Forslag til Lov om styrket beredskab i energisektoren

Lovforslaget om styrket beredskab i energisektoren har til formål at etablere en robust ramme for modstandsdygtighed og beredskab i den danske energisektor. Dette skal beskytte energiforsyningen mod naturskabte, menneskeskabte og teknologiske trusler, herunder cyberangreb og spionage. Loven implementerer EU's NIS 2-direktiv (om cybersikkerhed) og CER-direktivet (om kritiske enheders modstandsdygtighed) og indfører supplerende nationale krav. Den udvider beredskabsreguleringen til at omfatte nye delsektorer og forsyningsaktører, som hidtil ikke har været omfattet, og skærper kravene til allerede regulerede virksomheder.

Formål, Anvendelsesområde og Definitioner

Lovens formål er at fastsætte regler for organisatorisk beredskab, fysisk sikring og cybersikkerhed for virksomheder i energisektoren. Den skal også danne grundlag for myndighedstilsyn og samarbejde mellem virksomheder, myndigheder og andre organisationer i beredskabsplanlægning og hændelseshåndtering.

Loven finder anvendelse på en bred vifte af virksomheder inden for elektricitet, gas, olie, fjernvarme, fjernkøling og brint, herunder distributions- og transmissionssystemoperatører, elproducenter, operatører af ladepunkter, olierørledningsoperatører, centrale lagerenheder, naturgasvirksomheder, og operatører af tankstationer. Mikro- og små virksomheder er kun omfattet, hvis de opfylder specifikke kapacitets- eller salgsgrænser, der afspejler deres kritikalitet for energiforsyningen. Lovens anvendelsesområde strækker sig til land- og søterritoriet, den danske eksklusive økonomiske zone og kontinentalsokkel, dog med undtagelse af transmissionssystemer uden tilslutning til danske forsyningsnet.

Lovforslaget definerer en række centrale begreber, herunder aggregering, centrale lagerenheder, cybersikkerhed, cybertrussel, hændelse, modstandsdygtighed, net- og informationssystemer, nærvedhændelse, risikovurdering og væsentlig tjeneste, i overensstemmelse med de relevante EU-direktiver.

Identificering og Kategorisering af Virksomheder

Klima-, energi- og forsyningsministeren skal identificere kritiske virksomheder, systemer og anlæg og kategorisere dem baseret på deres betydning for energiforsyningen. Dette muliggør differentierede krav til beredskab og tilsyn. Virksomheder kan også udpeges som kritiske enheder af særlig europæisk betydning, hvis de leverer væsentlige tjenester til seks eller flere medlemsstater.

Virksomheders Modstandsdygtighed og Beredskab

Virksomheder skal foretage beredskabsplanlægning og implementere organisatoriske foranstaltninger for at beskytte deres tjenester og sikre effektiv genoprettelse. Dette omfatter:

• Ledelsespligter, herunder godkendelse af risiko- og sårbarhedsvurderinger, beredskabsplaner og leverandørkontrakter.
• Krav om, at ledelsesorganer tilegner sig viden inden for risiko- og sårbarhedsstyring.
• Identifikations- og adgangskontrolpolitikker.
• Udpegelse af personer til specifikke beredskabsroller (f.eks. beredskabskoordinator, cyberkoordinator).
• Politikker for informationssystemsikkerhed og risiko- og sårbarhedsvurderinger for nye indkøb og projekter.
• Forsyningskædesikkerhed.
• Beredskabsplaner og øvelsesplanlægning.
• Beredskabstræning og cybersikkerhedsuddannelse af ansatte.
• Kapacitet til at modtage og videreformidle trusselsadvarsler.
• Tilmelding til en it-sikkerhedstjeneste.

Derudover skal virksomheder træffe passende foranstaltninger for fysisk sikring af lokationer og anlæg, herunder forebyggelse af hændelser (med hensyn til katastroferisikoreduktion og klimatilpasning), overvågning og detektion af uautoriseret adgang, tilstrækkelig fysisk sikring af kontrolrum og arbejdsstationer, hændelseshåndtering og genopretning, samt medarbejdersikkerhedsstyring.

For cybersikkerhed skal virksomheder planlægge og træffe passende foranstaltninger for at beskytte net- og informationssystemer. Dette inkluderer forvaltning af systemer, netværks- og infrastruktursikkerhed, sikkerhedskrav til geografisk placering af drift, sikkerhed ved erhvervelse/udvikling/vedligeholdelse af systemer, backup-styring, logning, løbende kontrol af cybersikkerhed, brug af sikret kommunikation, kryptering og multifaktorautentificering.

Ministeren kan desuden fastsætte regler om, at virksomheder skal anvende certificerede IKT-produkter, -tjenester og -processer.

Ministeren og Energinet får roller i koordinerende planlægningsmæssige og operative opgaver vedrørende beredskab. Ministeren kan i beredskabssituationer fastsætte og udmelde sektorberedskabsniveauer og pålægge sektorberedskabsforanstaltninger for hele energisektoren eller dele heraf. Energinet kan i særlige tilfælde varetage denne opgave på ministerens vegne for el-, gas- og brintsektorerne.

Underretningspligt

Ministeren kan fastsætte regler om underretning og indrapportering af hændelser, væsentlige cybertrusler og nærvedhændelser. Virksomheder kan også pålægges at underrette modtagere af deres tjenester om trusler eller hændelser. Ministeren kan informere offentligheden om hændelser, hvis det er nødvendigt eller i offentlighedens interesse, og kan påbyde virksomheder at gøre det samme. Enhver kan frivilligt underrette ministeriet om væsentlige hændelser, cybertrusler og nærvedhændelser.

Baggrundskontrol og Sikkerhedsgodkendelse

Ministeren kan fastsætte regler for, under hvilke betingelser virksomheder kan få foretaget baggrundskontrol af personer, der varetager følsomme opgaver eller har adgang til kritiske systemer. Der kan også fastsættes regler om, at disse personer skal sikkerhedsgodkendes af Klima-, Energi- og Forsyningsministeriet.

Gebyrer

Virksomheder skal betale halvårlige gebyrer til Klima-, Energi- og Forsyningsministeriet for at dække omkostninger til tilsyn. Derudover betales gebyrer for ad-hoc-tilsyn og for behandling af ansøgninger og dispensationer.

Tilsyn

Klima-, energi- og forsyningsministeren fører tilsyn med virksomhedernes overholdelse af loven. Tilsyns- og kontrolforanstaltninger omfatter inspektioner, regelmæssige og ad hoc-besøg, sikkerhedsscanninger og penetrationstests, samt krav om udlevering af oplysninger og dokumentation. Ministeriet er ansvarlig for eventuelle skader forårsaget af scanninger og tests. Rådgivende missioner fra EU kan også vurdere foranstaltninger hos kritiske enheder af særlig europæisk betydning, dog med mulighed for begrænsninger af hensyn til national sikkerhed.

Påbud og Forbud

Ministeren kan udstede påbud og forbud for at sikre overholdelse af loven, herunder påbud om at træffe foranstaltninger for at forhindre eller afhjælpe hændelser, underrette berørte parter, udpege en tilsynsansvarlig person, eller offentliggøre afgørelser. Ved manglende opfyldelse kan ministeren påbyde en uafhængig revision og i yderste konsekvens midlertidigt suspendere certificeringer eller forbyde ledelsespersoner at udøve funktioner.

Gensidig Bistand om Cybersikkerhed

Ministeren samarbejder med andre medlemsstaters kompetente myndigheder, især når en virksomhed leverer tjenester i flere EU-lande, og kan anmode om eller yde bistand ved tilsyns- og håndhævelsesforanstaltninger.

Fortrolighed, Udveksling af Oplysninger og Digital Kommunikation

Informationer om sikkerhedsgodkendelse, baggrundskontrol og beredskabsforhold er fortrolige under visse omstændigheder. Frivillige underretninger er undtaget fra aktindsigt. Oplysninger kan videregives til andre EU-myndigheder og institutioner, med forbehold for national sikkerhed og fortrolighed. Ministeren kan fastsætte regler for digital kommunikation.

Klageadgang og Domstolsprøvelse m.v.

Energiklagenævnet behandler klager over afgørelser truffet i medfør af loven. Klagefristen er 4 uger. Ministeren kan bemyndige andre myndigheder til at udøve beføjelser efter loven og kan indhente nødvendige oplysninger fra virksomheder.

Samordnet Beredskab

Ministeren kan fastsætte regler om samordnet beredskab, hvor beredskabsarbejdet varetages i fællesskab af flere virksomheder eller af én part.

Straf

Overtrædelse af påbud, hindring af kontrol, eller afgivelse af urigtige oplysninger kan straffes med bøde. Selskaber m.v. kan pålægges strafansvar.

Ikrafttrædelse

Loven træder i kraft den 1. marts 2025. Eksisterende regler om beredskab i gasforsyningsloven, elforsyningsloven og olieberedskabsloven forbliver i kraft, indtil de afløses af regler udstedt i medfør af denne nye lov. Samtidig ophæves eller ændres relevante bestemmelser i olieberedskabsloven, elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og lov om anvendelse af Danmarks undergrund. Loven gælder ikke for Færøerne og Grønland.