til også at omfatte relevante emner udover cybersikkerhedsrisisi, som for eksempel styring af organisatorisk sikkerhed og fysisk sikring, ud fra en betragtning om, at konsekvensen ved afbrud i leveringen af de relevante virksomheders tjeneste og omkostninger ved genopretning er lige kritiske, uagtet om dette skyldes organisatoriske forhold, manglende fysisk sikring eller cybersikkerhed. Denne udvidede bemyndigelse vil endvidere kunne blive udmøntet ved regler til sikring af en indbyrdes forbindelse mellem organisatorisk beredskab, fysisk sikring og cybersikkerhed, som det i praksis ellers kan være svært at adskille i forhold til risici.

De nærmere regler om ledelsespligter forventes blandt andet udmøntet i krav om, at ledelsen aktivt vil skulle forholde sig til virksomhedens beredskab og niveau af modstandsdygtighed. Endvidere forventes bestemmelsen for eksempel at blive udmøntet ved nærmere regler om, at den enkelte virksomheds ledelse kontinuerligt vil skulle godkende virksomhedens beredskabsplaner og risiko- og sårbarhedsvurderinger, herunder bl.a. godkende foranstaltninger for styring af cybersikkerhedsrisici. Ved udmøntningen af bemyndigelsesbestemmelsen vil der herudover blive fastsat regler, der sikrer, at virksomhedens ledelse vil have et samlet og ajourført billede af beredskabet samt kendte og mulige risici mod produktion, forsyning eller levering af virksomhedens tjenester.

Udmøntningen af den foreslåede bemyndigelse vil i denne henseende implementere NIS 2-direktivets artikel 20, stk. 1, hvorefter medlemsstater sikrer, at de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet og fører tilsyn med gennemførelsen af.

Som eksempel på regler, der endvidere forventes fastsat i medfør af bestemmelsen, udover hvad der følger af NIS 2-direktivet, kan nævnes regler om, at den enkelte virksomheds ledelse gøres ansvarlig for foranstaltninger til styring af organisatorisk sikkerhed, fysisk sikring og cybersikkerhed. Dette er en udvidelse af NIS 2-direktivets artikel 20, idet denne udelukkende omhandler styring i forhold til cybersikkerhedsrisici.

Klima-, energi- og forsyningsministeren forventes endvidere på baggrund af bestemmelsen, at fastsætte nærmere regler, der præciserer, at ledelsen har ansvar for at inddrage sikkerhedshensyn i forbindelse med beslutninger, der vedrører leverandørkontrakter. Ved leverandørkontrakter forstås i denne sammenhæng nye projekter samt leverandør- og serviceaftaler.

Efter den forventede udmøntning af bestemmelsen vil virksomheder skulle forholde sig til trusler og sårbarheder i forbindelse med fx anlægsprojekter eller systemerhvervelser, som har potentiale til at påvirke leveringen af virksomhedens tjenester. Det forventes desuden, at der vil blive fastsat nærmere regler om, at ledelsen skal tage stilling til passende foranstaltninger, der skal mitigere identificerede risici forbundet med det konkrete projekt eller erhvervelse.

Det følger af den foreslåede § 6, stk. 2, nr. 2, at klima-, energi- og forsyningsministeren efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætter nærmere regler om, at ledelsesorganer skal tilegne sig viden og kundskaber inden for risiko- og sårbarhedsstyring.

Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler om, at ledelsen skal opbygge viden og kompetencer til at træffe kvalificerede beslutninger vedrørende cybersikkerhed og beredskab. Reglerne vil medføre, at det vil være ledelsens ansvar at etablere en sikkerhedskultur og sikre uddannelse i hele organisationen.

Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere dele af NIS 2-direktivets artikel 20, stk. 2, hvorefter medlemmerne af væsentlige og vigtige enheders ledelsesorganer er forpligtet til at følge kurser, der gør ledelsen i stand til at identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici. Den forventede udmøntning vil dog udvide kravene efter NIS 2-direktivet med henblik på, at ledelsen i de relevante virksomheder skal kunne identificere risici forbundet med både organisatorisk sikkerhed, fysisk sikring og cybersikkerhed. Dette er en udvidelse af NIS 2-direktivets artikel 20, idet denne udelukkende omhandler uddannelse og kurser vedrørende styring i forhold til cybersikkerhedsrisici.

Det følger af den foreslåede § 6, stk. 2, nr. 3, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om identifikations- og adgangskontrolpolitikker for beskyttelse mod uautoriseret adgang.

Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere dele af CER-direktivets artikel 13, stk. 1, litra b, hvorefter kritiske enheder skal sikre tilstrækkelig fysisk beskyttelse af deres lokaler og kritiske infrastruktur under hensyntagen til fx adgangskontrol. Reglerne forventes endvidere at implementere CER-direktivets artikel 13, stk. 1, litra e, hvorefter kritiske enheder skal sikre passende medarbejdersikkerhedsstyring såsom fastlæggelse af adgangsrettigheder til lokaler, kritisk infrastruktur og følsomme oplysninger. Desuden vil de forventede regler implementere NIS 2-direktivets artikel 21, stk. 2, litra i, hvorefter vigtige og væsentlige enheder skal træffe foranstaltninger om bl.a. personalesikkerhed og adgangskontrolpolitikker.

Det forventes på baggrund af den foreslåede bestemmelse, at der vil blive fastsat nærmere regler om, at virksomheder omfattet af loven skal have politikker og procedurer for identifikation af personel med adgang til virksomhedens anlæg. Det forventes endvidere, at der vil blive fastsat regler om, at virksomhederne skal have politikker og procedurer for at identificere fysiske områder og inddele adgang til disse områder i zoner som del af en samlet tilgang til fysisk sikring med henblik på at kunne identificere og verificere, hvilke personer der må opholde sig i og omkring virksomhedens anlæg.

Det forventes herudover, at der på baggrund af bestemmelsen vil blive fastsat nærmere regler om, at virksomheden skal kunne etablere adgangsstyring baseret på roller og arbejdsbetinget behov med henblik på at sikre klart definerede regler for, hvilke medarbejdere eller medarbejdergrupper der kan tilgå forskellige dele af et anlæg eller net- og informationssystemer. På den baggrund forventes det, at der eksempelvis vil blive fastsat nærmere regler om, at virksomhederne skal have procedurer for, hvordan adgange til kritiske anlæg og net- og informationssystemer tildeles, ændres og lukkes for både virksomhedens egne medarbejdere såvel som for gæster, konsulenter, eksterne samarbejdspartnere og leverandører.

Det følger af den foreslåede § 6 stk. 2, nr. 4, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om udpegelse af personer til at varetage specifikke beredskabsroller.

Det forventes, at gældende ret for udpegelsen af beredskabsroller videreføres i vidt omfang. Dog ændres betegnelsen it-beredskabsansvarlig til cyberkoordinator, som er et kontaktpunkt for kommunikation med myndigheder. Dette er ikke den samme rolle som det operationelle kontaktpunkt, som forventes at være døgnbemandet.

Bemyndigelsen forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der implementer CER-direktivets artikel 13, stk. 3, hvorefter medlemsstaterne sikrer, at hver kritisk enhed udpeger en forbindelsesofficer eller tilsvarende som kontaktpunkt for de kompetente myndigheder.

Som en udvidelse af CER-direktivets krav vil der efter bestemmelsen endvidere kunne blive fastsat regler om roller vedrørende cyberberedskabet.

Bestemmelsen forventes endvidere udmøntet ved regler om, at virksomhederne bl.a. vil skulle udpege en beredskabskoordinator, en cyberkoordinator, et operationelt kontaktpunkt og én eller flere sikringskoordinator(er). Det forventes, at disse roller for virksomheder i niveau 4 og 5 efter reglerne udstedt i medfør af den foreslåede bestemmelse i § 4, stk. 2, ikke vil kunne varetages af samme person.

Det følger af den foreslåede § 6, stk. 2, nr. 5, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om politikker for informationssystemsikkerhed.

Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere dele af NIS 2-direktivets artikel 21, stk. 2, litra a, hvorefter vigtige og væsentlige enheder skal have politikker for informationssystemsikkerhed.

Det forventes på baggrund af den foreslåede bestemmelse, at der vil blive fastsat nærmere regler om, at virksomheder omfattet af loven, som del af deres organisatoriske modstandsdygtighed, skal udarbejde en informationssystemsikkerhedspolitik, der sætter en overordnet ramme for beskyttelse af virksomhedens informationer, herunder hvordan virksomheden selv forholder sig til relevante aktiviteter for beskyttelse af anvendte net- og informationssystemer.

Det følger af den foreslåede § 6, stk. 2, nr. 6, at klima-, energi- og forsyningsministeren efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætter nærmere regler om politikker for og udarbejdelse af risiko- og sårbarhedsvurderinger, som omfatter nyindkøb, projekter og etablering af net- og informationssystemer og anlæg.

Bemyndigelsen forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere dele af NIS 2-direktivets artikel 21, stk. 2, litra a, hvorefter vigtige og væsentlige enheder skal have politikker for risikoanalyse. Reglerne forventes endvidere at implementere CER-direktivets artikel 12, stk. 1-2, hvorefter kritiske enheder foretager en risikovurdering for at vurdere alle relevante risici, der kunne forstyrre leveringen af deres væsentlige tjenester.

Bemyndigelsen forventes herudover udmøntet ved regler, der vil implementere artikel 21, stk. 2, litra e, i NIS 2-direktivet om sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer. Bemyndigelsen går videre end implementering af direktivet, idet ministeren, efter den foreslåede § 6, stk. 2, nr. 6, vil have mulighed for at fastsætte regler om både cybersikkerhed og fysisk sikring i forbindelse med indkøb, projekter og nyetableringer. Bestemmelsen giver desuden ministeren bemyndigelse til at fastsætte regler om, at virksomheder skal foretage risiko- og sårbarhedsvurderinger i forbindelse med indkøb, projekter og nyetableringer.

På baggrund af bestemmelsen forventes det endvidere, at der vil blive fastsat nærmere regler om, at virksomheden skal udarbejde risiko- og sårbarhedsvurderinger, som identificerer og vurderer risici og sårbarheder i forhold til virksomhedens kontinuitet.

Det forventes endvidere, at der fastsættes nærmere regler om, at risiko- og sårbarhedsvurderingerne og handlingsplanerne skal gennemgås med fast interval eller når nye risici, trusler eller sårbarheder erkendes samt ved væsentlige ændringer af virksomhedens organisation, kritiske systemer eller infrastruktur eller ved ændringer i trusselsbilledet. Det foreslås samtidig, at vurderingen af cybersikkerhedsrisici, organisatoriske risici og fysiske risici kobles sammen, ved at virksomhedernes opdateringer af deres risiko- og sårbarhedsvurderinger af henholdsvis virksomhedens cybersikkerhed og fysiske sikring følger samme kadence for udarbejdelse og indsendelse til Energistyrelsen.

Den forventede udmøntning af bestemmelsen vil i vidt omfang videreføre gældende ret for udarbejdelse af risiko- og sårbarhedsvurdering efter elberedskabsbekendtgørelsen, naturgasberedskabsbekendtgørelsen, olieberedskabsbekendtgørelsen og it-beredskabsbekendtgørelsen. Det forventes således, at der vil blive fastsat nærmere regler om, at virksomhederne vil skulle udarbejde en vurdering af virksomhedens risici og sårbarheder på baggrund af risiko- og sårbarhedsscenarier, som Energistyrelsen udarbejder.

Der forventes endvidere fastsat nærmere regler om, at virksomhederne, som led i udarbejdelsen af risiko- og sårbarhedsvurderinger, skal udarbejde en politik og have en proces for risikostyring, der skal identificere og vurdere de væsentligste risici for virksomhedens organisation, kritiske net- og informationssystemer og infrastruktur med henblik på opretholdelsen af leveringen af deres tjeneste.

Endeligt forventes der i henhold til bestemmelsen udstedt nærmere regler om, at virksomhedernes processer for risikostyring skal forholde sig til de væsentligste trusler og sårbarheder og forankres i organisationen, således at virksomhedsledelsen forholder sig til både processerne for risikostyring, de identificerede risici, samt de foranstaltninger til styring af risici, som virksomheden iværksætter på baggrund heraf.

Det følger af den foreslåede § 6, stk. 2, nr. 7, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem virksomheden og dens direkte leverandører eller tjenesteudbydere.

Bemyndigelsen forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere NIS 2-direktivets artikel 21, stk. 2, litra d, hvorefter væsentlige og vigtige enheder træffer foranstaltninger for forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere. Den foreslåede bestemmelse vil desuden danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau kan ske implementering af NIS 2-direktivets artikel 21, stk. 3, hvorefter væsentlige og vigtige enheder tager hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder.

På baggrund af den foreslåede bestemmelse vil der blive fastsat nærmere regler om, at virksomhederne skal etablere den nødvendige leverandørstyring, herunder at virksomhederne skal iværksætte sikkerhedsrelaterede foranstaltninger til styring af risici i virksomhedens leverandørkæder.

Den foreslåede bestemmelse indebærer, at der kan fastsættes nærmere regler om, at virksomhederne skal sikre, at leverandører, der varetager opgaver i relation til anlæg, komponenter og net- og informationssystemer med betydning for leveringen af tjenesten, overholder samme krav for opretholdelse af virksomhedens modstandsdygtighed, som virksomheden er underlagt efter den foreslåede lov. Det følger heraf, at der kan fastsættes regler om, at virksomhederne skal have politikker og procedurer for kontrol af, at leverandørerne efterlever kravene og opretholder det nødvendige sikkerhedsniveau i forbindelse med udførelsen af opgaven.

Som følge af bestemmelsen vil ministeren fastsætte nærmere regler om, at virksomhederne skal vurdere og håndtere de risici, der er forbundet med indgåelse af leverandøraftaler. Dette vil blandt andet indebære, at virksomhederne inden indgåelse af en aftale, løbende skal tage stilling til sikkerhedsrisici forbundet med kritikaliteten af opgaven eller leverancen, hvorvidt der sker væsentlige forandringer hos leverandøren, der kan påvirke leverancen, leverandørernes villighed til at efterleve kravene i den foreslåede lov og det aktuelle trusselsbillede.

Det foreslås derudover, at ministeren, efter bestemmelsen, vil kunne fastsætte nærmere regler om, at leverandører, som varetager opgaver i relation til anlæg, komponenter og net- og informationssystemer eller leverandører af net- og informationssystemer, med betydning for leveringen af tjenesten, deltager i relevante dele af virksomhedens beredskabsplanlægning. Herefter vil ministeren bl.a. kunne fastsætte nærmere regler om, at leverandørerne vil skulle deltage i virksomhedens arbejde med risiko- og sårbarhedsvurderinger samt øvelser, der træner de dele af beredskabet, hvor leverandørerne har betydning for opretholdelse af leveringen af virksomhedens tjenester.

Det følger af den foreslåede § 6, stk. 2, nr. 8, at klima-, energi- og forsyningsministeren efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætter nærmere regler om beredskabsplaner og beredskabsplanlægning for håndtering af hændelser.

Formålet med bestemmelsen er at bemyndige klima-, energi- og forsyningsministeren til at fastsætte nærmere regler for beredskabsplaner og beredskabsplanlægning til brug for operativ vejledning, når en hændelse bliver varslet eller opstår. I det omfang, der udarbejdes lignende materiale som eksempelvis en beredskabsplan efter risikoreguleringen, er det hensigten, at relevante dele heraf vil kunne genanvendes til opfyldelse af de relevante beredskabskrav.

Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere dele af CER-direktivets artikel 13, stk. 2, hvorefter medlemsstaterne sikrer, at kritiske enheder har indført og anvender en plan for modstandsdygtighed eller et eller flere tilsvarende dokumenter. Derudover vil den forventede udmøntning implementere elementer af NIS 2-direktivets artikel 21, stk. 2, litra b og c, hvorefter vigtige og væsentlige enheder skal træffe foranstaltninger, der omfatter håndtering af hændelser, driftskontinuitet og krisestyring.

Det forventes, at der efter bestemmelsen vil blive fastsat nærmere regler om, at beredskabsplanerne bl.a. skal beskrive virksomhedens krisehåndtering, hvordan virksomhedens krisehåndteringsorganisation aktiveres, etableres og driftes, og hvordan der koordineres og udsendes information internt og eksternt i virksomheden. Desuden forventes det, at der vil blive fastsat regler, hvorefter virksomhederne skal have metoder til at sikre, at virksomhederne overholder deres underretnings- og rapporteringsforpligtelser i forbindelse med en hændelse.

Det foreslås i § 6 stk. 2, nr. 9, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om øvelsesplanlægning, herunder afholdelse af øvelser og træning af beredskabsforanstaltninger.

Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere CER-direktivets artikel 13, stk. 1, litra f, hvorefter medlemsstaterne sikrer, at kritiske enheder øger bevidstheden blandt det relevante personale under hensyntagen til øvelser.

NIS 2-direktivet stiller ikke krav om, at vigtige og væsentlige enheder afholder øvelser. NIS 2-direktivets artikel 21, stk. 2, litra c, beskriver i stedet at der skal stilles krav om tests af enheders planer for driftskontinuitet med henblik på at sikre deres effektivitet. Klima-, Energi- og Forsyningsministeriet vurderer, at øvelser og øvelsesplanlægning efter den foreslåede bestemmelse dækker over begrebet test i NIS 2-direktivet, hvorfor artikel 21, stk. 2, litra c, også kan implementeres i forbindelse med udstedelsen af de nærmere regler efter den foreslåede bestemmelse.

På baggrund af bestemmelsen forventes det, at der vil blive fastsat nærmere regler om, at virksomhederne skal udarbejde en øvelsesplan og afholde øvelser efter nærmere fastsatte kadencer med udgangspunkt i virksomhedens beredskabsplaner. Det forventes endvidere, at der fastsættes nærmere regler om revidering af øvelsesplanen, eksempelvis mindst én gang om året og i forbindelse med særlige sårbarheder eller væsentlige ændringer i virksomhedens beredskab. Der forventes også fastsat nærmere regler om, at en evaluering af en hændelse kan godkendes som en øvelse på øvelsesplanen, hvis hændelsen har afprøvet konkrete forhold i virksomhedens beredskab og vurderes at have samme værdi som en øvelse.

Det forventes endelig, at der vil blive fastsat nærmere regler om at virksomheden løbende skal sikre, at medarbejdere modtager den fornødne instruktion og uddannelse i beredskab, herunder cybersikkerhed, samt at der stilles krav om, at virksomheden gennemfører awareness-tiltag om cybersikkerhed efter en nærmere fastsat kadence.

Udmøntningen af den foreslåede bemyndigelse forventes at videreføre gældende ret for øvelsesplanlægning, herunder afholdelse af øvelser og træning af beredskabsforanstaltninger, der gælder for virksomheder i el, gas og oliesektoren. Dog forventes det som noget nyt, at der vil blive fastsat nærmere regler om indholdet i øvelsesplanerne, herunder elementer i beredskabet som skal øves, eksempelvis krisestyring, mobilisering af ekstra ressourcer og materialer, henholdsvis intern og ekstern kommunikation, genopretning af forsyning eller sikring af fortsat drift og iværksættelse af foranstaltninger i henhold til nyt sektorberedskabsniveau.

Det følger af den foreslåede § 6, stk. 2, nr. 10, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om beredskabstræning, cybersikkerhedsadfærd- og sikkerhedsuddannelse af ansatte i virksomheden.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering af CER-direktivets artikel 13, stk. 1, litra f, hvorefter medlemsstaterne sikrer, at kritiske enheder øger bevidstheden blandt det relevante personale under hensyntagen til bl.a. uddannelseskurser og informationsmateriale.

Den foreslåede bestemmelse vil desuden danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering NIS 2-direktivets artikel 20, stk. 2, hvorefter ledelsen i vigtige og væsentlige enheder skal tilskynde deres ansatte at følge kurser, således at de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici. Bestemmelse vil endvidere danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering af NIS 2-direktivets artikel 21, stk. 2, litra g, hvorefter vigtige og væsentlige enheder træffer foranstaltninger om grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse. Det forventes, at der vil fastsættes nærmere regler, hvorefter virksomhederne stilles krav om at øge sikkerhedsbevidstheden hos medarbejderne. Den foreslåede bestemmelse vil medføre, at de medarbejdere, der deltager i virksomhedens arbejde med beredskabsplanlægning, fysisk sikring og sikkerheden i net- og informationssystemer, skal have tilstrækkelige færdigheder samt viden til at kunne varetage deres opgaver.

Det forventes herudover, at der vil blive fastsat nærmere regler om, at medarbejdere skal have kompetence til at agere sikkerhedsmæssigt forsvarligt i de opgaver, der skal udføres jf. § 6, stk. 2, nr. 1. Den gældende regulering af el- og gassektorerne, som stiller krav om at virksomhederne gennemfører awareness-tiltag om it-sikkerhed, forventes udvidet med krav om, at disse tiltag kan omfatte både cybersikkerhed fx sikker konfigurering af- og test af it-udstyr, netværk og infrastruktur, cloud-løsninger eller identitets- og adgangsstyring, såvel som årvågenhed i forhold til fx spionage, uautoriseret adgang, utilsigtet informationsdeling og andre forhold, der kan kompromittere forsyningssikkerheden. De pågældende tiltag skal baseres på medarbejderens funktion i virksomheden. Den foreslåede ordning vil sikre, at også medarbejdere med adgang til og på kritiske anlæg og lokationer, herunder daglig stationsadgang, sikres tilstrækkelig viden og sikkerhedsbevidsthed.

Ved udmøntningen af bemyndigelsesbestemmelsen forventes det, at der eksempelvis vil blive fastsat krav om, at medarbejdere i relevant omfang skal følge uddannelsesforløb, samt at virksomheden skal gennemføre awareness-tiltag om fysisk sikring, cybersikkerhed og beredskab, der øger den organisatoriske modstandsdygtighed på tværs af virksomheden.

Det følger af den foreslåede § 6, stk. 2, nr. 11, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om kapacitet til at modtage og videreformidle advarsler om trusler.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering dele af NIS 2-direktivets artikel 21, stk. 2, litra e, hvorefter væsentlige og vigtige enheder træffer foranstaltninger til håndtering og offentliggørelse af sårbarheder.

På den baggrund forventes der eksempelvis fastsat nærmere regler om, at virksomheden skal indrette cyberberedskabet på en måde, der sikrer operationel koordinering af varsler og alarmer på tværs af virksomhedens forretningsområder og aktiver. Det forventes blandt andet at indbefatte krav om, at virksomheden skal have metoder til at identificere sårbarheder, samt at virksomheden skal organisere et beredskab med evne til at modtage og videreformidle advarsler om trusler og sårbarheder, der potentielt kan påvirke virksomhedens evne til at levere deres tjeneste.

Ligeledes foreslås det på baggrund af bemyndigelsesbestemmelsen, at der vil blive fastsat regler om, at virksomheden både vil kunne modtage varsler fra samarbejdspartnere, operatører eller øvrige aktører og videreformidle sådanne data og information, som en mitigerende foranstaltning for tjenesten, samt videregive oplysninger til klima-, energi- og forsyningsministeren, andre myndigheder og relevante samarbejdspartnere, såsom leverandører og kunder uden unødig forsinkelse.

Det følger af den foreslåede § 6, stk. 2, nr. 12, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om tilmelding til en it-sikkerhedstjeneste.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan implementeres dele af NIS 2-direktivets artikel 21, stk. 2, litra e, hvorefter væsentlige og vigtige enheder træffer foranstaltninger til sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder foranstaltninger til håndtering og offentliggørelse af sårbarheder. Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering den foreslåede bestemmelse NIS 2-direktivets artikel 21, stk. 2, litra c, hvorefter væsentlige og vigtige enheder træffer foranstaltninger til bl.a. reetablering og krisestyring. Den foreslåede bestemmelse går videre end NIS 2-direktivet, idet der direkte stilles krav om, at virksomhederne skal tilmeldes en it-sikkerhedstjeneste.

Det forventes på baggrund af den foreslåede bestemmelse, at der vil blive fastsat nærmere regler om, at virksomheder i energisektoren indgår aftale om at være tilmeldt en it-sikkerhedstjeneste. Virksomheden vil herefter skulle være tilmeldt en it-sikkerhedstjeneste, der yder vejledning om vurdering og mitigering af sårbarheder. It-sikkerhedstjenesten vil endvidere skulle give informationer og varsle om relevante it-sikkerhedstrusler. Supplerende til eksisterende krav foreslås det, at virksomhedens proaktive indsats skal omfatte viden om trusler baseret på globale informationer fra anerkendte kilder, såsom abonnementer på cyber-trusselsfeed, der er leveret af globale aktører inden for cybersikkerhed. Den foreslåede bemyndigelsesbestemmelse vil også medføre, at der skal fastsættes regler om, at virksomheden skal være tilmeldt en reaktiv it-sikkerhedstjeneste, der bistår virksomheden ved nedbrud eller angreb på it-systemer, herunder assistance til akut skadesbegrænsning, bevisindsamling og reetablering i akutte sikkerhedsmæssige situationer. Information fra it-sikkerhedstjenesten skal kunne videreformidles til andre virksomheder i energisektoren uden forsinkelse, såfremt disse oplysninger vurderes at have betydning for leveringen af andre virksomheders tjenester.

Til § 7

Det følger af elforsyningslovens § 85 b, at visse virksomheder med bevilling eller tilladelse til produktion eller distribution af elektricitet skal have et klassisk beredskab. Det samme gælder for Energinet og dennes helejede datterselskaber.

Efter elforsyningslovens § 85 b, stk. 4, kan klima-, energi- og forsyningsministeren fastsætte regler om udførelse af tilsyn med virksomhedernes beredskabsarbejde, herunder om virksomhedernes fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virksomhederne og om klageadgang. De nærmere regler er gennemført i elberedskabsbekendtgørelsen.

Det følger af gasforsyningslovens § 15 a, at virksomheder som er bevillingspligtige efter gasforsyningslovens § 10, samt Energinet og dennes helejede datterselskaber, som foretager gasforsyningsvirksomhed, skal have et klassisk beredskab.

Efter gasforsyningslovens § 15, a, stk. 4, kan klima-, energi- og forsyningsministeren fastsætte regler om udførelse af tilsyn med virksomhedernes beredskabsarbejde, herunder om virksomhedernes fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virksomhederne og om klageadgang. De nærmere regler er gennemført i naturgasberedskabsbekendtgørelsen.

Efter elberedskabsbekendtgørelsen og naturgasbekendtgørelsen skal virksomhederne udarbejde sikringsplaner, som omfatter kortmateriale, oversigt over anlægs sårbarheder, m.v., jf. bekendtgørelsernes § 12, stk. 1. Virksomhederne skal desuden sikre, at anlæg har lav sårbarhed over for funktionssvigt af offentligt udbudte net og tjenester for elektronisk kommunikation, at anlæg har lav sårbarhed over for funktionssvigt af væsentlige it-systemer, og at anlæg har nødstrømsforsyning, som i tilfælde af strømafbrydelse sikrer anlæggets funktionalitet i perioden frem til strømforsyningens reetablering, jf. bekendtgørelsernes § 13, stk. 1.

Det gælder desuden, at ubemandede anlæg i klasse 1 skal sikres mod uautoriseret adgang gennem etablering af mekaniske og elektroniske sikrings- og overvågningsforanstaltninger, jf. bekendtgørelsernes § 13, stk. 2. Virksomheder skal desuden etablere et system for styret adgangskontrol til klasse 1 anlæg, jf. bekendtgørelsernes § 13, stk. 3. Der skal regelmæssigt og mindst hver måned føres kontrol med den fysiske sikring af klasse 1 anlæg, hvilket virksomhederne skal føre en log over, jf. bekendtgørelsernes § 13, stk. 4.

Det følger af olieberedskabslovens § 16, stk. 1, at lagringspligtige virksomheder skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre olieforsyningen i beredskabssituationer og andre ekstraordinære situationer. Efter § 16, stk. 3, kan klima-, energi- og forsyningsministeren fastsætte nærmere regler, om beredskabsplanlægningen efter stk. 1.

Ifølge olieberedskabsbekendtgørelsens § 16, stk. 1, skal virksomhederne og den centrale lagerenhed sikre, at forsyningskritiske anlæg beskyttes i forhold til deres kritikalitet. Virksomhederne skal desuden sikre forsyningskritiske anlæg mod uautoriseret adgang, jf. § 16, stk. 2.

Det følger af den foreslåede § 7, stk. 1, at virksomheder omfattet af lovforslaget skal træffe passende foranstaltninger for at opretholde nødvendig fysisk sikring af lokationer og anlæg, der bruges til at levere virksomhedens tjenester, eller hvorfra drift af net- og informationssystemer finder sted.

Med den foreslåede § 7, stk. 1 rammesættes de overordnede krav til virksomhedens fysiske sikring af lokationer og anlæg, der bruges til at levere virksomhedens tjenester, eller hvorfra drift af net- og informationssystemer finder sted. De nærmere krav vil blive fastsat i forbindelse med udmøntningen af det foreslåede § 7, stk. 2.

Bestemmelsen vil videreføre gældende ret, for så vidt angår hvem kravene til fysisk sikring vil finde anvendelse på i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet for kravene, idet kravene efter det foreslåede også vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet af krav til fysisk sikring, vil fx være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Det foreslås i § 7, stk. 2, at klima-, energi- og forsyningsministeren bemyndiges til at fastsætte nærmere regler om fysisk sikring.

Bemyndigelsen forventes udmøntet i en bekendtgørelse, der blandt andet fastsætter nærmere regler for de i nr. 1 - 5 nævnte elementer af fysisk sikring, som beskrevet nedenfor.

Kravene i de regler, der fastsættes i medfør af den foreslåede bestemmelse, kan differentieres i intensitet ift. virksomhedernes niveauinddeling og klassificeringen af virksomhedernes systemer og anlæg, jf. de regler der udstedets i medfør af lovens foreslåede § 4, stk. 2. Differentieringen vil således ske ud fra en betragtning om, at en forstyrrelse af særlig kritiske virksomheders tjenester vil have større betydning for samfundet samt ud fra en betragtning om, at der bør være proportionalitet mellem sikkerhedseffekter og omkostninger forbundet med de konkrete krav.

Ved udmøntningen af bemyndigelsesbestemmelsen forventes det endvidere, at der vil ske en differentiering af, hvilke virksomheder der skal efterleve de nærmere fastsatte krav, så de mere kritiske virksomheder skal følge flere elementer af kravene.

Klima-, energi- og forsyningsministeren skal fastsætte regler om de nr. 1-5 oplistede emner. Reglerne kan indenfor hvert emne tilpasses, når det måtte være nødvendigt pga. udvikling i trusselsbilledet mod energisektoren og når det vurderes nødvendigt for at imødegå den teknologiske udvikling i energisektoren og cybersikkerheden.

Det foreslås i § 7 stk. 2, nr. 1, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om fysisk sikring efter stk. 1, herunder om forhindring af, at hændelser indtræffer under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau vil ske implementering af CER-direktivets artikel 13, stk. 1, litra a, hvorefter medlemsstaterne sikrer, at kritiske enheder forhindrer hændelser i at indtræffe under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger.

Ved udmøntningen af bemyndigelsesbestemmelsen forventes det, at der vil blive fastsat regler om, at virksomhederne skal identificere deres kritiske anlæg og net- og informationssystemer. Det forventes endvidere, at der med bemyndigelsen vil blive fastsat krav til virksomhedernes overblik over sårbarheder i forhold til naturkatastrofer og ekstreme vejrforhold, herunder at virksomhederne løbende forholder sig til risici, der er forbundet med at intensiteten og hyppigheden af ekstreme vejrforhold stiger i takt med klimaforandringerne. Det forventes således, at der med bemyndigelsen vil blive fastsat regler, hvorefter virksomhederne skal iværksætte foranstaltninger, der tager højde for vurderingen af de risici, der er forbundet med naturkatastrofer og ekstreme vejrforhold, og som minimerer risikoen for, at disse hændelser kan forstyrre leveringen af tjenesten. Det forventes endvidere, at der med bemyndigelsen vil blive fastsat regler, hvorefter virksomhederne skal tage højde for klimatilpasningsforanstaltninger i beslutninger vedrørende hvor og hvordan anlæg og net- og informationssystemer etableres og driftes. Ligeledes foreslås på baggrund af bemyndigelsesbestemmelsen, at der vil blive fastsat regler om at beredskabsplanlægningen i relevant omfang skal vurdere muligheder for genopretning af leveringen af tjenesten i tilfælde af større katastrofer og ekstreme vejrforhold.

Ifølge den foreslåede § 7, stk. 2, nr. 2, fastsætter klima-, energi- og forsyningsministeren nærmere regler om fysisk sikring efter stk. 1, herunder om etablering af foranstaltninger til overvågning, detektion og reaktion i forbindelse med uautoriseret adgang til og på anlæg og lokationer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af CER-direktivets artikel 13, stk. 1, litra b, hvorefter kritiske enheder træffer foranstaltninger til fysisk beskyttelse af deres lokaler og kritiske infrastruktur under hensyntagen til værktøjer og rutiner til overvågning af perimetre, detektionsudstyr og adgangskontrol. Den foreslåede bestemmelse går videre end CER-direktivet, idet der på bekendtgørelsesniveau vil blive stillet krav om, at virksomhederne desuden skal etablere overvågning, der kan opdage uautoriseret adgang til net- og informationssystemer med betydning for leveringen af tjenesten.

Efter bestemmelsen vil der blandt andet blive fastsat nærmere regler om, at virksomheden skal træffe passende tekniske foranstaltninger og konfigurationer, der sikrer monitorering og detektion af uautoriseret adgang til net- og informationssystemer. Det forventes på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler om, at virksomheden skal sikre koordination af sikkerhedsniveauet for tekniske og elektroniske foranstaltninger med fysiske og organisatoriske sikringsforanstaltninger. Det forventes, at ministeren også vil fastsætte nærmere regler om brug af videoovervågning, herunder om elektronisk og fysisk sikring af net- og informationssystemer, der benyttes til videoovervågning, der har betydning for leveringen af tjenesten.

Ligeledes forventes det, at der vil blive fastsat regler, hvorefter virksomhedernes skal være i stand til at detektere, verificere og alarmere i tilfælde af utilsigtede hændelser såsom brand, naturkatastrofer og ekstreme vejrforhold.

De nærmere regler om etablering af foranstaltninger til overvågning, detektion og reaktion i forbindelse med uautoriseret adgang til og på anlæg og lokationer forventes endvidere at indeholde krav om, at uautoriseret adgang kan opdages i realtid, og at virksomhederne skal have fastlagt procedurer for, hvordan der reageres på forsøg på uautoriseret adgang til og på lokationer og anlæg med betydning for leveringen af tjenesten. I denne sammenhæng kan den nødvendige overvågning og detektion fx omfatte en kombinationen af kamera, sensorer, alarmer, hegn, vagtordninger eller lignende foranstaltninger. Det forventes på baggrund af bestemmelsen, at der vil blive fastsat regler om reaktionstid.

Det forventes endvidere, at der på baggrund af bestemmelsen, vil blive fastsat nærmere regler om, at virksomheden skal træffe passende tekniske foranstaltninger og konfigurationer, der sikrer monitorering og detektion af uautoriseret adgang til net- og informationssystemer. Ved udmøntningen af bestemmelsen vil der herefter blive stillet krav om, at uautoriseret adgang til anlæg eller komponenter med netværksadgang skal kunne opdages i realtid. Det forventes herudover, at der vil blive fastsat nærmere regler om, at virksomheden skal sikre koordination af sikkerhedsniveauet for tekniske og elektroniske foranstaltninger med fysiske og organisatoriske sikringsforanstaltninger. Det forventes endeligt, at der vil blive fastsat nærmere regler om brug af fx videoovervågning, herunder om elektronisk og fysisk sikring af net- og informationssystemer, der benyttes til videoovervågning, der har betydning for leveringen af tjenesten.

Det foreslås i § 7 stk. 2, nr. 3, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om fysisk sikring efter stk. 1, herunder om tilstrækkelig fysisk sikring af virksomhedens anlæg og lokationer, herunder kontrolrum og kontrolrummets arbejdsstationer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af af CER-direktivets artikel 13, stk. 1, litra b, hvorefter kritiske enheder sikrer tilstrækkelig fysisk beskyttelse af deres lokaler og kritiske infrastruktur under behørig hensyntagen til fx hegn, barrierer, værktøjer og rutiner til overvågning af perimetre.

På baggrund af bestemmelsen forventes der fastsat nærmere regler om, at tilstrækkelig fysiske sikring vil skulle etableres, uanset om der er tale om anlæg, der allerede er i drift, er projekterede eller er under etablering. Fysisk sikring vil efter bestemmelsen skulle forstås som perimeter-, skal- og cellesikring. Det forventes således, at der vil blive nærmere regler om krav til sikring af de ydre grænser rundt om anlægget, sikring af anlægget, herunder anlæggets bygninger og ydre mure, og sikring af udvalgte rum eller komponenter. Ved udmøntningen af bemyndigelsesbestemmelsen vil der blive fastsat krav til sammenhæng mellem virksomhedernes fysiske sikring af anlæg og lokationer og de krav til overvågnings- og detektionsforanstaltninger, der vil blive fastsat ved udmøntningen af lovforslagets § 7 stk. 2, nr. 2.

Efter bestemmelsen, vil klima-, energi- og forsyningsministeren endvidere skulle fastsætte nærmere regler om, at anlæg og komponenter med netværksadgang til net- og informationssystemer, der har betydning for leveringen af tjenesten, skal have tilstrækkelig fysisk sikring. Der vil blive fastsat regler på baggrund af bestemmelsen, hvorefter virksomhederne skal sikre, at der er tilstrækkelig afskærmning af anlæg, lokationer og komponenter for visuel eksponering, således at uvedkommende ikke kan få adgang til eller indblik i informationer, der har betydning for leveringen af virksomhedens tjenester.

Den foreslåede bestemmelse gælder anlæg, lokationer og komponenter, der er i drift såvel som anlæg, lokationer og komponenter, der er projekterede eller er under etablering. Der vil blive fastsat regler på baggrund af bestemmelsen, hvorefter virksomhederne skal sikre, at deres anlæg og net- og informationssystemer ikke kompromitteres inden de er idriftsat og dermed har indbyggede sårbarheder. Således vil den forventede udmøntning af bestemmelsen indeholdekrav om, at virksomhederne allerede under projekteringen vil skulle forholde sig til fysiske sikkerhedsrisici og cybersikkerhedsrisici og mitigere disse i relevant omfang. Det forventes herudover, at der vil blive fastsat nærmere regler om, at virksomhederne skal have tilstrækkelig fysisk sikring samt overvågnings- og detektionsforanstaltninger ved og omkring de anlæg og lokationer, der benyttes ved en relokering af kontrolrum eller serverrum.

Det foreslås i § 7, stk. 2, nr. 4, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om fysisk sikring efter stk. 1, herunder om håndtering af hændelser og genopretning efter hændelser.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af CER-direktivets artikel 13, stk. 1, litra c, hvorefter kritiske enheder skal være i stand til at reagere på, modstå og afbøde følgerne af hændelser under behørig hensyntagen til gennemførelsen af risiko- og krisestyringsprocedurer og -protokoller samt varslingsrutiner. Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau kan ske implementering af CER-direktivets artikel 13, stk. 1, litra d, hvorefter kritiske enheder skal træffe foranstaltninger, der sikrer genopretning efter hændelser under behørig hensyntagen til forretningskontinuitetsforanstaltninger og identifikation af alternative forsyningskæder.

På baggrund af bemyndigelsesbestemmelsen forventes der fastsat nærmere regler om virksomhedernes hændelseshåndtering. Eksempelvis vil reglerne indeholde krav til planer og procedurer for, hvordan virksomhederne håndterer en hændelse. Endvidere vil reglerne indeholde krav til virksomhedernes planer for, hvordan de forebygger hændelser, hvordan de opdager, analyserer og varsler hændelser, og hvordan de inddæmmer eller reagerer på og reetablerer sig efter en hændelse. Et yderligere eksempel på krav der vil skulle fastsættes efter den foreslåede bestemmelse, er krav om at virksomhederne skal have procedurer, der sikrer integriteten og den fysiske beskyttelse af virksomhedens anlæg i tilfælde af både tilsigtede og utilsigtede hændelser med henblik på, at leveringen af tjenesten videreføres.

Ved udmøntningen af den foreslåede bestemmelse vil der endvidere blive fastsat regler, hvorefter virksomhederne skal have etableret procedurer og foranstaltninger, der sikrer at virksomhederne hurtigst muligt kan genoprette leveringen af tjenesten i tilfælde af, at en hændelse har haft forstyrrende indvirkning. Det forventes endvidere, at der vil fastsættes krav om, at virksomhedernes procedurer for genopretning skal bygge på virksomhedernes egen identifikation af kritiske anlæg og komponenter og deres fysiske sårbarheder. På baggrund af bestemmelsen forventes det således, at der vil blive fastsat nærmere regler om, at virksomhederne skal have overblik over tilgængeligheden af reservedele og identificere alternative forsyningskæder, der kan sikre, at leveringen af tjenesten genoprettes.

Det foreslås i § 7 stk. 2, nr. 5, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om fysisk sikring efter stk. 1, herunder om medarbejdersikkerhedsstyring.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af CER-direktivets artikel 13, stk. 1, litra c, hvor efter passende medarbejdersikkerhedsstyring skal sikres under behørig hensyntagen til foranstaltninger såsom fastsættelse af kategorier af personale, der udøver kritiske funktioner, fastlæggelse af adgangsrettigheder til lokaler, kritisk infrastruktur og følsomme oplysninger og fastsættelse af procedurer for baggrundskontrol.

På baggrund af bestemmelsen vil der blive fastsat regler med krav til virksomhedernes politikker og systemer for styret adgangskontrol, der vil forpligte virksomhederne til at tage stilling til, hvilke medarbejdere, herunder eksterne, der vil have adgang til hvilke dele af anlægget samt hvilke medarbejdere, herunder eksterne, der vil have fysisk adgang til net- og informationssystemer. Endvidere forventes reglerne at indeholde krav om logning af denne adgang, samt om løbende kontrol med, at adgangskontrollen virker efter hensigten. Med den foreslåede bestemmelse vil der endvidere blive fastsat regler, hvorefter virksomhederne skal sikre sammenhæng mellem medarbejderstyringen efter denne bestemmelse og bestemmelsen om autentificering og adgangsbeskyttelse af net- og informationssystemer, jf. den foreslåede § 8 stk. 2, nr. 9.

Til § 8

Det følger af elforsyningslovens § 85 c, at visse virksomheder med bevilling eller tilladelse til produktion af el skal have et it-beredskab. Det samme gælder for Energinet og dennes helejede datterselskaber, samt virksomheder der yder balancering af elsystemet.

It-beredskabsbekendtgørelsen stiller blandt andet krav til virksomhedernes it-beredskabsplanlægning, jf. § 14. Virksomhederne skal således identificere forsyningskritiske it-systemer samt afhængigheden af andre systemer, beskrive forebyggende foranstaltninger til at imødegå utilsigtede it-hændelser, herunder muligheden for segmentering af it-infrastruktur og alternative driftsformer. Virksomheder, der anvender fjernadgang til forsyningskritisk it, skal have en plan for, hvordan angreb på disse systemer opdages og håndteres. Derudover skal bl.a. den interne ansvarsplacering under krisestyring, ansvaret for systemansvar for forsyningskritiske it-systemer, kommunikation med Energinet eller Energistyrelsen og virksomhedens it-sikkerhedstjeneste beskrives. Planerne skal endvidere beskrive procedurer for alternativ drift, genopretning af forsyningskritiske it-systemer, planer for dokumentation og opfølgning på hændelser samt beskrivelse af den operative ansvarsdeling mellem virksomheden og dens samarbejdsparter. It-beredskabsplanerne skal herudover være en del af virksomhedens samlede beredskabsplanlægning.

Ifølge it-beredskabsbekendtgørelsens § 23, stk. 1, skal virksomhederne sikre, at den fysiske opbevaring af forsyningskritiske it-systemer beskyttes i forhold til deres kritikalitet for forsyningen på nationalalt, regionalt eller lokalt niveau. Virksomhederne skal desuden sikre forsyningskritiske systemer mod uautoriseret adgang, jf. § 23, skt. 1.

Det følger af it-beredskabsbekendtgørelsens § 25, at virksomhederne skal være tilmeldt en proaktiv it-sikkerhedstjeneste, der yder vejledning og mitigering af sårbarheder samt giver informationer og varsler om it-sikkerhedstrusler. Derudover skal de mest forsyningskritiske virksomheder være tilmeldt en reaktiv it-sikkerhedstjeneste, der bistår virksomheden ved nedbrud eller angreb på it-systemer. Hertil kommer at virksomhederne skal sikre, at oplysninger, der har sikkerhedsmæssig betydning for andre virksomheder i energisektoren, kan viderebringes til disse, samt at oplysninger, der tilvejebringes gennem en it-sikkerhedstjeneste, skal kunne videreformidles til andre virksomheder.

Det følger af olieberedskabslovens § 16, stk. 1, at lagringspligtige virksomheder skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre olieforsyningen i beredskabssituationer og andre ekstraordinære situationer. Efter § 16, stk. 3, kan klima-, energi- og forsyningsministeren fastsætte nærmere regler om beredskabsplanlægningen efter stk. 1.

Ifølge olieberedskabsbekendtgørelsens § 16, stk. 1, skal virksomhederne og den centrale lagerenhed sikre, at forsyningskritiske it-systemer beskyttes i forhold til deres kritikalitet. Virksomhederne skal desuden sikre forsyningskritiske it-systemer mod uautoriseret adgang, jf. § 16, skt. 2.

Det følger af den foreslåede § 8, stk. 1, at virksomheder omfattet lovforslaget skal foretage nødvendig planlægning og træffe passende cybersikkerhedsforanstaltninger for at sikre beskyttelsen af net- og informationssystemer, der bruges til at levere virksomhedens tjenester.

Med den foreslåede bestemmelse rammesættes de overordnede krav til virksomhedens cybersikkerhed herunder cyberberedskabsforanstaltninger. De nærmere krav vil blive fastsat i forbindelse med udmøntningen af det foreslåede § 8, stk. 2.

Bestemmelsen vil videreføre gældende ret for så vidt angår hvem kravene til cybersikkerhed vil finde anvendelse på i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet for kravene, idet kravene efter det foreslåede også vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet af krav til cybersikkerhed, vil fx være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder og virksomheder, der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Det foreslås i § 8, stk. 2, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om cybersikkerhedsforanstaltninger efter stk. 1. Bemyndigelsen forventes udmøntet i en bekendtgørelse, hvor der vil blive fastsat nærmere regler for de i nr. 1-11 nævnte elementer af cybersikkerhed og cyberberedskab, som beskrevet nedenfor.

Kravene i de regler, der fastsættes i medfør af den foreslåede bestemmelse, kan differentieres i intensitet ift. virksomhedernes niveauinddeling og klassificeringen af virksomhedernes systemer og anlæg jf. de regler der udstedets i medfør af lovens foreslåede § 4, stk. 2. Differentieringen vil således ske ud fra en betragtning om, at en forstyrrelse af særlig kritiske virksomheders tjenester vil have større betydning for samfundet samt ud fra en betragtning om, at der bør være proportionalitet mellem sikkerhedseffekter og omkostninger forbundet med de konkrete krav.

Ved udmøntningen af bemyndigelsesbestemmelsen forventes det, at der vil ske en differentiering af, hvilke virksomheder der skal efterleve de nærmere fastsatte krav, så de mere kritiske virksomheder skal følge flere elementer af kravene.

Klima-, energi- og forsyningsministeren skal fastsætte regler om de stk. 2, nr. 1-11 oplistede emner. Reglerne kan indenfor hvert emne tilpasses, når det måtte være nødvendigt pga. udvikling i trusselsbilledet mod energisektoren og når det vurderes nødvendigt for at imødegå den teknologiske udvikling i energisektoren og cybersikkerheden.

Det foreslås i § 8, stk. 2, nr. 1, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om forvaltning af net- og informationssystemer og passende teknisk sikkerhed til beskyttelse af enheder med adgang til virksomhedens netværk.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra i, hvorefter vigtige og væsentlige enheder skal træffe passende foranstaltninger til forvaltning af aktiver.

Det forventes på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler med krav til virksomheders overblik over deres aktiver, der vil medføre forpligtelser til at etablere og ajourføre et samlet overblik over blandt andet deres net- og informationssystemer, anlæg, tilhørende komponenter samt kritiske afhængigheder mellem disse og eventuelle samarbejdspartnere.

Det forventes endvidere, at der vil blive fastsat nærmere regler om, at virksomhederne skal etablere den nødvendige sikring af de identificerede aktiver, samt om at sikkerhedsniveaet opretholdes i hele aktivets levetid fra erhvervelse til dekommissionering gennem blandt andet risikobaseret styring af opdateringer af software.

Endvidere forventes der at blive fastsat regler om, at virksomheder skal have et ajourført overblik over virksomhedens internetvendte enheder, brugerkonti med privilegerede rettigheder og informationsstrømme som understøtter virksomhedernes levering af deres tjenester.

Det foreslås i § 8, stk. 2, nr. 2, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om etablering af netværks- og infrastruktursikkerhed samt principper for netværksarkitektur og -topologi med henblik på at minimere risici for virksomhedens net- og informationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af NIS 2-direktivets artikel 21, stk. 2, litra c, hvorefter vigtige og væsentlige enheder træffer passende foranstaltninger for driftskontinuitet. Den foreslåede bestemmelse vil desuden danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering af artikel 21, stk. 2, litra g, som vedrører grundlæggende cyberhygiejnepraksisser. De regler, der forventes udformet i bekendtgørelsen på baggrund af den foreslåede § 8, stk. 2, nr. 2, vil gå videre end NIS 2-direktivet, idet der forventes at blive stillet krav om, at virksomheder skal etablere bl.a. netværkssegmentering.

Det forventes, at der på baggrund af bestemmelsen vil blive fastsat nærmere regler med krav til virksomhedernes procedurer for opbygning af netværksinfrastruktur, der vil muliggøre det nødvendige sikkerhedsniveau i forhold til netværkets kritikalitet for leveringen af tjenesten. Det forventes derudover, at der vil blive fastsat regler med krav om, at virksomhedernes netværksinfrastruktur skal muliggøre effektiv monitorering.

På baggrund af bestemmelsen forventes det endvidere, at der vil blive fastsat regler om, at virksomheder skal etablere passende tekniske foranstaltninger i netværksarkitekturen, med henblik på at netværksinfrastrukturen opdeles i forskellige netværkssegmenter og med zoner mellem netværk. Opdelingen af netværksinfrastrukturen i netværkssegmenter skal særligt yde beskyttelse af virksomhedens industrielle kontrolsystemer. Den foreslåede ordning vil bl.a. skulle sikre, at datakommunikation mellem netværk kan begrænses og kontrolleres. Ligeledes vil der på baggrund af bestemmelsen blive fastsat nærmere regler om segmentering af netværk på en måde, der muliggør relevante sikkerhedstiltag inden for de forskellige segmenter.

Ved udmøntningen af bemyndigelsesbestemmelsen vil der blive fastsat nærmere regler om etablering af fysiske eller logiske undernetværk såsom demilitariserede netværkszoner (DMZ), således at datatrafik fra usikre netværk eller administrative netværk ikke deler udstyr med eller terminerer direkte i netværk med fx industrielle kontrolsystemer. På den baggrund forventes der endvidere fastsat nærmere regler hvorefter netværksarkitekturen skal opbygges på en måde, der sikrer barrierer mellem produktionsmiljøer og øvrige miljøer, herunder, men ikke afgrænset til, test- og udviklingsmiljøer.

Det foreslås i § 8, stk. 2, nr. 3, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om sikkerhedskrav til geografisk placering af drift af net- og informationssystemer.

Formålet med bestemmelsen er, at kritiske systemer af betydning for energiforsyningen vil blive underlagt EU/EØS-jurisdiktion, og at der ikke vil kunne skabes afhængigheder, som kan sætte energiforsyningen under pres, fx i tilfælde af en ændret geopolitisk situation. Bestemmelsen vil således ikke indebære et generelt forbud mod outsourcing af opgaver eller brug af eksempelvis cloud- og AI-tjenester.

Det foreslås på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler om, at outsourcing til leverandører skal ske på baggrund af en risikovurdering, der iagttager væsentlige risici forbundet herved, og inddrager geopolitiske, organisatoriske og fysiske risici samt cybersikkerhedsrisici. Som led heri foreslås det, at virksomhederne bl.a. vil skulle forholde sig til efterretningstjenesternes trusselsvurderinger.

Der forventes bl.a. at blive fastsat nærmere regler med krav om, at anlæg og net- og informationssystemer med betydning for leveringen af tjenesten, herunder behandling af data, vil skulle være placeret i EU/EØS eller i et tredjeland, som EU-Kommissionen har truffet tilstrækkelighedsafgørelse om, jf. artikel 45 i forordning 2016/679/EU (databeskyttelsesforordningen).

Det forventes på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler om, at virksomheders med kontrolrum og nødkontrolrum der er placeret uden for dansk territorium, men bruges til overvågning og drift af dansk energiinfrastruktur omfattet af dette lovforslag, skal have mulighed for, i tilfælde af en hændelse, at relokere til et kontrolrum beliggende på dansk territorium med komplet driftsfunktionalitet.

Der forventes endvidere, at der vil blive fastsat nærmere regler om hvorfra, der kan ydes service og vedligehold til virksomheder omfattet af lovforslaget samt regler om hvorfra, der må kunne opnås fjernadgang til net- og informationssystemer med betydning for leveringen af tjenesten.

Det foreslås i § 8 stk. 2, nr. 4, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra e, hvorefter vigtige og væsentlige enheder træffer passende foranstaltninger til sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer.

Det forventes på baggrund af bestemmelsen, at der blandt andet vil blive fastsat nærmere regler med passende krav om, at virksomheder skal sørge for at opretholde et passende sikkerhedsniveau og sikkerhedsprocedurer i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer. Der vil eksempelvis kunne fastsættes krav, der vil forpligte virksomheder til at etablere relevante sikkerhedsforanstaltninger, i deres net- og informationssystemers fulde levetid, herunder i projektfaser.

Dette vil desuden indebære, at der ville skulle foretages vurderinger af, om der opretholdes det nødvendige sikkerhedsniveau. Ligeledes forventes der fastsat nærmere regler, hvorefter virksomhederne løbende skal vurdere sikkerhedsrisici og iværksætte foranstaltninger til at mitigere risici. Dette gælder fx ved sammenlægning eller opkøb af virksomheder, ved udbud og licitationer, ved indkøb af net- og informationssystemer, ændringer i systemløsninger eller i forbindelse med anlægsprojekter.

Derudover forventes der ved udmøntningen af bestemmelsen fastsat krav om, at virksomheder skal sikre, at sikkerhed er integreret i udviklingsdesignet fra begyndelsen, samt at der sker tilstrækkelig adskillelse mellem net- og informationssystemer, der har betydning for leveringen af tjenesten, og øvrige miljøer såsom udviklings- og testmiljøer. Der vil således blive fastsat nærmere regler om, hvorvidt denne adskillelse af miljøer skal være fysisk eller logisk.

Det foreslås i § 8 stk. 2, nr. 5, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om backup-styring og genopretning af net- og informationssystemer til sikring af driftskontinuitet for leveringen af tjenesten.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra c, hvorefter vigtige og væsentlige enheder træffer passende foranstaltninger om driftskontinuitet såsom backup-styring og reetablering efter en katastrofe. Med bestemmelsen anvendes muligheden efter NIS 2-direktivets artikel 21, stk. 2, litra b, for at stille krav om, at enheder skal etablere logning.

Det forventes på baggrund af bestemmelsen, at der vil blive fastsat regler med krav til virksomhedernes tolerancemål i relation til genopretning og driftskontinuitet for de identificerede net- og informationssystemer. Reglerne vil eksempelvis indeholde krav til virksomhedernes udarbejdelse af tekniske genoprettelsesplaner, samt til virksomhedernes test af, om genopretning er mulig og fungerer efter hensigten på baggrund af backup-kopien.

Der forventes endvidere fastsat nærmere regler om, at virksomhederne vil skulle kunne relokere til fuldt funktionsdygtige nødkontrolrum, der oppebærer samme redundante driftskapacitet og sikkerhedsniveau for fysisk sikring og cybersikkerhed som kontrolrum, der benyttes i daglig drift, herunder at fuldt kompetent personale relokeres og uden forsinkelse kan starte op og varetage tilsvarende opgaveudførelse. I denne sammenhæng vil der kunne blive fastsat nærmere regler om, at virksomheden skal iagttage behovet for redundante administrative arbejdspladser og cybersikkerhed i forbindelse med, at opgaveudførsel er flyttet. Dette vil bl.a. indebære, at sikringsplaner tager højde for både opretholdelse af operationel nøddrift og sikkerhed for forskellige personalegrupper.

Der forventes endvidere fastsat nærmere regler, hvorefter virksomheder skal kunne etablere foranstaltninger, der muliggør dekobling af net- og informationssystemer fra internettet, eller som muliggør isolering af internt kontrollerede netværk, eller at virksomheden på anden vis kan inddæmme eller afslutte datakommunikation eller afbryde adgang til net- og informationssystemer.

Det foreslås i § 8 stk. 2, nr. 6, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere for cybersikkerhedsforanstaltninger efter stk. 1, herunder regler om etablering af logning til at understøtte alarmer, efterforskningsarbejde, hændelseshåndtering og monitorering af uregelmæssigheder i net- og informationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra b, hvorefter vigtige og væsentlige enheder træffer passende foranstaltninger til håndtering af hændelser. Den foreslåede bestemmelse udnytter således den mulighed i NIS 2-direktivet rummer, hvorefter der direkte vil blive stillet krav om, at virksomhederne skal etablere logning.

Det forventes på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler om logning og monitorering, som del af virksomheders cyberberedskab. Med bestemmelsen vil der således blive fastsat regler, som vil sikre, at virksomheders logning og monitorering bidrager til effektiv hændelseshåndtering og muliggør automatiserede tiltag med henblik på at opdage og reagere på anormal aktivitet, uanset om der er tale om utilsigtet eller ondsindet aktivitet samt begrænse konsekvenser heraf.

Derudover forventes der at blive fastsat regler, hvorefter virksomheder skal træffe passende foranstaltninger, der sikrer visibilitet i netværksinfrastrukturen og gør virksomhederne i stand til at opdage og reagere på anormal aktivitet i net- og informationssystemer.

På den baggrund forventes det således, at der vil blive fastsat regler, som påkræver at virksomheder håndterer logdata forsvarligt og på en måde, der opretholder integriteten og fortroligheden af logdata med henblik på, at disse kan benyttes i forbindelse med bl.a. efterforskning, dokumentation og evaluering. Ved udmøntningen af bestemmelsen vil der endvidere blive fastsat regler, som vil sikre, at brugeraktivitet logges med det formål at identificere uautoriseret adgang til virksomhedens netværk og net- og informationssystemer. Det følger heraf, at logdata skal beskyttes mod uautoriseret adgang.

Ved de nærmere regler om logning forventes der at blive fastsat regler, hvorefter virksomheden vil skulle etablere logning på en måde, der sikrer alarmer for net- og informationssystemer med betydning for leveringen af tjenesten. Ud fra en risikobaseret tilgang skal logning kunne fungere på tværs af virksomhedens samlede aktiviteter uagtet net- og informationssystemernes placering, og foranstaltningerne vil skulle sikre, at alarmer kan modtages. Der vil også på baggrund af bemyndigelsesbestemmelsen kunne fastsættes nærmere regler, hvorefter mønstre i events kan detekteres. Dette kan fx være eksterne scanningsaktiviteter på virksomhedens internetvendte løsninger, kritisk portkommunikation og ip-adresser samt ændringer i industrielle kontrolsystemers systemopsætning.

Det foreslås i § 8 stk. 2, nr. 7, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om etablering af procedurer for løbende kontrol af cybersikkerheden i og omkring net- og informationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra f og g, hvorefter vigtige og væsentlige enheder skal have politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici og skal have grundlæggende cyberhygiejnepraksisser.

På baggrund af bestemmelsen vil der blive fastsat nærmere regler om, at virksomhederne skal etablere politikker og procedurer for kontrol af virksomhedens tekniske foranstaltninger til at opretholde modstandsdygtighed over for cybertrusler. Desuden der vil blive fastsat regler om krav, hvorefter virksomhederne etablerer politikker og procedurer for vurdering af effektiviteten af virksomhedens tekniske foranstaltninger og styring af cybersikkerhedsrisici. Ved udmøntningen af bemyndigelsesbestemmelsen forventes det, at der vil blive fastsat nærmere regler om, at virksomheder eksempelvis skal implementere årshjulsprocedurer til systematisk at foretage sanering og vedligehold af sikkerheden i net- og informationssystemer. Således implementerer de nærmere fastsatte regler sammen med den foreslåede § 6, stk. 2, nr. 6, NIS2-direktivets artikel 21, stk. 2, litra f.

Desuden forventes det, at der vil blive fastsat krav om, at der er overensstemmelse mellem virksomhedernes overordnede beredskabsplan, og at der implementeres procedurer til systematisk at gennemføre og dokumentere genopretningstest.

Herudover forventes det på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler om, at virksomheder skal have de nødvendige procedurer for etableringen af sikkerhedsforanstaltninger på mobile enheder såsom procedurer for opdatering og anvendelse af antivirusbeskyttelse. Der vil endelig blive fastsat regler, som vil sikre, at der skal etableres tilstrækkelig fysisk sikring ved komponenter, der giver styringsadgang til leveringen af tjenesten. Dette vil eksempelvis betyde, at mobile enheder og computere der giver styringsadgang til kontrolrumsfunktioner, skal sikres på lignende vilkår som kontrolrummet.

Det foreslås i § 8 stk. 2, nr. 8, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om brug af sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra j, hvorefter vigtige og væsentlige enheder skal træffe passende foranstaltninger om brug af løsninger med sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.

Det forventes, at der vil blive fastsat nærmere regler om beskyttelse af informationer med henblik på at opretholde fortrolighed, integritet og tilgængelighed, herunder at informationer, i transit eller lagret og uanset format fx trykt, elektronisk eller mundtligt, sikres med passende tekniske foranstaltninger. Det foreslås, at der vil blive fastsat regler, hvorefter virksomheden skal udarbejde procedurer og tilvejebringe en sikkerhedsbevidst kultur, så behandling af net- og informationssystemer sker forsvarligt.

Det forventes endvidere, at der vil blive fastsat regler med krav om, at virksomheder skal etablere nødkommunikation og sikre, at kommunikation kan opretholdes, samt at virksomheder skal kunne varetage sektor- og myndighedskommunikation i krisesituationer eller ved øvrige hændelser, hvor denne foranstaltning vil være relevant.

Der forventes samtidig, at der vil blive fastsat regler, som stiller krav om, at virksomheder skal anvende sikret tale-, video- og tekstkommunikation og nødkommunikationssystemer, der i relevant omfang er sikret ved kryptografi eller kryptering.

Det foreslås i § 8 stk. 2, nr. 9, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om brug af kryptering samt politikker og procedurer, der skal understøtte sikkerheden og fortroligheden af net- og informationssystemer, der er kritiske for leveringen af virksomhedens tjeneste.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af NIS 2-direktivets artikel 21, stk. 2, litra h, hvorefter vigtige og væsentlige enheder skal have politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.

Det forventes på baggrund af bestemmelsen, at der vil blive fastsat regler nærmere regler for anvendelse af kryptografi og tekniske krav for adgang til net- og informationssystemer, herunder krav om, at virksomhederne, ud fra en risikobaseret tilgang, anvender kryptografi og krypteringsteknikker til at etablere forskellige beskyttelsesformål for kritisk information og kommunikation, der bl.a. skal sikre fortrolighed, integritet og autenticitet

Det forventes, at der vil blive fastsat regler, hvorefter at virksomhederne skal etablere tekniske foranstaltninger som fx sikkerhedsprotokoller, samt procedurer for forvaltning af administration af eksempelvis nøgler og certifikater. Dette vil bl.a. sikre backup af data.

Endvidere kan der fastsættes nærmere regler om, at datatrafik på virksomhedens trådløse netværk skal være krypteret med tidssvarende tekniske protokoller og opdaterede kryptografiske løsninger.

Det foreslås i § 8 stk. 2, nr. 10, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om multifaktorautentificering eller kontinuerlig autentificering og adgangsbeskyttelse til sikring mod uautoriseret adgang til virksomhedernes net- og informationssystemer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra i og j, hvorefter vigtige og væsentlige enheder skal træffe passende foranstaltninger vedrørende adgangskontrolpolitikker og brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering.

Det forventes, at der vil blive stillet krav til begrænsning af adgang, herunder fjernadgang, til lokationer, kontrolrums- og serverrumsfaciliteter samt for adgang til net- og informationssystemer.

Yderligere forventes det, at der vil blive fastsat regler med krav om, at den fysiske sikring af anlæg, herunder sikringen af anlæg med netværksadgang, jf. de foreslåede § 7, stk. 2, nr. 2-3, gør brug af elektronisk adgangsstyring, herunder autentificering og multifaktorgodkendelsesløsninger. Dette kan fx være en kombination af adgangskort og -kode og aktivitetsbestemte adgangskoder.

Ved de nærmere regler om beskyttelse af tjenesten mod uautoriseret adgang, forventes der fastsat regler om, at virksomheden skal sikre at der sker identifikation og autentifikation af identiteten, i hele brugerens livscyklus. Det forventes desuden, at der vil blive fastsat regler om, at virksomheder skal sikre at den elektroniske adgangsstyring skal muliggøre, at virksomheden kan modtage alarmer ved anormal aktivitet.

Det forventes, at der vil blive fastsat regler, hvorefter virksomheden skal sikre klart definerede regler for, hvilke medarbejdere eller medarbejdergrupper, der kan tilgå forskellige dele af et anlæg eller net- og informationssystemer. Dette vil indebære, at virksomhederne skal have procedurer for, hvordan adgange og fjernadgange til kritiske anlæg og net- og informationssystemer tildeles, ændres og lukkes for både virksomhedens egne medarbejdere såvel som for gæster, konsulenter, eksterne samarbejdspartnere og leverandører. Der forventes endeligt fastsat nærmere regler om, at fjernadgang til net- og informationssystemer med betydning for leveringen af tjenesten ikke må ske fra offentligt tilgængeligt Wi-Fi.

Det foreslås i § 8 stk. 2, nr. 11, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om foranstaltninger til forebyggelse og håndtering af hændelser.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra b, hvorefter vigtige og væsentlige enheder skal træffe passende foranstaltninger til håndtering af hændelser.

Det forventes, at der vil blive fastsat nærmere regler om, at virksomheder skal sikre en koordineret proces for rapportering af svagheder i virksomhedens cybersikkerhed. Det forventes endvidere, at der vil blive fastsat regler for håndtering af cyberhændelser og utilsigtede hændelser, der kan påvirke sikkerheden af net- og informationssystemer med betydning for leveringen af tjenesten.

Dette omfatter brug af bl.a. logdata til fx detektion af anormal og uautoriseret aktivitet i net- og informationssystemer. Ved udmøntningen af bestemmelsen forventes det, at der vil blive fastsat nærmere regler, hvorefter virksomheden skal kunne reagere på alarmer eller hændelser uanset, hvor i organisation en hændelse opstår, herunder hvis en hændelse opstår hos en samarbejdspartner, der har adgang til virksomhedens net- og informationssystemer. I sådanne tilfælde skal virksomheden være i stand til at foretage mitigerende foranstaltninger såsom frakobling af udstyr og afbrydelse af leverandøradgange.

Det forventes, at der vil blive fastsat regler, hvorefter virksomheden skal indføre passende forebyggende foranstaltninger til at minimere utilsigtet påvirkning af net- og informationssystemer og til at undgå hændelser, der forårsager tab af visibilitet og kontrol med leveringen af tjenesten.

Det forventes desuden, at der vil blive fastsat regler om, at der sikres overensstemmelse mellem sikkerhedstiltag hos virksomheden og samarbejdspartnere med adgang til net- og informationssystemer med betydning for leveringen af tjenesten.

Endelig forventes det, at der vil blive fastsat regler, hvorefter virksomheden skal have indgået aftaler om ansvar og kommunikation i forbindelse med håndtering af cyberhændelser. Ligeledes vil der kunne fastsættes regler, som sikrer, at der kan foretages rapportering af hændelser efter en ensartet metode på tværs af virksomheden, herunder at der indhentes rapportering om hændelser af betydning for virksomhedens leveringen af tjenesten fra samarbejdspartnere.

Til § 9

Gældende beredskabsregulering indeholder ikke regler om brug af særlige informations- og kommunikationstjenester (IKT)-produkter, -tjenester og -processer.

Det følger af det foreslåede § 9, at klima-, energi- forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, kan fastsætte regler om, at virksomheder skal anvende særlige IKT-produkter, -tjenester og -processer, der er udviklet af virksomheden eller indkøbt fra tredjeparter, og som er certificeret i henhold til en europæisk cybersikkerhedscertificeringsordning for at påvise overensstemmelse med bestemte krav i § 8, stk. 1, eller regler om krav til foranstaltninger fastsat i medfør af § 8, stk. 2.

Den foreslåede bemyndigelse vil kunne udmøntes ved nærmere regler på bekendtgørelsesniveau, der vil kunne implementere artikel 24, stk. 1, i NIS 2-direktivet og som vil skulle forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det følger af bestemmelsen, at der kan fastsættes nærmere krav om, at virksomheder for at påvise overholdelsen af bestemte krav fastsat i medfør af § 8, stk. 2 ved at bruge særlige IKT-produkter, -tjenester og -processer, der er udviklet af virksomheden, eller indkøbt fra tredjeparter, og som er certificeret i henhold til europæiske cybersikkerhedscertificeringsordninger, der er vedtaget i henhold til artikel 49 i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).

Bestemmelsen kan udmøntes, således at der også kan benyttes IKT-produkter, -tjenester og -processer som stilles gratis til rådighed af tredjeparter, da det er Klima-, Energi- og Forsyningsministeriets vurdering, at dette vil være i overensstemmelse med intentionen bag artikel 24, stk. 1, i NIS 2-direktivet.

For i videst muligt omfang at sikre ensartethed på tværs af sektorer, foreslås det, at eventuelle regler, der udstedes i medfør af den foreslåede bestemmelse, fastsættes efter forhandling med ministeren for samfundssikkerhed og beredskab.

Bestemmelsen er udformet som en kan bestemmelse, da det af NIS-direktivets artikel 24, stk. 1 fremgår, at medlemsstaten kan vælge at fastsætte regler. Da der således ikke består en forpligtigelse, men artiklen kun bestemmer, at der skal være en mulighed for at fastsætte nærmere regler, er bestemmelsen i det foreslåede § 9 ligeledes udformet som en kan bestemmelse.

Såfremt bestemmelsen ønskes anvendt, vil det være på baggrund at konkrete behov for at øge cybersikkerheden i sektoren i tillæg til, hvad der allerede skal gøres efter de regler der fastsættes i medfør af dette lovforslags § 6, stk. 2 og § 8, stk. 2. Det kan eksempelvis være i tilfælde af, at virksomhederne for at nedbringe deres omkostninger anvender IKT-produkter, -tjenester og -processer, som efter Klima-, Energi- og Forsyningsministeriets eller andre myndigheders rådgivning vurderes at være usikre pga. kvaliteten, eller hvor produktet er fremstillet eller hvorfra en IKT-tjeneste/-proces leveres eller gennemføres fra. Således vil der kunne opstå et behov for at bringe virksomhedernes cybersikkerhedsniveau yderligere op, ved at tvinge dem til at bruge IKT-produkter, -tjenester og -processer, som virksomheden selv har udviklet eller købt fra en tredjepart, og vigtigst af alt er certificeret efter en europæiske cybersikkerhedscertificeringsordning.

Reglerne kan potentielt differentieres således, at de afhænger af virksomhedens niveau eller systemets eller anlæggets klassificering efter reglerne fastsat i medfør af lovforslagets § 4, stk. 2.

Til § 10

I medfør af gældende beredskabsregulering, navnlig elberedskabsbekendtgørelsen, naturgasberedskabsbekendtgørelsens og it-beredskabsbekendtgørelsens, har Energinet de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende beredskabssituationerne i el- og gassektoren, herunder ansvaret for at videreformidle relevante meddelelser og informationer mellem myndighederne og el- og naturgassektorens virksomheder, samt ansvaret for at fremskaffe data og andre informationer om sektoren af betydning for samfundets beredskab. De er beskrevet i det følgende.

Energinet varetager denne koordinerende og operative rolle i el- og naturgassektorernes beredskab, da Energinet har det overordnede ansvar for funktionen og balanceringen af el- og gastransmissionsnettet. Således er det nødvendigt, at Energinet har visse instruktionsbeføjelser overfor virksomhederne i deres beredskab, samt at de modtager information om sårbarheder, trusler og hændelser i sektorerne, da disse hurtigt kan påvirke transmissionsnettet og potentielt medføre kaskadeeffekter ud i el- og naturgassektorerne.

Derfor skal Energinet i planlægning af beredskabet i el- og naturgassektorerne udarbejde en vurdering af sårbarheden for det samlede el- hhv. naturgasforsyningssystem, jf. § 6, stk. 2, i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen. I tillæg hertil skal Energinet årligt udarbejde vurdering af it-relaterede risici og sårbarheder for det sammenhængende elforsyningssystem og det sammenhængende naturgasforsyningssystem, jf. it-beredskabsbekendtgørelsens § 11. I vurderingerne skal indgå risici og sårbarheder afledt af sammenhænge med nabolandenes forsyningssystemer.

Desuden skal Energinet, som led i den koordinerende planlægning af beredskabet i el- og naturgassektorerne, lave sektorberedskabsplaner for det samlede el- hhv. naturgasforsyningssystem, jf. § 8 i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen. Sektorberedskabsplanerne skal udarbejdes under hensyntagen til el- og naturgassystemernes sammenhænge med nabolandenes systemer. Sektorberedskabsplanen skal angive, hvordan Energinet for hhv. el- og naturgassektoren som helhed planlægger at håndtere en beredskabssituation på en koordineret måde, herunder sikring af en samordnet situationsopfattelse hos virksomhederne, samt relevante dele af det indhold, der er i virksomhedernes egne beredskabsplaner. Endvidere foreskriver § 16 i it-beredskabsbekendtgørelsen, at sektorberedskabsplanerne skal indeholde en beskrivelse af, hvordan Energinet planlægger at håndtere en it-beredskabssituation, der berører flere virksomheder, herunder:1) Ansvarsfordelingen mellem virksomheder og Energinet, 2) beskrivelse af kommunikationsveje og forholdsregler ved kompromittering af kommunikationsveje, 3) krav, som Energinet i en it-beredskabssituation stiller til form, indhold og hyppighed af situationsrapporter fra virksomhederne, 4) hvorledes Energinet vil informere virksomhederne om it-beredskabssituationen, herunder form, indhold og hyppighed, således at Energinet kan tilsikre en samordnet situationsopfattelse hos virksomhederne i el- og naturgassektorerne, 5) en instruktion om anvendelse af specifik kryptering af informationer og driftsordre, hvis relevant, samt 6) planer for segmentering af fælles it-infrastruktur eller driftsinfrastruktur i relevante scenarier, hvis relevant.

I krisesituationen har Energinet endvidere ansvaret for at koordinere sektorens håndtering af krisesituationen og genetableringen af forsyningen i el- og gassektoren, herunder udpege repræsentanter til de lokale beredskabsstabe og deltage i NOST, hvis det er relevant, jf. henholdsvis § 24 i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen. Desuden har Energinet ansvaret for at informere Energistyrelsen og andre centrale myndigheder, fx politiet, via de lokale beredskabsstabe om situationen i sektoren.

Energinet skal tillige sikre, at virksomheden når som helst i en beredskabssituation kan forestå el- og naturgassektorens krisehåndtering og kan fremskaffe relevante og opdaterede informationer om elsektorens forhold til brug for myndighedernes krisehåndtering i el- og naturgassektoren, herunder om situationen i nabolandenes forsyningssystemer af relevans for denne krisehåndtering.

Herudover skal Energinet gennemføre foranstaltninger for at sikre, at sandsynligheden for henholdsvis en strømafbrydelse og en naturgasafbrydelse holdes på et rimeligt niveau. Efter samme bestemmelser skal Energinet endvidere gennemføre foranstaltninger for at sikre, at der kan udføres en hurtig og koordineret reetablering af henholdsvis elforsyningen og naturgasforsyningen i tilfælde af afbrydelser. Tilsvarende er det Energinets ansvar at sikre, at generne for elforbrugerne, naturgasforbrugerne og for samfundet i øvrigt ved en afbrydelse mindskes i muligt omfang, jf. § 16 i henholdsvis i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen.

Det følger af § 18 i henholdsvis i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen, at Energinet skal etablere et formaliseret samarbejde om beredskabsforhold i elsektoren og i naturgassektoren, bl.a. gennem informationsvirksomhed og møder om beredskabsforhold.

Energinet skal arbejde for at koordinere sine beredskabsplaner med de systemansvarlige virksomheder i nabolandene i muligt omfang og for en hensigtsmæssig informationsudveksling med disse virksomheder om planlægningsmæssige og operative forhold, jf. § 18 i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen.

Det følger af § 19 i henholdsvis elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen, at Energinet senest 1. maj skal fremsende en årlig redegørelse til Energistyrelsen om status for henholdsvis elsektorens - og naturgassektorens beredskab, herunder om virksomhedens beredskabsarbejde i det forløbne år. Energistyrelsen kan fastsætte nærmere rammer herfor.

Desuden skal Energinet i medfør af § 21, stk. 2, i henholdsvis elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen afholde beredskabsøvelser i anvendelse af sektorberedskabsplanen skal heri inddrage væsentlige dele af virksomhedernes planer.

Endvidere skal Energinet i medfør af § 5 i it-beredskabsbekendtgørelsen varetage de overordnede koordinerende opgaver i forbindelse med håndteringen af it-beredskabshændelser, der omfatter flere virksomheder. De skal ligeledes efter § 5, stk. 2, etablere et formaliseret samarbejde om it-beredskabsforhold, der har til formål at fremme koordineringen af såvel planlægningen som udøvelsen af it-beredskabet. Efter § 5, stk. 3-5, skal Energinet bistå med at skaffe kontaktoplysninger til andre virksomheder og myndigheder i en akut situation, ligesom de skal give virksomhederne oplysningerne om aktuelle driftstilstande, og Energinet skal til enhver tid kunne modtage og videreformidle informationer af betydning for it-beredskabet til andre virksomheder i el- og naturgassektorerne.

Endeligt varetager Energinet en række forpligtelser i forbindelse med rapportering af evt. hændelser hos sig selv og andre virksomheder i el- og naturgassektorerne til Energistyrelsen og Center for Cybersikkerhed, jf. § 21 i it-beredskabsbekendtgørelsen og § 23 i hhv. elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen.

Det foreslås med § 10, at klima-, energi- og forsyningsministeren fastsætter regler om ministerens og Energinets varetagelse af koordinerende planlægningsmæssige og operative opgaver vedrørende beredskab, jf. §§ 6 - 8.

Det forventes, at de gældende regler angående Energinets opgavevaretagelse i medfør af beredskabsbekendtgørelserne for elsektoren og naturgassektoren videreføres for el- og gassektoren, dog med tilføjelse af brintsektoren såfremt der måtte blive etableret et brinttransmissionssystem i Danmark, samt tilføjelse af de nye aktører, der vil blive omfattet af beredskabsreguleringen i delsektorerne for el-, gas. Disse aktører er hovedsageligt dikteret af NIS2 og CER-direktivernes bilag om disses anvendelsesområde.

Det forventes dog også, at der vil blive fastsat nærmere regler om, at de koordinerende planlægningsmæssige og operative opgaver vedrørende beredskab i oliesektoren og de nye delsektorer fjernvarme og fjernkøling vil blive varetaget af Energistyrelsen.

Efter den foreslåede bestemmelse vil klima-, energi- og forsyningsministeren udstede regler om Energinets varetagelse af koordinerende planlægningsmæssige og operative opgaver vedrørende det beredskab, som er nævnt i det foreslåede §§ 6 - 8.

Bestemmelsen forventes udnyttet i sammenhæng med den foreslåede § 35 om, at Energinet kan indhente relevant information og skabe det fornødne overblik i akutte beredskabssituationer. I denne sammenhæng forventes det, at der vil blive udstedt regler om, hvilke oplysninger og materiale i øvrigt virksomhederne skal stille til rådighed for Energinet og herunder bemyndige Energinet til at forlange dette materiale udfyldt i et specifikt format.

Det forventes, at ministeren vil udstede regler, hvorefter Energinet, som led i det koordinerende arbejde, pålægges at bidrage til udarbejdelsen af sektorspecifikke trusselsvurderinger. Energi-, forsynings- og klimaministeren vil fastsætte nærmere regler for dette samarbejde, herunder i hvilket omfang Energinet vil skulle stille kompetente ressourcer til rådighed i forbindelse med samarbejdet, samt vejlede Energinet i varetagelsen af denne opgave.

Det forventes samtidig, at der vil blive fastsat nærmere regler om, at virksomhederne skal formidle såvel øvelseserfaringer og erfaringer efter hændelser, der har aktiveret beredskabsplanen i væsentligt omfang til Energinet samt andre virksomheder.

Til § 11

§ 25 og § 26 i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen regulerer Energinet og Energistyrelsens muligheder for at pålægge og ændre foranstaltninger, som virksomhederne i el- og naturgassektorerne skal træffe i tilfælde af beredskabssituationer omfattende sikkerhedsrelaterede hændelser og beredskabssituationer i bredere forstand. Beredskabssituationer omfattende sikkerhedsrelaterede hændelser sigter hovedsageligt på situationer, hvor der er en øget trussel for fysiske angreb mod det danske samfund, eller hvor et sådan angreb har fundet sted. Beredskabssituationer i bredere forstand kan være alt fra stormflod, orkaner, cyberangreb og solstorm til isvinter og tørke.

I tilfælde af beredskabssituationer omfattende sikkerhedsrelaterede hændelser, og i tilfælde af at der er blevet fastsat et sikkerhedsberedskabsniveau i henhold til den nationale beredskabsplan, kan Energinet træffe beslutning om, hvilke sikkerhedsberedskabsforanstaltninger der skal gennemføres for el- og naturgassektoren, herunder hvilke virksomheder og anlæg der skal omfattes heraf, jf. § 25 i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen.

Siden reglernes indførelse i 2005 er der sket visse ændringer i den nationale beredskabsplanlægning, hvorfor der ikke længere er sikkerhedsberedskabsniveauer i den nationale beredskabsplan. Derfor har det været praksis, at Energinet, i samråd med Energistyrelsen, har fastsat et sektorberedskabsniveau som erstatning for et sikkerhedsberedskabsniveau, ligesom der i den forbindelse har været meldt en eller flere prædefinerede beredskabsforanstaltninger, som virksomhederne skulle gennemføre.

Sektorberedskabsniveauet består for nuværende af fem eskalationstrin for den danske el- og naturgassektor. Et øget sektorberedskabsniveau er udtryk for, at virksomhederne i el- og gassektoren skal udvise øget opmærksomhed og er blevet ledsaget af konkrete foranstaltninger, som relevante virksomheder i el- og gassektoren skal iværksætte.

Efter § 26 kan Energinet og Energistyrelsen pålægge virksomhederne i el- og naturgassektorerne at ændre deres foranstaltninger for at sikre en hurtig, koordineret og prioriteret krisehåndtering, herunder gennemførelse af myndighedernes beslutninger i den nationale krisehåndtering. Det samme er gældende, hvis der vurderes at være risiko for, at beredskabssituation indtræffer. Denne bestemmelse har således et videre sigte end den gældende § 25, i det den aktiveres, uagtet om der er tale om beredskabssituation omfattende sikkerhedsrelaterede hændelser eller ej, og uanset om en beredskabssituation er opstået, eller det blot vurderes, at der er risici for at en beredskabssituation opstår.

Det har været forudsat, at det har været en del af bemyndigelsen i elforsyningslovens § 85 b og gasforsyningslovens § 15 a, at der er fornøden hjemmel til fastsætte regler om at Energinet og Energistyrelsen kan fastsætte og udmelde sektorberedskabsniveauer og sektorberedskabsforanstaltninger i el og gassektoren.

Med det foreslåede stk. 1, kan klima-, energi- og forsyningsministeren, i en beredskabssituation omfattende sikkerhedsrelaterede hændelser, fastsætte og udmelde sektorberedskabsniveauer for hele energisektoren eller én eller flere delsektorer.

Formålet med bestemmelsen er at skabe en klar hjemmel til, at ministeren kan fastsætte og udmelde sektorberedskabsniveauer og i sammenhæng hermed pålægge gennemførelsen af sektorberedskabsforanstaltninger efter den foreslåede § 11, stk. 2.

En beslutning om at fastsætte og udmelde sektorberedskabsniveauer efter § 11, stk. 1, vil ikke være en forvaltningsretlig afgørelse, men en procesledende beslutning om, hvorvidt der skal fastsættes sektorberedskabsforanstaltninger efter § 11, stk. 2.

Beredskabssituationer omfattende sikkerhedsrelaterede hændelser vil, som efter gældende ret, forstås som hændelser, hvor der vurderes at være risiko for at et konkret antagonistisk angreb vil finde sted, er i gang eller har fundet sted. Antagonistiske angreb vil i denne forbindelse eksempelvis være spionage, terrorangreb, hybride angreb eller konkrete krigshandlinger. Det vil ikke være nødvendigt, at angrebet eller risikoen for et angreb kan tilskrives en konkret aktør. En mistanke om at et angreb er nærtforestående, igangværende eller har været udført vil være tilstrækkeligt grundlag til at fastsætte og udmelde et sektorberedskabsniveau. Det vil heller ikke være et krav, at angreb eller risiko for angreb vedrører et dansk område. Et angreb eller risiko for et angreb uden for Danmarks grænser vil således godt kunne danne grundlag for at fastsætte og udmelde et sektorberedskabsniveau efter bestemmelsen. Angrebet eller risikoen for angreb vil heller ikke behøve at være rettet mod energiinfrastruktur, men vil også kunne være i andre sektorer, der varetager samfundskritiske funktioner. Det vil endvidere ikke kun være fysiske angreb, men også cyberangreb, der vil kunne afstedkomme brugen af bestemmelsen.

Beredskabssituationer vil fortsat skulle forstås i bredere forstand, og kan være alt fra stormflod, orkaner og solstorm til isvinter og tørke.

Det forudsættes med bestemmelsen, at der forsat vil blive anvendt sektorberedskabsniveauer, der indikerer, hvor sandsynligt det vurderes, at en beredskabssituation vedrørende en sikkerhedsrelateret hændelse vil eller kan indtræffe i energisektoren.

Det forventes, at klima-, energi- og forsyningsministeren vil fastsætte og udmelde sektorberedskabsniveauet på baggrund af en konkret vurdering, der vil basere sig på alle tilgængelige informationer om sikkerhedstruslen mod energisektoren. Det kan således være offentlige kilder, såsom nyhederne, faglige tidsskrifter, offentliggjorte trusler fra terrorgrupper eller statsmagter mv. Det vil også kunne inddrages efterretninger, både statslige og private. Der tænkes således på trusselsvurderinger fra fx Politiets Efterretningstjeneste og Center for Cybersikkerhed, men også fra private it-sikkerhedstjenester.

Klima-, energi- og forsyningsministeren vil efter bestemmelsen ikke være forpligtiget til at udmelde beredskabsniveauer til offentligheden og vil kun være forpligtiget til at udmelde beredskabsniveauer til de relevante delsektorer og virksomhederne omfattet af lovforslaget. Ministeren kan dog vælge at udmelde sektorniveauer bredt til offentligheden.

Til forskel fra gældende ret, hvor kun elektricitet og gassektorerne i dag er omfattet af beredskabsniveauer, omfattes også fjernvarme, fjernkøling, brint og oliesektorerne af den foreslåede bestemmelse.

Der kan således fastsættes og udmeldes sektorberedskabsniveau for energisektoren som helhed, hvis det vurderes, at truslen ikke er afgrænset til en eller flere af de førnævnte delsektorer. Omvendt kan ministeren også vælge kun at fastsætte og udmelde et sektorberedskabsniveau til en eller flere delsektorer, hvis vurderingen er, at truslen er meget konkret rettet.

Med det foreslåede stk. 2, kan klima-, energi- forsyningsministeren i en beredskabssituation omfattende sikkerhedsrelaterede hændelser fastsætte og pålægge sektorberedskabsforanstaltninger for hele energisektoren, delsektorer, én eller flere virksomheder og for bestemte anlæg.

For el- og gassektoren samt brintsektoren ved etablering af et brinttransmissionsnet, forventes fastsættelsen af beredskabsforanstaltninger at ske efter faglig kommentering fra Energinet.

Sikkerhedsrelaterede hændelser vil, som efter gældende ret, forstås som hændelser, hvor der vurderes at være risiko for, at et konkret antagonistisk angreb vil finde sted, er i gang eller har fundet sted. Antagonistiske angreb vil i denne forbindelse eksempelvis være spionage, terrorangreb, hybride angreb eller konkrete krigshandlinger. Det vil ikke være nødvendigt, at angrebet eller risikoen for et angreb kan tilskrives en konkret aktør. En mistanke om at et angreb er nærtforestående, igangværende eller har været udført vil være tilstrækkeligt grundlag til at fastsætte og pålægge sektorberedskabsforanstaltninger efter bestemmelsen. Det vil heller ikke være et krav at angreb eller risiko for angreb vedrører et dansk område. Et angreb eller risiko for et angreb uden for Danmarks grænser kan således godt danne grundlag for at fastsætte og pålægge sektorberedskabsforanstaltninger efter bestemmelsen. Angrebet eller risikoen for angreb behøver heller ikke at være rettet mod energiinfrastruktur men vil også kunne være i andre sektorer, der varetager samfundskritiske funktioner. Det er endvidere ikke kun fysiske angreb, men også cyberangreb, der kan afstedkomme brugen af den foreslåede bestemmelse.

Det forventes endvidere, på baggrund af de foreslåede bestemmelser i stk. 1 og 2, at klima-, energi- og forsyningsministeren fremover vil træffe beslutning om sektorberedskabsniveau og -foranstaltninger for alle energiarter, som efterfølgende udmeldes til virksomheder af et operationelt kontaktpunkt. Det forventes, at Energinet vil få delegeret kompetencen til at udmelde sektorberedskabsniveauer og sektorberedskabsforanstaltninger for el- og gassektoren efter den foreslåede § 33, så Energinet vil kunne fastholde sin nuværende rolle som operationelt kontaktpunkt for el- og gassektoren samt brintsektoren ved etablering af et brinttransmissionsnet. Det forventes, at Energistyrelsen vil få delegeret opgaverne med at fastsætte sektorberedskabsniveauet på tværs for hele energisektoren eller delsektorer, samt opgaver i forbindelse med at agere operationelt kontaktpunkt for olie, fjernvarme/-køling og brint ved decentral brintforsyning, efter den foreslåede bestemmelse i § 33.

En beslutning om at fastsætte og pålægge sektorberedskabsforanstaltninger efter § 11, stk. 2, vil være en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler, herunder bl.a. bestemmelserne i kapitel 3 (om vejledning og repræsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse mv.) og kapitel 7 (om klagevejledning) i udgangspunktet vil finde anvendelse. Forvaltningslovens § 19, stk. 2, nr. 1-6, fastsætter dog regler for, i hvilke tilfælde partshøringsreglerne ikke finder anvendelse. Således vil undtagelsen i § 19, stk. 2, nr. 3, formentligt kunne finde anvendelse, hvis partens interesse i at sagens afgørelse udsættes, findes at burde vige for væsentlige hensyn til offentlige eller private interesser, der taler imod en sådan udsættelse. Det vurderes således, at offentlighedens interesse i, at der hurtigst muligt fastsættes øgede foranstaltninger til de konkrete virksomheders beskyttelse, således at forsyningen af energi kan forsætte uforstyrret til slutbrugerne, vil kunne betyde, at retten til partshøring må bortfalde. Endvidere vurderes det, at undtagelsen i § 19, stk. 2, nr. 5, vil finde anvendelse, hvis den påtænkte afgørelse vil berøre en videre, ubestemt kreds af personer, virksomheder m.v., eller hvis forelæggelsen af oplysningerne eller vurderingerne for parten i øvrigt vil være forbundet med væsentlige vanskeligheder. Det vurderes således, at der grundet den potentielle klassifikation af de oplysninger, der danner grundlag for, hvilke sektorberedskabsvurderinger der er nødvendige for at imødegå truslen mod virksomhederne, kun kan forelægges det meget store antal virksomheder omfattet af loven ved en uforbeholden vanskelig proces. Det skal dog konkret vurderes fra gang til gang om de nævnte undtagelser finder anvendelse i den konkrete situation.

Undtagelsesmulighederne i forvaltningslovens § 8, stk. 2, ift. fravigelse af retten til repræsentation og § 24, stk. 3, ift. fravigelse af begrundelseskravet, vurderes også at kunne finde anvendelse efter en konkret vurdering på afgørelser truffet efter den foreslåede bestemmelse.

Konkret vil en beslutning om et øget sektorberedskabsniveau efter stk. 1 betyde, at der udmeldes konkrete sektorberedskabsforanstaltninger, som virksomhederne i energisektoren, eller delsektorer skal implementere med henblik på at øge sikkerheden på fx anlæg, bygninger, installationer og net- og informationssystemer. Den konkrete implementering af de enkelte sektorberedskabsforanstaltninger for hver virksomhed vil afhænge af virksomhederne og deres anlæg, idet fysiske indretninger, kontraktforhold og anden lovgivning forventeligt vil medføre, at visse beredskabsforanstaltninger ikke vil kunne gennemføres fuldt ud eller i øvrigt må modificeres for at passe til virksomheden, med tilhørende anlæg og net- og informationssystemer. Der vil af sikkerhedsmæssige årsager ikke blive kommunikeret offentligt om sektorberedskabsforanstaltningerne, men disse vil blive kommunikeret direkte til virksomhederne, der er omfattet af loven.

Det foreslås i § 11, stk. 3, at klima-, energi- forsyningsministeren i en beredskabssituation kan bestemme, at de i § 11, stk. 2 nævnte sektorberedskabsforanstaltninger, samt andre foranstaltninger der skal foretages efter loven eller regler udstedt i medfør af loven, midlertidigt skal intensiveres og suppleres med yderligere foranstaltninger for at sikre en hurtig, koordineret og prioriteret krisehåndtering, herunder gennemførelse af myndighedernes beslutninger i den nationale krisehåndtering.

Det foreslåede stk. 3 vil i udgangspunktet være en videreførelse af den gældende § 26 i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen. Dog med den ændring, at beføjelsen i udgangspunktet vil tilfalde klima-, energi- og forsyningsministeren og ikke Energinet, jf. dog den foreslåede stk. 4.

Bestemmelsen vil fungere som en opsamlingsbestemmelse med et bredere anvendelsesområde end det foreslåede § 11, stk. 1 og 2, sigter på. Således vil der efter bestemmelsen også kunne fastsættes andre foranstaltninger i tilfælde af fx stormflod, orkan, pandemier etc., som ikke er antagonistiske sikkerhedshændelser. Andre foranstaltninger vil efter bestemmelsen, ud over de i stk. 1 og 2 nævnte situationer, således omfatte relevante foranstaltninger, der går på at mitigere beredskabshændelse eller genoprette efter en beredskabshændelse. Udover midlertidigt at intensivere eller supplere foranstaltninger som nævnt i stk. 2, vil bestemmelsen på denne baggrund også kunne anvendes til at nedjustere sådanne foranstaltninger igen efter beredskabssituationen er håndteret. Det foreslåede stk. 3 har endelig til formål at sikre, at virksomhedernes ressourcer i form af personale, materiel, kritiske reservedele m.m. vil kunne indsættes på en måde, som bedst muligt sikrer genetableringen af energiforsyning og markedsmekanismerne i energisektorerne.

Det foreslås med stk. 4, at Energinet i en beredskabssituation omfattende sikkerhedsrelaterede hændelser, i særlige tilfælde, hvor klima-, energi- og forsyningsministeren ikke kan fastsætte og udmelde sektorberedskabsniveauer og foranstaltninger, jf. stk. 1, 2 og 3, kan varetage opgaven på ministerens vegne. Energinet kan kun varetage opgaven for el-, gas- og brintsektorerne.

Det foreslåede stk. 4, har karakter af en delegation fra klima-, energi- og forsyningsministeren til Energinet. Det foreslåede stk. 4 vil kunne finde anvendelse i situationer, hvor klima-, energi- og forsyningsministeren måtte være afskåret fra at varetage sine opgaver efter stk. 1-3. Det kunne således være, hvor klima-, energi- og forsyningsministeren er ramt af en beredskabssituation, der gør det umuligt at bruge de normale kommunikationsveje til el-, gas- og brintvirksomhederne. Energinet vil herefter i særlige situationer, fx større hændelser i telesektoren, kunne varetage denne opgave, henset til at Energinet har særlige kommunikationsveje direkte til en række virksomheder i el-, gas- og brintsektoren, der vil kunne sikre en særlig redundans for deres kommunikation.

Det bemærkes, at Energinet A/S er en selvstændig offentlig virksomhed (SOV) under Klima-, Energi- og Forsyningsministeriet oprettet ved lov. Energinet varetager som SOV også myndighedsopgaver, jf. lov om Energinet, § 2, stk. 6, modsætningsvist.

Til § 12

For el- og gassektorerne er der fastsat regler om at indberette beredskabshændelser, som vedrører det klassiske beredskab i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen. Ifølge bekendtgørelsernes § 22, stk. 1, skal virksomheder udarbejde en evaluering af større eller usædvanlige hændelser, som i væsentligt omfang har aktiveret virksomhedens beredskab. Der stilles krav til indhold af evalueringen, samt at der senest 3 måneder efter hændelsen skal fremsendes til Energistyrelsen. Energistyrelsen kan pålægge virksomheder at udarbejde sådanne evalueringer. Virksomheder skal efter § 23 i bekendtgørelserne omgående underrette Energinet om nærmere angivne hændelser af relevans for beredskabssituationer i overensstemmelse med sektorberedskabsplanen.

Regler om indberetning af beredskabshændelser om it-beredskab for virksomheder i el- og gassektorerne fremgår af it-beredskabsbekendtgørelsen. Det fremgår af bekendtgørelsens § 21, stk. 1, at it-sikkerhedshændelser, der i væsentligt grad reducerer virksomhedens funktionalitet eller funktionaliteten af andre dele af el- og gassektoren, omgående skal meddeles Energinet. Virksomheder skal desuden ifølge bekendtgørelsens § 22, stk. 1, udarbejde evalueringer af hændelser, der i væsentligt omfang aktiverer virksomhedens it-beredskab. Der opstilles nærmere scenarier, hvor det kræves, at der udarbejdes en evaluering. Der er fastsat indholdsmæssige krav til evalueringen i § 22, stk. 2, mens der i § 22, stk. 3, stilles krav om, at evalueringen senest 3 måneder efter hændelsen fremsendes til Energistyrelsen.

De nærmere regler om at indberette beredskabshændelser for oliesektoren fremgår af olieberedskabsbekendtgørelsens §§ 14 og 15. Bestemmelserne regulerer både klassiske beredskabshændelser og it-beredskabshændelser. Ifølge § 14, stk. 1, skal virksomheder og den centrale lagerenhed uden ugrundet ophold meddele Energistyrelsen om hændelser, der i væsentlig grad reducerer deres funktionalitet eller funktionaliteten af andre dele af oliesektoren. Efter § 15, stk. 1, skal virksomheder og den centrale lagerenhed udarbejde en evaluering af hændelser, som meddeles i medfør af § 14, stk. 1. Hændelsesevalueringen skal fremsendes senest 3 måneder efter hændelsen til energistyrelsen, jf. § 15, stk. 3.

Der stilles ikke krav om indberetning af beredskabshændelser i andre delsektorer i energisektoren.

Det følger af den foreslåede § 12, at klima-, energi- og forsyningsministeren kan fastsætte regler for underretning og indrapportering af hændelser, væsentlige cybertrusler og nærvedhændelser.

Formålet med bestemmelsen er at skabe hjemmel til at ministeren vil kunne fastsætte de nødvendige regler om underretning og indrapportering af hændelser, der eksempelvis vil forpligte virksomheder til at foretage underretning om enhver væsentlig hændelse uden unødigt ophold, samt ved at stille krav til indholdet af en sådan underretning, herunder at den for eksempel vil skulle indeholde oplysninger, der gør det muligt at fastslå eventuelle grænseoverskridende virkninger af hændelsen.

Det forventes på den baggrund, at der eksempelvis vil blive fastsat nærmere regler om, at underretning af hændelser og nærvedhændelser med cyberelementer, vil skulle sendes til Energistyrelsen, der forventes udpeget som den kompetente myndighed for energisektoren i Danmark i overensstemmelse med NIS 2-direktivets artikel 8, stk. 3 samt Center for Cybersikkerhed.

Center for Cybersikkerhed (CFCS) blev ved implementeringen af NIS 1-direktivet udpeget som CSIRT i Danmark, og opgaven har hidtil været varetaget som en del af Netsikkerhedstjenesten i CFCS.

Med den kongelige resolution af 29. august 2024 er Center for Cybersikkerhed, bortset fra Netsikkerhedstjenesten, blevet overdraget til Ministeriet for Samfundssikkerhed og Beredskab. Det betyder, at Forsvarsministeriet, herunder FE, indtil videre bibeholder ansvaret for CSIRT-funktionen.

Det forventes, at der vil blive fastsat nærmere regler om, at underretning om sådanne hændelser, vil skulle ske via virk.dk og at underretning vil skulle sendes samtidig til Energistyrelsen og Center for Cybersikkerhed via en fælles digital indgang, såsom Virk.dk. De berørte virksomheder vil herefter alene skulle foretage én samlet underretning, som sendes samtidigt til de relevante myndigheder. Ordningen vil sikre, at både den Energistyrelsen og Center for Cybersikkerhed hurtigt og effektivt vil kunne varetage deres myndighedsopgaver.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau vil implementeres artikel 23, stk. 1 og stk. 6 i NIS 2-direktivet og artikel 15, stk. 1, 1. pkt., i CER-direktivets forpligtelser til at foretage underretning ved hændelser, væsentlige cybertrusler og nærvedhændelser, herunder ved væsentlige hændelser berører to eller flere medlemsstater.

Bemyndigelsen forventes endvidere udmøntet ved nærmere regler om, at de ovenfor beskrevne forpligtelser til at foretage underretning ved hændelser, væsentlige cybertrusler og nærvedhændelser, der forventes fastsat i medfør af bestemmelsen, finder anvendelse på virksomheder, uanset om virksomhederne selv vedligeholder deres net- og informationssystemer eller outsourcer vedligeholdelsen deraf, i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 83, 2. pkt. Såfremt der måtte ske en hændelse i et net- og informationssystem, som eksempelvis er outsourcet, vil det herefter fortsat være virksomhedens ansvar, at der sker underretning i fornødent omfang.

Ministeren forventes på baggrund af bestemmelsen endvidere at fastsætte nærmere regler der præciserer, hvilke hændelser virksomheder skal underrette myndighederne om. Disse regler vil implementere CER-direktivets artikel 15, stk. 1, 3. pkt., og NIS 2-direktivers artikel 23, stk. 3, om hvilke hændelser der skal foretages underretning om, der fastlægger de kriterier, der skal tages i betragtning for at fastslå en hændelses omfang, herunder hvornår en hændelse anses som væsentlig.

Ministeren vil herudover kunne fastsætte regler, hvor tærsklen for at virksomheder skal foretage underretninger af hændelser er mindre, end hvad der følger af CER- og NIS 2-direktiverne, da dette ville kunne understøtte et bedre indblik i det aktuelle trusselsbillede. Et mere præcist trusselsbillede vil kunne anvendes til at foretage de nødvendige nationale foranstaltninger, for at opretholde en mere robust energisektor.

Med den foreslåede bestemmelse vil klima-, energi- og forsyningsministeren kunne fastsætte nærmere regler til formkrav af underretninger, herunder hvilke informationer, der vil skulle fremgå af underretninger og hvilke frister vil gælde i forhold til underretning. Ministeren vil desuden med baggrund i bestemmelsen, kunne fastsætte regler, om hvem der udover den Energistyrelsen og Center for Cybersikkerhed evt. vil skulle underrettes ved hændelser.

Ved de nærmere regler om underretning af hændelser forventes det, at der vil blive fastsat regler om at underretning vil skulle ske på følgende måde; 1) en tidlig varsling, som skal angive, om hændelsen mistænkes at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning, sendes uden unødigt ophold og under alle omstændigheder inden for 24 timer efter, at virksomheden har fået kendskab til hændelsen, til Energistyrelsen og Center for Cybersikkerhed, 2) en hændelsesunderretning, som skal ajourføre oplysningerne fra den tidlige varsling, jf. nr. 1, og give en indledende vurdering af hændelsen, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger, sendes uden unødigt ophold og under alle omstændigheder inden for 72 timer efter, at den pågældende har fået kendskab til hændelsen, til den kompetente myndighed og CSIRT'en, 3) efter anmodning fra kompetente myndighed og CSIRT'en sendes en foreløbig rapport med relevante statusopdateringer til den anmodende myndighed, 4) en endelig rapport sendes til kompetente myndighed og CSIRT'en senest en måned efter fremsendelsen af den i nr. 2 omhandlede hændelsesunderretning. Rapporten skal indeholde følgende; a) en detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning, b) den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen, c) anvendte og igangværende afbødende foranstaltninger og d) de eventuelle grænseoverskridende virkninger af hændelsen, og 5) såfremt hændelsen fortsat pågår på tidspunktet for fremsendelsen af den endelige rapport, jf. nr. 4, skal den berørte virksomhed forelægge en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter, at hændelsen er håndteret, til kompetente myndighed og CSIRT'en .

Med udmøntningen af den foreslåede bemyndigelsesbestemmelse forventes der fastsat nærmere regler, hvorefter der vil blive fastlagt en flertrinstilgang for underretninger om væsentlige hændelser, som følger NIS 2- direktivets artikel 23, stk. 4. De nærmere regler, som udmøntes på baggrund af bestemmelsen, skal dermed forstås og anvendes i overensstemmelse med direktivernes forudsætninger.

De regler, der vil blive udstedt på baggrund af bestemmelsen om fremgangsmåden for underretningen vil desuden implementere CER-direktivets artikel 15, stk. 1, 1. og 2. pkt., hvoraf det fremgår, at medlemsstaterne sikrer, at kritiske enheder uden unødigt ophold underretter den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af væsentlige tjenester. Medlemsstaterne sikrer, at kritiske enheder, med mindre det operationelt ikke er muligt, indgiver den første underretning senest 24 timer efter at være blevet opmærksom på en hændelse, efterfulgt, hvor det er relevant, af en detaljeret rapport senest 1 måned derefter. Det fremgår endvidere af artikel 15, stk. 2, at underretninger efter artiklen ikke medfører et øget ansvar for kritiske enheder, hvilket vil være gældende for underretninger efter den foreslåede § 12.

Det forventes desuden, at der vil blive fastsat nærmere regler om, at virksomhederne også skal rette henvendelse til den nationale CSIRT, såfremt en hændelse måtte have grænseoverskridende karakter. Bemyndigelse vil endvidere kunne blive udmøntet ved regler, hvorefter den nationale CSIRT via Energistyrelsen (som nationalt kontaktpunkt) uden unødigt ophold skulle underrette de øvrige berørte medlemsstater og ENISA om den væsentlige hændelse, navnlig hvor den væsentlige hændelse berører to eller flere medlemsstater.

Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.

Til § 13

Der er i dag ikke fastsat regler i energisektoren om, i hvilket omfang operatører af væsentlige tjenester skal underrette modtagerne af deres tjenester om væsentlige hændelser, der påvirker de tjenester, som operatørerne leverer.

Det foreslås i § 13, at klima-, energi- og forsyningsministeren kan fastsætte regler om virksomheders pligt til at underrette modtagere af deres tjenester, myndigheder eller juridiske personer, som udfører myndighedsopgaver, om trusler eller hændelser, der kan påvirke eller har potentiale til at påvirke virksomhedens levering af tjenester.

Formålet med bestemmelsen er at skabe hjemmel for ministeren til at fastsætte de nødvendige regler om virksomheders underretningspligt, herunder med henblik på at risici fra en væsentlig cybertrussel eller en væsentlig hændelse vil kunne blive håndteret effektivt.

De kommende regler vil skulle implementere artikel 23, stk. 1, 2. pkt., i NIS 2-direktivet, som fastsætter en forpligtelse for medlemsstaterne til at sikre, at væsentlige og vigtige enheder i relevant omfang underretter modtagerne af deres tjenester om væsentlige hændelser, der sandsynligvis vil påvirke leveringen af disse tjenester negativt.

Desuden vil de kommende regler skulle implementere NIS 2-direktivets artikel 23, stk. 2, der fastsætter en forpligtelse for medlemsstaterne til at sikre, at væsentlige og vigtige enheder i givet fald uden unødigt ophold meddeler modtagerne af deres tjenester, som potentielt kan være berørt af en væsentlig cybertrussel, eventuelle foranstaltninger eller modforholdsregler, som disse modtagere kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal enhederne også informere de pågældende modtagere om selve den væsentlige trussel.

Ved udmøntningen af bemyndigelsesbestemmelsen forventes ministeren i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 103, at fastsætte nærmere regler, hvorefter virksomheder uden unødigt ophold vil skulle underrette deres tjenestemodtagere om enhver foranstaltning eller modforholdsregel, de vil kunne træffe for at afbøde risici fra en væsentlig cybertrussel. Virksomhederne vil herefter være forpligtede til også at informere deres tjenestemodtagere om selve truslen, i det omfang det vil være hensigtsmæssigt, og navnlig hvor den væsentlige cybertrussel sandsynligvis vil materialisere sig. Disse forpligtelser vil ikke fritage disse virksomheder for forpligtelsen til for egen regning at træffe passende og øjeblikkelige foranstaltninger til at forebygge eller afhjælpe enhver trussel af denne art og genoprette tjenestens normale sikkerhedsniveau.

Ministeren forventes endvidere på baggrund af bestemmelsen og i overensstemmelse med præambel betragtning nr. 103 i NIS 2-direktivet, hvorefter oplysninger om væsentlige cybertrusler blandt andet bør stilles gratis til rådighed for modtagerne, at fastsætte nærmere regler om at oplysninger om væsentlige cybertrusler vil skulle stilles gratis til rådighed for modtagerne i et let forståeligt sprog.

Til § 14

It-sikkerhedshændelser, der i væsentlig grad reducerer en virksomheds funktionalitet eller funktionaliteten af andre dele af el- og naturgassektoren, skal omgående meddeles Energinet, jf. it-beredskabsbekendtgørelsens § 21, stk. 1. Energinet kan efter høring af den meddelende virksomhed oplyse offentligheden om den konkrete hændelse, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse, jf. § 21, stk. 7.

Visse virksomheder i oliesektoren og den centrale lagerenhed skal uden ugrundet ophold meddele Energistyrelsen om hændelser, der i væsentlig grad reducerer deres funktionalitet eller funktionaliteten af andre dele af oliesektoren, jf. § 14, stk. 1 i olieberedskabsbekendtgørelsen. Energistyrelsen kan efter høring af den meddelende virksomhed i stk. 1 oplyse offentligheden om konkrete it-beredskabshændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse, jf. § 14, stk. 3.

Efter det foreslåede stk. 1, kan Klima-, energi- og forsyningsministeriet efter høring af en virksomhed, der er eller bliver ramt af en hændelse, informere offentligheden om hændelsen, hvis det er nødvendigt for at forebygge eller håndtere hændelsen, eller hvor informeringen af offentligheden om hændelsen på anden måde er i offentlighedens interesse.

Bestemmelsen har til formål sammen med den foreslåede stk. 2 at implementere artikel 23, stk. 7, i NIS 2-direktivet. Bestemmelsen implementerer også artikel 15, stk. 4, 2. punktum i CER-direktivet, hvorefter medlemsstaterne orienterer offentligheden, hvor de vurdere, at det vil være i offentlighedens interesse at gøre det.

Bestemmelsen skal derfor forstås og anvendes i overensstemmelse med NIS 2- og CER-direktivernes forudsætninger.

For en nærmere beskrivelse af begrebet hændelse, henvises til de specielle bemærkninger til den foreslåede § 3, nr. 11.

Klima-, Energi- og Forsyningsministeriet har overvejet, om den foreslåede bestemmelse har karakter af en offentliggørelsesordning, som behandlet i betænkning nr. 1516 af 2010 om offentlige myndigheders offentliggørelse af kontrolresultater, afgørelse mv. (betænkning 1516), der vil fordre, at ministeriet gennemgik betænkningens "tjekliste" til brug ved indførelse af ordninger med systematisk offentliggørelse af oplysning om kontrolresultater, afgørelser mv. på internettet i ikke anonymiseret form.

Det fremgår af betænkningens side 105, at det kun er ordninger, hvor der sker offentliggørelse af indholdet af kontrolresultaterne, afgørelser mv. i ikke-anonymiseret form, som er omfattet af udvalgets arbejde. Det fremgår endvidere af side 107 i betænkningen, at der med "systematisk offentliggørelse" forstås, at der på et givent område sker offentliggørelse enten af alle afgørelse eller af en flerhed af afgørelser efter nærmere retningslinjer. Det fremgår dernæst, at i modsætning hertil står for eksempel en myndigheds offentliggørelse af oplysninger om en enkelt afgørelse for eksempel på grund af stor forudgående presseomtale eller politisk interesse for sagen.

Som det fremgår nedenfor vedrørende bestemmelsens materielle indhold, er der ikke tale om offentliggørelse af et kontrolresultat eller en afgørelse, men offentliggørelse af en hændelse med henblik på hændelsen kan forebygges eller håndteres ved informeringen af offentligheden, eller hvor informeringen af offentligheden om hændelsen på anden måde er i offentlighedens interesse. Det kan dog ikke udelukkes, at en sådan ordning vil være omfattet af betænkningens "m.v.", særligt fordi der er en sandsynlighed for, at offentliggørelsen af hændelsen kan vise, at den fysiske eller juridiske person har overtrådt konkret bestemmelser i lovforslaget eller regler fastsat i medfør af forslaget, hvilket, jf. andet afsnit af betænkningens side 105 medfører en formodning om, at der tale om en offentliggørelsesordning omfattet af betænkningen.

Det kan dog udelukkes på baggrund af nedenstående beskrivelse af bestemmelsens materielle indhold, at der med ordningen vil være tale om systematisk offentliggørelse. Der lægges således op til, at det kun sjældent vil være relevant for slutbrugere at blive informeret om en hændelse, ligesom behovet for offentliggørelse af hændelsen vil bero på en konkret vurdering, hvilket taler imod at der er tale om systematisk offentliggørelse. Klima-, Energi- og Forsyningsministeriet vurderer på den baggrund, at det ikke er nødvendigt at overveje hensynene fra betænkning 1516's "tjekliste".

Klima-, Energi- og Forsyningsministeriet, vil i det følgende kort redegøre for behovene og hensynene fra betænkning 1516's tjekliste, der begrunder den foreslåede offentliggørelsesordning, om end den ikke vurderes omfattet af betænkning 1516, for fuldstændighedens skyld.

Det er således Klima-, Energi- og Forsyningsministeriets vurdering, at der er behov for, at der kan ske offentliggørelse af hændelser, hvor navne på særligt juridiske personer, og i meget sjældne tilfælde fysiske personer, fremgår. Det vil således være en væsentlig information for offentlighedens forståelse af hændelsens konsekvenser, at det fremgår hos hvilken virksomhed hændelsen har fundet sted. En række energivirksomheder er således naturlige monopoler, hvorfor en hændelse hos sådanne virksomheder vil være med til at identificere, om hændelsen vil have konsekvenser på lokalt, regionalt, nationalt eller europæisk plan.

Der vil potentielt blive offentliggjort oplysninger, som betragtes som særligt indgribende, og derfor i udgangspunktet vil tale i mod at etablere en offentliggørelsesordning. Det kan således ikke udelukkes, at der som led i offentliggørelse af hændelsen oplyses, hvad årsagen til hændelsen måtte være, hvilket indirekte kan indikere, at virksomheden potentielt har overtrådt reglerne i lovforslaget eller regler udstedt i medfør af forslaget.

Der er dog tungtvejende samfundsmæssige interesser, som opvejer hensynet til offentliggørelse af oplysninger om de fysiske og juridiske personers potentielle strafbare forhold. Således vil en hændelse hos en virksomhed have store og meget direkte konsekvenser for samfundets forsyning af forskellige energiarter. En hændelse hos en elektricitetsvirksomhed vil således kunne føre til strømafbrydelse i større dele af Danmark, en hændelse hos visse fjernvarmeoperatører vil kunne føre til, at tusindvis af mennesker står uden varmeforsyning i deres privathjem og på deres arbejde. I sådanne tilfælde har offentligheden en tungtvejende interesse i at blive bekendt med muligheden for og årsagen til, strømsvigt eller manglende varmeforsyning, samt interesse i hvornår hændelsen forventes håndteret og forsyningen af energi genoprettet.

Med den foreslåede bestemmelse sikres hjemmel til at offentliggøre information om potentielle eller konkrete hændelser, og det er nærmere afgrænset neden for, hvornår bestemmelsen kan anvendes, herunder at der ved offentliggørelse særligt skal tages hensyn til virksomhedernes særligt følsomme oplysninger, og at tavshedspligten i forvaltningsloven § 27, stk. 1, lige, som er straffebelagt i straffelovens § 152 og §§ 152 c-152 f, skal overholdes.

Det er således Klima-, Energi- og Forsyningsministeriet vurdering, at samtlige seks punkter i betænkning 1516's tjekliste vil være overholdt, hvorfor den foreslåede offentliggørelsesordning vil være i overensstemmelse med betænkningens kriterier for sådanne ordninger.

Den foreslåede bestemmelse vil indebære, at klima-, energi- og forsyningsministeren vil kunne orientere offentligheden om en hændelse, hvis orienteringen er i offentlighedens interesse. Der skal skelnes mellem om offentliggørelse er nødvendig for at forebygge eller håndtere en hændelse, hvilket er i overensstemmelse med NIS 2-direktivets artikel 23, stk. 7, eller hvorvidt offentliggørelse af hændelsen på anden vis er i offentlighedens interesse hvilket er i overensstemmelse med CER-direktivets artikel 15, stk. 4, 2. pkt.

I vurderingen af om der skal ske offentliggørelse, vil der skulle ske inddragelse af følgende hensyn; 1) antallet af brugere som er berørt af hændelsen, 2) hvilke sektorer som er ramt af hændelsen, 3) hvilke tjenester, der er påvirket af hændelsen, 4) hvilke typer af oplysninger som hændelsen vedrører, 5) den indvirkning, som hændelser kunne have på økonomiske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens sundhed. Desuden vil der efter den foreslåede bestemmelse skulle foretages en afvejning af hensynet til den konkrete virksomhed over for hensynet til orientering af offentligheden.

Offentliggørelse vil også kunne ske til en afgrænset del af offentligheden, eksempelvis sådan at offentliggørelse kun sker til andre virksomheder i energisektoren eller dele af denne sektor. Ligeledes vil offentliggørelsen kunne afgrænses til relevante aktører ud fra en vurdering af klima-, energi- og forsyningsministeren. Det er sjældent, at offentliggørelse af en hændelse vil være relevant for slutbrugere.

Klima-, Energi- og Forsyningsministeriet vil i medfør af bestemmelsen skulle høre den berørte virksomhed, før der sker offentliggørelse af hændelsen. Det forudsættes, at virksomheden så vidt muligt vil skulle have en rimelig frist til at afgive bemærkninger til høringen, dog uden at formålet med offentliggørelsen forspildes. To hensyn understøttes ved at offentliggørelse vil ske efter høring af virksomheden. For det første vil det sikre, at det er korrekte informationer der bliver meddelt til offentligheden. For det andet vil det sikre, at der ikke vil blive offentliggjort oplysninger som er særligt følsomme for virksomhederne.

I tilfælde, hvor ministeren har vurderet om der skal ske offentliggørelse af en hændelse eller ej og har fundet at orientering af offentligheden er nødvendigt for at forebygge eller forhindre en hændelse, vil der være helt særlige og meget tungtvejende grunde til, at der skal ske offentliggørelse. Et svar fra en høring af virksomheden vil i disse tilfælde derfor kun i helt ekstraordinære situationer føre til, at der ikke skal ske offentliggørelse.

I tilfælde, hvor ministeren har vurderet om der skal ske offentliggørelse af en hændelse eller ej og har fundet at der skal ske orientering af offentligheden fordi informationerne på anden vis er i offentlighedens interesse, vil der i større grad lægges vægt på virksomhedens forhold. En høring af virksomheden i disse tilfælde, vil dermed i større grad kunne lede til, at ministeren undlader at informere offentligheden.

Det bemærkes i den forbindelse, at hensynene i forvaltningslovens § 27, om offentlige ansattes tavshedspligt, vil skulle iagttages ved vurderingen af, hvorvidt der skal ske orientering af offentligheden. Dette omfatter bl.a. hensynet til enkeltpersoners private forhold, forretningshemmeligheder samt hensynet til forebyggelse, efterforskning og forfølgning af lovovertrædelser. En offentliggørelse efter den foreslåede bestemmelse vil ikke kunne udgøre et brud på tavshedspligten efter forvaltningslovens § 27. I tillæg hertil skal de hensyn som fremgår af lovforslagets kapitel 10 om fortrolighed indgå i overvejelser om orientering af offentligheden.

Der stilles ikke i bestemmelsen nærmere krav til formen for orienteringen. Orientering af offentligheden vil således kunne ske på den måde, som klima-, energi- og forsyningsministeren finder bedst egnet under hensyn til den berørte virksomhed, hændelsens karakter, den geografiske udstrækning, den forventede betydning for bestemte dele af offentligheden m.v.

Rammer en hændelse flere sektorer, eller har en hændelse potentiale til at ramme flere sektorer, forudsættes det, at der forud for offentliggørelse vil skulle ske en koordinering mellem klima-, energi- og forsyningsministeren og de andre relevante kompetente myndigheder efter hhv. NIS 2- og CER-direktivet.

Det forventes, at det som udgangspunkt vil være klima-, energi- og forsyningsministeren, der foretager offentliggørelsen af en hændelse, jf. dog det foreslåede stk. 2, idet ministeren vil være nærmest til at foretage afvejningen af virksomhedens eventuelle interesse i, at der ikke sker offentliggørelse over for hensynet til offentligheden.

Efter det foreslåede stk. 2, kan klima-, energi- og forsyningsministeren i situationer efter stk. 1 påbyde virksomheder at informere offentligheden om hændelsen.

Den foreslåede bestemmelse har til formål give hjemmel til klima-, energi- og forsyningsministeren til at give påbud til virksomheden om selv at informere offentligheden om hændelsen. Den foreslåede bestemmelse har endvidere til formål at implementere NIS 2-direktivets artikel 23, stk. 7, 2. punktum, hvorefter medlemsstater efter høring af en virksomhed, kan kræve at virksomheden informerer offentligheden om hændelsen.

Efter den foreslåede bestemmelse vil en afgørelsen efter stk. 1 om, at der skal ske offentliggørelse kunne ledsages af en meddelelse af påbud til virksomheden om, selv at informere om hændelsen.

Bestemmelsen forventes anvendt i situationer, hvor det enten af ministeren eller af virksomheden i forbindelse med høringen efter stk. 1, er blevet vurderet mest hensigtsmæssigt, at virksomheden selv offentliggør hændelsen. Det kan f.eks. være fordi at virksomheden allerede selv arbejder på at informere offentligheden som det nogle gange er tilfældet når virksomheder bliver ramt af større hændelser.

Påbuddet der gives efter bestemmelsen vil endvidere skulle specificere hvilke informationer der offentliggøres, hvilken detaljegrad informationerne skal have, hvornår, hvor og hvordan offentliggørelsen skal finde sted.

Bestemmelsen kan også bruges til at påbyde virksomheden at supplere ministerens offentliggørelse af hændelsen, og dermed offentliggøre yderligere oplysninger eller blot gengive ministerens offentliggørelse.

Der henvises i øvrigt til bemærkningerne til § 14, stk. 1.

Til § 15

Der er i dag ikke fastsat regler i energisektoren, der regulerer, frivillige indberetninger til Klima-, Energi- og Forsyningsministeriet om hændelser, med henblik på, at ministeriet kan udnytte erfaringer med cybertrusler og sikkerhedsrisici på tværs af samfundet.

Det følger af det foreslåede stk. 1, at enhver kan underrette Klima-, Energi- og Forsyningsministeriet om væsentlige hændelser, cybertrusler og nærvedhændelser, der negativt påvirker eller vurderes at kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale servicer i energisektoren.

For en nærmere beskrivelse af begreberne hændelse, cybertrusler og nærvedhændelser henvises til de specielle bemærkninger til den foreslåede § 3, nr. 11, 4 og 22.

Den foreslåede bestemmelse har til formål at implementere NIS 2-direktivets artikel 30, stk. 1, litra a og b. Det følger derfor af den foreslåede bestemmelse, at der i tilgift til underretningsforpligtelsen der vil blive fastsat i medfør af den foreslåede § 12 og § 13 kan indgives underretninger til Klima-, Energi- og Forsyningsministeriet på frivillig basis af virksomheder omfattet af loven for så vidt angår hændelser, cybertrusler og nærvedhændelser, samt virksomheder og personer der ikke er omfattet af loven for så vidt angår væsentlige hændelser, cybertrusler og nærvedhændelser.

Den foreslåede bestemmelse vil indebære, at alle offentlige og private virksomheder samt privatpersoner vil kunne underrette Klima-, Energi- og Forsyningsministeriet om hændelser, der negativt påvirker, eller vurderes at kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale services, hvilket indholdsmæssigt svarer til begrebet »sikkerhedshændelse« efter § 2, nr. 1, i lov om Center for Cybersikkerhed, jf. lovbekendtgørelse nr. 836 af 7. august 2019 (CFCS-loven). Det bemærkes i den forbindelse, at begrebet »digitale services« skal forstås i overensstemmelse med begrebet »digitale tjenester« i CFSF-loven.

Det er Klima-, Energi- og Forsyningsministeriets vurdering, at underretning af ministeriet ved større sikkerhedshændelser skaber de bedst mulige forudsætninger for, at Klima-, Energi- og Forsyningsministeriet kan udnytte erfaringer med cybertrusler og sikkerhedsrisici på tværs af samfundet - og dermed skabe et samlet overblik over den aktuelle sikkerhedstilstand i energisektoren i Danmark. Underretninger vil således sætte Klima-, Energi- og Forsyningsministeriet i stand til at varsle hurtigere om trusler og styrke grundlaget for rådgivningen om risici og passende sikkerhedstiltag.

Det bemærkes, at frivillige underretninger foreslås undtages fra aktindsigt efter lovforslagets § 27, jf. de specielle bemærkninger til denne bestemmelse.

Det følger af den foreslåede stk. 2, at klima-, energi- og forsyningsministeren uden unødigt ophold skal videresende underretninger efter stk. 1, til den danske CSIRT.

Den foreslåede bestemmelse, vil medføre, at klima-, energi- og forsyningsministeren uden unødigt ophold vil skulle videresende underretninger efter stk. 1, til den danske såkaldte CSIRT.

Det forventes derfor, at klima-, energi- og forsyningsministeren vil skulle videresende underretninger efter den foreslåede stk. 1 til Center for Cybersikkerhed, således NIS 2- direktivets artikel 30, stk. 1, litra a og b, kan implementeres fuldt ud.

Center for Cybersikkerhed (CFCS) blev ved implementeringen af NIS 1-direktivet udpeget som CSIRT i Danmark, og opgaven har hidtil været varetaget som en del af Netsikkerhedstjenesten i CFCS. Med den kongelige resolution af 29. august 2024 er Center for Cybersikkerhed, bortset fra Netsikkerhedstjenesten, blevet overdraget til Ministeriet for Samfundssikkerhed og Beredskab. Det betyder, at Forsvarsministeriet, herunder FE, indtil videre bibeholder ansvaret for CSIRT-funktionen.

Det forventes, at Energistyrelsen vil skulle varetage opgaven som kompetent myndighed på energiområdet for Danmark i overensstemmelse med NIS 2-direktivets artikel 8, stk. 3.

Forså vidt angår de persondataretlige overvejelser i relation til den foreslåede bestemmelse, henvises der til pkt. 4 i de almindelige bemærkninger.

Til § 16

Det foreslås i § 16, stk. 1, at klima-, energi- og forsyningsministeren efter forhandling med justitsministeren kan fastsætte nærmere regler om, på hvilke betingelser en virksomhed kan få foretaget baggrundskontrol af personer i energisektoren, der: 1) varetager følsomme opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds modstandsdygtighed, 2) er bemyndiget til at få direkte adgang, indirekte adgang eller fjernadgang til en kritisk enheds lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med den kritiske enheds sikkerhed eller 3) overvejes ansat i stillinger, der indebærer opgavevaretagelse efter nr. 1 og/eller nr. 2.

Den foreslåede bestemmelse har til formål at implementere artikel 14 i Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet), hvorefter medlemsstaterne efter artiklens stk. 1 angiver, på hvilke betingelser en kritisk enhed i behørigt begrundede tilfælde og under hensyntagen til medlemsstatsrisikovurderingen har tilladelse til at indgive anmodninger om baggrundskontrol af personer, der a) varetager følsomme opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds modstandsdygtighed, b) er bemyndiget til at få direkte adgang eller fjernadgang til en kritisk enheds lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med den kritiske enheds sikkerhed, c) overvejes ansat i stillinger, der hører under kriterierne i litra a) eller b).

Den foreslåede bestemmelse svarer i det væsentlige indholdsmæssigt til CER-direktivets artikel 14, stk. 1, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det fremgår af CER-direktivets præambelbetragtning nr. 32, at risikoen for at ansatte i kritiske enheder eller deres kontrahenter misbruger for eksempel deres adgangsret inden for den kritiske enheds organisation til at skade og forvolde skade, giver anledning til stigende bekymring. Derfor bør medlemsstaterne angive de betingelser, på hvilke kritiske enheder i behørigt begrundede tilfælde og under hensyntagen til medlemsstatsrisikovurderinger har tilladelse til at indgive anmodninger om baggrundskontrol af personer, der tilhører specifikke kategorier af deres personale.

Det foreslås, at klima-, energi- og forsyningsministeren bemyndiges til at fastsætte nærmere regler om, på hvilke betingelser en virksomhed i energisektoren vil kunne anmode om baggrundskontrol af visse personer i energisektoren.

Efter den foreslåede bestemmelse vil klima-, energi- og forsyningsministeren efter forhandling med justitsministeren kunne fastsætte nærmere regler, der vil udmønte den nærmere ordning for gennemførelse af CER-direktivets artikel 14 om baggrundskontrol i energisektoren.

Det bemærkes, at gennemførelse af baggrundskontrol vil ske på baggrund af en ansøgning fra en virksomhed i energisektoren og forudsætter, at den pågældende person har meddelt samtykke dertil.

Det fremgår bl.a. af CER-direktivets artikel 14, stk. 2, at anmodninger om baggrundskontrol vurderes inden for en rimelig frist og behandles i overensstemmelse med national ret og nationale procedurer samt relevant og gældende EU-ret, herunder EU-regulering om beskyttelse af personoplysninger. Baggrundskontrol skal være forholdsmæssig og strengt begrænset til, hvad der er nødvendigt. Den foretages udelukkende med henblik på at vurdere en potentiel sikkerhedsrisiko for den berørte kritiske enhed.

CER-direktivets artikel 14, stk. 3, fastsætter bl.a., at baggrundskontrollen mindst skal bekræfte identiteten af den person, som er genstand for baggrundskontrollen, og at der skal foretages en kontrol af strafferegistre for den pågældende person for lovovertrædelser, der er relevante for en bestemt stilling.

Det er forventningen, at den nærmere udmøntning af ordningen for baggrundskontrol som udgangspunkt vil ske i overensstemmelse med kravene i CER-direktivets artikel 14, stk. 2 og 3, men at der i den nærmere udmøntning vil kunne være mulighed for, at indføre krav om udvidet baggrundskontrol, i lighed med ordningen for udvidet baggrundskontrol på luftfartsområdet, jf. pkt. 3.4.1 ovenfor. Som det også fremgår af CER-direktivets præambelbetragtninger, vil udformningen af baggrundskontrollen desuden skulle fastsættes under hensyntagen til medlemsstaternes risikovurderinger.

Det bemærkes i den forbindelse, at CER-direktivets krav om baggrundskontrol har til formål at imødegå risikoen for, at ansatte i kritiske enheder misbruger eksempelvis deres adgangsret inden for den kritiske enheds organisation til at forvolde skade. Dette vil derfor også være styrende for den nærmere vurdering af, hvilke kriterier der skal indgå i overvejelserne om godkendelsesniveauet, samt hvilke strafbare eller personlige forhold, der skal have betydning for baggrundskontrollen i forhold til den konkrete stilling.

Som beskrevet i pkt. 3.1.3 og de specielle bemærkninger til § 4, stk. 2 forventes det, at de af loven omfattede virksomheder inddeles i fem niveauer på baggrund af deres forsyningsstørrelse og kritikalitet for forsyningssikkerheden i energisektoren. Niveau 1-virksomheder forventes at være de mindst kritiske for forsyningssikkerheden og niveau 5-virksomheder forventes at være det mest kritiske.

Efter den foreslåede bestemmelse forventes der fastsat nærmere regler om, at personale med en indirekte mulighed for at påvirke forsyningssikkerheden i virksomheder i niveau 3, 4 og 5 skal have opnået tilfredsstillende resultat ved udvidet baggrundskontrol. Indirekte mulighed for at påvirke energiforsyningen forventes eksempelvis at være personer med uledsaget adgang til virksomhedens kontrolcenter (fx rengøringspersonale eller konsulenter) eller adgang til anlæg (fx gartnere og vagter) samt softwareudviklere og andre personer som sidder med fx test og udvikling af systemer, som anvendes til at styre produktion, lagring, transmissionen eller distribution af energi.

For virksomheder i niveau 2, som har betydning for energiforsyningen på regionalt eller lokalt niveau, forventes der i relevant omfang fastsat nærmere regler om, at personale som enten har direkte eller indirekte mulighed for at påvirke forsyningssikkerheden, omfattes af krav om udvidet baggrundskontrol.

For virksomheder i niveau 1 lægges der op til, at virksomheden ikke omfattes af krav om udvidet baggrundskontrol, men at virksomheden i relevant omfang selv foretager baggrundskontrol i form af ID/CV-kontrol.

Afgørelser om, hvorvidt en person har gennemgået en udvidet baggrundskontrol med et tilfredsstillende resultat og om tilbagekaldelse af en afgørelse om udvidet baggrundskontrol, vil skulle træffes af Energistyrelsen. Disse afgørelser vil træffes på baggrund af oplysninger om pågældende person, som politiet tilvejebringer.

Det foreslås i stk. 2, 1. pkt., at klima-, energi- og forsyningsministeren efter forhandling med justitsministeren og ministeren for samfundssikkerhed og beredskab kan fastsætte regler om, at personer, der er omfattet af stk. 1, skal sikkerhedsgodkendes af Klima-, Energi- og Forsyningsministeriet.

Med den foreslåede bestemmelse vil der således i loven være en særskilt hjemmel til fastsættelse af regler om sikkerhedsgodkendelse af ansatte i energisektoren.

Baggrunden for det foreslåede stk. 2, er, at Klima-, Energi- og Forsyningsministeriet vurderer, at udvidet baggrundskontrol i visse tilfælde ikke vil være tilstrækkelig til at sikre den fornødne personelsikkerhed i energisektoren. Det skyldes bl.a., at nogle ansatte i energisektoren i deres konkrete opgaveløsning har mulighed for potentielt at påvirke energiforsyningen på fx regionalt, nationalt eller europæisk niveau, og at der derfor for disse ansatte er behov for en mere omfattende personelsikkerhedsundersøgelse end fx udvidet baggrundskontrol. Efter den foreslåede bestemmelse forventes der fastsat nærmere regler om, at ansatte i virksomheder i niveau 3, 4 og 5, som har direkte adgang til at påvirke energiforsyningen i energisektoren, skal sikkerhedsundersøges af Politiets Efterretningstjeneste med henblik på afgørelse om vedkommende kan sikkerhedsgodkendes til graden FORTROLIGT.

Der lægges op til, at sikkerhedsundersøgelsen i udgangspunktet er til klassifikationsgraden FORTROLIGT, medmindre der er en konkret og særlig begrundelse for at foretage en undersøgelse til klassifikationsgraden HEMMELIG eller YDERST HEMMELIGT. Ved valg undersøgelse til klassifikationsgraden HEMMELIGT eller YDERST HEMMELIGT i stedet for FORTROLIGT lægges der vægt på, at virksomheden indgår i fx samarbejde med efterretningstjenesterne eller indgår i tværgående beredskabsarbejde, hvor der kan være krav om godkendelse til klassifikationsgraden HEMMELIGT eller YDERST HEMMELIGT for deltagelse.

Det lægges op til, at det er Energistyrelsen, som har kompetence til at vælge om sikkerhedsundersøgelsen i særlige tilfælde er til HEMMELIGT eller YDERST HEMMELIGT i stedet for FORTROLIGT.

Ved direkte adgang til at påvirke energiforsyningen forstås, at den pågældende ansatte eller konsulent har væsentlige fysiske eller logiske adgange og rettigheder, fx at vedkommende har ubegrænset fysisk adgang til virksomhedens anlæg eller kontrolrum eller at vedkommende har domænerettigheder eller lign. privilegerede rettigheder til virksomhedens kritiske systemer.

Efter den foreslåede bestemmelse forventes der endvidere fastsat nærmere regler om kriterier for, på hvilke betingelser en virksomhed i energisektoren vil kunne anmode om sikkerhedsgodkendelse. Det bemærkes i den forbindelse, at gennemførelse af sikkerhedsgodkendelse vil ske på grundlag af en ansøgning fra virksomheden og forudsætter, at vedkommende har meddelt samtykke dertil.

Efter det foreslåede stk. 2, 2. pkt., kan klima-, energi- og forsyningsministeren efter forhandling med justitsministeren og ministeren for samfundssikkerhed og beredskab fastsætte regler om ansøgninger om sikkerhedsgodkendelser, herunder betingelser for indgivelse af sådanne ansøgninger samt meddelelse og tilbagekaldelse af sikkerhedsgodkendelser.

Det forventes, at der fastsættes nærmere regler om ansøgning og afgørelser om sikkerhedsgodkendelser, samt meddelelse om og tilbagekaldelse af afgørelser om sikkerhedsgodkendelser. Dette omfatter bl.a. administrative krav i forbindelse med indgivelse af en ansøgning, hvilken myndighed der træffer afgørelse, krav om afmelding, hvis en person ikke længere har en funktion, som forudsætter en sikkerhedsgodkendelse, og bestemmelser om, at afgørelsen tilbagekaldes, hvis en person ikke længere opfylder kravene til godkendelsen.

Det bemærkes i forlængelse heraf, at ansøgninger om sikkerhedsgodkendelse - i overensstemmelse med den gældende praksis på området - vil skulle indgives til Klima-, Energi- og Forsyningsministeriet, som træffer afgørelse på baggrund af en sikkerhedsundersøgelse foretaget af Politiets Efterretningstjeneste.

For så vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.

Til § 17

Det følger af elforsyningslovens § 51 d og gasforsyningslovens § 30 a, stk. 5-7, at de virksomheder, der i dag er pålagt krav om beredskabsplanlægning, fysisk sikring og cybersikkerhed i el- og gassektorerne halvårligt skal betale et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostningerne af ministeriets tilsyn med virksomhedernes overholdelse af regler udstedt i medfør af elforsyningslovens §§ 85 b, stk. 4, og 85 c, stk. 6, samt gasforsyningslovens §§ 15 a, stk. 4, og 15 b, stk. 6.

Gebyrernes størrelse er fastsat i gebyrbekendtgørelsen jf. gebyrbekendtgørelsens § 10, stk. 2. Gebyrerne er fastsat som generelle grundbeløb fordelt på fire kategorier, gradueret således, at gebyret er størst for virksomheder i kategori 1 og lavest for virksomheder i kategori 4 jf. gebyrbekendtgørelsens § 10.

Efter forarbejderne til § 51 d i elforsyningsloven og § 30 a, stk. 5-7 er følgende aktiviteter og opgaver gebyrfinansieret: Godkendelse af beredskabsmateriale, herunder dialog om mangler, fejl, rykkere efter indsendelse til tilsyn, fysisk tilsyn, herunder forberedelse af tilsyn, udarbejdelse af skabeloner, gennemgå beredskabsmateriale, bookning af rejse o.lign., rejsetid til og fra virksomheden, udarbejdelse af tilsynsrapport samt nødvendig uddannelse af medarbejdere, der skal foretage tilsyn.

Følgende opgaver og aktiviteter er ikke gebyrfinansieret efter gældende ret, da de ikke er nævnt i de ovennævnte forarbejder: udarbejdelse af vejledningsmateriale, vejledning om krav til beredskabsmateriale før indsendelse til tilsyn, udarbejdelse af påbud eller politianmeldelser, og udarbejdelse og revision af lovgivning.

Klima-, energi- og forsyningsministerens tilsyn med det almene beredskab og it-beredskabet hos Energinet finansieres via et lovfastsat grundbeløb i elforsyningslovens § 51 b og gasforsyningslovens § 30 a, stk. 3, hvor beløbet er en delmængde af et større beløb, der opkræves for tilsyn med Energinets aktiviteter efter de to love.

Der henvises i øvrigt til afsnit 3.5.1 i lovforslagets almindelige bemærkninger.

Efter det foreslåede stk. 1, betaler virksomheder et fast beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostninger til tilsyn med virksomheder efter reglerne i lovforslaget og regler udstedt i medfør af lovforslaget.

Det er formålet med bestemmelsen at sikre fuld omkostningsdækning for Energistyrelsen, der forventes at få delegeret tilsynet med virksomhederne. Det betyder, at udgifterne forbundet med tilsynet og administrationen af ordningen modsvares af de samlede opkrævninger. Ordningen vil dermed hvile i sig selv. Dette vil sikre, at princippet om proportionalitet mellem den ydelse, som virksomheden får, og det gebyr, der opkræves herfor, overholdes.

Bestemmelsen vil videreføre gældende ret fra § 51 d i elforsyningsloven og § 30 a, stk. 5 i gasforsyningsloven, der foreslås ophævet, fsva. elproducerende virksomheder, netvirksomheder, produktionsbalanceansvarlige virksomheder i elsektoren, gasdistributionsselskaber og gaslagerselskaber. Derudover vil bestemmelsen udvide anvendelsesområdet ift. gældende til også at omfatte de resterende virksomheder i el- og gassektoren samt fjernvarme-, fjernkøling-, olie- og brintsektorerne som oplistet i den foreslåede § 2, stk. 1.

Den halvårlige betaling er en fortsættelse af den hidtidige frekvens for betaling for tilsyn med virksomhedernes beredskabsarbejde efter de ovennævnte bestemmelser. Den halvårlige frekvens sikrer, at der ikke skal betales for store beløb ad gangen, samt at opkrævningen kan finde sted i samme frekvens som andre betalinger for myndighedsbehandling efter elforsyningsloven, gasforsyningsloven og olieberedskabsloven.

Konsekvensen af det foreslåede stk. 1 er som beskrevet, at der sker en udvidelse af den gebyrordning der i dag finansierer klima-, energi- og forsyningsministerens tilsyn med el- og naturgasvirksomhedernes beredskab efter § 85 b og 85 c i elforsyningsloven og § 15 a og b i gasforsyningsloven og regler udstedt i medfør af disse paragraffer.

Efter den forslåede § stk. 1, skal virksomhederne betale administrativt fastsatte gebyrer for det tilsyn, de modtager. Gebyrerne vil blive fastsat som generelle grundbeløb, der dækker de udgifter som Energistyrelsen afholder i forbindelse med, at der forventes delegeret tilsynet med virksomhederne fra klima-, energi- og forsyningsministeren, har med administration og tilsyn med ordningen. De gældende § 51 d i elforsyningsloven og § 30 a, stk. 5 i gasforsyningsloven foreslås samtidigt ophævet i disse love, da de erstattes af den foreslåede stk. 1.

Omkostninger, der vil dækkes af den foreslåede stk. 1, vil være forbundet med det direkte tilsyn med virksomhedernes overholdelse af reglerne i lovforslaget og regler udstedt i medfør heraf som føres efter en fast kadance, fastsat på bekendtgørelsesniveau med hjemmel i den foreslåede § 19, stk. 4, samt andre processkridt der er nødvendige for at der kan føres dette tilsyn med virksomhederne. Det vil eksempelvis være forberedelse af tilsyn, såsom indhentning af materiale, udsendelse af selvevalueringsskemaer, planlægning af tilsyn i dialog med virksomheden, effektiv transport til og fra virksomheder, afholdelsen af selve det fysiske tilsyn, udgift til eventuel kost og logi i forbindelse med tilsynet, opfølgning på tilsynet, nødvendig uddannelse, efteruddannelse, certificering og recertificering af medarbejderne til at føre tilsyn samt udarbejdelse af påbud eller politianmeldelser. Hertil kommer udgifter til skrivebordstilsyn, der bliver ført i forbindelse med godkendelse af virksomhedernes konklusioner fra risiko og sårbarhedsvurderingerne, beredskabsplaner, it-beredskabsplaner øvelsesplaner, øvelsesindberetninger og hændelser-som-øvelser samt kontrakter med proaktive og reaktive it-sikkerhedstjenester.

Omkostninger til tilsyn med virksomhederne vil endvidere omfatte udgifter som Energistyrelsen afholder i forbindelse med, at der forventes delegeret tilsynet med virksomhederne fra klima-, energi- og forsyningsministeren, vil afholde som led i administrationen af tilsynsordningen, da disse administrative processkridt er en forudsætning for at der kan føres tilsyn med virksomheder. Disse er eksempelvis udgifter til klassificering af virksomhedernes anlæg og niveauinddeling af virksomhederne efter reglerne i den foreslåede § 4, udarbejdelse af risiko og sårbarhedsscenarier, som virksomhederne skal bruge i deres risiko og sårbarhedsvurderingsarbejde, den halvårlige gebyropkrævning af virksomhederne, herunder indhentelse af faktureringsoplysninger fra virksomhederne, vejledningen af virksomhederne i reglernes konkrete anvendelse på deres virksomhed, samt håndtering af hændelsesindberetninger fra virksomhederne.

Udgifter til udarbejdelse af generelt vejledningsmateriale og udarbejdelse/revision af lovgivning vil forsat ikke finansieres af det foreslåede gebyr i stk. 1, men afholdes inden for ministeriets almindelige bevilling.

Der er efter gældende ret ikke muligt at opkræve gebyrer fra virksomhederne til finansiering af ad-hoc tilsyn der føres uden for den normale tilsynskadence.

Efter det foreslåede stk. 2, betaler virksomheder for ad-hoc-tilsyn halvårligt et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostningerne for ad-hoc-tilsynet med virksomheden efter reglerne i denne lov eller efter regler udstedt i medfør af loven.

For beskrivelse af ad-hoc tilsyn ift. almindeligt tilsyn henvises til pkt. 3.6.4 i de almindelige bemærkninger og de specielle bemærkninger til § 19.

Beløbet vil blive beregnet som et individuelt gebyr for hver virksomhed, der måtte modtage ad-hoc tilsyn efter § 19, stk. 2, nr. 3, med overholdelsen af reglerne i lovforslaget eller efter regler udstedt i medfør af lovforslaget. Gebyret vil være et aktivitetsbaseret gebyr, og vil derfor blive beregnet ud fra antallet af timer, der er medgået til udførelsen af aktiviteten (ad-hoc tilsynet), ganget med den budgetterede timesats tillagt en forholdsmæssig andel af andre udgifter der måtte pågå som led i udførelsen af aktiviteten (ad-hoc tilsynet). De omkostninger, der vil kunne henregnes til dette gebyr, er de samme som for de generelle grundbeløb virksomhederne vil skulle betale efter stk. 1, med undtagelse af udgifter og timer brugt til nødvendig uddannelse, efteruddannelse, certificering og recertificering af medarbejderne, da disse udgifter allerede vil være dækket af de generelle grundbeløb.

Virksomheder vil efter det foreslåede stk. 2 blive faktureret for alle timer, der er pågået frem til den endelige afgørelse om ad-hoc tilsynet fremsendes til virksomheden. Herunder også timer, der er brugt i forbindelse indhentning af oplysninger, nærmere undersøgelse af faktiske forhold og vurdering af om ad-hoc tilsyn skal indledes med den pågældende virksomhed, dog kun i de tilfælde hvor der faktisk indledes ad-hoc tilsyn med virksomheden. Fører indhentning af oplysninger, undersøgelse af faktiske forhold og vurdering af om ad-hoc tilsyn skal indledes til, at der ikke skal indledes ad-hoc tilsyn, vil omkostningen blive indregnet i omkostninger der dækkes efter gebyrerne efter stk. 1.

Det foreslås i stk. 3, at klima-, energi- og forsyningsministeren fastsætter regler om størrelsen, betaling og opkrævning af beløb efter stk. 1 og 2, herunder om fordelingen af omkostningerne på kategorier af virksomheder.

Den foreslåede bestemmelse vil indebære, at størrelsen af gebyrerne for både stk. 1 og stk. 2 som hidtil vil blive fastsat administrativt ved bekendtgørelse.

Det forventes, at klima-, energi- og forsyningsministeren vil udmønte bemyndigelsen i § 17, stk. 3, ved at fastsætte regler om, at gebyrerne efter § 17, stk. 1, som det er tilfældet i dag, vil blive fastsat som generelle grundbeløb, der dækker de udgifter som Energistyrelsen afholder i forbindelse med, at der forventes delegeret tilsynet med virksomhederne fra klima-, energi- og forsyningsministeren, har med tilsyn med virksomhederne og dækning af de omkostninger, der er til administration af ordningen. Det forventes, at gebyrstørrelserne vil blive differentieret i minimum 6 gebyrkategorier, hvor gebyret vil være lavest for gebyrkategori 1 og højest for gebyrkategori 6, således at disse vil svare til den niveauinddeling, der vil ske af virksomhederne i reglerne udmøntet efter den foreslåede bestemmelse i § 4, stk. 2 om kategorisering af virksomheder samt virksomhedernes systemer og anlæg, dog med indførelsen af en ekstra gebyrkategori (kategori 6).

Denne niveauinddeling vil som beskrevet være bestemmende for, hvor stort et reguleringstryk virksomheden vil blive underlagt efter disse regler, ligesom det også vil være bestemmende for, hvor ofte og hvor mange timers tilsyn som Energistyrelsen afholder i forbindelse med, at der forventes delegeret tilsynet med virksomhederne fra klima-, energi- og forsyningsministeren i gennemsnit forventer at bruge på virksomhederne på det givne niveau. Klima-, energi og forsyningsministeren forventes endvidere at udmønte bemyndigelsen i § 17, stk. 3 til at indføre en ekstra gebyrkategori 6, som vil skulle bruges specifikt til Energinet som transmissionssystemoperatør for elektricitet og transmissionssystemoperatør for gas, samt andre virksomheder, der grundet deres helt særlige ansvar for funktionen af energisystemerne i Danmark, vil skulle modtage et væsentligt mere grundigt og dybdegående tilsyn end alle andre virksomheder.

I tillæg hertil vil gebyrkategorierne, som det er tilfældet i dag, tage højde for antallet af anlæg som virksomhederne ejer. Virksomheder i niveau 5 med mange klasse 4 og 5 anlæg vil således blive indplaceret i en højere gebyrkategori, end virksomheder i niveau 5 med kun få klasse 4 og 5 anlæg.

Det forventes endvidere, at ministeriet vil kunne justere gebyrerne, så de afspejler antallet og størrelsen af de virksomheder i sektorerne, der føres tilsyn med.

Det forventes endvidere, at klima-, energi- og forsyningsministeren bruger bemyndigelsen i stk. 3 til at fastsætte, at gebyrer opkrævet efter den foreslåede stk. 2, vil blive opkrævet som aktivitetsberegnet gebyrer, baseret på det samlede antal medgåede timer til ad-hoc tilsyn ganget med den budgetterede timepris i Energistyrelsen, idet Energistyrelsen forventes delegeret tilsynet med virksomhederne fra klima-, energi- og forsyningsministeren, i det år hvor ad-hoc tilsynet afholdes tillagt en forholdsmæssig andel af andre udgifter der måtte pågå som led i udførelsen af aktiviteten, idet tilsynet som beskrevet i den foreslåede § 19, stk. 2, nr. 3 forventes delegeret til Energistyrelsen fra klima-, energi- og forsyningsministeren.

Der vil således være en fuld omkostningsdækning for Energistyrelsen, der forventes delegeret tilsynet med virksomhederne fra klima-, energi- og forsyningsministeren, hvilket betyder, at udgifterne forbundet med tilsynet og administrationen ordningen modsvares af de samlede opkrævninger. Ordningen vil dermed hvile i sig selv. Dette vil sikre, at princippet om proportionalitet mellem den ydelse, som virksomheden får, og det gebyr, der opkræves herfor, overholdes.

Det følger af endvidere af det foreslåede stk. 3, at energi-, forsynings- og klimaministeren vil kunne fastsætte nærmere regler om betaling og opkrævning af det i stk. 1 og stk. 2 nævnte beløb. Det forventes, at der vil blive fastsat regler om, at betalingerne skal ske efter halvårlige fakturaer. Det forventes også, at der vil blive fastsat regler om, at betalingerne skal ske til Energistyrelsen.

Det forventes desuden, at klima-, energi- og forsyningsministeren vil udmønte bemyndigelsen i § 17 stk. 3, til at fastsætte, at gebyrerne efter stk. 1 og 2, skal indbetales senest 30 dage efter fakturaens udstedelse, og der såfremt beløbet ikke betales rettidigt, betales renter af det opkrævede beløb i medfør af renteloven. Det forventes herudover, at der fastsættes regler om efterregulering af beløbet, der betales, så det sikres, at virksomhederne ikke betaler for meget eller for lidt.

Kompetencen til at fastsætte regler om størrelsen, betaling og opkrævning af beløb efter stk. 1 og 2, herunder om fordeling af omkostningerne på kategorier af virksomheder, efter det foreslåede stk. 3, forventes ikke delegeret til Energistyrelsen eller anden underlæggende myndighed, idet klima-, energi- og forsyningsministeren også efter de andre forsyningslove har valgt at fastholde denne kompetence selv.

Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger. Der henvises øvrigt til pkt. 3.5 i de almindelige bemærkninger.

Til § 18

Der er ikke i gældende ret fastsat regler om betaling af gebyrer for behandling af ansøgninger og dispensationer i forbindelse med beredskab, fysisk sikring og cybersikkerhed i energisektoren. Således behandles ansøgninger til Energistyrelsen om hhv. sikkerhedsgodkendelser efter sikkerhedsciruklærets § 13, ansøgning om dispensation efter hhv. elberedskabsbekendtgørelsens § 33, naturgasberedskabsbekendtgørelsens § 33, it-beredskabsbekendtgørelsens § 31 og olieberedskabsbekendtgørelsens § 20, samt ansøgninger om personsammenfald efter it-beredskabsbekendtgørelsens § 6, stk. 5, vederlagsfrit. Endvidere behandles ansøgninger til Energistyrelsen om samordnet beredskab efter elberedskabsbekendtgørelsens § 30, stk. 2, naturgasberedskabsbekendtgørelsens § 30, stk. 2 og it-beredskabsbekendtgørelsens § 17, vederlagsfrit.

Efter det foreslåede stk. 1, betaler virksomheder for indgivelse af ansøgninger og dispensationer et beløb for behandling heraf efter reglerne i lovforslaget eller efter regler udstedt i medfør heraf.

Det er formålet med bestemmelsen at sikre fuld omkostningsdækning for Energistyrelsen, der forventes at få delegeret opgaven med behandle og afgøre ansøgninger og dispensationer fra virksomhederne. Det betyder, at udgifterne forbundet med at behandle og afgøre ansøgninger og dispensationer fra virksomhederne modsvares af de samlede opkrævninger. Ordningen vil dermed hvile i sig selv. Dette vil sikre, at princippet om proportionalitet mellem den ydelse, som virksomheden får, og det gebyr, der opkræves herfor, overholdes.

Efter bestemmelsen vil virksomheder skulle betale et fast vederlag pr. ansøgning, differentieret alt efter hvad det er der ansøges om. Herefter vil virksomheder være forpligtiget til, at på et senere tidspunkt at skulle betale et fast vederlag ved indgivelse af f.eks. ansøgninger om samordnet beredskab, ansøgninger om personsammenfald, ansøgning om dispensation efter den generelle dispensationsregel samt andre ansøgninger, der er virksomhedens egen interesse. Reglen vil finde anvendelse på ansøgninger, uagtet om virksomhederne er forpligtet til at ansøge om den konkrete godkendelse eller dispensation pga. krav herom i reglerne i dette lovforslag eller regler udstedt i medfør af dette lovforslag eller ej.

Såfremt en virksomhed ikke skulle betale for ansøgningen eller dispensationen, eller skulle betale for sent herfor, vil det ikke have indflydelse på retsvirkningen af den godkendte/eller afviste dispensation eller ansøgning. Energistyrelsen, der forventes at få delegeret opgaven med behandle og afgøre ansøgninger og dispensationer fra virksomhederne, vil dog kunne retsforfølge virksomheden for manglende betaling ved domstolene.

Det foreslås i stk. 2, at klima-, energi- og forsyningsministeren fastsætter regler om størrelsen, betaling og opkrævning af beløb efter stk. 1.

Det forventes af denne bemyndigelse vil blive udmøntet ved at klima-, energi- og forsyningsministeren administrativt fastsætter et engangsvederlag, der skal betales pr. ansøgning, som virksomheden indgiver til Energistyrelsen, der forventes at få delegeret opgaven med behandle og afgøre ansøgninger og dispensationer fra virksomhederne. Betalingkravet afhænger ikke af, om virksomheden opnår godkendelse af deres ansøgning eller ej. Der skal således betales blot, fordi Energistyrelsen, der forventes at blive delegeret behandlingen af sådanne ansøgninger, skal realitetsbehandle en ansøgning. Det forventes, at ansøgningstyper, der estimeres til gennemsnitligt at have det samme sagsomfang og derfor også sagsbehandlingstid, får fastsat det samme størrelse engangsvederlag. Det forventes, at gebyrerne for de enkelte ansøgningstyper i første omgang vil blive fastsat på baggrund af klima-, energi- og forsyningsministerens initiale estimering af hvor mange timer det gennemsnitligt tager at behandle en sådan ansøgning ganget med den budgetteret timepris tillagt en forholdsmæssig andel af andre udgifter der måtte pågå som led i udførelsen af aktiviteten (behandling af ansøgningen). Efter der er opbygget et tilstrækkeligt datagrundlag gennem medarbejdernes tidsregistrering, vil den initiale estimering blive erstattet af de reelle omkostninger baseret på det konkrete gennemsnitlige tidsforbrug pr. ansøgningstype, hvorefter de fastsatte gebyrer vil blive op- eller nedjusteret på dette grundlag, ligesom hvis den budgetterede timepris ændrer sig, idet gebyrordningen skal balancere over en 4-årig periode i overensstemmelse med Finansministeriets budgetvejledning.

Klima-, energi- og forsyningsministeren bemyndiges derfor i medfør af den forslåede bemyndigelse i stk. 2 til at anvende den til enhver tid gældende budgetterede timepris hos Energistyrelsen til hvem sagsbehandlingen delegeres til, til fastsættelsen af beløbene der skal betales. Den budgetterede timepris fastsættes på grundlag af gennemsnitlige lønudgifter tillagt en forholdsmæssig andel af generelle fællesomkostninger, relevante henførbare, indirekte omkostninger og direkte øvrige driftsomkostninger, der er forbundet med myndighedsbehandlingen i det pågældende regnskabsår. Energistyrelsens omkostningsfordeling vil følge Finansministeriets vejledninger herfor.

Der vil således være en fuld omkostningsdækning for Energistyrelsen, hvilket betyder, at udgifterne forbundet med tilsynet og administrationen af ordningen modsvares af de samlede opkrævninger. Ordningen vil dermed hvile i sig selv. Dette vil sikre, at princippet om proportionalitet mellem den ydelse, som virksomheden får, og det gebyr, der opkræves herfor, overholdes.

Det forventes derfor ligeledes, at klima-, energi- og forsyningsministeren udmønter bemyndigelsen i stk. 2, således at hvis virksomheden indleverer en mangelfuld ansøgning, så betales der gebyr for behandlingen (afvisningen) af både den ufuldstændige og den endelige ansøgning.

Det følger af endvidere af det foreslåede stk. 2, at klima-, energi- og forsyningsministeren vil kunne fastsætte nærmere regler om betaling og opkrævning af beløb efter stk. 1. Det forventes, at der vil blive fastsat regler om, at betalingerne skal ske efter halvårlige fakturaer. Således skal der ikke ske betaling af beløbet samtidig med, at ansøgningen indgives. Det forventes også, at der vil blive fastsat regler om, at betalingerne skal ske til Energistyrelsen, der forventes at få delegeret opgaven med behandle og afgøre ansøgninger og dispensationer fra virksomhederne.

Det forventes desuden, at klima-, energi- og forsyningsministeren vil udmønte bemyndigelsen i § 17 stk. 3, til at fastsætte, at gebyrerne efter stk. 1 og 2, skal indbetales senest 30 dage efter fakturaens udstedelse, og der såfremt beløbet ikke betales rettidigt, betales renter af det opkrævede beløb i medfør af renteloven. Det forventes herudover, at der fastsættes regler om efterregulering af beløbet, der betales, så det sikres, at virksomhederne ikke betaler for meget eller for lidt.

Kompetencen til at fastsætte regler om størrelsen, betaling og opkrævning af beløb efter stk. 1, efter det foreslåede stk. 2, forventes ikke delegeret til Energistyrelsen eller anden underlæggende myndighed, idet klima-, energi- og forsyningsministeren også efter de andre forsyningslove har valgt at fastholde denne kompetence selv.

Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger. Der henvises i øvrigt til pkt. 3.5 i de almindelige bemærkninger.

Til § 19

Efter elforsyningslovens § 85 b, stk. 4, kan Klima-, energi- og forsyningsministeriet fastsætte nærmere regler for udførelsen af tilsyn med virksomhedernes nødvendigealmene beredskabsarbejde. De nærmere regler for tilsyn er fastsat i elberedskabsbekendtgørelsens kapitel 10. Efter bekendtgørelsen er Energistyrelsen tilsynsmyndigheden, jf. § 28, stk. 1, 1. pkt. og § 29, stk. 1, 1.pkt.

Klima-, energi- og forsyningsministeren kan på baggrund af gasforsyningslovens § 15 a, stk. 4, fastsætte nærmere regler for udførelsen af selskabernes almene beredskabsarbejde. De nærmere regler for tilsyn er fastsat i naturgasberedskabsbekendtgørelsen. Energistyrelsen er tilsynsmyndigheden for selskabernes overholdelse af beredskabsreguleringen, jf. § 28, stk. 1, 1. pkt. og § 29, stk. 1, 1.pkt.

Efter elforsyningslovens § 85 c, stk. 6, og gasforsyningslovens § 15 b, stk. 6, fastsætter klima-, energi- og forsyningsministeren nærmere regler for udførelsen af tilsyn med virksomhedernes it-beredskab. De nærmere regler for tilsyn er fastsat i it-beredskabsbekendtgørelsen. Efter bekendtgørelsen er Energistyrelsen tilsynsmyndigheden, jf. bekendtgørelsens § 26, stk. 1 og § 27, stk. 1.

Ifølge olieberedskabslovens § 17, stk. 1, fører klima-, energi- og forsyningsministeren tilsyn med, at loven og regler udstedt i medfør af loven overholdes. Olieberedskabslovens indeholder i § 16 beredskabspligter for virksomheder omfattet af loven. Klima-, energi- og forsyningsministeren fører således tilsyn med olievirksomhedernes beredskab efter olieberedskabsbekendtgørelsen. Efter olieberedskabslovens § 17, stk. 5, kan klima-, energi og forsyningsministeren fastsætte nærmere regler om fremsendelse af oplysninger til brug for tilsyn, om virksomhedernes medvirken i tilsyn og om virksomhedernes fremsendelse af revisorerklæring. De nærmere regler er fastsat i olieberedskabsbekendtgørelsens § 18.

Der er ikke nærmere regler for tilsyn af virksomheders beredskab i fjernvarme- og kølesektoren eller virksomhedernes beredskab efter undergrundsloven.

Det foreslås i stk. 1, at tilsyn med, at virksomhederne opfylder deres forpligtelser i henhold til loven og regler udstedt i medfør af loven.

Den foreslåede bestemmelse har til formål at fastlægge hvilken myndighed, der har tilsynsforpligtigelsen med de af loven omfattet virksomheder i el-, gas-, olie-, fjernvarme-, fjernkøling- og brintsektoren og denne myndighed tilfalder, at klima-, energi- og forsyningsministeren.

Tilsynsforpligtigelsen forventes dog at blive delegeret til Energistyrelsen i medfør af den foreslåede bestemmelse i § 33.

Det foreslås i stk. 2, at klima-, energi og forsyningsministeren, som led i sin tilsynsforpligtelse kan anvende de i bestemmelsens nr. 1-6 oplistede tilsyns- og kontrolforanstaltninger.

Den foreslåede bestemmelse har til formål fastlægge hvilke tilsynsbeføjelser Klima-, Energi- og Forsyningsministeriet har til at løfte tilsynsforpligtigelsen efter stk. 1 med de af loven omfattet virksomheder i el-, gas-, olie-, fjernvarme-, fjernkøling- og brintsektoren. Den foreslåede bestemmelse har endvidere til formål at implementere artikel 32, stk. 1, i NIS 2-direktivet og artikel 21, stk. 1 og 2, i CER-direktivet.

Bestemmelsen vil sikre, at de tilsynsforanstaltninger, der kan anvendes af Klima-, Energi- og Forsyningsministeriet er effektive og står i rimeligt forhold til overtrædelsen og har afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.

Bestemmelsen vil sikre at Klima-, Energi- og Forsyningsministeriet i medfør af beføjelserne i nr. 1-6, har beføjelser og midler til, at ministeriet kan vurdere, om virksomhederne der er omfattet af loven, opfylder forpligtelserne.

Bestemmelsen vil endvidere sikre at Klima-, Energi- og Forsyningsministeriet, hvor det er nødvendigt for udførelsen af ministeriets tilsynsopgaver i henhold til stk. 1, har beføjelser og midler til at virksomhederne inden for en rimelig tidsfrist, der fastsættes af ministeriet, giver de informationer, der kan kræves for føre tilsyn med virksomheden.

Der gives med den foreslåede bestemmelse hjemmel til, at klima-, energi- og forsyningsministeren kan anvende de tilsynsbeføjelser, der er oplistet i § 19, stk. 2, nr. 1-6. Bestemmelsen oplister således nogle af de værktøjer, som klima-, energi- og forsyningsministeren har til rådighed til at løfte sin tilsynsforpligtigelse fastsat i § 19, stk. 1.

Det forudsættes, at der ved valget om en af de i § 19, stk. 2, nr. 1-6, tvangsindgreb vil skulle anvendes at klima-, energi- og forsyningsministeren iagttager proportionalitetsprincippet i retssikkerhedslovens § 2, og således kun anvender foranstaltninger hvis indgreb står i rimeligt forhold til formålet med indgrebet.

Det forudsættes ligeledes, at retssikkerhedslovens § 3 til § 8 iagttages ved anvendelsen af det valgte tvangsindgreb. Således skal der ske underretning af virksomheden, og formkravene i § 5, stk. 2 skal overholdes medmindre undtagelserne i § 5, stk. 4, måtte finde anvendelse.

Det bemærkes endeligt generelt set til de foreslåede bestemmelser i § 19, stk. 2, nr. 1-6, at de dele af direktivernes bestemmelser, der angår rent myndighedsinterne forhold, eller som allerede følger af almindelige forvaltningsretlige principper eller den almindelige adgang til domstolsprøvelse, ikke er afspejlet i lovteksten. Den foreslåede bestemmelse vil således fokusere på, hvilke konkrete tilsynsforanstaltninger de kompetente myndigheder vil kunne anvende over for enhederne.

Eksempelvis er CER-direktivets artikel 21, stk. 4, ikke afspejlet direkte i lovteksten. Det følger af den nævnte artikel, at medlemsstaterne skal sikre, at de tillagte beføjelser kun kan udøves med forbehold af passende beskyttelsesforanstaltninger, og at disse beskyttelsesforanstaltninger navnlig skal sikre, at en sådan udøvelse finder sted på en objektiv, gennemsigtig og forholdsmæssig måde, og at de berørte kritiske enheders rettigheder og legitime interesser såsom beskyttelse af forretningshemmeligheder garanteres behørigt, herunder deres ret til at blive hørt, til et forsvar og til effektive retsmidler ved en uafhængig domstol. Det samme gælder eksempelvis CER-direktivets artikel 21, stk. 5, som overordnet fastsætter krav til samarbejde mellem de kompetente myndigheder efter henholdsvis NIS 2-direktivet og CER-direktivet.

Ligeledes fremgår det af NIS 2-direktivets artikel 32, stk. 2, litra a, om at kontrollerne skal udføres af uddannede fagfolk, ikke afspejlet direkte i lovteksten. Det samme gælder eksempelvis den del af direktivets artikel 32, stk. 2, litra d, hvorefter sikkerhedsscanninger skal være baseret på objektive, ikke-diskriminerende, fair og gennemsigtige risikovurderingskriterier.

I overensstemmelse med forudsætningerne i NIS 2-direktivets præambelbetragtning nr. 123 bør udførelsen af tilsynsopgaven ikke unødigt hæmme den berørte virksomheds forretningsaktiviteter. Hvor en tilsynsmyndighed udfører sin tilsynsopgave vedrørende en virksomhed, herunder i form af kontrol på stedet og administrativt tilsyn på skriftligt grundlag, efterforskning af overtrædelser af direktivet og udførelse af sikkerhedsaudits eller -scanninger, bør tilsynsmyndigheden myndighed minimere indvirkningen på den berørte enheds forretningsaktiviteter.

Det foreslås i § 19, stk. 2, nr. 1, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage tilsyn og kontrol hos virksomheden ved at inspicere de lokaler, som virksomheden bruger til at levere sine tjenester og foretage stikprøvekontroller.

Formålet med bestemmelsen er give hjemmel til at Klima-, Energi- og Forsyningsministeriet kan som led i sin tilsynsforpligtelse kan foretage tilsyn og kontrol hos virksomheden ved at inspicere de lokaler, som virksomheden bruger til at levere sine tjenester og foretage stikprøvekontroller, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra a, i NIS 2-direktivet og artikel 21, stk. 1, litra a, i CER-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt angår, hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet i forhold til, hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Det bemærkes, at NIS 2-direktivets artikel 32, stk. 2, litra a, anvender udtrykket »på stedet«. Klima-, Energi- og Forsyningsministeriet vurderer, at dette udtryk kan forstås i overensstemmelse med CER-direktivets artikel 21, stk. 1, litra a. Bestemmelsen gør dog brug af udtrykket »hos virksomheden«, da det vil lede til mindre fortolkningstvivl og samtidig dække over udtrykket »på stedet«. Det foreslås derfor, at bestemmelsen anvender udtrykket »hos virksomheden«.

Bestemmelsens omfatter derfor når skrives tilsyn hos virksomheden« derfor NIS2-direktivets og CER-direktivets »kontrol på stedet« og omfatter således konkret, at der efter bestemmelsen kan føres tilsyn med både; 1) områder, hvor virksomhederne har materiale eller anlæg, som anvendes til at levere virksomhedens tjeneste og 2) lokaler, som virksomheden anvender til at levere sine tjenester.

Det bemærkes endvidere, at der af direktivernes bestemmelser fremgår, at der kan foretages »eksternt tilsyn«, hvilket er en formulering, der kan give anledning til fortolkningstvivl. I den engelske sprogversion af NIS 2-direktivet anvendes formuleringen »off-site supervision«.

Bestemmelsen brug af »tilsyn og kontrol« omfatter både eksternt tilsyn, forstået som off-site supervision, samt et tilsyn uden fysisk tilstedeværelse på stedet, altså eksempelvis udført på skriftligt grundlag. Disse former for tilsyn kan beskrives som administrative tilsyn.

Bestemmelsen giver således hjemmel til, at der kan føres tilsyn på områder, hvor virksomhederne har materiale eller anlæg, som anvendes til at levere virksomhedens tjeneste og lokaler, som virksomheden anvender til at levere sine tjenester. Bestemmelsen vil ligeledes give hjemmel til, at dele af tilsynet kan føres som administrativt tilsyn. Endelig vil bestemmelsen give hjemmel til, at tilsynet kan gennemføres med stikprøvekontroller, altså at tilsynet kan ske stikprøvevis, således at klima-, energi- og forsyningsministeren vil kunne udvælge et repræsentativt antal områder eller lokaler, der inspiceres på baggrund af ministerens risikovurdering af, hvilke områder og lokaler der måtte være mest kritiske.

Tilsynet efter denne bestemmelse vil skulle anmeldes og aftales med en repræsentant for virksomheden, inden det gennemføres.

Det foreslås i nr. 2, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretages regelmæssige kontrol- og tilsynsbesøg hos virksomheder.

Formålet med bestemmelsen er at give hjemmel til, at Klima-, Energi- og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage regelmæssige kontrol- og tilsynsbesøg hos virksomheder, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsen fastsætter således mulighed for at ministeriet kan bestemme hyppigheden i brugen af kontrol og tilsynsbeføjelser efter § 19, stk. 2, nr. 1 og 3-5. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra b, i NIS 2-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt angår, hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven og gasforsyningsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet, i forhold til hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre m.fl.

Som det fremgår ovenfor implementerer bestemmelsen kun en artikel fra NIS-2 direktivet. Desuagtet finder bestemmelsen efter nationalt ønske anvendelse på alle forhold omfattet af loven, uagtet de relaterer sig til implementering af NIS2-direktivets og CER-direktivets krav eller udtryk for nationale ønsker. Den foreslåede bestemmelse vil dermed gå videre end minimumskravene i NIS2- og CER-direktiverne.

Den foreslåede bestemmelse vil give hjemmel til, at Klima-, Energi- og Forsyningsministeriet kan besøge virksomhederne regelmæssigt med henblik på at gennemføre tilsyn med virksomheden. Bestemmelsen gælder i forhold til tilsyn med alle aspekter af virksomhedernes overholdelse af loven eller regler udstedt i medfør at loven og er ikke indskrænket til de dele af loven, der angår cybersikkerhed. Der forventes, at bestemmelsen vil blive anvendt i forbindelse den foreslåede bestemmelse i nr. 1 og nr. 3-5.

Det foreslås i § 19, stk. 2, nr. 3, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage ad hoc-tilsyn.

Formålet med bestemmelsen er at give hjemmel til, at Klima-, Energi- og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage ad hoc-tilsyn, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra c, i NIS 2-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt angår hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet, i forhold til hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen, som noget nyt vil blive omfattet af denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Den foreslåede bestemmelse vil således give hjemmel til, at klima-, energi- og forsyningsministeren på ad hoc basis vil kunne føre tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsen forventes brugt i tilfælde, hvor klima-, energi- og forsyningsministeren imellem de regelmæssige tilsyn efter nr. 2, måtte blive opmærksom på mulige overtrædelser af loven eller regler udstedt i medfør af loven. Her vil der kunne være behov for at føre tilsyn, fordi det vurderes af ministeren, at den potentielle overtrædelse af reglerne er så slem, at tilsyn ikke kan vente til det regelmæssige tilsyn. I vurderingen af om ad hoc-tilsyn skal indledes, vil der af klima-, energi- og forsyningsministeren lægges særligt vægt på, om den/de formode overtrædelse medfører en direkte trussel mod leveringen af virksomhedens tjeneste.

Tilsyn efter denne bestemmelse vil skulle anmeldes og aftales med en repræsentant for virksomheden, inden det gennemføres.

Det foreslås i § 19, stk. 2, nr. 4, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage sikkerhedsscanninger og penetrationstests af virksomhedens net- og informationssystemer samt fysiske lokationer.

Formålet med bestemmelsen er give hjemmel til, at Klima-, Energi- og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage sikkerhedsscanninger og penetrationstests af virksomhedens net- og informationssystemer samt fysiske lokationer, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra d i NIS 2-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt angår, hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet, i forhold til hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Bestemmelsen skal anvendes i overensstemmelse med NIS 2 direktivets præambel betragtning nr. 87 forudsættes det, at de kompetente myndigheder i forbindelse med deres tilsynsopgaver vil gøre brug af cybersikkerhedstjenester til at foretage sikkerheds audits og penetrationstest.

Bestemmelsen vil således give hjemmel til, at klima-, energi og forsyningsministeren som led i sit tilsyn vil kunne gøre brug af sikkerhedsscanninger og penetrationstest af virksomhedens net- og informationssystemer. Bestemmelsen foreslås udvidet ift. NIS 2-direktivets ordlyd, således at penetrationstests også vil kunne anvendes til at teste den fysiske sikring af fysiske lokationer, som virksomhederne anvender i leveringen af deres tjeneste.

Bestemmelsen forventes anvendt i samarbejde med virksomhederne, således at ingen penetrationstest eller sikkerhedsscanning vil blive foretaget uden forudgående varsling af virksomheden, herunder hvad/hvor, hvornår og hvor længe scanningen eller penetrationstesten vil pågå af hensyn til sikring af den fortsatte drift i virksomheden, i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 123 om at sikkerhedsscanning og penetrationstest alene vil ske varslet af hensyn til sikring af den fortsatte drift i virksomheden.

Ministeren forventes altid at benytte sig af akkrediterede virksomheder til at gennemføre scanninger og tests efter bestemmelsen, og personalet vil som minimum skulle være sikkerhedsgodkendt til fortrolig efter sikkerhedscirkulæret, inden planlægningen af scanningen eller penetrationstesten vil kunne påbegyndes. Det vil være væsentligt hensyn, at driften af virksomheden ikke må påvirkes negativt, og planlægningen og gennemførelsen vil skulle således varetage dette hensyn.

Hvordan ministeren administrativt og processuelt vil gøre brug af bestemmelsen vil blive yderligere præciseret i vejledningsmateriale, der vil blive udarbejdet af klima-, energi- og forsyningsministeren.

Det foreslås i nr. 5, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan kræve at få udleveret oplysninger og dokumentation, der er nødvendige for at vurdere foranstaltninger vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed, som virksomheden har indført efter lovforslaget og regler udsted i medfør af lovforslaget.

Formålet med bestemmelsen er give hjemmel til, at Klima-, Energi- og Forsyningsministeriet kan som led i sin tilsynsforpligtelse kræve at få udleveret oplysninger og dokumentation, der er nødvendige for at vurdere foranstaltninger vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed, som virksomheden har indført efter lovforslaget og regler udsted i medfør af lovforslaget, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra e, i NIS 2-direktivet og artikel 21, stk. 2, litra a og b, i CER-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt angår hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet, i forhold til hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Den foreslåede bestemmelse vil give hjemmel til, at klima-, energi- og forsyningsministeren kan kræve at få udleveret oplysninger og dokumentation, der er nødvendige for at vurdere foranstaltningerne vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed, som virksomheden har indført efter loven og regler udstedt i medfør af loven.

Det forventes, at bestemmelsen blandt andet i praksis vil blive anvendt ved, at virksomhederne vil skulle udfylde et selvevalueringsskema forud for gennemførelse af tilsyn med virksomheden efter nr. 1, 2 og 3. Virksomheden vil i den forbindelse vurdere, hvordan den lever op til de forskellige krav til organisatorisk beredskab, fysisk sikring og cybersikkerhed. Bestemmelsen vil også kunne bruges til at påbyde virksomhederne at udlevere dokumenter såsom beredskabsplaner, øvelsesplaner, politikker, netværks-topologier samt andet materiale, som virksomhederne er forpligtet til at udarbejde i medfør af lovforslaget eller regler fastsat i medfør heraf.

Det foreslås i nr. 6, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.

Formålet med bestemmelsen er give hjemmel til, at Klima-, Energi- og Forsyningsministeriet som led i sin tilsynsforpligtelse kan kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra f og litra g, i NIS 2-direktivet og artikel 21, stk. 1 og 2, i CER-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt angår, hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet, i forhold til hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Bestemmelsen vil give hjemmel til, at klima-, energi- og forsyningsministeren kan påbyde at få adgang til andre data, dokumenter og oplysninger som ikke nødvendigvis er omfattet af den foreslåede bestemmelse i nr. 5. Bestemmelsen vil kunne anvendes til at få adgang til kontrakter med leverandører, få forevist data om energianlægs produktions-, distributions-, transmissions- og lagringskapaciteter samt antallet af forbrugere, og om virksomheden leverer sine ydelser til kritiske forbrugere såsom sygehuse.

Det foreslås i stk. 3, at Klima-, Energi- og Forsyningsministeriet er ansvarlig for eventuelle skader, som en virksomhed måtte lide i forbindelse med scanninger og tests efter stk. 2, nr. 4.

Det følger af den foreslåede bestemmelse, at Klima-, Energi- og Forsyningsministeriet vil bære et objektivt ansvar, for skader som virksomheden vil blive pådraget i forbindelse med scanninger og tests foretaget på baggrund af § 19, stk. 2, nr. 4. Erstatningsbeløbet vil skulle opgøres efter de almindelige regler om erstatning uden for kontrakt i dansk ret. Klima-, Energi- og Forsyningsministeriet skal betale erstatningen, omkostningen til en sådan erstatning kan ikke indregnes i gebyrerne der opkræves efter de foreslåede bestemmelser i § 17 og § 18.

Det foreslås i stk. 4, at klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om tilsyn og kontrol af virksomhederne, herunder omfanget, udførelsen og hyppigheden af tilsyns- og kontrolbesøg. Med den foreslåede bestemmelse bemyndiges ministeren til at fastsætte nærmere regler både for det administrative tilsyn og for kontrol- og tilsynsbesøg hos virksomhederne.

Formålet med bestemmelsen er at give en ramme for Energistyrelsens tilsynsarbejde, da de forventes at få delegeret tilsynsopgaven i stk. 1 efter den foreslåede § 33. Rammen skal således sikre at tilsynet er forankret i en stærk beredskabs- og cybersikkerhedsfaglighed, der ligger vægt på at være værdiskabende for virksomhederne, således at udgangspunktet tilsynet er at gøre den enkelte virksomheds beredskab og cybersikkerhed bedre efter fuldendt tilsyn.

Efter bestemmelsen vil de nærmere regler, som ministeren vil kunne fastsætte, blandt andet være »omfanget« af tilsyns- og kontrolbesøg efter § 19, stk. 2, nr. 1-6. Udtrykket omfanget skal forstås bredt, i den forstand at det både kan relatere sig til det tidsmæssige omfang af tilsynet og i hvilken geografisk udstrækning, der skal ske tilsyn med virksomheden.

Ministeren vil efter bestemmelsen desuden kunne fastsætte nærmere regler om udførelsen af tilsyn. Bestemmelsen vil medføre, at ministeren vil kunne fastsætte nærmere regler om, hvorvidt tilsynet vil skulle ske ved et fysisk tilsyn med fremmøde hos virksomheden, eller om tilsynet vil skulle ske som et eksternt tilsyn. Ministeren vil ligeledes kunne fastsætte nærmere regler om hvad et fysisk tilsyn vil indebære. Eksempelvis vil der kunne fastsættes regler om, at tilsynsmyndigheden skal have adgang til særlige områder som serverrum for at observere, at der er den korrekte sikkerhed. Tilsyn forudsættes alene at være anmeldte med et nærmere fastsat varsel. Ministeren vil kunne fastsætte nærmere regler om varsling af anmeldelse af tilsyn.

Efter bestemmelsen vil ministeren også kunne fastsætte nærmere regler om hyppigheden af tilsyn, denne del af bestemmelsen skal derfor også læses i sammenhæng med den foreslåede bestemmelse i § 19, stk. 2, nr. 2. Der vil i den forbindelse kunne fastsættes regler om, at tilsyn skal ske årligt eller efter anden frekvens, som kan være forskellig alt efter hvilket niveau virksomheden er inddelt på efter regler udstedt i medfør af den i loven foreslåede bestemmelse i § 4, stk. 2. Der vil desuden kunne fastsættes regler om, at der kan ændres op og ned i frekvensen af tilsyn for virksomheder på baggrund af tidligere tilsyn af samme virksomhed.

Den foreslåede bemyndigelsesbestemmelse vil også medføre, at der vil kunne fastsættes regler om den tidsmæssige og geografiske udstrækning af tilsyn der føres efter den foreslåede § 19, stk. 2, nr. 1-6, der er proportionelle med den type virksomhed, som der skal føres tilsyn hos. Dette findes hensigtsmæssigt af hensyn til at virksomheder inden for energisektoren, der kontroller energimængder af en vis størrelse, kan have en betydelig effekt på den samlede forsyningssikkerhed i Danmark. Sådanne virksomheder kan anvende komplekse net- og informationssystemer, som kræver et længerevarende tilsyn for, at systemer i tilstrækkeligt grad kan undersøges for, om virksomheden efterlever de gældende krav. Størrelsen af virksomheder og mængden af tjenester som virksomheden leverer, kan også påvirke den samlede kompleksitet, som bør understøttes af regler om længere og mere dybdegående tilsyn. Desuden kan virksomheder også strække sig over mange lokaliteter, hvor hver lokation hos virksomheden kan introducere nye og særegne trusler. Modsatvis findes der også virksomheder inden for sektoren, som kun i mindre grad kan påvirke energiforsyning. Disse virksomheder kan være mindre komplekse og et tilsyn kan udføres i tilstrækkelig grad på mindre tid og i begrænset geografisk udstrækning. Bestemmelsen har derfor til formål, at der med udviklingen i sektoren kan fastsættes regler om den tidsmæssige og geografiske udstrækning af tilsyn, der er proportionelle med den type virksomhed der skal føres tilsyn hos.

På baggrund af ovenstående, forventes det, at den foreslåede bestemmelse vil blive anvendt til at fastsætte differentierede regler om tilsyn på baggrund af en risikobaseret tilgang. Det forventes, at der vil blive fastsat regler, hvorefter virksomheder inddeles i forskellige kategorier eller niveauer, som fastsættes ud fra både objektive og skønsmæssige kriterier om virksomhedens kritikalitet. Omfanget, udførelsen og hyppigheden af tilsyn hos virksomheder forventes som udgangspunkt at blive baseret på denne niveauinddeling.

Det forventes med den foreslåede bestemmelse, at tilsynsmyndigheden vil videreføre den tilsynspraksis, der har været gældende inden for de allerede omfattede virksomheder og sektorer. Praksis har hidtil været, at tilsynsmyndigheden har ført tilsyn ud fra en dialogbaseret og værdiskabende tilgang. Formålet med tilsyn er således at dele erfaringer mellem myndigheder og virksomheder for at opnå en mere sikker sektor. Hensynet til samarbejde og værdiskabelse af sikkerhed i energisektoren, bør således også indgå i en proportionalitetsvurdering ved anvendelsen af tilsynsforanstaltninger, håndhævelsesforanstaltninger eller sanktioner.

Det foreslås i § 19, stk. 5, at klima-, energi- og forsyningsministeren kan fastsætte regler om udlevering af materiale til brug for tilsyn samt formkrav hertil, herunder regler om hvilke sprog materialet skal udarbejdes på.

Efter bestemmelsen vil ministeren kunne fastsætte regler om, at oplysninger eller materiale til brug for tilsyn udarbejdes af virksomheden og udleveres på en bestemt måde, på et bestemt sprog og i en bestemt form. Bestemmelsen supplerer således de i stk. 2, nr. 5 og 6 foreslåede bestemmelser, i det der kan fastsættes nærmere regler for hvilken form og sproget materialet skal have, samt processen herfor. Eksempelvis vil der kunne fastsættes regler om, at virksomhederne skal anvende bestemte skemaer eller skabeloner ved udleveringen af tilsynsmateriale. Ligeledes vil der kunne fastsættes regler om, at virksomhederne forpligtes til at registrere visse oplysninger ved brug af en bestemt hjemmeside eller it-løsning. Endeligt vil bestemmelsen også kunne bruges til at fastsætte regler om at dokumentation og oplysninger til brug for klima-, energi- og forsyningsministeren skal indgive i en dansk version uagtet hvad virksomhedens organisationssprog måtte være.

Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger. Der henvises i øvrigt til afsnit 3.6 i lovforslagets almindelige bemærkninger.

Til § 20

Der er i gældende lovgivning for energisektoren ikke fastsat regler, der indeholder bestemmelser om rådgivende EU-delegationers adgang til oplysninger, systemer og faciliteter.

Det foreslås i stk. 1, at rådgivende missioner, som er nedsat i medfør af Europa-Parlamentets og Rådets direktiv om kritiske enheders modstandsdygtighed, kan efter tilladelse fra klima-, energi- og forsyningsministeren vurdere de foranstaltninger, som virksomheder der er kritiske enheder af særlig europæisk betydning efter § 5, stk. 1, for at opfylde sine forpligtelser i henhold til loven og regler udstedt i medfør heraf.

Den foreslåede bestemmelse vil implementere CER-direktivets artikel 18, stk. 1 og 2, om den særlige tilsynsordning for kritiske enheder af særlig europæisk betydning. Det følger af CER-direktivets artikel 18, stk. 2, at EU-Kommissionen på eget initiativ eller efter anmodning fra én eller flere medlemsstater kan tilrettelægge en rådgivende mission, under forudsætning af at den medlemsstat, som har identificeret den pågældende kritiske enhed, samtykker.

Rådgivende missioner vil efter bestemmelsen bestå af eksperter fra den medlemsstat, hvor den kritiske enhed af særlig europæisk betydning er beliggende, eksperter fra de medlemsstater, hvortil eller hvori den væsentlige tjeneste leveres, og repræsentanter fra EU-Kommissionen, i overensstemmelse med CER-direktivets artikel 18, stk. 5.

Det forventes, at klima-, energi- og forsyningsministeren vil tillade rådgivende missioner at vurdere virksomheder efter bestemmelsen, såfremt ministeren selv, Kommissionen eller en medlemsstat, hvortil den væsentlige tjeneste leveres, måtte tage initiativ til en sådan rådgivende mission, i overensstemmelse med CER direktivets artikel 18, stk. 1-2, i det omfang det ikke vil kompromittere hensyn til 1) Statens sikkerhed eller rigets forsvar. 2) Rigets udenrigspolitiske eller udenrigsøkonomiske interesser, herunder forholdet til fremmede magter eller mellemfolkelige institutioner. 3) Private og offentlige interesser, hvor hemmeligholdelse efter forholdets særlige karakter er påkrævet.

Det foreslås i stk. 2, at rådgivende missioner kan anvende tilsynsforanstaltninger efter § 19, stk. 2, nr. 1 og 5, i det omfang det er nødvendigt for at gennemføre den pågældende rådgivende mission.

Den foreslåede bestemmelse vil sikre rådgivende missioner den adgang til oplysninger, systemer og faciliteter, der vedrører levering af væsentlige tjenester fra kritiske enheder af særlig europæisk betydning, og som er nødvendige for at gennemføre den pågældende rådgivende mission. Bestemmelsen vil hermed implementere CER-direktivets artikel 18, stk. 7.

Det fremgår af den foreslåede bestemmelse i § 20, stk. 2, at den rådgivende mission vil kunne bruge de tilsynsforanstaltninger, der er nødvendige for at gennemføre den pågældende mission. Det forventes, at alene tilsynsforanstaltninger, der er egnede til at gennemføre den konkrete mission, vil kunne anvendes. Eksempelvis vil den rådgivende mission, der kun har til formål at undersøge overholdelsen af kravene i CER-direktivets kapitel 3 jf. CER direktivets artikel 18, stk. 1, kan missionen således ikke også få adgang til virksomhedens net- og informationssystemer eller informationer om virksomhedens foranstaltninger til overholdelse af NIS 2-direktivet.

Det foreslås i stk. 3, at klima-, energi og forsyningsministeren kan træffe afgørelse om at begrænse rådgivende missioners tilsynsforanstaltninger efter § 19, stk. 2, nr. 1 og 5, i det omfang, det er nødvendigt til beskyttelse af væsentlige hensyn til følgende:

Den foreslåede undtagelsesbestemmelse medfører, at der vil kunne ske begrænsning af tilsynsforanstaltninger, som den rådgivende mission kan anvende ud over den begrænsning, som er indeholdt i den foreslåede bestemmelse i stk. 2.

Den foreslåede bestemmelse implementerer og kodificerer CER-direktivets artikel 18, stk. 8, hvoraf det følger, at rådgivende missioner gennemføres i overensstemmelse med gældende national ret i den medlemsstat, hvor de finder sted, idet den pågældende medlemsstats ansvar for national sikkerhed og beskyttelse af sine sikkerhedsmæssige interesser respekteres. Ligeledes understøttes den foreslåede bestemmelse af CER-direktivets artikel 1, stk. 6, hvorefter det gælder, at direktivet ikke berører medlemsstaternes ansvar for at beskytte national sikkerhed og forsvar og deres beføjelse til at beskytte andre væsentlige statslige funktioner, herunder sikring af statens territoriale integritet og opretholdelse af lov og orden.

Ifølge den foreslåede bestemmelse, vil klima-, energi- og forsyningsministeren kunne træffe afgørelser om, at den rådgivende mission ikke kan anvende visse tilsynsforanstaltninger eller begrænses i anvendelsen af en specifik tilsynsforanstaltning. Eksempelvis vil klima-, energi- og forsyningsministeren kunne træffe afgørelse om, at den rådgivende mission kun kan kræve at få udleveret visse oplysninger.

En afgørelse om at begrænse rådgivende missioners brug af tilsynsforanstaltningerne i § 19, stk. 2, nr. 1 og 5, vil være en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler, herunder bl.a. bestemmelserne i kapitel 3 (om vejledning og repræsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse mv.) og kapitel 7 (om klagevejledning) i udgangspunktet vil finde anvendelse. Det er forventningen, at EU-Kommissionen, som repræsentant for den rådgivende mission, vil være part i afgørelsessagen.

Klima-, energi- og forsyningsministeren vil over for virksomheden, som er udpeget som kritisk enhed af europæisk betydning, kunne træffe afgørelse om, at de ikke skal efterleve visse tilsynsforanstaltninger fra den rådgivende mission. Som eksempel vil der kunne meddeles afgørelse til den pågældende virksomhed om, at de ikke skal efterleve visse tilsynsforanstaltninger eller dele af tilsynsforanstaltninger, som anvendes af den rådgivende mission.

Det forventes med den foreslåede bestemmelse, at afgørelser om begrænsning af tilsynsforanstaltninger, som anvendes af den rådgivende mission, i vidt muligt omfang skal foretages inden den rådgivende mission påbegynder et tilsyn. Dette betyder, at klima-, energi- og forsyningsministeren, ved anmodning om en rådgivende mission, vil kunne foretage tilsyn og kontrol af en kritisk enhed af særlig europæisk betydning med det formål at afgrænse, om information hos den kritiske enhed af særlig europæisk betydning er beskyttelsesværdig information efter stk. 3, nr. 1-3.

Klima-, energi- og forsyningsministeren vil i tilfælde af tvivl, om information vedrørende den kritiske enhed af særlig europæisk betydning er beskyttelsesværdig, kunne rette henvendelse til Politiets Efterretningstjeneste, som er national sikkerhedsmyndighed, eller til Forsvarets Efterretningstjeneste, som er national sikkerhedsmyndighed på Forsvarsministeriets område.

Efter den foreslåede stk. 3, nr. 1, kan den rådgivende missions tilsynsforanstaltninger efter § 19, stk. 2, nr. 1-6, begrænses i det omfang, det er nødvendigt til beskyttelse af væsentlige hensyn til statens sikkerhed eller rigets forsvar. Statens sikkerhed eller rigets forsvar i denne lov skal fortolkes i overensstemmelse med offentlighedslovens § 31, jf. lovbekendtgørelse nr. 145 af 24. februar 2020.

Efter den foreslåede stk. 3, nr. 2, kan den rådgivende missions tilsynsforanstaltninger efter § 19, stk. 2, nr. 1-6, begrænses i det omfang, det er nødvendigt til beskyttelse af væsentlige hensyn til rigets udenrigspolitiske eller udenrigsøkonomiske interesser, herunder forholdet til fremmede magter eller mellemfolkelige institutioner. Rigets udenrigspolitiske eller udenrigsøkonomiske interesser, herunder forholdet til fremmede magter eller mellemfolkelige institutioner, skal i denne lov fortolkes i overensstemmelse med offentlighedslovens § 32.

Efter den foreslåede stk. 3, nr. 3, kan den rådgivende missions tilsynsforanstaltninger efter § 19, stk. 2, nr. 1-6, begrænses i det omfang, det er nødvendigt til beskyttelse af væsentlige hensyn til private og offentlige interesser, hvor hemmeligholdelse efter forholdets særlige karakter er påkrævet. Private og offentlige interesser, hvor hemmeligholdelse efter forholdets særlige karakter er påkrævet skal i denne lov fortolkes i overensstemmelse med offentlighedslovens § 33, nr. 5.

For så vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger. Der henvises i øvrigt til bemærkningerne til den foreslåede § 5.

Til § 21

Bekendtgørelse nr. 11 af den 7. januar 2011 om identifikation og udpegning af europæisk kritisk infrastruktur på energiområdet og vurdering af behovet for bedre beskyttelse indeholder håndhævelsesbeføjelser i form af påbud. Der kan således gives påbud om at udarbejde en sikkerhedsplan, ændre denne og andre dele af operatørens beredskabsarbejde jf. § 16, stk. 2.

Elforsyningsloven og gasforsyningsloven indeholder begge håndhævelsesforanstaltningerne om påbud jf. § 85 d, inddragelse af bevilling jf. § 54 og it-revision jf. § 85 c, stk. 2. Efter de gældende regler skal forhold, der strider mod den gældende regulering bringes i orden straks eller inden for en af klima- energi- og forsyningsministeren nærmere angivet frist.

Gasforsyningsloven indeholder ligeledes håndhævelsesforanstaltninger om påbud jf. § 47 b, inddragelse af bevilling jf. § 33 og it-revision jf. § 15 b, stk. 2. Efter de gældende regler skal forhold, der strider mod den gældende regulering, bringes i orden straks eller inden for en af klima- energi- og forsyningsministeren nærmere angivet frist.

Olieberedskabsloven indeholder håndhævelsesforanstaltninger, om at klima- energi- og forsyningsministeren kan anvende påbud jf. § 18 ved manglende overholdelse af beredskabsreglerne.

Det følger af den foreslåede stk. 1, at klima- energi og forsyningsministeren ud fra en konkret vurdering af omstændighederne i hver enkelt sag kan anvende nr. 1-5 oplistede påbud og forbud over for virksomhederne.

Den foreslåede bestemmelse medfører, at Klima- Energi og Forsyningsministeriet vil skulle foretage en konkret vurdering af omstændighederne i hver enkelt sag, når der anvendes påbud og forbud over for virksomheder.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 7, skal de kompetente myndigheder, når de træffer håndhævelsesforanstaltninger, overholde retten til forsvar og tage hensyn til omstændighederne i hver enkelt sag og som minimum tage behørigt hensyn til de forhold som er oplistet i litra a-h.

Efter bestemmelsen i CER-direktivets artikel 21, stk. 3, skal de kompetente myndigheder i anvendelsen af påbud navnlig tage hensyn til overtrædelsens grovhed.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, skal medlemsstaterne sikre, at de kompetente myndigheder som minimum har beføjelser og midler som oplistet i litra a-h, med henblik på, at de kompetente myndigheder effektivt kan håndhæve, forpligtelserne som fremgår af dette direktiv.

Efter bestemmelsen i CER-direktivets artikel 21, stk. 3, kan de kompetente myndigheder pålægge de enheder, som medlemsstaterne har identificeret som kritiske i henhold til artikel 6, stk. 1, påbud og forbud for at opfylde forpligtelserne i dette direktiv.

Den foreslåede bestemmelse vil finde anvendelse på en bredere kreds, men i øvrigt svare indholdsmæssigt til NIS 2-direktivets artikel 32, stk. 4, litra a-h. Den foreslåede bestemmelse vil også gå videre, end hvad der fremgår af CER-direktivets artikel 21, stk. 3. Bestemmelsen skal derudover forstås og anvendes i overensstemmelse med direktivernes forudsætninger og eventuelle fortolkningsbidrag fra EU-Kommissionen, ENISA eller andre af EU's institutioner. Den foreslåede bestemmelse går dermed videre end NIS 2- og CER-direktiverne.

Der vil i forbindelse med en afgørelse om påbud eller forbud efter den foreslåede bestemmelse blive fastsat en frist, inden for hvilken virksomheden skal efterkomme indholdet i afgørelsen. Fristen for hvornår virksomheden skal efterleve håndhævelsesforanstaltningerne skal være proportionel med de anvendte foranstaltninger. I tilfælde af en overhængende fare for, at en hændelse kan indtræde på baggrund af virksomhedens forhold, kan der anvendes strakspåbud.

En virksomhed, der modtager en afgørelse om påbud eller forbud efter den foreslåede bestemmelse, vil i overensstemmelse med den foreslåede bestemmelse i § 37 som vil implementere CER-direktivets artikel 22 og NIS 2-direktivets artikel 34, stk. 2, også kunne ifalde straf for en eventuel overtrædelse af denne lov eller regler udstedt i medfør af loven.

Det foreslås i stk. 1, nr. 1, at klima- energi- og forsyningsministeren kan påbyde virksomheden at træffe foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra b, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, samt frister for gennemførelse af sådanne foranstaltninger og for rapportering om deres gennemførelse eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af dette direktiv

Klima-, Energi- og Forsyningsministeriet vil i medfør af det foreslåede nr. 1, eksempelvis kunne give virksomhederne påbud om at foretage en fornøden softwareopdatering med henblik på at forhindre eller imødegå en hændelse.

Det foreslås med nr. 2, at klima- energi- og forsyningsministeren kan meddele virksomheden påbud og forbud for at sikre overholdelsen af de krav, der er fastsat i loven eller regler udstedt i medfør af loven.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra c, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at pålægge de pågældende enheder at ophøre med at udvise adfærd, der overtræder direktivet, og afstå fra at gentage denne adfærd.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra d, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at pålægge de pågældende enheder, på en nærmere angivet måde og inden for en nærmere angivet frist til, at sikre, at deres foranstaltninger til styring af cybersikkerhedsrisici overholder artikel 21, eller at efterleve underretningsforpligtelserne i artikel 23.

Efter den foreslåede nr. 2, vil klima-, energi- og forsyningsministeren kunne angive, hvilke nærmere foranstaltninger virksomheden skal træffe i tilfælde af, at virksomheden ikke lever op til de krav, der er fastsat i loven. Ministeren vil ligeledes efter bestemmelsen kunne forbyde virksomheder at foretage visse dispositioner, såfremt det vurderes, at det kan udgøre en trussel for virksomhedens sikkerhed og beredskab eller på anden måde kompromittere virksomhedens evne til at levere tjenester eller udføre sine aktiviteter. Sådanne forbud vil kunne omfatte anvendelsen af materiale eller services fra aktører fra tredjelande, hvis det kan begrundes at der er en konkret trussel mod forsyningssikkerheden. I trusselsvurderingen vil det aktuelle trusselsbillede eller konkrete oplysninger fra efterretningstjenester kunne inddrages.

Det foreslås med nr. 3, at klima-, energi- og forsyningsministeren kan påbyde virksomheden at underrette de fysiske eller juridiske personer, til hvilke den leverer tjenester eller udfører aktiviteter, som potentielt kan være berørt af en væsentlig cybertrussel, om denne trussels karakter samt om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra e, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til, at pålægge de pågældende enheder at underrette de fysiske eller juridiske personer med hensyn til hvilke de leverer tjenester eller udfører aktiviteter, som potentielt er berørt af en væsentlig cybertrussel, om denne trussels karakter samt om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som disse fysiske eller juridiske personer kan træffe som reaktion på denne trussel.

Bestemmelsen skal ses i sammenhæng med den foreslåede bestemmelse i § 13, som indeholder en forpligtelse for virksomheder til i relevant omfang at underrette modtagerne af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som modtagerne kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal virksomhederne også informere de pågældende modtagere om den væsentlige cybertrussel.

Med det foreslåede nr. 3, vil klima- energi- og forsyningsministeren kunne påbyde, at der skal foretages underretning af modtagerne af virksomhedens tjenester, uanset om virksomheden selv vurderer, at det er relevant.

Det foreslås med nr. 4, at klima- energi- og forsyningsministeren kan påbyde virksomheden, at udpege en person med ansvar for i en nærmere fastsat periode at føre tilsyn med virksomhedens overholdelse af §§ 6-9 og §§ 12-14, samt regler udstedt i medfør heraf.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra g, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at udpege en overvågningsansvarlig med veldefinerede opgaver til i en nærmere fastsat periode at føre tilsyn med de pågældende enheders overholdelse af artikel 21 og 23.

Den foreslåede bestemmelse vil medføre, at virksomheden enten vil kunne udpege en ansat eller en ekstern person. Den pågældende person vil skulle monitorere virksomhedens overholdelse af krav til foranstaltninger til styring af enten fysiske eller logiske risici i medfør af de foreslåede bestemmelser om foranstaltningerne og underretning. Klima-, Energi- og Forsyningsministeriet vil kunne påbyde virksomheden at udpege flere personer til at føre tilsyn med overholdelse af §§ 6-9 og §§ 12-14, hvis virksomhedens størrelse eller særlig teknisk forståelse for foranstaltninger kræver det, eller hvis det i øvrigt findes relevant for at sikre et tilstrækkelig grundigt tilsyn.

Det foreslås med nr. 5, at klima-, energi- og forsyningsministeren kan påbyde virksomheden i ikke-anonymiseret form og på en nærmere angiven måde at offentliggøre afgørelser om håndhævelsesforanstaltninger efter nr. 1-5 samt resumeer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde efter lovforslagets § 37.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra h, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til, at pålægge de pågældende enheder at offentliggøre aspekter af overtrædelser af dette direktiv på en nærmere angivet måde.

Den foreslåede bestemmelse vil medføre, at klima-, energi- og forsyningsministeren vil kunne pålægge en virksomhed at offentliggøre afgørelser om håndhævelsesforanstaltninger i ikke-anonymiseret form. Det betyder, at virksomheden vil skulle offentliggøre navngivne oplysninger om, hvilke sanktioner de har modtaget, herunder afgørelser om tvangsforanstaltninger og eventuelle bøder. Offentliggørelsen vil skulle ske på en specificeret måde, som kan fastsættes af ministeren.

Det bemærkes, at forvaltningslovens § 27, om offentlige ansattes tavshedspligt, vil skulle overholdes ved vurderingen af, hvorvidt og hvordan der skal pålægges offentliggørelse efter den foreslåede bestemmelse. Dette omfatter bl.a. hensynet til enkeltpersoners private forhold, forretningshemmeligheder samt hensynet til forebyggelse, efterforskning og forfølgning af lovovertrædelser. Desuden skal de hensyn som fremgår af lovforslagets kapitel 10 om fortrolighed indgå i overvejelser om orientering af offentligheden.

Det forudsættes, at virksomheden ikke pålægges at offentliggøre oplysninger om tekniske indretninger eller fremgangsmåder eller om drifts- eller forretningsforhold eller lignende, for så vidt det er af væsentlig økonomisk betydning for den virksomhed, som oplysningerne angår. Definitionen af oplysninger vedrørende tekniske indretninger m.v. skal forstås i overensstemmelse med § 30, nr. 2, i offentlighedsloven og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevant praksis.

Det forudsættes desuden, at virksomheden ikke pålægges at offentliggøre oplysninger, der kan udnyttes af ondsindede aktører og derved udgøre en sikkerhedsmæssig risiko for virksomheden. Sådanne oplysninger kan eksempelvis være nærmere information om, hvilke foranstaltninger der ikke er blevet fundet tilstrækkelige på baggrund af tilsyn og kontrol.

Det forudsættes endvidere, at virksomheden ikke pålægges at offentliggøre oplysninger om enkeltpersoners forhold, medmindre disse oplysninger indgår i virksomhedens navn. Oplysninger om enkeltpersoners forhold kan eksempelvis være oplysninger om navne, adresser eller private telefonnumre på medarbejdere eller andre berørte parter.

Klima-, Energi- og Forsyningsministeriet har overvejet om den foreslåede bestemmelse har karakter af en offentliggørelsesordning, som behandlet i betænkning nr. 1516 af 2010 om offentlige myndigheders offentliggørelse af kontrolresultater, afgørelse mv. (betænkning 1516), der vil fordre at ministeriet gennemgik betænkningens "tjekliste" til brug ved indførelse af ordninger med systematisk offentliggørelse af oplysning om kontrolresultater, afgørelser mv. på internettet i ikke anonymiseret form.

Det fremgår af side 107 i betænkningen, at der med "systematisk offentliggørelse" forstås, at der på et givent område sker offentliggørelse enten af alle afgørelse eller af en flerhed af afgørelser efter nærmere retningslinjer.

Som det fremgår af ovenstående beskrivelse af bestemmelsens materielle indhold, er der tale om offentliggørelse af et kontrolresultat eller en afgørelse, som eksempelvis afgørelser om påbud eller forbud efter nr. 1-4 samt resumeer af domme eller bødeforlæg, hvor der idømmes eller vedtages en bøde.

Det kan heller ikke udelukkes, at der med ordningen vil være tale om systematisk offentliggørelse.

Klima-, Energi- og Forsyningsministeriet har derfor fundet det nødvendigt at vurdere, om behovet og hensynene fra betænkning 1516's er opfyldt i forbindelse med indførelsen af den foreslåede offentliggørelsesordning.

Klima-, Energi- og Forsyningsministeriets vurderer, at der behov for at kunne påbyde en virksomhed, at offentliggøre afgørelser om påbud eller forbud efter nr. 1-4 samt resumeer af domme eller bødeforlæg, hvor der idømmes eller vedtages en bøde, i ikke-anonymiseret form og på en nærmere angiven måde. Det skyldes, at det er et krav i NIS 2-direktivets artikel 32, stk. 4, nr. 5, om at: "Medlemsstaterne sikrer, at deres kompetente myndigheder, når de udøver deres håndhævelsesbeføjelser over for væsentlige enheder, som minimum har beføjelse til at pålægge de pågældende enheder at offentliggøre aspekter af overtrædelser af dette direktiv på en nærmere angivet måde". Det er Klima-, Energi- og Forsyningsministeriets vurdering, at den foreslåede offentliggørelsesordning vil være en effektiv håndhævelsesforanstaltning overfor en virksomhed og samtidig sikre overholdelsen af NIS 2-direktivets artikel 32, stk. 4, nr. 5. Således vil den blotte mulighed for at benytte denne håndhævelsesforanstaltning kunne tilskynde virksomhederne til at overholde deres forpligtigelser efter loven. Endvidere vil offentligheden, særligt privatforbrugere og virksomheder, der er afhængig af de forskellige energiforsyninger, have interesse i at vide hvilke virksomheder, der ikke opfylder kravene til organisatorisk beredskab, fysisk sikring og cybersikkerhed, således at de aktivt kan vælge en potentielt anden udbyder. I det tilfælde, at forbrugeren ikke har mulighed for at vælge en anden udbyder eller energiforsyning, vil forbrugeren kunne foretage sin egen beredskabsplanlægning, således forbrugeren kan klare sig uden den konkrete energiforsyning i et antal dage, hvilket vil gøre forbrugeren mere robust overfor energiforsyningsafbrud.

Det vil således være en væsentlig information for offentligheden, at blive gjort bekendt med, hvilke virksomheder, der ikke kan overholde kravene til organisatorisk beredskab, fysisk sikring og cybersikkerhed fastsat i denne lov eller regler udstedt i medfør af denne lov.

Ordningen indebærer, at der vil blive offentliggjort oplysninger, som betragtes som særligt indgribende, og derfor i udgangspunktet vil tale i mod at etablere en offentliggørelsesordning. Der kan således ske offentliggørelse af navngivne oplysninger om, hvilke sanktioner virksomheden har modtaget, herunder afgørelser om tvangsforanstaltninger og eventuelle bøder, ligesom virksomhedens navn vil fremgå.

Der er dog tungtvejende samfundsmæssige interesser, som opvejer hensynet til ikke i udgangspunktet at offentliggøre de fysiske og juridiske personers oplysninger om strafbare forhold. Således vil en hændelse hos en virksomhed, som følge af virksomhedens manglende overholdelse af lovforslagets regler eller regler udstedt i medfør af lovforslaget, potentielt have omfattende og meget direkte konsekvenser for samfundets forsyning af forskellige energiarter. Således vil en hændelse hos elektricitetsvirksomhed kunne føre til black out i større dele af Danmark, igennem en hændelse hos visse fjernvarmeoperatører vil kunne føre til, at tusindvis af mennesker står uden varmeforsyning i deres privathjem og på deres arbejde. Offentligheden har således en tungtvejende interesse i at blive bekendtgjort med virksomheder, der ikke overholder lovgivningen, således at de gennem valg af udbyder eller energiforsyning kan minimere risikoen for forsyningssvigt. Såfremt en anden udbyder eller energiforsyning ikke kan vælges pga. monopolforhold kan forbrugeren foretage beredskabsplanlægning for sin egen husholdning, således at forbrugeren kan træffe foranstaltninger, der gør forbrugeren i stand til at klare sig uden energiforsyningen i en rum tid.

Med den foreslåede bestemmelse sikres hjemmel til at offentliggøre information om hændelsen. Det er nærmere afgrænset ovenfor, hvornår bestemmelsen kan anvendes, herunder at der ved offentliggørelse særligt skal tages hensyn til virksomhedernes særligt følsomme oplysninger, og at reglerne om tavshedspligt i anden lovgivning skal overholdes.

Klima-, Energi- og Forsyningsministeriet vurderer på baggrund af ovenstående overvejelser, at de seks punkter i betænkning 1516's tjekliste vil være overholdt, hvorfor den foreslåede offentliggørelsesordning vil være i overensstemmelse med betænkningens kriterier for sådanne ordninger.

Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger. Der henvises i øvrigt til afsnit 3.7 i lovforslagets almindelige bemærkninger.

Til § 22

Ifølge elforsyningslovens § 85 c, stk. 2, og gasforsyningslovens § 15 b, stk. 2, kan klima-, energi- og forsyningsministeren påbyde virksomheder, som ikke har efterkommet påbud om overholdelse af krav til virksomhedernes it-beredskab, at foretage en it-revision af kritiske it-systemer ved en uafhængig revisor godkendt af tilsynsmyndigheden.

Efter olieberedskabslovens § 17, stk. 4, kan klima-, energi- og forsyningsministeren bestemme, at virksomheder skal fremsende en revisorerklæring om rigtigheden af fremsendte oplysninger om virksomhedens salg, køb og lagerbeholdninger af olie.

Det foreslås i stk. 1, at klima-, energi- og forsyningsministeren ved manglende opfyldelse af påbud efter § 21, stk. 1, nr. 1-5, kan påbyde virksomheder at få foretaget en revision af net- og informationsforanstaltninger, modstandsdygtighedsforanstaltninger og kritiske systemer ved en uafhængig revisor. Udgifterne til revisionen afholdes af virksomheden.

Efter bestemmelsen i CER-direktivets artikel 21, stk. 1, litra b, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser og midler til at foretage eller kræve revision af kritiske enheder.

Den foreslåede bestemmelse vil bygge videre på gældende bestemmelser fra el- og gassektoren, hvor ministeren kan påbyde virksomheder at foretage en revision. Den foreslåede bestemmelse vil kunne anvendes i flere tilfælde end tidligere. Som efter gældende regulering vil bestemmelsen finde anvendelse på net- og informationssystemer, svarende til it-beredskab, desuden vil klima-, energi- og forsyningsministeren påbyde virksomheder at få foretaget revision af modstandsforanstaltninger, som anvendes ved den fysiske sikring af virksomheden.

Revisionen vil adskille sig fra det generelle tilsyn, der er foreslået i lovforslagets § 19, ved at revisionen vil skulle udføres af en uafhængig revisor fremfor tilsynsmyndigheden, og at revisionen ikke vil være bundet af de tilsyns- og kontrolrammer, som anvendes af tilsynsmyndigheden.

Efter den foreslåede bestemmelse, vil klima-, energi- og forsyningsministeren kunne påbyde en revision, når håndhævelsesforanstaltninger, der er meddelt efter den foreslåede § 21, nr. 1-5, ikke vurderes tilstrækkeligt efterlevet. Påbud vil dermed kunne ske på baggrund af tilsyn, hvor tilsynsmyndigheden bliver opmærksom på manglende overholdelse af påbud hos virksomheder eller hvis sådan viden opnås gennem andre kanaler.

Det foreslåede vil medføre, at Klima-, energi og forsyningsministeren vil skulle foretage en konkret vurdering af omstændighederne i hver enkelt sag, hvor virksomheden påbydes at foretage en revision. Et påbud om revision vil skulle være proportionelt med de mangler, som er konstateret hos virksomheden.

Det forudsættes, at ministeren i sin vurdering af, om der vil skulle meddeles et påbud, vil skulle tage hensyn til overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser. Ved vurderingen af overtrædelsens grovhed skal følgende handlinger betragtes som alvorlige overtrædelser; gentagne overtrædelser, manglende underretning om eller afhjælpning af væsentlige hændelser, manglende afhjælpning af mangler efter bindende instrukser og afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende net- og informationssikkerhedsrisikostyringsforanstaltninger, modstandsforanstaltninger eller rapporteringsforpligtelser, der er fastsat i de foreslåede bestemmelser i §§ 6-9, 12, 13, 15 og 16. Endvidere vil ministeren i sin vurdering af, om der vil skulle meddeles et påbud, skulle tage hensyn til overtrædelsens varighed, den pågældende virksomheds relevante tidligere overtrædelser, enhver materiel eller immateriel skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt, hvorvidt der ved overtrædelsen er handlet forsætligt eller uagtsomt, enhver foranstaltning truffet af enheden for at forebygge eller afbøde den materielle eller immaterielle skade, hvorvidt godkendte adfærdskodekser eller godkendte certificeringsmekanismer er overholdt, og i hvilken udstrækning de fysiske eller juridiske personer, der holdes ansvarlige for overtrædelsen, samarbejder med de kompetente myndigheder.

Revisionen vil være afgrænset til de net- og informationssystemer, modstandsdygtighedsforanstaltninger og kritiske it-systemer, der indgår i virksomhedens opfyldelse af regler efter lovforslaget og regler udstedt i medfør af lovforslaget. Dermed vil en revision påbudt efter den foreslåede bestemmelse, ikke omfatte virksomhedens generelle regnskaber. Generelle administrative it-systemer vil være omfattet af en sådan revision, da cyberangreb ofte bruger sådanne systemer som en angrebsvinkel, til eksempelvis at tilegne sig adgang til andre systemer. Desuden vil revisionen få kompetence til at undersøge virksomhedens modstandsdygtighedsstyringsforanstaltninger.

Det forudsættes ved gennemførelsen af revisionen efter den foreslåede bestemmelse, at revisionen vil munde ud i en rapport, der vil indeholde en række anbefalinger fremsat af revisoren, der opstiller de tiltag som den pågældende virksomhed efter revisorens faglige vurdering, skal bringe i orden for at overholde lovforslagets regler om organisatorisk beredskab, fysisk sikring og cybersikkerhed og regler udstedt i medfør af dette lovforslag om disse emner.

Det forudsættes ligeledes ved gennemførelsen af bestemmelsen, at tilsynsmyndigheden, på baggrund af indholdet af revisorens rapport, kan blive tilsikret i den faglige kvalitet af revisionen, hvorved tilsynsmyndighedens afgørelse efter den foreslåede bestemmelse i stk. 2, kan underbygges med konkret faglig indsigt.

Det forudsættes endeligt ved gennemførelsen af bestemmelsen, at der er en vis fleksibilitet i bestemmelsen, i det den teknologiske udvikling på dette område gør, at der er behov for at kunne ændre på rammen for revisionen af virksomheden samt indholdet af revisorens rapport.

Det følger af den foreslåede stk. 2, at klima-, energi og forsyningsministeren kan påbyde virksomheder at gennemføre tiltag, som på baggrund af en revision efter stk. 1, vurderes nødvendige for at opretholde et tilstrækkeligt beredskab.

Efter den foreslåede bestemmelse, vil virksomheder dermed ikke allerede i medfør af revisionen være bundet af konklusionerne efter en afholdt revision. Virksomhederne vil med hjemmel i den foreslåede stk. 2 kunne påbydes at gennemføre tiltag på baggrund af revisionen. Bestemmelsen indebærer dermed, at klima-, energi- og forsyningsministeren konkret vil skulle gennemgå rapporter udarbejdet på baggrund af en revision, og vil efterfølgende kunne træffe afgørelse om at påbyde tiltag fra revisionen gennemført.

Det følger af den foreslåede stk. 3, at klima-, energi- og forsyningsministeren kan fastsætte nærmere regler for, hvordan den uafhængige revisor udpeges og godkendes.

Bestemmelsen har til formål at sikre, at der kan fastsættes regler, som understøtter, at den udpegede revisor er uafhængig af den virksomhed, som skal have foretage revision.

Med den foreslåede bestemmelse forventes det at der af klima-, energi- og forsyningsministeren vil kunne blive fastsat regler om af den uafhængige revisor, skal godkendes af klima-, energi- og forsyningsministeren forud for at revisionen må påbegyndes. For at lette godkendelsesprocessen forudsættes det, at konsekvensen af de regler, der fastsættes efter stk. 3, vil være, at klima-, energi- og forsyningsministeren kan udarbejde en liste med forhåndsgodkendte revisorer, hvor forhåndsgodkendelsen er af revisorens faglige niveau. Således vil vurderingen i det enkelte tilfælde kun være af om revisoren er uafhængig ift. den virksomhed der skal revideres.

Med den foreslåede bestemmelse forventes det, at der ligeledes vil kunne fastsættes regler om, hvilke kriterier en revisor skal opfylde for kunne sige at være uafhængig fra virksomheden, der skal revideres. Eksempelvis hvor lang tid siden revisoren senest må have foretaget arbejde for virksomheden eller nogle af virksomhedens andre koncernforbundne virksomheder.

Til § 23

Elforsyningslovens § 54, stk. 4, fastsætter regler om, at klima-, energi- og forsyningsministeren midlertidigt kan inddrage visse elektricitetsvirksomheders bevilling, dvs. virksomhedens autorisation til at drive elektricitetsvirksomhed. Ifølge bestemmelsen kan en bevilling midlertidigt inddrages i tilfælde af, at en virksomhed gentagne gange overtræder bestemmelser, vilkår eller påbud efter elforsyningsloven eller VE-loven eller regler udstedt i medfør af disse love, eller i tilfælde af at en netvirksomhed groft eller gentagne gange tilsidesætter vilkår stillet af Energinet i medfør af § 31, stk. 2, der vedrører virksomhedens bevillingspligtige aktivitet, såfremt overtrædelsen indebærer tilsidesættelse af væsentlige hensyn til elforsyningssikkerheden.

Elforsyningsloven indeholder ikke en bestemmelse om, at fysiske personer med ledelsesansvar midlertidigt kan forbydes at udøve ledelsesfunktioner.

Efter gasforsyningslovens § 33, stk. 1, nr. 1, kan bevillinger til gasvirksomheder inddrages af retten, hvis bestemmelser, vilkår eller påbud efter gasforsyningsloven eller regler udstedt i medfør af loven gentagne gange overtrædes.

Gasforsyningsloven indeholder ikke en bestemmelse om, at fysiske personer med ledelsesansvar midlertidigt kan forbydes at udøve ledelsesfunktioner.

Straffelovens § 79 indeholder regler om rettighedsfrakendelse ved dom for strafbare forhold, og bestemmelsen udgør den almindelige regel i dansk ret om rettighedsfrakendelse.

Det følger af bestemmelsen, at når særlige omstændigheder taler herfor, kan den, som udøver virksomhed, ved dom for strafbart forhold frakendes retten til fortsat at udøve den pågældende virksomhed eller til at udøve den under visse former, såfremt det udviste forhold begrunder en nærliggende fare for misbrug af stillingen, jf. straffelovens § 79. stk. 2. Efter samme regel kan der ske frakendelse af retten til at deltage i ledelsen af en erhvervsvirksomhed her i landet eller i udlandet uden at hæfte personligt og ubegrænset for virksomhedens forpligtelser. Frakendelsen sker på tid fra et til fem år regnet fra endelig dom, eller indtil videre, jf. § 79, stk. 3.

Efter straffelovens § 79, stk. 4, kan retten under behandlingen af de i straffelovens § 79, stk. 1 og 2, nævnte sager ved kendelse udelukke den pågældende fra at udøve virksomheden, indtil sagen er endeligt afgjort. Det kan ved dommen i sagen bestemmes, at anke ikke har opsættende virkning.

Det foreslås i § 23, stk. 1, at hvis en virksomhed overtræder et påbud og forbud, der er meddelt i medfør af § 21, nr. 1-4, og § 22, stk. 1 og 2, kan klima-, energi- og forsyningsministeren fastsætte en frist, inden for hvilken virksomheden skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde myndighedernes krav. Er tiltagene ikke foretaget inden for den fastsatte frist, kan klima-, energi- og forsyningsministeren træffe afgørelse om håndhævelsesforanstaltninger oplistet i nr. 1 og 2.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 5, skal medlemsstaterne sikre, at de kompetente myndigheder i en situation, hvor håndhævelsesforanstaltninger anvendt i medfør af direktivets artikel 32, stk. 4, litra a-d og f, er virkningsløse, skal have beføjelse til at fastsætte en frist, inden for hvilken den væsentlige enhed skal tage de nødvendige tiltag for at afhjælpe manglerne eller opfylde myndighedernes krav. Hvis de ønskede tiltag ikke tages inden for den fastsatte frist, skal de kompetente myndigheder have beføjelse håndhævelsesforanstaltninger efter artikel 32, stk. 5, litra a og b.

Den foreslåede bestemmelse vil medføre, at klima-, energi- og forsyningsministeren kan udstede en frist, inden for hvilken virksomheden skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde myndighedernes krav, i de påbud eller forbud, der meddelt i medfør af § 21, nr. 1-4 og § 22, stk. 1 og 2.

Den foreslåede bestemmelse vil medføre, at klima-, energi- og forsyningsministeren, såfremt fristen overskrides, kan træffe afgørelse om de stk. 1, nr. 1 og 2, nævnte suspensioner og forbud, der vil blive gennemgået nedenfor.

Bestemmelsen vil ligeledes finde anvendelse på forhold omkring fysisk sikring, som falder inden for CER-direktivets område.

Den foreslåede bestemmelse går videre end minimumskravene i NIS 2 direktivet, idet at bestemmelsen også kan anvendes, hvis virksomheden ikke har foretaget påbudt revision eller gennemført tiltag efter revisionen for så vidt angår modstandsdygtighedsforanstaltninger, som ikke er et krav der stammer fra NIS 2-direktivet. Bestemmelsen skal derudover forstås og anvendes i overensstemmelse med direktivets forudsætninger og eventuelle fortolkningsbidrag fra EU-Kommissionen, ENISA eller andre af EU's institutioner.

Det bemærkes i den forbindelse, at det af den danske oversættelse af NIS 2-direktivets artikel 32, stk. 5, 1. afsnit, fremgår, at bestemmelsen kan anvendes, hvor de relevante håndhævelsesforanstaltninger er »virkningsløse«. Denne oversættelse vurderes imidlertid ikke at være forenelig med den engelske udgave af direktivet, hvori »ineffective« er anvendt. Det er således Klima-, Energi- og Forsyningsministeriets vurdering, at formuleringen »virkningsløse« vil udgøre en indholdsmæssig forskydning i forhold til den engelske sprogversion. Det er desuden Klima-, Energi- og Forsyningsministeriets vurdering, at et kriterium om, at foranstaltningerne er »virkningsløse«, vil indebære, at enhver virkning af de anvendte foranstaltninger - uanset om virkningen måtte være utilstrækkelig eller endda negativ - vil betyde, at bestemmelsen ikke vil kunne anvendes. Det vurderes, at dette reelt vil gøre bestemmelsen uanvendelig i praksis i strid med direktivets forudsætninger. Det foreslås på den baggrund, at der i stedet anvendes et kriterie om, at virksomhederne har »overtrådt« håndhævelsesforanstaltningerne, da dette i en dansk juridisk sammenhæng vurderes at svare til »ineffektive« og afspejler et indbygget proportionalitetsprincip.

Det følger på den baggrund af den foreslåede bestemmelse, at det vil være en forudsætning for at anvende bestemmelsen, at håndhævelsesforanstaltninger pålagt i medfør af den foreslåede § 21, stk. 1-4, og § 22, stk. 1 og 2, er blevet overtrådt. Det er dermed en forudsætning, at mindre indgribende midler har været forsøgt og vist sig utilstrækkelige til at sikre, at enheden foretager de nødvendige tiltag for at afhjælpe mangler, som den kompetente myndighed har konstateret, eller opfylder den kompetente myndigheds krav.

Det bemærkes i den forbindelse, at Klima-, Energi- og Forsyningsministeriet efter omstændighederne og i relevant omfang vil kunne træffe afgørelse om anvendelse af flere håndhævelsesforanstaltninger på én gang. Der er således ikke i medfør af den foreslåede § 23 et krav om, at relevante håndhævelsesforanstaltninger anvendes tidsmæssigt forskudt af hinanden, såfremt det vurderes, at flere foranstaltninger i kombination er nødvendige for at sikre, at reglerne efterleves.

Der vil efter bestemmelsen skulle fastsættes en nærmere angivet frist, inden for hvilken enheden skal have truffet de nødvendige tiltag for at afhjælpe manglerne eller opfylde den kompetente myndigheds krav. Varigheden af fristen vil afhænge af en konkret vurdering, som foretages af den kompetente myndighed. Fastsættelsen af en nærmere angivet frist vil være en selvstændig forvaltningsretlig afgørelse, der træffes i tillæg til en afgørelse efter § 21, nr. 1-4, og § 22, stk. 1 og 2, hvorfor forvaltningslovens regler, herunder bl.a. bestemmelserne i kapitel 3 (om vejledning og repræsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse mv.) og kapitel 7 (om klagevejledning) i udgangspunktet vil finde anvendelse.

Bestemmelsen vil skulle anvendes i overensstemmelse med NIS 2-direktivets forudsætninger som udtrykt i præambelbetragtning nr. 133, hvorefter bestemmelsen kun bør anvendes som en sidste udvej, dvs. først efter at de øvrige, relevante håndhævelsesforanstaltninger er udtømt. Det fremgår videre af samme præambelbetragtning, at i betragtning af deres alvor og indvirkning på virksomhedens aktiviteter og i sidste ende brugerne, bør sådanne midlertidige suspensioner eller forbud kun anvendes proportionalt med overtrædelsens alvor og under hensyntagen til omstændighederne i hvert enkelt tilfælde, herunder i lyset af, om overtrædelsen var forsætlig eller uagtsom, og ethvert tiltag, der er iværksat for at forebygge eller afbøde den materielle eller immaterielle skade.

Det foreslås, at afgørelse om suspension eller forbud træffes af klima-, energi- og forsyningsministeren. Det skal ses i lyset af, at muligheden for suspension og forbud ligger i forlængelse af anvendelsen af de øvrige håndhævelsesmuligheder, og at der i en afgørelse om suspension eller forbud forudsættes at skulle indgå en begrundelse for, hvorfor allerede pålagte håndhævelsesforanstaltninger er utilstrækkelige.

Det følger af NIS 2-direktivets artikel 32, stk. 7, at klima-, energi- og forsyningsministeren ved anvendelsen af håndhævelsesforanstaltninger, såsom suspension eller forbud efter den foreslåede bestemmelse, skal inddrage de oplistede hensyn i litra a-h.

Det foreslås med § 23, stk. 1, nr. 1, at overtræder en virksomhed et påbud eller forbud, der er meddelt i medfør af § 21, nr. 1-4, og § 22, stk. 1 og 2, kan klima-, energi- og forsyningsministeren fastsætte en frist, inden for hvilken virksomheden skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde myndighedernes krav. Er tiltagene ikke foretaget inden for den fastsatte frist, kan klima-, energi- og forsyningsministeren træffe afgørelse om midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, virksomheden leverer, eller aktiviteter, der udføres af virksomheden.

Den foreslåede bestemmelse i § 23, stk. 1, nr. 1, indebærer, at såfremt virksomheden ikke har iværksat tiltag for at afhjælpe manglerne eller efterkomme den kompetente myndigheds krav inden for den fastsatte frist, kan klima-, energi- og forsyningsministeren træffe afgørelse om midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, virksomheden leverer, eller aktiviteter, der udføres af virksomheden. Det kan eksempelvis være elproduktionsbevilling efter elforsyningslovens § 10, bevilling til at drive netvirksomhed efter elforsyningslovens § 19, tilladelse til at producere elektricitet i medfør af VE-lovens 29 eller elforsyningslovens § 11, tilladelse til efterforskning og udvinding af råstoffer efter undergrundslovens § 5, samt bevillinger til transmissions-, distributions-, lager- og LNG-virksomhed efter gasforsyningslovens 10. Der findes også andre relevante certificeringen, godkendelser, tilladelser og bevillinger, f.eks. efter miljølovgivningen, der også vil kunne suspenderes med denne bestemmelse.

En afgørelse efter § 23, stk. 1, nr. 1, vil være en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler, herunder bl.a. bestemmelserne i kapitel 3 (om vejledning og repræsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse mv.) og kapitel 7 (om klagevejledning) i udgangspunktet vil finde anvendelse.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 5, litra a, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at midlertidigt at suspendere eller anmode et certificerings- eller godkendelsesorgan eller en domstol om i overensstemmelse med national ret midlertidigt at suspendere, en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, der leveres, eller aktiviteter, der udføres, af en væsentlig enhed.

En afgørelse efter nr. 1 vil være af midlertidig karakter. Der henvises i øvrigt til det foreslåede stk. 2, hvorefter afgørelsen kun kan opretholdes, så længe virksomheden ikke har truffet de nødvendige tiltag for at afhjælpe de mangler eller efterleve de krav fra klima-, energi- og forsyningsministeren, som gav anledning til, at foranstaltningerne blev anvendt.

Den foreslåede bestemmelse skal ses i sammenhæng med den foreslåede bestemmelse i stk. 5, hvorefter vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab vil kunne fastsætte nærmere regler for, hvilke certificeringer og godkendelser, som bestemmelsen i stk. 1, nr. 1, finder anvendelse på. Det forudsættes, at den foreslåede bestemmelse i 1, nr. 1, ikke anvendes, før bemyndigelsen i den foreslåede stk. 5, er anvendt.

Det foreslås med § 23, stk. 1, nr. 2, at overtræder en virksomhed et påbud og forbud, der er meddelt i medfør af § 21, nr. 1-4, og § 22, stk. 1 og 2, kan klima-, energi- og forsyningsministeren fastsætte en frist, inden for hvilken virksomheden skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde myndighedernes krav. Er tiltagene ikke foretaget inden for den fastsatte frist, kan klima-, energi- og forsyningsministeren træffe afgørelse om midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos virksomheden at udøve ledelsesfunktioner i den pågældende virksomhed.

Den foreslåede bestemmelse i § 23, stk. 1, nr. 2, indebærer, at såfremt virksomheden ikke har iværksat tiltag for at afhjælpe manglerne eller efterkomme klima-, energi- og forsyningsministerens krav inden for den fastsatte frist, kan klima-, energi- og forsyningsministeren træffe afgørelse om midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos enheden at udøve ledelsesfunktioner i den pågældende virksomhed.

En afgørelse efter § 23, stk. 1, nr. 2, vil være en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler, herunder bl.a. bestemmelserne i kapitel 3 (om vejledning og repræsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse mv.) og kapitel 7 (om klagevejledning) i udgangspunktet vil finde anvendelse.

Efter NIS 2-direktivets artikel 32, stk. 5, litra b, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at anmode de relevante organer eller domstole om i overensstemmelse med national ret midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau eller som juridisk repræsentant i den pågældende væsentlige enhed at udøve ledelsesfunktioner i den pågældende enhed.

Det bemærkes i denne forbindelse, at det af den danske oversættelse af NIS 2-direktivets artikel 32, stk. 5, litra b, bl.a. fremgår, at de personer med ledelsesansvar, der midlertidigt kan suspenderes, omfatter »enhver fysisk person med ledelsesansvar på direktionsniveau«. Denne oversættelse er efter Klima-, Energi- Forsyningsministeriets opfattelse imidlertid ikke forenelig med den engelske udgave af direktivet, hvori »any natural person who is responsible for discharging managerial responsibilities at chief executive officer or legal representative level in the essential entity from exercising managerial functions in that entity« er anvendt. Den franske sprogversion anvender en tilsvarende formulering som den engelske. I den foreslåede bestemmelse anvendes på den baggrund betegnelsen »enhver fysisk person med ledelsesansvar på niveau med administrerende direktør«.

I det omfang en virksomhed eller organisation ikke har en administrerende direktør, vil bestemmelsen omfatte den øverste leder af den pågældende væsentlige enhed, fx en generalsekretær, direktør, koncernchef eller managing partner. En afgørelse efter nr. 2, vil være af midlertidig karakter. Der henvises i øvrigt til det foreslåede stk. 2, hvorefter afgørelsen kun kan opretholdes, så længe virksomheden ikke har truffet de nødvendige tiltag for at afhjælpe de mangler eller efterleve de krav fra klima- energi- og forsyningsministeren, som gav anledning til, at foranstaltningerne blev anvendt.

I det omfang en virksomhed eller organisation ikke har en administrerende direktør, vil bestemmelsen omfatte den øverste leder af den pågældende væsentlige enhed, fx en generalsekretær, direktør, koncernchef eller managing partner.

En afgørelse efter nr. 2 vil være af midlertidig karakter, jf. også det foreslåede stk. 2, hvorefter afgørelsen kun kan opretholdes, så længe enheden ikke har truffet de nødvendige tiltag for at afhjælpe de mangler eller efterleve de krav fra myndigheden, som gav anledning til, at foranstaltningerne blev anvendt.

Det foreslås i § 23, stk. 2, at midlertidige suspensioner eller forbud, som er pålagt i medfør af stk. 1, kun kan anvendes, indtil virksomheden træffer de nødvendige foranstaltninger til at afhjælpe de mangler eller til at opfylde de krav, som gav anledning til at foranstaltningerne blev anvendt.

Den foreslåede bestemmelse vil implementere NIS 2-direktivets artikel 32, stk. 5, 2. led, 1. pkt., hvoraf det følger, at midlertidige suspensioner eller forbud, som er pålagt i henhold til dette stykke, kun anvendes, indtil den pågældende virksomhed træffer de nødvendige foranstaltninger til at afhjælpe manglerne eller opfylde den kompetente myndigheds krav, som gav anledning til at disse håndhævelsesforanstaltninger blev anvendt.

Klima-, Energi- og Forsyningsministeriet har ikke fundet grundlag for at gå videre end direktivet. Den foreslåede bestemmelse svarer således indholdsmæssigt til NIS 2-direktivets artikel 32, stk. 5, 2. led, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Bestemmelsen indebærer, at klima-, energi- og forsyningsministeren, der har truffet afgørelse om midlertidigt at suspendere en certificering eller midlertidigt har forbudt en fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos enheden at udøve ledelsesfunktioner i den pågældende enhed, skal træffe afgørelse om at ophæve foranstaltningen, når enheden har truffet de nødvendige tiltag for at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningen blev anvendt. En sådan afgørelse bør træffes hurtigst muligt.

Det foreslås i § 23, stk. 3, at en afgørelse efter stk. 1 kan af virksomheden eller den fysiske person, afgørelsen vedrører, forlanges indbragt for domstolene. Klima-, energi- og forsyningsministeren anlægger i givet fald sag mod den virksomhed eller person, som har forlangt sagen indbragt.

Den foreslåede bestemmelse vil implementere NIS 2-direktivets artikel 32, stk. 5, 2. led, 2. pkt., hvoraf det følger, at pålæggelse af midlertidige suspensioner eller forbud skal være underlagt passende proceduremæssige garantier i overensstemmelse med de generelle principper i EU-retten og chartret, herunder retten til effektive retsmidler og til en retfærdig rettergang, uskyldsformodningen og retten til et forsvar.

Det vil efter den foreslåede bestemmelse være muligt for virksomheden eller den fysiske person, som afgørelsen om suspension eller forbud vedrører, at forlange afgørelsen indbragt for retten. Når en sådan sag indbringes for retten, vil bestemmelserne i retsplejeloven finde anvendelse, hvilket vil sikre de nødvendige retssikkerhedsgarantier.

Den foreslåede bestemmelse vil ikke afskære enheden eller den fysiske person, som afgørelsen vedrører, fra at påklage afgørelsen som led i almindelig administrativ rekurs og efter § 31 om klage til Energiklagenævnet.

Det vil efter bestemmelsen være muligt for enheden at forlange afgørelsen indbragt for retten, uanset om der er truffet en administrativ afgørelse i 2. instans.

Det følger af det foreslåede § 23, stk. 4, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, kan fastsætte nærmere regler om, hvilke certificeringer og godkendelser der er omfattet af stk. 1, nr. 1.

Den foreslåede bestemmelse indebærer, at der vil kunne fastsættes regler, der vil skulle sikre, at det vil være nærmere regler i bekendtgørelsesform sikres det, at det vil være klart og forudsigeligt for enhederne, hvilke certificerings- og godkendelsesordninger, der vil kunne medføre suspension. Det sikres endvidere, at reglerne løbende kan tilpasses den udvikling, der er på området, fx i tilfælde af, at der indføres en ny cybersikkerhedscertificering i EU-regi.

Det forventes, at eksempelvis elproduktionsbevilling efter elforsyningslovens § 10, bevilling til at drive netvirksomhed efter elforsyningslovens § 19, tilladelse til at producere elektricitet i medfør af VE-lovens 29 eller elforsyningslovens § 11, tilladelse til efterforskning og udvinding af råstoffer efter undergrundslovens § 5, samt bevillinger til transmissions-, distributions-, lager- og LNG-virksomhed efter gasforsyningslovens 10, vil kunne suspenderes midlertidigt. Der findes dog også andre relevante certificeringen, godkendelser, tilladelser og bevillinger, f.eks. efter miljølovgivningen, der også vil kunne omfattes i de nærmere fastsatte regler.

Det forudsættes, at den foreslåede bestemmelse i stk. 1, nr. 1, ikke anvendes, før bemyndigelsen i den foreslåede stk. 5, er anvendt.

For så vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.

Til § 24

Det følger af forvaltningslovens § 19, stk. 1, at såfremt en part ikke kan antages at være bekendt med, at myndigheden er i besiddelse af bestemte oplysninger om en sags faktiske grundlag eller eksterne faglige vurderinger, må der ikke træffes afgørelse, før ministeriet har gjort parten bekendt med oplysningerne eller vurderingerne og givet denne lejlighed til at fremkomme med en udtalelse. Det gælder dog kun, hvis oplysningerne eller vurderingerne er til ugunst for den pågældende part og er af væsentlig betydning for sagens afgørelse. Ministeriet kan fastsætte en frist for afgivelsen af den nævnte udtalelse, jf. forvaltningslovens § 19, stk. 1, jf. dog undtagelserne i stk. 2.

Det foreslås i § 24, stk. 1, at inden Klima- Energi- og Forsyningsministeriet træffer afgørelse om at anvende håndhævelsesforanstaltninger efter §§ 21-23, underrettes den berørte virksomhed om de påtænkte håndhævelsesforanstaltninger og begrundelsen herfor. Klima- Energi- og Forsyningsministeriet skal give virksomheden en rimelig frist til at fremsætte bemærkninger, undtagen i tilfælde hvor formålet med foranstaltningen ellers ville forspildes.

Den foreslåede bestemmelse vil skærpe kravene for, hvornår myndigheden har pligt til at foretage høring. Efter foreslåede bestemmelse, vil der være pligt til at høre den berørte virksomhed, uagtet om virksomheden måtte være bekendt med oplysninger om en sags faktiske oplysninger eller ej før der træffes afgørelse. Bestemmelsen indeholder dermed en mere objektiv høringspligt end forvaltningslovens § 19, stk. 1. Derudover vil mængden af undtagelsesbestemmelser begrænses.

Den foreslåede bestemmelse skal ses i sammenhæng med lovens mekanisme for anvendelse af håndhævelsesforanstaltninger. Lovforslaget indeholder en eskalation af anvendelsen af håndhævelsesforanstaltninger. En afgørelse efter lovforslagets § 22 eller § 23 vil dermed kunne træffes på grundlag af, at en virksomhed ikke har overhold et forbud eller påbud, som er afgivet i medfør af § 21. Der vil dermed ikke være tale om nye oplysninger, men en fortsættelse af tidligere forhold. Bestemmelsen vil i den forbindelse sikre, at den pågældende part vil skulle høres, inden der træffes afgørelse om eskalation af håndhævelsesforanstaltninger.

Den foreslåede bestemmelse vil implementere artikel 32, stk. 8, i NIS 2-direktivet. Artikel 32, stk. 8, fastsætter, at de kompetente myndigheder giver en detaljeret begrundelse for deres håndhævelsesforanstaltninger. Inden de kompetente myndigheder træffer sådanne foranstaltninger, underretter de kompetente myndigheder de berørte enheder om deres foreløbige resultater. De giver også disse enheder en rimelig frist til at fremsætte bemærkninger, undtagen i behørigt begrundede tilfælde, hvor øjeblikkelige foranstaltninger til at forebygge eller reagere på hændelser ellers ville blive hindret.

Den foreslåede bestemmelse svarer således indholdsmæssigt til NIS 2-direktivets artikel 32, stk. 8, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Efter den foreslåede bestemmelse vil Klima-, Energi- og Forsyningsministeriet skulle sende en såkaldt agterskrivelse til en virksomhed, før der træffes beslutning om at anvende en påtænkt håndhævelsesforanstaltning efter §§ 21-23.

Agterskrivelsen vil skulle være ledsaget af en nærmere begrundelse for den påtænkte håndhævelsesforanstaltning, ligesom det vil skulle fremgå klart, at der er tale om en høring, at der ikke er truffet afgørelse i sagen endnu, at virksomhedens bemærkninger til høringen kan få indflydelse på resultatet, og at Klima-, Energi- og Forsyningsministeriet lader agterskrivelsen få virkning som en afgørelse, hvis virksomheden ikke kommer med bemærkninger til høringen inden dennes udløb.

Agterskrivelsen vil skulle indeholde en rimelig frist for virksomheden til at afgive bemærkninger til agterskrivelsens indhold.

Høringsskrivelsen vil skulle indeholde en rimelig frist for enheden til at afgive bemærkninger til agterskrivelsens indhold. Kravet om at fastsætte en rimelig frist vil dog ikke gælde i behørigt begrundede tilfælde, hvor øjeblikkelige foranstaltninger til at forebygge eller reagere på hændelser ellers ville blive hindret.

Der henvises i øvrigt til afsnit 3.7 i lovforslagets almindelige bemærkninger.

Til § 25

Der er ikke beredskabsregulering inden for energisektoren, der indeholder bestemmelser om gensidig bistand om cybersikkerhed mellem medlemsstaters kompetente myndigheder.

Det foreslås i § 25, stk. 1, 1. pkt., at klima-, energi og forsyningsministeren samarbejder med de andre medlemsstaters kompetente myndigheder i relevant omfang, når en virksomhed leverer tjenester i mere end én medlemsstat i Den Europæiske Union, eller hvor virksomheden leverer tjenester i én eller flere medlemsstater, og virksomhedens net- og informationssystemer er beliggende i en eller flere andre medlemsstater.

Den foreslåede bestemmelse har til formål at danne rammen for gensidig bistand om cybersikkerhed mellem at klima-, energi og forsyningsministeren og andre medlemsstaters kompetente myndigheder i de tre tilsyns- og håndhævelsessituationer der er oplistet i stk. 1, nr. 1 - 3.

Bestemmelsen vil implementere artikel 37, stk. 1, i NIS 2-direktivet, hvoraf det følger, at hvor en enhed leverer tjenester i mere end én medlemsstat, eller hvor den leverer tjenester i en eller flere medlemsstater, og dens net- og informationssystemer er beliggende i en eller flere andre medlemsstater, samarbejder de kompetente myndigheder i de pågældende medlemsstater med og bistår hinanden efter behov. Det fremgår af direktivet, at dette samarbejde indebærer mindst; a) at de kompetente myndigheder, der anvender tilsyns- eller håndhævelsesforanstaltninger i en medlemsstat, via det fælles kontaktpunkt underretter og hører de kompetente myndigheder i de øvrige berørte medlemsstater om de tilsyns- og håndhævelsesforanstaltninger, der er truffet, b) at en kompetent myndighed kan anmode en anden kompetent myndighed om at træffe tilsyns- eller håndhævelsesforanstaltninger, og c) at en kompetent myndighed efter modtagelse af en begrundet anmodning fra en anden kompetent myndighed yder bistand til den anden kompetente myndighed, der står i et rimeligt forhold til dens egne ressourcer, således at tilsyns eller håndhævelsesforanstaltningerne kan gennemføres på en effektiv, virkningsfuld og konsekvent måde.

Den foreslåede bestemmelse indebærer, at Klima-, Energi- og Forsyningsministeriet i relevant omfang skal samarbejde med de kompetente myndigheder i andre medlemsstater om deres opgaveudførelse vedrørende enheder, der leverer tjenester i én eller flere medlemsstater, og enheder, hvis net- og informationssystemer er beliggende i én eller flere medlemsstater.

Det foreslås i § 25, stk. 1, 2. pkt., nr. 1, at klima-, energi- og forsyningsministeren via det centrale kontaktpunkt, der er klima-, energi- og forsyningsministeren via det centrale kontaktpunkt, der er udpeget af regeringen i medfør af, Europa-Parlamentets i medfør af NIS 2-direktivet, underretter de kompetente myndigheder i relevante medlemsstater om anvendte tilsyns- og håndhævelsesforanstaltninger,

Det følger af den foreslåede bestemmelse i § 25, stk. 1, 2. pkt., nr. 1, at samarbejdet om cybersikkerhed indebærer, at der skal ske underretning til de kompetente myndigheder i medlemsstater, hvor enheden leverer tjenester, eller hvor dens net- og informationssystemer er beliggende.

Det foreslås i § 25, stk. 1, 2. pkt., nr. 2, at klima-, energi- og forsyningsministeren kan anmode en anden medlemsstats kompetente myndigheder om at anvende tilsyns- og håndhævelsesforanstaltninger.

Men den foreslåede bestemmelse kan klima-, energi- og forsyningsministeren anmode en anden medlemsstats kompetente myndigheder om at anvende tilsyns- og håndhævelsesforanstaltninger overfor virksomheder omfattet af den anden medlemsstats regler der implementerer NIS 2-direktivet i det pågældende land. Bestemmelsen tænkes fx anvendt i situationer, hvor klima-, energi- og forsyningsministeren i forbindelse med et tilsyn efter denne lov eller regler udstedt i medfør af loven, af en dansk virksomhed, der er ejet eller på anden måde kontrolleret af en virksomhed i anden medlemsstat, har konstateret en overtrædelse af lovgivningen, der udspringer fra den udenlandske virksomhed. Det kunne også tænkes relevant i den omvendte situation, hvor den danske virksomhed er virksomheden der ejer eller kontrollerer en virksomhed i en anden medlemsstat.

Det foreslås i § 25, stk. 1, 2. pkt., nr. 3, at klima-, energi- og forsyningsministeren i rimeligt omfang yder bistand til en anden medlemsstats kompetente myndighed efter modtagelse af en begrundet anmodning herom.

Det følger af NIS 2-direktivets artikel 37, stk. 1, 2. led, at den gensidige bistand, der er omhandlet i litra c, kan omfatte anmodninger om oplysninger og tilsynsforanstaltninger, herunder anmodninger om at foretage inspektioner på stedet eller eksternt tilsyn eller målrettede sikkerhedskontroller. En kompetent myndighed, som en anmodning om bistand er rettet til, må ikke afvise anmodningen, medmindre det er fastslået, at den ikke er kompetent til at yde den ønskede bistand, at den bistand, der anmodes om, ikke står i et rimeligt forhold til den kompetente myndigheds tilsynsopgaver, eller anmodningen vedrører oplysninger eller indebærer aktiviteter, som, hvis de blev videregivet eller udført, ville stride mod den medlemsstats væsentlige interesser med hensyn til national sikkerhed, offentlige sikkerhed eller forsvar. Før den kompetente myndighed afslår en sådan anmodning, hører den de øvrige berørte kompetente myndigheder samt, efter anmodning fra en af de berørte medlemsstater, EU-Kommissionen og ENISA.

Bistanden efter den foreslåede bestemmelse i § 25, stk. 1, 2. pkt., nr. 3, kan omfatte anmodninger om oplysninger og tilsynsforanstaltninger, herunder eksempelvis anmodninger om at foretage inspektioner på stedet eller målrettede sikkerhedskontroller.

En anmodning om bistand vil kunne afvises, hvis anmodningen ikke står i rimeligt forhold til den kompetente myndigheds tilsynsopgaver og ressourcer.

En anmodning om bistand vil desuden kunne afvises, hvis anmodningen vedrører videregivelse af oplysninger eller indebærer udførelsen af aktiviteter, som ville stride mod væsentlige interesser med hensyn til national sikkerhed, offentlige sikkerhed eller forsvar. Før der vil kunne ske afvisning af en anmodning, vil den kompetente myndighed skulle høre de relevante kompetente myndigheder i andre medlemsstater samt, efter anmodning fra en af de relevante kompetente myndigheder i andre medlemsstater, EU-Kommissionen og ENISA.

Det foreslås i § 25, stk. 2, at klima-, energi- og forsyningsministeren efter nærmere aftale med kompetente myndigheder fra andre medlemsstater i Den Europæiske Union, kan gennemføre fælles tilsynstiltag.

Den foreslåede bestemmelse vil implementere NIS 2-direktivets artikel 37, stk. 2, hvoraf det følger, at de kompetente myndigheder fra forskellige medlemsstater, hvor det er hensigtsmæssigt og efter fælles overenskomst, kan gennemføre fælles tilsynstiltag.

Der stilles med den foreslåede bestemmelse ikke nærmere formkrav til den aftale, der indgås om udførelsen af fælles tilsynstiltag.

Den foreslåede bestemmelse indebærer ikke, at andre medlemsstaters myndigheder selvstændigt kan udøve tilsynsbeføjelser her i landet.

Til § 26

Efter elforsyningslovens § 85 c, stk. 4 og gasforsyningslovens § 15 b, stk. 4, er informationer, herunder vurderinger, planer og data, vedrørende sikkerhedsforhold for kritiske it-systemer i virksomheder, omfattet af § 85 c, stk. 1 og § 15 b, stk. 1, fortrolige, hvis oplysningerne er væsentlige af hensyn til driften af virksomheden eller det sammenhængende hhv. elsystem og gassystem.

Det er nærmere fastsat i § 29 i it-beredskabsbekendtgørelsen, at følsomme oplysninger skal behandles med fortrolighed, og at der ved følsomme oplysninger forstås oplysninger om konkrete risici og sårbarheder, planmateriale, kritiske dele af beredskabsplaner, herunder hvordan virksomheden eller sektoren vil agere i givne beredskabssituationer, materiale af tilsvarende karakter, der af virksomheden eller Energinet vurderes følsomt. Endvidere fastsætter § 29, stk. 3, at forsendelse og håndtering af følsomt materiale skal ske på en måde, der sikrer fortrolighed og integritet af materialet, mens § 29, stk. 4, bestemmer at følsomt materiale, som ikke længere benyttes, skal destrueres.

Det er endvidere i § 32 i hhv. elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen, med hjemmel i elforsyningslovens § 85 b, stk. 3 og 4, og gasforsyningslovens § 15 a, stk. 3 og 4, angivet, at sårbarhedsvurderinger og klassificering efter § 11, stk. 1 og 2, samt kritiske dele af beredskabsplaner og andet materiale af tilsvarende karakter skal behandles fortroligt og ikke må komme uvedkommende i hænde.

Næsten tilsvarende bestemmelser som ovenfor findes i olieberedskabsbekendtgørelsens § 19, der dog har den ekstra tilføjelse i stk. 3, 2. pkt., at udstederen af følsomme oplysninger har pligt til at gøre modtageren opmærksom på eventuelle krav til håndteringen af følsomt materiale.

Det foreslås i stk. 1, at informationer om sikkerhedsgodkendelse og baggrundskontrol samt forhold vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed i virksomheder, der er omfattet af loven eller informationer om energisektoren generelt, som udarbejdes i medfør af denne lov, er fortrolige i de tilfælde der er oplistet i de foreslåede nr. 1-5.

Den foreslåede bestemmelse i stk. 1, skal i udgangspunktet ses som en videreførelse af de ovenstående bestemmelser i hhv. elforsyningsloven, gasforsyningsloven og de fire beredskabsbekendtgørelser, med undtagelse af bestemmelserne om kommercielt følsomme oplysninger.

Først og fremmest er formålet at fastlægge, at en lang række informationer, der bliver udarbejdet og bruges som led i denne lov af både virksomheder og myndigheder, herunder EU-Kommissionen og dennes rådgivende missioner efter § 20, indeholder informationer, som er beskyttelsesværdige, og derfor skal behandles med fortrolighed, af alle der er besiddelse af disse informationer.

Det vil som udgangspunkt være udstederen eller ejeren af oplysningerne, der vurderer oplysningernes fortrolighed samt drager nødvendige foranstaltninger for at beskytte disse.

Bestemmelsen i det foreslåede stk. 1 ændrer ikke ved, at virksomhederne vil skulle udlevere informationer til Energistyrelsen eller EU-Kommissionen og dennes rådgivende missioner efter den foreslåede § 20, i tilsynsøjemed.

Den foreslåede bestemmelse har endvidere som formål at sikre, at personer, der virker inden for den offentlige forvaltning, har tavshedspligt omkring de beskyttelsesværdige informationer, i henhold til forvaltningslovens § 27, stk. 2, 2. pkt., såfremt informationerne ikke allerede er omfattet af en af de andre bestemmelser i forvaltningslovens § 27. Informationerne falder således, grundet klassificeringen som fortrolig ved lov og bekendtgørelse, ind under anvendelsesområdet for forvaltningslovens § 27, stk. 2, 2. pkt. Det betyder, at personer, der virker inden for den offentlige forvaltning, vil kunne ifalde strafansvar efter straffelovens § 152 og §§ 152 c-152 f, såfremt personen bryder sin tavshedspligt om disse informationer.

Den foreslåede bestemmelse indskrænker ikke, at informationer, der ved tilsyn eller på anden vis kommer Energistyrelsen i hænde, vil være omfattet af reglerne om aktindsigt i henhold til lov om offentlighed i forvaltningen, forvaltningsloven samt lov om aktindsigt i miljøoplysninger i de tilfælde, hvor det skønnes, at oplysningerne er miljøoplysninger efter definitionen i § 3 i miljøoplysningsloven.

Der skal således ved vurderingen af, om der kan gives aktindsigt, efter reglerne i offentlighedsloven, forvaltningsloven og miljøoplysningsloven, i de nævnte typer informationer, vurderes om disse informationer falder ind under disse loves undtagelsesbestemmelser, fx angående undtagelse af oplysninger af hensyn til statens sikkerhed eller rigets forsvar, undtagelse af oplysninger af hensyn til rigets udenrigspolitiske interesser m.v. og undtagelse af oplysninger om private forhold og drifts- eller forretningsforhold m.v.

Endvidere vil den foreslåede bestemmelse have den virkning, at der vil være en formodning om, at arkivlovens § 27, stk. 1, nr. 1, 2, 5 og 6, finder anvendelse på de nævnte informationer, som myndigheder, samt selskaber, institutioner, foreninger m.v., efter arkivloven er forpligtiget til at aflevere til offentligt arkiv i henhold til arkivlovens regler. Det betyder, at disse myndigheder, samt selskaber, institutioner, foreninger m.v. vil være forpligtiget til at drøfte med det modtagne arkiv om fastsættelse af en tilgængelighedsfrist, der er så lang som mulig i henhold til den foreslåede § 27, stk. 1.

Det foreslås i nr. 1, at informationerne er fortrolige i det tilfælde, at informationerne indgår i vurderingen af sikkerhedsgodkendelser.

Med den foreslåede bestemmelse vil alle oplysninger der tilgår klima-, energi- og forsyningsministeren i forbindelse med behandlingen af en ansøgning om sikkerhedsgodkendelse efter § 16, stk. 2, være omfattet.

Det foreslås i nr. 2, at informationerne er fortrolige i det tilfælde, at informationerne indgår i vurderingen af baggrundskontrol.

Med den foreslåede bestemmelse vil alle oplysninger der tilgår klima-, energi- og forsyningsministeren i forbindelse med behandlingen af en ansøgning om baggrundskontrol efter § 16, stk. 1, være omfattet.

Det foreslås i nr. 3, at informationerne er fortrolige i det tilfælde, at informationerne er væsentlige af hensyn til driften af virksomheden. Bestemmelsen vedrører eksempelvis risiko og sårbarhedsvurderinger, planmateriale, beredskabsplaner, sikringsplaner, tekniske informationer om opbygning af anlæg og netværksstrukturer samt data der bruges af virksomhederne til at levere deres tjenester.

Ved risiko og sårbarhedsvurderinger forstås i denne bestemmelse beskrivelser af konkrete sårbarheder eller scenarier, der kan afstedkomme en krisesituation eller et angreb, herunder cyberangreb. Vurderinger henviser både til virksomhedens egne vurderinger af egne systemer samt vurderinger af det samlede energisystems sårbarheder.

Ved planmateriale, beredskabsplaner og sikringsplaner forstås i denne sammenhæng beskrivelser af procedure, handlinger eller foranstaltninger, der skal forhindre eller forebygge en krisesituation eller et angreb, herunder cyberangreb.

Ved data forstås i denne sammenhæng følsomme informationer bl.a. data om systemets drift, adgange eller brugerstyring. Disse data beskriver systemers opsætning og adgangsstyring.

Det foreslås i nr. 4, at informationerne er fortrolige i det tilfælde, at informationerne er væsentlige af hensyn til driften af andre virksomheder omfattet af loven.

Informationer, som er væsentlige af hensyn til driften af andre virksomheder omfattet af loven, er de samme typer af informationer der nævnt i forslaget til nr. 3. Forskellen mellem de to bestemmelser er, at der i nr. 4 er formodning om, at den der har informationen i hænde i dette tilfælde ikke er virksomheden som oplysningerne handler om.

Det foreslås i nr. 5, at informationerne er fortrolige i det tilfælde, at informationerne er væsentlige af hensyn til driften af energiforsyningen lokalt, regionalt, nationalt eller på europæisk niveau.

Informationerne, som er væsentlige af hensyn til driften af energiforsyningen lokalt, regionalt, nationalt eller på europæisk niveau, er de samme typer af oplysninger som nævnt i forslaget til nr. 3, men i stedet for at være en virksomheds beredskabsplan eller risiko- og sårbarhedsvurdering, så vil det i denne sammenhæng være f.eks. en beredskabsplan eller risiko- og sårbarhedsvurdering angående beredskabet på lokalt, regionalt, nationalt eller europæisk niveau. Det kan også være andre oplysninger der udarbejdes som led i overholdelsen af loven eller regler udstedt i medfør af loven, som indeholder informationer, der er væsentlige af hensyn til driften af energiforsyningen på lokalt, regionalt, nationalt eller europæisk niveau.

Det foreslås i stk. 2, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om, hvordan virksomheder og myndigheder behandler informationer som nævnt i stk. 1.

Den foreslåede bestemmelse har den virkning, at klima-, energi- og forsyningsministeren bemyndiges til administrativt at fastsætte de nærmere regler for, hvordan virksomheder og myndigheder opbevarer, behandler og deler den type informationer, som der er blevet designeret som fortrolige efter stk. 1.

Det er forventningen, at ministeren vil fastsætte bestemmelser, der pålægger virksomheder og myndigheder selv at gøre opmærksom på, hvordan de forventer, at deres fortrolige informationer bliver behandlet af myndighederne og andre virksomheder, når sådanne fortrolige informationer deles og udveksles. Det forventes dog samtidigt, at ministeren fastsætter regler om, at virksomhederne, desuagtet sådanne instruktioner, skal udlevere de fortrolige informationer, når det er påkrævet i henhold til lovforslagets bestemmelser eller i regler udstedt i medfør i loven, fx i tilsynsøjemed og som led i overholdelsen af underretningspligter.

Endvidere er det forventningen, at ministeren fastsætter bestemmelser om at fortrolige informationer ikke må komme uvedkommende i hænde og at informationer skal udarbejdes, opbevares og deles på en sådan måde, at der ikke kan opnås uautoriseret adgang, ske sletning, ødelæggelse, ændring eller utilsigtet offentliggørelse af disse informationer.

Det er desuden forventningen, at ministeren fastsætter bestemmelser om at fortrolige informationer, som ikke længere benyttes, skal destrueres, medmindre det forsat skal kunne udleveres til tilsyn, i forbindelse med efterforskning eller påkræves bevaret i anden lovgivning såsom arkivloven, forvaltningsloven og offentlighedsloven.

Endeligt er det forventningen, at ministeren fastsætter bestemmelser om, at hvis fortrolige informationer kompromitteres eller mistænkes for at være kompromitteret, så skal skadevirkningerne opgøres og vurderes, ligesom virksomheden skal underrette tilsynsmyndigheden og andre virksomheder, hvor kompromitteringen potentielt kan få konsekvenser for disse virksomheders levering af deres tjenester.

Det er ikke hensigten at fastsætte regler, som overlapper indholdsmæssigt med de regler for klassificeret materiale, som fremgår af sikkerhedscirkulæret.

Til § 27

Der er ikke i gældende ret for energisektoren fastsat regler om, at underretninger er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

Det foreslås i § 27, at underretning efter den foreslåede § 15 er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

Den foreslåede bestemmelse implementerer NIS 2-direktivets art. 30, nr. 2, 2. afsnit, 1 pkt. som anfører, at "[…] samtidig med at den vil sikre fortroligheden og passende beskyttelse af de oplysninger, der er afgivet af den underrettende enhed".

Særligt for virksomheder kan oplysninger om, at der fx er gennemført et vellykket hackerangreb, hvor virksomheden har mistet data, i høj grad skade virksomhedens omdømme, og det kan i praksis afholde mange virksomheder fra frivilligt at underrette Energistyrelsen, som kompetent myndighed, om et sådant hackerangreb. Derfor foreslås det med bestemmelsen, at underretningerne i deres helhed undtages fra reglerne om aktindsigt efter lov om offentlighed i forvaltningen og forvaltningsloven, herunder partsaktindsigt efter forvaltningsloven. Undtagelsen vil omfatte underretningssagen som helhed og vil derfor også omfatte de processkridt, der tages af på baggrund af underretningen efter den foreslåede § 15.

Undtagelsen fra aktindsigt vil derimod ikke omfatte virksomheders eller fysiske personers adgang til at gøre sig bekendt med oplysninger, herunder personoplysninger, der vedrører deres egne forhold. En part i en sag vil således kunne søge om aktindsigt efter forvaltningslovens § 9 om partsaktindsigt.

Den foreslåede undtagelse fra aktindsigt i underretning efter § 15 vil ikke omfatte retten til aktindsigt efter miljøoplysningsloven, såfremt den enkelte underretning efter § 15, skulle indeholde miljøoplysninger. Man vil således forsat kunne få aktindsigt i miljøoplysninger efter miljøoplysningslovens regler, såfremt underretningen efter § 15 indeholder miljøoplysninger. Det er således Klima-, Energi- og Forsyningsministeriets vurdering at en sådan undtagelse ville være i strid med miljøoplysningsdirektivet.

Det er Klima-, Energi- og Forsyningsministeriets vurdering, at konsekvenserne ved den i bestemmelsen foreslåede undtagelse til offentlighedsloven i praksis er relativt begrænset. Således vil de fleste oplysninger, der vil indgå i en underretning efter den foreslåede § 15, alligevel kunne undtages efter flere af offentlighedslovens undtagelsesbestemmelser.

Der tænkes således særligt på undtagelserne i § 30 om enkeltpersoners forhold og virksomheders tekniske indretninger eller fremgangsmåder eller om drifts- eller forretningsforhold el.lign. for så vidt det er af væsentlig økonomisk betydning for den person eller virksomhed, oplysningerne angår, at anmodningen ikke imødekommes. Således vil den nævnte type hændelser meget ofte relatere sig til meget følsomme it-systemer, der bruges til drift af de tjenester, som virksomheden leverer. Offentliggørelse af sådanne oplysninger vil derfor kunne have stor økonomisk betydning for virksomheden. Dette gælder både ift. konkurrenters indsigt i driften af virksomhederne, men derudover vil tekniske oplysninger også kunne bruges til at forværre et igangværende angreb. Derudover vil oplysningerne kunne bruges til at designe et succesfuld angreb mod virksomheden, med henblik på gennemførsel på et senere tidspunkt.

Det vil også være oplysninger, der vil kunne undtages efter offentlighedslovens § 31 om undtagelse af oplysninger i det omfang, det er af væsentlig betydning for statens sikkerhed eller rigets forsvar.

Grundet de typer af virksomheder, som loven vil omfatte, og som leverer essentielle energiforsyninger til brug for samfundets funktion, vil der være oplysninger i underretninger efter § 15, som vil kunne bruges til at skade statens sikkerhed og rigets forsvar. Potentielt vil oplysningerne kunne bruges til at ramme national elektricitetsforsyning eller gasforsyning eller mindre virksomheder, som leverer elektricitet til kaserner, folketinget, sygehuse, teleinfrastruktur m.v.

Endvidere vil oplysninger i underretninger efter den foreslåede § 15 også kunne undtages efter offentlighedslovens § 32 om undtagelse af oplysninger af hensyn til rigets udenrigspolitiske interesser m.v.

Der kan være oplysninger i underretninger efter § 15, der kan bruges til at skade rigets udenrigspolitiske interesser. Det kan fx være, hvis underretningen angår en væsentlig hændelse på energiinfrastruktur, der bruges til at eksportere energi til udlandet. Her kan der være et udenrigspolitisk hensyn til at holde hændelsen fortrolig så længe som muligt, således at det andet land kan koordinere sine foranstaltninger og kommunikation til offentligheden i det pågældende land om, hvordan situationen skal håndteres.

Endeligt vil oplysninger også kunne undtages efter offentlighedslovens § 33 nr. 1, om forebyggelse, efterforskning og forfølgning af lovovertrædelser, straffuldbyrdelse og lign. og beskyttelse af sigtede, vidner eller andre i sager om strafferetlig eller disciplinær forfølgning samt nr. 5, om undtagelse af hensyn til private og offentlige interesser, hvor hemmeligholdelse efter forholdets særlige karakter er påkrævet.

Der kan være oplysninger i underretninger efter § 15, som vil indgå i opklaring af en eventuel forbrydelse begået af en eller flere hackere, der har forårsaget den væsentlige hændelse hos virksomheden. Det samme kan gøre sig gældende i en situation, hvor Center for Cybersikkerhed ønsker at imødegå og dermed forhindre, at en cybertrussel udvikler sig til en væsentlig hændelse hos virksomheden. Mulighederne for at imødegå sådanne cybertrusler kan forspildes, såfremt der sker en offentliggørelse af oplysninger, mens der er en efterforskning af politiet eller Center for Cybersikkerhed i gang. Ligeledes kan det ikke udelukkes, at der er andre særlige hensyn til private eller offentlige interesser, som der kræver at der skal ske hemmeligholdelse af underretningen.

Af ovenstående grunde er det derfor vurderingen, at der i praksis kun vil være mindre konsekvenser ved den foreslåede undtagelse til offentlighedsloven.

Til § 28

Forvaltningslovens §§ 28-32 fastsætter rammerne for forvaltningsmyndigheders videregivelse af oplysninger til en anden forvaltningsmyndighed. Det følger af forvaltningslovens § 28, stk. 1, at for videregivelse af oplysninger om enkeltpersoner (personoplysninger) til en anden forvaltningsmyndighed gælder reglerne i databeskyttelseslovens §§ 6-8, § 10, § 11, stk. 1, § 38 og § 40. Det følger af § 28, stk. 2, at oplysninger af fortrolig karakter, som ikke er omfattet af stk. 1, kun må videregives til en anden forvaltningsmyndighed, når: 1) den, oplysningen angår, udtrykkeligt har givet sit samtykke, 2) det følger af lov eller bestemmelser fastsat i medfør af lov, at oplysningen skal videregives, eller 3) det må antages, at oplysningen vil være af væsentlig betydning for myndighedens virksomhed eller for en afgørelse, myndigheden skal træffe. Bestemmelsen regulerer imidlertid ikke videregivelse til udenlandske myndigheder.

Derudover reguleres videregivelse af oplysninger, der ville stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige orden eller forsvar bl.a. i sikkerhedscirkulæret, forvaltningslovens regler om tavshedspligt og videregivelse af oplysninger samt straffelovens regler om tavshedspligt.

Det foreslås i § 28, at Klima-, Energi- og Forsyningsministeriet og andre relevante myndigheder kan videregive oplysninger til andre medlemsstaters myndigheder og til institutioner i Den Europæiske Union for at varetage de myndighedsopgaver, der foreslås med dette lovforslag, NIS 2-direktivet og CER-direktivet.

Den foreslåede bestemmelse indebærer, at de relevante myndigheder, CSIRT'en og det centrale kontaktpunkt som led i den nationale gennemførelse af direktiverne, kan videregive oplysninger til andre medlemsstater eller EU-institutioner, hvis det er nødvendigt for at sikre overholdelsen af forpligtelserne i NIS 2- og CER-direktiverne.

Formålet med bestemmelsen er at implementere underretningskravene efter NIS 2-direktivets artikel 3, stk. 5 og stk. 6, samt at implementere øvrige bestemmelser om videregivelse af oplysninger til andre medlemsstaters myndigheder og til institutioner i Den Europæiske Union efter NIS-2-direktivets artikel 23, stk. 6, CER-direktivets artikel 7, stk. 2, artikel 9, stk. 3, artikel 11, stk. 1 og 2, artikel 15, stk. 3, artikel 17, stk. 2, artikel 18, stk. 3 og stk. 4. Disse bestemmelser er beskrevet nedenfor.

Det fremgår af NIS 2-direktivets artikel 3, stk. 5, at de kompetente myndigheder senest den 17. april 2025 og derefter hvert andet år underretter: a) EU-Kommissionen og samarbejdsgruppen om antallet af væsentlige og vigtige enheder, der er opført på den i stk. 3 omhandlede liste for hver af de sektorer og delsektorer, der er omhandlet i bilag I eller II, samt b) EU-Kommissionen om relevante oplysninger med hensyn til antallet af væsentlige og vigtige enheder, der er identificeret i medfør af artikel 2, stk. 2, litra b) -e), hvilke af sektorerne og delsektorerne i bilag I eller II, som de tilhører, hvilken type tjeneste de leverer, og hvilken af bestemmelserne i artikel 2, stk. 2, litra b) -e), i medfør af hvilken de blev identificeret. Efter artikel 3, stk. 6 kan medlemsstaterne frem til den 17. april 2025, på anmodning efter af EU-Kommissionen, underrette EU-Kommissionen om navne på de væsentlige og vigtige enheder, der er omhandlet af stk. 5, litra b, som gengivet ovenfor.

Det følger endvidere af NIS 2-direktivets artikel 23, stk. 6, at hvor det er relevant, informerer CSIRT'en, den kompetente myndighed eller det centrale kontaktpunkt uden unødigt ophold de øvrige berørte medlemsstater og ENISA om den væsentlige hændelse, navnlig hvor den væsentlige hændelse berører to eller flere medlemsstater. Det følger af samme bestemmelse, at sådan information omfatter den type af oplysninger, der er modtaget i overensstemmelse med artikel 23, stk. 4, om enhedernes underretninger om væsentlige hændelser, og at CSIRT'en, den kompetente myndighed eller det centrale kontaktpunkt i den forbindelse i overensstemmelse med EU-retten eller national ret sikrer enhedens sikkerhed og kommercielle interesser samt fortrolig behandling af de afgivne oplysninger.

Efter bestemmelsen i artikel 23, stk. 6, skal CSIRT'en, Klima-, Energi- og Forsyningsministeriet eller det centrale kontaktpunkt således i relevant omfang videregive oplysninger, som er modtaget i medfør af de foreslåede bestemmelser i §§ 12 og 15 om hændelsesunderretninger, til øvrige berørte medlemsstater og ENISA.

Det følger af CER-direktivets artikel 7, stk. 2, at medlemsstaterne efter identifikationen af de kritiske enheder i henhold til artikel 6, stk. 1, sender følgende oplysninger uden unødigt ophold til EU-Kommissionen: a) en liste over væsentlige tjenester i pågældende medlemsstat, hvis der er yderligere væsentlige tjenester sammenlignet med den i artikel 5, stk. 1, omhandlede liste over væsentlige tjenester, b) antallet af identificerede kritiske enheder for hver sektor og delsektor anført i bilaget og for hver væsentlig tjeneste, c) eventuelle tærskler, der anvendes til at specificere et eller flere af kriterierne i stk. 1. Tærskler som omhandlet i første afsnits litra c) kan forelægges som de er eller i aggregeret form.

I den forbindelse vil klima-, energi og forsyningsministeren have hjemmel i den foreslåede bestemmelse i § 28 til at kunne videresende igennem det centrale kontaktpunkt de ovennævnte oplysninger til EU-Kommissionen.

Det følger af CER-direktivets artikel 9, stk. 3, at de centrale kontaktpunkter senest den 17. juli 2028 og derefter hvert andet år forelægger en sammenfattende rapport for EU-Kommissionen og for Gruppen for Kritiske Enheders Modstandsdygtighed omhandlet i artikel 19 om de underretninger, de har modtaget, herunder antallet af underretninger, arten af de hændelser, der er underrettet om, og de tiltag, der er taget i overensstemmelse med artikel 15, stk. 3.

I den forbindelse vil klima-, energi- og forsyningsministeren have hjemmel i den foreslåede § 28, til at videregive de nævnte informationer til det centrale kontaktpunkt for Danmark efter CER-direktivet, således at disse informationer kan indgå i den sammenfattende rapport til EU-Kommissionen og Gruppen for Kritiske Enheders Modstandsdygtighed.

Det følger endvidere af CER-direktivets artikel 11, stk. 1 og 2, at når det er relevant, konsulterer medlemsstaterne hinanden vedrørende kritiske enheder med henblik på at sikre en konsekvent anvendelse af dette direktiv. Sådanne konsultationer skal navnlig finde sted vedrørende kritiske enheder, der: a) anvender kritisk infrastruktur, som er fysisk sammenkoblet mellem to eller flere medlemsstater, b) er en del af selskabsstrukturer, som er sammenkoblet eller forbundet med kritiske enheder i en anden medlemsstat, c) er blevet identificeret som kritiske enheder i en medlemsstat, og som leverer væsentlige tjenester til eller i andre medlemsstater. De i stk. 1 omhandlede konsultationer tager sigte på at styrke kritiske enheders modstandsdygtighed og, hvor det er muligt, mindske disses administrative byrde.

Her vil klima-, energi- og forsyningsministeren have hjemmel i den foreslåede § 28 til at konsultere med kompetente myndigheder, CSIRT'er og Centrale Kontaktpunkter i andre medlemsstater for at sikre konsekvent anvendelse af direktivet på kritiske enheder.

Det følger endvidere af CER-direktivets artikel 15, stk. 3, at på grundlag af oplysninger leveret af en kritisk enhed i en underretning om en hændelse, jf. den foreslåede § 12, orienterer den relevante kompetente myndighed via det centrale kontaktpunkt andre berørte medlemsstaters centrale kontaktpunkter, hvis hændelsen har eller kunne have betydelig indvirkning på kritiske enheder og kontinuiteten i leveringen af væsentlige tjenester til eller i en eller flere andre medlemsstater. Det følger af samme bestemmelse, at centrale kontaktpunkter, der fremsender og modtager sådanne oplysninger, i overensstemmelse med EU-retten eller national ret skal behandle disse oplysninger på en måde, der respekterer deres fortrolighed og beskytter den berørte kritiske enheds sikkerhed og kommercielle interesser.

Efter bestemmelsen i CER-direktivets artikel 15, stk. 3, vil Klima-, Energi- og Forsyningsministeriet således i relevant omfang skulle videregive oplysninger, som er modtaget i medfør af de foreslåede bestemmelser i §§ 12 og 15 om hændelsesunderretninger, til øvrige berørte medlemsstater.

På baggrund af CER-direktivets artikel 17, stk. 2, skal myndighederne endvidere videregive oplysninger til EU-Kommissionen om identiteten af kritiske enheder, som leverer væsentlige tjenester til eller i seks eller flere medlemsstater, samt om de oplysninger, som enhederne leverer i henhold til den foreslåede bestemmelse i § 5, stk. 2.

Det følger af CER-direktivets artikel 18, stk. 3, om rådgivende missioner, at medlemsstaten efter en begrundet anmodning fra EU-Kommissionen, eller en eller flere medlemsstater, hvortil eller hvori den væsentlige tjeneste leveres, som har identificeret en kritisk enhed af særlig europæisk betydning som en kritisk enhed i henhold til artikel 6, stk. 1, skal give EU-Kommissionen følgende: a) de relevante dele af den kritiske enheds risikovurdering, b) en oversigt over relevante foranstaltninger, der er truffet i overensstemmelse med artikel 13, c) tilsyns- eller håndhævelsestiltag, herunder vurderinger af overholdelse eller udstedte påbud, som den kompetente myndighed har taget i henhold til artikel 21 og 22 med hensyn til den pågældende kritiske enhed.

Her vil klima-, energi- og forsyningsministeren have hjemmel i den foreslåede § 28 til at fremsende de oplysninger, der er nævnt ovenfor, til EU-Kommissionen eller til andre EU-medlemsstater, jf. dog § 29, stk. 1, i lovforslaget.

Endeligt følger det af CER-direktivets artikel 18, stk. 4, at medlemsstater, hvor det er nødvendigt, skal kunne rådgive EU-Kommissionen om, hvorvidt den kritiske enhed af særlig europæisk betydning opfylder sine forpligtelser i henhold til direktivet kapitel III og, hvis det er relevant, hvilke foranstaltninger der kunne træffes for at forbedre den pågældende kritiske enheds modstandsdygtighed.

Artikel 18, stk. 4, fastsætter endvidere, at den kompetente myndighed, der har identificeret en kritisk enhed i henhold til artikel 6, stk. 1, i CER-direktivet, skal give EU-Kommissionen og de medlemsstater, hvortil eller hvori den væsentlige tjeneste leveres, oplysninger om de foranstaltninger, som den kompetente myndighed og kritiske enhed af særlig europæisk betydning har truffet i medfør af den udtalelse EU-Kommissionen har givet den kritiske enhed af særlig europæisk betydning og den kompetente myndighed efter artikel 18, stk. 4, 3. afsnit.

Her vil klima-, energi- og forsyningsministeren have hjemmel i den foreslåede § 28 til at fremsende oplysninger til EU-Kommissionen eller til andre EU-medlemsstater, som CER-direktivets artikel 18, stk. 4, påkræver, jf. dog § 29, stk. 1, i lovforslaget.

For så vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.

Til § 29

Det foreslås i § 29, stk. 1, at de forpligtelser, der er fastsat i denne lov eller i regler udstedt i medfør af loven, ikke omfatter meddelelse af oplysninger, når videregivelse ville stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar.

Den foreslåede bestemmelse vil implementere artikel 2, stk. 11, i NIS 2-direktivet, og artikel 1, stk. 8, i CER-direktivet, som fastsætter, at de forpligtelser, der er fastsat i de to direktiver, ikke omfatter meddelelse af oplysninger, hvis videregivelse ville stride mod væsentlige interesser med hensyn til medlemsstaternes nationale sikkerhed, offentlige sikkerhed eller forsvar.

Artikel 2, stk. 11, i NIS 2-direktivet vil skulle implementeres i overensstemmelse med direktivets præambelbetragtning nr. 9, 4. pkt., hvor det fremgår, at ingen medlemsstat bør være forpligtet til at meddele oplysninger, hvis videregivelse efter dens opfattelse ville stride mod dens væsentlige interesser med hensyn til national sikkerhed, offentlig sikkerhed eller forsvar. Det følger samme sted, at nationale regler eller EU-regler om beskyttelse af fortrolige oplysninger, hemmeligholdelsesaftaler og uformelle hemmeligholdelsesaftaler, fx Traffic Light Protocol, bør tages i betragtning i denne sammenhæng. Traffic Light Protocol skal forstås som et middel til at informere om eventuelle begrænsninger, for så vidt angår den videre spredning af oplysninger. Den anvendes i næsten alle enheder, der håndterer it-sikkerhedshændelser (CSIRT'er), og i nogle informationsanalyse- og informationsdelingscentre.

Artikel 1, stk. 8, i CER-direktivet, vil skulle implementeres i overensstemmelse med direktivets præambelbetragtning nr. 11, hvoraf det fremgår, at ingen medlemsstat bør være forpligtet til at meddele oplysninger, hvis videregivelse vil stride mod væsentlige interesser med hensyn til dens nationale sikkerhed, og at EU-regler eller nationale regler om beskyttelse af klassificerede informationer og hemmeligholdelsesaftaler er relevante.

Der foretages en direktivnær minimumsimplementering af bestemmelsen. Den foreslåede bestemmelse vil svare indholdsmæssigt til NIS 2-direktivets artikel 2, stk. 11, og CER-direktivets artikel 1, stk. 8, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Bestemmelsen vil primært være relevant for oplysninger, der udveksles mellem medlemsstaterne og institutioner i Den Europæiske Union. Bestemmelsen vil på denne baggrund hovedsageligt være relevant i forhold til den foreslåede § 28, der udgør Klima-, Energi- og Forsyningsministeriets videregivelseshjemmel hertil.

Under hensyn til bestemmelsen i NIS 2-direktivets artikel 2, stk. 7 (om at direktivet ikke finder anvendelse på offentlige forvaltningsenheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse), er det Klima-, Energi- og Forsyningsministeriets opfattelse, at den foreslåede bestemmelse i § 29, stk. 1, for virksomheders vedkommende vil have et yderst begrænset anvendelsesområde.

Bestemmelsen vil desuden alene vedrøre meddelelsen af oplysninger, som efter en konkret vurdering vil stride mod væsentlige interesser med hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar. Bestemmelsen vil således eksempelvis ikke medføre, at en virksomhed mere generelt kan undlade at efterkomme oplysningsforpligtelserne over for de kompetente myndigheder, herunder som led i myndighedernes tilsyn. Det er Klima-, Energi- og Forsyningsministeriets opfattelse, at det kun vil være i yderst sjældne tilfælde, at videregivelse af en virksomheds oplysninger til Klima-, Energi- og Forsyningsministeriet eller CSIRT'en vil stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar.

Det foreslås i § 29 stk. 2, at oplysninger, der modtages eller hidrører fra myndigheder i andre EU-medlemsstater, behandles som fortrolige, såfremt den afgivende myndighed betragter oplysningerne som fortrolige i henhold til EU-regler eller nationale regler.

Den foreslåede bestemmelse vil bl.a. sikre, at oplysninger, som de danske myndigheder modtager fra andre medlemsstater eller EU-institutioner i medfør af NIS 2-direktivets artikel 23, stk. 6, og artikel 15, stk. 3, i CER-direktivet, vil blive behandlet med den fornødne fortrolighed.

Der er tale om oplysninger vedrørende væsentlige hændelser, der berører to eller flere medlemsstater, jf. NIS 2-direktivets artikel 23, stk. 6, og oplysninger leveret af en kritisk enhed i en underretning om en hændelse, jf. CER-direktivets artikel 15, stk. 3.

Den foreslåede bestemmelse vil finde anvendelse, uanset om oplysningerne modtages direkte fra den pågældende nationale myndighed eller via andre, herunder EU-Kommissionen.

Til § 30

Der er i elforsyningslovens § 92 b, gasforsyningslovens § 44 b og varmeforsyningslovens § 25 a fastsat bemyndigelse til, at klima-, energi- og forsyningsministeren kan udstede regler om, at kommunikation om forhold, som er omfattet af loven, af bestemmelser fastsat i henhold til loven eller af EU-retsakter om forhold omfattet af loven, skal ske digitalt. Ministeren kan herunder udstede regler om anvendelsen af et bestemt digitalt system og fritagelse for obligatorisk anvendelse for visse personer.

Der er i undergrundslovens § 34 b fastsat bemyndigelse til, at klima-, energi- og forsyningsministeren kan udstede regler om, at skriftlig kommunikation til og fra ministeren om forhold, som er omfattet af denne lov eller regler fastsat i medfør heraf, skal foregå digitalt. Ministeren kan endvidere fastsætte nærmere regler om digital kommunikation, herunder om anvendelse af bestemte it-systemer, særlige digitale formater og digital signatur el.lign.

Det foreslås i § 30, at klima-, energi- og forsyningsministeren kan fastsætte regler om digital kommunikation, herunder om anvendelsen af bestemte it-systemer og særlige digitale formater samt digital signatur eller lignende.

Den foreslåede bestemmelse indebærer, at ministeren for eksempel kan fastsætte regler om at gøre det obligatorisk for virksomheder at anvende bestemte internetløsninger, herunder selvbetjeningsløsninger til fremsendelse af dokumenter og oplysninger, anden kommunikation med myndighederne.

Der vil eksempelvis med hjemmel i bestemmelsen kunne fastsættes regler om, hvem der eventuelt omfattes af pligten til at kommunikere digitalt, om hvilke forhold, og på hvilken måde.

Det er hensigten, at bestemmelsen endvidere skal anvendes til at fastsætte regler om, hvordan virksomheder skal foretage underretninger om hændelser i medfør af de foreslåede §§ 12-15. Der vil eksempelvis kunne fastsættes regler om anvendelse af bestemte digitale internetløsninger såsom Virk.dk. Det kan eksempelvis også være relevant at fastsætte regler om, at bl.a. registreringspligterne i den foreslåede § 35 skal efterkommes ved anvendelse af bestemte internetløsninger, såsom Virk.dk.

Der vil med hjemmel i bestemmelsen kunne fastsættes regler om, at skriftlige henvendelser til relevante myndigheder, herunder Energistyrelsen, Energinet, CSIRT'en m.v., om forhold, som er omfattet af et krav om digital kommunikation, ikke anses for behørigt modtaget af myndighederne, hvis de indsendes på anden vis end den foreskrevne digitale måde.

Hvis en virksomhed retter henvendelse til en myndighed på anden måde end den foreskrevne digitale måde, følger det af den almindelige vejledningspligt, jf. forvaltningslovens § 7, stk. 1, at myndigheden skal vejlede om reglerne på området, herunder om pligten til at kommunikere digitalt.

Der vil desuden kunne fastsættes regler om fritagelse for pligten til digital kommunikation. Fritagelsesmuligheden tænkes navnlig anvendt, hvor det er påkrævet at anvende en dansk digital signatur, men der er tale om en virksomhed med hjemsted i udlandet, og som dermed ikke kan få udstedt en dansk digital signatur. Det bemærkes i den forbindelse, at fritagelsesmuligheden er stærkt begrænset, idet der er tale om kommunikation om erhvervsforhold, og idet virksomheder med hjemsted i udlandet kun i begrænset omfang vil høre under dansk jurisdiktion.

Det forhold, at en virksomheds computere ikke fungerer, at enheden har mistet koden til sin digitale signatur, eller at der opstår lignende hindringer, som det er op til virksomheden at overvinde, vil ikke kunne føre til fritagelse for pligten til digital kommunikation. I så fald vil den pågældende enhed eksempelvis skulle anmode en rådgiver om at varetage kommunikationen på virksomhedens vegne.

Der vil efter bestemmelsen også kunne fastsættes regler om, at en digital meddelelse anses for at være kommet frem til adressaten for meddelelsen på det tidspunkt, hvor meddelelsen er tilgængelig digitalt for adressaten. Dermed er der tale om samme retsvirkning som ved fysisk post, der anses for at være kommet frem, når den pågældende meddelelse m.v. er lagt i adressatens fysiske postkasse. En meddelelse vil normalt anses for at være kommet frem, når meddelelsen er tilgængelig digitalt for adressaten, således at vedkommende har mulighed for at behandle meddelelsen. Dette tidspunkt vil normalt blive registreret automatisk i adressatens it-system.

Det bemærkes, at EU-Kommissionen på visse punkter er tillagt kompetence til at fastsætte nærmere regler om, hvordan oplysninger skal afgives fra enhederne. EU-Kommissionen kan således bl.a. fastsætte nærmere regler om formatet og proceduren for en underretning indgivet i henhold til artikel 23, stk. 1 (underretning af myndighederne om hændelser), og artikel 30 (frivillig meddelelse af relevante oplysninger), og for en meddelelse, der er indgivet i henhold til artikel 23, stk. 2 (oplysning til modtagerne af tjenester). Såfremt EU-Kommissionen måtte vælge at udnytte denne kompetence til at fastsætte nærmere regler, vil det skulle sikres, at regler om digital kommunikation, der måtte være udstedt eller siden udstedes i medfør af den foreslåede bestemmelse, er i overensstemmelse med EU-Kommissionens retsakter.

For så vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.

Til § 31

Det følger af elforsyningslovens § 89, gasforsyningslovens § 51, VE-lovens § 66, og olieberedskabslovens § 21, at Energiklagenævnet behandler klager over afgørelser truffet af klima-, energi-, og forsyningsministeren efter disse love eller regler udstedt i medfør af disse love. Desuden regulerer bestemmelserne, hvilke formelle krav der er til klager.

Det foreslås i § 31, stk. 1, at Energiklagenævnet behandler klager over afgørelser truffet af klima-, energi- og forsyningsministeren eller anden statslig myndighed efter denne lov eller regler udstedt i medfør af loven.

Det bemærkes i den forbindelse, at hvis klima-, energi- og forsyningsministeren har bemyndiget en under ministeriet oprettet institution eller anden myndighed til at udøve beføjelserne, vil klageadgangen følge denne bemyndigelse. Klager over afgørelser efter denne lov truffet af en myndighed under ministeriet, kan således påklages direkte til Energiklagenævnet. Klageren skal ikke udnytte den ulovbestemte rekursmulighed, før der kan ske klage til energiklagenævnet.

Det foreslås i § 31, stk. 2, at afgørelser nævnt i stk. 1 ikke kan indbringes for anden administrativ myndighed end Energiklagenævnet. Afgørelserne kan ikke indbringes for domstolene, før den endelige administrative afgørelse foreligger, jf. dog § 23, stk. 3.

Den foreslåede bestemmelse svarer til de gældende bestemmelser om Energiklagenævnet i elforsyningslovens, gasforsyningsloven, olieberedskabsloven m.v., som regulerer energisektoren. Det foreslås, at disse regler om administrativ klageadgang ligeledes anvendes i beredskabsreguleringen for energisektoren.

Den foreslåede bestemmelse svarer til de gældende bestemmelser om Energiklagenævnet i elforsyningslovens, gasforsyningsloven, olieberedskabsloven m.v., som regulerer energisektoren. Det foreslås, at disse regler om administrativ klageadgang ligeledes anvendes i beredskabsreguleringen for energisektoren.

Den foreslåede bestemmelse har dog i medfør af den foreslåede tilføjelse af jf. dog § 23, stk. 3, en undtagelse til hovedreglen. Således medfører undtagelsen at afgørelse efter § 23, stk. 1 altid vil kunne blive forlangt indbragt for domstolene som bestemt i den foreslåede § 23, stk. 3, uagtet den foreslåede bestemmelse i § 31, stk. 2.

Det foreslås i § 31, stk. 3, at klage efter stk. 1 skal være indgivet skriftligt til Energiklagenævnet inden 4 uger fra tidspunktet, hvor afgørelsen er meddelt.

Den foreslåede bestemmelse svarer til de gældende bestemmelser om Energiklagenævnet i elforsyningslovens, gasforsyningsloven, olieberedskabsloven m.v., som regulerer energisektoren. Det foreslås, at samme regler om klagefrist anvendes i beredskabsreguleringen for energisektoren.

Klagefristen vil først begynde at løbe fra en endelig administrativ afgørelse er truffet. Er afgørelsen offentliggjort, regnes fristen dog fra offentliggørelsen. Udløber klagefristen på en lørdag, søndag eller helligdag, forlænges fristen til den følgende hverdag. Hvis klageren har anvendt rekursmuligheden, vil fristen da først løbe fra den dato, hvor rekursmyndigheden meddeler klageren afgørelsen.

Det foreslås i § 31, stk. 4, at Energiklagenævnets formand efter aftale med nævnet kan træffe afgørelse på nævnets vegne i sager, der behandles efter denne lov eller regler udstedt i medfør af loven.

Henset til, at ikke alle sager, som nævnet skal behandle efter loven eller regler udstedt i medfør af loven, nødvendigvis kræver stillingtagen fra et samlet nævn, foreslås det med bestemmelsen, at der gives formanden mulighed for efter aftale med de øvrige nævnsmedlemmer selv at træffe afgørelse i nogle sager eller typer af sager.

Den foreslåede bestemmelse svarer til de gældende bestemmelser om Energiklagenævnet i elforsyningslovens, gasforsyningsloven, olieberedskabsloven m.v., som regulerer energisektoren. Det foreslås, at samme regler om formandens kompetence til at træffe afgørelser på vegne af nævnet, anvendes i beredskabsreguleringen for energisektoren.

Det foreslås i § 31, stk. 5, at søgsmål til prøvelse af afgørelser truffet af Energiklagenævnet efter loven eller regler udstedt i medfør af loven, skal være anlagt inden 6 måneder efter, at afgørelsen er meddelt den pågældende. Er afgørelsen offentliggjort, regnes fristen dog altid fra offentliggørelsen.

Den foreslåede bestemmelse svarer til de gældende bestemmelser om Energiklagenævnet i elforsyningslovens, gasforsyningsloven, olieberedskabsloven m.v., som regulerer energisektoren. Det foreslås, at samme regler om frist for indbringelse hos domstolene anvendes i beredskabsreguleringen for energisektoren.

Energiklagenævnet har udtrykt ønske om, at der indsættes en 6 måneders frist for indbringelse af Energiklagenævnets afgørelser for domstolene. Formålet med bestemmelsen er at give Energiklagenævnet et rimeligt tidsrum, efter hvilket deres afgørelser bliver endelige.

Det foreslås i § 31, stk. 6, at Energiklagenævnet i forbindelse med behandling af en klage kan indhente oplysninger, der er nødvendige for behandling af klagen fra virksomheder omfattet af loven samt myndigheder, der træffer afgørelser efter loven eller regler udstedt i medfør af loven.

Den foreslåede bestemmelse sikrer, at Energiklagenævnet vil kunne indhente de oplysninger, der er nødvendige for at behandle klagesager.

For så vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.

Til § 32

Ifølge elforsyningslovens § 90, gasforsyningslovens § 52 og olieberedskabslovens § 21, stk. 5, kan klima-, energi- og forsyningsministeren fastsætte nærmere regler om: 1) adgang til at klage over afgørelser, 2) at visse afgørelser ikke skal kunne indbringes for klima-, energi- og forsyningsministeren, og 3) betaling af gebyr for at indbringe en klage til Energiklagenævnet.

Det foreslås i § 32, stk. 1, at klima-, energi- og forsyningsministeren kan fastsætte regler om adgangen til at klage over afgørelser, der efter loven eller regler udstedt i medfør af loven træffes af klima-, energi- og forsyningsministeren, herunder at visse afgørelser ikke skal kunne indbringes for Energiklagenævnet.

Det forventes på baggrund af den foreslåede bestemmelse i § 32, stk. 1, at der fastsættes nærmere regler om, at afgørelser truffet efter lovens kapitel 5 om baggrundskontrol og sikkerhedsgodkendelser eller regler udstedt i medfør af kapitel 5 ikke kan påklages til Energiklagenævnet.

Afgørelser om baggrundskontrol og sikkerhedsgodkendelser for energisektoren anvendes som en foranstaltning til at sikre mod eksempelvis insider trusler eller for at sikre, at der ikke snydes med personers identitet, når de skal have adgang til kritisk infrastruktur. Baggrundskontrol og sikkerhedsgodkendelser vedrører således områder knyttet til statens sikkerhed.

Afgørelser vedrørende baggrundskontrol og sikkerhedsgodkendelser er ikke noget, der knytter sig særligt til Energiklagenævnets kendskab til juridiske eller tekniske spørgsmål på energiområdet.

Da afgørelser om sikkerhedsgodkendelser vedrører statens sikkerhed og falder uden for Energiklagenævnets almindelige kompetenceområde, vurderes det, at Energiklagenævnet ikke skal være klageinstans for denne type af afgørelser.

Det bemærkes i den forbindelse, at afgørelser om baggrundskontrol og sikkerhedsgodkendelser kan indbringes for domstolene, jf. grundlovens § 63, stk. 1.

Det forventes endvidere, at bestemmelsen i stk. 1 vil blive brugt til at fastsætte nærmere regler om, at afgørelser der vedrører virksomhedernes overholdelse af reglerne i loven eller udstedt i medfør af loven for så vidt angår myndighedernes faglige vurderinger angående organisatorisk beredskab, fysisk sikring og cybersikkerhed, ikke kan påklages til Energiklagenævnet. Afgørelser vedrørende faglige vurderinger om organisatorisk beredskab, fysisk sikring og cybersikkerhed er ikke noget, der knytter sig særligt til Energiklagenævnets kendskab til juridiske eller tekniske spørgsmål på energiområdet.

Det forventes dog, at bestemmelsen i stk. 1 vil blive brugt til at fastsætte nærmere regler om, at virksomheder dog forsat vil kunne påklage retlige spørgsmål til Energiklagenævnet. Med retlige spørgsmål menes der bl.a. overholdelse af forvaltningslovens regler til afgørelser, herunder partshøring, begrundelse og klagevejledning samt andre relevante dele af dansk forvaltningsret, som myndigheder er forpligtet til at overholde i afgørelsessager.

Det bemærkes i den forbindelse, at afgørelser om organisatorisk beredskab, fysisk sikring og cybersikkerhed kan indbringes for domstolene, jf. grundlovens § 63, stk. 1.

Det foreslås i § 32, stk. 2, nr. 1, at erhvervsministeren kan fastsætte regler om, at kommunikation med Energiklagenævnet skal ske digitalt samt at erhvervsministeren kan udstede regler om anvendelse af et bestemt digitalt system. Herudover foreslås det i bestemmelsen, at hvis erhvervsministeren fastsætter regler om, at kommunikation med Energisklagenævnet skal ske digitalt, skal erhvervsministeren også fastsætte regler om fritagelse for obligatorisk anvendelse for visse personer og virksomheder.

Den foreslåede bestemmelse vil medføre, at erhvervsministeren kan fastsættes regler om, at borgere og virksomheder har pligt til at kommunikere digitalt med Energiklagenævnet, og at svaret fra Energiklagenævnet sendes digitalt. Bestemmelsen vil også kunne anvendes til at fastsætte undtagelser for kravet om digital kommunikation til enkeltpersoner og enkelt mandsvirksomheder.

Den foreslåede bestemmelse vil indebære, at erhvervsministeren kan anvende bestemmelsen til at fastsætte regler om f.eks. pligtmæssig brug af et digitalt system, herunder f.eks. Klageportalen, ved indgivelse af klage i medfør af loven, og at svar fra Energiklagenævnet sendes digitalt. Med digitalt system menes, at der kan laves regler om brug af bestemte digitale systemer, herunder selvbetjeningsløsninger, særlige digitale formater, digital signatur eller lignende.

Det foreslås, at bemyndigelsen til fastsættelse af regler vedrørende Energiklagenævnet tillægges erhvervsministeren, da ressortansvaret for Energiklagenævnet er tillagt erhvervsministeren, jf. kongelig resolution af 8. juni 2016.

Det foreslås i § 32, stk. 2, nr. 2, at erhvervsministeren kan fastsætte regler om betaling af gebyr ved indbringelse af en klage for Energiklagenævnet.

Den foreslåede bestemmelse vil medføre, at erhvervsministeren vil kunne fastsætte regler om betaling af gebyr ved indbringelse af en klage for Energiklagenævnet.

Det foreslås, at bemyndigelsen til fastsættelse af regler vedrørende Energiklagenævnet tillægges erhvervsministeren, da ressortansvaret for Energiklagenævnet er tillagt erhvervsministeren, jf. kongelig resolution af 8. juni 2016.

Det foreslås i § 32, stk. 2, nr. 3, at erhvervsministeren kan fastsætte nærmere regler om Energiklagenævnets sammensætning ved nævnets behandling af afgørelser efter denne lov eller regler udstedt i medfør af loven.

Den foreslåede bestemmelse vil indebære, at erhvervsministeren kan fastsætte nærmere regler om sammensætningen af Energiklagenævnet, der sikre den korrekte sagkundskab ved behandling af klagesager over afgørelser vedrørende beredskab og cybersikkerhed i energisektoren.

Det foreslås, at beføjelsen til at fastsætte nærmere regler om Energinævnets sammensætning tillægges erhvervsministeren, da ressortansvaret for Energiklagenævnet er tillagt erhvervsministeren, jf. kongelig resolution af 8. juni 2016.

Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.

Til § 33

Efter elforsyningslovens § 92, gasforsyningslovens § 54, varmeforsyningsloven § 24 b, stk. 1, fjernkølingslovens § 8 d, stk. 1, undergrundslovens § 37, kan klima-, energi- og forsyningsministeren bemyndige Energistyrelsen og andre statslige myndigheder til at udøve beføjelser, der ved de respektive love er tillagt klima-, energi- og forsyningsministeren.

Delegationen af opgaver fra klima-, energi- og forsyningsministeren til Energistyrelsen efter olieberedskabsloven følger af den ulovbestemte adgang til at delegere til en underordnet myndighed.

Det foreslås i § 33, at klima-, energi- og forsyningsministeren kan bemyndige en institution eller en anden myndighed oprettet under ministeriet til at udøve de beføjelser, der i denne lov er tillagt ministeren.

Den foreslåede bestemmelse vil indebære, at klima-, energi- og forsyningsministeren kan bemyndige en under Klima-, Energi- og Forsyningsministeriet oprettet offentlig myndighed eller institution, fx Energistyrelsen, til at udøve beføjelser, der i loven er tillagt ministeren.

Energinet A/S er en selvstændig offentlig virksomhed (SOV) oprettet ved lov. Energinet varetager som SOV også myndighedsopgaver, jf. lov om Energinet, § 2, stk. 6, modsætningsvist. Med den foreslåede bestemmelse vil klima-, energi- og forsyningsministeren ligeledes kunne bemyndige Energinet til at udøve beføjelser, der i loven er tillagt ministeren.

På baggrund af den foreslåede bestemmelse og den foreslåede § 11, stk. 2 forventes det, at Energinet vil blive delegeret kompetencen til at udmelde sektorberedskabsniveauer og sektorberedskabsforanstaltninger for el- og gassektoren, så Energinet kan fastholde rollen som operationelt kontaktpunkt for el- og gassektoren samt brintsektoren ved etablering af et brinttransmissionsnet. Der henvises i øvrigt til de specielle bemærkninger til § 11, stk. 2.

Endvidere foreslås det med § 11, stk. 4, at Energinet i en beredskabssituation omfattende sikkerhedsrelaterede hændelser, i særlige tilfælde, hvor klima-, energi- og forsyningsministeren ikke kan fastsætte og udmelde sektorberedskabsniveauer og foranstaltninger, jf. § 11, stk. 1, 2 og 3 kan varetage opgaven på ministerens vegne. Energinet kan kun varetage opgaven for el-, gas- og brintsektorerne.

Det foreslåede § 11, stk. 4, har karakter af en delegation til fra klima-, energi- og forsyningsministeren til Energinet. Det foreslåede stk. 4 vil kunne finde anvendelse i situationer, hvor klima-, energi- og forsyningsministeren måtte være afskåret fra at varetage sine opgaver efter stk. 1-3. Det kunne således være, hvor klima-, energi- og forsyningsministeren er ramt af en beredskabssituation, der gør det umuligt at bruge de normale kommunikationsveje til el-, gas- og brintvirksomhederne.

Den kompetence der med de foreslåede §§ 17 - 18 vedrørende gebyrer foreslås tillagt klima-, energi- og forsyningsministeren forventes dog ikke delegeret til Energistyrelsen. Kompetencen på gebyrområdet efter denne lov vil således fortsat følge kompetencefordelingen på gebyrområdet efter elforsyningsloven, gasforsyningsloven og varmeforsyningsloven.

Øvrige bemyndigelser og forpligtigelser tillagt klima-, energi- og forsyningsministeren efter denne lov, forventes at blive delegeret til Energistyrelsen.

Bestemmelsen vil desuden kunne anvendes til, at klima-, energi- og forsyningsministeren kan indgå i forhandlinger med andre ministre om at bemyndige statslige myndigheder oprettet under vedkommende ministerie til at udøve beføjelser tillagt til klima-, energi- og forsyningsministeren i denne lov.

Lovgivningen vil således være fremtidssikret i det tilfælde, at det i fremtiden vurderes, at en anden statslig myndighed vil være bedre passende til at udøve visse af ministerens beføjelser, end den oprindeligt udpegede myndighed.

Det skal dog bemærkes, at et sådant pålæg ikke kan meddeles Forsyningstilsynet i forhold til de opgaver, som tilsynet skal varetage efter loven, herunder også henset til Forsyningstilsynets uafhængighed, jf. § 2 i lov om Forsyningstilsynet. Grænserne for Energistyrelsens beføjelser i henhold til loven vil fremgå af delegationsbekendtgørelsen.

Til § 34

Det følger af elforsyningslovens § 2 a, at klima-, energi- og forsyningsministeren fastsætter regler eller træffer bestemmelser med henblik på at gennemføre eller anvende internationale konventioner og EU-regler om forhold, der er omfattet elforsyningsloven, herunder forordninger, direktiver og beslutninger om naturbeskyttelse på søterritoriet og i den eksklusive økonomiske zone.

Det følger af varmeforsyningslovens § 2 a, at klima-, energi- og forsyningsministeren kan fastsætte regler eller træffe bestemmelser med henblik på at gennemføre eller anvende internationale konventioner og EU-regler om forhold, der er omfattet varmeforsyningsloven.

Det følger af olieberedskabslovens § 3, at klima-, energi- og bygningsministeren (nu klima-, energi- og forsyningsministeren) kan fastsætte regler eller træffe bestemmelser med henblik på at gennemføre eller anvende internationale konventioner og EU-regler om forhold, der er omfattet af olieberedskabsloven, herunder forordninger, direktiver og beslutninger.

Det følger af undergrundslovens § 2 a, at klima-, energi- og forsyningsministeren fastsætter regler eller træffer bestemmelser med henblik på at gennemføre eller anvende internationale konventioner og EU-regler om forhold, der er omfattet undergrundsloven, herunder forordninger, direktiver og beslutninger om naturbeskyttelse på dansk søterritorium, i dansk eksklusiv økonomisk zone og på dansk kontinentalsokkelområde.

Der findes ikke en tilsvarende bestemmelse i gasforsyningsloven.

Det foreslås i § 34, at klima-, energi- og forsyningsministeren kan fastsætte regler eller træffe bestemmelser med henblik på at gennemføre eller anvende internationale konventioner og EU-regler om forhold, der er omfattet af denne lov, herunder forordninger, direktiver og beslutninger om beredskab og beskyttelse af energiinfrastruktur på søterritoriet og den eksklusive økonomiske zone.

Den foreslåede bestemmelse i § 34 vil bygge videre på gældende bestemmelser i forsyningslovene, hvorefter ministeren kan fastsætte regler eller træffer bestemmelser med henblik på at gennemføre eller anvende internationale konventioner og EU-regler, herunder om beredskab for energisektoren.

EU-Kommissionen er flere steder i CER- og NIS 2-direktiverne tillagt kompetence til at vedtage retsakter, der nærmere udmønter bestemte dele af direktivet. Energisektoren er desuden underlagt anden regulering fra EU om beredskab i energisektoren.

Det følger bl.a. af CER-direktivets artikel 5, stk. 1, at EU-Kommissionen tillægges beføjelse til at vedtage en delegeret retsakt i overensstemmelse med direktivets artikel 23 senest den 17. november 2023 for at supplere CER-direktivet ved at udarbejde en ikke-udtømmende liste over væsentlige tjenester i sektorerne og delsektorerne anført i direktivets bilag. EU-Kommissionen har ved sin delegerede forordning (EU) 2023/2450 af 25. juli 2023 til supplering af Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 opstillet en ikke-udtømmende liste over væsentlige tjenester.

Desuden følger det af CER-direktivets artikel 13, stk. 6, at EU-Kommissionen vedtager gennemførelsesretsakter med henblik på at fastsætte de nødvendige tekniske og metodiske specifikationer vedrørende anvendelsen af modstandsdygtighedsforanstaltninger efter artikel 13, stk. 1.

Det følger endvidere af CER-direktivets artikel 18, stk. 6, at EU-Kommissionen vedtager en gennemførelsesretsakt med regler for de proceduremæssige ordninger for tilrettelæggelse af rådgivende EU-delegationer.

Det fremgår derudover af CER-direktivets artikel 19, stk. 6, at EU-Kommissionen kan vedtage gennemførelsesretsakter, hvori der fastlægges proceduremæssige ordninger, som er nødvendige for Gruppen for Kritiske Enheders Modstandsdygtigheds funktion.

I medfør af artikel 21, stk. 5, 2. led, i NIS 2-direktivet, kan EU-Kommissionen vedtage gennemførelsesretsakter, der fastsætter de tekniske og metodologiske samt om nødvendigt sektorspecifikke krav til de foranstaltninger, der er omhandlet i direktivets artikel 21, stk. 2 (foranstaltninger til styring af cybersikkerhedsrisici).

Ved udarbejdelsen af gennemførelsesretsakter om foranstaltninger til styring af cybersikkerhedsrisici følger EU-Kommissionen i videst muligt omfang europæiske og internationale standarder samt relevante tekniske specifikationer. EU-Kommissionen samarbejder med samarbejdsgruppen som er nedsat i medfør af NIS 2 artikel, stk. 1, og ENISA om udkastene til gennemførelsesretsakter.

Det følger desuden af NIS 2-direktivets artikel 23, stk. 11, at EU-Kommissionen kan vedtage gennemførelsesretsakter, der yderligere præciserer typen af oplysninger, formatet og proceduren for en underretning indgivet i henhold til artikel 23, stk. 1 (underretning af myndighederne om hændelser), og artikel 30 (frivillig meddelelse af relevante oplysninger) og for en meddelelse, der er indgivet i henhold til artikel 23, stk. 2 (oplysning til modtagerne af tjenester).

Det følger endvidere af NIS 2-direktivets artikel 24, stk. 2, at EU-Kommissionen tillægges beføjelser til at vedtage delegerede retsakter for at supplere NIS 2-direktivet ved at præcisere, hvilke kategorier af væsentlige og vigtige enheder der skal anvende visse certificerede IKT-produkter, -tjenester og -processer eller indhente en attest i henhold til en europæisk cybersikkerhedscertificeringsordning, der er vedtaget i henhold til artikel 49 i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed). Disse delegerede retsakter vedtages, når der er identificeret utilstrækkelige cybersikkerhedsniveauer og de skal indeholde en gennemførelsesperiode.

Den foreslåede bestemmelse vil give klima-, energi- og forsyningsministeren hjemmel til at gennemføre EU-Kommissionens retsakter og internationale konventioner om beredskab for energisektoren.

Til § 35

Efter gældende ret i elforsyningslovens § 84, varmeforsyningslovens § 23 d, fjernkølingslovens § 8 c, olieberedskabslovens § 17, stk. 2, undergrundslovens § 26 og gasforsyningslovens § 45, kan klima-, energi- og forsyningsministeren indhente oplysninger som er nødvendige for varetagelsen af alle opgaver eller nogle specifikke opgaver ministeren har efter disse love, fra virksomheder omfattet af disse love. I forarbejderne til de nævnte paragraffer fremgår det, at der bl.a. er tale om regnskaber, regnskabsmateriale, udskrift af bøger, andre forretningspapirer og elektronisk lagrede data.

Det foreslås i § 35, stk. 1, at klima-, energi- og forsyningsministeren og Energinet kan fra virksomheder omfattet af loven indhente oplysninger, der er nødvendige for varetagelsen af deres opgaver efter loven, efter bestemmelser fastsat i medfør af loven eller efter EU-retsakter eller internationale forpligtelser om forhold omfattet af loven.

Klima-, energi- og forsyningsministeren og Energinet kan med hjemmel i den foreslåede bestemmelse kræve alle oplysninger, som skønnes nødvendige for deres virksomhed efter loven, eller til afgørelse af om et forhold er omfattet af lovens bestemmelser, herunder regnskaber, regnskabsmateriale, udskrift af bøger, andre forretningspapirer, elektronisk lagrede data m.m. Med den foreslåede bestemmelse kan ministeren og Energinet også kræve sammenstilling af eksisterende data, således det gøres tilgængelig og forståelig og således anvendelig ift. den opgave der skal varetages. Endelig kan den foreslåede bestemmelse også bruges til at kræve generering af nye oplysninger hos virksomheden, såfremt virksomheden ikke allerede har gjort sig bekendt med egne forhold. Her tænkes således på situationer, hvor virksomheden fx ikke allerede måtte være bekendt med hvor meget salg, kapacitet, produktion etc. virksomheden har/har haft, som er data der er nødvendigt for at klima-, energi- og forsyningsministeren kan determinere om virksomheden er omfattet af loven eller ej.

Endelig bemærkes det, at bestemmelsens anvendelse er afgrænset af retssikkerhedslovens § 10 om forbud mod selvinkriminering. Virksomheden vil aldrig være forpligtiget til at aflevere informationer til klima-, energi- og forsyningsministeren og Energinet efter den foreslåede bestemmelse, der vil kunne inkriminere virksomheden. Dette vil skulle oplyses til virksomheden ved fremsendelse af anmodningen om oplysningerne, medmindre det efter klima-, energi- og forsyningsministerens eller Energinets vurdering vil være garanteret at de oplysninger der efterspørges ikke kan inkriminere virksomheden.

Det foreslås i § 35, stk. 2, at klima-, energi- og forsyningsministeren fastsætter regler om, at virksomheder omfattet af loven skal registrere sig, og om hvilke oplysningerne som virksomheder i den forbindelse skal oplyse, herunder de i nr. 1-4 oplistede oplysninger.

Bestemmelsen gennemfører NIS 2-direkitvets artikel 3, stk. 3 og 4, hvorefter medlemsstaterne senest den 17. april 2025 udarbejder en liste over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester. Medlemsstaterne reviderer og, hvor det er relevant, ajourfører derefter listen med jævne mellemrum, mindst hvert andet år. Med henblik på udarbejdelsen af listes pålægger medlemsstaterne enhederne, at indgive mindst følgende oplysninger til de kompetente myndigheder; a) enhedens navn, b) ajourførte kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre, c) i givet fald den relevante sektor og delsektor i bilag I eller II, samt d) i givet fald en liste over de medlemsstater, hvor enheden leverer tjenester, der er omfattet af dette direktivs anvendelsesområde. De omhandlede enheder skal i tilfælde af ændringer af de oplysninger, de har indgivet, straks give underretning herom og under alle omstændigheder senest to uger efter datoen for ændringen.

Efter den foreslåede bestemmelse vil klima-, energi- og forsyningsministeren fastsætte regler for, hvilke virksomheder der skal registrere sig, og hvordan registreringen skal foregå.

Ministeren vil på baggrund af den foreslåede bestemmelse kunne fastsætte den nærmere dato for, hvornår virksomheder senest skal indgive oplysninger efter bestemmelsen og regler udsted i medfør af bestemmelsen. Virksomheder, der omfattes af denne lov, efter den fastsatte dato, vil skulle indgive oplysninger efter en nærmere angiven frist.

Bestemmelsen vil gennemføre dele af NIS 2-direktivets artikel 3, stk. 3, hvorefter medlemsstaterne senest den 17. april 2025 skal udarbejde en liste over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester.

Ministeren vil derudover, for at sikre, at oplysningerne er tilstrækkeligt ajourførte, kunne fastsatte en frist for, hvornår virksomheder skal oplyse om ændringer af oplysninger. Ministeren vil fastsætte en frist for virksomheder, for underretning om ændringer i oplysninger.

Bestemmelsen vil gennemføre NIS 2-direktivets artikel 3, stk. 4, 2. pkt., som fastsætter, at væsentlige og vigtige enheder, samt enheder, der leverer domænenavnsregistreringstjenester, i tilfælde af ændringer af de oplysninger, de har indgivet i henhold til artikel 3, stk. 4, 1. pkt., straks skal give underretning herom og under alle omstændigheder senest to uger efter datoen for ændringen.

Klima-, energi- og forsyningsministeren vil derfor som minimum fastsætte en frist på to uger for nye virksomheder at indgive oplysninger. Ministeren vil desuden som minimum fastsætte en frist på to uger for underretning om ændringer i oplysninger til brug for registrering af virksomheden.

Klima-, energi- og forsyningsministeren vil kunne fastsætte en kortere frist for virksomheder på baggrund af deres betydning for energiforsyningen. Ministeren vil dermed kunne fastsætte en differentieret frist for virksomhederne på baggrund af kritikalitet. Denne differentierede frist vil som udgangspunkt kun gælde for den underretning, som virksomhederne skal foretage om ændringer i allerede indmeldte oplysninger.

Baggrunden for registreringspligten i artikel 3, stk. 4, er, at medlemsstaterne efter NIS 2-direktivets artikel 3, stk. 3, senest den 17. april 2025 skal udarbejde en liste over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester.

Med de indsamlede oplysninger sikres der således et overblik over de energivirksomhederne, som er omfattet af lovens anvendelsesområde. Det forudsættes, at virksomheder, der leverer tjenester i flere sektorer, vil skulle foretage én samlet registrering via en fælles digital indgang, såsom Virk.dk. Dette vil sikre, at disse enheder alene skal foretage én indledende registrering, som fordeles samtidigt til de relevante myndigheder. Det forudsættes, at CSIRT'en kan tilgå oplysningerne, således at CSIRT'en har et samlet overblik over de registrerede enheder på tværs af sektorer.

De kompetente myndigheder, herunder Klima-, Energi- og Forsyningsministeriet vil, via det centrale kontaktpunkt, i overensstemmelse med NIS 2-direktivets artikel 3, stk. 5, bl.a. orientere EU-Kommissionen og Samarbejdsgruppen om antallet af virksomheder, som opfylder kravene for væsentlige og vigtige enheder for hver sektor og delsektor.

Det foreslås i § 35, stk. 2, nr. 1, at virksomheden skal oplyse virksomhedens navn. Det forudsættes, at der vil blive fastsat regler om, at virksomheden skal oplyse det navn på virksomheden, som virksomheden er registeret under i CVR-registeret, herunder andre navne virksomheden er kendt under. Såfremt virksomheden er udenlandsk, registreres det navn virksomheden er registreret under det pågældendes lands udgave af CVR-registret og hvor disse ikke findes det navn som virksomheden benytter på andre officielle dokumenter.

Det foreslås i § 35, stk. 2, nr. 2, at virksomheden skal oplyse adresse og ajourførte kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre. Det forudsættes, at der vil blive fastsat regler om, at virksomheden skal oplyse virksomhedens adresse og ajourførte kontaktoplysninger på ledelsen og andre relevante personer med ansvar for organisatorisk beredskab, fysisk sikring og cybersikkerhed, herunder e-mailadresser og telefonnumre samt hvor det er relevant IP-intervaller, som virksomheden anvender.

Det foreslås i § 35, stk. 2, nr. 3, at virksomheden skal oplyse den relevante sektor og delsektor, som virksomheden er omfattet af. Det forudsættes, at der vil blive fastsat regler om, at virksomheden skal oplyse, at virksomheden er omfattet af energisektoren, og at virksomheden agerer i en eller flere af følgende delsektorer, elektricitet, fjernvarme, fjernkøling, olie, gas og brint.

Det foreslås i § 35, stk. 2, nr. 4, at virksomheden skal oplyse de medlemsstater i Den Europæiske Union, hvor virksomheden leverer tjenester. Det forudsættes, at der vil blive fastsat regler om, at virksomheden skal oplyse om de medlemsstater i Den Europæiske Union, hvor virksomheden også eventuelt måtte levere deres tjenester.

For så vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.

Til § 36

Efter § 30, stk. 2, i henholdsvis elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelse samt § 17 i it-beredskabsbekendtgørelsen, kan virksomheder ansøge om at etablere samordnet beredskab, der medfører, at beredskabsarbejdet organiseres for flere virksomheder under ét. Ansøgninger skal fremsendes til Energistyrelsen til godkendelse. Ansøgninger skal suppleres med en skriftlig begrundelse samt en beskrivelse af konsekvenser ved samordnet beredskab, herunder vurdering af aftalens konsekvenser for det almene beredskabsarbejde.

Det foreslås i § 36, at klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om samordnet beredskab med henblik på, at beredskabsarbejdet efter denne lov og regler udstedt i medfør heraf, varetages af flere virksomheder i fællesskab eller af den ene part.

Det foreslås, at ordningen for samordnet beredskab videreføres med mindre tilpasninger.

Det forventes, at der vil blive fastsat nærmere regler om ansøgningsprocessen for samordnet beredskab og ansøgningens indhold, samt at Energinet høres om ansøgninger om samordnet beredskab i el - og gassektoren. Endvidere forventes der fastsat regler, om hvilke forhold der vil blive lagt vægt på ved afgørelsen om samordnet beredskab. Endelig forventes der fastsat regler om, at der efter godkendelse kan træffes afgørelse om tildeling af et nyt niveau til det samordnede beredskab, herunder kriterierne for tildeling af det nye niveau.

Til § 37

Det følger af elforsyningslovens § 87, stk. 1, nr. 7, at medmindre højere straf er forskyldt efter anden lovgivning, straffes med bøde den, der undlader at efterkomme påbud eller forbud efter loven, herunder påbud om at berigtige et ulovligt forhold. Desuden kan der efter elforsyningslovens § 88, stk. 1, i regler, som udstedes i henhold til loven, fastsættes bødestraf for overtrædelse af bestemmelserne i eller vilkår og påbud udstedt i henhold til reglerne. I elberedskabsbekendtgørelsens § 35, stk. 1, er der fastsat nærmere regler for bødestraf.

Det følger af gasforsyningslovens § 49, stk. 1, nr. 6, at medmindre højere straf er forskyldt efter anden lovgivning, straffes med bøde den, der undlader at efterkomme påbud eller forbud efter loven, herunder påbud om at berigtige et ulovligt forhold. Desuden kan der efter gasforsyningslovens § 50, stk. 1 i regler, som udstedes i henhold til loven, fastsættes bødestraf for overtrædelse af bestemmelserne i eller vilkår og påbud udstedt i henhold til reglerne. I naturgasberedskabsbekendtgørelsens § 35, stk. 1, er der fastsat nærmere regler for bødestraf.

Efter olieberedskabslovens § 23, stk. 1, nr. 5, gælder det, at medmindre højere straf er forskyldt efter anden lovgivning, straffes med bøde den, der undlader at efterkomme påbud efter loven eller regler udstedt i medfør af loven. Af olieberedskabslovens § 23, stk. 2, følger det, at der kan fastsættes bødestraf for overtrædelse af bestemmelserne i reglerne eller vilkår fastsat i henhold til reglerne og for manglende overholdelse af påbud meddelt i henhold til reglerne. I olieberedskabsbekendtgørelsens § 22 er der fastsat nærmere regler for bødestraf.

Der henvises i øvrigt til afsnit 3.7.1 i lovforslagets almindelige bemærkninger.

Det foreslås i § 37, stk. 1, at med bøde straffes den, der måtte udføre de i nr. 1-6 oplistede undladelser og handlinger.

Den foreslåede bestemmelse vil implementere artikel 36, stk. 1, i NIS 2-direktivet. Artikel 36, stk. 1, forpligter medlemsstaterne til at fastsætte regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale foranstaltninger, der er vedtaget i medfør af NIS 2-direktivet og til at træffe alle nødvendige foranstaltninger for at sikre, at de gennemføres. NIS-direktivet bestemmer ligeledes at sanktionerne skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Den foreslåede bestemmelse vil endvidere implementere NIS 2-direktivets artikel 34, hvoraf det følger, at medlemsstaterne sikrer, at de administrative bøder, der pålægges væsentlige og vigtige enheder i henhold til artiklen, for så vidt angår overtrædelser af direktivet, er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning, under hensyntagen til omstændighederne i hver enkelt sag.

Med det foreslåede § 37, stk. 1 gennemføres artikel 34, stk. 2 i NIS-2 direktivet således, at kan administrative bøder pålægges i tillæg til en hvilken som helst af foranstaltningerne omhandlet i artikel 32, stk. 4, litra a-h, artikel 32, stk. 5, og artikel 33, stk. 4, litra a-g.

Efter NIS 2-direktrivets artikel 34, stk. 4, skal medlemsstaterne sikre, at hvor væsentlige enheder overtræder artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller 23 (rapporteringsforpligtelser), straffes de i overensstemmelse med artiklernes stk. 2 og 3 med administrative bøder med et maksimum på mindst 10.000.000 euro eller et maksimum på mindst 2 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den væsentlige enhed tilhører alt efter, hvad der er højest.

Det følger af NIS 2-direkitvets artikel 34, stk. 5, at medlemsstaterne sikrer, at hvor vigtige enheder overtræder artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller 23 (rapporteringsforpligtelser), straffes de i overensstemmelse med artiklernes stk. 2 og 3 med administrative bøder med et maksimum på mindst 7.000.000 euro eller et maksimum på mindst 1,4 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den vigtige enhed tilhører alt efter, hvad der er højest.

Det følger af NIS 2-direktivets artikel 34, stk. 8, 1. og 2. pkt., at hvis en medlemsstats retssystem ikke giver mulighed for at pålægge administrative bøder, sørger den pågældende medlemsstat for, at artiklen anvendes på en sådan måde, at den kompetente myndighed tager skridt til bøder, og de kompetente nationale domstole pålægger dem, idet det sikres, at disse retsmidler er effektive, og at deres virkning svarer til virkningen af administrative bøder, som pålægges af de kompetente myndigheder. De bøder, der pålægges, skal under alle omstændigheder være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Den foreslåede bestemmelse vil herudover, i kombination med den foreslåede bestemmelse i § 7, stk. 1, gennemføre NIS 2-direktivets artikel 20, stk. 1, hvoraf det følger, at medlemsstaterne sikrer, at de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet med henblik på at overholde artikel 21, fører tilsyn med dens gennemførelse og kan gøres ansvarlige for enhedernes overtrædelser af forpligtelserne i nævnte artikel.

Den foreslåede bestemmelse vil desuden gennemføre artikel 22, 1. og 2. pkt., i CER-direktivet, hvoraf følger, at medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale foranstaltninger, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Det forudsættes, at det alene er de bestemmelser ,der specifikt henvises til, som vil have særlig betydning for så vidt angår udmålingen af bøders størrelse. Det samme gælder eventuel udmåling af bøder til fysiske personer, hvor det dog i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 130, 2. pkt., forudsættes, at der vil blive lagt vægt på det generelle indkomstniveau og personens økonomiske stilling.

For virksomheder svarende til væsentlige enheder efter NIS 2-direktivet, forudsættes det i overensstemmelse med NIS 2-direktivets artikel 34, stk. 4, at bødens størrelse for virksomheders overtrædelse af bestemmelserne i §§ 6-10, § 11, stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr. 1-7, §§ 21 og 22, maksimalt vil udgøre et beløb svarende til 10.000.000 euro eller 2 pct. af den væsentlige enheds samlede globale årsomsætning i det foregående regnskabsår, alt efter hvad der er højest.

For virksomheder svarende til vigtige enheder efter NIS 2-direktivet, forudsættes det i overensstemmelse med NIS 2-direktivets artikel 34, stk. 5, at bødens størrelse for virksomheders overtrædelse af bestemmelserne i §§ 6-10, § 11, stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr. 1-7, §§ 21 og 22, maksimalt vil udgøre et beløb svarende til 7.000.000 euro eller 1,4 pct. af den væsentlige enheds samlede globale årsomsætning i det foregående regnskabsår, alt efter hvad der er højest.

Det forudsættes i overensstemmelse med CER-direktivets artikel 22 og NIS 2-direktivets artikel 34, stk. 3, jf. artikel 32, stk. 7, at der vil blive lagt vægt på en række strafskærpende og strafformildende omstændigheder ved pålæg af en bøde og ved udmåling af bødens størrelse, herunder overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser. Således vil gentagne overtrædelser, manglende underretning om eller afhjælpning af væsentlige hændelser, manglende afhjælpning af mangler efter bindende instrukser fra kompetente myndigheder, hindringer for audits eller overvågningsaktiviteter påbudt af den kompetente myndighed efter konstatering af en overtrædelse og afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende cybersikkerhedsrisikostyringsforanstaltninger eller rapporteringsforpligtelser, der er fastsat i § 6, §§ 12-13 og §§ 15-16, under alle omstændigheder vil skulle betragtes som alvorlige overtrædelser, i overensstemmelse med CER-direktivets artikel 22 og NIS 2-direktivets artikel 34, stk. 3, jf. artikel 32, stk. 7.

Endvidere vil der blive lagt vægt på fx overtrædelsens varighed, den pågældende virksomheds relevante tidligere overtrædelser ved pålæg af en bøde og ved udmåling af bødens størrelse. Ligesom der vil blive lagt vægt på, om der er indtruffet en materiel eller immateriel skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt.

De almindelige regler i straffelovens kapitel 10 om henholdsvis strafskærpende og strafformildende omstændigheder vil ligeledes iagttages ved anvendelsen af nærværende strafbestemmelser.

Den fastsatte bøde skal i overensstemmelse med NIS 2-direktivets artikel 34, stk. 1 og CER-direktivets artikel 22, være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning under hensyntagen til omstændighederne i den konkrete sag.

Bøder vil i overensstemmelse med NIS 2-direktivets artikel 34, stk. 2, kunne pålægges i tillæg til håndhævelsesforanstaltningerne i de foreslåede §§ 20, 22 og 23.

Der lægges med loven ikke op til at omfatte virksomheder baseret på antal ansatte og virksomhedens årlige omsætning eller bruttofortjeneste. Det skyldes, at denne afgrænsning ikke inddrager virksomhedernes forsyningsmæssige størrelse og kritikalitet, og at kun få energivirksomheder vil blive omfattet. Eksempelvis kan koncernkonstruktioner med datterselskaber indebære, at energivirksomheder med stor kritikalitet kan have få ansatte eller lav omsætning eller balance. I stedet lægges der op til for begge direktiver at følge den nuværende afgrænsningsmodel i energisektoren, som er den model, der bl.a. er blevet brugt ved implementering af NIS 1-direktivet i energisektoren. Herved er det forsyningsstørrelsen, forstået som fx den samlede energiproduktion, produktions- eller lagerkapacitet eller antal kunder, og i nogle tilfælde virksomhedens eller anlæggets rolle i energisystemerne, der er afgørende for, om virksomheden omfattes af beredskabsregulering. Dette skyldes, at forsyningsstørrelsen i højere grad afspejler virksomhedens kritikalitet for energiforsyningen der primært er afgørende for, om virksomheden omfattes af beredskabsregulering. Det vurderes, at denne afgrænsning stadig lever op til direktiverne.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 35, stk. 2, for så vidt angår væsentlige enheder. Bestemmelsen fastsætter desuden bødestraf for overtrædelser af bestemmelser, som implementerer CER-direktivet og går dermed videre end minimumskravene i CER-direktivets artikel 22. Bestemmelsen skal derudover forstås og anvendes i overensstemmelse med direktivernes forudsætninger.

Om valg af ansvarssubjekt henvises til afsnit 3.5.2.3 i lovforslagets almindelige bemærkninger.

Det foreslås i § 37, stk. 1, nr. 1, at der med bøde straffes den, der undlader at efterkomme påbud efter § 14, stk. 2.

Den foreslåede bestemmelse medfører, at virksomheder kan straffes med bøde, såfremt virksomheden undlader at efterkomme klima-, energi- og forsyningsministerens påbud om, at virksomheden skal informere offentligheden om den hændelse, som virksomheden måtte være ramt af.

Det foreslås i § 37, stk. 1, nr. 2, at der med bøde straffes den, der hindrer myndighederne i at føre kontrol efter § 19, stk. 2, nr. 1-6,

Den foreslåede bestemmelse medfører, at virksomheder vil kunne straffes med bøde, såfremt virksomheden hindrer at klima-, energi- og forsyningsministeren eller rådgivende missioner efter § 20 kan gennemføre sit tilsyn eller rådgivende mission. Virksomheden vil kunne straffes med bøde, såfremt virksomheden helt nægter eller obstruerer klima-, energi- og forsyningsministeren eller den rådgivende mission i at foretage tilsyn og kontrol hos virksomheden ved at inspicere de lokaler, som virksomheden bruger til at levere sine tjenester. Derudover vil virksomheden kunne straffes med bøde, såfremt virksomheden helt nægter eller obstruerer klima-, energi- og forsyningsministeren eller den rådgivende mission i at foretage stikprøvekontroller, foretage regelmæssige kontrol- og tilsynsbesøg hos virksomheder, foretage ad hoc-tilsyn, foretage sikkerhedsscanninger og penetrationstest af virksomhedens net- og informationssystemer samt fysiske lokationer, at udlevere oplysninger og dokumentation, der er nødvendige for at vurdere foranstaltningerne vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed, som virksomheden har indført efter loven og regler udstedt i medfør af loven, at give adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.

Bestemmelsen vil finde anvendelse også ved delvis nægtelse af de ovenstående. Obstruktionen, der udløser en bødestraf efter denne bestemmelse, kan være at virksomheden er så lang tid om at efterkomme myndighedernes kontrolbeføjelser, at tilsynet ikke kan gennemføres effektivt.

Det foreslås i § 37, stk. 1, nr. 3, at der med bøde straffes den, der undlader at efterkomme påbud efter § 21 og § 22, stk. 1 og 2.

Den foreslåede bestemmelse medfører, at virksomheder vil kunne straffes med bøde, såfremt virksomheden undlader at efterkomme klima-, energi- og forsyningsministerens påbud eller forbud om, at virksomheden skal træffe foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, og som anses for nødvendige for at sikre overholdelsen af krav fastsat i loven og regler udstedt i medfør af loven. Det gælder navnlig, at virksomheden skal underrette de fysiske eller juridiske personer, til hvilke den leverer tjenester eller udfører aktiviteter, og som potentielt kan være berørt af en væsentlig cybertrussel, om denne trussels karakter, samt at virksomheden skal underrette disse om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel. Det gælder desuden kravet om, at virksomheden skal udpege en person med ansvar for i en nærmere fastsat periode at føre tilsyn med virksomhedens overholdelse af lovens §§ 6-9 og §§ 12-14, samt regler udstedt i medfør heraf, samt at virksomheden skal offentliggøre afgørelser om påbud eller forbud efter nr. 1-4 samt resumeer af domme eller bødeforlæg, hvor der idømmes eller vedtages en bøde, i ikke-anonymiseret form og på en nærmere angiven måde.

Den foreslåede bestemmelse medfører desuden, at virksomheder vil kunne straffes med bøde, såfremt virksomheden undlader at efterkomme klima-, energi- og forsyningsministerens påbud om, at virksomheden skal få foretaget en revision af net- og informationsforanstaltninger, modstandsdygtighedsforanstaltninger og kritiske systemer ved en uafhængig revisor, såfremt virksomheden ikke har opfyldt et eller flere påbud udstedt efter § 21.

Den foreslåede bestemmelse medfører desuden, at virksomheder vil kunne straffes med bøde, såfremt virksomheden undlader at efterkomme klima-, energi- og forsyningsministerens påbud om at gennemføre tiltag, som på baggrund af en revision efter § 22, stk. 1, vurderes nødvendige for at opretholde et tilstrækkeligt beredskab.

Det foreslås i § 37, stk. 1, nr. 4, at der med bøde straffes den, der undlader at efterkomme en afgørelse efter § 23, stk. 1, nr. 1 eller 2,

Den foreslåede bestemmelse medfører, at virksomheder vil kunne straffes med bøde, såfremt virksomheden undlader at efterkomme klima-, energi- og forsyningsministerens afgørelse om at midlertidigt suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, virksomheden leverer, eller aktiviteter, der udføres af virksomheden eller afgørelse om midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos virksomheden at udøve ledelsesfunktioner i den pågældende virksomhed.

Det foreslås i § 37, stk. 1, nr. 5, at der med bøde straffes den, der meddeler Energiklagenævnet urigtige, vildledende oplysninger eller undlader, at meddele oplysninger efter anmodning i medfør af § 31, stk. 6.

Den foreslåede bestemmelse medfører, at virksomheder vil kunne straffes med bøde, såfremt virksomheden meddeler Energiklagenævnet urigtige, vildledende oplysninger eller undlader, at meddele oplysninger efter anmodning i medfør af § 31, stk. 6.

Det foreslås i § 37, stk. 1, nr. 6, at der med bøde straffes den, der meddeler klima-, energi- og forsyningsministeren eller Energinet urigtige eller vildledende oplysninger eller undlader at meddele oplysninger i medfør af § 35, stk. 1.

Den foreslåede bestemmelse medfører, at virksomheder vil kunne straffes med bøde, såfremt virksomheden meddeler klima-, energi- og forsyningsministeren eller Energinet urigtige eller vildledende oplysninger eller undlader at meddele oplysninger i medfør af § 35, stk. 1

Det foreslås i § 37, stk. 2, at der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Den foreslåede bestemmelse indebærer, at selskaber m.v. (juridiske personer) vil kunne ifalde strafansvar for overtrædelse af denne lov efter reglerne i straffelovens kapitel 5.

Det foreslås i § 37, stk. 3, at der ikke kan pålægges bøde efter denne lov, hvor der er pålagt en bøde for overtrædelse af databeskyttelsesforordningen eller databeskyttelsesloven, hvis overtrædelsen skyldes den samme adfærd som den, der var genstand for bøden i medfør af databeskyttelsesforordningen eller databeskyttelsesloven.

Den foreslåede bestemmelse vil implementere NIS 2-direktivets artikel 35, stk. 2, hvoraf det følger, at tilsynsmyndighederne efter Europa-Parlamentets og Rådets forordning af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen) har pålagt en bøde i henhold til forordningens artikel 58, stk. 2, litra i, må de kompetente myndigheder efter NIS 2-direktivet ikke pålægge en bøde i henhold til NIS 2-direktivets artikel 34, der skyldes den samme adfærd som den, der var genstand for bøden efter databeskyttelsesforordningen.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 35, stk. 2, og skal således forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Klima-, energi- og forsyningsministeren vil fortsat kunne anvende håndhævelsesforanstaltninger i medfør af denne lov, uagtet at der måtte være pålagt en bøde for overtrædelse af databeskyttelseslovgivningen.

Det foreslås i § 37, stk. 4, at der i forskrifter, der udstedes i medfør af loven, kan fastsættes straf af bøde for overtrædelse af bestemmelser i forskrifterne.

Bestemmelsen vil indeholde hjemmel til fastsættelse af straffebestemmelser i forskrifter, som vil skulle medvirke til at sikre overholdelse af reglerne, der forventes udmøntet ved administrativ regulering i form af bekendtgørelser.

De strafbestemmelser, der måtte fastsættes i forskrifter, skal overholde de i til § 37, stk. 1, beskrevne rammer for bødestørrelsens fastsættelse. Bestemmelsen forventes anvendt til at supplere den foreslåede bestemmelse i § 37, stk. 1. Bestemmelsen forventes kun anvendt i begrænset omfang, da § 37, stk. 1, sammen med §§ 21-24, udgør en god sanktionstrappe, der umiddelbart vurderes tilstrækkelig til at håndhæve loven og regler udstedt i medfør af loven overfor virksomhederne.

Til § 38

Det foreslås i § 38, stk. 1, at loven skal træde i kraft den 1. marts 2025.

Det foreslås i § 38, stk. 2, at regler udstedt i medfør af § 15 a, stk. 3 og 4, § 15 b, stk. 5 og 6, og § 30 a, stk. 5 og 6, i lov om gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16. august 2023, forbliver i kraft indtil de ophæves eller afløses af regler udstedt i medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, § 10, § 12, § 13, § 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og 5, § 22, stk. 3, § 26, stk. 2, i lov om styrket beredskab i energisektoren.

Den foreslåede bestemmelse vil medføre, at de regler, der er udstedt i medfør af § 15 a, stk. 3 og 4, § 15 b, stk. 5 og 6, § 30 a, stk. 5 og 6 i gasforsyningsloven, i bekendtgørelse nr. 821 af 14. august 2019 om beredskab for gassektoren og bekendtgørelse nr. 2647 af 28. december 2021 om it-beredskab for el- og naturgassektoren, forbliver i kraft indtil de ophæves eller afløses af en ny samlet bekendtgørelse om modstandsdygtighed og beredskab i energisektoren udstedt i medfør af reglerne i denne lov. Ligeledes vil reglerne i §§ 9-12 i bekendtgørelse nr. 805 af 14. juni 2023 om betaling for myndighedsbehandling i Energistyrelsen også forblive i kraft indtil de ophæves eller afløses af regler i en ny selvstændig bekendtgørelse om betaling for myndighedsbehandling efter § 17, stk. 3 og § 18, stk. 2 i denne lov.

Det foreslås i § 38, stk. 3, at regler udstedet i medfør af § 30 a, stk. 7, i gasforsyningsloven forbliver i kraft indtil de ophæves eller afløses af regler udstedt i medfør af § 30 a, stk. 5, i gasforsyningsloven, jf. denne lovs § 41, nr. 3.

Den foreslåede bestemmelse vil medføre, at de regler der udstedt i medfør af § § 30 a, stk. 7, i gasforsyningsloven, forbliver i kraft til de ophæves eller afløses af regler udstedt i medfør af § 30 a, stk. 5, i gasforsyningsloven, jf. denne lovs § 41, nr. 3.

Det foreslås i § 38, stk. 4, at regler udstedt i medfør af § 51 d, stk. 2, § 85 b, stk. 3 og 4 og § 85 c, stk. 5 og 6, i lov om elforsyning, jf. lovbekendtgørelse nr. 1248 af 24. oktober 2023, forbliver i kraft, indtil de ophæves eller afløses af regler udstedt i medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, § 10, § 12, § 13, § 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og 5, § 22, stk. 3, § 26, stk. 2, i lov om styrket beredskab i energisektoren.

Den foreslåede bestemmelse vil medføre, at de regler ,der er udstedt i medfør af § 51 d, stk. 2, § 85 b, stk. 3 og 4, § 85 c, stk. 5 og 6, i elforsyningsloven, i i bekendtgørelse nr. 2646 af 28. december 2021 om beredskab for elsektoren og bekendtgørelse nr. 2647 af 28. december 2021 om it-beredskab for el- og naturgassektoren, forbliver i kraft indtil de ophæves eller afløses af en ny samlet bekendtgørelse om modstandsdygtighed og beredskab i energisektoren udstedt i medfør af reglerne i denne lov. Ligeledes vil reglerne i §§ 9-12 i bekendtgørelse nr. 805 af 14. juni 2023 om betaling for myndighedsbehandling i Energistyrelsen også forblive i kraft indtil de ophæves eller afløses af regler i en ny selvstændig bekendtgørelse om betaling for myndighedsbehandling efter § 17, stk. 3 og § 18, stk. 2 i denne lov.

Det foreslås i § 38, stk. 5, at regler udstedt i medfør af § 16, i lov nr. 354 af 24. april 2012 om olieberedskab, forbliver i kraft, indtil de ophæves eller afløses af regler udstedt i medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, § 10, § 12, § 13, § 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og 5, § 22, stk. 3, § 26, stk. 2, i lov om styrket beredskab i energisektoren.

Den foreslåede bestemmelse hjemler, at de regler der er udstedt i medfør af § 16, i olieberedskabsloven i bekendtgørelse nr. 424 af 25. april 2018 om beredskab for oliesektoren, forbliver i kraft indtil de ophæves eller afløses af en ny samlet bekendtgørelse om modstandsdygtighed og beredskab i energisektoren udstedt i medfør af reglerne i denne lov.

Til § 39

Det følger af § 16 i olieberedskabsloven, at lagringspligtige virksomheder skal foretage den nødvendige planlægning og træffe de nødvendige foranstaltninger for at sikre forsyningen af råolie og olieprodukter i beredskabssituationer og andre ekstraordinære situationer. Det følger endvidere af § 16, stk. 2, at den centrale lagerenhed skal varetage de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende det beredskab, der er anført i stk. 1. Klima-, energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i stk. 1 nævnte opgaver samt om varetagelse af de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende beredskabet, jf. § 16, stk. 3, i olieberedskabsloven. For en nærmere beskrivelse af gældende ret efter bestemmelserne henvises til pkt. 3.2.1. i de almindelige bemærkninger til lovforslaget.

Det foreslås, at § 16 ophæves.

Olieberedskabslovens § 16 om, at lagringspligtige virksomheder skal foretage den nødvendige planlægning og træffe de nødvendige foranstaltninger for at sikre forsyningen af råolie og olieprodukter i beredskabssituationer og andre ekstraordinære situationer, vil blive videreført i lovforslagets § 6, stk. 1, § 7, stk. 1 og § 8, stk. 1, mens § 16, stk. 3, vil blive videreført i § 6, stk. 2, § 7, stk. 2 og § 8, stk. 2.

Bestemmelsen foreslås ophævet af hensyn til, at det er vurderet mere hensigtsmæssigt at samle bestemmelserne om beredskab i energisektoren i nærværende lovforslag, i stedet for at der findes regler herom i de forskellige forsyningslove.

Til § 40

Til nr. 1

Det følger af § 51 d, i elforsyningsloven, at virksomheder med elproduktionsbevilling efter § 10, stk. 1, eller med tilladelse til elproduktion fra anlæg med en kapacitet på over 25 MW efter § 29 i VE-loven eller § 11 i elforsyningsloven, netvirksomheder og virksomheder, der yder balancering af elsystemet, halvårligt betaler et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostninger til tilsyn med virksomhederne efter regler udstedt i medfør af § 85 b, stk. 4, og § 85 c, stk. 6. For en nærmere beskrivelse af gældende ret efter bestemmelserne henvises til pkt. 3.5.1. i de almindelige bemærkninger til lovforslaget.

Det foreslås, at § 51 d ophæves.

Elforsyningslovens § 51 d, stk. 1 om, at virksomheder med elproduktionsbevilling efter § 10, stk. 1, eller med tilladelse til elproduktion fra anlæg med en kapacitet på over 25 MW efter § 29 i VE-loven eller § 11 i elforsyningsloven, netvirksomheder og virksomheder, der yder balancering af elsystemet, halvårligt betaler et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostninger til tilsyn med virksomhederne, vil blive videreført i lovforslagets § 17, stk. 1. For så vidt angår henvisningen i elforsyningslovens § 51 d, til regler om tilsyn med virksomhederne udstedt i medfør af elforsyningslovens § 85 b, stk. 4, og § 85 c, stk. 6, videreføres ordningen med lovforslagets § 19 og regler udstedt i medfør af bestemmelsens stk. 4. Elforsyningslovens § 51 d, stk. 2 om, at klima-, energi- og forsyningsministeren fastsætter regler om størrelsen af beløb efter stk. 1, herunder om fordelingen af omkostningerne på kategorier af virksomheder. Klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om betaling og opkrævning af beløb efter stk. 1, vil blive videreført i lovforslagets § 17, stk. 3. Elforsyningslovens §§ 85 b og 85 c ophæves jf. lovforslagets § 40, nr. 2.

Til nr. 2

Kapitel 12 i elforsyningsloven har overskriften "Beredskab, fortrolighed, kontrol, oplysningspligt og påbud".

Det foreslås, at overskriften ændres til "Fortrolighed, kontrol, oplysningspligt og påbud", som konsekvens af at elforsyningslovens bestemmelser om beredskab foreslås ophævet og overført til nærværende lovforslag.

Der henvises til lovforslagets § 40, nr. 1, og bemærkningerne hertil.

Til nr. 3

Det følger af elforsyningslovens § 85 b, stk. 1, at virksomheder, som er bevillingspligtige efter §§ 10 og 19 eller har tilladelse til elproduktion fra anlæg med en kapacitet på over 25 MW efter § 29 i VE-loven eller § 11 i elforsyningsloven, samt elforsyningsvirksomhed, der varetages af Energinet eller denne virksomheds helejede datterselskaber i medfør af § 2, stk. 2 og 3, i lov om Energinet, skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre elforsyningen i beredskabssituationer og andre ekstraordinære situationer.

Energinet skal varetage de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende det i stk. 1 nævnte beredskab, jf. elforsyningsloven § 85 b, stk. 2.

Klima-, energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i § 85 b, stk. 1 og 2 nævnte opgaver, jf. elforsyningslovens § 85 b, stk. 3, ligesom klima-, energi- og forsyningsministeren i medfør af § 85 b, stk. 4, kan fastsætte regler om udførelse af tilsyn med det beredskabsarbejde, der udføres efter stk. 1 og 2, herunder om virksomhedernes fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virksomhederne og om klageadgang.

Det følger af elforsyningsloven § 85 c, stk. 1, at samme virksomheder som nævnt ovenfor skal opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer, der er af betydning for elforsyningen.

Klima-, energi- og forsyningsministeren kan efter elforsyningslovens § 85 c, stk. 2 ved manglende opfyldelse af et påbud efter elforsyningslovens § 85 d om at overholde stk. 1 påbyde virksomheder at foretage en it-revision af kritiske systemer ved en uafhængig revisor godkendt af tilsynsmyndigheden. Klima-, energi- og forsyningsministeren kan derefter, jf. elforsyningsloven § 85 c, stk. 3, påbyde virksomheder at gennemføre tiltag, som på baggrund af en it-revision, jf. stk. 2, skønnes nødvendige for at opretholde et it-beredskab, jf. stk. 1.

Klima-, energi- og forsyningsministeren fastsætter efter elforsyningslovens § 85 c, stk. 5 nærmere regler for it-beredskab, jf. § 85 c, stk. 1, herunder regler om: 1) organisering af virksomhedens it-beredskab og evne til at modtage advarsler om trusler mod it-sikkerheden, 2) planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke trusler mod it-sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til Energinet og relevante myndigheder, 3) virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i risikovurderinger, 4) tilmelding til en it-sikkerhedstjeneste, der yder varsler og informationer om it-sikkerhedstrusler, 5) Energinets varetagelse af overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende it-beredskab, jf. stk. 1, og 6) krav til indholdet og planlægningen af en it-revision ved en uafhængig revisor, jf. stk. 2.

Klima-, energi- og forsyningsministeren fastsætter desuden nærmere regler for udførelsen af tilsyn med virksomheders it-beredskab, jf. elforsyningslovens § 85 c, stk. 6.

For en nærmere beskrivelse af gældende ret efter bestemmelserne henvises til pkt. 3.2.1. i de almindelige bemærkninger til lovforslaget.

Det foreslås, at § 85 b og § 85 c ophæves.

Elforsyningslovens § 85 b, stk. 1 om, at virksomheder, som er bevillingspligtige efter §§ 10 og 19 eller har tilladelse til elproduktion fra anlæg med en kapacitet på over 25 MW efter § 29 i lov om fremme af vedvarende energi eller § 11, samt elforsyningsvirksomhed, der varetages af Energinet eller denne virksomheds helejede datterselskaber i medfør af § 2, stk. 2 og 3, i lov om Energinet, skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre elforsyningen i beredskabssituationer og andre ekstraordinære situationer, vil blive videreført i lovforslagets § 6, stk. 1 og § 7, stk. 1.

Elforsyningslovens § 85 b, stk. 2 og 3 om, at Energinet skal varetage de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende det i stk. 1 nævnte beredskab, og om at klima-, energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i stk. 1 og 2 nævnte opgaver, vil blive videreført i lovforslagets § 6, stk. 2, § 7, stk. 2 og § 8, stk. 2, § 10, § 11 og § 36.

Elforsyningslovens § 85 b, stk. 4 om, at klima-, energi- og forsyningsministeren kan fastsætte regler om udførelse af tilsyn med det beredskabsarbejde, der udføres efter stk. 1 og 2, herunder om virksomhedernes fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virksomhederne og om klageadgang, vil blive videreført i lovforslagets § 19, § 30, § 32 og § 35, stk. 1.

Elforsyningslovens § 85 c, stk. 1 om, at virksomheder, som er bevillingspligtige efter §§ 10 og 19 eller har tilladelse til elproduktion fra anlæg med en kapacitet på over 25 MW efter § 29 i lov om fremme af vedvarende energi eller § 11, Energinet og dennes helejede datterselskaber samt virksomheder, der yder balancering af elsystemet, skal opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer, der er af betydning for elforsyningen, vil blive videreført i lovforslagets § 6, stk. 1, § 7, stk. 1 og § 8, stk. 1.

Elforsyningslovens § 85 c, stk. 2, stk. 3 og stk. 5, nr. 5 om, at klima-, energi- og forsyningsministeren ved manglende opfyldelse af et påbud efter § 85 d om at overholde stk. 1 kan påbyde virksomheder at foretage en it-revision af kritiske it-systemer ved en uafhængig revisor godkendt af tilsynsmyndigheden og om, at klima-, energi- og forsyningsministeren kan påbyde virksomheder at gennemføre tiltag, som på baggrund af en it-revision, jf. stk. 2, skønnes nødvendige for at opretholde et it-beredskab, jf. stk. 1, samt at klima-, energi- og forsyningsministeren fastsætter nærmere regler om krav til indholdet og planlægningen af en it-revision ved en uafhængig revisor, jf. stk. 2, vil blive videreført i lovforslagets § 22.

Elforsyningslovens § 85 c, stk. 4 om, at informationer, herunder vurderinger, planer og data, vedrørende sikkerhedsforhold for forsyningskritiske it-systemer i virksomheder, som er omfattet af stk. 1, er fortrolige, hvis oplysningerne er væsentlige af hensyn til driften af virksomheden eller det sammenhængende elsystem, vil blive videreført i lovforslagets § 26.

Elforsyningslovens § 85 c, stk. 5, nr. 1-5 om, at klima-, energi- og forsyningsministeren fastsætter nærmere regler for it-beredskab, jf. stk. 1, herunder regler om 1) organisering af virksomhedens it-beredskab og evne til at modtage advarsler om trusler mod it-sikkerheden, 2) planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke trusler mod it-sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til Energinet og til klima-, energi- og forsyningsministeren, 3) virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i risikovurderinger, 4) tilmelding til en tjeneste, der yder varsler og informationer om it-sikkerhedstrusler, 5) Energinets varetagelse af overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende it-beredskabet, jf. stk. 1, vil blive videreført i lovforslagets § 8, stk. 2.

Elforsyningslovens § 85 c, stk. 6 om, at klima-, energi- og forsyningsministeren fastsætter regler for udførelse af tilsyn med det beredskabsarbejde, der udføres efter stk. 1, videreføres i lovforslagets § 19, § 30, og § 35, stk. 1. Bestemmelsen foreslås ophævet, fordi det vurderes mere hensigtsmæssigt at samle bestemmelserne om beredskab i energisektoren i nærværende lovforslag, end at der findes regler herom i de forskellige forsyningslove.

Ændringen vil således medføre, at hjemmelsgrundlaget for beredskab i energisektoren fremadrettet vil være samlet i én lov, hvilket vil give et samlet overblik over beredskabsreguleringen for de omfattede virksomheder, hvoraf en del er multiforsyningsvirksomheder eller har aktiviteter i flere delsektorer. Ændringen vil dermed gøre det lettere for virksomhederne at navigere i den regulering, som de er underlagt med hensyn til beredskab.

Til § 41

Til nr. 1

Overskriften før § 15 a i gasforsyningsloven har overskriften "Beredskab".

Overskriften foreslås ophævet, som konsekvens af at gasforsyningslovens bestemmelser om beredskab foreslås ophævet og overført til nærværende lovforslag.

Til nr. 2

Det følger af gasforsyningslovens § 15 a, stk. 1, at selskaber, der er bevillingspligtige efter § 10, samt Energinet og denne virksomheds helejede datterselskaber, der varetager gasvirksomhed i medfør af § 2, stk. 2 og 3, i lov om Energinet, skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre gasforsyningen i beredskabssituationer og andre ekstraordinære situationer.

Energinet skal varetage de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende det i stk. 1 nævnte beredskab, jf. gasforsyningsloven § 15 a, stk. 2.

Klima-, energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i § 15 a stk. 1 og 2 nævnte opgaver, herunder om udveksling af nødvendige data i de i stk. 1 nævnte situationer og for at undgå sådanne situationer, jf. gasforsyningslovens § 15 a , stk. 3, ligesom klima-, energi- og forsyningsministeren i medfør af § 15 a, stk. 4, kan fastsætte regler om udførelse af tilsyn med det beredskabsarbejde, der udføres efter stk. 1 og 2, herunder om selskabernes fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virksomhederne og om klageadgang.

Det følger af gasforsyningsloven § 15 b, stk. 1, at samme selskaber som nævnt ovenfor skal opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer, der er af betydning for elforsyningen.

Klima-, energi- og forsyningsministeren kan efter gasforsyningslovens § 15 b, stk. 2 ved manglende opfyldelse af et påbud efter gasforsyningslovens § 47 b om at overholde stk. 1, påbyde virksomheder at foretage en it-revision af kritiske systemer ved en uafhængig revisor godkendt af tilsynsmyndigheden. Klima-, energi- og forsyningsministeren kan derefter, jf. gasforsyningsloven § 15 b, stk. 3, påbyde virksomheder at gennemføre tiltag, som på baggrund af en it-revision, jf. stk. 2, skønnes nødvendige for at opretholde et it-beredskab, jf. stk. 1.

Klima-, energi- og forsyningsministeren fastsætter efter gasforsyningslovens § 15 b, stk. 5 nærmere regler for it-beredskab, jf. § 15 b, stk. 1, herunder regler om: 1) organisering af virksomhedens it-beredskab og evne til at modtage advarsler om trusler mod it-sikkerheden, 2) planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke trusler mod it-sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til Energinet og relevante myndigheder, 3) virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i risikovurderinger, 4) tilmelding til en it-sikkerhedstjeneste, der yder varsler og informationer om it-sikkerhedstrusler, 5) Energinets varetagelse af overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende it-beredskab, jf. stk. 1, og 6) krav til indholdet og planlægningen af en it-revision ved en uafhængig revisor, jf. stk. 2.

Klima-, energi- og forsyningsministeren fastsætter desuden nærmere regler for udførelsen af tilsyn med virksomheders it-beredskab, jf. gasforsyningslovens § 15 b, stk. 6. For en nærmere beskrivelse af gældende ret efter bestemmelserne henvises til pkt. 3.2.1. i de almindelige bemærkninger til lovforslaget.

Det foreslås, at § 15 a og § 15 b ophæves.

Gasforsyningslovens § 15 a, stk. 1 om at selskaber, der er bevillingspligtige efter § 10, samt Energinet og denne virksomheds helejede datterselskaber, der varetager gasvirksomhed i medfør af § 2, stk. 2 og 3, i lov om Energinet skal foretage nødvendig planlægning og træffe de nødvendige foranstaltninger for at sikre gasforsyningen i beredskabssituationer og andre ekstraordinære situationer, og at klima-, energi- og forsyningsministeren kan bestemme, at opstrømsanlæg og bygasnet tilsvarende skal foretage sådan planlægning og træffe sådanne foranstaltninger, vil blive videreført i lovforslagets § 6, stk. 1 og § 7, stk. 1.

Gasforsyningslovens § 15 a, stk. 2 og 3 om, at Energinet skal varetage de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende det i stk. 1 nævnte beredskab, og om at klima-, energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i stk. 1 og 2 nævnte opgaver, herunder om udveksling af nødvendige data i de i stk. 1 nævnte situationer og for at undgå sådanne situationer, vil blive videreført i lovforslagets § 6, stk. 2, § 7, stk. 2 og § 8, stk. 2, § 10, § 11 og § 36.

Gasforsyningslovens § 15 a, stk. 4 om, at klima-, energi- og forsyningsministeren kan fastsætte regler om udførelse af tilsyn med det beredskabsarbejde, der udføres efter stk. 1 og 2, herunder om selskabernes fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til selskaberne og om klageadgang, vil blive videreført i lovforslagets § 19, § 30, § 32 og § 35, stk. 1. Gasforsyningslovens § 15 b, stk. 1 om, at selskaber, der er bevillingspligtige efter § 10, samt Energinet og dennes helejede datterselskaber, der varetager gasforsyningsvirksomhed i henhold til § 2, stk. 2 og 3, i lov om Energinet, skal opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer, der er af væsentlig betydning for gasforsyningen, vil blive videreført i lovforslagets § 6, stk. 1, § 7, stk. 1 og § 8, stk. 1.

Gasforsyningslovens § 15 b, stk. 2, stk. 3 og stk. 5, nr. 5 om, at klima-, energi- og forsyningsministeren ved manglende opfyldelse af et påbud efter § 47 b om at overholde stk. 1, kan påbyde virksomheder at foretage en it-revision af kritiske it-systemer ved en uafhængig revisor godkendt af tilsynsmyndigheden og om, at klima-, energi- og forsyningsministeren kan påbyde virksomheder at gennemføre tiltag, som på baggrund af en it-revision, jf. stk. 2, skønnes nødvendige for at opretholde et it-beredskab, jf. stk. 1, samt at klima-, energi- og forsyningsministeren fastsætter nærmere regler om krav til indholdet og planlægningen af en it-revision ved en uafhængig revisor, jf. stk. 2, vil blive videreført i lovforslagets § 22.

Gasforsyningslovens § 15 b, stk. 4 om, at informationer, herunder vurderinger, planer og data, vedrørende sikkerhedsforhold for forsyningskritiske it-systemer i virksomheder, som er omfattet af stk. 1, er fortrolige, hvis oplysningerne er væsentlige af hensyn til driften af virksomheden eller gassystemet, vil blive videreført i lovforslagets § 26.

Gasforsyningslovens § 15 b, stk. 5, nr. 1-5 om, at klima-, energi- og forsyningsministeren fastsætter nærmere regler for it-beredskab, jf. stk. 1, herunder regler om 1) organisering af virksomhedens it-beredskab og evne til at modtage advarsler om trusler mod it-sikkerheden, 2) planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke trusler mod it-sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til Energinet og til klima-, energi- og forsyningsministeren, 3) virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i risikovurderinger, 4) tilmelding til en tjeneste, der yder varsler og informationer om it-sikkerhedstrusler, 5) Energinets varetagelse af overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende it-beredskabet, jf. stk. 1, vil blive videreført i lovforslagets § 8, stk. 2.

Gasforsyningslovens § 15 b, stk. 6 om, at klima-, energi- og forsyningsministeren fastsætter regler for udførelse af tilsyn med det beredskabsarbejde, der udføres efter stk. 1, videreføres i lovforslagets § § 19, § 30, og § 35, stk. 1.

Bestemmelserne foreslås ophævet, da det vurderes mere hensigtsmæssigt at samle bestemmelserne om beredskab i energisektoren i nærværende lovforslag, end at der findes regler herom i de forskellige forsyningslove.

Ændringen vil således medføre, at hjemmelsgrundlaget for beredskab i energisektoren fremadrettet vil være samlet i én lov, hvilket vil give et samlet overblik over beredskabsreguleringen for de omfattede virksomheder, hvoraf en del er multiforsyningsvirksomheder eller har aktiviteter i flere delsektorer. Ændringen vil dermed gøre det lettere for virksomhederne at navigere i den regulering, som de er underlagt med hensyn til beredskab.

Til nr. 3.

Det følger af § 30, a, stk. 5, i gasforsyningsloven, at Energinet og denne virksomheds helejede datterselskaber i medfør af § 2, stk. 2 og 3, i lov om Energinet, der driver lagervirksomhed, og selskaber, der driver distributionsvirksomhed efter bevilling, betaler halvårligt et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostninger til tilsyn med selskaberne efter regler udstedt i medfør af § 15 a, stk. 4, og § 15 b, stk. 6.

I medfør af § 30 a, stk. 6, i gasforsyningsloven, kan klima-, energi- og forsyningsministeren fastsætter størrelsen af beløbet efter stk. 5, herunder fordelingen af omkostningerne på kategorier af selskaber. For en nærmere beskrivelse af gældende ret efter bestemmelserne henvises til pkt. 3.5.1. i de almindelige bemærkninger til lovforslaget.

Det foreslås, at § 30 a, stk. 5 og 6 ophæves.

Stk. 6 og 7 bliver herefter stk. 5 og 6. Den foreslåede ændring vil medføre, at virksomheder omfattet af gasforsyningslovens af § 30, a ikke vil blive opkrævet et halvårligt gebyr efter gasforsyningsloven til dækning af Klima-, Energi- og Forsyningsministeriets omkostninger til tilsyn med virksomhedernes organisatoriske beredskab, fysiske sikring og cybersikkerhed, samt til dækning af de omkostninger, der er til administration af ordningen.

Gasforsyningslovens § 30 a, stk. 5 om, at Energinet og denne virksomheds helejede datterselskaber i medfør af § 2, stk. 2 og 3, i lov om Energinet, der driver lagervirksomhed, og selskaber, der driver distributionsvirksomhed efter bevilling, betaler halvårligt et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostninger til tilsyn med selskaberne, vil blive videreført i lovforslags § 17, stk. 1. For så vidt angår henvisningen i gasforsyningslovens § 30 a, stk. 5, til regler om tilsyn med virksomhederne udstedt i medfør af gasforsyningslovens § 15 a, stk. 4, og § 15 b, stk. 6, videreføres ordningen med lovforslagets § 19 og regler udstedt i medfør af bestemmelsens, stk. 4. Gasforsyningslovens § 30 a, stk. 6 om klima-, energi- og forsyningsministeren fastsætter størrelsen af beløbet efter stk. 5, herunder fordelingen af omkostningerne på kategorier af selskaber, vil blive videreført i lovforslagets § 17, stk. 3.

Gasforsyningslovens §§ 15 a og 15 b ophæves jf. lovforslagets § 41, nr. 2.

Klima-, Energi- og Forsyningsministeriets vil dermed fremadrettet opkræve et halvårligt gebyr hos virksomhederne til dækningen af tilsvarende opgaver efter nærværende lovforslags § 18, stk. 1, hvorved der sker en videreførelse af den eksisterende gebyrordning for tilsynet med gasvirksomhedernes organisatoriske beredskab, fysiske sikring og cybersikkerhed og dækning af de omkostninger, der er til administration af ordningen.

Ophævelsen af § 30 a, stk. 5 og 6 vil derfor ikke medføre nogen ændringer i praksis på området, da den erstattes af nærværende lovforslags § 18, stk. 1

Til § 42

Til nr. 1

Anvendelsesområdet for prisreguleringen i varmeforsyningsloven fremgår af § 20, stk. 1. Bestemmelsen finder anvendelse på virksomheder, der leverer opvarmet vand, damp eller gas bortset fra naturgas til det indenlandske marked med det formål at levere energi til bygningers opvarmning og forsyning med varmt vand. Det drejer sig blandt andet om kollektive varmeforsyningsanlæg, jf. § 2, i varmeforsyningsloven.

Bestemmelsen i § 20, stk. 1, indeholder princippet om nødvendige omkostninger. Princippet indebærer, at de varmeforsyningsvirksomheder, der er omfattet af bestemmelsen, kan opkræve de nødvendige omkostninger, der er forbundet med levering af det opvarmede vand m.m. til rumvarmeformål. De omkostninger, der må indregnes i priserne, skal ud over at være nødvendige, også efter deres art være indregningsberettigede.

Det foreslås i § 20, stk. 1, 1. pkt. at indsætte en henvisning til omkostninger til beredskab efter lov om styrket beredskab i energisektoren.

Den foreslåede ændring vil medføre, at varmeforsyningsvirksomheder omfattet af § 20, stk. 1, som udgangspunkt vil kunne indregne omkostninger til beredskab som en nødvendig omkostning i sine varmepriser.

Varmeforsyningsvirksomhedernes omkostninger til beredskab vil fortsat skulle være nødvendige efter § 20, stk. 1. Derudover må prisen ikke være urimelig, jf. § 21, stk. 4, i varmeforsyningsloven. En varmeforsyningsvirksomheds omkostninger til beredskab vil således fortsat være underlagt Forsyningstilsynets tilsyn og indgrebsbeføjelse efter § 21, stk. 4.

Det er ikke hensigten med lovforslaget derudover at ændre den måde, som Forsyningstilsynet i dag fører tilsyn i medfør af § 21, stk. 4, i varmeforsyningsloven. Forsyningstilsynet vil derfor skulle føre sit sædvanlige tilsyn på omkostninger til beredskab.

Der henvises til i øvrigt lovforslagets almindelige bemærkninger i afsnit 3.8.

Til nr. 2

Det følger af § 29 a i varmeforsyningsloven, at virksomheder, som driver anlæg til produktion og fremføring af bygas, skal foretage nødvendig planlægning og træffe de nødvendige foranstaltninger for at sikre bygasforsyningen i beredskabssituationer og andre ekstraordinære situationer. Klima, energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i stk. 1 nævnte opgaver samt om varetagelse af de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende beredskabet, jf. § 29 a, stk. 2, i varmeforsyningsloven. For en nærmere beskrivelse af gældende ret efter bestemmelserne henvises til pkt. 3.2.1. i de almindelige bemærkninger til lovforslaget.

Det foreslås, at § 29 a ophæves.

Varmeforsyningslovens § 29 a om, at virksomheder, som driver anlæg til produktion og fremføring af bygas, skal foretage nødvendig planlægning og træffe de nødvendige foranstaltninger for at sikre bygasforsyningen i beredskabssituationer og andre ekstraordinære situationer og om, at klima, energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i stk. 1 nævnte opgaver samt om varetagelse af de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende beredskabet, vil blive videreført i lovforslags § §§ 6-8 og § 10.

Bestemmelserne foreslås ophævet, da det vurderes mere hensigtsmæssigt at samle bestemmelserne om beredskab i energisektoren i nærværende lovforslag, end at der findes regler herom i de forskellige forsyningslove.

Til § 43

Det følger af § 17 a, stk. 1 i undergrundsloven, at rettighedshavere med tilladelse til efterforskning og indvinding af kulbrinter eller tilladelse til etablering og drift af rørledningsanlæg i forbindelse med indvinding af kulbrinter skal planlægge med hensyn til opretholdelse og videreførelse af forsyningen af kulbrinter til samfundet i tilfælde af krisesituationer, herunder udarbejde beredskabsplaner og gennemføre nødvendige foranstaltninger til sikring af egne anlæg, rørledninger, kritiske systemer og data m.v. Dette gælder også ejere af tilstødende olie- og naturgasrørledningsanlæg, separationsfaciliteter og terminalanlæg for råolie, jf. § 1 i lov om etablering og benyttelse af en rørledning til transport af råolie og kondensat og §§ 3 a og 4 i lov om kontinentalsoklen og visse rørledningsanlæg på søterritoriet. Rettighedshavere og ejere skal koordinere dette beredskab med beredskab efter anden lovgivning.

I medfør af § 17 a, stk. 2 i undergrundsloven, hvis rettighedshaveren eller ejeren består af en eller flere fysiske eller juridiske personer i forening, gælder stk. 1 for hver enkelt af disse.

Det følger af § 17 a, stk. 3 i undergrundsloven, at klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om varetagelse af de opgaver, som er anført i stk. 1, herunder om fremsendelse af oplysninger af relevans for dette arbejde til ministeren, og nærmere regler om gennemførelse af EU-regler.

Med bemyndigelsen er der tilvejebragt hjemmel til at fastsætte regler om bl.a. følgende forhold af betydning for samfundets energiforsyning:

- Virksomhedernes beredskabsplanlægning. Det er hensigten at fastsætte regler om den beredskabsplanlægning, som skal foretages af virksomhederne. Denne beredskabsplanlægning omfatter især forhold om udarbejdelse af risiko- og sårbarhedsvurderinger, udarbejdelse af beredskabsplaner, afholdelse af øvelser om de væsentligste dele af beredskabsplanerne, evaluering af hændelser af betydning for dette beredskab samt medvirken i myndighedernes beredskab på energiområdet.

- Virksomhedernes fremsendelse af oplysninger til myndighederne. Det er hensigten at fastsætte regler herom, idet sådanne oplysninger, primært om kritiske situationer samt deres udvikling og håndtering, er centrale for myndighedernes beredskab efter den nationale beredskabsplan. Tilsvarende er det centralt, at virksomhederne på en effektiv måde kan modtage oplysninger herom fra myndighederne.

- Identifikation af kritisk infrastruktur. Det er hensigten at fastsætte regler herom, idet en central del af beredskabsarbejdet er identifikation af anlæg, rørledninger, kritiske systemer og data m.v., som har kritisk betydning for samfundets energiforsyning.

- Sikring af kritisk infrastruktur. Det er hensigten at fastsætte regler om sikring af kritisk infrastruktur over for naturgivne og menneskabte hændelser som led i beredskabsarbejdet.

- Virksomhedernes arbejde om cyber- og informationssikkerhed. Det er hensigten at fastsætte regler om virksomhedernes arbejde med beskyttelse af deres centrale aktiviteter over for cybertrusler samt deres beskyttelse af kritiske informationer, både på digital form og på anden form.

Hjemlen anvendes også til gennemførelse af EU-regler om beredskab af betydning for de nævnte forsyningsmæssige forhold.

Reglerne i medfør af stk. 3 udarbejdes i samarbejde med oliebranchen.

For en nærmere beskrivelse af gældende ret efter bestemmelserne henvises til pkt. 3.2.1. i de almindelige bemærkninger til lovforslaget.

Med lovforslaget foreslås § 17 a ophævet.

Undergrundslovens § 17 a, stk. 1, om at rettighedshavere med tilladelse til efterforskning og indvinding af kulbrinter eller tilladelse til etablering og drift af rørledningsanlæg i forbindelse med indvinding af kulbrinter skal planlægge med hensyn til opretholdelse og videreførelse af forsyningen af kulbrinter til samfundet i tilfælde af krisesituationer, herunder udarbejde beredskabsplaner og gennemføre nødvendige foranstaltninger til sikring af egne anlæg, rørledninger, kritiske systemer og data m.v. og om, at dette gælder også ejere af tilstødende olie- og naturgasrørledningsanlæg, separationsfaciliteter og terminalanlæg for råolie, jf. § 1 i lov om etablering og benyttelse af en rørledning til transport af råolie og kondensat og §§ 3 a og 4 i lov om kontinentalsoklen og visse rørledningsanlæg på søterritoriet, samt at rettighedshavere og ejere skal koordinere dette beredskab med beredskab efter anden lovgivning, vil blive videreført i lovforslagets § § 6, stk. 1, § 7, stk. 1 og § 8, stk. 1.

Undergrundslovens § 17 a, stk. 3 om, at klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om varetagelse af de opgaver, som er anført i stk. 1, herunder om fremsendelse af oplysninger af relevans for dette arbejde til ministeren, og nærmere regler om gennemførelse af EU-regler, vil blive videreført i lovforslagets § 4, § 5, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, § 34 og § 35, stk. 1.

Bestemmelsen foreslås ophævet af hensyn til, at det er vurderet mere hensigtsmæssigt at samle bestemmelserne om beredskab i energisektoren i nærværende lovforslag, end at der findes regler herom i de forskellige forsyningslove.

Ændringen vil således medføre, at hjemmelsgrundlaget for beredskab i energisektoren fremadrettet vil være samlet i én lov, hvilket vil give et samlet overblik over beredskabsreguleringen for de omfattede virksomheder, hvoraf en del er multiforsyningsvirksomheder eller har aktiviteter i flere delsektorer. Ændringen vil dermed gøre det lettere for virksomhederne at navigere i den regulering, som de er underlagt med hensyn til beredskab.

Til § 44

Det følger af § 2, stk. 2, at Energinet varetager en sammenhængende og helhedsorienteret planlægning efter reglerne i denne lov, elforsyningsloven, VE-loven og gasforsyningsloven og driver systemansvarlig virksomhed, eltransmissionsvirksomhed og gastransmissionsvirksomhed.

Energinets opgavevaretagelse på beredskabsområdet er nærmere fastlagt i elberedskabsbekendtgørelsen, naturgasberedskabsbekendtgørelsen og it-beredskabsbekendtgørelsen, hvorefter Energinet blandt andet varetager de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende beredskabssituationerne i el- og gassektoren.

Det foreslås i § 20, stk. 1, 1. pkt. at indsætte en henvisning til lov om styrket beredskab i energisektoren.

Bestemmelsen foreslås ændret som konsekvens af, at bestemmelserne om beredskab i energisektoren samles i nærværende lovforslag, således at der ikke fremover findes regler herom i de forskellige forsyningslove.

Det forventes, at de gældende regler angående Energinets opgavevaretagelse i medfør af beredskabsbekendtgørelserne for elsektoren og naturgassektoren videreføres for el- og gassektoren, dog med tilføjelse af brintsektoren såfremt der måtte etableres et brinttransmissionssystem i Danmark, samt tilføjelse af de nye aktører, der vil omfattes af beredskabsreguleringen i delsektorerne for el-, gas. Disse aktører er hovedsageligt dikteret af NIS 2 og CER-direktivernes bilag om disses anvendelsesområde.

Til § 45

Det foreslås i § 45, at loven ikke skal gælde for Færøerne og Grønland.

De hovedlove, der ændres i kapitel 15, gælder ikke for Færøerne og Grønland, og kan ikke ved kongelig anordning sættes i kraft for Færøerne og Grønland.

Bilag 1

Lovforslaget sammenholdt med gældende lov

1) Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet), EU-Tidende 2022, nr. L 333, side 80 samt dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet), EU-Tidende 2022, nr. L 333 side 164.