CER-loven § 5

Det fulgte af artikel 7, stk. 1, i Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet), at hver medlemsstat skulle foretage en trusselsvurdering i forbindelse med undersektorerne af europæisk kritisk infrastruktur senest et år efter, at den kritiske infrastruktur på dens område var blevet udpeget som europæisk kritisk infrastruktur inden for de pågældende undersektorer.

Der påhvilede ikke ejere eller operatører af europæisk kritisk infrastruktur en tilsvarende forpligtelse til at foretage en trusselsvurdering.

EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og transportsektorerne, som var de to sektorer, der var omfattet af direktivet. For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets bemærkninger.

Det følger af den foreslåede § 5, stk. 1, at kritiske enheder skal foretage en risikovurdering med henblik på at vurdere alle relevante risici, der kan forstyrre leveringen af deres væsentlige tjenester.

Den foreslåede bestemmelse vil indebære, at den kritiske enhed skal foretage en risikovurdering med henblik på at vurdere alle relevante risici, der kan forstyrre leveringen af deres væsentlige tjenester.

Den foreslåede bestemmelse vil gennemføre den del af artikel 12, stk. 1, i CER-direktivet, hvorefter medlemsstaterne skal sikre, at kritiske enheder foretager en risikovurdering for at vurdere alle relevante risici, der kunne forstyrre leveringen af deres væsentlige tjenester (»kritiske enheders risikovurderinger«).

Ved risikovurdering forstås den samlede proces med henblik på at bestemme arten og omfanget af en risiko ved at identificere og analysere potentielle relevante trusler, sårbarheder og farer, der kunne føre til en hændelse, og ved at evaluere det potentielle tab eller den potentielle forstyrrelse af leveringen af en væsentlig tjeneste forårsaget af denne hændelse jf. lovforslagets § 2, nr. 7.

Baggrunden for CER-direktivets artikel 12, stk. 1, beskrives i præambelbetragtning nr. 28, hvor det anføres, at kritiske enheder bør have en omfattende forståelse af de relevante risici, som de er eksponeret for, og en pligt til at analysere disse risici.

Det bemærkes i øvrigt, at det i lovforslagets § 1, stk. 6, i overensstemmelse med CER-direktivets artikel 8, foreslås, at for kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur finder de foreslåede §§ 4-9 og 14-16 ikke anvendelse. Kritiske enheder i disse sektorer vil således ikke være omfattet af bestemmelsen om kritiske enheders risikovurdering. Der henvises til de specielle bemærkninger til den foreslåede § 1, stk. 6.

Det følger af det foreslåede stk. 2, at risikovurderingen skal foretages på grundlag af den nationale risikovurdering og andre relevante informationskilder, og den skal tage højde for alle relevante naturlige og menneskeskabte risici, der kan føre til en hændelse. Risikovurderingen skal tage hensyn til, i hvilket omfang andre sektorer nævnt i lovens bilag afhænger af den kritiske enheds væsentlige tjeneste. Risikovurderingen skal endvidere tage hensyn til, i hvilket omfang den kritiske enhed afhænger af væsentlige tjenester, der leveres af enheder i lovens bilag, herunder i andre lande.

Den foreslåede bestemmelse vil gennemføre de dele af CER-direktivets artikel 12, stk. 1, der fastsætter, at kritiske enheder skal foretage en risikovurdering på grundlag af medlemsstatsrisikovurderinger og andre relevante informationskilder.

Bestemmelsen vil desuden gennemføre direktivets artikel 12, stk. 2, hvoraf det følger, at kritiske enheders risikovurderinger skal tage højde for alle relevante naturlige og menneskeskabte risici, der kunne føre til en hændelse, herunder af tværsektoriel eller grænseoverskridende karakter, ulykker, naturkatastrofer, folkesundhedskriser og hybride trusler og andre antagonistiske trusler, herunder terrorhandlinger som fastsat i Europa-Parlamentets og Rådets direktiv (EU) 2017/541 af 15. marts 2017 om bekæmpelse af terrorisme m.v. (terrordirektivet). Det fremgår endvidere af bestemmelsen, at en kritisk enheds risikovurdering skal tage hensyn til det omfang, andre sektorer anført i direktivets bilag afhænger af den væsentlige tjeneste, der leveres af den kritiske enhed, og det omfang den kritiske enhed afhænger af væsentlige tjenester, der leveres af andre enheder i sådanne andre sektorer, herunder i nabomedlemsstater og tredjelande, hvor det er relevant.

Det er Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at direktivets opremsning af nabomedlemsstater og tredjelande svarer til andre lande.

I overensstemmelse med direktivets artikel 12, stk. 1, vil kritiske enheder skulle foretage deres risikovurdering på grundlag af den nationale risikovurdering, der vil blive udarbejdet af Ministeriet for Samfundssikkerhed og Beredskab på styrelsesniveau og Justitsministeriet i overensstemmelse med CER-direktivets artikel 5, stk. 1. Det forudsættes, at relevante elementer af den nationale risikovurdering gøres offentligt tilgængelig eller på anden vis kommunikeres til identificerede kritiske enheder.

Kritiske enheder vil endvidere skulle inddrage andre relevante informationskilder i forbindelse med risikovurderingen. Andre relevante informationskilder vil efter omstændighederne kunne omfatte eksempelvis Politiets Efterretningstjenestes og Forsvarets Efterretningstjenestes trussels- og risikovurderinger, Beredskabsstyrelsens Nationale Risikobillede samt mere sektorspecifikke produkter. Der henvises i øvrigt til bemærkningerne til den foreslåede stk. 4.

Efter den foreslåede bestemmelse skal de kritiske enheders risikovurdering tage højde for alle relevante naturlige og menneskeskabte risici. Naturlige og menneskeskabte risici vil i overensstemmelse med direktivets præambelbetragtning nr. 15 bl.a. omfatte tværsektorielle eller grænseoverskridende risici, som vil kunne påvirke leveringen af væsentlige tjenester. Det kan f.eks. være ulykker, naturkatastrofer, folkesundhedskriser såsom pandemier, forsyningskriser og hybride trusler eller andre antagonistiske trusler, herunder terrorhandlinger, kriminel infiltration og sabotage.

I overensstemmelse med direktivets artikel 12, stk. 2, 2. led, kan en kritisk enhed, der har foretaget andre risikovurderinger eller udarbejdet dokumenter i henhold til forpligtelser i andre retsakter, der er relevante for dens risikovurdering, anvende disse vurderinger og dokumenter til at opfylde de krav, der er fastsat i artiklen. Det fremgår videre af direktivets artikel 12, stk. 2, 2. led, at ved udøvelse af sine tilsynsfunktioner kan den kompetente myndighed erklære, at en kritisk enheds eksisterende risikovurdering, som behandler de risici og det omfang af afhængighed, der er omhandlet i artikel 12, helt eller delvist opfylder forpligtelserne efter artiklen.

Baggrunden for artikel 12, stk. 2, 2. led, beskrives i CER-direktivets præambelbetragtning nr. 28, hvoraf det bl.a. fremgår, at hvor kritiske enheder har foretaget andre risikovurderinger eller udarbejdet dokumenter i henhold til forpligtelser i andre retsakter, der er relevante for deres risikovurdering, bør de kunne anvende disse vurderinger og dokumenter til at opfylde kravene i CER-direktivet vedrørende kritiske enheders risikovurdering. Det fremgår videre, at en kompetent myndighed bør kunne erklære, at en eksisterende risikovurdering foretaget af en kritisk enhed, der behandler de relevante risici og det relevante omfang af afhængighed, helt eller delvist opfylder forpligtelserne i dette direktiv.

Det følger af det foreslåede stk. 3, at risikovurderingen nævnt i stk. 1 skal være foretaget ni måneder efter, at den kritiske enhed har modtaget en underretning i medfør af § 3, stk. 5, 1. pkt. Risikovurderingen skal opdateres, når det er nødvendigt, og mindst hvert fjerde år.

Den foreslåede bestemmelse vil indebære, at den kritiske enhed er forpligtet til at have foretaget en risikovurdering ni måneder efter at have modtaget underretning om at være blevet identificeret som en kritisk enhed, ligesom den kritiske enhed er forpligtet til, når det er nødvendigt, og mindst hvert fjerde år, at opdatere risikovurderingen.

Den foreslåede bestemmelse vil gennemføre den del af CER-direktivets artikel 12, stk. 1, hvorefter medlemsstaterne skal sikre, at kritiske enheder foretager en risikovurdering inden for ni måneder efter underretningen om at være identificeret som kritisk enhed, når det er nødvendigt efterfølgende, og mindst hvert fjerde år.

Den foreslåede bestemmelse skal ses i sammenhæng med den foreslåede § 3, stk. 5, 1. pkt. hvorefter enheden i forbindelse med underretningen om at være identificeret som kritisk enhed samtidig skal underrettes om dens forpligtelser, og om fra hvilken dato forpligtelserne finder anvendelse. Det vil således bl.a. fremgå af denne underretning, at risikovurderingen skal være gennemført ni måneder efter identifikationen som kritisk enhed, og at den skal opdateres, når det er nødvendigt, og mindst hvert fjerde år.

Det følger af det foreslåede stk. 4, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om kritiske enheders risikovurdering.

Den foreslåede bestemmelse vil medføre, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab vil kunne fastsætte nærmere regler om kritiske enheders risikovurdering.

Bemyndigelsen vil kunne benyttes til at fastsætte nærmere regler om kritiske enheders risikovurdering inden for de enkelte sektorer, og derved sikre, at særlige sektorspecifikke forhold indgår i risikovurderingen. Eksempelvis kan der være sektorer, hvor særlige beredskabsplaner, nationale og internationale rapporter vil være naturlige at inddrage i forbindelse med en risikovurdering. Bemyndigelsen forventes kun anvendt i de tilfælde sektorspecifikke forhold gør dette påkrævet.

Der henvises i øvrigt til pkt. 3.2 i lovforslagets bemærkninger.