VI FREDERIK DEN TIENDE, af Guds Nåde Danmarks Konge, gør vitterligt:
Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov:
Lovens formål er at fastsætte en ramme for modstandsdygtighed og beredskab i forhold til naturskabte, menneskeskabte og teknologiske trusler, der kan true eller skade energiforsyningen, gennem regler om organisatorisk beredskab, fysisk sikring og cybersikkerhed for virksomheder i energisektoren.
Stk. 2. Loven har endvidere til formål at fastsætte en ramme for myndighedstilsyn med overholdelsen af disse regler og danne grundlag for samarbejde mellem virksomheder, myndigheder og øvrige organisationer, der varetager roller i planlægningen af beredskabet og håndteringen af beredskabshændelser i energisektoren.
Denne lov finder anvendelse på følgende typer af virksomheder, jf. dog stk. 2 og 3:
Elektricitetsvirksomheder.
Distributionssystemoperatører.
Transmissionssystemoperatører.
Elproducenter.
Udpegede elektricitetsmarkedsoperatører.
Markedsdeltagere, der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring.
Operatører af ladepunkter, der er ansvarlige for forvaltningen og driften af et ladepunkt, som leverer en ladetjeneste til slutbrugere, herunder i en mobilitetstjenesteudbyders navn og på dennes vegne.
Operatører af fjernvarme eller fjernkøling.
Olierørledningsoperatører.
Operatører af olieproduktionsanlæg, -raffinaderier og -behandlingsanlæg, olielagre og olietransmission.
Centrale lagerenheder.
Gasforsyningsvirksomheder.
Lagersystemoperatører.
LNG-systemoperatører.
Naturgasvirksomheder.
Operatører af naturgasraffinaderier og -behandlingsanlæg.
Operatører inden for brintproduktion, -lagring og -transmission.
Operatører af tankstationer, der er ansvarlige for forvaltningen og driften af tankstationer.
Operatører af regionale koordinationscentre.
Operatører af bygasnet.
Operatører af opstrømsrørledningsnet.
Stk. 2. Loven finder dog kun anvendelse på typer af virksomheder efter stk. 1, som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt virksomheden opfylder en eller flere af følgende betingelser:
Leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring med en kapacitet på 25 MW eller derover eller 25 MW elproduktion eller derover.
I denne lov forstås ved:
Aggregering: Funktion, der varetages af en fysisk eller juridisk person, der samler flere kunders forbrug eller producerede elektricitet til salg, køb eller auktion på et elektricitetsmarked. Aggregering er ikke levering af elektricitet.
Central lagerenhed: Organ eller tjeneste, som er tildelt beføjelser til at handle med henblik på at erhverve, holde eller sælge olielagre, herunder beredskabslager og specifikke lagre.
Cybersikkerhed: De aktiviteter, der er nødvendige for at beskytte net- og informationssystemer, brugerne af sådanne systemer og andre personer berørt af cybertrusler.
Cybertrussel: Enhver potentiel omstændighed, begivenhed eller handling, som kan skade, forstyrre eller på anden måde have en negativ indvirkning på net- og informationssystemer, brugerne af sådanne systemer og andre personer.
Distributionssystemoperatør: En fysisk eller juridisk person, der er ansvarlig for driften, vedligeholdelsen og om nødvendigt udbygningen af distributionssystemet i et givet område og i givet fald dets sammenkoblinger med andre systemer og for at sikre, at systemet på lang sigt kan tilfredsstille en rimelig efterspørgsel efter distribution af elektricitet eller gas.
Elektricitetsvirksomhed: En fysisk eller juridisk person, der driver mindst en af følgende former for virksomhed: produktion, transmission, distribution, aggregering, fleksibelt elforbrug, energilagring, levering eller køb af elektricitet, og som er ansvarlig for de kommercielle, tekniske eller vedligeholdelsesmæssige opgaver i forbindelse med disse aktiviteter, men som ikke er slutkunde, der varetager salg, herunder videresalg, af elektricitet til kunder.
Elproducent: En fysisk eller juridisk person, der fremstiller elektricitet.
Energilagring: I elektricitetssystemet udsættelse af den endelige anvendelse af elektricitet til et senere tidspunkt end det, hvor den blev produceret, eller konvertering af elektrisk energi til en energiform, der kan lagres, lagringen af sådan energi og den efterfølgende rekonvertering af sådan energi til elektrisk energi eller anvendelse som anden energibærer.
Fleksibelt elforbrug: Ændringer i en slutkundes elforbrug i forhold til det normale eller aktuelle forbrugsmønster som reaktion på markedssignaler, herunder som reaktion på tidspunktafhængige elpriser eller finansielle incitamenter, eller som reaktion på accept af slutkundens bud om at sælge en forbrugsreduktion eller -forøgelse til en bestemt pris på et organiseret marked, hvad enten dette sker alene eller gennem aggregering.
Klima-, energi- og forsyningsministeren identificerer kritiske virksomheder, kritiske systemer og anlæg omfattet af loven, der anvendes til at levere virksomhedernes tjenester.
Stk. 2. Klima-, energi- og forsyningsministeren kategoriserer endvidere virksomheder, deres systemer og anlæg omfattet af loven, der anvendes til at levere virksomhedernes tjenester.
Stk. 3. Klima-, energi- og forsyningsministeren fastsætter nærmere regler om identificering og kategorisering af virksomheder og systemer og anlæg, som anvendes til at levere virksomhedernes tjenester efter stk. 1 og 2.
En virksomhed er en kritisk enhed af særlig europæisk betydning, når virksomheden opfylder følgende betingelser:
Virksomheden er blevet identificeret som kritisk virksomhed efter § 4, stk. 1.
Virksomheden leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere medlemsstater.
Stk. 2. Klima-, energi- og forsyningsministeren underretter virksomheder om, at de betragtes som kritiske enheder af særlig europæisk betydning i energisektoren i medfør af reglerne i artikel 17 i Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet).
Stk. 3. Klima-, energi- og forsyningsministeren fastsætter nærmere regler om udpegelsen af kritiske enheder af særlig europæisk betydning.
Stk. 4. Klima-, energi- og forsyningsministeren kan fastsætte regler om særlige forpligtelser for virksomheder, der er kritiske enheder af særlig europæisk betydning.
Virksomheder omfattet af denne lov skal foretage nødvendig beredskabsplanlægning og gennemføre passende organisatoriske foranstaltninger for at beskytte leveringen af deres tjenester og sikre effektiv genoprettelse af deres tjenester.
Stk. 2. Klima-, energi- og forsyningsministeren fastsætter efter forhandling med ministeren for samfundssikkerhed og beredskab nærmere regler om beredskabsplanlægning og foranstaltninger efter stk. 1, herunder om følgende:
Ledelsespligter, herunder krav om godkendelse af virksomhedens risiko- og sårbarhedsvurdering og beredskabsplaner, tilsynsrapporter og leverandørkontrakter, og virksomhedens overblik over forsyningskæder og forsyningssikkerhed af kritiske ressourcer.
At ledelsesorganer skal tilegne sig viden og kundskaber inden for risiko- og sårbarhedsstyring.
Identifikations- og adgangskontrolpolitikker for beskyttelse mod uautoriseret adgang.
Udpegelse af personer til at varetage specifikke beredskabsroller.
Politikker for informationssystemsikkerhed.
Politikker for og udarbejdelse af risiko- og sårbarhedsvurderinger, som omfatter nyindkøb, projekter og etablering af net- og informationssystemer og anlæg.
Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem virksomheden og dens direkte leverandører eller tjenesteudbydere.
Beredskabsplaner og beredskabsplanlægning for håndtering af hændelser.
Øvelsesplanlægning, herunder afholdelse af øvelser og træning af beredskabsforanstaltninger.
Beredskabstræning, cybersikkerhedsadfærds- og sikkerhedsuddannelse af ansatte i virksomheden.
Kapacitet til at modtage og videreformidle advarsler om trusler.
Tilmelding til en it-sikkerhedstjeneste.
Virksomheder omfattet af denne lov skal træffe passende foranstaltninger for at opretholde nødvendig fysisk sikring af lokationer og anlæg, der bruges til at levere virksomhedens tjenester, eller hvorfra drift af net- og informationssystemer finder sted.
Stk. 2. Klima-, energi- og forsyningsministeren fastsætter nærmere regler om fysisk sikring efter stk. 1, herunder om følgende:
Forhindring af, at hændelser indtræffer, under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger.
Etablering af foranstaltninger til overvågning, detektion og reaktion i forbindelse med uautoriseret adgang til og på anlæg og lokationer.
Tilstrækkelig fysisk sikring af virksomhedens anlæg og lokationer, herunder kontrolrum og kontrolrummets arbejdsstationer.
Håndtering af hændelser og genopretning efter hændelser.
Medarbejdersikkerhedsstyring.
Virksomheder omfattet af denne lov skal foretage nødvendig planlægning og træffe passende cybersikkerhedsforanstaltninger for at sikre beskyttelsen af net- og informationssystemer, der bruges til at levere virksomhedens tjenester.
Stk. 2. Klima-, energi- og forsyningsministeren fastsætter efter forhandling med ministeren for samfundssikkerhed og beredskab nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om følgende:
Forvaltning af net- og informationssystemer og passende teknisk sikkerhed til beskyttelse af enheder med adgang til virksomhedens netværk.
Etablering af netværks- og infrastruktursikkerhed, herunder principper for netværksarkitektur og -topologi med henblik på at minimere risici for virksomhedens net- og informationssystemer.
Sikkerhedskrav til geografisk placering af drift af net- og informationssystemer.
Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer.
Backupstyring og genopretning af net- og informationssystemer til sikring af driftskontinuitet for leveringen af tjenesten.
Etablering af logning til at understøtte alarmer, efterforskningsarbejde, hændelseshåndtering og monitorering af uregelmæssigheder i net- og informationssystemer.
Etablering af procedurer for løbende kontrol af cybersikkerheden i og omkring net- og informationssystemer.
Brug af sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer.
Brug af kryptering og politikker og procedurer, der skal understøtte sikkerheden og fortroligheden af net- og informationssystemer, der er kritiske for leveringen af virksomhedens tjenester.
Brug af multifaktorautentificering eller kontinuerlig autentificering og adgangsbeskyttelse til sikring mod uautoriseret adgang til virksomhedernes net- og informationssystemer.
Foranstaltninger til forebyggelse og håndtering af hændelser.
Klima-, energi- og forsyningsministeren kan efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætte regler om, at virksomheder skal anvende særlige ikt-produkter, -tjenester og -processer, der er udviklet af virksomheden eller indkøbt fra tredjeparter, og som er certificeret i henhold til en europæisk cybersikkerhedscertificeringsordning, for at påvise overensstemmelse med bestemte krav i § 8, stk. 1, eller i regler om krav til foranstaltninger fastsat i medfør af § 8, stk. 2.
Klima-, energi- og forsyningsministeren fastsætter regler om ministerens og Energinets varetagelse af koordinerende planlægningsmæssige og operative opgaver vedrørende beredskab, jf. §§ 6-8.
Klima-, energi- og forsyningsministeren kan i en beredskabssituation omfattende sikkerhedsrelaterede hændelser fastsætte og udmelde sektorberedskabsniveauer for hele energisektoren eller en eller flere delsektorer.
Stk. 2. Klima-, energi- og forsyningsministeren kan i en beredskabssituation omfattende sikkerhedsrelaterede hændelser fastsætte og pålægge sektorberedskabsforanstaltninger for hele energisektoren, delsektorer, en eller flere virksomheder og bestemte anlæg.
Stk. 3. Klima-, energi- og forsyningsministeren kan i en beredskabssituation bestemme, at de i stk. 2 nævnte foranstaltninger og andre foranstaltninger, der skal foretages efter loven eller regler udstedt i medfør af loven, midlertidigt skal intensiveres og suppleres med yderligere foranstaltninger for at sikre en hurtig, koordineret og prioriteret krisehåndtering, herunder gennemførelse af myndighedernes beslutninger i den nationale krisehåndtering.
Stk. 4. Energinet kan i en beredskabssituation omfattende sikkerhedsrelaterede hændelser i særlige tilfælde, hvor klima-, energi- og forsyningsministeren ikke kan fastsætte og udmelde sektorberedskabsniveauer og foranstaltninger efter stk. 1-3, varetage opgaven på ministerens vegne.
Klima-, energi- og forsyningsministeren kan fastsætte regler om underretning og indrapportering af hændelser, væsentlige cybertrusler og nærvedhændelser.
Klima-, energi- og forsyningsministeren kan fastsætte regler om virksomheders pligt til at underrette modtagere af deres tjenester, myndigheder eller juridiske personer, som udfører myndighedsopgaver, om trusler eller hændelser, der kan påvirke eller har potentiale til at påvirke virksomhedens levering af tjenester.
Klima-, energi- og forsyningsministeren kan efter høring af en virksomhed, der er eller kan blive ramt af en hændelse, informere offentligheden om hændelsen, hvis det er nødvendigt for at forebygge eller håndtere hændelsen, eller hvor informeringen af offentligheden om hændelsen på anden måde er i offentlighedens interesse.
Stk. 2. Klima-, energi- og forsyningsministeren kan i situationer efter stk. 1 påbyde virksomheder at informere offentligheden om hændelsen.
Enhver kan underrette Klima-, Energi- og Forsyningsministeriet om væsentlige hændelser, cybertrusler og nærvedhændelser, der negativt påvirker eller vurderes at kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale servicer i energisektoren.
Stk. 2. Klima-, energi- og forsyningsministeren skal uden unødigt ophold videresende underretninger efter stk. 1 til det danske Computer Incident Response Team.
Klima-, energi- og forsyningsministeren kan efter forhandling med justitsministeren fastsætte regler om, på hvilke betingelser virksomheder kan få foretaget baggrundskontrol af personer i energisektoren, der
varetager følsomme opgaver i eller til fordel for virksomheden, navnlig vedrørende virksomhedens modstandsdygtighed,
er bemyndiget til at få direkte adgang, indirekte adgang eller fjernadgang til virksomhedens enheds lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med virksomhedens sikkerhed, eller
overvejes ansat i stillinger, der indebærer opgavevaretagelse efter nr. 1 eller 2.
Stk. 2. Klima-, energi- og forsyningsministeren kan efter forhandling med justitsministeren og ministeren for samfundssikkerhed og beredskab fastsætte regler om, at personer, der er omfattet af stk. 1, skal sikkerhedsgodkendes af Klima-, Energi- og Forsyningsministeriet. Klima-, energi- og forsyningsministeren kan endvidere efter forhandling med justitsministeren og ministeren for samfundssikkerhed og beredskab fastsætte regler om ansøgninger vedrørende sikkerhedsgodkendelser, herunder betingelser for indgivelse af sådanne ansøgninger, samt meddelelse og tilbagekaldelse af sikkerhedsgodkendelser.
Virksomheder betaler halvårligt et fast beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostninger til tilsyn med virksomheder efter reglerne i denne lov eller regler udstedt i medfør af loven.
Stk. 2. Virksomheder betaler for ad hoc-tilsyn halvårligt et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostningerne for ad hoc-tilsynet med virksomheden efter reglerne i denne lov eller regler udstedt i medfør af loven.
Stk. 3. Klima-, energi- og forsyningsministeren fastsætter regler om størrelse, betaling og opkrævning af beløb efter stk. 1 og 2, herunder om fordelingen af omkostningerne på kategorier af virksomheder.
Virksomheder betaler for indgivelse af ansøgninger og dispensationer et beløb for behandling heraf efter reglerne i denne lov eller regler udstedt i medfør af loven.
Stk. 2. Klima-, energi- og forsyningsministeren fastsætter regler om størrelse, betaling og opkrævning af beløb efter stk. 1.
Klima-, energi- og forsyningsministeren fører tilsyn med, at virksomhederne opfylder deres forpligtelser i henhold til loven og regler udstedt i medfør af loven.
Stk. 2. Klima-, Energi og Forsyningsministeriet kan som led i sin tilsynsforpligtelse anvende følgende tilsyns- og kontrolforanstaltninger:
Foretage tilsyn og kontrol hos virksomheden ved at inspicere de lokaler, som virksomheden bruger til at levere sine tjenester og foretage stikprøvekontroller.
Foretage regelmæssige kontrol- og tilsynsbesøg hos virksomheder.
Foretage ad hoc-tilsyn.
Foretage sikkerhedsscanninger af virksomhedens net- og informationssystemer.
Kræve at få udleveret oplysninger og dokumentation, der er nødvendige for at vurdere foranstaltningerne vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed, som virksomheden har indført efter loven og regler udstedt i medfør af loven.
Kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af, om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.
Stk. 3. Klima-, Energi- og Forsyningsministeriet er ansvarlig for eventuelle skader, som en virksomhed måtte lide i forbindelse med scanninger og test efter stk. 2, nr. 4.
Stk. 4. Klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om tilsyn og kontrol af virksomhederne, herunder omfanget, udførelsen og hyppigheden af tilsyns- og kontrolbesøg.
Stk. 5. Klima-, energi- og forsyningsministeren kan fastsætte regler om udlevering af materiale til brug for tilsyn og formkrav hertil, herunder om, hvilke sprog materialet skal udarbejdes på.
Rådgivende missioner, som er nedsat i medfør af Europa-Parlamentets og Rådets direktiv om kritiske enheders modstandsdygtighed, kan efter tilladelse fra klima-, energi- og forsyningsministeren vurdere de foranstaltninger, som virksomheder, der er kritiske enheder af særlig europæisk betydning efter § 5, stk. 1, har truffet for at opfylde deres forpligtelser i henhold til loven og regler udstedt i medfør heraf.
Stk. 2. Rådgivende missioner kan anvende tilsynsforanstaltninger efter § 19, stk. 2, nr. 1 og 5, i det omfang det er nødvendigt for at gennemføre den pågældende rådgivende mission.
Stk. 3. Klima-, energi og forsyningsministeren kan træffe afgørelse om at begrænse rådgivende missioners tilsynsforanstaltninger efter § 19, stk. 2, nr. 1 og 5, i det omfang det er nødvendigt til beskyttelse af væsentlige hensyn til følgende:
Statens sikkerhed eller rigets forsvar.
Rigets udenrigspolitiske eller udenrigsøkonomiske interesser, herunder forholdet til fremmede magter eller mellemfolkelige institutioner.
Private og offentlige interesser, hvor hemmeligholdelse efter forholdets særlige karakter er påkrævet.
Klima-, energi- og forsyningsministeren kan over for en virksomhed omfattet af denne lov anvende følgende påbud og forbud:
Påbyde virksomheden at træffe foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse.
Meddele påbud og forbud, der anses for nødvendige for at sikre overholdelsen af krav fastsat i loven og regler udstedt i medfør af loven.
Påbyde virksomheden at underrette de fysiske eller juridiske personer, til hvilke den leverer tjenester eller udfører aktiviteter, som potentielt kan være berørt af en væsentlig cybertrussel, om denne trussels karakter og om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel.
Påbyde virksomheden at udpege en person med ansvar for i en nærmere fastsat periode at føre tilsyn med virksomhedens overholdelse af §§ 6-9 og 12-14 og regler udstedt i medfør heraf.
Påbyde virksomheden at offentliggøre afgørelser om påbud eller forbud efter nr. 1-4 og resuméer af domme eller bødeforlæg, hvor der idømmes eller vedtages en bøde, i ikkeanonymiseret form og på en nærmere angiven måde.
Klima-, energi- og forsyningsministeren kan ved manglende opfyldelse af påbud efter § 21 påbyde virksomheder at få foretaget en revision af net- og informationsforanstaltninger, modstandsdygtighedsforanstaltninger og kritiske systemer ved en uafhængig revisor. Udgifterne til revisionen afholdes af virksomheden.
Stk. 2. Klima-, energi- og forsyningsministeren kan påbyde virksomheder at gennemføre tiltag, som på baggrund af en revision efter stk. 1 vurderes nødvendige for at opretholde et tilstrækkeligt beredskab.
Stk. 3. Klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om, hvordan den uafhængige revisor efter stk. 1 udpeges og godkendes, samt omfanget af revisionen.
Overtræder en virksomhed, der er udpeget som en væsentlig enhed, jf. § 4, stk. 1, et påbud eller forbud, der er meddelt i medfør af § 21, nr. 1-4, og § 22, stk. 1 og 2, kan klima-, energi- og forsyningsministeren fastsætte en frist, inden for hvilken virksomheden skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde myndighedernes krav. Er tiltagene ikke foretaget inden for den fastsatte frist, kan klima-, energi- og forsyningsministeren træffe afgørelse om
midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, virksomheden leverer, eller aktiviteter, der udføres af virksomheden, og
midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos virksomheden at udøve ledelsesfunktioner i den pågældende virksomhed.
Stk. 2. Midlertidige suspensioner eller forbud, som er pålagt i medfør af stk. 1, kan kun anvendes, indtil virksomheden træffer de nødvendige foranstaltninger til at afhjælpe de mangler eller til at opfylde de krav, som gav anledning til, at foranstaltningerne blev anvendt.
Stk. 3. En afgørelse efter stk. 1 kan af virksomheden eller den fysiske person, afgørelsen vedrører, forlanges indbragt for domstolene. Klima-, energi- og forsyningsministeren anlægger i givet fald sag mod den virksomhed eller person, som har forlangt sagen indbragt.
Stk. 4. Klima-, energi- og forsyningsministeren kan efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætte nærmere regler om, hvilke certificeringer og godkendelser der er omfattet af stk. 1, nr. 1.
Inden klima-, energi- og forsyningsministeren træffer afgørelse om at anvende håndhævelsesforanstaltninger efter §§ 21-23, underrettes den berørte virksomhed om de påtænkte påbud eller forbud og begrundelsen herfor. Klima-, energi- og forsyningsministeren skal give virksomheden en rimelig frist til at fremsætte bemærkninger, medmindre formålet med foranstaltningen herved ville forspildes.
Klima-, energi- og forsyningsministeren samarbejder med andre medlemsstaters kompetente myndigheder i relevant omfang, hvor en virksomhed leverer tjenester i mere end en medlemsstat i Den Europæiske Union, eller hvor virksomheden leverer tjenester i en eller flere medlemsstater, og virksomhedens net- og informationssystemer er beliggende i en eller flere andre medlemsstater. Samarbejdet indebærer, at
klima-, energi- og forsyningsministeren via det centrale kontaktpunkt, der er udpeget af regeringen i medfør af Europa-Parlamentets og Rådets direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, underretter de kompetente myndigheder i relevante medlemsstater om anvendte tilsyns- og håndhævelsesforanstaltninger,
klima-, energi- og forsyningsministeren kan anmode en anden medlemsstats kompetente myndighed om at anvende tilsyns- og håndhævelsesforanstaltninger, og
klima-, energi- og forsyningsministeren i rimeligt omfang yder bistand til en anden medlemsstats kompetente myndighed efter modtagelse af en begrundet anmodning herom.
Stk. 2. Klima-, Energi- og Forsyningsministeriet kan efter nærmere aftale med kompetente myndigheder fra andre medlemsstater i Den Europæiske Union gennemføre fælles tilsynstiltag.
Informationer om sikkerhedsgodkendelse og baggrundskontrol samt forhold vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed i virksomheder, der er omfattet af loven, eller informationer om energisektoren generelt, som udarbejdes i medfør af denne lov, er fortrolige i følgende tilfælde:
Informationerne indgår i vurderingen af sikkerhedsgodkendelser.
Informationerne indgår i vurderingen af baggrundskontrol.
Informationerne er væsentlige af hensyn til driften af virksomheden.
Informationerne er væsentlige af hensyn til driften af andre virksomheder omfattet af loven.
Informationerne er væsentlige af hensyn til driften af energiforsyningen lokalt, regionalt, nationalt eller på europæisk niveau.
Stk. 2. Klima-, energi- og forsyningsministeren fastsætter nærmere regler om, hvordan virksomheder og myndigheder behandler informationer som nævnt i stk. 1.
Underretning efter § 15 er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.
Klima-, Energi- og Forsyningsministeriet og andre relevante myndigheder kan videregive oplysninger til andre medlemsstaters myndigheder og til institutioner i Den Europæiske Union for at varetage myndighedsopgaver i medfør af denne lov, Europa-Parlamentets og Rådets direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen og Europa-Parlamentets og Rådets direktiv om kritiske enheders modstandsdygtighed.
De forpligtelser, der er fastsat i denne lov eller i regler udstedt i medfør af loven, omfatter ikke meddelelse af oplysninger, når videregivelse ville stride mod væsentlige interesser af hensyn til national sikkerhed, offentlig sikkerhed eller forsvar.
Stk. 2. Oplysninger, der modtages eller hidrører fra myndigheder i andre EU-medlemsstater, behandles som fortrolige, såfremt den afgivende myndighed betragter oplysningerne som fortrolige i henhold til EU-regler eller nationale regler.
Klima-, energi- og forsyningsministeren kan fastsætte regler om digital kommunikation, herunder om anvendelsen af bestemte it-systemer og særlige digitale formater samt digital signatur el.lign.
Energiklagenævnet behandler klager over afgørelser truffet af klima-, energi- og forsyningsministeren eller anden statslig myndighed efter denne lov eller regler udstedt i medfør af loven.
Stk. 2. Afgørelser nævnt i stk. 1 kan ikke indbringes for anden administrativ myndighed end Energiklagenævnet. Afgørelserne kan ikke indbringes for domstolene, før den endelige administrative afgørelse foreligger, jf. dog § 23, stk. 3.
Stk. 3. Klage efter stk. 1 skal være indgivet skriftligt til Energiklagenævnet, inden 4 uger fra tidspunktet, hvor afgørelsen er meddelt. Er afgørelsen offentliggjort, regnes fristen dog fra offentliggørelsen. Udløber klagefristen på en lørdag, søndag eller helligdag, forlænges fristen til den følgende hverdag.
Stk. 4. Søgsmål til prøvelse af afgørelser truffet af Energiklagenævnet efter loven eller regler udstedt i medfør af loven skal være anlagt, inden 6 måneder efter at afgørelsen er meddelt den pågældende. Er afgørelsen offentliggjort, regnes fristen dog altid fra offentliggørelsen.
Stk. 5. Energiklagenævnet kan i forbindelse med behandling af en klage indhente oplysninger, der er nødvendige for behandling af klagen, fra virksomheder omfattet af loven og myndigheder, der træffer afgørelse efter loven eller regler udstedt i medfør af loven.
Klima-, energi- og forsyningsministeren kan fastsætte regler om adgangen til at klage over afgørelser, der efter loven eller regler udstedt i medfør af loven træffes af klima-, energi- og forsyningsministeren, herunder at visse afgørelser ikke skal kunne indbringes for Energiklagenævnet.
Klima-, energi- og forsyningsministeren kan bemyndige en institution eller en anden myndighed oprettet under ministeriet til at udøve de beføjelser, der i denne lov er tillagt ministeren.
Klima-, energi- og forsyningsministeren kan fastsætte regler med henblik på at gennemføre eller anvende internationale konventioner og EU-regler om forhold, der er omfattet af denne lov, herunder forordninger, direktiver og beslutninger om beredskab og beskyttelse af energiinfrastruktur på søterritoriet og i den eksklusive økonomiske zone.
Klima-, energi- og forsyningsministeren og Energinet kan fra virksomheder omfattet af loven indhente oplysninger, der er nødvendige for varetagelsen af deres opgaver efter loven, efter bestemmelser fastsat i medfør af loven eller efter EU-retsakter eller internationale forpligtelser om forhold omfattet af loven.
Stk. 2. Klima-, energi- og forsyningsministeren fastsætter regler om, at virksomheder omfattet af loven skal registrere sig, og om, hvilke oplysninger virksomheder i den forbindelse skal give, herunder oplysninger om følgende:
Virksomhedens navn.
Virksomhedens adresse og ajourførte kontaktoplysninger, herunder e-mailadresser, ip-intervaller og telefonnumre.
Den relevante sektor og delsektor, som virksomheden er omfattet af.
De medlemsstater i Den Europæiske Union, hvor virksomheden leverer tjenester.
Klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om samordnet beredskab, med henblik på at beredskabsarbejdet efter denne lov og regler udstedt i medfør heraf varetages af flere virksomheder i fællesskab eller af den ene part.
Med bøde straffes den, der
undlader at efterkomme påbud efter § 14, stk. 2,
hindrer myndighederne i at føre kontrol efter § 19, stk. 2, nr. 1-6,
undlader at efterkomme påbud efter § 21 og § 22, stk. 1 og 2,
undlader at efterkomme en afgørelse efter § 23, stk. 1, nr. 1 eller 2,
meddeler Energiklagenævnet urigtige, vildledende oplysninger eller undlader at meddele oplysninger efter anmodning i medfør af § 31, stk. 5, eller
meddeler klima-, energi- og forsyningsministeren eller Energinet urigtige eller vildledende oplysninger eller undlader at meddele oplysninger i medfør af § 35, stk. 1.
Stk. 2. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.
Stk. 3. Der kan ikke pålægges bøde efter denne lov, hvor der er pålagt en bøde for overtrædelse af databeskyttelsesforordningen eller databeskyttelsesloven, hvis overtrædelsen skyldes den samme adfærd som den, der var genstand for bøden i medfør af databeskyttelsesforordningen eller databeskyttelsesloven.
Stk. 4. I forskrifter, der udstedes i medfør af loven, kan der fastsættes straf af bøde for overtrædelse af bestemmelser i forskrifterne.
Loven træder i kraft den 7. marts 2025.
Stk. 2. Regler udstedt i medfør af § 15 a, stk. 3 og 4, § 15 b, stk. 5 og 6, og § 30 a, stk. 5 og 6, i lov om gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16. august 2023, forbliver i kraft, indtil de ophæves eller afløses af regler udstedt i medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, §§ 10, 12 og 13, § 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og 5, § 22, stk. 3, og § 26, stk. 2, i denne lov.
Stk. 3. Regler udstedt i medfør af § 30 a, stk. 7, i lov om gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16. august 2023, forbliver i kraft, indtil de ophæves eller afløses af regler udstedt i medfør af § 30 a, stk. 5, i lov om gasforsyning, jf. denne lovs § 41, nr. 5.
Stk. 4. Regler udstedt i medfør af § 51 d, stk. 2, § 85 b, stk. 3 og 4, og § 85 c, stk. 5 og 6, i lov om elforsyning, jf. lovbekendtgørelse nr. 1248 af 24. oktober 2023, forbliver i kraft, indtil de ophæves eller afløses af regler udstedt i medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, §§ 10, 12 og 13, § 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og 5, § 22, stk. 3, og § 26, stk. 2, i denne lov.
Stk. 5. Regler udstedt i medfør af § 16 i lov nr. 354 af 24. april 2012 om olieberedskab forbliver i kraft, indtil de ophæves eller afløses af regler udstedt i medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, §§ 10, 12 og 13, § 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og 5, § 22, stk. 3, og § 26, stk. 2, i denne lov.
I olieberedskabsloven, lov nr. 354 af 24. april 2012, som ændret ved lov nr. 1466 af 10. december 2024, foretages følgende ændring:
I lov om elforsyning, jf. lovbekendtgørelse nr. 1248 af 24. oktober 2023, som ændret bl.a. ved § 1 i lov nr. 1787 af 28. december 2023 og senest ved § 1 i lov nr. 1677 af 30. december 2024, foretages følgende ændringer:
§ 51 d ophæves.
Overskriften til kapitel 12 affattes således:
I lov om gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16. august 2023, som ændret senest ved § 2 i lov nr. 1677 af 30. december 2024, foretages følgende ændringer:
I § 12 a, stk. 3, udgår »§ 15 a, stk. 1,«.
Overskriften før § 15 a ophæves.
§§ 15 a og 15 b ophæves.
I § 30 a, stk. 2, udgår », jf. dog stk. 5«.
§ 30 a, stk. 5 og 6, ophæves.
Stk. 7 bliver herefter stk. 5.
I lov om varmeforsyning, jf. lovbekendtgørelse nr. 124 af 2. februar 2024, som ændret ved § 4 i lov nr. 673 af 11. juni 2024, § 29 i lov nr. 1647 af 30. december 2024 og § 1 i lov nr. 1678 af 30. december 2024, foretages følgende ændringer:
I § 20, stk. 1, 1. pkt., indsættes efter »§§ 28 a, 28 b og 29«: »og omkostninger til beredskab efter lov om styrket beredskab i energisektoren«.
§ 29 a ophæves.
I lov om anvendelse af Danmarks undergrund, jf. lovbekendtgørelse nr. 1461 af 29. november 2023, som ændret ved § 34 i lov nr. 612 af 11. juni 2024, foretages følgende ændring:
I lov om Energinet, jf. lovbekendtgørelse nr. 271 af 9. marts 2023, som ændret ved § 35 i lov nr. 612 af 11. juni 2024 og § 6 i lov nr. 673 af 11. juni 2024, foretages følgende ændring:
Loven gælder ikke for Færøerne og Grønland.
/ Lars Aagaard
Officielle noter
/ Lars Aagaard
Officielle noter
Opererer ladepunkter med en samlet kapacitet på 25 MW eller derover.
I 2 ud af de sidste 3 år har haft et årligt salg på mere end 13,9 GWh fjernvarme eller fjernkøling.
Årligt producerer mere end 26 mio. Nm3 gas eller injicerer mere end 26 mio. Nm3 gas i et gasnet.
Opererer olieterminaler eller olielagre med en kapacitet på 100.000 m3 eller derover.
Opererer brintproduktion, der i sit tilslutningspunkt til et kollektivt elnet har en kapacitet på 25 MW eller derover.
Opererer en eller flere tankstationer, der sammenlagt har et årligt salg af olieprodukter på 600.000 m3 eller derover, eller som opererer flere end 100 tankstationer på nationalt plan.
Har en positiv lagringspligt efter olieberedskabsloven eller regler udstedt i medfør af olieberedskabsloven.
Er distributionssystemoperatør.
Er central lagerenhed.
Er operatør af naturgasbehandlingsanlæg.
Er operatør af regionale koordinationscentre.
Er operatør af bygasnet.
Stk. 3. Lovens kapitel 5 om baggrundskontrol og sikkerhedsgodkendelse finder endvidere anvendelse på aktører og virksomheder, der ikke omfattes af stk. 1 og 2, men som varetager opgaver som direkte led i eller i forbindelse med leveringen af de tjenester og aktiviteter, der varetages af virksomhedstyperne opregnet i stk. 1.
Stk. 4. Loven finder anvendelse på land- og søterritoriet, i den danske eksklusive økonomiske zone og på den danske kontinentalsokkel, jf. dog stk. 5.
Stk. 5. Loven finder ikke anvendelse på transmissionssystemer og opstrømsrørledningsnet på søterritoriet, i den eksklusive økonomiske zone og på den danske kontinentalsokkel, der ikke har tilslutning til danske forsyningsnet.
Gasforsyningsvirksomhed: Enhver fysisk eller juridisk person, der varetager forsyningsopgaven.
Hændelse: En begivenhed, der har potentiale til i betydelig grad at forstyrre, eller som forstyrrer leveringen af en væsentlig tjeneste, herunder når den påvirker de nationale systemer, der sikrer retsstatsprincippet, herunder en begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare.
Håndtering af hændelser: Enhver handling og procedure, der tager sigte på at forebygge, opdage, analysere og inddæmme eller at reagere på og reetablere sig efter en hændelse.
Ikt-proces: Aktiviteter, der udføres for at udforme, udvikle, levere eller vedligeholde et ikt-produkt eller en ikt-tjeneste.
Ikt-produkt: Et element eller en gruppe af elementer i net- og informationssystemer.
Ikt-tjeneste: En tjeneste, der helt eller hovedsageligt består af overførsel, lagring, indhentning eller behandling af oplysninger ved hjælp af net- og informationssystemer.
Lagersystemoperatør: Enhver fysisk eller juridisk person, der foretager oplagring af gas og er ansvarlig for driften af en gaslagerfacilitet.
LNG-systemoperatør: Enhver fysisk eller juridisk person, der varetager funktionen med at gøre naturgas flydende eller varetager import, losning og forgasning af LNG og er ansvarlig for driften af en LNG-facilitet.
Markedsdeltager, der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring: En fysisk eller juridisk person, der køber, sælger eller producerer elektricitet, der udfører aggregering, eller der er en operatør af tjenester vedrørende fleksibelt elforbrug eller energilagringstjenester, herunder ved afgivelse af handelsordrer, på et eller flere elektricitetsmarkeder, herunder på balanceringsenergimarkeder.
Modstandsdygtighed: En enheds evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og sikre genopretning efter en hændelse.
Naturgasvirksomhed: Enhver fysisk eller juridisk person, der driver mindst en af følgende former for virksomhed: produktion, transmission, distribution, forsyning, køb eller oplagring af naturgas, herunder LNG, og som er ansvarlig for de kommercielle, tekniske eller vedligeholdelsesmæssige opgaver i forbindelse med disse aktiviteter, men som ikke er endelig kunde.
Net- og informationssystem:
a) Et elektronisk kommunikationsnet, hvorved forstås transmissionssystemer, uanset om de bygger på en permanent infrastruktur eller centraliseret administrationskapacitet, og, hvor det er relevant, koblings- og dirigeringsudstyr og andre ressourcer, herunder netelementer, der ikke er aktive, som gør det muligt at overføre signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellitnet, jordbaserede fastnet og mobilnet, elkabelsystemer, i det omfang de anvendes til transmission af signaler, net, som anvendes til radio- og tv-spredning, og kabel-tv-net, uanset hvilken type information der overføres.
b) Enhver anordning eller gruppe af forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data.
c) Digitale data, som lagres, behandles, fremfindes eller overføres af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.
Nærvedhændelse: En begivenhed, der kunne have bragt tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare, men som det lykkedes at forhindre, eller som ikke materialiserede sig.
Operatør af fjernvarme eller fjernkøling: Operatør af distribution af termisk energi i form af damp, varmt vand eller afkølede væsker fra centrale eller decentrale produktionssteder gennem et net til flere bygninger eller anlæg til anvendelse ved rum- eller procesopvarmning eller -køling.
Opstrømsrørledningsnet: Enhver rørledning eller ethvert net af rørledninger, der drives eller er anlagt som en del af et olie- eller gasproduktionsanlæg eller anvendes til at lede gas fra et eller flere af sådanne anlæg til et behandlingsanlæg, en behandlingsterminal eller en endelig kystlandingsterminal.
Organiseret marked:
a) Et multilateralt system, der samler eller faciliterer samlingen af flere tredjeparters købs- og salgsinteresser i engrosenergiprodukter på en måde, der fører til indgåelse af en kontrakt.
b) Ethvert andet system eller enhver anden facilitet, hvor flere købs- og salgsinteresser i engrosenergiprodukter tilhørende tredjeparter kan interagere på en måde, der fører til indgåelse af en kontrakt.
Regionalt koordinationscenter: Et regionalt koordinationscenter, som oprettes i Danmark i henhold til artikel 35 i Europa-Parlamentets og Rådets forordning om det indre marked for elektricitet.
Risiko: Potentialet for tab eller forstyrrelse som følge af en hændelse udtrykt som en kombination af størrelsen af et sådant tab eller en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræffer.
Risikovurdering: Den samlede proces med henblik på at bestemme arten og omfanget af en risiko ved at identificere og analysere potentielle relevante trusler, sårbarheder og farer, der kunne føre til en hændelse, og ved at evaluere det potentielle tab eller den potentielle forstyrrelse af leveringen af en væsentlig tjeneste forårsaget af denne hændelse.
Transmissionssystemoperatør: En fysisk eller juridisk person, der er ansvarlig for driften, vedligeholdelsen og om nødvendigt udbygningen af transmissionssystemet i et givet område og i givet fald dets sammenkoblinger med andre systemer og for at sikre, at systemet på lang sigt kan tilfredsstille en rimelig efterspørgsel efter transmission af elektricitet eller gas.
Udpeget elektricitetsmarkedsoperatør: En markedsoperatør, der af Forsyningstilsynet er blevet udpeget til at udføre opgaver i forbindelse med den fælles day ahead- eller intradaykobling.
Virksomhed: En fysisk eller juridisk person, der er oprettet og anerkendt som sådan i henhold til den nationale ret på det sted, hvor den er etableret, og som i eget navn kan udøve rettigheder og være underlagt forpligtelser.
Væsentlig cybertrussel: En cybertrussel, som på grundlag af sine tekniske karakteristika kan antages at have potentiale til at få alvorlig indvirkning på en enheds net- og informationssystemer eller på brugerne af enhedens tjenester ved at forårsage betydelig materiel eller immateriel skade.
Væsentlig tjeneste: En tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed og offentlig sikkerhed eller miljøet.
Det foreslås i § 1, stk. 1, at lovens formål er at fastsætte en ramme for modstandsdygtighed og beredskab i forhold til naturskabte, menneskeskabte og teknologiske trusler, der kan true eller skade energiforsyningen gennem regler om organisatorisk beredskab, fysisk sikring og cybersikkerhed for virksomheder i energisektoren.
Den foreslåede bestemmelse angiver en delmængde af lovens formål, jf. § 1, stk. 2.
Bestemmelsen medfører ikke selvstændige pligter og rettigheder, men kan anvendes ved fortolkning af lovens andre bestemmelser.
Den foreslåede bestemmelse reflekterer dele af artikel 1, stk. 1 og 2, litra a-c, i NIS 2-direktivet og dele af artikel 1 i CER-direktivet, der ligeledes fastsætter dele af formålet med direktiverne.
Bestemmelsen vil sikre en overordnet forståelsesramme for lovens bestemmelser, der skal sikre virksomhedernes arbejde med modstandsdygtighed og beredskab, samt for myndighedernes rolle i varetagelsen af koordinationen af virksomhedernes beredskab.
Det foreslås i § 1, stk. 2, at loven endvidere har til formål at fastsætte en ramme for myndighedstilsyn med overholdelsen af disse regler og danne grundlag for samarbejde mellem virksomheder, myndigheder samt øvrige organisationer, der varetager roller i planlægningen af beredskabet og håndteringen af beredskabshændelser i energisektoren.
Den foreslåede bestemmelse implementerer NIS 2-direktivets artikel 1, stk. 2, litra d, og dele af NIS 2-direktivets artikel 1, stk. 1 og stk. 2, litra a-c. Den foreslåede bestemmelse implementerer endvidere dele af CER-direktivets artikel 1. De pågældende direktivbestemmelser fastsætter dele af direktivernes formål, der angår tilsyns- og håndhævelsesforpligtigelser.
Den foreslåede bestemmelse angiver den resterende delmængde af lovens formål, jf. § 1, stk. 1.
Bestemmelsen medfører ikke selvstændige pligter og rettigheder, men kan anvendes ved fortolkning af lovens andre bestemmelser.
Formålet er at sikre et stærkt samarbejde mellem virksomheder, organisationer og myndigheder, herunder virksomheder, organisationer og myndigheder, der direkte eller indirekte varetager en rolle i planlægningen af beredskabet og håndteringen af beredskabshændelser i energisektoren. Her tænkes særligt på, at der er et stort behov for informationsudveksling i forbindelse med planlægningen af beredskabet, men også under en hændelse og efter en hændelse.
Efter elforsyningslovens § 85 b, stk. 1, og § 85 c, stk. 1, er følgende virksomheder i elsektoren omfattet af beredskabsregulering, herunder krav om at foretage den nødvendige planlægning og træffe de nødvendige foranstaltninger for at sikre elforsyningen i beredskabssituationer og andre ekstraordinære situationer samt opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer, der er af betydning for elforsyningen. Virksomheder, som er bevillingspligtige efter elforsyningslovens §§ 10 og 19, virksomheder, der har tilladelse til elproduktion fra anlæg med en kapacitet på over 25 MW efter § 29 i VE-loven eller § 11 i elforsyningsloven, samt elforsyningsvirksomhed, der varetages af Energinet eller denne virksomheds helejede datterselskaber i medfør af § 2, stk. 2 og 3, i lov om Energinet.
Efter gasforsyningslovens § 15 a og § 15 b, er virksomheder, som er bevillingspligtige efter gasforsyningslovens § 10, Energinet og dennes helejede datterselskaber, som foretager gasforsyningsvirksomhed klassisk beredskab og it-beredskab.
I oliesektoren skal virksomheder med positiv lagringspligt og FDO foretage beredskabsplanlægning, der sikrer forsyningen af olie fra egne beredskabslagre i en beredskabssituation, jf. olieberedskabslovens § 16, stk. 1, og olieberedskabsbekendtgørelsens § 11.
Elforsyningsloven finder anvendelse på land- og søterritoriet og i den eksklusive zone, jf. lovens § 2, stk. 2. Gasforsyningsloven finder anvendelse på land, søterritoriet, i den eksklusive økonomiske zone og på dansk kontinentalsokkelområde, jf. lovens § 2, skt. 3. Gasforsyningsloven finder dog ikke anvendelse på transmissionssystemer på søterritoriet, i den eksklusive økonomiske zone og på dansk kontinentalsokkelområde, der ikke har tilslutning til det danske gassystem, jf. lovens § 2, stk. 4. Offshoresikkerhedsloven finder anvendelse på offshore olie- og gasaktiviteter.
Der henvises i øvrigt til punkt 3.1.1 i lovforslagets almindelige bemærkninger.
Det foreslås i § 2, stk. 1, at loven finder anvendelse på de i nr. 1-20 oplistede typer af virksomheder, jf. dog stk. 2 og 3.
Begrebet virksomheder vil skulle forstås i overensstemmelse med begrebet enheder, der anvendes i NIS 2-direktivet, jf. også lovforslagets § 3, nr. 30, der vil definere virksomheder i overensstemmelse med definitionen af den enslydende definition af enheder i NIS 2-direktivet. Virksomheder vil herefter blive den gennemgående referenceramme for lovforslagets anvendelse, i overensstemmelse med den hidtil indarbejdede måde at betegne retssubjekterne i lovgivningen på energiområdet.
Den foreslåede bestemmelse vil med nr. 1-17 implementere de dele af artikel 2, stk. 1, i NIS 2- direktivet og artikel 1, stk. 1, litra a og b, i CER-direktivet, som er relevant for energisektoren. De oplistede virksomheder i nr. 1-17 reflekterer således de enheder i energisektoren, som angivet i bilag 1 til NIS 2-direktivet, samt de kritiske enheder i energisektoren, som er angivet i bilaget til CER.
Nr. 18-20 er et udtryk for et nationalt ønske om at operatører af tankstationer, der er ansvarlige for forvaltningen og driften af tankstationer, operatører af regionale koordinationscentre og operatører af bygasnet, omfattes af loven, da disse virksomheder varetager en række funktioner, der er kritiske for forsyningen og beredskabet i energisektoren. Der henvises i øvrigt til bemærkningerne til § 2, stk. 1, nr. 18-20, nedenfor.
Den foreslåede bestemmelse vil videreføre gældende ret, idet de virksomheder, som efter elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven er omfattet af beredskabsregulering, også vil blive omfattet af beredskabsregulering med den foreslåede bestemmelse. Bestemmelsen udvider dog samtidig beredskabsreguleringen til fremover også at omfatte bl.a. fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.
Det foreslås i § 2, stk. 1, nr. 1, at elektricitetsvirksomheder omfattes af loven. Elektricitetsvirksomheder skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 7, og skal i øvrigt forestås i overensstemmelse med enhedskategorien elektricitetsvirksomheder angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.
Det foreslås i § 2, stk. 1, nr. 2, at distributionssystemoperatører omfattes af loven. Distributionssystemoperatører skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 6, og skal i øvrigt forstås i overensstemmelse med enhedskategorien distributionssystemoperatører i hhv. elektricitets- og gassektoren angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.
Virksomheder, der er omfattet af begrebet ”distributionsselskab”, jf. gasforsyningslovens § 6, stk. 1, nr. 6, og virksomheder, der er omfattet af begrebet ”netvirksomhed”, jf. elforsyningslovens § 5, stk. 1, nr. 26, vil blandt andet være omfattet af den foreslåede bestemmelse. Bestemmelsen vil hermed blandt andet omfatte virksomheder, der har bevilling til distributionsvirksomhed efter gasforsyningslovens § 10, og virksomheder, der har bevilling til netvirksomhed efter elforsyningslovens § 19, jf. også bemærkningerne til forslagets § 3, stk. 1, nr. 5.
Det foreslås i § 2, stk. 1, nr. 3, at transmissionssystemoperatører omfattes af loven. Transmissionssystemoperatører skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 29, og skal i øvrigt forstås i overensstemmelse med enhedskategorien transmissionssystemoperatører i hhv. elektricitets- og gassektoren angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.
Det foreslås i § 2, stk. 1, nr. 4, at elproducenter omfattes af loven. Elproducenter skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 8, og skal i øvrigt forestås i overensstemmelse med enhedskategorien producenter i elektricitetssektoren angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.
Det foreslås i § 2, stk. 1, nr. 5, at udpegede elektricitetsmarkedsoperatører omfattes af loven. Udpegede elektricitetsmarkedsoperatører skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 30, og skal i øvrigt forestås i overensstemmelse med enhedskategorien udpegede elektricitetsmarkedsoperatører angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.
Det foreslås i § 2, stk. 1, nr. 6, at markedsdeltagere, der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring, omfattes af loven. Markedsdeltagere der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring, skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 19, og skal i øvrigt forstås i overensstemmelse med enhedskategorien angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.
Det foreslås i § 2, stk. 1, nr. 7, at operatører af ladepunkter, der er ansvarlige for forvaltningen og driften af et ladepunkt, som leverer en ladetjeneste til slutbrugere, herunder i en mobilitetstjenesteudbyders navn og på dennes vegne, omfattes af loven. Begrebet skal forstås i overensstemmelse med enhedskategorien operatører af ladestationer, der er ansvarlige for forvaltningen og driften af et ladepunkt, som leverer en ladetjeneste til slutbrugere, herunder i en mobilitetstjenesteudbyders navn og på dennes vegne, angivet i NIS 2-direktivets bilag I.
Det bemærkes, at NIS 2-direktivet i den danske sprogversion anvender termen ladestationer. Den engelske og franske sprogversion anvender termen ”ladepunkt”, henholdsvis ”a recharging point” og ”d’un point de recharge”. Ladepunkt anvendes i øvrigt i dansk- og EU-lovgivning på transportområdet. På den baggrund anvendes i nærværende lovforslag termen ladepunkt som en samlebetegnelse, der også vil omfatte begrebet ladestation.
Det foreslås i § 2, stk. 1, nr. 8, at operatører af fjernvarme eller fjernkøling omfattes af loven. Operatører af fjernvarme eller fjernkøling skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 23, og skal i øvrigt forstås i overensstemmelse med enhedskategorien operatører af fjernvarme eller fjernkøling angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.
Det foreslås i § 2, stk. 1, nr. 9, at olierørledningsoperatører omfattes af loven.
Det foreslås i § 2, stk. 1, nr. 10, at operatører af olieproduktionsanlæg, -raffinaderier og -behandlingsanlæg, olielagre og olietransmission omfattes af loven.
Det foreslås i § 2, stk. 1, nr. 11, at centrale lagerenheder omfattes af loven. Centrale lagerenheder skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 2, og skal i øvrigt forestås i overensstemmelse med enhedskategorien centrale lagerenheder angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.
Det foreslås i § 2, stk. 1, nr. 12, at gasforsyningsvirksomheder omfattes af loven. Gasforsyningsvirksomheder skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 11, og skal i øvrigt forstås i overensstemmelse med enhedskategorien gasforsyningsvirksomheder angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.
Det foreslås i § 2, stk. 1, nr. 13, at lagersystemoperatører omfattes af loven. Lagersystemoperatører skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 17, og skal i øvrigt forstås i overensstemmelse med enhedskategorien lagersystemoperatører angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.
Det foreslås i § 2, stk. 1, nr. 14, at LNG-systemoperatører omfattes af loven. LNG-systemoperatører skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 18, og skal i øvrigt forstås i overensstemmelse med enhedskategorien LNG-systemoperatører angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.
Det foreslås i § 2, stk. 1, nr. 15, at naturgasvirksomheder omfattes af loven. Naturgasvirksomheder skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 21, og skal i øvrigt forstås i overensstemmelse enhedskategorien naturgasvirksomheder angivet i NIS 2-direktivets bilag I og CER-direktivets bilag.
Det foreslås i § 2, stk. 1, nr. 16, at operatører af naturgasraffinaderier og -behandlingsanlæg omfattes af loven.
Det foreslås i § 2, stk. 1, nr. 17, at operatører inden for brintproduktion, -lagring og -transmission omfattes af loven.
Det foreslås i § 2, stk. 1, nr. 18, at operatører af tankstationer, der er ansvarlige for forvaltningen og driften af en tankstation omfattes af loven.
Operatører af tankstationer, der er ansvarlige for forvaltningen og driften af en tankstation foreslås efter nationalt ønske omfattet af loven, selvom de ikke er omfattet af NIS 2- og CER-direktivet, idet tankstationer er et væsentligt led i distributionen af olieprodukter.
Det foreslås i § 2, stk. 1, nr. 19, at operatører af regionale koordinationscentre omfattes af loven. Regionale koordinationscentre skal forstås i overensstemmelse med den foreslåede definition i § 3, nr. 25, og skal i øvrigt forstås i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2019/943 af 5. juni 2019 om det indre marked for elektricitet.
Med regionale koordinationscentre forstås et regionalt koordinationscenter, som oprettes i Danmark i henhold til artikel 35 i Europa-Parlamentets og Rådets forordning om det indre marked for elektricitet.
Det foreslås i § 2, stk. 1, nr. 20, at operatører af bygasnet omfattes af loven.
Operatører af bygasnet foreslås selvstændigt omfattet af loven, da disse operatører normalt ikke anses for omfattet af ordene ”distributionssystemoperatører” eller ”naturgasvirksomheder”, når disse bruges i gasforsyningsloven. Derfor er det fundet nødvendigt eksplicit at omfatte operatører af bygasnet, således at der ikke kan opstå tvivl, om de er omfattet af loven eller ej.
Det foreslås i § 2, stk. 2, at loven dog kun finder anvendelse på typer virksomheder efter stk. 1, som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt virksomheden opfylder én eller flere af de i nr. 1-8 oplistede betingelser.
Det følger af det forslåede stk. 2, at lovens anvendelsesområde vil blive afgrænset i relation til mikro- og små virksomheder i overensstemmelse med artikel 2 i bilaget til henstilling 2003/361/EF, så denne gruppe af virksomheder kun vil blive omfattet af loven, såfremt de opfylder én eller flere af de i stk. 2, nr. 1-8, forslåede grænseværdier. De foreslåede grænseværdier i nr. 1-8, tager udgangspunkt i virksomhedernes kritikalitet for energiforsyningen. Disse grænseværdier er således også udtryk for klima-, energi- og forsyningsministerens foreløbige identifikation af kritiske enheder i henhold til artikel 6 i CER-direktivet. Den foreløbige identifikation vil blive revurderet, når den nationale strategi og nationale risikovurdering efter CER-direktivets artikel 4 og 5 foreligger. De foreslåede kriterier er endelig også udtryk for fastholdelse af anvendelsesområdet for de eksisterende bestemmelser om beredskab og cybersikkerhed fra lov om elforsyning.
Det foreslås i § 2 stk. 2, nr. 1, at loven finder anvendelse på virksomheder som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt virksomhederne leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring med en kapacitet på 25 MW eller derover eller håndterer en kapacitet på 25 MW elforbrug eller derover eller 25 MW elproduktion eller derover.
Den foreslåede afgrænsning på 25 MW eller derover vil følge den gældende afgrænsning af elproduktionsvirksomheder underlagt krav om elproduktionsbevilling efter elforsyningslovens § 10 eller krav om elproduktionstilladelse efter § 29 i VE-loven.
Det foreslås i § 2, stk. 2, nr. 2, at loven finder anvendelse på virksomheder, som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt virksomhederne opererer ladepunkter med en samlet kapacitet på 25 MW eller derover.
Den foreslåede afgrænsning på 25 MW eller derover vil følge den gældende afgrænsning af elproduktionsvirksomheder underlagt krav om elproduktionsbevilling efter elforsyningslovens § 10 eller krav om elproduktionstilladelse efter § 29 i VE-loven.
Det foreslås i § 2, stk. 2, nr. 3, at loven finder anvendelse på virksomheder, som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt virksomhederne i 2 ud af de sidste 3 år har haft et årligt salg på mere end 13,9 GWh fjernvarme eller fjernkøling.
Grænserne i bestemmelsen er en konvertering af 25 MW grænsen til fjernvarmesektoren og fjernkølingssektoren. Grunden til at referenceperioden er sat til 2 af de 3 sidste år, er fordi fjernvarmevirksomhederne kan opleve udsving i salg og produktion alt efter vejret og priserne på elmarkedet.
Det foreslås i § 2, stk. 2, nr. 4, at loven finder anvendelse på virksomheder som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt de årligt producerer mere end 26 mio. Nm3 (normalkubikmeter) gas eller injicerer mere end 26 mio. Nm3 gas i et gasnet.
Det foreslås i § 2, stk. 2, nr. 5, at loven finder anvendelse på virksomheder som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt de opererer olieterminaler eller olielagre med en kapacitet på 100.000 m3 eller derover.
Den foreslåede grænseværdi vil frasortere de mindste olielagre og terminaler, så operatører af mindre og ikke kritiske olieterminaler og -lagre ikke vil blive omfattet af loven.
Det foreslås i § 2, stk. 2, nr. 6, at loven finder anvendelse på virksomheder, som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt de opererer brintproduktion, der i sit tilslutningspunkt til et kollektivt elnet har en kapacitet på 25 MW eller derover.
Den foreslåede grænse på 25 MW kapacitet eller derover for et anlægs tilslutningspunkt til et kollektivt elnet, er baseret på vurderingen, at brintproducerende anlæg i dag først og fremmest er kritiske på grund af deres potentielle negative indvirkning på elforsyningssikkerheden, fordi pludselig stigning eller fald i elforbruget fra det brintproducerende anlæg kan føre til udsving i frekvensen af elnettet, hvilket i yderste konsekvens kan føre til black out. Efterhånden som der opstår et nationalt eller internationalt forbrug af brint, vil produktionen af brinten også være kritisk for at opretholde brintforsyningen. Når dette vurderes at være tilfældet, kan det overvejes, om der skal indføres en grænse for brintproducerende anlæg, der baserer sig på deres brintproduktionskapacitet.
Det foreslås i § 2, stk. 2, nr. 7, at loven finder anvendelse på virksomheder, som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt de opererer én eller flere tankstationer, der sammenlagt har et årligt salg af olieprodukter på 600.000 m3 eller derover, eller som opererer flere end 100 tankstationer på nationalt plan.
Den foreslåede grænse er fastsat ud fra det hensyn at beskytte forsyningen af benzin og diesel til vejtransport. Efter den foreslåede grænse vil kun de største tankstationsoperatører blive omfattet af loven ud fra antallet af stationer, som de opererer eller deres samlede årlige salg af olieprodukter på tværs af tankstationer. Det er således Klima-, Energi- og Forsyningsministeriets vurdering, at et helt netværk af tankstationer kan kompromitteres igennem de net- og informationssystemer, der bruges til at overvåge beholdninger af olieprodukter på stationerne. Men idet at Danmark er et af de lande med den største koncentration af tankstationer pr. indbygger, har Klima-, Energi- og Forsyningsministeriet valgt at foreslå, at kun de største operatører skal omfattes, således at der altid være et minimum af forsyning af olieprodukter til understøttelse af vejtransporten.
Det foreslås i § 2, stk. 2, nr. 8, at loven finder anvendelse på virksomheder som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på ikke over 10 mio. euro, såfremt de har en positiv lagringspligt efter olieberedskabsloven eller regler udstedt i medfør af loven.
Bestemmelsen medfører, at virksomheder, med positiv lagringspligt efter olieberedskabsloven eller regler udstedt i medfør heraf, vil blive omfattet af lovforslaget, idet tilgængeligheden af olieberedskabslagrene, som disse virksomheder holder, er et grundlæggende krav for at have et velfungerende og brugbart olielagerberedskab.
Det foreslås i § 2, stk. 3, at lovens kapitel 5 om baggrundskontrol og sikkerhedsgodkendelser, endvidere finder anvendelse på aktører, der ikke omfattes af stk. 1 og 2, men som varetager opgaver som direkte led i eller i forbindelse med leveringen af de tjenester og aktiviteter, der varetages af virksomhedstyperne opregnet i stk. 1.
Den foreslåede bestemmelse har til formål, at sikre at bestemmelserne om baggrundskontrol og sikkerhedsgodkendelser i lovforslagets § 16, også finder anvendelse på aktører, der ikke allerede omfattes af loven, men som varetager opgaver som direkte led i eller i forbindelse med leveringen af de tjenester og aktiviteter, der varetages af virksomheder omfattet af loven. Formålet med at omfatte dem af bestemmelserne i § 16 er ikke at fastsætte krav om, at sådanne aktører skal have foretaget baggrundskontrol eller sikkerhedsgodkendelse af deres personale, men blot åbne op for klima-, energi- og forsyningsministeren har hjemmel til at modtage, behandle og afgøre ansøgninger om baggrundskontrol og sikkerhedsgodkendelse fra ansatte hos sådanne aktører, når det findes nødvendigt af aktøren selv.
Den foreslåede bestemmelse vil udvide anvendelsesområdet for de nævnte dele af lovforslaget med henblik på, at aktører, der ikke omfattes af stk. 1 og 2, kan anmode Klima-, Energi- og Forsyningsministeriet om at få behandlet ansøgninger om sikkerhedsgodkendelse og baggrundskontrol. Aktører vil i denne kontekst skulle forstås bredt som såvel fysiske som juridiske personer, der kan dokumentere, at de varetager, eller vil varetage opgaver som direkte led i eller i forbindelse med leveringen af de tjenester og aktiviteter, der varetages af virksomhedstyperne opregnet i stk. 1.
Vurderingen af, hvorvidt en aktør konkret må anses for at varetage opgaver i forbindelse med leveringen af de tjenester og aktiviteter, der varetages af virksomhedstyperne opregnet i stk. 1, vil blive foretaget af klima, energi og forsyningsministeren i den konkrete sag, og ministeren kan afvise ansøgninger, hvis ministeren vurderer, at aktøren ikke lever op til kravet.
Vurderingen vil blive foretaget under hensyn til, at energisektoren omfatter mange aktører, der ikke nødvendigvis har en direkte forbindelse til virksomheder omfattet af § 2, stk. 1 og 2 og leveringen af deres tjenester, men som leverer andre tjenester, services eller indsigter, der bruges i forbindelse med leveringen af virksomhedens tjeneste eller på andre indirekte måder bidrager til at skabe en mere robust og sikker energisektor. Flere fora anvender således sikkerhedsgodkendelser som en forudsætning for deltagelse. Dette vil eksempelvis typisk være tilfældet i fora, der diskuterer resiliens og sikkerhed i energisektoren, eller hvor emner omhandlende kritisk infrastruktur og kortlægning heraf drøftes. Sådanne fora vil efter en konkret vurdering for eksempel kunne blive anset for at udføre opgaver i forbindelse med leveringen af de tjenester og aktiviteter, der varetages af virksomhedstyperne opregnet i stk. 1. Endvidere vil eksempelvis virksomheder, som indsamler data om cybertrusler og -angreb af relevans for energisektoren, ikke være omfattet af stk. 1 og 2, men vil være omfattet af det udvidede anvendelsesområde for sikkerhedsgodkendelser og baggrundskontrol, samt betaling herfor i lovens kapitel 5, § 18 og regler udstedt i medfør heraf, da de ligeledes vil blive anset for at udføre opgaver i forbindelse med leveringen af de tjenester og aktiviteter, der varetages af virksomhedstyperne opregnet i stk. 1.
Der henvises i øvrigt til pkt. 3.4 om sikkerhedsgodkendelser og baggrundskontrol samt pkt. 3.5 om gebyrbetaling for myndighedsbehandling i lovforslagets almindelige bemærkninger.
Det foreslås i § 2, stk. 4, at loven finder anvendelse på land- og søterritoriet, i den danske eksklusive økonomiske zone samt på den danske kontinentalsokkel, jf. dog stk. 5.
Efter den foreslåede bestemmelse, vil anvendelsesområdet udstrække sig til at gælde den eksklusive økonomiske zone. Det vil medføre, at anlæg som er placeret i det areal også vil være omfattet af kravene, som fremgår af lovens andre bestemmelser. Lovforslaget vil dermed finde anvendelse på bl.a. vindmølleparker eller boreplatforme, som er placeret uden for land- eller søterritoriet, men som er inden for den danske eksklusive økonomiske zone.
Udstrækningen af det geografiske anvendelsesområde vil medføre, at flere anlæg eller systemer vil skulle leve op til de nærmere beredskabsmæssige krav.
Den foreslåede bestemmelse er en forsættelse af de bestemmelser, der findes i en række af de forsyningslove, som beredskabet tidligere har været forankret i og cementerer, at loven og regler udstedt i medfør af loven gælder på land- og søterritoriet, den danske eksklusive økonomiske zone samt på den danske kontinentalsokkel.
Bestemmelsen skal dog ses i sammenhæng med undtagelsen i stk. 5.
Det foreslås i § 2, stk. 5, at loven ikke finder anvendelse på transmissionssystemer på søterritoriet, i den eksklusive økonomiske zone og på den danske kontinentalsokkel, der ikke har tilslutning til danske forsyningsnet.
Det er vurderingen, at et transmissionssystem, som ikke er tilsluttet det danske forsyningsnet, men blot passerer dansk territorium, ikke har betydning for Danmarks energiforsyning. Bestemmelsen præciserer derfor, at loven og regler udstedt i medfør heraf, ikke finder anvendelse på sådanne transmissionsnet.
Den foreslåede bestemmelse i § 3 indeholder definitioner af lovens centrale begreber.
Definitionerne vil implementere de relevante definitioner i artikel 6 i NIS 2-direktivet. Definitionerne vil endvidere implementere de relevante definitioner i artikel 2 i CER-direktivet. Endvidere implementeres definitionerne fra det enslydende bilag I til de to direktiver, for så vidt angår energisektorens enhedskategorier. I det omfang der i de relevante EU-definitioner er henvist til artikler i andre direktiver og forordninger, er disse indarbejdet i bestemmelserne for lette referencen.
De foreslåede definitioner vil således svare indholdsmæssigt til de relevante dele af NIS 2-direktivets artikel 6 og CER-direktivets artikel 2 og skal forstås og anvendes i overensstemmelse hermed.
I de tilfælde, hvor NIS 2- og CER-direktivet ikke anvender identiske definitioner for samme begreber, er der med lovforslaget tilstræbt størst mulig kongruens ved at sammenlægge definitionerne.
Således vil definitionen af en »hændelse« efter denne lov eksempelvis omfatte samme begreb i henholdsvis NIS 2- og CER-direktivet, selvom direktiverne definerer begrebet forskelligt.
Det foreslås i § 3, stk. 1, nr. 1, at »aggregering« defineres som en funktion, der varetages af en fysisk eller juridisk person, der samler flere kunders forbrug eller producerede elektricitet til salg, køb eller auktion på et elektricitetsmarked. Aggregering er ikke levering af elektricitet.
Bestemmelsen er identisk med den tilsvarende definition i elforsyningslovens § 5, nr. 3.
Bestemmelsens første punktum er en ordret gengivelse af artikel 2, nr. 18, i Europa-Parlamentets og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU og skal forstås i overensstemmelse hermed.
Bestemmelsens andet punktum er medtaget med inspiration fra elforsyningslovens § 5, nr. 3, idet en elhandelsvirksomhed, der sælger elektricitet m.v. kan godt på samme tid være en virksomhed, der varetager aggregering.
Det foreslås i § 3, stk. 1, nr. 2, at »central lagerenhed« defineres som et organ eller tjeneste, som er tildelt beføjelser til at handle med henblik på at erhverve, holde eller sælge olielagre, herunder beredskabslager og specifikke lagre.
Den foreslåede definition er en ordret gengivelse af definitionen af central lagerenhed i artikel 2, litra f, i Rådets direktiv 2009/119/EF af 14. september 2009 om forpligtelse for medlemsstaterne til at holde minimumslagre af råolie og/eller olieprodukter.
Den foreslåede bestemmelse vil hermed implementere definitionen af central lagerenhed i overensstemmelse med definitionen af centrale lagerenheder i bilag I i NIS 2-direktivet og bilaget CER-direktivet.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Rådets direktiv 2009/119/EF af 14. september 2009 om forpligtelse for medlemsstaterne til at holde minimumslagre af råolie og/eller olieprodukter, samt NIS 2- og CER-direktivet.
I Danmark vil den centrale lagerenhed, der er udpeget efter lov nr. 354 af 24. april 2012 om olieberedskab, være omfattet af denne definition.
Det foreslås i § 3, stk. 1, nr. 3, at »cybersikkerhed« defineres som de aktiviteter, der er nødvendige for at beskytte net- og informationssystemer, brugerne af sådanne systemer og andre personer berørt af cybertrusler.
Den foreslåede definition er en ordret gengivelse af artikel 2, nr. 1, i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).
Den foreslåede bestemmelse vil hermed implementere definitionen af cybersikkerhed i overensstemmelse med definitionen af cybersikkerhed i NIS 2-direktivets artikel 6, nr. 3.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) og NIS 2-direktivet.
Det foreslås i § 3, stk. 1, nr. 4, at »cybertrussel« defineres som enhver potentiel omstændighed, begivenhed eller handling, som kan skade, forstyrre eller på anden måde have en negativ indvirkning på net- og informationssystemer, brugerne af sådanne systemer og andre personer.
Den foreslåede definition er en ordret gengivelse af artikel 2, nr. 8, i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).
Den foreslåede bestemmelse vil hermed implementere definitionen af cybersikkerhed i overensstemmelse med definitionen af cybersikkerhed i NIS 2-direktivets artikel 6, nr. 10.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) og NIS 2-direktivet.
Det foreslås i § 3, stk. 1, nr. 5, at »distributionssystemoperatør« defineres som en fysisk eller juridisk person, der er ansvarlig for driften, vedligeholdelsen og om nødvendigt udbygningen af distributionssystemet i et givet område samt i givet fald dets sammenkoblinger med andre systemer og for at sikre, at systemet på lang sigt kan tilfredsstille en rimelig efterspørgsel efter distribution af elektricitet eller gas.
Den foreslåede definition sammenlægger definitionerne for distributionssystemoperatør i artikel 2, nr. 29, i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU, og artikel 2, nr. 6, i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF. Den foreslåede definition gengiver ordret definitionen i førstnævnte direktiv og svarer indholdsmæssigt til definitionen i sidstnævnte direktiv.
Den foreslåede bestemmelse vil hermed implementere definitionen af distributionssystemoperatør i overensstemmelse med definitionen af distributionssystemoperatører i delsektorerne elektricitet og gas i bilag I i NIS 2-direktivet og bilaget CER-direktivet.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU, Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-direktivet.
Definitionen i nr. 5, vil blandt andet omfatte begrebet ”distributionsselskab”, jf. gasforsyningslovens § 6, stk. 1, nr. 6, og begrebet ”netvirksomhed”, jf. elforsyningslovens § 5, stk. 1, nr. 26. Definitionen vil hermed blandt andet omfatte virksomheder, der har bevilling til distributionsvirksomhed efter gasforsyningslovens § 10, og virksomheder, der har bevilling til netvirksomhed efter elforsyningslovens § 19, jf. også bemærkninger til 2, stk. 1, nr. 2.
Det foreslås i § 3, stk. 1, nr. 6, at »elektricitetsvirksomhed« defineres som en fysisk eller juridisk person, der driver mindst en af følgende former for virksomhed: produktion, transmission, distribution, aggregering, fleksibelt elforbrug, energilagring, levering eller køb af elektricitet, og som er ansvarlig for de kommercielle, tekniske eller vedligeholdelsesmæssige opgaver i forbindelse med disse aktiviteter, men som ikke er slutkunde der varetager salg, herunder videresalg, af elektricitet til kunder.
Den foreslåede definition er en sammenlægning af definitionen af elektricitetsvirksomhed i artikel 2, nr. 57, i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU, og definitionen af levering i artikel 2, nr. 12, i samme direktiv. Den foreslåede definition gengiver direktivets definition af elektricitetsvirksomhed og inkluderer heri direktivets definition af levering.
Den foreslåede bestemmelse vil hermed implementere definitionen af elektricitetsvirksomhed i overensstemmelse med definitionen af elektricitetsvirksomheder i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU, NIS 2-direktivet og CER-direktivet.
Det foreslås i § 3, stk. 1, nr. 7, at »elproducent« defineres som en fysisk eller juridisk person, der fremstiller elektricitet.
Den foreslåede definition er en ordret gengivelse af definitionen af producent i artikel 2, nr. 38, i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU.
Den foreslåede bestemmelse vil hermed implementere definitionen af elproducent i overensstemmelse med definitionen af producenter i delsektoren elektricitet i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet for Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU, NIS 2-direktivet og CER-direktivet.
Det foreslås i § 3, stk. 1, nr. 8, at »energilagring« defineres som i elektricitetssystemet, som udsættelse af den endelige anvendelse af elektricitet til et senere tidspunkt end det, hvor den blev produceret, eller konvertering af elektrisk energi til en energiform, der kan lagres, lagringen af sådan energi og den efterfølgende rekonvertering af sådan energi til elektrisk energi eller anvendelse som anden energibærer.
Den foreslåede definition er en ordret gengivelse af definitionen af energilagring i artikel 2, nr. 59, i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU.
Det foreslås i § 3, stk. 1, nr. 9, at »fleksibelt elforbrug« defineres som ændringer i en slutkundes elforbrug i forhold til det normale eller aktuelle forbrugsmønster som reaktion på markedssignaler, herunder som reaktion på tidspunktafhængige elpriser eller finansielle incitamenter, eller som reaktion på accept af slutkundens bud om at sælge en forbrugsreduktion eller -forøgelse til en bestemt pris på et organiseret marked, hvad enten dette sker alene eller gennem aggregering.
Den foreslåede definition gengiver definitionen af fleksibelt elforbrug i artikel 2, nr. 20, i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU.
Definitionen af fleksibelt elforbrug i førnævnte direktiv henviser desuden til definitionen af organiseret marked i EU-Kommissionens gennemførelsesforordning (EU) nr. 1348/2014 af 17. december 2014 om dataindberetning til gennemførelse af artikel 8, stk. 2, og artikel 8, stk. 6, i Europa-Parlamentets og Rådets forordning (EU) nr. 1227/2011 om integritet og gennemsigtighed på engrosenergimarkederne. Organiseret marked i den foreslåede definition skal forstås i overensstemmelse hermed, jf. også bemærkningerne til § 3, stk. 1, nr. 24.
Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU.
Det foreslås i § 3, stk. 1, nr. 10, at »gasforsyningsvirksomhed« defineres som enhver fysisk eller juridisk person, der varetager forsyningsopgaven.
Den foreslåede definition er en ordret gengivelse af definitionen af forsyningsvirksomhed i artikel 2, nr. 8, i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF.
Den foreslåede bestemmelse vil hermed implementere definitionen af gasforsyningsvirksomhed i overensstemmelse med definitionen af forsyningsvirksomheder i delsektoren gas i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-direktivet.
Det foreslås i § 3, stk. 1, nr. 11, at »hændelse« defineres som en begivenhed, der har potentiale til i betydelig grad at forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste, herunder når den påvirker de nationale systemer, der sikrer retsstatsprincippet, herunder en begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare.
Bestemmelsen bygger på CER-direktivets artikel 2, nr. 3, hvorefter der ved »hændelse« forstås en begivenhed, der har potentiale til i betydelig grad at forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste, herunder når den påvirker de nationale systemer, der sikrer retsstatsprincippet. Dog er der tilføjet ”herunder en begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare” for samtidigt at implementere definitionen af ” hændelse” fra NIS 2-direktivets artikel 6, nr. 6, med henblik på at gøre det klart, at hændelsesbegrebet i denne lov omfatter alle hændelser.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med CER- og NIS 2-direktivets formål og anvendelsesområde.
Det foreslås i § 3, stk. 1, nr. 12, at »håndtering af hændelser« defineres som enhver handling og procedure, der tager sigte på at forebygge, opdage, analysere og inddæmme eller at reagere på og reetablere sig efter en hændelse.
Den foreslåede definition er en ordret gengivelse af definitionen i NIS 2-direktivets artikel 6, nr. 8. Den foreslåede bestemmelse implementerer hermed NIS 2-direktivets artikel 6, nr. 8.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med NIS 2-direktivets formål og anvendelsesområde.
Det foreslås i § 3, stk. 1, nr. 13, at »IKT-proces« defineres som aktiviteter, der udføres for at udforme, udvikle, levere eller vedligeholde et IKT-produkt eller en IKT-tjeneste.
Den foreslåede definition er en ordret gengivelse af definitionen i artikel 2, nr. 14, i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).
Den foreslåede bestemmelse implementerer hermed NIS 2-direktivets artikel 6, nr. 14.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) og NIS 2-direktivet.
Det foreslås i § 3, stk. 1, nr. 14, at »IKT-produkt« defineres som et element eller en gruppe af elementer i net- og informationssystemer.
Den foreslåede definition er en ordret gengivelse af definitionen i artikel 2, nr. 12, i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).
Den foreslåede bestemmelse implementerer hermed NIS 2-direktivets artikel 6, nr. 12.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) og NIS 2-direktivet.
Det foreslås i § 3, stk. 1, nr. 15, at »IKT-tjeneste« defineres som en tjeneste, der helt eller hovedsageligt består af overførsel, lagring, indhentning eller behandling af oplysninger ved hjælp af net- og informationssystemer.
Den foreslåede definition er en ordret gengivelse af definitionen i artikel 2, nr. 13, i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).
Den foreslåede bestemmelse implementerer hermed NIS 2-direktivets artikel 6, nr. 13.
Bestemmelsen vil skulle fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) og NIS 2-direktivet.
Det foreslås i § 3, stk. 1, nr. 16, at »lagersystemoperatør« defineres som enhver fysisk eller juridisk person, der foretager oplagring af gas og er ansvarlig for driften af en gaslagerfacilitet.
Den foreslåede definition er en ordret gengivelse af definitionen af lagersystemoperatør i artikel 2, nr. 10, i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF.
Den foreslåede bestemmelse vil hermed implementere definitionen af lagersystemoperatør i overensstemmelse med definitionen af lagersystemoperatører i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-direktivet.
Det foreslås i § 3, stk. 1, nr. 17, at »LNG-systemoperatør« defineres som enhver fysisk eller juridisk person, der foretager flydendegørelse af naturgas eller import, losning og forgasning af LNG og er ansvarlig for driften af en LNG-facilitet.
Den foreslåede definition er en ordret gengivelse af definitionen af LNG-systemoperatør i artikel 2, nr. 12, i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF.
Den foreslåede bestemmelse vil hermed implementere definitionen af LNG-systemoperatør i overensstemmelse med definitionen af LNG-systemoperatører i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-direktivet.
Det foreslås i § 3, stk. 1, nr. 18, at »markedsdeltager der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring« defineres som en fysisk eller juridisk person, der køber, sælger eller producerer elektricitet, der udfører aggregering, eller der er en operatør af tjenester vedrørende fleksibelt elforbrug eller energilagringstjenester, herunder ved afgivelse af handelsordrer, på et eller flere elektricitetsmarkeder, herunder på balanceringsenergimarkeder.
Den foreslåede definition af markedsdeltager der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring gengiver ordret definitionen af markedsdeltager i artikel 2, nr. 25, i Europa-Parlamentets og Rådets forordning (EU) 2019/943 af 5. juni 2019 om det indre marked for elektricitet.
Den foreslåede bestemmelse vil hermed implementere definitionen af markedsdeltager, der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring i overensstemmelse med definitionen af markedsdeltagere, der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets forordning (EU) 2019/943 af 5. juni 2019 om det indre marked for elektricitet, NIS 2-direktivet og CER-direktivet.
Det foreslås i § 3, stk. 1, nr. 19, at »modstandsdygtighed« defineres som en enheds evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og sikre genopretning efter en hændelse.
CER-direktivets artikel 2, nr. 2, definerer modstandsdygtighed som en kritisk enheds evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og komme på fode igen efter en hændelse.
Definitionen i den foreslåede bestemmelse er således ikke en ordret gengivelse af definitionen i CER. Ordet kritisk fra definitionen i CER-direktivet er ikke medtaget i den foreslåede definition. Det bemærkes desuden, at CER-direktivet anvender termen ”komme på fode igen”, hvor den engelske sprogversion anvender termen ”recover”. I den foreslåede bestemmelse anvendes termen "genopretning" i stedet for ”komme på fode igen”, da det er den anvendte terminologi den danske energisektor.
Den foreslåede bestemmelse implementerer CER-direktivets artikel 2, nr. 2.
Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med CER-direktivets formål og anvendelsesområde.
Det foreslås i § 3, stk. 1, nr. 20, at »naturgasvirksomhed« defineres som enhver fysisk eller juridisk person, der driver mindst en af følgende former for virksomhed: produktion, transmission, distribution, forsyning, køb eller oplagring af naturgas, herunder LNG, og som er ansvarlig for de kommercielle, tekniske og/eller vedligeholdelsesmæssige opgaver i forbindelse med disse aktiviteter, men som ikke er endelig kunde.
Den foreslåede definition er en ordret gengivelse af definitionen af naturgasvirksomhed i artikel 2, nr. 1, i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF.
Den foreslåede bestemmelse vil hermed implementere definitionen af naturgasvirksomhed i overensstemmelse med definitionen af naturgasvirksomheder i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-direktivet.
Det foreslås i § 3, stk. 1, nr. 21, at »net- og informationssystem« defineres som; a) et elektronisk kommunikationsnet, hvorved forstås transmissionssystemer, uanset om de bygger på en permanent infrastruktur eller centraliseret administrationskapacitet, og, hvor det er relevant, koblings- og dirigerings-udstyr og andre ressourcer, herunder netelementer, der ikke er aktive, som gør det muligt at overføre signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellit-net, jordbaserede fastnet og mobilnet, elkabelsystemer, i det omfang de anvendes til transmission af signaler, net, som anvendes til radio- og tv-spredning, samt kabel-tv-net, uanset hvilken type information der overføres, b) enhver anordning eller gruppe af forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data, og c) digitale data som lagres, behandles, fremfindes eller overføres af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.
Den foreslåede nr. 21, litra a, gengiver definitionen af elektronisk kommunikationsnet i artikel 2, nr. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2018/1972 af 11. december 2018 om oprettelse af en europæisk kodeks for elektronisk kommunikation. Den foreslåede definition implementerer hermed NIS 2-direktivets artikel 6, nr. 1, litra a.
Den foreslåede nr. 21, litra a, vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets direktiv (EU) 2018/1972 af 11. december 2018 om oprettelse af en europæisk kodeks for elektronisk kommunikation og NIS 2-direktivet.
Den foreslåede nr. 21, litra b og c, er en ordret gengivelse af NIS 2-direktivets artikel 6, nr. 1, litra b og c, og implementerer hermed NIS 2-direktivets artikel 6, nr. 1, litra a og b.
Den foreslåede nr. 21, litra b og c, vil skulle forstås og fortolkes i overensstemmelse med NIS 2-direktivets formål og anvendelsesområde.
Kredsløbs- og pakkekoblede fastnet, herunder i internettet er også omfattet af jordbaserede fastnet.
Det foreslås i § 3, stk. 1, nr. 22, at »nærvedhændelse« defineres som en begivenhed, der kunne have bragt tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare, men som det lykkedes at forhindre, eller som ikke materialiserede sig.
Den foreslåede definition er en ordret gengivelse af artikel 6, nr. 5, i NIS 2-direktivet.
Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med NIS 2-direktivets formål og anvendelsesområde.
Det foreslås i § 3, stk. 1, nr. 23, at »operatør af fjernvarme eller fjernkøling« defineres som operatør af distribution af termisk energi i form af damp, varmt vand eller afkølede væsker fra centrale eller decentrale produktionssteder gennem et net til flere bygninger eller anlæg til anvendelse ved rum- eller procesopvarmning eller -køling.
Den foreslåede definition af operatør af fjernvarme eller fjernkøling indeholder en ordret gengivelse af definitionen af fjernvarme eller fjernkøling i artikel 2, nr. 19, i Europa-Parlamentets og Rådets direktiv (EU) 2018/2001 af 11. december 2018 om fremme af anvendelsen af energi fra vedvarende energikilder.
Den foreslåede bestemmelse vil hermed implementere definitionen af operatør af fjernvarme eller fjernkøling i overensstemmelse med definitionen af operatører af fjernvarme eller fjernkøling i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets direktiv (EU) 2018/2001 af 11. december 2018 om fremme af anvendelsen af energi fra vedvarende energikilder, NIS 2-direktivet og CER-direktivet.
Det foreslås i § 3, stk. 1, nr. 24, at »organiseret marked« defineres som; a) Et multilateralt system, der samler eller faciliterer samlingen af flere tredjeparters købs- og salgsinteresser i engrosenergiprodukter på en måde, der fører til indgåelse af en kontrakt, b) Ethvert andet system eller enhver anden facilitet, hvor flere købs- og salgsinteresser i engrosenergiprodukter tilhørende tredjeparter kan interagere på en måde, der fører til indgåelse af en kontrakt.
Den foreslåede definition gengiver en del af definitionen af organiseret marked i artikel 2, nr. 4, i EU-Kommissionens gennemførelsesforordning (EU) nr. 1348/2014 af 17. december 2014 om dataindberetning til gennemførelse af artikel 8, stk. 2, og artikel 8, stk. 6, i Europa-Parlamentets og Rådets forordning (EU) nr. 1227/2011 om integritet og gennemsigtighed på engrosenergimarkederne, jf. artikel 2, nr. 4, litra a og b.
Det følger derudover af definitionen i den førnævnte gennemførelsesforordning, at et organiseret marked omfatter elektricitets- og gasbørser, mæglere og andre personer, der erhvervsmæssigt arrangerer transaktioner, og markedspladser, som defineret i artikel 4 i Europa-Parlamentets og Rådets direktiv 2014/65/EU.
Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU definerer i artikel 4, nr. 24, markedsplads som ethvert reguleret marked, en MHF eller en OHF. Med MHF forstås multilateral handelsfacilitet og med OHF forstås organiseret handelsfacilitet, som defineret i direktivets artikel 4, nr. 22 og 23.
Definitionen i den foreslåede bestemmelse omfatter i overensstemmelse EU-Kommissionens gennemførelsesforordning (EU) nr. 1348/2014 af 17. december 2014 om dataindberetning til gennemførelse af artikel 8, stk. 2, og artikel 8, stk. 6, i Europa-Parlamentets og Rådets forordning (EU) nr. 1227/2011 om integritet og gennemsigtighed på engrosenergimarkederne, elektricitets- og gasbørser, mæglere og andre personer, der erhvervsmæssigt arrangerer transaktioner, og markedspladser, herunder ethvert reguleret marked, en MHF eller en OHF.
Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i EU-Kommissionens gennemførelsesforordning (EU) nr. 1348/2014 af 17. december 2014 om dataindberetning til gennemførelse af artikel 8, stk. 2, og artikel 8, stk. 6, i Europa-Parlamentets og Rådets forordning (EU) nr. 1227/2011 om integritet og gennemsigtighed på engrosenergimarkederne og Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU.
Det foreslås i § 3, stk. 1, nr. 25, at »regionalt koordinationscenter« defineres som et regionalt koordinationscenter, som oprettes i Danmark i henhold til artikel 35 i Europa-Parlamentets og Rådets forordning om det indre marked for elektricitet.
Den foreslåede bestemmelse er en gengivelse af definitionen af regionalt koordinationscenter i artikel 2, nr. 50, i Europa-Parlamentets og Rådets forordning (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet, med den tilpasning, at det fremgår af bestemmelsens ordlyd, at det kun finder anvendelse på et regionalt koordinationscenter beliggende i Danmark.
Det foreslås i § 3, stk. 1, nr. 26, at »risiko« defineres som potentialet for tab eller forstyrrelse som følge af en hændelse, udtrykt som en kombination af størrelsen af et sådant tab eller en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræffer.
Den foreslåede definition sammenlægger definitionen af risiko i NIS 2-direktivets artikel 6, nr. 9, og definitionen af risiko i CER-direktivets artikel 2, nr. 6. Den foreslåede definition er en ordret gengivelse af NIS 2-direktivets definition. Den foreslåede definition svarer indholdsmæssigt til CER-direktivets definition. Den foreslåede bestemmelse implementerer hermed NIS 2-direktivets artikel 6, nr. 9 og CER-direktivets artikel 2, nr. 6.
Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med NIS 2- og CER-direktivets formål og anvendelsesområde.
Det foreslås i § 3, stk. 1, nr. 27, at »risikovurdering« defineres som den samlede proces med henblik på at bestemme arten og omfanget af en risiko ved at identificere og analysere potentielle relevante trusler, sårbarheder og farer, der kunne føre til en hændelse, og ved at evaluere det potentielle tab eller den potentielle forstyrrelse af leveringen af en væsentlig tjeneste forårsaget af denne hændelse.
Den foreslåede definition er en ordret gengivelse af definitionen af risikovurdering i CER-direktivets artikel 2, nr. 7, og den foreslåede bestemmelse implementerer hermed CER-direktivets artikel 2, nr. 7.
Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med CER-direktivets formål og anvendelsesområde.
Det foreslås i § 3, stk. 1, nr. 28, at »transmissionssystemoperatør« defineres som en fysisk eller juridisk person, der er ansvarlig for driften, vedligeholdelsen og om nødvendigt udbygningen af transmissionssystemet i et givet område samt i givet fald dets sammenkoblinger med andre systemer og for at sikre, at systemet på lang sigt kan tilfredsstille en rimelig efterspørgsel efter transmission af elektricitet eller gas.
Den foreslåede definition sammenlægger definitionerne for transmissionssystemoperatør i artikel 2, nr. 35, i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU, og artikel 2, nr. 4, i Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF.
Den foreslåede definition er en ordret gengivelse af definitionen af transmissionssystemoperatør i førstnævnte direktiv og svarer indholdsmæssigt til definitionen af transmissionssystemoperatør i sidstnævnte direktiv.
Den foreslåede bestemmelse vil hermed implementere definitionen af transmissionssystemoperatør i overensstemmelse med definitionen af transmissionssystemoperatører i delsektorerne elektricitet og gas i bilag I i NIS 2-direktivet og bilaget CER-direktivet.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentet og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ændring af direktiv 2012/27/EU, Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF, NIS 2-direktivet og CER-direktivet.
Det foreslås i § 3, stk. 1, nr. 29, at »udpeget elektricitetsmarkedsoperatør« defineres som en markedsoperatør, der af Forsyningstilsynet er blevet udpeget til at udføre opgaver i forbindelse med den fælles day-ahead- eller intraday-kobling.
Den foreslåede bestemmelse er en tilpasset gengivelse af definitionen af udpeget elektricitetsmarkedsoperatør i artikel 2, nr. 8, i Europa-Parlamentets og Rådets forordning (EU) 2019/943 af 5. juni 2019 om det indre marked for elektricitet. Tilpasningen består i at ”kompetent myndighed” er blevet af erstattet af Forsyningstilsynet, da Forsyningstilsynet er den kompetente myndighed i Danmark til at udpege elektricitetsmarkedsoperatører, efter den før nævnte forordning.
Den foreslåede bestemmelse vil hermed implementere definitionen af udpeget elektricitetsmarkedsoperatør i overensstemmelse med definitionen af udpegede elektricitetsmarkedsoperatører i bilag I i NIS 2-direktivet og bilaget i CER-direktivet.
Bestemmelsen vil skulle forstås og fortolkes i overensstemmelse med formålet og anvendelsesområdet i Europa-Parlamentets og Rådets forordning (EU) 2019/943 af 5. juni 2019 om det indre marked for elektricitet, NIS 2-direktivet og CER-direktivet.
Det foreslås i § 3, stk. 1, nr. 30, at »virksomhed« defineres som en fysisk eller juridisk person, der er oprettet og anerkendt som sådan i henhold til den nationale ret på det sted, hvor den er etableret, og som i eget navn kan udøve rettigheder og være underlagt forpligtelser.
Den foreslåede definition er en ordret gengivelse af definitionen af enhed i NIS 2-direktivets artikel 2, nr. 38, og den foreslåede bestemmelse implementerer hermed NIS 2-direktivets artikel 2, nr. 38.
Det foreslås, at loven anvender begrebet "virksomheder" i stedet for begrebet "enheder", som anvendes i NIS 2-direktivet, da det er den indarbejdede måde at betegne retssubjekterne i lovgivningen på energiområdet.
Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med NIS 2-direktivets formål og anvendelsesområde.
Det foreslås i § 3, stk. 1, nr. 31, at »væsentlig cybertrussel« defineres som en cybertrussel, som på grundlag af sine tekniske karakteristika kan antages at have potentiale til at få alvorlig indvirkning på en enheds net- og informationssystemer eller på brugerne af enhedens tjenester ved at forårsage betydelig materiel eller immateriel skade.
Den foreslåede definition er en ordret gengivelse af definitionen af væsentlig cybertrussel i NIS 2-direktivets artikel 6, nr. 11. Den foreslåede bestemmelse implementerer hermed NIS 2-direktivets artikel 6, nr. 11.
Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med NIS 2-direktivets formål og anvendelsesområde.
Det foreslås i § 3, stk. 1, nr. 32, at »væsentlig tjeneste« defineres som en tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed og offentlig sikkerhed eller miljøet.
Den foreslåede definition er en ordret gengivelse af definitionen af væsentlig tjeneste i CER-direktivets artikel 2, nr. 5. Den foreslåede bestemmelse implementerer hermed CER-direktivets artikel 2, nr. 5.
Den foreslåede bestemmelse vil skulle forstås og fortolkes i overensstemmelse med CER-direktivets formål og anvendelsesområde.
Det bemærkes, at EU-Kommissionens delegerede forordning (EU) 2023/2450 af 25. juli 2023, til supplering af Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 ved opstilling af en liste over væsentlige tjenester, opstiller en ikke-udtømmende lister over væsentlige tjenester i artikel 2. Disse væsentlige tjenester er også omfattet af de ovenstående definitioner.
Efter § 3, stk. 1, i bekendtgørelse om identifikation og udpegning af europæisk kritisk infrastruktur på energiområdet og vurdering af behovet for bedre beskyttelse, foretager Energistyrelsen identifikation af europæisk kritisk infrastruktur. Metoden for udpegelse fremgår af bekendtgørelsens § 4, stk. 1. Bekendtgørelsen er udstedt i medfør af elforsyningsloven, gasforsyningsloven, lov om kontinentalsoklen, offshoresikkerhedsloven og olieberedskabsloven og implementerer EPCIP-direktivet i energisektoren.
Det følger af it-beredskabsbekendtgørelsens § 9, der er udstedt i medfør af elforsyningsloven og gasforsyningsloven, at Energistyrelsen skal foretage kategorisering af virksomheder.
Ifølge elberedskabsbekendtgørelsens § 11, stk. 1, og naturgasberedskabsbekendtgørelsens § 11, stk. 1, skal Energistyrelsen foretage en klassificering af anlæg i el- og gassektoren.
Kategorisering og klassificering afhænger af anlæggets eller virksomhedens betydning for energiforsyningen og er afgørende for, hvilke beredskabskrav der stilles til virksomhederne.
For oliesektoren er der ikke indført en egentlig kategorisering af virksomheder. Dog følger det af olieberedskabsbekendtgørelsens § 2, stk. 1, nr.1, at bekendtgørelsen kun finder anvendelse på lagringspligtige virksomheder, der har en lagringspligtig omsætning større end nul, dvs. en pligt til at holde beredskabslagre. Da det kun er ca. halvdelen af alle virksomheder, som er omfattet af kravene i olieberedskabsloven, der har en lagringspligtig omsætning større end nul, bliver virksomheder i oliesektoren med beredskabslagre mødt af flere beredskabskrav efter olieberedskabsbekendtgørelsen.
Der henvises i øvrigt til afsnit 3.1.1 i lovforslagets almindelige bemærkninger.
Det følger af den foreslåede § 4, stk. 1, at klima-, energi- og forsyningsministeren identificerer kritiske virksomheder, kritiske systemer og anlæg omfattet af loven, der anvendes til at levere virksomhedernes tjenester.
Formålet med stk. 1 er implementere kravene til identificering af kritiske enheder efter CER-direktivet samt kravene til identificering af væsentlige og vigtige enheder samt enheder, der leverer domæne-navnsregistreringstjenester efter NIS-2-direktivet.
Den foreslåede bestemmelse skal ses i sammenhæng med den foreslåede § 35, stk. 2, om registrerings- og oplysningspligt for virksomheder, som vil sikre informationsgrundlaget for ministerens identifikation af væsentlige og vigtige enheder efter bestemmelsen.
Afhængig af identificeringen efter denne bestemmelse vil enhederne blive underlagt specifikke krav og specifikke tilsyn samt modtage særlig støtte og vejledning over for alle relevante risici. Den særlige støtte og vejledning vil eksempelvis komme til udtryk i nationale strategier eller risiko- og sårbarhedsscenarier.
Det bemærkes, at nogle af de mindste virksomheder, der falder indenfor lovforslagets anvendelsesområde, vil falde udenfor NIS 2- og CER-direktivernes anvendelsesområde, og de vil således aldrig blive identificeres som kritiske, væsentlige eller vigtige enheder efter bestemmelsen.
Det bemærkes, at ordet identificering angår designeringen af virksomheder som hhv. kritiske enheder i henhold til kravene CER-direktivet og væsentlige og vigtige enheder efter kravene NIS-2 direktivet.
Den foreslåede bestemmelse vil implementere CER-direktivets artikel 6, stk. 1 og 2, hvorefter hver medlemsstat senest den 17. juli 2026 skal have identificeret de kritiske enheder for de sektorer og delsektorer, der er anført i bilaget til CER-direktivet, herunder energisektoren. Med bestemmelsen har klima-, energi- og forsyningsministeren hjemmel til at foretage identificeringen.
Bestemmelsen vil desuden implementere NIS 2-direktivets artikel 3, stk. 3, hvorefter medlemsstater senest den 17. april 2025 udarbejder en liste over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester. Medlemsstaterne skal endvidere revidere og, hvor det er relevant, ajourføre listen med jævne mellemrum, mindst hvert andet år.
De indsamlede oplysninger efter § 35, stk. 2, vil i relevant omfang indgå i listen, der udarbejdes til EU-Kommissionen jf. NIS 2-direktivets artikel 3.
De nærmere regler for hvordan identificeringen af virksomhederne og deres systemer og anlæg nærmere vil blive fastlagt, jf. den foreslåede bemyndigelse i stk. 3.
Det følger af det foreslåede stk. 2, at klima-, energi- og forsyningsministeren endvidere kategoriserer virksomheder, deres systemer og anlæg omfattet af loven, der anvendes til at levere virksomhedernes tjenester.
Formålet med bestemmelsen er, at give hjemmel til klima-, energi- og forsyningsministeren til at træffe afgørelse om virksomheders kategorisering og kategorisering af virksomhedernes systemer og anlæg som udtryk for en forskellig kritikaliteten af disse. Dette giver grundlag, for at der kan differentieres i kritikaliteten af individuelle virksomheder, deres systemer og anlæg, således at der i de regler der fastsættes efter f.eks. § 6-9 og 19, stk. 4, kan fastsættes differentierede krav om foranstaltninger og tilsyn, som tager hensyn til virksomhedernes kritikalitet for forsyningssikkerheden og opretholdelse af samfundsvigtige funktioner.
Det bemærkes, at begrebet kategorisering anvendes som samlebetegnelse for hhv. niveauinddeling og klassificering, hvor niveauinddeling sker på virksomhedsniveau, mens klassificering sker på system og anlægs niveau.
Den foreslåede bestemmelse, vil endelig bemyndige klima- energi-, og forsyningsministeren til at foretage kategorisering af virksomheder, samt deres systemer og anlæg, som falder uden for anvendelsesområdet af NIS 2- og CER-direktivet. Dette vil være virksomheder, der efter nationalt ønske er omfattet af loven i fx fjernvarmesektoren.
De nærmere regler, for hvordan kategorisering af virksomhederne og deres systemer og anlæg skal ske, vil blive nærmere fastlagt, jf. den foreslåede bemyndigelse i stk. 3.
Efter det foreslåede stk. 3, fastsætter klima-, energi- og forsyningsministeren nærmere regler om identifikation og kategorisering af virksomheder og af virksomheders systemer og anlæg, som anvendes til levering af virksomhedens tjenester efter stk. 1 og 2.
Formålet med bestemmelsen er at skabe bemyndigelseshjemmel for ministeren til at fastsætte de nødvendige regler om identifikation af visse typer af virksomheder i energisektoren, jf. stk. 1, med henblik på, at der vil kunne fastsættes regler for, hvordan virksomhederne identificeres som hhv. kritiske enheder og vigtige eller væsentlige enheder samt fastsættelse af objektive kriterier eller andre regler, der vil fastsætte, hvilket niveau en virksomhed skal indplaceres på, og hvilken klasse en virksomheds system eller anlæg skal tildeles. Dette vil ske for at sikre korrekt implementering af NIS 2- og CER-direktiverne.
I fastsættelsen af de nærmere regler om identificering og kategorisering af virksomheder samt net- og informationssystemer og anlæg, herunder dem som falder uden for anvendelsesområdet af NIS 2- og CER-direktivet, vil følgende hensyn blive inddraget: 1) den nationale strategi for styrkelse af modstandsdygtighed, 2) den nationale risikovurdering med henblik på kategorisering, 3) om enheden leverer en eller flere væsentlige tjenester, 4) om enheden opererer og har sin kritiske infrastruktur beliggende på dansk territorium og 5) om en hændelse vil have virkning på forsyningssikkerheden eller på leveringen af andre væsentlige tjenester i sektorer i bilag 1 til CER-direktivet, som er afhængige af denne eller disse væsentlige tjenester.
Bestemmelsen vil således give hjemmel til, at der kan ske implementering af CER-direktivets artikel 6, stk. 2, i forbindelse med fastsættelsen af de nærmere regler for, hvordan virksomheder identificeres som kritiske enheder.
De nærmere regler om identificering af virksomheder som kritiske enheder, vil desuden tage hensyn til følgende kriterier: 1) antal brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den berørte virksomhed, 2) omfanget af andre i bilaget anførte sektorers og delsektorers afhængighed af den pågældende væsentlige tjeneste, 3) den indvirkning som hændelser kunne have med hensyn til omfang og varighed på økonomiske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens sundhed, 4) virksomhedens markedsandel på markedet for den berørte væsentlige tjeneste eller de berørte væsentlige tjenester, 5) det geografiske område, der kunne blive berørt af en hændelse, herunder eventuel grænseoverskridende indvirkning, under hensyntagen til den sårbarhed, som er forbundet med den grad af afsondrethed, der kendetegner visse typer af geografiske områder, såsom ø-regioner, afsidesliggende regioner eller bjergområder, og 6) virksomhedens betydning med hensyn til at opretholde et tilstrækkeligt niveau for den væsentlige tjeneste under hensyntagen til tilgængelighed af alternative måder at levere denne væsentlige tjeneste på.
Bestemmelsen vil i denne henseende give hjemmel til, at der kan ske implementering af CER-direktivets artikel 7, stk. 1, som opstiller kriterier for, hvornår en hændelse vil have betydeligt forstyrrende virkninger. At en hændelse vil have betydeligt forstyrrende virkning vil være et kriterie ved identifikationen af kritiske enheder.
Endvidere vil bestemmelsen bemyndige klima- energi-, og forsyningsministeren til at fastsætte regler om, hvornår virksomheder anses for væsentlige eller vigtige enheder i henhold til kriterierne i NIS 2-direktivets artikel 3, stk. 1 og 2.
Bemyndigelsen forventes udmøntet ved at fastsætte regler om, at virksomheder vil være væsentlige enheder, når de er omfattet af denne lovs § 2, stk. 1 og opfylder en af følgende kriterier: 1) er den eneste udbyder i en medlemsstat af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, 2) er en tjeneste hvis forstyrrelse vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden, 3) er en tjeneste hvis forstyrrelse vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer, hvor en sådan forstyrrelse kan have en grænseoverskridende virkning, 4) er kritisk på grund af sin specifikke betydning på nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i medlemsstaten, 5) er identificeret som kritiske enheder i henhold til direktiv (EU) 2022/2557 (CER-direktivet) eller 6) er identificeret som operatører af væsentlige tjenester i overensstemmelse med direktiv (EU) 2016/1148 (NIS 1-direktivet) eller national ret inden d. 16. januar 2023.
Bestemmelsen vil i denne henseende endvidere give hjemmel til, at der kan ske implementering af NIS-direktivets artikel 3, stk. 1 og 2, som opstiller samme kriterier.
Det forventes, at bemyndigelsen vil blive brugt til at fastsætte nærmere regler for frekvensen af identificeringen af virksomheder, deres systemer og anlæg. Den foreslåede bestemmelse vil dermed give hjemmel til på bekendtgørelsesniveau at implementere CER-direktivets artikel 6, stk. 5, 1. pkt., hvoraf det fremgår, at medlemsstaterne gennemgår, hvor det er nødvendigt og under alle omstændigheder mindst hvert fjerde år, listen over identificerede kritiske enheder. Ligeledes vil NIS 2-direktivets artikel 3, stk. 3, hvoraf det fremgår, at listen over væsentlige og vigtige enheder ajourføres mindst hvert andet år, også kunne implementeres i de nærmere fastsatte regler.
Den foreslåede bestemmelse har endvidere til formål at skabe bemyndigelseshjemmel til klima- energi-, og forsyningsministeren, pga. et nationalt ønske og behov, til at fastsætte de nærmere regler for kategorisering af virksomhederne samt de systemer og anlæg, de anvender til leveringen af deres tjeneste.
Det bemærkes, at begrebet kategorisering forsat anvendes som samlebetegnelse for hhv. niveauinddeling og klassificering, hvor niveauinddeling sker på virksomhedsniveau, mens klassificering sker på system og anlægs niveau.
Bestemmelsen forventes i denne henseende udmøntet ved regler om, at kategoriseringen af virksomheder vil ske ved at inddele virksomhederne i niveauer på baggrund af forsyningsstørrelse og kritikalitet for forsyningssikkerheden samt opretholdelsen af samfundsvigtige funktioner. De virksomheder, som er mindst kritiske, vil blive indplacet på niveau 1. De virksomheder, som er mest kritiske for forsyningssikkerheden og opretholdelsen af samfundsvigtige funktioner forventes at blive indplaceret på niveau 5.
Kategoriseringen af anlæg og lokationer med betydning for leveringen af tjenesten vil ske ved at inddele disse i klasser fra 2-5. Ved klassificeringen forventes de mindst kritiske anlæg og lokationer at blive indplaceret i klasse 2, mens de mest kritiske forventes indplaceret i klasse 5.
Endelig vil en række meget små virksomheder, efter den foreslåede bestemmelse, blive niveauinddelt for sig selv i det laveste niveau 1 og deres systemer og anlæg vil ikke blive tildelt en klasse. Dette vil sikre, at der kan fastsættes regler om, at sådanne virksomheder skal efterleve simplere beredskabskrav, end hvad der fremgår af direktiverne. De simplere beredskabskrav vil kunne være krav om en beredskabsplan eller kontaktliste og har ikke nærmere sammengæng med CER- eller NIS 2-direktiverne.
Bemyndigelsen forventes at kunne udnyttes dynamisk, således at der ved udviklinger i energisektoren, f.eks. ift. antallet af virksomheder, disses størrelser ift. produktion, antal af kunder mv., vil kunne tilføjes eller fjernes niveauer og klasser, hvis der skulle opstå behov for at være mere eller mindre differentieret i kritikaliteten.
Det forventes, at bemyndigelsen vi blive brugt til at fastsætte regler om niveauinddelingen af virksomheder vil skulle tage udgangspunkt i, hvilken delsektor virksomheden operer inden for, og den tjeneste, som virksomheden leverer. Hvis en virksomhed leverer tjenester i flere delsektorer, fx hvis den leverer både el og varme, vil virksomheden kun blive inddelt på ét niveau. Det forventes, at virksomheden vil blive inddelt i niveauet for den forsyningsart, hvor tjenesten vil være mest kritisk.
Det forventes desuden, at bemyndigelsen vil blive brugt til at fastsætte regler om, at virksomhedens samlede betydning for forsyningssikkerheden og opretholdelse af samfundsvigtige funktioner vil have betydning for, hvilket niveau virksomheden vil blive inddelt på. Ligeledes vil det have en betydning, om virksomheden leverer en tjeneste, som påvirker eller kan påvirke andre kritiske sektorer.
Det forventes ligeledes, at bemyndigelsen vil blive brugt til at fastsætte regler om niveauinddelingen af virksomhedernes vil ske ud fra en konkret vurdering med udgangspunkt i den samlede energimængde, virksomheden kontrollerer, virksomhedens betydning for energiforsyningen, om virksomheden leverer tjenester til andre kritiske sektorer eller varetager samfundskritiske opgaver.
Det forventes, at bemyndigelsen vil blive brugt til at der fastsættes regler om, at kategoriseringen af anlæg og systemer sker ved at inddele disse i klasser. Det forventes, at der ved klassificeringen vil blive taget udgangspunkt i den tjeneste, som anlægget eller systemer vedrører, mængden af energi, som de er med til at understøtte, og deres betydning for forsyningssikkerheden eller andre samfundsvigtige funktioner.
Efter bestemmelsen vil der desuden blive fastsat regler om kategorisering af net- og informationssystemer og anlæg, som falder uden for anvendelsesområdet af NIS 2- og CER-direktivet med henblik på, at disse anlæg og systemer kan blive omfattet af simplere beredskabskrav, end hvad der fremgår af direktiverne. Sådanne virksomheder vil følgelig ikke skulle indmeldes til Kommissionen efter NIS 2-direktiets artikel 3, stk. 4 og CER-direktivets artikel 6, stk. 3.
Det forventes, at bemyndigelsen vil blive brugt til at fastsætte nærmere regler for frekvensen af kategorisering af virksomheder, deres systemer og anlæg.
Der henvises i øvrigt til afsnit 3.1 i lovforslagets almindelige bemærkninger.
Efter § 3, stk. 1, i EPCIP-bekendtgørelsen og vurdering af behovet for bedre beskyttelse, foretager Energistyrelsen identifikation af europæisk kritisk infrastruktur. Metoden for udpegelse fremgår af bekendtgørelsens § 4, stk. 1. Bekendtgørelsen er udstedt i medfør af elforsyningsloven, gasforsyningsloven, lov om kontinentalsoklen, offshoresikkerhedsloven og olieberedskabsloven og implementerer EPCIP-direktivet i energisektoren.
EPCIP-bekendtgørelsens §§ 3-8 fastsætter en procedure og nærmere kriterier for indkredsning af potentiel europæisk kritisk infrastruktur og eventuel efterfølgende udpegning af den europæiske kritiske infrastruktur som sådan.
Det følger af EPCIP-bekendtgørelsens § 3, at Energistyrelsen foretager identifikation af europæiske kritisk infrastruktur i dialog med operatører af relevante infrastrukturer, som opfylder nærmere fastsatte tværgående og sektorbaserede kriterier og er i overensstemmelse med definitionerne for ”kritisk infrastruktur” og ”europæisk kritisk infrastruktur”. Metoden for udpegelse fremgår af bekendtgørelsens § 4, stk. 1.
Det følger af den foreslåede § 5, stk. 1, at virksomheder betragtes som kritiske enheder af særlig europæisk betydning, når virksomheden er blevet identificeret som kritisk efter § 4, stk. 1, og leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere medlemsstater.
Formålet med bestemmelsen er at implementere CER-direktivets artikel 17, stk. 1, hvorefter en enhed betragtes som en kritisk enhed af særlig europæisk betydning, hvis den a) er blevet identificeret som en kritisk enhed i henhold til direktivets artikel 6, stk. 1 og b) leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere medlemsstater.
Den første betingelse om at virksomheden skal være identificeret som kritisk, vil blive opfyldt i forbindelse med identifikation af kritiske virksomheder efter § 4, stk. 1.
Den anden betingelse vil blive opfyldt, når EU-Kommissionen konstaterer, at virksomheden leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere EU-medlemsstater efter konsultationsproceduren i CER-direktivets artikel 17, stk. 2, og 3. EU-Kommissionen konsulterer efter proceduren de kritiske enheder og de kompetente myndigheder i de medlemsstater, hvor de pågældende enheder har oplyst at levere væsentlige tjenester, med henblik på at undersøge, om enheden leverer de samme eller lignende væsentlige tjenester i eller til seks eller flere EU-medlemsstater. EU-Kommissionen vil på den baggrund konstatere, om den pågældende kritiske virksomhed er at betragte som en kritisk enhed af væsentlig europæisk betydning og underretter Energistyrelsen, der påtænkes som kompetent myndighed for energisektoren i Danmark, samt de kompetente myndigheder i de øvrige relevante medlemsstater herom. Klima-, energi- og forsyningsministeren vil således først kunne identificere en virksomhed som en kritisk enhed af særlig europæisk betydning, når EU-Kommissionen har konstateret, at betingelserne herfor er opfyldt. Retsvirkningen af, at en virksomhed er en kritisk enhed af særlig europæisk betydning vil først indtræde efter underretning af virksomheden herom efter bestemmelsens stk. 2.
Efter den foreslåede § 5, stk. 2, underretter klima-, energi- og forsyningsministeren virksomheder om, at de betragtes som kritiske enheder af særlig europæisk betydning i energisektoren i medfør af reglerne i artikel 17 i Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet).
Det følger af bestemmelsen, at klima-, energi- og forsyningsministeren vil underrette virksomheder om, at de betragtes som kritiske enheder af særlig europæisk betydning. Ministeren vil skulle foretage underretningen, umiddelbart efter EU-Kommissionen har givet besked om, at en virksomhed betragtes som en kritisk enhed af særlig europæisk betydning.
Efter bestemmelsen vil underretningen ske i medfør af reglerne i artikel 17 i Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet).
Retsvirkningerne af, at en virksomhed er en kritisk enhed af særlig europæisk betydning, vil først indtræde, efter virksomheden er blevet underrettet herom efter bestemmelsen. Forud for underretningen vil virksomheden være orienteret herom af EU-Kommissionen i forbindelse med konsultationsproceduren i CER-direktivets artikel 17, stk. 2, og 3, som beskrevet i bemærkningerne til stk. 1.
Den foreslåede bestemmelse vil implementere CER-direktivets artikel 17, stk. 1, litra c, og artikel 17, stk. 3.
Efter den foreslåede § 5, stk. 3, fastsætter klima-, energi- og forsyningsministeren nærmere regler til brug for udpegelsen af kritiske enheder af særlig europæisk betydning.
Den foreslåede bestemmelse skal ses i sammenhæng med den foreslåede § 35, stk. 2, om registrerings- og oplysningspligt for virksomheder, som vil sikre informationsgrundlaget for ministerens identifikation af virksomheder og af kritiske enheder, der leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere medlemsstater.
Det forventes, at der på baggrund af bestemmelsen eksempelvis vil blive fastsat nærmere regler om, at relevante virksomheder skal underrette Klima-, Energi-, og Forsyningsministeriet, såfremt de eller anlæg de ejer leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater. I den forbindelse forventes det, at der vil blive fastsat regler om, at der ved underretning skal ske oplysning om, hvilke væsentlige tjenester der leveres, og til hvilke EU-medlemsstater der leveres til eller i. Underretning af disse informationer supplerer således de oplysninger, som virksomheder skal meddele efter § 35, stk. 2.
På baggrund af de regler der forventes at blive fastsat, vil det i første omgang være op til de virksomheder, som opfylder kravene for kritiske enheder, at vurdere, om de leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater og derfor er omfattet af underretningspligten. En væsentlig tjeneste er defineret i den foreslåede § 3, stk. 1, nr. 32, som en tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed og offentlig sikkerhed eller miljøet.
Der vil ligeledes kunne blive fastsat nærmere regler om, hvad der er en væsentlig tjeneste inden for energisektoren, da dette har betydning for udpegningen af kritiske enheder af særlig europæisk betydning. Såfremt en virksomhed er i tvivl om, hvorvidt de måtte levere væsentlige tjenester til eller i seks eller flere EU-medlemsstater, vil de kunne søge rådgivning hos Energistyrelsen, der er/vil blive udpeget som den kompetente myndighed.
Bestemmelsen gennemfører CER-direktivets artikel 17, stk. 2, 1. led, hvorefter medlemsstaterne sikrer, at en kritisk enhed efter den i direktivets artikel 6, stk. 3, omhandlede underretning oplyser sin kompetente myndighed, hvis den leverer væsentlige tjenester til eller i seks eller flere medlemsstater. I så fald sikrer medlemsstaterne, at den kritiske enhed oplyser sin kompetente myndighed om de væsentlige tjenester, den leverer til eller i disse medlemsstater, og om de medlemsstater, hvortil eller hvori den leverer sådanne væsentlige tjenester. Medlemsstaterne underretter uden unødigt ophold EU-Kommissionen om identiteten af sådanne kritiske enheder samt om de oplysninger, de leverer i henhold til nærværende stykke.
Efter den foreslåede § 5, stk. 4, kan klima-, energi- og forsyningsministeren fastsætte nærmere regler om særlige forpligtelser for virksomheder, der er eller ejer kritiske enheder af særlig europæisk betydning.
Formålet med bestemmelsen er at give ministeren bemyndigelse til at fastsætte de nødvendige regler til at implementere visse dele CER-direktivets artikel 18 om gennemførelse af rådgivende missioner til kritiske enheder af særlig europæisk betydning, som ikke implementeres efter den foreslåede § 20.
Således forventes det, at bemyndigelsen vil kunne bruges til at fastsætte regler om, at virksomheden, der er eller ejer kritiske enheder af særlig europæisk betydning, skal give oplysninger om, hvilke foranstaltninger der er blevet gennemført efter den rådgivende missions udtalelse efter CER-direktivet artikel 18, stk. 4.
Bemyndigelsen vil også kunne bruges til at implementere eventuelle nødvendige nationale regler til implementering af den gennemførelsesretsakt, der forventes vedtaget efter CER-direktivets artikel 18, stk. 6.
Bemyndigelsesbestemmelsen vil også sikre, at der ved større afhængighed mellem de forskellige systemer på tværs af EU, kan stilles tidssvarende krav til kritiske enheder af særlig europæisk betydning.
Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger. Der henvises i øvrigt til afsnit 3.1. i lovforslagets almindelige bemærkninger.
Det følger af elforsyningslovens § 85 b og § 85 c, at visse virksomheder med bevilling eller tilladelse til produktion af elektricitet skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre elforsyningen i beredskabssituationer og andre ekstraordinære situationer. Det samme gælder for Energinet og dennes helejede datterselskaber samt virksomheder, der yder balancering af elsystemet. Det følger af gasforsyningslovens § 15 a og § 15 b, at virksomheder som er bevillingspligtige efter gasforsyningslovens § 10 samt Energinet og dennes helejede datterselskaber, som foretager gasforsyningsvirksomhed, skal have et klassisk beredskab og et it-beredskab.
Elforsyningslovens §§ 85 b, stk. 3 og 85 c, stk. 5, og gasforsyningslovens §§ 15 a, stk. 3, og 15 b, stk. 5, indeholder bemyndigelsesbestemmelser om, at klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om klassisk beredskab og it-beredskabet, herunder regler om organisatorisk beredskab.
For el- og gassektorerne er de nærmere regler for organisatorisk beredskab gennemført i elberedskabsbekendtgørelsen, naturgasberedskabsbekendtgørelse og it-beredskabsbekendtgørelsen.
Det følger blandt andet af bekendtgørelserne, at virksomheder i el- og gassektoren skal udpege en beredskabskoordinator og et kontaktpunkt i krisesituationer (operationel kontakt), ligesom virksomheder med klasse 1 og 2-anlæg efter 11, stk. 1, nr. 1 og 2, skal have en sikringsansvarlig medarbejder, jf. § 5, stk. 1, i elberedskabsbekendtgørelsen og § 5, stk. 1, i naturgasberedskabsbekendtgørelsen. Virksomhederne skal have en it-beredskabsansvarlig samt sikre, at der sker koordination mellem det almene beredskab og it-beredskabet mindst fire gange årligt, jf. § 6, stk. 1 og 3, i it-beredskabsbekendtgørelsen.
Virksomheder i el- og naturgassektoren skal inden for både klassisk og it-beredskab derudover blandt andet udarbejde risiko- og sårbarhedsvurderinger og beredskabsplaner, afholde øvelser med udgangspunkt i beredskabsplanerne og sikre, at deres medarbejdere modtager den fornødne instruktion og uddannelse, jf. elberedskabsbekendtgørelsens §§ 6, skt. 1, og 7, stk. 1, 20 og 21, stk. 1, naturgasberedskabsbekendtgørelsens §§ 6, stk. 1, 7, stk. 1, 20 og 21, stk. 1, og it-beredskabsbekendtgørelsen §§ 10, stk. 1, og 14, stk. 1, 18 og 19, stk. 1. Endvidere skal virksomheder etablere procedurer for leverandørers adgang til forsyningskritiske it-systemer, jf. it-beredskabsbekendtgørelsens § 24, stk. 2.
Det følger af olieberedskabslovens § 16, stk. 1, at lagringspligtige virksomheder skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre olieforsyningen i beredskabssituationer og andre ekstraordinære situationer. Efter § 16, stk. 3, kan klima-, energi- og forsyningsministeren fastsætte nærmere regler om beredskabsplanlægningen efter stk. 1. De nærmere regler er gennemført i olieberedskabsbekendtgørelsen.
Ifølge olieberedskabsbekendtgørelsens § 5 skal beredskabsarbejdet baseres på alle risici, så ledelsen har et samlet risikobillede. Det følger desuden af bekendtgørelsens § 6, at organisationen skal indrettes, så det sikres, at virksomheden kan modtage varsler af teknisk karakter med henblik på at iværksætte relevante tiltag.
Virksomheder og den centrale lagerenhed i oliesektoren skal blandt andet udarbejde risiko- og sårbarhedsvurderinger samt beredskabsplaner, sikre at deres beredskabsmedarbejdere løbende modtager den fornødne instruktion, uddannelse og træning, afholde beredskabsøvelser med udgangspunkt i beredskabsplanerne og etablere procedurer for leverandørers adgang til forsyningskritisk infrastruktur, jf. olieberedskabsbekendtgørelsens §§ 8, stk. 1 og 11, stk. 1, § 12, 13, stk. 1, og 17, stk. 2.
Der findes i gældende ret ikke regler om fastsættelse af nærmere regler om beredskab og it-beredskab for fjernvarme, fjernkøling og brintsektoren.
Der henvises i øvrigt til afsnit 3.2.1.1 i lovforslagets almindelige bemærkninger.
Det foreslås i § 6, stk. 1, at virksomheder omfattet af lovforslaget skal foretage nødvendig beredskabsplanlægning og gennemføre passende organisatoriske foranstaltninger for at beskytte leveringen af deres tjenester og sikre effektiv genoprettelse af deres tjenester.
Formålet med bestemmelsen er at rammesætte de overordnede krav til virksomheders modstandsdygtighed og etableringen af et organisatorisk beredskab.
Bestemmelsen vil videreføre gældende ret for så vidt angår hvem kravene til organisatorisk beredskab vil finde anvendelse på i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet for kravene, idet kravene efter det foreslåede også vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet af krav til organisatorisk beredskab vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.
De nærmere krav vil blive udmøntet i medfør af den foreslåede § 6, stk. 2.
Det foreslås i § 6, stk. 2, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om beredskabsplanlægning og foranstaltninger efter stk. 1, herunder elementer af organisatorisk beredskab opregnet i stk. 2, nr. 1-12.
Kravene i de regler der forventes fastsat i medfør af den foreslåede bestemmelse, vil kunne differentieres i intensitet ift. virksomhedernes niveauinddeling og klassificeringen af virksomhedernes systemer og anlæg, jf. de regler der forventes udstedt i medfør af lovforslagets § 4, stk. 2. Differentieringen vil således ske ud fra en betragtning om, at en forstyrrelse af særlig kritiske virksomheders tjenester vil have større betydning for samfundet samt ud fra en betragtning om, at der bør være proportionalitet mellem sikkerhedseffekter og omkostninger forbundet med de konkrete krav.
Ved udmøntningen af bemyndigelsesbestemmelsen forventes det endvidere, at der vil ske en differentiering af, hvilke virksomheder der skal efterleve de nærmere fastsatte krav, så de mere kritiske virksomheder skal følge flere elementer af kravene.
Klima-, energi- og forsyningsministeren skal fastsætte regler om de nr. 1-12 oplistede emner. Reglerne kan indenfor hvert emne tilpasses, når det måtte være nødvendigt pga. udvikling i trusselsbilledet mod energisektoren, og når det vurderes nødvendigt for at imødegå den teknologiske udvikling i energisektoren og cybersikkerheden.
Bemyndigelsen forventes udmøntet i en bekendtgørelse, der blandt andet vil fastsætte nærmere regler for de i nr. 1 - 12 nævnte elementer af organisatorisk beredskab, som beskrevet nedenfor.
Det foreslås i § 6, stk. 2, nr. 1, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om ledelsespligter, herunder krav om godkendelse af virksomhedens risiko- og sårbarhedsvurdering samt beredskabsplaner, tilsynsrapporter og leverandørkontrakter.
Bestemmelsens formål er at bemyndige klima-, energi- og forsyningsministeren til at implementere NIS 2-direktivets krav til væsentlige og vigtige enheders ledelsesorganer samt til at udvide disse krav til også at omfatte relevante emner udover cybersikkerhedsrisisi, som for eksempel styring af organisatorisk sikkerhed og fysisk sikring, ud fra en betragtning om, at konsekvensen ved afbrud i leveringen af de relevante virksomheders tjeneste og omkostninger ved genopretning er lige kritiske, uagtet om dette skyldes organisatoriske forhold, manglende fysisk sikring eller cybersikkerhed. Denne udvidede bemyndigelse vil endvidere kunne blive udmøntet ved regler til sikring af en indbyrdes forbindelse mellem organisatorisk beredskab, fysisk sikring og cybersikkerhed, som det i praksis ellers kan være svært at adskille i forhold til risici.
De nærmere regler om ledelsespligter forventes blandt andet udmøntet i krav om, at ledelsen aktivt vil skulle forholde sig til virksomhedens beredskab og niveau af modstandsdygtighed. Endvidere forventes bestemmelsen for eksempel at blive udmøntet ved nærmere regler om, at den enkelte virksomheds ledelse kontinuerligt vil skulle godkende virksomhedens beredskabsplaner og risiko- og sårbarhedsvurderinger, herunder bl.a. godkende foranstaltninger for styring af cybersikkerhedsrisici. Ved udmøntningen af bemyndigelsesbestemmelsen vil der herudover blive fastsat regler, der sikrer, at virksomhedens ledelse vil have et samlet og ajourført billede af beredskabet samt kendte og mulige risici mod produktion, forsyning eller levering af virksomhedens tjenester.
Udmøntningen af den foreslåede bemyndigelse vil i denne henseende implementere NIS 2-direktivets artikel 20, stk. 1, hvorefter medlemsstater sikrer, at de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet og fører tilsyn med gennemførelsen af.
Som eksempel på regler, der endvidere forventes fastsat i medfør af bestemmelsen, udover hvad der følger af NIS 2-direktivet, kan nævnes regler om, at den enkelte virksomheds ledelse gøres ansvarlig for foranstaltninger til styring af organisatorisk sikkerhed, fysisk sikring og cybersikkerhed. Dette er en udvidelse af NIS 2-direktivets artikel 20, idet denne udelukkende omhandler styring i forhold til cybersikkerhedsrisici.
Klima-, energi- og forsyningsministeren forventes endvidere på baggrund af bestemmelsen, at fastsætte nærmere regler, der præciserer, at ledelsen har ansvar for at inddrage sikkerhedshensyn i forbindelse med beslutninger, der vedrører leverandørkontrakter. Ved leverandørkontrakter forstås i denne sammenhæng nye projekter samt leverandør- og serviceaftaler.
Efter den forventede udmøntning af bestemmelsen vil virksomheder skulle forholde sig til trusler og sårbarheder i forbindelse med fx anlægsprojekter eller systemerhvervelser, som har potentiale til at påvirke leveringen af virksomhedens tjenester. Det forventes desuden, at der vil blive fastsat nærmere regler om, at ledelsen skal tage stilling til passende foranstaltninger, der skal mitigere identificerede risici forbundet med det konkrete projekt eller erhvervelse.
Det følger af den foreslåede § 6, stk. 2, nr. 2, at klima-, energi- og forsyningsministeren efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætter nærmere regler om, at ledelsesorganer skal tilegne sig viden og kundskaber inden for risiko- og sårbarhedsstyring.
Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler om, at ledelsen skal opbygge viden og kompetencer til at træffe kvalificerede beslutninger vedrørende cybersikkerhed og beredskab. Reglerne vil medføre, at det vil være ledelsens ansvar at etablere en sikkerhedskultur og sikre uddannelse i hele organisationen.
Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere dele af NIS 2-direktivets artikel 20, stk. 2, hvorefter medlemmerne af væsentlige og vigtige enheders ledelsesorganer er forpligtet til at følge kurser, der gør ledelsen i stand til at identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici. Den forventede udmøntning vil dog udvide kravene efter NIS 2-direktivet med henblik på, at ledelsen i de relevante virksomheder skal kunne identificere risici forbundet med både organisatorisk sikkerhed, fysisk sikring og cybersikkerhed. Dette er en udvidelse af NIS 2-direktivets artikel 20, idet denne udelukkende omhandler uddannelse og kurser vedrørende styring i forhold til cybersikkerhedsrisici.
Det følger af den foreslåede § 6, stk. 2, nr. 3, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om identifikations- og adgangskontrolpolitikker for beskyttelse mod uautoriseret adgang.
Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere dele af CER-direktivets artikel 13, stk. 1, litra b, hvorefter kritiske enheder skal sikre tilstrækkelig fysisk beskyttelse af deres lokaler og kritiske infrastruktur under hensyntagen til fx adgangskontrol. Reglerne forventes endvidere at implementere CER-direktivets artikel 13, stk. 1, litra e, hvorefter kritiske enheder skal sikre passende medarbejdersikkerhedsstyring såsom fastlæggelse af adgangsrettigheder til lokaler, kritisk infrastruktur og følsomme oplysninger. Desuden vil de forventede regler implementere NIS 2-direktivets artikel 21, stk. 2, litra i, hvorefter vigtige og væsentlige enheder skal træffe foranstaltninger om bl.a. personalesikkerhed og adgangskontrolpolitikker.
Det forventes på baggrund af den foreslåede bestemmelse, at der vil blive fastsat nærmere regler om, at virksomheder omfattet af loven skal have politikker og procedurer for identifikation af personel med adgang til virksomhedens anlæg. Det forventes endvidere, at der vil blive fastsat regler om, at virksomhederne skal have politikker og procedurer for at identificere fysiske områder og inddele adgang til disse områder i zoner som del af en samlet tilgang til fysisk sikring med henblik på at kunne identificere og verificere, hvilke personer der må opholde sig i og omkring virksomhedens anlæg.
Det forventes herudover, at der på baggrund af bestemmelsen vil blive fastsat nærmere regler om, at virksomheden skal kunne etablere adgangsstyring baseret på roller og arbejdsbetinget behov med henblik på at sikre klart definerede regler for, hvilke medarbejdere eller medarbejdergrupper der kan tilgå forskellige dele af et anlæg eller net- og informationssystemer. På den baggrund forventes det, at der eksempelvis vil blive fastsat nærmere regler om, at virksomhederne skal have procedurer for, hvordan adgange til kritiske anlæg og net- og informationssystemer tildeles, ændres og lukkes for både virksomhedens egne medarbejdere såvel som for gæster, konsulenter, eksterne samarbejdspartnere og leverandører.
Det følger af den foreslåede § 6 stk. 2, nr. 4, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om udpegelse af personer til at varetage specifikke beredskabsroller.
Det forventes, at gældende ret for udpegelsen af beredskabsroller videreføres i vidt omfang. Dog ændres betegnelsen it-beredskabsansvarlig til cyberkoordinator, som er et kontaktpunkt for kommunikation med myndigheder. Dette er ikke den samme rolle som det operationelle kontaktpunkt, som forventes at være døgnbemandet.
Bemyndigelsen forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der implementer CER-direktivets artikel 13, stk. 3, hvorefter medlemsstaterne sikrer, at hver kritisk enhed udpeger en forbindelsesofficer eller tilsvarende som kontaktpunkt for de kompetente myndigheder.
Som en udvidelse af CER-direktivets krav vil der efter bestemmelsen endvidere kunne blive fastsat regler om roller vedrørende cyberberedskabet.
Bestemmelsen forventes endvidere udmøntet ved regler om, at virksomhederne bl.a. vil skulle udpege en beredskabskoordinator, en cyberkoordinator, et operationelt kontaktpunkt og én eller flere sikringskoordinator(er). Det forventes, at disse roller for virksomheder i niveau 4 og 5 efter reglerne udstedt i medfør af den foreslåede bestemmelse i § 4, stk. 2, ikke vil kunne varetages af samme person.
Det følger af den foreslåede § 6, stk. 2, nr. 5, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om politikker for informationssystemsikkerhed.
Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere dele af NIS 2-direktivets artikel 21, stk. 2, litra a, hvorefter vigtige og væsentlige enheder skal have politikker for informationssystemsikkerhed.
Det forventes på baggrund af den foreslåede bestemmelse, at der vil blive fastsat nærmere regler om, at virksomheder omfattet af loven, som del af deres organisatoriske modstandsdygtighed, skal udarbejde en informationssystemsikkerhedspolitik, der sætter en overordnet ramme for beskyttelse af virksomhedens informationer, herunder hvordan virksomheden selv forholder sig til relevante aktiviteter for beskyttelse af anvendte net- og informationssystemer.
Det følger af den foreslåede § 6, stk. 2, nr. 6, at klima-, energi- og forsyningsministeren efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætter nærmere regler om politikker for og udarbejdelse af risiko- og sårbarhedsvurderinger, som omfatter nyindkøb, projekter og etablering af net- og informationssystemer og anlæg.
Bemyndigelsen forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere dele af NIS 2-direktivets artikel 21, stk. 2, litra a, hvorefter vigtige og væsentlige enheder skal have politikker for risikoanalyse. Reglerne forventes endvidere at implementere CER-direktivets artikel 12, stk. 1-2, hvorefter kritiske enheder foretager en risikovurdering for at vurdere alle relevante risici, der kunne forstyrre leveringen af deres væsentlige tjenester.
Bemyndigelsen forventes herudover udmøntet ved regler, der vil implementere artikel 21, stk. 2, litra e, i NIS 2-direktivet om sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer. Bemyndigelsen går videre end implementering af direktivet, idet ministeren, efter den foreslåede § 6, stk. 2, nr. 6, vil have mulighed for at fastsætte regler om både cybersikkerhed og fysisk sikring i forbindelse med indkøb, projekter og nyetableringer. Bestemmelsen giver desuden ministeren bemyndigelse til at fastsætte regler om, at virksomheder skal foretage risiko- og sårbarhedsvurderinger i forbindelse med indkøb, projekter og nyetableringer.
På baggrund af bestemmelsen forventes det endvidere, at der vil blive fastsat nærmere regler om, at virksomheden skal udarbejde risiko- og sårbarhedsvurderinger, som identificerer og vurderer risici og sårbarheder i forhold til virksomhedens kontinuitet.
Det forventes endvidere, at der fastsættes nærmere regler om, at risiko- og sårbarhedsvurderingerne og handlingsplanerne skal gennemgås med fast interval eller når nye risici, trusler eller sårbarheder erkendes samt ved væsentlige ændringer af virksomhedens organisation, kritiske systemer eller infrastruktur eller ved ændringer i trusselsbilledet. Det foreslås samtidig, at vurderingen af cybersikkerhedsrisici, organisatoriske risici og fysiske risici kobles sammen, ved at virksomhedernes opdateringer af deres risiko- og sårbarhedsvurderinger af henholdsvis virksomhedens cybersikkerhed og fysiske sikring følger samme kadence for udarbejdelse og indsendelse til Energistyrelsen.
Den forventede udmøntning af bestemmelsen vil i vidt omfang videreføre gældende ret for udarbejdelse af risiko- og sårbarhedsvurdering efter elberedskabsbekendtgørelsen, naturgasberedskabsbekendtgørelsen, olieberedskabsbekendtgørelsen og it-beredskabsbekendtgørelsen. Det forventes således, at der vil blive fastsat nærmere regler om, at virksomhederne vil skulle udarbejde en vurdering af virksomhedens risici og sårbarheder på baggrund af risiko- og sårbarhedsscenarier, som Energistyrelsen udarbejder.
Der forventes endvidere fastsat nærmere regler om, at virksomhederne, som led i udarbejdelsen af risiko- og sårbarhedsvurderinger, skal udarbejde en politik og have en proces for risikostyring, der skal identificere og vurdere de væsentligste risici for virksomhedens organisation, kritiske net- og informationssystemer og infrastruktur med henblik på opretholdelsen af leveringen af deres tjeneste.
Endeligt forventes der i henhold til bestemmelsen udstedt nærmere regler om, at virksomhedernes processer for risikostyring skal forholde sig til de væsentligste trusler og sårbarheder og forankres i organisationen, således at virksomhedsledelsen forholder sig til både processerne for risikostyring, de identificerede risici, samt de foranstaltninger til styring af risici, som virksomheden iværksætter på baggrund heraf.
Det følger af den foreslåede § 6, stk. 2, nr. 7, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem virksomheden og dens direkte leverandører eller tjenesteudbydere.
Bemyndigelsen forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere NIS 2-direktivets artikel 21, stk. 2, litra d, hvorefter væsentlige og vigtige enheder træffer foranstaltninger for forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere. Den foreslåede bestemmelse vil desuden danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau kan ske implementering af NIS 2-direktivets artikel 21, stk. 3, hvorefter væsentlige og vigtige enheder tager hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder.
På baggrund af den foreslåede bestemmelse vil der blive fastsat nærmere regler om, at virksomhederne skal etablere den nødvendige leverandørstyring, herunder at virksomhederne skal iværksætte sikkerhedsrelaterede foranstaltninger til styring af risici i virksomhedens leverandørkæder.
Den foreslåede bestemmelse indebærer, at der kan fastsættes nærmere regler om, at virksomhederne skal sikre, at leverandører, der varetager opgaver i relation til anlæg, komponenter og net- og informationssystemer med betydning for leveringen af tjenesten, overholder samme krav for opretholdelse af virksomhedens modstandsdygtighed, som virksomheden er underlagt efter den foreslåede lov. Det følger heraf, at der kan fastsættes regler om, at virksomhederne skal have politikker og procedurer for kontrol af, at leverandørerne efterlever kravene og opretholder det nødvendige sikkerhedsniveau i forbindelse med udførelsen af opgaven.
Som følge af bestemmelsen vil ministeren fastsætte nærmere regler om, at virksomhederne skal vurdere og håndtere de risici, der er forbundet med indgåelse af leverandøraftaler. Dette vil blandt andet indebære, at virksomhederne inden indgåelse af en aftale, løbende skal tage stilling til sikkerhedsrisici forbundet med kritikaliteten af opgaven eller leverancen, hvorvidt der sker væsentlige forandringer hos leverandøren, der kan påvirke leverancen, leverandørernes villighed til at efterleve kravene i den foreslåede lov og det aktuelle trusselsbillede.
Det foreslås derudover, at ministeren, efter bestemmelsen, vil kunne fastsætte nærmere regler om, at leverandører, som varetager opgaver i relation til anlæg, komponenter og net- og informationssystemer eller leverandører af net- og informationssystemer, med betydning for leveringen af tjenesten, deltager i relevante dele af virksomhedens beredskabsplanlægning. Herefter vil ministeren bl.a. kunne fastsætte nærmere regler om, at leverandørerne vil skulle deltage i virksomhedens arbejde med risiko- og sårbarhedsvurderinger samt øvelser, der træner de dele af beredskabet, hvor leverandørerne har betydning for opretholdelse af leveringen af virksomhedens tjenester.
Det følger af den foreslåede § 6, stk. 2, nr. 8, at klima-, energi- og forsyningsministeren efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætter nærmere regler om beredskabsplaner og beredskabsplanlægning for håndtering af hændelser.
Formålet med bestemmelsen er at bemyndige klima-, energi- og forsyningsministeren til at fastsætte nærmere regler for beredskabsplaner og beredskabsplanlægning til brug for operativ vejledning, når en hændelse bliver varslet eller opstår. I det omfang, der udarbejdes lignende materiale som eksempelvis en beredskabsplan efter risikoreguleringen, er det hensigten, at relevante dele heraf vil kunne genanvendes til opfyldelse af de relevante beredskabskrav.
Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere dele af CER-direktivets artikel 13, stk. 2, hvorefter medlemsstaterne sikrer, at kritiske enheder har indført og anvender en plan for modstandsdygtighed eller et eller flere tilsvarende dokumenter. Derudover vil den forventede udmøntning implementere elementer af NIS 2-direktivets artikel 21, stk. 2, litra b og c, hvorefter vigtige og væsentlige enheder skal træffe foranstaltninger, der omfatter håndtering af hændelser, driftskontinuitet og krisestyring.
Det forventes, at der efter bestemmelsen vil blive fastsat nærmere regler om, at beredskabsplanerne bl.a. skal beskrive virksomhedens krisehåndtering, hvordan virksomhedens krisehåndteringsorganisation aktiveres, etableres og driftes, og hvordan der koordineres og udsendes information internt og eksternt i virksomheden. Desuden forventes det, at der vil blive fastsat regler, hvorefter virksomhederne skal have metoder til at sikre, at virksomhederne overholder deres underretnings- og rapporteringsforpligtelser i forbindelse med en hændelse.
Det foreslås i § 6 stk. 2, nr. 9, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om øvelsesplanlægning, herunder afholdelse af øvelser og træning af beredskabsforanstaltninger.
Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere CER-direktivets artikel 13, stk. 1, litra f, hvorefter medlemsstaterne sikrer, at kritiske enheder øger bevidstheden blandt det relevante personale under hensyntagen til øvelser.
NIS 2-direktivet stiller ikke krav om, at vigtige og væsentlige enheder afholder øvelser. NIS 2-direktivets artikel 21, stk. 2, litra c, beskriver i stedet at der skal stilles krav om tests af enheders planer for driftskontinuitet med henblik på at sikre deres effektivitet. Klima-, Energi- og Forsyningsministeriet vurderer, at øvelser og øvelsesplanlægning efter den foreslåede bestemmelse dækker over begrebet test i NIS 2-direktivet, hvorfor artikel 21, stk. 2, litra c, også kan implementeres i forbindelse med udstedelsen af de nærmere regler efter den foreslåede bestemmelse.
På baggrund af bestemmelsen forventes det, at der vil blive fastsat nærmere regler om, at virksomhederne skal udarbejde en øvelsesplan og afholde øvelser efter nærmere fastsatte kadencer med udgangspunkt i virksomhedens beredskabsplaner. Det forventes endvidere, at der fastsættes nærmere regler om revidering af øvelsesplanen, eksempelvis mindst én gang om året og i forbindelse med særlige sårbarheder eller væsentlige ændringer i virksomhedens beredskab. Der forventes også fastsat nærmere regler om, at en evaluering af en hændelse kan godkendes som en øvelse på øvelsesplanen, hvis hændelsen har afprøvet konkrete forhold i virksomhedens beredskab og vurderes at have samme værdi som en øvelse.
Det forventes endelig, at der vil blive fastsat nærmere regler om at virksomheden løbende skal sikre, at medarbejdere modtager den fornødne instruktion og uddannelse i beredskab, herunder cybersikkerhed, samt at der stilles krav om, at virksomheden gennemfører awareness-tiltag om cybersikkerhed efter en nærmere fastsat kadence.
Udmøntningen af den foreslåede bemyndigelse forventes at videreføre gældende ret for øvelsesplanlægning, herunder afholdelse af øvelser og træning af beredskabsforanstaltninger, der gælder for virksomheder i el, gas og oliesektoren. Dog forventes det som noget nyt, at der vil blive fastsat nærmere regler om indholdet i øvelsesplanerne, herunder elementer i beredskabet som skal øves, eksempelvis krisestyring, mobilisering af ekstra ressourcer og materialer, henholdsvis intern og ekstern kommunikation, genopretning af forsyning eller sikring af fortsat drift og iværksættelse af foranstaltninger i henhold til nyt sektorberedskabsniveau.
Det følger af den foreslåede § 6, stk. 2, nr. 10, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om beredskabstræning, cybersikkerhedsadfærd- og sikkerhedsuddannelse af ansatte i virksomheden.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering af CER-direktivets artikel 13, stk. 1, litra f, hvorefter medlemsstaterne sikrer, at kritiske enheder øger bevidstheden blandt det relevante personale under hensyntagen til bl.a. uddannelseskurser og informationsmateriale.
Den foreslåede bestemmelse vil desuden danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering NIS 2-direktivets artikel 20, stk. 2, hvorefter ledelsen i vigtige og væsentlige enheder skal tilskynde deres ansatte at følge kurser, således at de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici. Bestemmelse vil endvidere danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering af NIS 2-direktivets artikel 21, stk. 2, litra g, hvorefter vigtige og væsentlige enheder træffer foranstaltninger om grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse. Det forventes, at der vil fastsættes nærmere regler, hvorefter virksomhederne stilles krav om at øge sikkerhedsbevidstheden hos medarbejderne. Den foreslåede bestemmelse vil medføre, at de medarbejdere, der deltager i virksomhedens arbejde med beredskabsplanlægning, fysisk sikring og sikkerheden i net- og informationssystemer, skal have tilstrækkelige færdigheder samt viden til at kunne varetage deres opgaver.
Det forventes herudover, at der vil blive fastsat nærmere regler om, at medarbejdere skal have kompetence til at agere sikkerhedsmæssigt forsvarligt i de opgaver, der skal udføres jf. § 6, stk. 2, nr. 1. Den gældende regulering af el- og gassektorerne, som stiller krav om at virksomhederne gennemfører awareness-tiltag om it-sikkerhed, forventes udvidet med krav om, at disse tiltag kan omfatte både cybersikkerhed fx sikker konfigurering af- og test af it-udstyr, netværk og infrastruktur, cloud-løsninger eller identitets- og adgangsstyring, såvel som årvågenhed i forhold til fx spionage, uautoriseret adgang, utilsigtet informationsdeling og andre forhold, der kan kompromittere forsyningssikkerheden. De pågældende tiltag skal baseres på medarbejderens funktion i virksomheden. Den foreslåede ordning vil sikre, at også medarbejdere med adgang til og på kritiske anlæg og lokationer, herunder daglig stationsadgang, sikres tilstrækkelig viden og sikkerhedsbevidsthed.
Ved udmøntningen af bemyndigelsesbestemmelsen forventes det, at der eksempelvis vil blive fastsat krav om, at medarbejdere i relevant omfang skal følge uddannelsesforløb, samt at virksomheden skal gennemføre awareness-tiltag om fysisk sikring, cybersikkerhed og beredskab, der øger den organisatoriske modstandsdygtighed på tværs af virksomheden.
Det følger af den foreslåede § 6, stk. 2, nr. 11, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om kapacitet til at modtage og videreformidle advarsler om trusler.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering dele af NIS 2-direktivets artikel 21, stk. 2, litra e, hvorefter væsentlige og vigtige enheder træffer foranstaltninger til håndtering og offentliggørelse af sårbarheder.
På den baggrund forventes der eksempelvis fastsat nærmere regler om, at virksomheden skal indrette cyberberedskabet på en måde, der sikrer operationel koordinering af varsler og alarmer på tværs af virksomhedens forretningsområder og aktiver. Det forventes blandt andet at indbefatte krav om, at virksomheden skal have metoder til at identificere sårbarheder, samt at virksomheden skal organisere et beredskab med evne til at modtage og videreformidle advarsler om trusler og sårbarheder, der potentielt kan påvirke virksomhedens evne til at levere deres tjeneste.
Ligeledes foreslås det på baggrund af bemyndigelsesbestemmelsen, at der vil blive fastsat regler om, at virksomheden både vil kunne modtage varsler fra samarbejdspartnere, operatører eller øvrige aktører og videreformidle sådanne data og information, som en mitigerende foranstaltning for tjenesten, samt videregive oplysninger til klima-, energi- og forsyningsministeren, andre myndigheder og relevante samarbejdspartnere, såsom leverandører og kunder uden unødig forsinkelse.
Det følger af den foreslåede § 6, stk. 2, nr. 12, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om tilmelding til en it-sikkerhedstjeneste.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan implementeres dele af NIS 2-direktivets artikel 21, stk. 2, litra e, hvorefter væsentlige og vigtige enheder træffer foranstaltninger til sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder foranstaltninger til håndtering og offentliggørelse af sårbarheder. Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering den foreslåede bestemmelse NIS 2-direktivets artikel 21, stk. 2, litra c, hvorefter væsentlige og vigtige enheder træffer foranstaltninger til bl.a. reetablering og krisestyring. Den foreslåede bestemmelse går videre end NIS 2-direktivet, idet der direkte stilles krav om, at virksomhederne skal tilmeldes en it-sikkerhedstjeneste.
Det forventes på baggrund af den foreslåede bestemmelse, at der vil blive fastsat nærmere regler om, at virksomheder i energisektoren indgår aftale om at være tilmeldt en it-sikkerhedstjeneste. Virksomheden vil herefter skulle være tilmeldt en it-sikkerhedstjeneste, der yder vejledning om vurdering og mitigering af sårbarheder. It-sikkerhedstjenesten vil endvidere skulle give informationer og varsle om relevante it-sikkerhedstrusler. Supplerende til eksisterende krav foreslås det, at virksomhedens proaktive indsats skal omfatte viden om trusler baseret på globale informationer fra anerkendte kilder, såsom abonnementer på cyber-trusselsfeed, der er leveret af globale aktører inden for cybersikkerhed. Den foreslåede bemyndigelsesbestemmelse vil også medføre, at der skal fastsættes regler om, at virksomheden skal være tilmeldt en reaktiv it-sikkerhedstjeneste, der bistår virksomheden ved nedbrud eller angreb på it-systemer, herunder assistance til akut skadesbegrænsning, bevisindsamling og reetablering i akutte sikkerhedsmæssige situationer. Information fra it-sikkerhedstjenesten skal kunne videreformidles til andre virksomheder i energisektoren uden forsinkelse, såfremt disse oplysninger vurderes at have betydning for leveringen af andre virksomheders tjenester.
Det følger af elforsyningslovens § 85 b, at visse virksomheder med bevilling eller tilladelse til produktion eller distribution af elektricitet skal have et klassisk beredskab. Det samme gælder for Energinet og dennes helejede datterselskaber.
Efter elforsyningslovens § 85 b, stk. 4, kan klima-, energi- og forsyningsministeren fastsætte regler om udførelse af tilsyn med virksomhedernes beredskabsarbejde, herunder om virksomhedernes fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virksomhederne og om klageadgang. De nærmere regler er gennemført i elberedskabsbekendtgørelsen.
Det følger af gasforsyningslovens § 15 a, at virksomheder som er bevillingspligtige efter gasforsyningslovens § 10, samt Energinet og dennes helejede datterselskaber, som foretager gasforsyningsvirksomhed, skal have et klassisk beredskab.
Efter gasforsyningslovens § 15, a, stk. 4, kan klima-, energi- og forsyningsministeren fastsætte regler om udførelse af tilsyn med virksomhedernes beredskabsarbejde, herunder om virksomhedernes fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virksomhederne og om klageadgang. De nærmere regler er gennemført i naturgasberedskabsbekendtgørelsen.
Efter elberedskabsbekendtgørelsen og naturgasbekendtgørelsen skal virksomhederne udarbejde sikringsplaner, som omfatter kortmateriale, oversigt over anlægs sårbarheder, m.v., jf. bekendtgørelsernes § 12, stk. 1. Virksomhederne skal desuden sikre, at anlæg har lav sårbarhed over for funktionssvigt af offentligt udbudte net og tjenester for elektronisk kommunikation, at anlæg har lav sårbarhed over for funktionssvigt af væsentlige it-systemer, og at anlæg har nødstrømsforsyning, som i tilfælde af strømafbrydelse sikrer anlæggets funktionalitet i perioden frem til strømforsyningens reetablering, jf. bekendtgørelsernes § 13, stk. 1.
Det gælder desuden, at ubemandede anlæg i klasse 1 skal sikres mod uautoriseret adgang gennem etablering af mekaniske og elektroniske sikrings- og overvågningsforanstaltninger, jf. bekendtgørelsernes § 13, stk. 2. Virksomheder skal desuden etablere et system for styret adgangskontrol til klasse 1 anlæg, jf. bekendtgørelsernes § 13, stk. 3. Der skal regelmæssigt og mindst hver måned føres kontrol med den fysiske sikring af klasse 1 anlæg, hvilket virksomhederne skal føre en log over, jf. bekendtgørelsernes § 13, stk. 4.
Det følger af olieberedskabslovens § 16, stk. 1, at lagringspligtige virksomheder skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre olieforsyningen i beredskabssituationer og andre ekstraordinære situationer. Efter § 16, stk. 3, kan klima-, energi- og forsyningsministeren fastsætte nærmere regler, om beredskabsplanlægningen efter stk. 1.
Ifølge olieberedskabsbekendtgørelsens § 16, stk. 1, skal virksomhederne og den centrale lagerenhed sikre, at forsyningskritiske anlæg beskyttes i forhold til deres kritikalitet. Virksomhederne skal desuden sikre forsyningskritiske anlæg mod uautoriseret adgang, jf. § 16, stk. 2.
Det følger af den foreslåede § 7, stk. 1, at virksomheder omfattet af lovforslaget skal træffe passende foranstaltninger for at opretholde nødvendig fysisk sikring af lokationer og anlæg, der bruges til at levere virksomhedens tjenester, eller hvorfra drift af net- og informationssystemer finder sted.
Med den foreslåede § 7, stk. 1 rammesættes de overordnede krav til virksomhedens fysiske sikring af lokationer og anlæg, der bruges til at levere virksomhedens tjenester, eller hvorfra drift af net- og informationssystemer finder sted. De nærmere krav vil blive fastsat i forbindelse med udmøntningen af det foreslåede § 7, stk. 2.
Bestemmelsen vil videreføre gældende ret, for så vidt angår hvem kravene til fysisk sikring vil finde anvendelse på i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet for kravene, idet kravene efter det foreslåede også vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet af krav til fysisk sikring, vil fx være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.
Det foreslås i § 7, stk. 2, at klima-, energi- og forsyningsministeren bemyndiges til at fastsætte nærmere regler om fysisk sikring.
Bemyndigelsen forventes udmøntet i en bekendtgørelse, der blandt andet fastsætter nærmere regler for de i nr. 1 – 5 nævnte elementer af fysisk sikring, som beskrevet nedenfor.
Kravene i de regler, der fastsættes i medfør af den foreslåede bestemmelse, kan differentieres i intensitet ift. virksomhedernes niveauinddeling og klassificeringen af virksomhedernes systemer og anlæg, jf. de regler der udstedets i medfør af lovens foreslåede § 4, stk. 2. Differentieringen vil således ske ud fra en betragtning om, at en forstyrrelse af særlig kritiske virksomheders tjenester vil have større betydning for samfundet samt ud fra en betragtning om, at der bør være proportionalitet mellem sikkerhedseffekter og omkostninger forbundet med de konkrete krav.
Ved udmøntningen af bemyndigelsesbestemmelsen forventes det endvidere, at der vil ske en differentiering af, hvilke virksomheder der skal efterleve de nærmere fastsatte krav, så de mere kritiske virksomheder skal følge flere elementer af kravene.
Klima-, energi- og forsyningsministeren skal fastsætte regler om de nr. 1-5 oplistede emner. Reglerne kan indenfor hvert emne tilpasses, når det måtte være nødvendigt pga. udvikling i trusselsbilledet mod energisektoren og når det vurderes nødvendigt for at imødegå den teknologiske udvikling i energisektoren og cybersikkerheden.
Det foreslås i § 7 stk. 2, nr. 1, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om fysisk sikring efter stk. 1, herunder om forhindring af, at hændelser indtræffer under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau vil ske implementering af CER-direktivets artikel 13, stk. 1, litra a, hvorefter medlemsstaterne sikrer, at kritiske enheder forhindrer hændelser i at indtræffe under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger.
Ved udmøntningen af bemyndigelsesbestemmelsen forventes det, at der vil blive fastsat regler om, at virksomhederne skal identificere deres kritiske anlæg og net- og informationssystemer. Det forventes endvidere, at der med bemyndigelsen vil blive fastsat krav til virksomhedernes overblik over sårbarheder i forhold til naturkatastrofer og ekstreme vejrforhold, herunder at virksomhederne løbende forholder sig til risici, der er forbundet med at intensiteten og hyppigheden af ekstreme vejrforhold stiger i takt med klimaforandringerne. Det forventes således, at der med bemyndigelsen vil blive fastsat regler, hvorefter virksomhederne skal iværksætte foranstaltninger, der tager højde for vurderingen af de risici, der er forbundet med naturkatastrofer og ekstreme vejrforhold, og som minimerer risikoen for, at disse hændelser kan forstyrre leveringen af tjenesten. Det forventes endvidere, at der med bemyndigelsen vil blive fastsat regler, hvorefter virksomhederne skal tage højde for klimatilpasningsforanstaltninger i beslutninger vedrørende hvor og hvordan anlæg og net- og informationssystemer etableres og driftes. Ligeledes foreslås på baggrund af bemyndigelsesbestemmelsen, at der vil blive fastsat regler om at beredskabsplanlægningen i relevant omfang skal vurdere muligheder for genopretning af leveringen af tjenesten i tilfælde af større katastrofer og ekstreme vejrforhold.
Ifølge den foreslåede § 7, stk. 2, nr. 2, fastsætter klima-, energi- og forsyningsministeren nærmere regler om fysisk sikring efter stk. 1, herunder om etablering af foranstaltninger til overvågning, detektion og reaktion i forbindelse med uautoriseret adgang til og på anlæg og lokationer.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af CER-direktivets artikel 13, stk. 1, litra b, hvorefter kritiske enheder træffer foranstaltninger til fysisk beskyttelse af deres lokaler og kritiske infrastruktur under hensyntagen til værktøjer og rutiner til overvågning af perimetre, detektionsudstyr og adgangskontrol. Den foreslåede bestemmelse går videre end CER-direktivet, idet der på bekendtgørelsesniveau vil blive stillet krav om, at virksomhederne desuden skal etablere overvågning, der kan opdage uautoriseret adgang til net- og informationssystemer med betydning for leveringen af tjenesten.
Efter bestemmelsen vil der blandt andet blive fastsat nærmere regler om, at virksomheden skal træffe passende tekniske foranstaltninger og konfigurationer, der sikrer monitorering og detektion af uautoriseret adgang til net- og informationssystemer. Det forventes på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler om, at virksomheden skal sikre koordination af sikkerhedsniveauet for tekniske og elektroniske foranstaltninger med fysiske og organisatoriske sikringsforanstaltninger. Det forventes, at ministeren også vil fastsætte nærmere regler om brug af videoovervågning, herunder om elektronisk og fysisk sikring af net- og informationssystemer, der benyttes til videoovervågning, der har betydning for leveringen af tjenesten.
Ligeledes forventes det, at der vil blive fastsat regler, hvorefter virksomhedernes skal være i stand til at detektere, verificere og alarmere i tilfælde af utilsigtede hændelser såsom brand, naturkatastrofer og ekstreme vejrforhold.
De nærmere regler om etablering af foranstaltninger til overvågning, detektion og reaktion i forbindelse med uautoriseret adgang til og på anlæg og lokationer forventes endvidere at indeholde krav om, at uautoriseret adgang kan opdages i realtid, og at virksomhederne skal have fastlagt procedurer for, hvordan der reageres på forsøg på uautoriseret adgang til og på lokationer og anlæg med betydning for leveringen af tjenesten. I denne sammenhæng kan den nødvendige overvågning og detektion fx omfatte en kombinationen af kamera, sensorer, alarmer, hegn, vagtordninger eller lignende foranstaltninger. Det forventes på baggrund af bestemmelsen, at der vil blive fastsat regler om reaktionstid.
Det forventes endvidere, at der på baggrund af bestemmelsen, vil blive fastsat nærmere regler om, at virksomheden skal træffe passende tekniske foranstaltninger og konfigurationer, der sikrer monitorering og detektion af uautoriseret adgang til net- og informationssystemer. Ved udmøntningen af bestemmelsen vil der herefter blive stillet krav om, at uautoriseret adgang til anlæg eller komponenter med netværksadgang skal kunne opdages i realtid. Det forventes herudover, at der vil blive fastsat nærmere regler om, at virksomheden skal sikre koordination af sikkerhedsniveauet for tekniske og elektroniske foranstaltninger med fysiske og organisatoriske sikringsforanstaltninger. Det forventes endeligt, at der vil blive fastsat nærmere regler om brug af fx videoovervågning, herunder om elektronisk og fysisk sikring af net- og informationssystemer, der benyttes til videoovervågning, der har betydning for leveringen af tjenesten.
Det foreslås i § 7 stk. 2, nr. 3, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om fysisk sikring efter stk. 1, herunder om tilstrækkelig fysisk sikring af virksomhedens anlæg og lokationer, herunder kontrolrum og kontrolrummets arbejdsstationer.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af af CER-direktivets artikel 13, stk. 1, litra b, hvorefter kritiske enheder sikrer tilstrækkelig fysisk beskyttelse af deres lokaler og kritiske infrastruktur under behørig hensyntagen til fx hegn, barrierer, værktøjer og rutiner til overvågning af perimetre.
På baggrund af bestemmelsen forventes der fastsat nærmere regler om, at tilstrækkelig fysiske sikring vil skulle etableres, uanset om der er tale om anlæg, der allerede er i drift, er projekterede eller er under etablering. Fysisk sikring vil efter bestemmelsen skulle forstås som perimeter-, skal- og cellesikring. Det forventes således, at der vil blive nærmere regler om krav til sikring af de ydre grænser rundt om anlægget, sikring af anlægget, herunder anlæggets bygninger og ydre mure, og sikring af udvalgte rum eller komponenter. Ved udmøntningen af bemyndigelsesbestemmelsen vil der blive fastsat krav til sammenhæng mellem virksomhedernes fysiske sikring af anlæg og lokationer og de krav til overvågnings- og detektionsforanstaltninger, der vil blive fastsat ved udmøntningen af lovforslagets § 7 stk. 2, nr. 2.
Efter bestemmelsen, vil klima-, energi- og forsyningsministeren endvidere skulle fastsætte nærmere regler om, at anlæg og komponenter med netværksadgang til net- og informationssystemer, der har betydning for leveringen af tjenesten, skal have tilstrækkelig fysisk sikring. Der vil blive fastsat regler på baggrund af bestemmelsen, hvorefter virksomhederne skal sikre, at der er tilstrækkelig afskærmning af anlæg, lokationer og komponenter for visuel eksponering, således at uvedkommende ikke kan få adgang til eller indblik i informationer, der har betydning for leveringen af virksomhedens tjenester.
Den foreslåede bestemmelse gælder anlæg, lokationer og komponenter, der er i drift såvel som anlæg, lokationer og komponenter, der er projekterede eller er under etablering. Der vil blive fastsat regler på baggrund af bestemmelsen, hvorefter virksomhederne skal sikre, at deres anlæg og net- og informationssystemer ikke kompromitteres inden de er idriftsat og dermed har indbyggede sårbarheder. Således vil den forventede udmøntning af bestemmelsen indeholdekrav om, at virksomhederne allerede under projekteringen vil skulle forholde sig til fysiske sikkerhedsrisici og cybersikkerhedsrisici og mitigere disse i relevant omfang. Det forventes herudover, at der vil blive fastsat nærmere regler om, at virksomhederne skal have tilstrækkelig fysisk sikring samt overvågnings- og detektionsforanstaltninger ved og omkring de anlæg og lokationer, der benyttes ved en relokering af kontrolrum eller serverrum.
Det foreslås i § 7, stk. 2, nr. 4, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om fysisk sikring efter stk. 1, herunder om håndtering af hændelser og genopretning efter hændelser.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af CER-direktivets artikel 13, stk. 1, litra c, hvorefter kritiske enheder skal være i stand til at reagere på, modstå og afbøde følgerne af hændelser under behørig hensyntagen til gennemførelsen af risiko- og krisestyringsprocedurer og -protokoller samt varslingsrutiner. Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau kan ske implementering af CER-direktivets artikel 13, stk. 1, litra d, hvorefter kritiske enheder skal træffe foranstaltninger, der sikrer genopretning efter hændelser under behørig hensyntagen til forretningskontinuitetsforanstaltninger og identifikation af alternative forsyningskæder.
På baggrund af bemyndigelsesbestemmelsen forventes der fastsat nærmere regler om virksomhedernes hændelseshåndtering. Eksempelvis vil reglerne indeholde krav til planer og procedurer for, hvordan virksomhederne håndterer en hændelse. Endvidere vil reglerne indeholde krav til virksomhedernes planer for, hvordan de forebygger hændelser, hvordan de opdager, analyserer og varsler hændelser, og hvordan de inddæmmer eller reagerer på og reetablerer sig efter en hændelse. Et yderligere eksempel på krav der vil skulle fastsættes efter den foreslåede bestemmelse, er krav om at virksomhederne skal have procedurer, der sikrer integriteten og den fysiske beskyttelse af virksomhedens anlæg i tilfælde af både tilsigtede og utilsigtede hændelser med henblik på, at leveringen af tjenesten videreføres.
Ved udmøntningen af den foreslåede bestemmelse vil der endvidere blive fastsat regler, hvorefter virksomhederne skal have etableret procedurer og foranstaltninger, der sikrer at virksomhederne hurtigst muligt kan genoprette leveringen af tjenesten i tilfælde af, at en hændelse har haft forstyrrende indvirkning. Det forventes endvidere, at der vil fastsættes krav om, at virksomhedernes procedurer for genopretning skal bygge på virksomhedernes egen identifikation af kritiske anlæg og komponenter og deres fysiske sårbarheder. På baggrund af bestemmelsen forventes det således, at der vil blive fastsat nærmere regler om, at virksomhederne skal have overblik over tilgængeligheden af reservedele og identificere alternative forsyningskæder, der kan sikre, at leveringen af tjenesten genoprettes.
Det foreslås i § 7 stk. 2, nr. 5, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om fysisk sikring efter stk. 1, herunder om medarbejdersikkerhedsstyring.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af CER-direktivets artikel 13, stk. 1, litra c, hvor efter passende medarbejdersikkerhedsstyring skal sikres under behørig hensyntagen til foranstaltninger såsom fastsættelse af kategorier af personale, der udøver kritiske funktioner, fastlæggelse af adgangsrettigheder til lokaler, kritisk infrastruktur og følsomme oplysninger og fastsættelse af procedurer for baggrundskontrol.
På baggrund af bestemmelsen vil der blive fastsat regler med krav til virksomhedernes politikker og systemer for styret adgangskontrol, der vil forpligte virksomhederne til at tage stilling til, hvilke medarbejdere, herunder eksterne, der vil have adgang til hvilke dele af anlægget samt hvilke medarbejdere, herunder eksterne, der vil have fysisk adgang til net- og informationssystemer. Endvidere forventes reglerne at indeholde krav om logning af denne adgang, samt om løbende kontrol med, at adgangskontrollen virker efter hensigten. Med den foreslåede bestemmelse vil der endvidere blive fastsat regler, hvorefter virksomhederne skal sikre sammenhæng mellem medarbejderstyringen efter denne bestemmelse og bestemmelsen om autentificering og adgangsbeskyttelse af net- og informationssystemer, jf. den foreslåede § 8 stk. 2, nr. 9.
Det følger af elforsyningslovens § 85 c, at visse virksomheder med bevilling eller tilladelse til produktion af el skal have et it-beredskab. Det samme gælder for Energinet og dennes helejede datterselskaber, samt virksomheder der yder balancering af elsystemet.
It-beredskabsbekendtgørelsen stiller blandt andet krav til virksomhedernes it-beredskabsplanlægning, jf. § 14. Virksomhederne skal således identificere forsyningskritiske it-systemer samt afhængigheden af andre systemer, beskrive forebyggende foranstaltninger til at imødegå utilsigtede it-hændelser, herunder muligheden for segmentering af it-infrastruktur og alternative driftsformer. Virksomheder, der anvender fjernadgang til forsyningskritisk it, skal have en plan for, hvordan angreb på disse systemer opdages og håndteres. Derudover skal bl.a. den interne ansvarsplacering under krisestyring, ansvaret for systemansvar for forsyningskritiske it-systemer, kommunikation med Energinet eller Energistyrelsen og virksomhedens it-sikkerhedstjeneste beskrives. Planerne skal endvidere beskrive procedurer for alternativ drift, genopretning af forsyningskritiske it-systemer, planer for dokumentation og opfølgning på hændelser samt beskrivelse af den operative ansvarsdeling mellem virksomheden og dens samarbejdsparter. It-beredskabsplanerne skal herudover være en del af virksomhedens samlede beredskabsplanlægning.
Ifølge it-beredskabsbekendtgørelsens § 23, stk. 1, skal virksomhederne sikre, at den fysiske opbevaring af forsyningskritiske it-systemer beskyttes i forhold til deres kritikalitet for forsyningen på nationalalt, regionalt eller lokalt niveau. Virksomhederne skal desuden sikre forsyningskritiske systemer mod uautoriseret adgang, jf. § 23, skt. 1.
Det følger af it-beredskabsbekendtgørelsens § 25, at virksomhederne skal være tilmeldt en proaktiv it-sikkerhedstjeneste, der yder vejledning og mitigering af sårbarheder samt giver informationer og varsler om it-sikkerhedstrusler. Derudover skal de mest forsyningskritiske virksomheder være tilmeldt en reaktiv it-sikkerhedstjeneste, der bistår virksomheden ved nedbrud eller angreb på it-systemer. Hertil kommer at virksomhederne skal sikre, at oplysninger, der har sikkerhedsmæssig betydning for andre virksomheder i energisektoren, kan viderebringes til disse, samt at oplysninger, der tilvejebringes gennem en it-sikkerhedstjeneste, skal kunne videreformidles til andre virksomheder.
Det følger af olieberedskabslovens § 16, stk. 1, at lagringspligtige virksomheder skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre olieforsyningen i beredskabssituationer og andre ekstraordinære situationer. Efter § 16, stk. 3, kan klima-, energi- og forsyningsministeren fastsætte nærmere regler om beredskabsplanlægningen efter stk. 1.
Ifølge olieberedskabsbekendtgørelsens § 16, stk. 1, skal virksomhederne og den centrale lagerenhed sikre, at forsyningskritiske it-systemer beskyttes i forhold til deres kritikalitet. Virksomhederne skal desuden sikre forsyningskritiske it-systemer mod uautoriseret adgang, jf. § 16, skt. 2.
Det følger af den foreslåede § 8, stk. 1, at virksomheder omfattet lovforslaget skal foretage nødvendig planlægning og træffe passende cybersikkerhedsforanstaltninger for at sikre beskyttelsen af net- og informationssystemer, der bruges til at levere virksomhedens tjenester.
Med den foreslåede bestemmelse rammesættes de overordnede krav til virksomhedens cybersikkerhed herunder cyberberedskabsforanstaltninger. De nærmere krav vil blive fastsat i forbindelse med udmøntningen af det foreslåede § 8, stk. 2.
Bestemmelsen vil videreføre gældende ret for så vidt angår hvem kravene til cybersikkerhed vil finde anvendelse på i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet for kravene, idet kravene efter det foreslåede også vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet af krav til cybersikkerhed, vil fx være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder og virksomheder, der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.
Det foreslås i § 8, stk. 2, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om cybersikkerhedsforanstaltninger efter stk. 1. Bemyndigelsen forventes udmøntet i en bekendtgørelse, hvor der vil blive fastsat nærmere regler for de i nr. 1-11 nævnte elementer af cybersikkerhed og cyberberedskab, som beskrevet nedenfor.
Kravene i de regler, der fastsættes i medfør af den foreslåede bestemmelse, kan differentieres i intensitet ift. virksomhedernes niveauinddeling og klassificeringen af virksomhedernes systemer og anlæg jf. de regler der udstedets i medfør af lovens foreslåede § 4, stk. 2. Differentieringen vil således ske ud fra en betragtning om, at en forstyrrelse af særlig kritiske virksomheders tjenester vil have større betydning for samfundet samt ud fra en betragtning om, at der bør være proportionalitet mellem sikkerhedseffekter og omkostninger forbundet med de konkrete krav.
Ved udmøntningen af bemyndigelsesbestemmelsen forventes det, at der vil ske en differentiering af, hvilke virksomheder der skal efterleve de nærmere fastsatte krav, så de mere kritiske virksomheder skal følge flere elementer af kravene.
Klima-, energi- og forsyningsministeren skal fastsætte regler om de stk. 2, nr. 1-11 oplistede emner. Reglerne kan indenfor hvert emne tilpasses, når det måtte være nødvendigt pga. udvikling i trusselsbilledet mod energisektoren og når det vurderes nødvendigt for at imødegå den teknologiske udvikling i energisektoren og cybersikkerheden.
Det foreslås i § 8, stk. 2, nr. 1, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om forvaltning af net- og informationssystemer og passende teknisk sikkerhed til beskyttelse af enheder med adgang til virksomhedens netværk.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra i, hvorefter vigtige og væsentlige enheder skal træffe passende foranstaltninger til forvaltning af aktiver.
Det forventes på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler med krav til virksomheders overblik over deres aktiver, der vil medføre forpligtelser til at etablere og ajourføre et samlet overblik over blandt andet deres net- og informationssystemer, anlæg, tilhørende komponenter samt kritiske afhængigheder mellem disse og eventuelle samarbejdspartnere.
Det forventes endvidere, at der vil blive fastsat nærmere regler om, at virksomhederne skal etablere den nødvendige sikring af de identificerede aktiver, samt om at sikkerhedsniveaet opretholdes i hele aktivets levetid fra erhvervelse til dekommissionering gennem blandt andet risikobaseret styring af opdateringer af software.
Endvidere forventes der at blive fastsat regler om, at virksomheder skal have et ajourført overblik over virksomhedens internetvendte enheder, brugerkonti med privilegerede rettigheder og informationsstrømme som understøtter virksomhedernes levering af deres tjenester.
Det foreslås i § 8, stk. 2, nr. 2, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om etablering af netværks- og infrastruktursikkerhed samt principper for netværksarkitektur og -topologi med henblik på at minimere risici for virksomhedens net- og informationssystemer.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af NIS 2-direktivets artikel 21, stk. 2, litra c, hvorefter vigtige og væsentlige enheder træffer passende foranstaltninger for driftskontinuitet. Den foreslåede bestemmelse vil desuden danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering af artikel 21, stk. 2, litra g, som vedrører grundlæggende cyberhygiejnepraksisser. De regler, der forventes udformet i bekendtgørelsen på baggrund af den foreslåede § 8, stk. 2, nr. 2, vil gå videre end NIS 2-direktivet, idet der forventes at blive stillet krav om, at virksomheder skal etablere bl.a. netværkssegmentering.
Det forventes, at der på baggrund af bestemmelsen vil blive fastsat nærmere regler med krav til virksomhedernes procedurer for opbygning af netværksinfrastruktur, der vil muliggøre det nødvendige sikkerhedsniveau i forhold til netværkets kritikalitet for leveringen af tjenesten. Det forventes derudover, at der vil blive fastsat regler med krav om, at virksomhedernes netværksinfrastruktur skal muliggøre effektiv monitorering.
På baggrund af bestemmelsen forventes det endvidere, at der vil blive fastsat regler om, at virksomheder skal etablere passende tekniske foranstaltninger i netværksarkitekturen, med henblik på at netværksinfrastrukturen opdeles i forskellige netværkssegmenter og med zoner mellem netværk. Opdelingen af netværksinfrastrukturen i netværkssegmenter skal særligt yde beskyttelse af virksomhedens industrielle kontrolsystemer. Den foreslåede ordning vil bl.a. skulle sikre, at datakommunikation mellem netværk kan begrænses og kontrolleres. Ligeledes vil der på baggrund af bestemmelsen blive fastsat nærmere regler om segmentering af netværk på en måde, der muliggør relevante sikkerhedstiltag inden for de forskellige segmenter.
Ved udmøntningen af bemyndigelsesbestemmelsen vil der blive fastsat nærmere regler om etablering af fysiske eller logiske undernetværk såsom demilitariserede netværkszoner (DMZ), således at datatrafik fra usikre netværk eller administrative netværk ikke deler udstyr med eller terminerer direkte i netværk med fx industrielle kontrolsystemer. På den baggrund forventes der endvidere fastsat nærmere regler hvorefter netværksarkitekturen skal opbygges på en måde, der sikrer barrierer mellem produktionsmiljøer og øvrige miljøer, herunder, men ikke afgrænset til, test- og udviklingsmiljøer.
Det foreslås i § 8, stk. 2, nr. 3, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om sikkerhedskrav til geografisk placering af drift af net- og informationssystemer.
Formålet med bestemmelsen er, at kritiske systemer af betydning for energiforsyningen vil blive underlagt EU/EØS-jurisdiktion, og at der ikke vil kunne skabes afhængigheder, som kan sætte energiforsyningen under pres, fx i tilfælde af en ændret geopolitisk situation. Bestemmelsen vil således ikke indebære et generelt forbud mod outsourcing af opgaver eller brug af eksempelvis cloud- og AI-tjenester.
Det foreslås på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler om, at outsourcing til leverandører skal ske på baggrund af en risikovurdering, der iagttager væsentlige risici forbundet herved, og inddrager geopolitiske, organisatoriske og fysiske risici samt cybersikkerhedsrisici. Som led heri foreslås det, at virksomhederne bl.a. vil skulle forholde sig til efterretningstjenesternes trusselsvurderinger.
Der forventes bl.a. at blive fastsat nærmere regler med krav om, at anlæg og net- og informationssystemer med betydning for leveringen af tjenesten, herunder behandling af data, vil skulle være placeret i EU/EØS eller i et tredjeland, som EU-Kommissionen har truffet tilstrækkelighedsafgørelse om, jf. artikel 45 i forordning 2016/679/EU (databeskyttelsesforordningen).
Det forventes på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler om, at virksomheders med kontrolrum og nødkontrolrum der er placeret uden for dansk territorium, men bruges til overvågning og drift af dansk energiinfrastruktur omfattet af dette lovforslag, skal have mulighed for, i tilfælde af en hændelse, at relokere til et kontrolrum beliggende på dansk territorium med komplet driftsfunktionalitet.
Der forventes endvidere, at der vil blive fastsat nærmere regler om hvorfra, der kan ydes service og vedligehold til virksomheder omfattet af lovforslaget samt regler om hvorfra, der må kunne opnås fjernadgang til net- og informationssystemer med betydning for leveringen af tjenesten.
Det foreslås i § 8 stk. 2, nr. 4, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra e, hvorefter vigtige og væsentlige enheder træffer passende foranstaltninger til sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer.
Det forventes på baggrund af bestemmelsen, at der blandt andet vil blive fastsat nærmere regler med passende krav om, at virksomheder skal sørge for at opretholde et passende sikkerhedsniveau og sikkerhedsprocedurer i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer. Der vil eksempelvis kunne fastsættes krav, der vil forpligte virksomheder til at etablere relevante sikkerhedsforanstaltninger, i deres net- og informationssystemers fulde levetid, herunder i projektfaser.
Dette vil desuden indebære, at der ville skulle foretages vurderinger af, om der opretholdes det nødvendige sikkerhedsniveau. Ligeledes forventes der fastsat nærmere regler, hvorefter virksomhederne løbende skal vurdere sikkerhedsrisici og iværksætte foranstaltninger til at mitigere risici. Dette gælder fx ved sammenlægning eller opkøb af virksomheder, ved udbud og licitationer, ved indkøb af net- og informationssystemer, ændringer i systemløsninger eller i forbindelse med anlægsprojekter.
Derudover forventes der ved udmøntningen af bestemmelsen fastsat krav om, at virksomheder skal sikre, at sikkerhed er integreret i udviklingsdesignet fra begyndelsen, samt at der sker tilstrækkelig adskillelse mellem net- og informationssystemer, der har betydning for leveringen af tjenesten, og øvrige miljøer såsom udviklings- og testmiljøer. Der vil således blive fastsat nærmere regler om, hvorvidt denne adskillelse af miljøer skal være fysisk eller logisk.
Det foreslås i § 8 stk. 2, nr. 5, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om backup-styring og genopretning af net- og informationssystemer til sikring af driftskontinuitet for leveringen af tjenesten.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra c, hvorefter vigtige og væsentlige enheder træffer passende foranstaltninger om driftskontinuitet såsom backup-styring og reetablering efter en katastrofe. Med bestemmelsen anvendes muligheden efter NIS 2-direktivets artikel 21, stk. 2, litra b, for at stille krav om, at enheder skal etablere logning.
Det forventes på baggrund af bestemmelsen, at der vil blive fastsat regler med krav til virksomhedernes tolerancemål i relation til genopretning og driftskontinuitet for de identificerede net- og informationssystemer. Reglerne vil eksempelvis indeholde krav til virksomhedernes udarbejdelse af tekniske genoprettelsesplaner, samt til virksomhedernes test af, om genopretning er mulig og fungerer efter hensigten på baggrund af backup-kopien.
Der forventes endvidere fastsat nærmere regler om, at virksomhederne vil skulle kunne relokere til fuldt funktionsdygtige nødkontrolrum, der oppebærer samme redundante driftskapacitet og sikkerhedsniveau for fysisk sikring og cybersikkerhed som kontrolrum, der benyttes i daglig drift, herunder at fuldt kompetent personale relokeres og uden forsinkelse kan starte op og varetage tilsvarende opgaveudførelse. I denne sammenhæng vil der kunne blive fastsat nærmere regler om, at virksomheden skal iagttage behovet for redundante administrative arbejdspladser og cybersikkerhed i forbindelse med, at opgaveudførsel er flyttet. Dette vil bl.a. indebære, at sikringsplaner tager højde for både opretholdelse af operationel nøddrift og sikkerhed for forskellige personalegrupper.
Der forventes endvidere fastsat nærmere regler, hvorefter virksomheder skal kunne etablere foranstaltninger, der muliggør dekobling af net- og informationssystemer fra internettet, eller som muliggør isolering af internt kontrollerede netværk, eller at virksomheden på anden vis kan inddæmme eller afslutte datakommunikation eller afbryde adgang til net- og informationssystemer.
Det foreslås i § 8 stk. 2, nr. 6, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere for cybersikkerhedsforanstaltninger efter stk. 1, herunder regler om etablering af logning til at understøtte alarmer, efterforskningsarbejde, hændelseshåndtering og monitorering af uregelmæssigheder i net- og informationssystemer.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra b, hvorefter vigtige og væsentlige enheder træffer passende foranstaltninger til håndtering af hændelser. Den foreslåede bestemmelse udnytter således den mulighed i NIS 2-direktivet rummer, hvorefter der direkte vil blive stillet krav om, at virksomhederne skal etablere logning.
Det forventes på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler om logning og monitorering, som del af virksomheders cyberberedskab. Med bestemmelsen vil der således blive fastsat regler, som vil sikre, at virksomheders logning og monitorering bidrager til effektiv hændelseshåndtering og muliggør automatiserede tiltag med henblik på at opdage og reagere på anormal aktivitet, uanset om der er tale om utilsigtet eller ondsindet aktivitet samt begrænse konsekvenser heraf.
Derudover forventes der at blive fastsat regler, hvorefter virksomheder skal træffe passende foranstaltninger, der sikrer visibilitet i netværksinfrastrukturen og gør virksomhederne i stand til at opdage og reagere på anormal aktivitet i net- og informationssystemer.
På den baggrund forventes det således, at der vil blive fastsat regler, som påkræver at virksomheder håndterer logdata forsvarligt og på en måde, der opretholder integriteten og fortroligheden af logdata med henblik på, at disse kan benyttes i forbindelse med bl.a. efterforskning, dokumentation og evaluering. Ved udmøntningen af bestemmelsen vil der endvidere blive fastsat regler, som vil sikre, at brugeraktivitet logges med det formål at identificere uautoriseret adgang til virksomhedens netværk og net- og informationssystemer. Det følger heraf, at logdata skal beskyttes mod uautoriseret adgang.
Ved de nærmere regler om logning forventes der at blive fastsat regler, hvorefter virksomheden vil skulle etablere logning på en måde, der sikrer alarmer for net- og informationssystemer med betydning for leveringen af tjenesten. Ud fra en risikobaseret tilgang skal logning kunne fungere på tværs af virksomhedens samlede aktiviteter uagtet net- og informationssystemernes placering, og foranstaltningerne vil skulle sikre, at alarmer kan modtages. Der vil også på baggrund af bemyndigelsesbestemmelsen kunne fastsættes nærmere regler, hvorefter mønstre i events kan detekteres. Dette kan fx være eksterne scanningsaktiviteter på virksomhedens internetvendte løsninger, kritisk portkommunikation og ip-adresser samt ændringer i industrielle kontrolsystemers systemopsætning.
Det foreslås i § 8 stk. 2, nr. 7, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om etablering af procedurer for løbende kontrol af cybersikkerheden i og omkring net- og informationssystemer.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra f og g, hvorefter vigtige og væsentlige enheder skal have politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici og skal have grundlæggende cyberhygiejnepraksisser.
På baggrund af bestemmelsen vil der blive fastsat nærmere regler om, at virksomhederne skal etablere politikker og procedurer for kontrol af virksomhedens tekniske foranstaltninger til at opretholde modstandsdygtighed over for cybertrusler. Desuden der vil blive fastsat regler om krav, hvorefter virksomhederne etablerer politikker og procedurer for vurdering af effektiviteten af virksomhedens tekniske foranstaltninger og styring af cybersikkerhedsrisici. Ved udmøntningen af bemyndigelsesbestemmelsen forventes det, at der vil blive fastsat nærmere regler om, at virksomheder eksempelvis skal implementere årshjulsprocedurer til systematisk at foretage sanering og vedligehold af sikkerheden i net- og informationssystemer. Således implementerer de nærmere fastsatte regler sammen med den foreslåede § 6, stk. 2, nr. 6, NIS2-direktivets artikel 21, stk. 2, litra f.
Desuden forventes det, at der vil blive fastsat krav om, at der er overensstemmelse mellem virksomhedernes overordnede beredskabsplan, og at der implementeres procedurer til systematisk at gennemføre og dokumentere genopretningstest.
Herudover forventes det på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler om, at virksomheder skal have de nødvendige procedurer for etableringen af sikkerhedsforanstaltninger på mobile enheder såsom procedurer for opdatering og anvendelse af antivirusbeskyttelse. Der vil endelig blive fastsat regler, som vil sikre, at der skal etableres tilstrækkelig fysisk sikring ved komponenter, der giver styringsadgang til leveringen af tjenesten. Dette vil eksempelvis betyde, at mobile enheder og computere der giver styringsadgang til kontrolrumsfunktioner, skal sikres på lignende vilkår som kontrolrummet.
Det foreslås i § 8 stk. 2, nr. 8, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om brug af sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra j, hvorefter vigtige og væsentlige enheder skal træffe passende foranstaltninger om brug af løsninger med sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.
Det forventes, at der vil blive fastsat nærmere regler om beskyttelse af informationer med henblik på at opretholde fortrolighed, integritet og tilgængelighed, herunder at informationer, i transit eller lagret og uanset format fx trykt, elektronisk eller mundtligt, sikres med passende tekniske foranstaltninger. Det foreslås, at der vil blive fastsat regler, hvorefter virksomheden skal udarbejde procedurer og tilvejebringe en sikkerhedsbevidst kultur, så behandling af net- og informationssystemer sker forsvarligt.
Det forventes endvidere, at der vil blive fastsat regler med krav om, at virksomheder skal etablere nødkommunikation og sikre, at kommunikation kan opretholdes, samt at virksomheder skal kunne varetage sektor- og myndighedskommunikation i krisesituationer eller ved øvrige hændelser, hvor denne foranstaltning vil være relevant.
Der forventes samtidig, at der vil blive fastsat regler, som stiller krav om, at virksomheder skal anvende sikret tale-, video- og tekstkommunikation og nødkommunikationssystemer, der i relevant omfang er sikret ved kryptografi eller kryptering.
Det foreslås i § 8 stk. 2, nr. 9, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om brug af kryptering samt politikker og procedurer, der skal understøtte sikkerheden og fortroligheden af net- og informationssystemer, der er kritiske for leveringen af virksomhedens tjeneste.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af NIS 2-direktivets artikel 21, stk. 2, litra h, hvorefter vigtige og væsentlige enheder skal have politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.
Det forventes på baggrund af bestemmelsen, at der vil blive fastsat regler nærmere regler for anvendelse af kryptografi og tekniske krav for adgang til net- og informationssystemer, herunder krav om, at virksomhederne, ud fra en risikobaseret tilgang, anvender kryptografi og krypteringsteknikker til at etablere forskellige beskyttelsesformål for kritisk information og kommunikation, der bl.a. skal sikre fortrolighed, integritet og autenticitet
Det forventes, at der vil blive fastsat regler, hvorefter at virksomhederne skal etablere tekniske foranstaltninger som fx sikkerhedsprotokoller, samt procedurer for forvaltning af administration af eksempelvis nøgler og certifikater. Dette vil bl.a. sikre backup af data.
Endvidere kan der fastsættes nærmere regler om, at datatrafik på virksomhedens trådløse netværk skal være krypteret med tidssvarende tekniske protokoller og opdaterede kryptografiske løsninger.
Det foreslås i § 8 stk. 2, nr. 10, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om multifaktorautentificering eller kontinuerlig autentificering og adgangsbeskyttelse til sikring mod uautoriseret adgang til virksomhedernes net- og informationssystemer.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra i og j, hvorefter vigtige og væsentlige enheder skal træffe passende foranstaltninger vedrørende adgangskontrolpolitikker og brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering.
Det forventes, at der vil blive stillet krav til begrænsning af adgang, herunder fjernadgang, til lokationer, kontrolrums- og serverrumsfaciliteter samt for adgang til net- og informationssystemer.
Yderligere forventes det, at der vil blive fastsat regler med krav om, at den fysiske sikring af anlæg, herunder sikringen af anlæg med netværksadgang, jf. de foreslåede § 7, stk. 2, nr. 2-3, gør brug af elektronisk adgangsstyring, herunder autentificering og multifaktorgodkendelsesløsninger. Dette kan fx være en kombination af adgangskort og -kode og aktivitetsbestemte adgangskoder.
Ved de nærmere regler om beskyttelse af tjenesten mod uautoriseret adgang, forventes der fastsat regler om, at virksomheden skal sikre at der sker identifikation og autentifikation af identiteten, i hele brugerens livscyklus. Det forventes desuden, at der vil blive fastsat regler om, at virksomheder skal sikre at den elektroniske adgangsstyring skal muliggøre, at virksomheden kan modtage alarmer ved anormal aktivitet.
Det forventes, at der vil blive fastsat regler, hvorefter virksomheden skal sikre klart definerede regler for, hvilke medarbejdere eller medarbejdergrupper, der kan tilgå forskellige dele af et anlæg eller net- og informationssystemer. Dette vil indebære, at virksomhederne skal have procedurer for, hvordan adgange og fjernadgange til kritiske anlæg og net- og informationssystemer tildeles, ændres og lukkes for både virksomhedens egne medarbejdere såvel som for gæster, konsulenter, eksterne samarbejdspartnere og leverandører. Der forventes endeligt fastsat nærmere regler om, at fjernadgang til net- og informationssystemer med betydning for leveringen af tjenesten ikke må ske fra offentligt tilgængeligt Wi-Fi.
Det foreslås i § 8 stk. 2, nr. 11, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler for cybersikkerhedsforanstaltninger efter stk. 1, herunder om foranstaltninger til forebyggelse og håndtering af hændelser.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af NIS 2-direktivets artikel 21, stk. 2, litra b, hvorefter vigtige og væsentlige enheder skal træffe passende foranstaltninger til håndtering af hændelser.
Det forventes, at der vil blive fastsat nærmere regler om, at virksomheder skal sikre en koordineret proces for rapportering af svagheder i virksomhedens cybersikkerhed. Det forventes endvidere, at der vil blive fastsat regler for håndtering af cyberhændelser og utilsigtede hændelser, der kan påvirke sikkerheden af net- og informationssystemer med betydning for leveringen af tjenesten.
Dette omfatter brug af bl.a. logdata til fx detektion af anormal og uautoriseret aktivitet i net- og informationssystemer. Ved udmøntningen af bestemmelsen forventes det, at der vil blive fastsat nærmere regler, hvorefter virksomheden skal kunne reagere på alarmer eller hændelser uanset, hvor i organisation en hændelse opstår, herunder hvis en hændelse opstår hos en samarbejdspartner, der har adgang til virksomhedens net- og informationssystemer. I sådanne tilfælde skal virksomheden være i stand til at foretage mitigerende foranstaltninger såsom frakobling af udstyr og afbrydelse af leverandøradgange.
Det forventes, at der vil blive fastsat regler, hvorefter virksomheden skal indføre passende forebyggende foranstaltninger til at minimere utilsigtet påvirkning af net- og informationssystemer og til at undgå hændelser, der forårsager tab af visibilitet og kontrol med leveringen af tjenesten.
Det forventes desuden, at der vil blive fastsat regler om, at der sikres overensstemmelse mellem sikkerhedstiltag hos virksomheden og samarbejdspartnere med adgang til net- og informationssystemer med betydning for leveringen af tjenesten.
Endelig forventes det, at der vil blive fastsat regler, hvorefter virksomheden skal have indgået aftaler om ansvar og kommunikation i forbindelse med håndtering af cyberhændelser. Ligeledes vil der kunne fastsættes regler, som sikrer, at der kan foretages rapportering af hændelser efter en ensartet metode på tværs af virksomheden, herunder at der indhentes rapportering om hændelser af betydning for virksomhedens leveringen af tjenesten fra samarbejdspartnere.
Gældende beredskabsregulering indeholder ikke regler om brug af særlige informations- og kommunikationstjenester (IKT)-produkter, -tjenester og -processer.
Det følger af det foreslåede § 9, at klima-, energi- forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, kan fastsætte regler om, at virksomheder skal anvende særlige IKT-produkter, -tjenester og -processer, der er udviklet af virksomheden eller indkøbt fra tredjeparter, og som er certificeret i henhold til en europæisk cybersikkerhedscertificeringsordning for at påvise overensstemmelse med bestemte krav i § 8, stk. 1, eller regler om krav til foranstaltninger fastsat i medfør af § 8, stk. 2.
Den foreslåede bemyndigelse vil kunne udmøntes ved nærmere regler på bekendtgørelsesniveau, der vil kunne implementere artikel 24, stk. 1, i NIS 2-direktivet og som vil skulle forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Det følger af bestemmelsen, at der kan fastsættes nærmere krav om, at virksomheder for at påvise overholdelsen af bestemte krav fastsat i medfør af § 8, stk. 2 ved at bruge særlige IKT-produkter, -tjenester og -processer, der er udviklet af virksomheden, eller indkøbt fra tredjeparter, og som er certificeret i henhold til europæiske cybersikkerhedscertificeringsordninger, der er vedtaget i henhold til artikel 49 i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).
Bestemmelsen kan udmøntes, således at der også kan benyttes IKT-produkter, -tjenester og –processer som stilles gratis til rådighed af tredjeparter, da det er Klima-, Energi- og Forsyningsministeriets vurdering, at dette vil være i overensstemmelse med intentionen bag artikel 24, stk. 1, i NIS 2-direktivet.
For i videst muligt omfang at sikre ensartethed på tværs af sektorer, foreslås det, at eventuelle regler, der udstedes i medfør af den foreslåede bestemmelse, fastsættes efter forhandling med ministeren for samfundssikkerhed og beredskab.
Bestemmelsen er udformet som en kan bestemmelse, da det af NIS-direktivets artikel 24, stk. 1 fremgår, at medlemsstaten kan vælge at fastsætte regler. Da der således ikke består en forpligtigelse, men artiklen kun bestemmer, at der skal være en mulighed for at fastsætte nærmere regler, er bestemmelsen i det foreslåede § 9 ligeledes udformet som en kan bestemmelse.
Såfremt bestemmelsen ønskes anvendt, vil det være på baggrund at konkrete behov for at øge cybersikkerheden i sektoren i tillæg til, hvad der allerede skal gøres efter de regler der fastsættes i medfør af dette lovforslags § 6, stk. 2 og § 8, stk. 2. Det kan eksempelvis være i tilfælde af, at virksomhederne for at nedbringe deres omkostninger anvender IKT-produkter, -tjenester og -processer, som efter Klima-, Energi- og Forsyningsministeriets eller andre myndigheders rådgivning vurderes at være usikre pga. kvaliteten, eller hvor produktet er fremstillet eller hvorfra en IKT-tjeneste/-proces leveres eller gennemføres fra. Således vil der kunne opstå et behov for at bringe virksomhedernes cybersikkerhedsniveau yderligere op, ved at tvinge dem til at bruge IKT-produkter, -tjenester og -processer, som virksomheden selv har udviklet eller købt fra en tredjepart, og vigtigst af alt er certificeret efter en europæiske cybersikkerhedscertificeringsordning.
Reglerne kan potentielt differentieres således, at de afhænger af virksomhedens niveau eller systemets eller anlæggets klassificering efter reglerne fastsat i medfør af lovforslagets § 4, stk. 2.
I medfør af gældende beredskabsregulering, navnlig elberedskabsbekendtgørelsen, naturgasberedskabsbekendtgørelsens og it-beredskabsbekendtgørelsens, har Energinet de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende beredskabssituationerne i el- og gassektoren, herunder ansvaret for at videreformidle relevante meddelelser og informationer mellem myndighederne og el- og naturgassektorens virksomheder, samt ansvaret for at fremskaffe data og andre informationer om sektoren af betydning for samfundets beredskab. De er beskrevet i det følgende.
Energinet varetager denne koordinerende og operative rolle i el- og naturgassektorernes beredskab, da Energinet har det overordnede ansvar for funktionen og balanceringen af el- og gastransmissionsnettet. Således er det nødvendigt, at Energinet har visse instruktionsbeføjelser overfor virksomhederne i deres beredskab, samt at de modtager information om sårbarheder, trusler og hændelser i sektorerne, da disse hurtigt kan påvirke transmissionsnettet og potentielt medføre kaskadeeffekter ud i el- og naturgassektorerne.
Derfor skal Energinet i planlægning af beredskabet i el- og naturgassektorerne udarbejde en vurdering af sårbarheden for det samlede el- hhv. naturgasforsyningssystem, jf. § 6, stk. 2, i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen. I tillæg hertil skal Energinet årligt udarbejde vurdering af it-relaterede risici og sårbarheder for det sammenhængende elforsyningssystem og det sammenhængende naturgasforsyningssystem, jf. it-beredskabsbekendtgørelsens § 11. I vurderingerne skal indgå risici og sårbarheder afledt af sammenhænge med nabolandenes forsyningssystemer.
Desuden skal Energinet, som led i den koordinerende planlægning af beredskabet i el- og naturgassektorerne, lave sektorberedskabsplaner for det samlede el- hhv. naturgasforsyningssystem, jf. § 8 i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen. Sektorberedskabsplanerne skal udarbejdes under hensyntagen til el- og naturgassystemernes sammenhænge med nabolandenes systemer. Sektorberedskabsplanen skal angive, hvordan Energinet for hhv. el- og naturgassektoren som helhed planlægger at håndtere en beredskabssituation på en koordineret måde, herunder sikring af en samordnet situationsopfattelse hos virksomhederne, samt relevante dele af det indhold, der er i virksomhedernes egne beredskabsplaner. Endvidere foreskriver § 16 i it-beredskabsbekendtgørelsen, at sektorberedskabsplanerne skal indeholde en beskrivelse af, hvordan Energinet planlægger at håndtere en it-beredskabssituation, der berører flere virksomheder, herunder:1) Ansvarsfordelingen mellem virksomheder og Energinet, 2) beskrivelse af kommunikationsveje og forholdsregler ved kompromittering af kommunikationsveje, 3) krav, som Energinet i en it-beredskabssituation stiller til form, indhold og hyppighed af situationsrapporter fra virksomhederne, 4) hvorledes Energinet vil informere virksomhederne om it-beredskabssituationen, herunder form, indhold og hyppighed, således at Energinet kan tilsikre en samordnet situationsopfattelse hos virksomhederne i el- og naturgassektorerne, 5) en instruktion om anvendelse af specifik kryptering af informationer og driftsordre, hvis relevant, samt 6) planer for segmentering af fælles it-infrastruktur eller driftsinfrastruktur i relevante scenarier, hvis relevant.
I krisesituationen har Energinet endvidere ansvaret for at koordinere sektorens håndtering af krisesituationen og genetableringen af forsyningen i el- og gassektoren, herunder udpege repræsentanter til de lokale beredskabsstabe og deltage i NOST, hvis det er relevant, jf. henholdsvis § 24 i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen. Desuden har Energinet ansvaret for at informere Energistyrelsen og andre centrale myndigheder, fx politiet, via de lokale beredskabsstabe om situationen i sektoren.
Energinet skal tillige sikre, at virksomheden når som helst i en beredskabssituation kan forestå el- og naturgassektorens krisehåndtering og kan fremskaffe relevante og opdaterede informationer om elsektorens forhold til brug for myndighedernes krisehåndtering i el- og naturgassektoren, herunder om situationen i nabolandenes forsyningssystemer af relevans for denne krisehåndtering.
Herudover skal Energinet gennemføre foranstaltninger for at sikre, at sandsynligheden for henholdsvis en strømafbrydelse og en naturgasafbrydelse holdes på et rimeligt niveau. Efter samme bestemmelser skal Energinet endvidere gennemføre foranstaltninger for at sikre, at der kan udføres en hurtig og koordineret reetablering af henholdsvis elforsyningen og naturgasforsyningen i tilfælde af afbrydelser. Tilsvarende er det Energinets ansvar at sikre, at generne for elforbrugerne, naturgasforbrugerne og for samfundet i øvrigt ved en afbrydelse mindskes i muligt omfang, jf. § 16 i henholdsvis i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen.
Det følger af § 18 i henholdsvis i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen, at Energinet skal etablere et formaliseret samarbejde om beredskabsforhold i elsektoren og i naturgassektoren, bl.a. gennem informationsvirksomhed og møder om beredskabsforhold.
Energinet skal arbejde for at koordinere sine beredskabsplaner med de systemansvarlige virksomheder i nabolandene i muligt omfang og for en hensigtsmæssig informationsudveksling med disse virksomheder om planlægningsmæssige og operative forhold, jf. § 18 i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen.
Det følger af § 19 i henholdsvis elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen, at Energinet senest 1. maj skal fremsende en årlig redegørelse til Energistyrelsen om status for henholdsvis elsektorens – og naturgassektorens beredskab, herunder om virksomhedens beredskabsarbejde i det forløbne år. Energistyrelsen kan fastsætte nærmere rammer herfor.
Desuden skal Energinet i medfør af § 21, stk. 2, i henholdsvis elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen afholde beredskabsøvelser i anvendelse af sektorberedskabsplanen skal heri inddrage væsentlige dele af virksomhedernes planer.
Endvidere skal Energinet i medfør af § 5 i it-beredskabsbekendtgørelsen varetage de overordnede koordinerende opgaver i forbindelse med håndteringen af it-beredskabshændelser, der omfatter flere virksomheder. De skal ligeledes efter § 5, stk. 2, etablere et formaliseret samarbejde om it-beredskabsforhold, der har til formål at fremme koordineringen af såvel planlægningen som udøvelsen af it-beredskabet. Efter § 5, stk. 3-5, skal Energinet bistå med at skaffe kontaktoplysninger til andre virksomheder og myndigheder i en akut situation, ligesom de skal give virksomhederne oplysningerne om aktuelle driftstilstande, og Energinet skal til enhver tid kunne modtage og videreformidle informationer af betydning for it-beredskabet til andre virksomheder i el- og naturgassektorerne.
Endeligt varetager Energinet en række forpligtelser i forbindelse med rapportering af evt. hændelser hos sig selv og andre virksomheder i el- og naturgassektorerne til Energistyrelsen og Center for Cybersikkerhed, jf. § 21 i it-beredskabsbekendtgørelsen og § 23 i hhv. elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen.
Det foreslås med § 10, at klima-, energi- og forsyningsministeren fastsætter regler om ministerens og Energinets varetagelse af koordinerende planlægningsmæssige og operative opgaver vedrørende beredskab, jf. §§ 6 – 8.
Det forventes, at de gældende regler angående Energinets opgavevaretagelse i medfør af beredskabsbekendtgørelserne for elsektoren og naturgassektoren videreføres for el- og gassektoren, dog med tilføjelse af brintsektoren såfremt der måtte blive etableret et brinttransmissionssystem i Danmark, samt tilføjelse af de nye aktører, der vil blive omfattet af beredskabsreguleringen i delsektorerne for el-, gas. Disse aktører er hovedsageligt dikteret af NIS2 og CER-direktivernes bilag om disses anvendelsesområde.
Det forventes dog også, at der vil blive fastsat nærmere regler om, at de koordinerende planlægningsmæssige og operative opgaver vedrørende beredskab i oliesektoren og de nye delsektorer fjernvarme og fjernkøling vil blive varetaget af Energistyrelsen.
Efter den foreslåede bestemmelse vil klima-, energi- og forsyningsministeren udstede regler om Energinets varetagelse af koordinerende planlægningsmæssige og operative opgaver vedrørende det beredskab, som er nævnt i det foreslåede §§ 6 - 8.
Bestemmelsen forventes udnyttet i sammenhæng med den foreslåede § 35 om, at Energinet kan indhente relevant information og skabe det fornødne overblik i akutte beredskabssituationer. I denne sammenhæng forventes det, at der vil blive udstedt regler om, hvilke oplysninger og materiale i øvrigt virksomhederne skal stille til rådighed for Energinet og herunder bemyndige Energinet til at forlange dette materiale udfyldt i et specifikt format.
Det forventes, at ministeren vil udstede regler, hvorefter Energinet, som led i det koordinerende arbejde, pålægges at bidrage til udarbejdelsen af sektorspecifikke trusselsvurderinger. Energi-, forsynings- og klimaministeren vil fastsætte nærmere regler for dette samarbejde, herunder i hvilket omfang Energinet vil skulle stille kompetente ressourcer til rådighed i forbindelse med samarbejdet, samt vejlede Energinet i varetagelsen af denne opgave.
Det forventes samtidig, at der vil blive fastsat nærmere regler om, at virksomhederne skal formidle såvel øvelseserfaringer og erfaringer efter hændelser, der har aktiveret beredskabsplanen i væsentligt omfang til Energinet samt andre virksomheder.
§ 25 og § 26 i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen regulerer Energinet og Energistyrelsens muligheder for at pålægge og ændre foranstaltninger, som virksomhederne i el- og naturgassektorerne skal træffe i tilfælde af beredskabssituationer omfattende sikkerhedsrelaterede hændelser og beredskabssituationer i bredere forstand. Beredskabssituationer omfattende sikkerhedsrelaterede hændelser sigter hovedsageligt på situationer, hvor der er en øget trussel for fysiske angreb mod det danske samfund, eller hvor et sådan angreb har fundet sted. Beredskabssituationer i bredere forstand kan være alt fra stormflod, orkaner, cyberangreb og solstorm til isvinter og tørke.
I tilfælde af beredskabssituationer omfattende sikkerhedsrelaterede hændelser, og i tilfælde af at der er blevet fastsat et sikkerhedsberedskabsniveau i henhold til den nationale beredskabsplan, kan Energinet træffe beslutning om, hvilke sikkerhedsberedskabsforanstaltninger der skal gennemføres for el- og naturgassektoren, herunder hvilke virksomheder og anlæg der skal omfattes heraf, jf. § 25 i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen.
Siden reglernes indførelse i 2005 er der sket visse ændringer i den nationale beredskabsplanlægning, hvorfor der ikke længere er sikkerhedsberedskabsniveauer i den nationale beredskabsplan. Derfor har det været praksis, at Energinet, i samråd med Energistyrelsen, har fastsat et sektorberedskabsniveau som erstatning for et sikkerhedsberedskabsniveau, ligesom der i den forbindelse har været meldt en eller flere prædefinerede beredskabsforanstaltninger, som virksomhederne skulle gennemføre.
Sektorberedskabsniveauet består for nuværende af fem eskalationstrin for den danske el- og naturgassektor. Et øget sektorberedskabsniveau er udtryk for, at virksomhederne i el- og gassektoren skal udvise øget opmærksomhed og er blevet ledsaget af konkrete foranstaltninger, som relevante virksomheder i el- og gassektoren skal iværksætte.
Efter § 26 kan Energinet og Energistyrelsen pålægge virksomhederne i el- og naturgassektorerne at ændre deres foranstaltninger for at sikre en hurtig, koordineret og prioriteret krisehåndtering, herunder gennemførelse af myndighedernes beslutninger i den nationale krisehåndtering. Det samme er gældende, hvis der vurderes at være risiko for, at beredskabssituation indtræffer. Denne bestemmelse har således et videre sigte end den gældende § 25, i det den aktiveres, uagtet om der er tale om beredskabssituation omfattende sikkerhedsrelaterede hændelser eller ej, og uanset om en beredskabssituation er opstået, eller det blot vurderes, at der er risici for at en beredskabssituation opstår.
Det har været forudsat, at det har været en del af bemyndigelsen i elforsyningslovens § 85 b og gasforsyningslovens § 15 a, at der er fornøden hjemmel til fastsætte regler om at Energinet og Energistyrelsen kan fastsætte og udmelde sektorberedskabsniveauer og sektorberedskabsforanstaltninger i el og gassektoren.
Med det foreslåede stk. 1, kan klima-, energi- og forsyningsministeren, i en beredskabssituation omfattende sikkerhedsrelaterede hændelser, fastsætte og udmelde sektorberedskabsniveauer for hele energisektoren eller én eller flere delsektorer.
Formålet med bestemmelsen er at skabe en klar hjemmel til, at ministeren kan fastsætte og udmelde sektorberedskabsniveauer og i sammenhæng hermed pålægge gennemførelsen af sektorberedskabsforanstaltninger efter den foreslåede § 11, stk. 2.
En beslutning om at fastsætte og udmelde sektorberedskabsniveauer efter § 11, stk. 1, vil ikke være en forvaltningsretlig afgørelse, men en procesledende beslutning om, hvorvidt der skal fastsættes sektorberedskabsforanstaltninger efter § 11, stk. 2.
Beredskabssituationer omfattende sikkerhedsrelaterede hændelser vil, som efter gældende ret, forstås som hændelser, hvor der vurderes at være risiko for at et konkret antagonistisk angreb vil finde sted, er i gang eller har fundet sted. Antagonistiske angreb vil i denne forbindelse eksempelvis være spionage, terrorangreb, hybride angreb eller konkrete krigshandlinger. Det vil ikke være nødvendigt, at angrebet eller risikoen for et angreb kan tilskrives en konkret aktør. En mistanke om at et angreb er nærtforestående, igangværende eller har været udført vil være tilstrækkeligt grundlag til at fastsætte og udmelde et sektorberedskabsniveau. Det vil heller ikke være et krav, at angreb eller risiko for angreb vedrører et dansk område. Et angreb eller risiko for et angreb uden for Danmarks grænser vil således godt kunne danne grundlag for at fastsætte og udmelde et sektorberedskabsniveau efter bestemmelsen. Angrebet eller risikoen for angreb vil heller ikke behøve at være rettet mod energiinfrastruktur, men vil også kunne være i andre sektorer, der varetager samfundskritiske funktioner. Det vil endvidere ikke kun være fysiske angreb, men også cyberangreb, der vil kunne afstedkomme brugen af bestemmelsen.
Beredskabssituationer vil fortsat skulle forstås i bredere forstand, og kan være alt fra stormflod, orkaner og solstorm til isvinter og tørke.
Det forudsættes med bestemmelsen, at der forsat vil blive anvendt sektorberedskabsniveauer, der indikerer, hvor sandsynligt det vurderes, at en beredskabssituation vedrørende en sikkerhedsrelateret hændelse vil eller kan indtræffe i energisektoren.
Det forventes, at klima-, energi- og forsyningsministeren vil fastsætte og udmelde sektorberedskabsniveauet på baggrund af en konkret vurdering, der vil basere sig på alle tilgængelige informationer om sikkerhedstruslen mod energisektoren. Det kan således være offentlige kilder, såsom nyhederne, faglige tidsskrifter, offentliggjorte trusler fra terrorgrupper eller statsmagter mv. Det vil også kunne inddrages efterretninger, både statslige og private. Der tænkes således på trusselsvurderinger fra fx Politiets Efterretningstjeneste og Center for Cybersikkerhed, men også fra private it-sikkerhedstjenester.
Klima-, energi- og forsyningsministeren vil efter bestemmelsen ikke være forpligtiget til at udmelde beredskabsniveauer til offentligheden og vil kun være forpligtiget til at udmelde beredskabsniveauer til de relevante delsektorer og virksomhederne omfattet af lovforslaget. Ministeren kan dog vælge at udmelde sektorniveauer bredt til offentligheden.
Til forskel fra gældende ret, hvor kun elektricitet og gassektorerne i dag er omfattet af beredskabsniveauer, omfattes også fjernvarme, fjernkøling, brint og oliesektorerne af den foreslåede bestemmelse.
Der kan således fastsættes og udmeldes sektorberedskabsniveau for energisektoren som helhed, hvis det vurderes, at truslen ikke er afgrænset til en eller flere af de førnævnte delsektorer. Omvendt kan ministeren også vælge kun at fastsætte og udmelde et sektorberedskabsniveau til en eller flere delsektorer, hvis vurderingen er, at truslen er meget konkret rettet.
Med det foreslåede stk. 2, kan klima-, energi- forsyningsministeren i en beredskabssituation omfattende sikkerhedsrelaterede hændelser fastsætte og pålægge sektorberedskabsforanstaltninger for hele energisektoren, delsektorer, én eller flere virksomheder og for bestemte anlæg.
For el- og gassektoren samt brintsektoren ved etablering af et brinttransmissionsnet, forventes fastsættelsen af beredskabsforanstaltninger at ske efter faglig kommentering fra Energinet.
Sikkerhedsrelaterede hændelser vil, som efter gældende ret, forstås som hændelser, hvor der vurderes at være risiko for, at et konkret antagonistisk angreb vil finde sted, er i gang eller har fundet sted. Antagonistiske angreb vil i denne forbindelse eksempelvis være spionage, terrorangreb, hybride angreb eller konkrete krigshandlinger. Det vil ikke være nødvendigt, at angrebet eller risikoen for et angreb kan tilskrives en konkret aktør. En mistanke om at et angreb er nærtforestående, igangværende eller har været udført vil være tilstrækkeligt grundlag til at fastsætte og pålægge sektorberedskabsforanstaltninger efter bestemmelsen. Det vil heller ikke være et krav at angreb eller risiko for angreb vedrører et dansk område. Et angreb eller risiko for et angreb uden for Danmarks grænser kan således godt danne grundlag for at fastsætte og pålægge sektorberedskabsforanstaltninger efter bestemmelsen. Angrebet eller risikoen for angreb behøver heller ikke at være rettet mod energiinfrastruktur men vil også kunne være i andre sektorer, der varetager samfundskritiske funktioner. Det er endvidere ikke kun fysiske angreb, men også cyberangreb, der kan afstedkomme brugen af den foreslåede bestemmelse.
Det forventes endvidere, på baggrund af de foreslåede bestemmelser i stk. 1 og 2, at klima-, energi- og forsyningsministeren fremover vil træffe beslutning om sektorberedskabsniveau og -foranstaltninger for alle energiarter, som efterfølgende udmeldes til virksomheder af et operationelt kontaktpunkt. Det forventes, at Energinet vil få delegeret kompetencen til at udmelde sektorberedskabsniveauer og sektorberedskabsforanstaltninger for el- og gassektoren efter den foreslåede § 33, så Energinet vil kunne fastholde sin nuværende rolle som operationelt kontaktpunkt for el- og gassektoren samt brintsektoren ved etablering af et brinttransmissionsnet. Det forventes, at Energistyrelsen vil få delegeret opgaverne med at fastsætte sektorberedskabsniveauet på tværs for hele energisektoren eller delsektorer, samt opgaver i forbindelse med at agere operationelt kontaktpunkt for olie, fjernvarme/-køling og brint ved decentral brintforsyning, efter den foreslåede bestemmelse i § 33.
En beslutning om at fastsætte og pålægge sektorberedskabsforanstaltninger efter § 11, stk. 2, vil være en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler, herunder bl.a. bestemmelserne i kapitel 3 (om vejledning og repræsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse mv.) og kapitel 7 (om klagevejledning) i udgangspunktet vil finde anvendelse. Forvaltningslovens § 19, stk. 2, nr. 1-6, fastsætter dog regler for, i hvilke tilfælde partshøringsreglerne ikke finder anvendelse. Således vil undtagelsen i § 19, stk. 2, nr. 3, formentligt kunne finde anvendelse, hvis partens interesse i at sagens afgørelse udsættes, findes at burde vige for væsentlige hensyn til offentlige eller private interesser, der taler imod en sådan udsættelse. Det vurderes således, at offentlighedens interesse i, at der hurtigst muligt fastsættes øgede foranstaltninger til de konkrete virksomheders beskyttelse, således at forsyningen af energi kan forsætte uforstyrret til slutbrugerne, vil kunne betyde, at retten til partshøring må bortfalde. Endvidere vurderes det, at undtagelsen i § 19, stk. 2, nr. 5, vil finde anvendelse, hvis den påtænkte afgørelse vil berøre en videre, ubestemt kreds af personer, virksomheder m.v., eller hvis forelæggelsen af oplysningerne eller vurderingerne for parten i øvrigt vil være forbundet med væsentlige vanskeligheder. Det vurderes således, at der grundet den potentielle klassifikation af de oplysninger, der danner grundlag for, hvilke sektorberedskabsvurderinger der er nødvendige for at imødegå truslen mod virksomhederne, kun kan forelægges det meget store antal virksomheder omfattet af loven ved en uforbeholden vanskelig proces. Det skal dog konkret vurderes fra gang til gang om de nævnte undtagelser finder anvendelse i den konkrete situation.
Undtagelsesmulighederne i forvaltningslovens § 8, stk. 2, ift. fravigelse af retten til repræsentation og § 24, stk. 3, ift. fravigelse af begrundelseskravet, vurderes også at kunne finde anvendelse efter en konkret vurdering på afgørelser truffet efter den foreslåede bestemmelse.
Konkret vil en beslutning om et øget sektorberedskabsniveau efter stk. 1 betyde, at der udmeldes konkrete sektorberedskabsforanstaltninger, som virksomhederne i energisektoren, eller delsektorer skal implementere med henblik på at øge sikkerheden på fx anlæg, bygninger, installationer og net- og informationssystemer. Den konkrete implementering af de enkelte sektorberedskabsforanstaltninger for hver virksomhed vil afhænge af virksomhederne og deres anlæg, idet fysiske indretninger, kontraktforhold og anden lovgivning forventeligt vil medføre, at visse beredskabsforanstaltninger ikke vil kunne gennemføres fuldt ud eller i øvrigt må modificeres for at passe til virksomheden, med tilhørende anlæg og net- og informationssystemer. Der vil af sikkerhedsmæssige årsager ikke blive kommunikeret offentligt om sektorberedskabsforanstaltningerne, men disse vil blive kommunikeret direkte til virksomhederne, der er omfattet af loven.
Det foreslås i § 11, stk. 3, at klima-, energi- forsyningsministeren i en beredskabssituation kan bestemme, at de i § 11, stk. 2 nævnte sektorberedskabsforanstaltninger, samt andre foranstaltninger der skal foretages efter loven eller regler udstedt i medfør af loven, midlertidigt skal intensiveres og suppleres med yderligere foranstaltninger for at sikre en hurtig, koordineret og prioriteret krisehåndtering, herunder gennemførelse af myndighedernes beslutninger i den nationale krisehåndtering.
Det foreslåede stk. 3 vil i udgangspunktet være en videreførelse af den gældende § 26 i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen. Dog med den ændring, at beføjelsen i udgangspunktet vil tilfalde klima-, energi- og forsyningsministeren og ikke Energinet, jf. dog den foreslåede stk. 4.
Bestemmelsen vil fungere som en opsamlingsbestemmelse med et bredere anvendelsesområde end det foreslåede § 11, stk. 1 og 2, sigter på. Således vil der efter bestemmelsen også kunne fastsættes andre foranstaltninger i tilfælde af fx stormflod, orkan, pandemier etc., som ikke er antagonistiske sikkerhedshændelser. Andre foranstaltninger vil efter bestemmelsen, ud over de i stk. 1 og 2 nævnte situationer, således omfatte relevante foranstaltninger, der går på at mitigere beredskabshændelse eller genoprette efter en beredskabshændelse. Udover midlertidigt at intensivere eller supplere foranstaltninger som nævnt i stk. 2, vil bestemmelsen på denne baggrund også kunne anvendes til at nedjustere sådanne foranstaltninger igen efter beredskabssituationen er håndteret. Det foreslåede stk. 3 har endelig til formål at sikre, at virksomhedernes ressourcer i form af personale, materiel, kritiske reservedele m.m. vil kunne indsættes på en måde, som bedst muligt sikrer genetableringen af energiforsyning og markedsmekanismerne i energisektorerne.
Det foreslås med stk. 4, at Energinet i en beredskabssituation omfattende sikkerhedsrelaterede hændelser, i særlige tilfælde, hvor klima-, energi- og forsyningsministeren ikke kan fastsætte og udmelde sektorberedskabsniveauer og foranstaltninger, jf. stk. 1, 2 og 3, kan varetage opgaven på ministerens vegne. Energinet kan kun varetage opgaven for el-, gas- og brintsektorerne.
Det foreslåede stk. 4, har karakter af en delegation fra klima-, energi- og forsyningsministeren til Energinet. Det foreslåede stk. 4 vil kunne finde anvendelse i situationer, hvor klima-, energi- og forsyningsministeren måtte være afskåret fra at varetage sine opgaver efter stk. 1-3. Det kunne således være, hvor klima-, energi- og forsyningsministeren er ramt af en beredskabssituation, der gør det umuligt at bruge de normale kommunikationsveje til el-, gas- og brintvirksomhederne. Energinet vil herefter i særlige situationer, fx større hændelser i telesektoren, kunne varetage denne opgave, henset til at Energinet har særlige kommunikationsveje direkte til en række virksomheder i el-, gas- og brintsektoren, der vil kunne sikre en særlig redundans for deres kommunikation.
Det bemærkes, at Energinet A/S er en selvstændig offentlig virksomhed (SOV) under Klima-, Energi- og Forsyningsministeriet oprettet ved lov. Energinet varetager som SOV også myndighedsopgaver, jf. lov om Energinet, § 2, stk. 6, modsætningsvist.
For el- og gassektorerne er der fastsat regler om at indberette beredskabshændelser, som vedrører det klassiske beredskab i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen. Ifølge bekendtgørelsernes § 22, stk. 1, skal virksomheder udarbejde en evaluering af større eller usædvanlige hændelser, som i væsentligt omfang har aktiveret virksomhedens beredskab. Der stilles krav til indhold af evalueringen, samt at der senest 3 måneder efter hændelsen skal fremsendes til Energistyrelsen. Energistyrelsen kan pålægge virksomheder at udarbejde sådanne evalueringer. Virksomheder skal efter § 23 i bekendtgørelserne omgående underrette Energinet om nærmere angivne hændelser af relevans for beredskabssituationer i overensstemmelse med sektorberedskabsplanen.
Regler om indberetning af beredskabshændelser om it-beredskab for virksomheder i el- og gassektorerne fremgår af it-beredskabsbekendtgørelsen. Det fremgår af bekendtgørelsens § 21, stk. 1, at it-sikkerhedshændelser, der i væsentligt grad reducerer virksomhedens funktionalitet eller funktionaliteten af andre dele af el- og gassektoren, omgående skal meddeles Energinet. Virksomheder skal desuden ifølge bekendtgørelsens § 22, stk. 1, udarbejde evalueringer af hændelser, der i væsentligt omfang aktiverer virksomhedens it-beredskab. Der opstilles nærmere scenarier, hvor det kræves, at der udarbejdes en evaluering. Der er fastsat indholdsmæssige krav til evalueringen i § 22, stk. 2, mens der i § 22, stk. 3, stilles krav om, at evalueringen senest 3 måneder efter hændelsen fremsendes til Energistyrelsen.
De nærmere regler om at indberette beredskabshændelser for oliesektoren fremgår af olieberedskabsbekendtgørelsens §§ 14 og 15. Bestemmelserne regulerer både klassiske beredskabshændelser og it-beredskabshændelser. Ifølge § 14, stk. 1, skal virksomheder og den centrale lagerenhed uden ugrundet ophold meddele Energistyrelsen om hændelser, der i væsentlig grad reducerer deres funktionalitet eller funktionaliteten af andre dele af oliesektoren. Efter § 15, stk. 1, skal virksomheder og den centrale lagerenhed udarbejde en evaluering af hændelser, som meddeles i medfør af § 14, stk. 1. Hændelsesevalueringen skal fremsendes senest 3 måneder efter hændelsen til energistyrelsen, jf. § 15, stk. 3.
Der stilles ikke krav om indberetning af beredskabshændelser i andre delsektorer i energisektoren.
Det følger af den foreslåede § 12, at klima-, energi- og forsyningsministeren kan fastsætte regler for underretning og indrapportering af hændelser, væsentlige cybertrusler og nærvedhændelser.
Formålet med bestemmelsen er at skabe hjemmel til at ministeren vil kunne fastsætte de nødvendige regler om underretning og indrapportering af hændelser, der eksempelvis vil forpligte virksomheder til at foretage underretning om enhver væsentlig hændelse uden unødigt ophold, samt ved at stille krav til indholdet af en sådan underretning, herunder at den for eksempel vil skulle indeholde oplysninger, der gør det muligt at fastslå eventuelle grænseoverskridende virkninger af hændelsen.
Det forventes på den baggrund, at der eksempelvis vil blive fastsat nærmere regler om, at underretning af hændelser og nærvedhændelser med cyberelementer, vil skulle sendes til Energistyrelsen, der forventes udpeget som den kompetente myndighed for energisektoren i Danmark i overensstemmelse med NIS 2-direktivets artikel 8, stk. 3 samt Center for Cybersikkerhed.
Center for Cybersikkerhed (CFCS) blev ved implementeringen af NIS 1-direktivet udpeget som CSIRT i Danmark, og opgaven har hidtil været varetaget som en del af Netsikkerhedstjenesten i CFCS.
Med den kongelige resolution af 29. august 2024 er Center for Cybersikkerhed, bortset fra Netsikkerhedstjenesten, blevet overdraget til Ministeriet for Samfundssikkerhed og Beredskab. Det betyder, at Forsvarsministeriet, herunder FE, indtil videre bibeholder ansvaret for CSIRT-funktionen.
Det forventes, at der vil blive fastsat nærmere regler om, at underretning om sådanne hændelser, vil skulle ske via virk.dk og at underretning vil skulle sendes samtidig til Energistyrelsen og Center for Cybersikkerhed via en fælles digital indgang, såsom Virk.dk. De berørte virksomheder vil herefter alene skulle foretage én samlet underretning, som sendes samtidigt til de relevante myndigheder. Ordningen vil sikre, at både den Energistyrelsen og Center for Cybersikkerhed hurtigt og effektivt vil kunne varetage deres myndighedsopgaver.
Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau vil implementeres artikel 23, stk. 1 og stk. 6 i NIS 2-direktivet og artikel 15, stk. 1, 1. pkt., i CER-direktivets forpligtelser til at foretage underretning ved hændelser, væsentlige cybertrusler og nærvedhændelser, herunder ved væsentlige hændelser berører to eller flere medlemsstater.
Bemyndigelsen forventes endvidere udmøntet ved nærmere regler om, at de ovenfor beskrevne forpligtelser til at foretage underretning ved hændelser, væsentlige cybertrusler og nærvedhændelser, der forventes fastsat i medfør af bestemmelsen, finder anvendelse på virksomheder, uanset om virksomhederne selv vedligeholder deres net- og informationssystemer eller outsourcer vedligeholdelsen deraf, i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 83, 2. pkt. Såfremt der måtte ske en hændelse i et net- og informationssystem, som eksempelvis er outsourcet, vil det herefter fortsat være virksomhedens ansvar, at der sker underretning i fornødent omfang.
Ministeren forventes på baggrund af bestemmelsen endvidere at fastsætte nærmere regler der præciserer, hvilke hændelser virksomheder skal underrette myndighederne om. Disse regler vil implementere CER-direktivets artikel 15, stk. 1, 3. pkt., og NIS 2-direktivers artikel 23, stk. 3, om hvilke hændelser der skal foretages underretning om, der fastlægger de kriterier, der skal tages i betragtning for at fastslå en hændelses omfang, herunder hvornår en hændelse anses som væsentlig.
Ministeren vil herudover kunne fastsætte regler, hvor tærsklen for at virksomheder skal foretage underretninger af hændelser er mindre, end hvad der følger af CER- og NIS 2-direktiverne, da dette ville kunne understøtte et bedre indblik i det aktuelle trusselsbillede. Et mere præcist trusselsbillede vil kunne anvendes til at foretage de nødvendige nationale foranstaltninger, for at opretholde en mere robust energisektor.
Med den foreslåede bestemmelse vil klima-, energi- og forsyningsministeren kunne fastsætte nærmere regler til formkrav af underretninger, herunder hvilke informationer, der vil skulle fremgå af underretninger og hvilke frister vil gælde i forhold til underretning. Ministeren vil desuden med baggrund i bestemmelsen, kunne fastsætte regler, om hvem der udover den Energistyrelsen og Center for Cybersikkerhed evt. vil skulle underrettes ved hændelser.
Ved de nærmere regler om underretning af hændelser forventes det, at der vil blive fastsat regler om at underretning vil skulle ske på følgende måde; 1) en tidlig varsling, som skal angive, om hændelsen mistænkes at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning, sendes uden unødigt ophold og under alle omstændigheder inden for 24 timer efter, at virksomheden har fået kendskab til hændelsen, til Energistyrelsen og Center for Cybersikkerhed, 2) en hændelsesunderretning, som skal ajourføre oplysningerne fra den tidlige varsling, jf. nr. 1, og give en indledende vurdering af hændelsen, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger, sendes uden unødigt ophold og under alle omstændigheder inden for 72 timer efter, at den pågældende har fået kendskab til hændelsen, til den kompetente myndighed og CSIRT’en, 3) efter anmodning fra kompetente myndighed og CSIRT’en sendes en foreløbig rapport med relevante statusopdateringer til den anmodende myndighed, 4) en endelig rapport sendes til kompetente myndighed og CSIRT’en senest en måned efter fremsendelsen af den i nr. 2 omhandlede hændelsesunderretning. Rapporten skal indeholde følgende; a) en detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning, b) den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen, c) anvendte og igangværende afbødende foranstaltninger og d) de eventuelle grænseoverskridende virkninger af hændelsen, og 5) såfremt hændelsen fortsat pågår på tidspunktet for fremsendelsen af den endelige rapport, jf. nr. 4, skal den berørte virksomhed forelægge en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter, at hændelsen er håndteret, til kompetente myndighed og CSIRT’en .
Med udmøntningen af den foreslåede bemyndigelsesbestemmelse forventes der fastsat nærmere regler, hvorefter der vil blive fastlagt en flertrinstilgang for underretninger om væsentlige hændelser, som følger NIS 2- direktivets artikel 23, stk. 4. De nærmere regler, som udmøntes på baggrund af bestemmelsen, skal dermed forstås og anvendes i overensstemmelse med direktivernes forudsætninger.
De regler, der vil blive udstedt på baggrund af bestemmelsen om fremgangsmåden for underretningen vil desuden implementere CER-direktivets artikel 15, stk. 1, 1. og 2. pkt., hvoraf det fremgår, at medlemsstaterne sikrer, at kritiske enheder uden unødigt ophold underretter den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af væsentlige tjenester. Medlemsstaterne sikrer, at kritiske enheder, med mindre det operationelt ikke er muligt, indgiver den første underretning senest 24 timer efter at være blevet opmærksom på en hændelse, efterfulgt, hvor det er relevant, af en detaljeret rapport senest 1 måned derefter. Det fremgår endvidere af artikel 15, stk. 2, at underretninger efter artiklen ikke medfører et øget ansvar for kritiske enheder, hvilket vil være gældende for underretninger efter den foreslåede § 12.
Det forventes desuden, at der vil blive fastsat nærmere regler om, at virksomhederne også skal rette henvendelse til den nationale CSIRT, såfremt en hændelse måtte have grænseoverskridende karakter. Bemyndigelse vil endvidere kunne blive udmøntet ved regler, hvorefter den nationale CSIRT via Energistyrelsen (som nationalt kontaktpunkt) uden unødigt ophold skulle underrette de øvrige berørte medlemsstater og ENISA om den væsentlige hændelse, navnlig hvor den væsentlige hændelse berører to eller flere medlemsstater.
Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.
Der er i dag ikke fastsat regler i energisektoren om, i hvilket omfang operatører af væsentlige tjenester skal underrette modtagerne af deres tjenester om væsentlige hændelser, der påvirker de tjenester, som operatørerne leverer.
Det foreslås i § 13, at klima-, energi- og forsyningsministeren kan fastsætte regler om virksomheders pligt til at underrette modtagere af deres tjenester, myndigheder eller juridiske personer, som udfører myndighedsopgaver, om trusler eller hændelser, der kan påvirke eller har potentiale til at påvirke virksomhedens levering af tjenester.
Formålet med bestemmelsen er at skabe hjemmel for ministeren til at fastsætte de nødvendige regler om virksomheders underretningspligt, herunder med henblik på at risici fra en væsentlig cybertrussel eller en væsentlig hændelse vil kunne blive håndteret effektivt.
De kommende regler vil skulle implementere artikel 23, stk. 1, 2. pkt., i NIS 2-direktivet, som fastsætter en forpligtelse for medlemsstaterne til at sikre, at væsentlige og vigtige enheder i relevant omfang underretter modtagerne af deres tjenester om væsentlige hændelser, der sandsynligvis vil påvirke leveringen af disse tjenester negativt.
Desuden vil de kommende regler skulle implementere NIS 2-direktivets artikel 23, stk. 2, der fastsætter en forpligtelse for medlemsstaterne til at sikre, at væsentlige og vigtige enheder i givet fald uden unødigt ophold meddeler modtagerne af deres tjenester, som potentielt kan være berørt af en væsentlig cybertrussel, eventuelle foranstaltninger eller modforholdsregler, som disse modtagere kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal enhederne også informere de pågældende modtagere om selve den væsentlige trussel.
Ved udmøntningen af bemyndigelsesbestemmelsen forventes ministeren i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 103, at fastsætte nærmere regler, hvorefter virksomheder uden unødigt ophold vil skulle underrette deres tjenestemodtagere om enhver foranstaltning eller modforholdsregel, de vil kunne træffe for at afbøde risici fra en væsentlig cybertrussel. Virksomhederne vil herefter være forpligtede til også at informere deres tjenestemodtagere om selve truslen, i det omfang det vil være hensigtsmæssigt, og navnlig hvor den væsentlige cybertrussel sandsynligvis vil materialisere sig. Disse forpligtelser vil ikke fritage disse virksomheder for forpligtelsen til for egen regning at træffe passende og øjeblikkelige foranstaltninger til at forebygge eller afhjælpe enhver trussel af denne art og genoprette tjenestens normale sikkerhedsniveau.
Ministeren forventes endvidere på baggrund af bestemmelsen og i overensstemmelse med præambel betragtning nr. 103 i NIS 2-direktivet, hvorefter oplysninger om væsentlige cybertrusler blandt andet bør stilles gratis til rådighed for modtagerne, at fastsætte nærmere regler om at oplysninger om væsentlige cybertrusler vil skulle stilles gratis til rådighed for modtagerne i et let forståeligt sprog.
It-sikkerhedshændelser, der i væsentlig grad reducerer en virksomheds funktionalitet eller funktionaliteten af andre dele af el- og naturgassektoren, skal omgående meddeles Energinet, jf. it-beredskabsbekendtgørelsens § 21, stk. 1. Energinet kan efter høring af den meddelende virksomhed oplyse offentligheden om den konkrete hændelse, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse, jf. § 21, stk. 7.
Visse virksomheder i oliesektoren og den centrale lagerenhed skal uden ugrundet ophold meddele Energistyrelsen om hændelser, der i væsentlig grad reducerer deres funktionalitet eller funktionaliteten af andre dele af oliesektoren, jf. § 14, stk. 1 i olieberedskabsbekendtgørelsen. Energistyrelsen kan efter høring af den meddelende virksomhed i stk. 1 oplyse offentligheden om konkrete it-beredskabshændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse, jf. § 14, stk. 3.
Efter det foreslåede stk. 1, kan Klima-, energi- og forsyningsministeriet efter høring af en virksomhed, der er eller bliver ramt af en hændelse, informere offentligheden om hændelsen, hvis det er nødvendigt for at forebygge eller håndtere hændelsen, eller hvor informeringen af offentligheden om hændelsen på anden måde er i offentlighedens interesse.
Bestemmelsen har til formål sammen med den foreslåede stk. 2 at implementere artikel 23, stk. 7, i NIS 2-direktivet. Bestemmelsen implementerer også artikel 15, stk. 4, 2. punktum i CER-direktivet, hvorefter medlemsstaterne orienterer offentligheden, hvor de vurdere, at det vil være i offentlighedens interesse at gøre det.
Bestemmelsen skal derfor forstås og anvendes i overensstemmelse med NIS 2- og CER-direktivernes forudsætninger.
For en nærmere beskrivelse af begrebet hændelse, henvises til de specielle bemærkninger til den foreslåede § 3, nr. 11.
Klima-, Energi- og Forsyningsministeriet har overvejet, om den foreslåede bestemmelse har karakter af en offentliggørelsesordning, som behandlet i betænkning nr. 1516 af 2010 om offentlige myndigheders offentliggørelse af kontrolresultater, afgørelse mv. (betænkning 1516), der vil fordre, at ministeriet gennemgik betænkningens ”tjekliste” til brug ved indførelse af ordninger med systematisk offentliggørelse af oplysning om kontrolresultater, afgørelser mv. på internettet i ikke anonymiseret form.
Det fremgår af betænkningens side 105, at det kun er ordninger, hvor der sker offentliggørelse af indholdet af kontrolresultaterne, afgørelser mv. i ikke-anonymiseret form, som er omfattet af udvalgets arbejde. Det fremgår endvidere af side 107 i betænkningen, at der med ”systematisk offentliggørelse” forstås, at der på et givent område sker offentliggørelse enten af alle afgørelse eller af en flerhed af afgørelser efter nærmere retningslinjer. Det fremgår dernæst, at i modsætning hertil står for eksempel en myndigheds offentliggørelse af oplysninger om en enkelt afgørelse for eksempel på grund af stor forudgående presseomtale eller politisk interesse for sagen.
Som det fremgår nedenfor vedrørende bestemmelsens materielle indhold, er der ikke tale om offentliggørelse af et kontrolresultat eller en afgørelse, men offentliggørelse af en hændelse med henblik på hændelsen kan forebygges eller håndteres ved informeringen af offentligheden, eller hvor informeringen af offentligheden om hændelsen på anden måde er i offentlighedens interesse. Det kan dog ikke udelukkes, at en sådan ordning vil være omfattet af betænkningens ”m.v.”, særligt fordi der er en sandsynlighed for, at offentliggørelsen af hændelsen kan vise, at den fysiske eller juridiske person har overtrådt konkret bestemmelser i lovforslaget eller regler fastsat i medfør af forslaget, hvilket, jf. andet afsnit af betænkningens side 105 medfører en formodning om, at der tale om en offentliggørelsesordning omfattet af betænkningen.
Det kan dog udelukkes på baggrund af nedenstående beskrivelse af bestemmelsens materielle indhold, at der med ordningen vil være tale om systematisk offentliggørelse. Der lægges således op til, at det kun sjældent vil være relevant for slutbrugere at blive informeret om en hændelse, ligesom behovet for offentliggørelse af hændelsen vil bero på en konkret vurdering, hvilket taler imod at der er tale om systematisk offentliggørelse. Klima-, Energi- og Forsyningsministeriet vurderer på den baggrund, at det ikke er nødvendigt at overveje hensynene fra betænkning 1516’s ”tjekliste”.
Klima-, Energi- og Forsyningsministeriet, vil i det følgende kort redegøre for behovene og hensynene fra betænkning 1516’s tjekliste, der begrunder den foreslåede offentliggørelsesordning, om end den ikke vurderes omfattet af betænkning 1516, for fuldstændighedens skyld.
Det er således Klima-, Energi- og Forsyningsministeriets vurdering, at der er behov for, at der kan ske offentliggørelse af hændelser, hvor navne på særligt juridiske personer, og i meget sjældne tilfælde fysiske personer, fremgår. Det vil således være en væsentlig information for offentlighedens forståelse af hændelsens konsekvenser, at det fremgår hos hvilken virksomhed hændelsen har fundet sted. En række energivirksomheder er således naturlige monopoler, hvorfor en hændelse hos sådanne virksomheder vil være med til at identificere, om hændelsen vil have konsekvenser på lokalt, regionalt, nationalt eller europæisk plan.
Der vil potentielt blive offentliggjort oplysninger, som betragtes som særligt indgribende, og derfor i udgangspunktet vil tale i mod at etablere en offentliggørelsesordning. Det kan således ikke udelukkes, at der som led i offentliggørelse af hændelsen oplyses, hvad årsagen til hændelsen måtte være, hvilket indirekte kan indikere, at virksomheden potentielt har overtrådt reglerne i lovforslaget eller regler udstedt i medfør af forslaget.
Der er dog tungtvejende samfundsmæssige interesser, som opvejer hensynet til offentliggørelse af oplysninger om de fysiske og juridiske personers potentielle strafbare forhold. Således vil en hændelse hos en virksomhed have store og meget direkte konsekvenser for samfundets forsyning af forskellige energiarter. En hændelse hos en elektricitetsvirksomhed vil således kunne føre til strømafbrydelse i større dele af Danmark, en hændelse hos visse fjernvarmeoperatører vil kunne føre til, at tusindvis af mennesker står uden varmeforsyning i deres privathjem og på deres arbejde. I sådanne tilfælde har offentligheden en tungtvejende interesse i at blive bekendt med muligheden for og årsagen til, strømsvigt eller manglende varmeforsyning, samt interesse i hvornår hændelsen forventes håndteret og forsyningen af energi genoprettet.
Med den foreslåede bestemmelse sikres hjemmel til at offentliggøre information om potentielle eller konkrete hændelser, og det er nærmere afgrænset neden for, hvornår bestemmelsen kan anvendes, herunder at der ved offentliggørelse særligt skal tages hensyn til virksomhedernes særligt følsomme oplysninger, og at tavshedspligten i forvaltningsloven § 27, stk. 1, lige, som er straffebelagt i straffelovens § 152 og §§ 152 c-152 f, skal overholdes.
Det er således Klima-, Energi- og Forsyningsministeriet vurdering, at samtlige seks punkter i betænkning 1516’s tjekliste vil være overholdt, hvorfor den foreslåede offentliggørelsesordning vil være i overensstemmelse med betænkningens kriterier for sådanne ordninger.
Den foreslåede bestemmelse vil indebære, at klima-, energi- og forsyningsministeren vil kunne orientere offentligheden om en hændelse, hvis orienteringen er i offentlighedens interesse. Der skal skelnes mellem om offentliggørelse er nødvendig for at forebygge eller håndtere en hændelse, hvilket er i overensstemmelse med NIS 2-direktivets artikel 23, stk. 7, eller hvorvidt offentliggørelse af hændelsen på anden vis er i offentlighedens interesse hvilket er i overensstemmelse med CER-direktivets artikel 15, stk. 4, 2. pkt.
I vurderingen af om der skal ske offentliggørelse, vil der skulle ske inddragelse af følgende hensyn; 1) antallet af brugere som er berørt af hændelsen, 2) hvilke sektorer som er ramt af hændelsen, 3) hvilke tjenester, der er påvirket af hændelsen, 4) hvilke typer af oplysninger som hændelsen vedrører, 5) den indvirkning, som hændelser kunne have på økonomiske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens sundhed. Desuden vil der efter den foreslåede bestemmelse skulle foretages en afvejning af hensynet til den konkrete virksomhed over for hensynet til orientering af offentligheden.
Offentliggørelse vil også kunne ske til en afgrænset del af offentligheden, eksempelvis sådan at offentliggørelse kun sker til andre virksomheder i energisektoren eller dele af denne sektor. Ligeledes vil offentliggørelsen kunne afgrænses til relevante aktører ud fra en vurdering af klima-, energi- og forsyningsministeren. Det er sjældent, at offentliggørelse af en hændelse vil være relevant for slutbrugere.
Klima-, Energi- og Forsyningsministeriet vil i medfør af bestemmelsen skulle høre den berørte virksomhed, før der sker offentliggørelse af hændelsen. Det forudsættes, at virksomheden så vidt muligt vil skulle have en rimelig frist til at afgive bemærkninger til høringen, dog uden at formålet med offentliggørelsen forspildes. To hensyn understøttes ved at offentliggørelse vil ske efter høring af virksomheden. For det første vil det sikre, at det er korrekte informationer der bliver meddelt til offentligheden. For det andet vil det sikre, at der ikke vil blive offentliggjort oplysninger som er særligt følsomme for virksomhederne.
I tilfælde, hvor ministeren har vurderet om der skal ske offentliggørelse af en hændelse eller ej og har fundet at orientering af offentligheden er nødvendigt for at forebygge eller forhindre en hændelse, vil der være helt særlige og meget tungtvejende grunde til, at der skal ske offentliggørelse. Et svar fra en høring af virksomheden vil i disse tilfælde derfor kun i helt ekstraordinære situationer føre til, at der ikke skal ske offentliggørelse.
I tilfælde, hvor ministeren har vurderet om der skal ske offentliggørelse af en hændelse eller ej og har fundet at der skal ske orientering af offentligheden fordi informationerne på anden vis er i offentlighedens interesse, vil der i større grad lægges vægt på virksomhedens forhold. En høring af virksomheden i disse tilfælde, vil dermed i større grad kunne lede til, at ministeren undlader at informere offentligheden.
Det bemærkes i den forbindelse, at hensynene i forvaltningslovens § 27, om offentlige ansattes tavshedspligt, vil skulle iagttages ved vurderingen af, hvorvidt der skal ske orientering af offentligheden. Dette omfatter bl.a. hensynet til enkeltpersoners private forhold, forretningshemmeligheder samt hensynet til forebyggelse, efterforskning og forfølgning af lovovertrædelser. En offentliggørelse efter den foreslåede bestemmelse vil ikke kunne udgøre et brud på tavshedspligten efter forvaltningslovens § 27. I tillæg hertil skal de hensyn som fremgår af lovforslagets kapitel 10 om fortrolighed indgå i overvejelser om orientering af offentligheden.
Der stilles ikke i bestemmelsen nærmere krav til formen for orienteringen. Orientering af offentligheden vil således kunne ske på den måde, som klima-, energi- og forsyningsministeren finder bedst egnet under hensyn til den berørte virksomhed, hændelsens karakter, den geografiske udstrækning, den forventede betydning for bestemte dele af offentligheden m.v.
Rammer en hændelse flere sektorer, eller har en hændelse potentiale til at ramme flere sektorer, forudsættes det, at der forud for offentliggørelse vil skulle ske en koordinering mellem klima-, energi- og forsyningsministeren og de andre relevante kompetente myndigheder efter hhv. NIS 2- og CER-direktivet.
Det forventes, at det som udgangspunkt vil være klima-, energi- og forsyningsministeren, der foretager offentliggørelsen af en hændelse, jf. dog det foreslåede stk. 2, idet ministeren vil være nærmest til at foretage afvejningen af virksomhedens eventuelle interesse i, at der ikke sker offentliggørelse over for hensynet til offentligheden.
Efter det foreslåede stk. 2, kan klima-, energi- og forsyningsministeren i situationer efter stk. 1 påbyde virksomheder at informere offentligheden om hændelsen.
Den foreslåede bestemmelse har til formål give hjemmel til klima-, energi- og forsyningsministeren til at give påbud til virksomheden om selv at informere offentligheden om hændelsen. Den foreslåede bestemmelse har endvidere til formål at implementere NIS 2-direktivets artikel 23, stk. 7, 2. punktum, hvorefter medlemsstater efter høring af en virksomhed, kan kræve at virksomheden informerer offentligheden om hændelsen.
Efter den foreslåede bestemmelse vil en afgørelsen efter stk. 1 om, at der skal ske offentliggørelse kunne ledsages af en meddelelse af påbud til virksomheden om, selv at informere om hændelsen.
Bestemmelsen forventes anvendt i situationer, hvor det enten af ministeren eller af virksomheden i forbindelse med høringen efter stk. 1, er blevet vurderet mest hensigtsmæssigt, at virksomheden selv offentliggør hændelsen. Det kan f.eks. være fordi at virksomheden allerede selv arbejder på at informere offentligheden som det nogle gange er tilfældet når virksomheder bliver ramt af større hændelser.
Påbuddet der gives efter bestemmelsen vil endvidere skulle specificere hvilke informationer der offentliggøres, hvilken detaljegrad informationerne skal have, hvornår, hvor og hvordan offentliggørelsen skal finde sted.
Bestemmelsen kan også bruges til at påbyde virksomheden at supplere ministerens offentliggørelse af hændelsen, og dermed offentliggøre yderligere oplysninger eller blot gengive ministerens offentliggørelse.
Der henvises i øvrigt til bemærkningerne til § 14, stk. 1.
Der er i dag ikke fastsat regler i energisektoren, der regulerer, frivillige indberetninger til Klima-, Energi- og Forsyningsministeriet om hændelser, med henblik på, at ministeriet kan udnytte erfaringer med cybertrusler og sikkerhedsrisici på tværs af samfundet.
Det følger af det foreslåede stk. 1, at enhver kan underrette Klima-, Energi- og Forsyningsministeriet om væsentlige hændelser, cybertrusler og nærvedhændelser, der negativt påvirker eller vurderes at kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale servicer i energisektoren.
For en nærmere beskrivelse af begreberne hændelse, cybertrusler og nærvedhændelser henvises til de specielle bemærkninger til den foreslåede § 3, nr. 11, 4 og 22.
Den foreslåede bestemmelse har til formål at implementere NIS 2-direktivets artikel 30, stk. 1, litra a og b. Det følger derfor af den foreslåede bestemmelse, at der i tilgift til underretningsforpligtelsen der vil blive fastsat i medfør af den foreslåede § 12 og § 13 kan indgives underretninger til Klima-, Energi- og Forsyningsministeriet på frivillig basis af virksomheder omfattet af loven for så vidt angår hændelser, cybertrusler og nærvedhændelser, samt virksomheder og personer der ikke er omfattet af loven for så vidt angår væsentlige hændelser, cybertrusler og nærvedhændelser.
Den foreslåede bestemmelse vil indebære, at alle offentlige og private virksomheder samt privatpersoner vil kunne underrette Klima-, Energi- og Forsyningsministeriet om hændelser, der negativt påvirker, eller vurderes at kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale services, hvilket indholdsmæssigt svarer til begrebet »sikkerhedshændelse« efter § 2, nr. 1, i lov om Center for Cybersikkerhed, jf. lovbekendtgørelse nr. 836 af 7. august 2019 (CFCS-loven). Det bemærkes i den forbindelse, at begrebet »digitale services« skal forstås i overensstemmelse med begrebet »digitale tjenester« i CFSF-loven.
Det er Klima-, Energi- og Forsyningsministeriets vurdering, at underretning af ministeriet ved større sikkerhedshændelser skaber de bedst mulige forudsætninger for, at Klima-, Energi- og Forsyningsministeriet kan udnytte erfaringer med cybertrusler og sikkerhedsrisici på tværs af samfundet – og dermed skabe et samlet overblik over den aktuelle sikkerhedstilstand i energisektoren i Danmark. Underretninger vil således sætte Klima-, Energi- og Forsyningsministeriet i stand til at varsle hurtigere om trusler og styrke grundlaget for rådgivningen om risici og passende sikkerhedstiltag.
Det bemærkes, at frivillige underretninger foreslås undtages fra aktindsigt efter lovforslagets § 27, jf. de specielle bemærkninger til denne bestemmelse.
Det følger af den foreslåede stk. 2, at klima-, energi- og forsyningsministeren uden unødigt ophold skal videresende underretninger efter stk. 1, til den danske CSIRT.
Den foreslåede bestemmelse, vil medføre, at klima-, energi- og forsyningsministeren uden unødigt ophold vil skulle videresende underretninger efter stk. 1, til den danske såkaldte CSIRT.
Det forventes derfor, at klima-, energi- og forsyningsministeren vil skulle videresende underretninger efter den foreslåede stk. 1 til Center for Cybersikkerhed, således NIS 2- direktivets artikel 30, stk. 1, litra a og b, kan implementeres fuldt ud.
Center for Cybersikkerhed (CFCS) blev ved implementeringen af NIS 1-direktivet udpeget som CSIRT i Danmark, og opgaven har hidtil været varetaget som en del af Netsikkerhedstjenesten i CFCS. Med den kongelige resolution af 29. august 2024 er Center for Cybersikkerhed, bortset fra Netsikkerhedstjenesten, blevet overdraget til Ministeriet for Samfundssikkerhed og Beredskab. Det betyder, at Forsvarsministeriet, herunder FE, indtil videre bibeholder ansvaret for CSIRT-funktionen.
Det forventes, at Energistyrelsen vil skulle varetage opgaven som kompetent myndighed på energiområdet for Danmark i overensstemmelse med NIS 2-direktivets artikel 8, stk. 3.
Forså vidt angår de persondataretlige overvejelser i relation til den foreslåede bestemmelse, henvises der til pkt. 4 i de almindelige bemærkninger.
Det foreslås i § 16, stk. 1, at klima-, energi- og forsyningsministeren efter forhandling med justitsministeren kan fastsætte nærmere regler om, på hvilke betingelser en virksomhed kan få foretaget baggrundskontrol af personer i energisektoren, der: 1) varetager følsomme opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds modstandsdygtighed, 2) er bemyndiget til at få direkte adgang, indirekte adgang eller fjernadgang til en kritisk enheds lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med den kritiske enheds sikkerhed eller 3) overvejes ansat i stillinger, der indebærer opgavevaretagelse efter nr. 1 og/eller nr. 2.
Den foreslåede bestemmelse har til formål at implementere artikel 14 i Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet), hvorefter medlemsstaterne efter artiklens stk. 1 angiver, på hvilke betingelser en kritisk enhed i behørigt begrundede tilfælde og under hensyntagen til medlemsstatsrisikovurderingen har tilladelse til at indgive anmodninger om baggrundskontrol af personer, der a) varetager følsomme opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds modstandsdygtighed, b) er bemyndiget til at få direkte adgang eller fjernadgang til en kritisk enheds lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med den kritiske enheds sikkerhed, c) overvejes ansat i stillinger, der hører under kriterierne i litra a) eller b).
Den foreslåede bestemmelse svarer i det væsentlige indholdsmæssigt til CER-direktivets artikel 14, stk. 1, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Det fremgår af CER-direktivets præambelbetragtning nr. 32, at risikoen for at ansatte i kritiske enheder eller deres kontrahenter misbruger for eksempel deres adgangsret inden for den kritiske enheds organisation til at skade og forvolde skade, giver anledning til stigende bekymring. Derfor bør medlemsstaterne angive de betingelser, på hvilke kritiske enheder i behørigt begrundede tilfælde og under hensyntagen til medlemsstatsrisikovurderinger har tilladelse til at indgive anmodninger om baggrundskontrol af personer, der tilhører specifikke kategorier af deres personale.
Det foreslås, at klima-, energi- og forsyningsministeren bemyndiges til at fastsætte nærmere regler om, på hvilke betingelser en virksomhed i energisektoren vil kunne anmode om baggrundskontrol af visse personer i energisektoren.
Efter den foreslåede bestemmelse vil klima-, energi- og forsyningsministeren efter forhandling med justitsministeren kunne fastsætte nærmere regler, der vil udmønte den nærmere ordning for gennemførelse af CER-direktivets artikel 14 om baggrundskontrol i energisektoren.
Det bemærkes, at gennemførelse af baggrundskontrol vil ske på baggrund af en ansøgning fra en virksomhed i energisektoren og forudsætter, at den pågældende person har meddelt samtykke dertil.
Det fremgår bl.a. af CER-direktivets artikel 14, stk. 2, at anmodninger om baggrundskontrol vurderes inden for en rimelig frist og behandles i overensstemmelse med national ret og nationale procedurer samt relevant og gældende EU-ret, herunder EU-regulering om beskyttelse af personoplysninger. Baggrundskontrol skal være forholdsmæssig og strengt begrænset til, hvad der er nødvendigt. Den foretages udelukkende med henblik på at vurdere en potentiel sikkerhedsrisiko for den berørte kritiske enhed.
CER-direktivets artikel 14, stk. 3, fastsætter bl.a., at baggrundskontrollen mindst skal bekræfte identiteten af den person, som er genstand for baggrundskontrollen, og at der skal foretages en kontrol af strafferegistre for den pågældende person for lovovertrædelser, der er relevante for en bestemt stilling.
Det er forventningen, at den nærmere udmøntning af ordningen for baggrundskontrol som udgangspunkt vil ske i overensstemmelse med kravene i CER-direktivets artikel 14, stk. 2 og 3, men at der i den nærmere udmøntning vil kunne være mulighed for, at indføre krav om udvidet baggrundskontrol, i lighed med ordningen for udvidet baggrundskontrol på luftfartsområdet, jf. pkt. 3.4.1 ovenfor. Som det også fremgår af CER-direktivets præambelbetragtninger, vil udformningen af baggrundskontrollen desuden skulle fastsættes under hensyntagen til medlemsstaternes risikovurderinger.
Det bemærkes i den forbindelse, at CER-direktivets krav om baggrundskontrol har til formål at imødegå risikoen for, at ansatte i kritiske enheder misbruger eksempelvis deres adgangsret inden for den kritiske enheds organisation til at forvolde skade. Dette vil derfor også være styrende for den nærmere vurdering af, hvilke kriterier der skal indgå i overvejelserne om godkendelsesniveauet, samt hvilke strafbare eller personlige forhold, der skal have betydning for baggrundskontrollen i forhold til den konkrete stilling.
Som beskrevet i pkt. 3.1.3 og de specielle bemærkninger til § 4, stk. 2 forventes det, at de af loven omfattede virksomheder inddeles i fem niveauer på baggrund af deres forsyningsstørrelse og kritikalitet for forsyningssikkerheden i energisektoren. Niveau 1–virksomheder forventes at være de mindst kritiske for forsyningssikkerheden og niveau 5-virksomheder forventes at være det mest kritiske.
Efter den foreslåede bestemmelse forventes der fastsat nærmere regler om, at personale med en indirekte mulighed for at påvirke forsyningssikkerheden i virksomheder i niveau 3, 4 og 5 skal have opnået tilfredsstillende resultat ved udvidet baggrundskontrol. Indirekte mulighed for at påvirke energiforsyningen forventes eksempelvis at være personer med uledsaget adgang til virksomhedens kontrolcenter (fx rengøringspersonale eller konsulenter) eller adgang til anlæg (fx gartnere og vagter) samt softwareudviklere og andre personer som sidder med fx test og udvikling af systemer, som anvendes til at styre produktion, lagring, transmissionen eller distribution af energi.
For virksomheder i niveau 2, som har betydning for energiforsyningen på regionalt eller lokalt niveau, forventes der i relevant omfang fastsat nærmere regler om, at personale som enten har direkte eller indirekte mulighed for at påvirke forsyningssikkerheden, omfattes af krav om udvidet baggrundskontrol.
For virksomheder i niveau 1 lægges der op til, at virksomheden ikke omfattes af krav om udvidet baggrundskontrol, men at virksomheden i relevant omfang selv foretager baggrundskontrol i form af ID/CV-kontrol.
Afgørelser om, hvorvidt en person har gennemgået en udvidet baggrundskontrol med et tilfredsstillende resultat og om tilbagekaldelse af en afgørelse om udvidet baggrundskontrol, vil skulle træffes af Energistyrelsen. Disse afgørelser vil træffes på baggrund af oplysninger om pågældende person, som politiet tilvejebringer.
Det foreslås i stk. 2, 1. pkt., at klima-, energi- og forsyningsministeren efter forhandling med justitsministeren og ministeren for samfundssikkerhed og beredskab kan fastsætte regler om, at personer, der er omfattet af stk. 1, skal sikkerhedsgodkendes af Klima-, Energi- og Forsyningsministeriet.
Med den foreslåede bestemmelse vil der således i loven være en særskilt hjemmel til fastsættelse af regler om sikkerhedsgodkendelse af ansatte i energisektoren.
Baggrunden for det foreslåede stk. 2, er, at Klima-, Energi- og Forsyningsministeriet vurderer, at udvidet baggrundskontrol i visse tilfælde ikke vil være tilstrækkelig til at sikre den fornødne personelsikkerhed i energisektoren. Det skyldes bl.a., at nogle ansatte i energisektoren i deres konkrete opgaveløsning har mulighed for potentielt at påvirke energiforsyningen på fx regionalt, nationalt eller europæisk niveau, og at der derfor for disse ansatte er behov for en mere omfattende personelsikkerhedsundersøgelse end fx udvidet baggrundskontrol. Efter den foreslåede bestemmelse forventes der fastsat nærmere regler om, at ansatte i virksomheder i niveau 3, 4 og 5, som har direkte adgang til at påvirke energiforsyningen i energisektoren, skal sikkerhedsundersøges af Politiets Efterretningstjeneste med henblik på afgørelse om vedkommende kan sikkerhedsgodkendes til graden FORTROLIGT.
Der lægges op til, at sikkerhedsundersøgelsen i udgangspunktet er til klassifikationsgraden FORTROLIGT, medmindre der er en konkret og særlig begrundelse for at foretage en undersøgelse til klassifikationsgraden HEMMELIG eller YDERST HEMMELIGT. Ved valg undersøgelse til klassifikationsgraden HEMMELIGT eller YDERST HEMMELIGT i stedet for FORTROLIGT lægges der vægt på, at virksomheden indgår i fx samarbejde med efterretningstjenesterne eller indgår i tværgående beredskabsarbejde, hvor der kan være krav om godkendelse til klassifikationsgraden HEMMELIGT eller YDERST HEMMELIGT for deltagelse.
Det lægges op til, at det er Energistyrelsen, som har kompetence til at vælge om sikkerhedsundersøgelsen i særlige tilfælde er til HEMMELIGT eller YDERST HEMMELIGT i stedet for FORTROLIGT.
Ved direkte adgang til at påvirke energiforsyningen forstås, at den pågældende ansatte eller konsulent har væsentlige fysiske eller logiske adgange og rettigheder, fx at vedkommende har ubegrænset fysisk adgang til virksomhedens anlæg eller kontrolrum eller at vedkommende har domænerettigheder eller lign. privilegerede rettigheder til virksomhedens kritiske systemer.
Efter den foreslåede bestemmelse forventes der endvidere fastsat nærmere regler om kriterier for, på hvilke betingelser en virksomhed i energisektoren vil kunne anmode om sikkerhedsgodkendelse. Det bemærkes i den forbindelse, at gennemførelse af sikkerhedsgodkendelse vil ske på grundlag af en ansøgning fra virksomheden og forudsætter, at vedkommende har meddelt samtykke dertil.
Efter det foreslåede stk. 2, 2. pkt., kan klima-, energi- og forsyningsministeren efter forhandling med justitsministeren og ministeren for samfundssikkerhed og beredskab fastsætte regler om ansøgninger om sikkerhedsgodkendelser, herunder betingelser for indgivelse af sådanne ansøgninger samt meddelelse og tilbagekaldelse af sikkerhedsgodkendelser.
Det forventes, at der fastsættes nærmere regler om ansøgning og afgørelser om sikkerhedsgodkendelser, samt meddelelse om og tilbagekaldelse af afgørelser om sikkerhedsgodkendelser. Dette omfatter bl.a. administrative krav i forbindelse med indgivelse af en ansøgning, hvilken myndighed der træffer afgørelse, krav om afmelding, hvis en person ikke længere har en funktion, som forudsætter en sikkerhedsgodkendelse, og bestemmelser om, at afgørelsen tilbagekaldes, hvis en person ikke længere opfylder kravene til godkendelsen.
Det bemærkes i forlængelse heraf, at ansøgninger om sikkerhedsgodkendelse – i overensstemmelse med den gældende praksis på området – vil skulle indgives til Klima-, Energi- og Forsyningsministeriet, som træffer afgørelse på baggrund af en sikkerhedsundersøgelse foretaget af Politiets Efterretningstjeneste.
For så vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.
Det følger af elforsyningslovens § 51 d og gasforsyningslovens § 30 a, stk. 5-7, at de virksomheder, der i dag er pålagt krav om beredskabsplanlægning, fysisk sikring og cybersikkerhed i el- og gassektorerne halvårligt skal betale et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostningerne af ministeriets tilsyn med virksomhedernes overholdelse af regler udstedt i medfør af elforsyningslovens §§ 85 b, stk. 4, og 85 c, stk. 6, samt gasforsyningslovens §§ 15 a, stk. 4, og 15 b, stk. 6.
Gebyrernes størrelse er fastsat i gebyrbekendtgørelsen jf. gebyrbekendtgørelsens § 10, stk. 2. Gebyrerne er fastsat som generelle grundbeløb fordelt på fire kategorier, gradueret således, at gebyret er størst for virksomheder i kategori 1 og lavest for virksomheder i kategori 4 jf. gebyrbekendtgørelsens § 10.
Efter forarbejderne til § 51 d i elforsyningsloven og § 30 a, stk. 5-7 er følgende aktiviteter og opgaver gebyrfinansieret: Godkendelse af beredskabsmateriale, herunder dialog om mangler, fejl, rykkere efter indsendelse til tilsyn, fysisk tilsyn, herunder forberedelse af tilsyn, udarbejdelse af skabeloner, gennemgå beredskabsmateriale, bookning af rejse o.lign., rejsetid til og fra virksomheden, udarbejdelse af tilsynsrapport samt nødvendig uddannelse af medarbejdere, der skal foretage tilsyn.
Følgende opgaver og aktiviteter er ikke gebyrfinansieret efter gældende ret, da de ikke er nævnt i de ovennævnte forarbejder: udarbejdelse af vejledningsmateriale, vejledning om krav til beredskabsmateriale før indsendelse til tilsyn, udarbejdelse af påbud eller politianmeldelser, og udarbejdelse og revision af lovgivning.
Klima-, energi- og forsyningsministerens tilsyn med det almene beredskab og it-beredskabet hos Energinet finansieres via et lovfastsat grundbeløb i elforsyningslovens § 51 b og gasforsyningslovens § 30 a, stk. 3, hvor beløbet er en delmængde af et større beløb, der opkræves for tilsyn med Energinets aktiviteter efter de to love.
Der henvises i øvrigt til afsnit 3.5.1 i lovforslagets almindelige bemærkninger.
Efter det foreslåede stk. 1, betaler virksomheder et fast beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostninger til tilsyn med virksomheder efter reglerne i lovforslaget og regler udstedt i medfør af lovforslaget.
Det er formålet med bestemmelsen at sikre fuld omkostningsdækning for Energistyrelsen, der forventes at få delegeret tilsynet med virksomhederne. Det betyder, at udgifterne forbundet med tilsynet og administrationen af ordningen modsvares af de samlede opkrævninger. Ordningen vil dermed hvile i sig selv. Dette vil sikre, at princippet om proportionalitet mellem den ydelse, som virksomheden får, og det gebyr, der opkræves herfor, overholdes.
Bestemmelsen vil videreføre gældende ret fra § 51 d i elforsyningsloven og § 30 a, stk. 5 i gasforsyningsloven, der foreslås ophævet, fsva. elproducerende virksomheder, netvirksomheder, produktionsbalanceansvarlige virksomheder i elsektoren, gasdistributionsselskaber og gaslagerselskaber. Derudover vil bestemmelsen udvide anvendelsesområdet ift. gældende til også at omfatte de resterende virksomheder i el- og gassektoren samt fjernvarme-, fjernkøling-, olie- og brintsektorerne som oplistet i den foreslåede § 2, stk. 1.
Den halvårlige betaling er en fortsættelse af den hidtidige frekvens for betaling for tilsyn med virksomhedernes beredskabsarbejde efter de ovennævnte bestemmelser. Den halvårlige frekvens sikrer, at der ikke skal betales for store beløb ad gangen, samt at opkrævningen kan finde sted i samme frekvens som andre betalinger for myndighedsbehandling efter elforsyningsloven, gasforsyningsloven og olieberedskabsloven.
Konsekvensen af det foreslåede stk. 1 er som beskrevet, at der sker en udvidelse af den gebyrordning der i dag finansierer klima-, energi- og forsyningsministerens tilsyn med el- og naturgasvirksomhedernes beredskab efter § 85 b og 85 c i elforsyningsloven og § 15 a og b i gasforsyningsloven og regler udstedt i medfør af disse paragraffer.
Efter den forslåede § stk. 1, skal virksomhederne betale administrativt fastsatte gebyrer for det tilsyn, de modtager. Gebyrerne vil blive fastsat som generelle grundbeløb, der dækker de udgifter som Energistyrelsen afholder i forbindelse med, at der forventes delegeret tilsynet med virksomhederne fra klima-, energi- og forsyningsministeren, har med administration og tilsyn med ordningen. De gældende § 51 d i elforsyningsloven og § 30 a, stk. 5 i gasforsyningsloven foreslås samtidigt ophævet i disse love, da de erstattes af den foreslåede stk. 1.
Omkostninger, der vil dækkes af den foreslåede stk. 1, vil være forbundet med det direkte tilsyn med virksomhedernes overholdelse af reglerne i lovforslaget og regler udstedt i medfør heraf som føres efter en fast kadance, fastsat på bekendtgørelsesniveau med hjemmel i den foreslåede § 19, stk. 4, samt andre processkridt der er nødvendige for at der kan føres dette tilsyn med virksomhederne. Det vil eksempelvis være forberedelse af tilsyn, såsom indhentning af materiale, udsendelse af selvevalueringsskemaer, planlægning af tilsyn i dialog med virksomheden, effektiv transport til og fra virksomheder, afholdelsen af selve det fysiske tilsyn, udgift til eventuel kost og logi i forbindelse med tilsynet, opfølgning på tilsynet, nødvendig uddannelse, efteruddannelse, certificering og recertificering af medarbejderne til at føre tilsyn samt udarbejdelse af påbud eller politianmeldelser. Hertil kommer udgifter til skrivebordstilsyn, der bliver ført i forbindelse med godkendelse af virksomhedernes konklusioner fra risiko og sårbarhedsvurderingerne, beredskabsplaner, it-beredskabsplaner øvelsesplaner, øvelsesindberetninger og hændelser-som-øvelser samt kontrakter med proaktive og reaktive it-sikkerhedstjenester.
Omkostninger til tilsyn med virksomhederne vil endvidere omfatte udgifter som Energistyrelsen afholder i forbindelse med, at der forventes delegeret tilsynet med virksomhederne fra klima-, energi- og forsyningsministeren, vil afholde som led i administrationen af tilsynsordningen, da disse administrative processkridt er en forudsætning for at der kan føres tilsyn med virksomheder. Disse er eksempelvis udgifter til klassificering af virksomhedernes anlæg og niveauinddeling af virksomhederne efter reglerne i den foreslåede § 4, udarbejdelse af risiko og sårbarhedsscenarier, som virksomhederne skal bruge i deres risiko og sårbarhedsvurderingsarbejde, den halvårlige gebyropkrævning af virksomhederne, herunder indhentelse af faktureringsoplysninger fra virksomhederne, vejledningen af virksomhederne i reglernes konkrete anvendelse på deres virksomhed, samt håndtering af hændelsesindberetninger fra virksomhederne.
Udgifter til udarbejdelse af generelt vejledningsmateriale og udarbejdelse/revision af lovgivning vil forsat ikke finansieres af det foreslåede gebyr i stk. 1, men afholdes inden for ministeriets almindelige bevilling.
Der er efter gældende ret ikke muligt at opkræve gebyrer fra virksomhederne til finansiering af ad-hoc tilsyn der føres uden for den normale tilsynskadence.
Efter det foreslåede stk. 2, betaler virksomheder for ad-hoc-tilsyn halvårligt et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostningerne for ad-hoc-tilsynet med virksomheden efter reglerne i denne lov eller efter regler udstedt i medfør af loven.
For beskrivelse af ad-hoc tilsyn ift. almindeligt tilsyn henvises til pkt. 3.6.4 i de almindelige bemærkninger og de specielle bemærkninger til § 19.
Beløbet vil blive beregnet som et individuelt gebyr for hver virksomhed, der måtte modtage ad-hoc tilsyn efter § 19, stk. 2, nr. 3, med overholdelsen af reglerne i lovforslaget eller efter regler udstedt i medfør af lovforslaget. Gebyret vil være et aktivitetsbaseret gebyr, og vil derfor blive beregnet ud fra antallet af timer, der er medgået til udførelsen af aktiviteten (ad-hoc tilsynet), ganget med den budgetterede timesats tillagt en forholdsmæssig andel af andre udgifter der måtte pågå som led i udførelsen af aktiviteten (ad-hoc tilsynet). De omkostninger, der vil kunne henregnes til dette gebyr, er de samme som for de generelle grundbeløb virksomhederne vil skulle betale efter stk. 1, med undtagelse af udgifter og timer brugt til nødvendig uddannelse, efteruddannelse, certificering og recertificering af medarbejderne, da disse udgifter allerede vil være dækket af de generelle grundbeløb.
Virksomheder vil efter det foreslåede stk. 2 blive faktureret for alle timer, der er pågået frem til den endelige afgørelse om ad-hoc tilsynet fremsendes til virksomheden. Herunder også timer, der er brugt i forbindelse indhentning af oplysninger, nærmere undersøgelse af faktiske forhold og vurdering af om ad-hoc tilsyn skal indledes med den pågældende virksomhed, dog kun i de tilfælde hvor der faktisk indledes ad-hoc tilsyn med virksomheden. Fører indhentning af oplysninger, undersøgelse af faktiske forhold og vurdering af om ad-hoc tilsyn skal indledes til, at der ikke skal indledes ad-hoc tilsyn, vil omkostningen blive indregnet i omkostninger der dækkes efter gebyrerne efter stk. 1.
Det foreslås i stk. 3, at klima-, energi- og forsyningsministeren fastsætter regler om størrelsen, betaling og opkrævning af beløb efter stk. 1 og 2, herunder om fordelingen af omkostningerne på kategorier af virksomheder.
Den foreslåede bestemmelse vil indebære, at størrelsen af gebyrerne for både stk. 1 og stk. 2 som hidtil vil blive fastsat administrativt ved bekendtgørelse.
Det forventes, at klima-, energi- og forsyningsministeren vil udmønte bemyndigelsen i § 17, stk. 3, ved at fastsætte regler om, at gebyrerne efter § 17, stk. 1, som det er tilfældet i dag, vil blive fastsat som generelle grundbeløb, der dækker de udgifter som Energistyrelsen afholder i forbindelse med, at der forventes delegeret tilsynet med virksomhederne fra klima-, energi- og forsyningsministeren, har med tilsyn med virksomhederne og dækning af de omkostninger, der er til administration af ordningen. Det forventes, at gebyrstørrelserne vil blive differentieret i minimum 6 gebyrkategorier, hvor gebyret vil være lavest for gebyrkategori 1 og højest for gebyrkategori 6, således at disse vil svare til den niveauinddeling, der vil ske af virksomhederne i reglerne udmøntet efter den foreslåede bestemmelse i § 4, stk. 2 om kategorisering af virksomheder samt virksomhedernes systemer og anlæg, dog med indførelsen af en ekstra gebyrkategori (kategori 6).
Denne niveauinddeling vil som beskrevet være bestemmende for, hvor stort et reguleringstryk virksomheden vil blive underlagt efter disse regler, ligesom det også vil være bestemmende for, hvor ofte og hvor mange timers tilsyn som Energistyrelsen afholder i forbindelse med, at der forventes delegeret tilsynet med virksomhederne fra klima-, energi- og forsyningsministeren i gennemsnit forventer at bruge på virksomhederne på det givne niveau. Klima-, energi og forsyningsministeren forventes endvidere at udmønte bemyndigelsen i § 17, stk. 3 til at indføre en ekstra gebyrkategori 6, som vil skulle bruges specifikt til Energinet som transmissionssystemoperatør for elektricitet og transmissionssystemoperatør for gas, samt andre virksomheder, der grundet deres helt særlige ansvar for funktionen af energisystemerne i Danmark, vil skulle modtage et væsentligt mere grundigt og dybdegående tilsyn end alle andre virksomheder.
I tillæg hertil vil gebyrkategorierne, som det er tilfældet i dag, tage højde for antallet af anlæg som virksomhederne ejer. Virksomheder i niveau 5 med mange klasse 4 og 5 anlæg vil således blive indplaceret i en højere gebyrkategori, end virksomheder i niveau 5 med kun få klasse 4 og 5 anlæg.
Det forventes endvidere, at ministeriet vil kunne justere gebyrerne, så de afspejler antallet og størrelsen af de virksomheder i sektorerne, der føres tilsyn med.
Det forventes endvidere, at klima-, energi- og forsyningsministeren bruger bemyndigelsen i stk. 3 til at fastsætte, at gebyrer opkrævet efter den foreslåede stk. 2, vil blive opkrævet som aktivitetsberegnet gebyrer, baseret på det samlede antal medgåede timer til ad-hoc tilsyn ganget med den budgetterede timepris i Energistyrelsen, idet Energistyrelsen forventes delegeret tilsynet med virksomhederne fra klima-, energi- og forsyningsministeren, i det år hvor ad-hoc tilsynet afholdes tillagt en forholdsmæssig andel af andre udgifter der måtte pågå som led i udførelsen af aktiviteten, idet tilsynet som beskrevet i den foreslåede § 19, stk. 2, nr. 3 forventes delegeret til Energistyrelsen fra klima-, energi- og forsyningsministeren.
Der vil således være en fuld omkostningsdækning for Energistyrelsen, der forventes delegeret tilsynet med virksomhederne fra klima-, energi- og forsyningsministeren, hvilket betyder, at udgifterne forbundet med tilsynet og administrationen ordningen modsvares af de samlede opkrævninger. Ordningen vil dermed hvile i sig selv. Dette vil sikre, at princippet om proportionalitet mellem den ydelse, som virksomheden får, og det gebyr, der opkræves herfor, overholdes.
Det følger af endvidere af det foreslåede stk. 3, at energi-, forsynings- og klimaministeren vil kunne fastsætte nærmere regler om betaling og opkrævning af det i stk. 1 og stk. 2 nævnte beløb. Det forventes, at der vil blive fastsat regler om, at betalingerne skal ske efter halvårlige fakturaer. Det forventes også, at der vil blive fastsat regler om, at betalingerne skal ske til Energistyrelsen.
Det forventes desuden, at klima-, energi- og forsyningsministeren vil udmønte bemyndigelsen i § 17 stk. 3, til at fastsætte, at gebyrerne efter stk. 1 og 2, skal indbetales senest 30 dage efter fakturaens udstedelse, og der såfremt beløbet ikke betales rettidigt, betales renter af det opkrævede beløb i medfør af renteloven. Det forventes herudover, at der fastsættes regler om efterregulering af beløbet, der betales, så det sikres, at virksomhederne ikke betaler for meget eller for lidt.
Kompetencen til at fastsætte regler om størrelsen, betaling og opkrævning af beløb efter stk. 1 og 2, herunder om fordeling af omkostningerne på kategorier af virksomheder, efter det foreslåede stk. 3, forventes ikke delegeret til Energistyrelsen eller anden underlæggende myndighed, idet klima-, energi- og forsyningsministeren også efter de andre forsyningslove har valgt at fastholde denne kompetence selv.
Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger. Der henvises øvrigt til pkt. 3.5 i de almindelige bemærkninger.
Der er ikke i gældende ret fastsat regler om betaling af gebyrer for behandling af ansøgninger og dispensationer i forbindelse med beredskab, fysisk sikring og cybersikkerhed i energisektoren. Således behandles ansøgninger til Energistyrelsen om hhv. sikkerhedsgodkendelser efter sikkerhedsciruklærets § 13, ansøgning om dispensation efter hhv. elberedskabsbekendtgørelsens § 33, naturgasberedskabsbekendtgørelsens § 33, it-beredskabsbekendtgørelsens § 31 og olieberedskabsbekendtgørelsens § 20, samt ansøgninger om personsammenfald efter it-beredskabsbekendtgørelsens § 6, stk. 5, vederlagsfrit. Endvidere behandles ansøgninger til Energistyrelsen om samordnet beredskab efter elberedskabsbekendtgørelsens § 30, stk. 2, naturgasberedskabsbekendtgørelsens § 30, stk. 2 og it-beredskabsbekendtgørelsens § 17, vederlagsfrit.
Efter det foreslåede stk. 1, betaler virksomheder for indgivelse af ansøgninger og dispensationer et beløb for behandling heraf efter reglerne i lovforslaget eller efter regler udstedt i medfør heraf.
Det er formålet med bestemmelsen at sikre fuld omkostningsdækning for Energistyrelsen, der forventes at få delegeret opgaven med behandle og afgøre ansøgninger og dispensationer fra virksomhederne. Det betyder, at udgifterne forbundet med at behandle og afgøre ansøgninger og dispensationer fra virksomhederne modsvares af de samlede opkrævninger. Ordningen vil dermed hvile i sig selv. Dette vil sikre, at princippet om proportionalitet mellem den ydelse, som virksomheden får, og det gebyr, der opkræves herfor, overholdes.
Efter bestemmelsen vil virksomheder skulle betale et fast vederlag pr. ansøgning, differentieret alt efter hvad det er der ansøges om. Herefter vil virksomheder være forpligtiget til, at på et senere tidspunkt at skulle betale et fast vederlag ved indgivelse af f.eks. ansøgninger om samordnet beredskab, ansøgninger om personsammenfald, ansøgning om dispensation efter den generelle dispensationsregel samt andre ansøgninger, der er virksomhedens egen interesse. Reglen vil finde anvendelse på ansøgninger, uagtet om virksomhederne er forpligtet til at ansøge om den konkrete godkendelse eller dispensation pga. krav herom i reglerne i dette lovforslag eller regler udstedt i medfør af dette lovforslag eller ej.
Såfremt en virksomhed ikke skulle betale for ansøgningen eller dispensationen, eller skulle betale for sent herfor, vil det ikke have indflydelse på retsvirkningen af den godkendte/eller afviste dispensation eller ansøgning. Energistyrelsen, der forventes at få delegeret opgaven med behandle og afgøre ansøgninger og dispensationer fra virksomhederne, vil dog kunne retsforfølge virksomheden for manglende betaling ved domstolene.
Det foreslås i stk. 2, at klima-, energi- og forsyningsministeren fastsætter regler om størrelsen, betaling og opkrævning af beløb efter stk. 1.
Det forventes af denne bemyndigelse vil blive udmøntet ved at klima-, energi- og forsyningsministeren administrativt fastsætter et engangsvederlag, der skal betales pr. ansøgning, som virksomheden indgiver til Energistyrelsen, der forventes at få delegeret opgaven med behandle og afgøre ansøgninger og dispensationer fra virksomhederne. Betalingkravet afhænger ikke af, om virksomheden opnår godkendelse af deres ansøgning eller ej. Der skal således betales blot, fordi Energistyrelsen, der forventes at blive delegeret behandlingen af sådanne ansøgninger, skal realitetsbehandle en ansøgning. Det forventes, at ansøgningstyper, der estimeres til gennemsnitligt at have det samme sagsomfang og derfor også sagsbehandlingstid, får fastsat det samme størrelse engangsvederlag. Det forventes, at gebyrerne for de enkelte ansøgningstyper i første omgang vil blive fastsat på baggrund af klima-, energi- og forsyningsministerens initiale estimering af hvor mange timer det gennemsnitligt tager at behandle en sådan ansøgning ganget med den budgetteret timepris tillagt en forholdsmæssig andel af andre udgifter der måtte pågå som led i udførelsen af aktiviteten (behandling af ansøgningen). Efter der er opbygget et tilstrækkeligt datagrundlag gennem medarbejdernes tidsregistrering, vil den initiale estimering blive erstattet af de reelle omkostninger baseret på det konkrete gennemsnitlige tidsforbrug pr. ansøgningstype, hvorefter de fastsatte gebyrer vil blive op- eller nedjusteret på dette grundlag, ligesom hvis den budgetterede timepris ændrer sig, idet gebyrordningen skal balancere over en 4-årig periode i overensstemmelse med Finansministeriets budgetvejledning.
Klima-, energi- og forsyningsministeren bemyndiges derfor i medfør af den forslåede bemyndigelse i stk. 2 til at anvende den til enhver tid gældende budgetterede timepris hos Energistyrelsen til hvem sagsbehandlingen delegeres til, til fastsættelsen af beløbene der skal betales. Den budgetterede timepris fastsættes på grundlag af gennemsnitlige lønudgifter tillagt en forholdsmæssig andel af generelle fællesomkostninger, relevante henførbare, indirekte omkostninger og direkte øvrige driftsomkostninger, der er forbundet med myndighedsbehandlingen i det pågældende regnskabsår. Energistyrelsens omkostningsfordeling vil følge Finansministeriets vejledninger herfor.
Der vil således være en fuld omkostningsdækning for Energistyrelsen, hvilket betyder, at udgifterne forbundet med tilsynet og administrationen af ordningen modsvares af de samlede opkrævninger. Ordningen vil dermed hvile i sig selv. Dette vil sikre, at princippet om proportionalitet mellem den ydelse, som virksomheden får, og det gebyr, der opkræves herfor, overholdes.
Det forventes derfor ligeledes, at klima-, energi- og forsyningsministeren udmønter bemyndigelsen i stk. 2, således at hvis virksomheden indleverer en mangelfuld ansøgning, så betales der gebyr for behandlingen (afvisningen) af både den ufuldstændige og den endelige ansøgning.
Det følger af endvidere af det foreslåede stk. 2, at klima-, energi- og forsyningsministeren vil kunne fastsætte nærmere regler om betaling og opkrævning af beløb efter stk. 1. Det forventes, at der vil blive fastsat regler om, at betalingerne skal ske efter halvårlige fakturaer. Således skal der ikke ske betaling af beløbet samtidig med, at ansøgningen indgives. Det forventes også, at der vil blive fastsat regler om, at betalingerne skal ske til Energistyrelsen, der forventes at få delegeret opgaven med behandle og afgøre ansøgninger og dispensationer fra virksomhederne.
Det forventes desuden, at klima-, energi- og forsyningsministeren vil udmønte bemyndigelsen i § 17 stk. 3, til at fastsætte, at gebyrerne efter stk. 1 og 2, skal indbetales senest 30 dage efter fakturaens udstedelse, og der såfremt beløbet ikke betales rettidigt, betales renter af det opkrævede beløb i medfør af renteloven. Det forventes herudover, at der fastsættes regler om efterregulering af beløbet, der betales, så det sikres, at virksomhederne ikke betaler for meget eller for lidt.
Kompetencen til at fastsætte regler om størrelsen, betaling og opkrævning af beløb efter stk. 1, efter det foreslåede stk. 2, forventes ikke delegeret til Energistyrelsen eller anden underlæggende myndighed, idet klima-, energi- og forsyningsministeren også efter de andre forsyningslove har valgt at fastholde denne kompetence selv.
Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger. Der henvises i øvrigt til pkt. 3.5 i de almindelige bemærkninger.
Efter elforsyningslovens § 85 b, stk. 4, kan Klima-, energi- og forsyningsministeriet fastsætte nærmere regler for udførelsen af tilsyn med virksomhedernes nødvendigealmene beredskabsarbejde. De nærmere regler for tilsyn er fastsat i elberedskabsbekendtgørelsens kapitel 10. Efter bekendtgørelsen er Energistyrelsen tilsynsmyndigheden, jf. § 28, stk. 1, 1. pkt. og § 29, stk. 1, 1.pkt.
Klima-, energi- og forsyningsministeren kan på baggrund af gasforsyningslovens § 15 a, stk. 4, fastsætte nærmere regler for udførelsen af selskabernes almene beredskabsarbejde. De nærmere regler for tilsyn er fastsat i naturgasberedskabsbekendtgørelsen. Energistyrelsen er tilsynsmyndigheden for selskabernes overholdelse af beredskabsreguleringen, jf. § 28, stk. 1, 1. pkt. og § 29, stk. 1, 1.pkt.
Efter elforsyningslovens § 85 c, stk. 6, og gasforsyningslovens § 15 b, stk. 6, fastsætter klima-, energi- og forsyningsministeren nærmere regler for udførelsen af tilsyn med virksomhedernes it-beredskab. De nærmere regler for tilsyn er fastsat i it-beredskabsbekendtgørelsen. Efter bekendtgørelsen er Energistyrelsen tilsynsmyndigheden, jf. bekendtgørelsens § 26, stk. 1 og § 27, stk. 1.
Ifølge olieberedskabslovens § 17, stk. 1, fører klima-, energi- og forsyningsministeren tilsyn med, at loven og regler udstedt i medfør af loven overholdes. Olieberedskabslovens indeholder i § 16 beredskabspligter for virksomheder omfattet af loven. Klima-, energi- og forsyningsministeren fører således tilsyn med olievirksomhedernes beredskab efter olieberedskabsbekendtgørelsen. Efter olieberedskabslovens § 17, stk. 5, kan klima-, energi og forsyningsministeren fastsætte nærmere regler om fremsendelse af oplysninger til brug for tilsyn, om virksomhedernes medvirken i tilsyn og om virksomhedernes fremsendelse af revisorerklæring. De nærmere regler er fastsat i olieberedskabsbekendtgørelsens § 18.
Der er ikke nærmere regler for tilsyn af virksomheders beredskab i fjernvarme- og kølesektoren eller virksomhedernes beredskab efter undergrundsloven.
Det foreslås i stk. 1, at tilsyn med, at virksomhederne opfylder deres forpligtelser i henhold til loven og regler udstedt i medfør af loven.
Den foreslåede bestemmelse har til formål at fastlægge hvilken myndighed, der har tilsynsforpligtigelsen med de af loven omfattet virksomheder i el-, gas-, olie-, fjernvarme-, fjernkøling- og brintsektoren og denne myndighed tilfalder, at klima-, energi- og forsyningsministeren.
Tilsynsforpligtigelsen forventes dog at blive delegeret til Energistyrelsen i medfør af den foreslåede bestemmelse i § 33.
Det foreslås i stk. 2, at klima-, energi og forsyningsministeren, som led i sin tilsynsforpligtelse kan anvende de i bestemmelsens nr. 1-6 oplistede tilsyns- og kontrolforanstaltninger.
Den foreslåede bestemmelse har til formål fastlægge hvilke tilsynsbeføjelser Klima-, Energi- og Forsyningsministeriet har til at løfte tilsynsforpligtigelsen efter stk. 1 med de af loven omfattet virksomheder i el-, gas-, olie-, fjernvarme-, fjernkøling- og brintsektoren. Den foreslåede bestemmelse har endvidere til formål at implementere artikel 32, stk. 1, i NIS 2-direktivet og artikel 21, stk. 1 og 2, i CER-direktivet.
Bestemmelsen vil sikre, at de tilsynsforanstaltninger, der kan anvendes af Klima-, Energi- og Forsyningsministeriet er effektive og står i rimeligt forhold til overtrædelsen og har afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.
Bestemmelsen vil sikre at Klima-, Energi- og Forsyningsministeriet i medfør af beføjelserne i nr. 1-6, har beføjelser og midler til, at ministeriet kan vurdere, om virksomhederne der er omfattet af loven, opfylder forpligtelserne.
Bestemmelsen vil endvidere sikre at Klima-, Energi- og Forsyningsministeriet, hvor det er nødvendigt for udførelsen af ministeriets tilsynsopgaver i henhold til stk. 1, har beføjelser og midler til at virksomhederne inden for en rimelig tidsfrist, der fastsættes af ministeriet, giver de informationer, der kan kræves for føre tilsyn med virksomheden.
Der gives med den foreslåede bestemmelse hjemmel til, at klima-, energi- og forsyningsministeren kan anvende de tilsynsbeføjelser, der er oplistet i § 19, stk. 2, nr. 1-6. Bestemmelsen oplister således nogle af de værktøjer, som klima-, energi- og forsyningsministeren har til rådighed til at løfte sin tilsynsforpligtigelse fastsat i § 19, stk. 1.
Det forudsættes, at der ved valget om en af de i § 19, stk. 2, nr. 1-6, tvangsindgreb vil skulle anvendes at klima-, energi- og forsyningsministeren iagttager proportionalitetsprincippet i retssikkerhedslovens § 2, og således kun anvender foranstaltninger hvis indgreb står i rimeligt forhold til formålet med indgrebet.
Det forudsættes ligeledes, at retssikkerhedslovens § 3 til § 8 iagttages ved anvendelsen af det valgte tvangsindgreb. Således skal der ske underretning af virksomheden, og formkravene i § 5, stk. 2 skal overholdes medmindre undtagelserne i § 5, stk. 4, måtte finde anvendelse.
Det bemærkes endeligt generelt set til de foreslåede bestemmelser i § 19, stk. 2, nr. 1-6, at de dele af direktivernes bestemmelser, der angår rent myndighedsinterne forhold, eller som allerede følger af almindelige forvaltningsretlige principper eller den almindelige adgang til domstolsprøvelse, ikke er afspejlet i lovteksten. Den foreslåede bestemmelse vil således fokusere på, hvilke konkrete tilsynsforanstaltninger de kompetente myndigheder vil kunne anvende over for enhederne.
Eksempelvis er CER-direktivets artikel 21, stk. 4, ikke afspejlet direkte i lovteksten. Det følger af den nævnte artikel, at medlemsstaterne skal sikre, at de tillagte beføjelser kun kan udøves med forbehold af passende beskyttelsesforanstaltninger, og at disse beskyttelsesforanstaltninger navnlig skal sikre, at en sådan udøvelse finder sted på en objektiv, gennemsigtig og forholdsmæssig måde, og at de berørte kritiske enheders rettigheder og legitime interesser såsom beskyttelse af forretningshemmeligheder garanteres behørigt, herunder deres ret til at blive hørt, til et forsvar og til effektive retsmidler ved en uafhængig domstol. Det samme gælder eksempelvis CER-direktivets artikel 21, stk. 5, som overordnet fastsætter krav til samarbejde mellem de kompetente myndigheder efter henholdsvis NIS 2-direktivet og CER-direktivet.
Ligeledes fremgår det af NIS 2-direktivets artikel 32, stk. 2, litra a, om at kontrollerne skal udføres af uddannede fagfolk, ikke afspejlet direkte i lovteksten. Det samme gælder eksempelvis den del af direktivets artikel 32, stk. 2, litra d, hvorefter sikkerhedsscanninger skal være baseret på objektive, ikke-diskriminerende, fair og gennemsigtige risikovurderingskriterier.
I overensstemmelse med forudsætningerne i NIS 2-direktivets præambelbetragtning nr. 123 bør udførelsen af tilsynsopgaven ikke unødigt hæmme den berørte virksomheds forretningsaktiviteter. Hvor en tilsynsmyndighed udfører sin tilsynsopgave vedrørende en virksomhed, herunder i form af kontrol på stedet og administrativt tilsyn på skriftligt grundlag, efterforskning af overtrædelser af direktivet og udførelse af sikkerhedsaudits eller -scanninger, bør tilsynsmyndigheden myndighed minimere indvirkningen på den berørte enheds forretningsaktiviteter.
Det foreslås i § 19, stk. 2, nr. 1, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage tilsyn og kontrol hos virksomheden ved at inspicere de lokaler, som virksomheden bruger til at levere sine tjenester og foretage stikprøvekontroller.
Formålet med bestemmelsen er give hjemmel til at Klima-, Energi- og Forsyningsministeriet kan som led i sin tilsynsforpligtelse kan foretage tilsyn og kontrol hos virksomheden ved at inspicere de lokaler, som virksomheden bruger til at levere sine tjenester og foretage stikprøvekontroller, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra a, i NIS 2-direktivet og artikel 21, stk. 1, litra a, i CER-direktivet.
Bestemmelsen vil videreføre gældende ret for så vidt angår, hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet i forhold til, hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.
Det bemærkes, at NIS 2-direktivets artikel 32, stk. 2, litra a, anvender udtrykket »på stedet«. Klima-, Energi- og Forsyningsministeriet vurderer, at dette udtryk kan forstås i overensstemmelse med CER-direktivets artikel 21, stk. 1, litra a. Bestemmelsen gør dog brug af udtrykket »hos virksomheden«, da det vil lede til mindre fortolkningstvivl og samtidig dække over udtrykket »på stedet«. Det foreslås derfor, at bestemmelsen anvender udtrykket »hos virksomheden«.
Bestemmelsens omfatter derfor når skrives tilsyn hos virksomheden« derfor NIS2-direktivets og CER-direktivets »kontrol på stedet« og omfatter således konkret, at der efter bestemmelsen kan føres tilsyn med både; 1) områder, hvor virksomhederne har materiale eller anlæg, som anvendes til at levere virksomhedens tjeneste og 2) lokaler, som virksomheden anvender til at levere sine tjenester.
Det bemærkes endvidere, at der af direktivernes bestemmelser fremgår, at der kan foretages »eksternt tilsyn«, hvilket er en formulering, der kan give anledning til fortolkningstvivl. I den engelske sprogversion af NIS 2-direktivet anvendes formuleringen »off-site supervision«.
Bestemmelsen brug af »tilsyn og kontrol« omfatter både eksternt tilsyn, forstået som off-site supervision, samt et tilsyn uden fysisk tilstedeværelse på stedet, altså eksempelvis udført på skriftligt grundlag. Disse former for tilsyn kan beskrives som administrative tilsyn.
Bestemmelsen giver således hjemmel til, at der kan føres tilsyn på områder, hvor virksomhederne har materiale eller anlæg, som anvendes til at levere virksomhedens tjeneste og lokaler, som virksomheden anvender til at levere sine tjenester. Bestemmelsen vil ligeledes give hjemmel til, at dele af tilsynet kan føres som administrativt tilsyn. Endelig vil bestemmelsen give hjemmel til, at tilsynet kan gennemføres med stikprøvekontroller, altså at tilsynet kan ske stikprøvevis, således at klima-, energi- og forsyningsministeren vil kunne udvælge et repræsentativt antal områder eller lokaler, der inspiceres på baggrund af ministerens risikovurdering af, hvilke områder og lokaler der måtte være mest kritiske.
Tilsynet efter denne bestemmelse vil skulle anmeldes og aftales med en repræsentant for virksomheden, inden det gennemføres.
Det foreslås i nr. 2, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretages regelmæssige kontrol- og tilsynsbesøg hos virksomheder.
Formålet med bestemmelsen er at give hjemmel til, at Klima-, Energi- og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage regelmæssige kontrol- og tilsynsbesøg hos virksomheder, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsen fastsætter således mulighed for at ministeriet kan bestemme hyppigheden i brugen af kontrol og tilsynsbeføjelser efter § 19, stk. 2, nr. 1 og 3-5. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra b, i NIS 2-direktivet.
Bestemmelsen vil videreføre gældende ret for så vidt angår, hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven og gasforsyningsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet, i forhold til hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre m.fl.
Som det fremgår ovenfor implementerer bestemmelsen kun en artikel fra NIS-2 direktivet. Desuagtet finder bestemmelsen efter nationalt ønske anvendelse på alle forhold omfattet af loven, uagtet de relaterer sig til implementering af NIS2-direktivets og CER-direktivets krav eller udtryk for nationale ønsker. Den foreslåede bestemmelse vil dermed gå videre end minimumskravene i NIS2- og CER-direktiverne.
Den foreslåede bestemmelse vil give hjemmel til, at Klima-, Energi- og Forsyningsministeriet kan besøge virksomhederne regelmæssigt med henblik på at gennemføre tilsyn med virksomheden. Bestemmelsen gælder i forhold til tilsyn med alle aspekter af virksomhedernes overholdelse af loven eller regler udstedt i medfør at loven og er ikke indskrænket til de dele af loven, der angår cybersikkerhed. Der forventes, at bestemmelsen vil blive anvendt i forbindelse den foreslåede bestemmelse i nr. 1 og nr. 3-5.
Det foreslås i § 19, stk. 2, nr. 3, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage ad hoc-tilsyn.
Formålet med bestemmelsen er at give hjemmel til, at Klima-, Energi- og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage ad hoc-tilsyn, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra c, i NIS 2-direktivet.
Bestemmelsen vil videreføre gældende ret for så vidt angår hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet, i forhold til hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen, som noget nyt vil blive omfattet af denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.
Den foreslåede bestemmelse vil således give hjemmel til, at klima-, energi- og forsyningsministeren på ad hoc basis vil kunne føre tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsen forventes brugt i tilfælde, hvor klima-, energi- og forsyningsministeren imellem de regelmæssige tilsyn efter nr. 2, måtte blive opmærksom på mulige overtrædelser af loven eller regler udstedt i medfør af loven. Her vil der kunne være behov for at føre tilsyn, fordi det vurderes af ministeren, at den potentielle overtrædelse af reglerne er så slem, at tilsyn ikke kan vente til det regelmæssige tilsyn. I vurderingen af om ad hoc-tilsyn skal indledes, vil der af klima-, energi- og forsyningsministeren lægges særligt vægt på, om den/de formode overtrædelse medfører en direkte trussel mod leveringen af virksomhedens tjeneste.
Tilsyn efter denne bestemmelse vil skulle anmeldes og aftales med en repræsentant for virksomheden, inden det gennemføres.
Det foreslås i § 19, stk. 2, nr. 4, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage sikkerhedsscanninger og penetrationstests af virksomhedens net- og informationssystemer samt fysiske lokationer.
Formålet med bestemmelsen er give hjemmel til, at Klima-, Energi- og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage sikkerhedsscanninger og penetrationstests af virksomhedens net- og informationssystemer samt fysiske lokationer, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra d i NIS 2-direktivet.
Bestemmelsen vil videreføre gældende ret for så vidt angår, hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet, i forhold til hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.
Bestemmelsen skal anvendes i overensstemmelse med NIS 2 direktivets præambel betragtning nr. 87 forudsættes det, at de kompetente myndigheder i forbindelse med deres tilsynsopgaver vil gøre brug af cybersikkerhedstjenester til at foretage sikkerheds audits og penetrationstest.
Bestemmelsen vil således give hjemmel til, at klima-, energi og forsyningsministeren som led i sit tilsyn vil kunne gøre brug af sikkerhedsscanninger og penetrationstest af virksomhedens net- og informationssystemer. Bestemmelsen foreslås udvidet ift. NIS 2-direktivets ordlyd, således at penetrationstests også vil kunne anvendes til at teste den fysiske sikring af fysiske lokationer, som virksomhederne anvender i leveringen af deres tjeneste.
Bestemmelsen forventes anvendt i samarbejde med virksomhederne, således at ingen penetrationstest eller sikkerhedsscanning vil blive foretaget uden forudgående varsling af virksomheden, herunder hvad/hvor, hvornår og hvor længe scanningen eller penetrationstesten vil pågå af hensyn til sikring af den fortsatte drift i virksomheden, i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 123 om at sikkerhedsscanning og penetrationstest alene vil ske varslet af hensyn til sikring af den fortsatte drift i virksomheden.
Ministeren forventes altid at benytte sig af akkrediterede virksomheder til at gennemføre scanninger og tests efter bestemmelsen, og personalet vil som minimum skulle være sikkerhedsgodkendt til fortrolig efter sikkerhedscirkulæret, inden planlægningen af scanningen eller penetrationstesten vil kunne påbegyndes. Det vil være væsentligt hensyn, at driften af virksomheden ikke må påvirkes negativt, og planlægningen og gennemførelsen vil skulle således varetage dette hensyn.
Hvordan ministeren administrativt og processuelt vil gøre brug af bestemmelsen vil blive yderligere præciseret i vejledningsmateriale, der vil blive udarbejdet af klima-, energi- og forsyningsministeren.
Det foreslås i nr. 5, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan kræve at få udleveret oplysninger og dokumentation, der er nødvendige for at vurdere foranstaltninger vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed, som virksomheden har indført efter lovforslaget og regler udsted i medfør af lovforslaget.
Formålet med bestemmelsen er give hjemmel til, at Klima-, Energi- og Forsyningsministeriet kan som led i sin tilsynsforpligtelse kræve at få udleveret oplysninger og dokumentation, der er nødvendige for at vurdere foranstaltninger vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed, som virksomheden har indført efter lovforslaget og regler udsted i medfør af lovforslaget, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra e, i NIS 2-direktivet og artikel 21, stk. 2, litra a og b, i CER-direktivet.
Bestemmelsen vil videreføre gældende ret for så vidt angår hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet, i forhold til hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.
Den foreslåede bestemmelse vil give hjemmel til, at klima-, energi- og forsyningsministeren kan kræve at få udleveret oplysninger og dokumentation, der er nødvendige for at vurdere foranstaltningerne vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed, som virksomheden har indført efter loven og regler udstedt i medfør af loven.
Det forventes, at bestemmelsen blandt andet i praksis vil blive anvendt ved, at virksomhederne vil skulle udfylde et selvevalueringsskema forud for gennemførelse af tilsyn med virksomheden efter nr. 1, 2 og 3. Virksomheden vil i den forbindelse vurdere, hvordan den lever op til de forskellige krav til organisatorisk beredskab, fysisk sikring og cybersikkerhed. Bestemmelsen vil også kunne bruges til at påbyde virksomhederne at udlevere dokumenter såsom beredskabsplaner, øvelsesplaner, politikker, netværks-topologier samt andet materiale, som virksomhederne er forpligtet til at udarbejde i medfør af lovforslaget eller regler fastsat i medfør heraf.
Det foreslås i nr. 6, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.
Formålet med bestemmelsen er give hjemmel til, at Klima-, Energi- og Forsyningsministeriet som led i sin tilsynsforpligtelse kan kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra f og litra g, i NIS 2-direktivet og artikel 21, stk. 1 og 2, i CER-direktivet.
Bestemmelsen vil videreføre gældende ret for så vidt angår, hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet, i forhold til hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.
Bestemmelsen vil give hjemmel til, at klima-, energi- og forsyningsministeren kan påbyde at få adgang til andre data, dokumenter og oplysninger som ikke nødvendigvis er omfattet af den foreslåede bestemmelse i nr. 5. Bestemmelsen vil kunne anvendes til at få adgang til kontrakter med leverandører, få forevist data om energianlægs produktions-, distributions-, transmissions- og lagringskapaciteter samt antallet af forbrugere, og om virksomheden leverer sine ydelser til kritiske forbrugere såsom sygehuse.
Det foreslås i stk. 3, at Klima-, Energi- og Forsyningsministeriet er ansvarlig for eventuelle skader, som en virksomhed måtte lide i forbindelse med scanninger og tests efter stk. 2, nr. 4.
Det følger af den foreslåede bestemmelse, at Klima-, Energi- og Forsyningsministeriet vil bære et objektivt ansvar, for skader som virksomheden vil blive pådraget i forbindelse med scanninger og tests foretaget på baggrund af § 19, stk. 2, nr. 4. Erstatningsbeløbet vil skulle opgøres efter de almindelige regler om erstatning uden for kontrakt i dansk ret. Klima-, Energi- og Forsyningsministeriet skal betale erstatningen, omkostningen til en sådan erstatning kan ikke indregnes i gebyrerne der opkræves efter de foreslåede bestemmelser i § 17 og § 18.
Det foreslås i stk. 4, at klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om tilsyn og kontrol af virksomhederne, herunder omfanget, udførelsen og hyppigheden af tilsyns- og kontrolbesøg. Med den foreslåede bestemmelse bemyndiges ministeren til at fastsætte nærmere regler både for det administrative tilsyn og for kontrol- og tilsynsbesøg hos virksomhederne.
Formålet med bestemmelsen er at give en ramme for Energistyrelsens tilsynsarbejde, da de forventes at få delegeret tilsynsopgaven i stk. 1 efter den foreslåede § 33. Rammen skal således sikre at tilsynet er forankret i en stærk beredskabs- og cybersikkerhedsfaglighed, der ligger vægt på at være værdiskabende for virksomhederne, således at udgangspunktet tilsynet er at gøre den enkelte virksomheds beredskab og cybersikkerhed bedre efter fuldendt tilsyn.
Efter bestemmelsen vil de nærmere regler, som ministeren vil kunne fastsætte, blandt andet være »omfanget« af tilsyns- og kontrolbesøg efter § 19, stk. 2, nr. 1-6. Udtrykket omfanget skal forstås bredt, i den forstand at det både kan relatere sig til det tidsmæssige omfang af tilsynet og i hvilken geografisk udstrækning, der skal ske tilsyn med virksomheden.
Ministeren vil efter bestemmelsen desuden kunne fastsætte nærmere regler om udførelsen af tilsyn. Bestemmelsen vil medføre, at ministeren vil kunne fastsætte nærmere regler om, hvorvidt tilsynet vil skulle ske ved et fysisk tilsyn med fremmøde hos virksomheden, eller om tilsynet vil skulle ske som et eksternt tilsyn. Ministeren vil ligeledes kunne fastsætte nærmere regler om hvad et fysisk tilsyn vil indebære. Eksempelvis vil der kunne fastsættes regler om, at tilsynsmyndigheden skal have adgang til særlige områder som serverrum for at observere, at der er den korrekte sikkerhed. Tilsyn forudsættes alene at være anmeldte med et nærmere fastsat varsel. Ministeren vil kunne fastsætte nærmere regler om varsling af anmeldelse af tilsyn.
Efter bestemmelsen vil ministeren også kunne fastsætte nærmere regler om hyppigheden af tilsyn, denne del af bestemmelsen skal derfor også læses i sammenhæng med den foreslåede bestemmelse i § 19, stk. 2, nr. 2. Der vil i den forbindelse kunne fastsættes regler om, at tilsyn skal ske årligt eller efter anden frekvens, som kan være forskellig alt efter hvilket niveau virksomheden er inddelt på efter regler udstedt i medfør af den i loven foreslåede bestemmelse i § 4, stk. 2. Der vil desuden kunne fastsættes regler om, at der kan ændres op og ned i frekvensen af tilsyn for virksomheder på baggrund af tidligere tilsyn af samme virksomhed.
Den foreslåede bemyndigelsesbestemmelse vil også medføre, at der vil kunne fastsættes regler om den tidsmæssige og geografiske udstrækning af tilsyn der føres efter den foreslåede § 19, stk. 2, nr. 1-6, der er proportionelle med den type virksomhed, som der skal føres tilsyn hos. Dette findes hensigtsmæssigt af hensyn til at virksomheder inden for energisektoren, der kontroller energimængder af en vis størrelse, kan have en betydelig effekt på den samlede forsyningssikkerhed i Danmark. Sådanne virksomheder kan anvende komplekse net- og informationssystemer, som kræver et længerevarende tilsyn for, at systemer i tilstrækkeligt grad kan undersøges for, om virksomheden efterlever de gældende krav. Størrelsen af virksomheder og mængden af tjenester som virksomheden leverer, kan også påvirke den samlede kompleksitet, som bør understøttes af regler om længere og mere dybdegående tilsyn. Desuden kan virksomheder også strække sig over mange lokaliteter, hvor hver lokation hos virksomheden kan introducere nye og særegne trusler. Modsatvis findes der også virksomheder inden for sektoren, som kun i mindre grad kan påvirke energiforsyning. Disse virksomheder kan være mindre komplekse og et tilsyn kan udføres i tilstrækkelig grad på mindre tid og i begrænset geografisk udstrækning. Bestemmelsen har derfor til formål, at der med udviklingen i sektoren kan fastsættes regler om den tidsmæssige og geografiske udstrækning af tilsyn, der er proportionelle med den type virksomhed der skal føres tilsyn hos.
På baggrund af ovenstående, forventes det, at den foreslåede bestemmelse vil blive anvendt til at fastsætte differentierede regler om tilsyn på baggrund af en risikobaseret tilgang. Det forventes, at der vil blive fastsat regler, hvorefter virksomheder inddeles i forskellige kategorier eller niveauer, som fastsættes ud fra både objektive og skønsmæssige kriterier om virksomhedens kritikalitet. Omfanget, udførelsen og hyppigheden af tilsyn hos virksomheder forventes som udgangspunkt at blive baseret på denne niveauinddeling.
Det forventes med den foreslåede bestemmelse, at tilsynsmyndigheden vil videreføre den tilsynspraksis, der har været gældende inden for de allerede omfattede virksomheder og sektorer. Praksis har hidtil været, at tilsynsmyndigheden har ført tilsyn ud fra en dialogbaseret og værdiskabende tilgang. Formålet med tilsyn er således at dele erfaringer mellem myndigheder og virksomheder for at opnå en mere sikker sektor. Hensynet til samarbejde og værdiskabelse af sikkerhed i energisektoren, bør således også indgå i en proportionalitetsvurdering ved anvendelsen af tilsynsforanstaltninger, håndhævelsesforanstaltninger eller sanktioner.
Det foreslås i § 19, stk. 5, at klima-, energi- og forsyningsministeren kan fastsætte regler om udlevering af materiale til brug for tilsyn samt formkrav hertil, herunder regler om hvilke sprog materialet skal udarbejdes på.
Efter bestemmelsen vil ministeren kunne fastsætte regler om, at oplysninger eller materiale til brug for tilsyn udarbejdes af virksomheden og udleveres på en bestemt måde, på et bestemt sprog og i en bestemt form. Bestemmelsen supplerer således de i stk. 2, nr. 5 og 6 foreslåede bestemmelser, i det der kan fastsættes nærmere regler for hvilken form og sproget materialet skal have, samt processen herfor. Eksempelvis vil der kunne fastsættes regler om, at virksomhederne skal anvende bestemte skemaer eller skabeloner ved udleveringen af tilsynsmateriale. Ligeledes vil der kunne fastsættes regler om, at virksomhederne forpligtes til at registrere visse oplysninger ved brug af en bestemt hjemmeside eller it-løsning. Endeligt vil bestemmelsen også kunne bruges til at fastsætte regler om at dokumentation og oplysninger til brug for klima-, energi- og forsyningsministeren skal indgive i en dansk version uagtet hvad virksomhedens organisationssprog måtte være.
Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger. Der henvises i øvrigt til afsnit 3.6 i lovforslagets almindelige bemærkninger.
Der er i gældende lovgivning for energisektoren ikke fastsat regler, der indeholder bestemmelser om rådgivende EU-delegationers adgang til oplysninger, systemer og faciliteter.
Det foreslås i stk. 1, at rådgivende missioner, som er nedsat i medfør af Europa-Parlamentets og Rådets direktiv om kritiske enheders modstandsdygtighed, kan efter tilladelse fra klima-, energi- og forsyningsministeren vurdere de foranstaltninger, som virksomheder der er kritiske enheder af særlig europæisk betydning efter § 5, stk. 1, for at opfylde sine forpligtelser i henhold til loven og regler udstedt i medfør heraf.
Den foreslåede bestemmelse vil implementere CER-direktivets artikel 18, stk. 1 og 2, om den særlige tilsynsordning for kritiske enheder af særlig europæisk betydning. Det følger af CER-direktivets artikel 18, stk. 2, at EU-Kommissionen på eget initiativ eller efter anmodning fra én eller flere medlemsstater kan tilrettelægge en rådgivende mission, under forudsætning af at den medlemsstat, som har identificeret den pågældende kritiske enhed, samtykker.
Rådgivende missioner vil efter bestemmelsen bestå af eksperter fra den medlemsstat, hvor den kritiske enhed af særlig europæisk betydning er beliggende, eksperter fra de medlemsstater, hvortil eller hvori den væsentlige tjeneste leveres, og repræsentanter fra EU-Kommissionen, i overensstemmelse med CER-direktivets artikel 18, stk. 5.
Det forventes, at klima-, energi- og forsyningsministeren vil tillade rådgivende missioner at vurdere virksomheder efter bestemmelsen, såfremt ministeren selv, Kommissionen eller en medlemsstat, hvortil den væsentlige tjeneste leveres, måtte tage initiativ til en sådan rådgivende mission, i overensstemmelse med CER direktivets artikel 18, stk. 1-2, i det omfang det ikke vil kompromittere hensyn til 1) Statens sikkerhed eller rigets forsvar. 2) Rigets udenrigspolitiske eller udenrigsøkonomiske interesser, herunder forholdet til fremmede magter eller mellemfolkelige institutioner. 3) Private og offentlige interesser, hvor hemmeligholdelse efter forholdets særlige karakter er påkrævet.
Det foreslås i stk. 2, at rådgivende missioner kan anvende tilsynsforanstaltninger efter § 19, stk. 2, nr. 1 og 5, i det omfang det er nødvendigt for at gennemføre den pågældende rådgivende mission.
Den foreslåede bestemmelse vil sikre rådgivende missioner den adgang til oplysninger, systemer og faciliteter, der vedrører levering af væsentlige tjenester fra kritiske enheder af særlig europæisk betydning, og som er nødvendige for at gennemføre den pågældende rådgivende mission. Bestemmelsen vil hermed implementere CER-direktivets artikel 18, stk. 7.
Det fremgår af den foreslåede bestemmelse i § 20, stk. 2, at den rådgivende mission vil kunne bruge de tilsynsforanstaltninger, der er nødvendige for at gennemføre den pågældende mission. Det forventes, at alene tilsynsforanstaltninger, der er egnede til at gennemføre den konkrete mission, vil kunne anvendes. Eksempelvis vil den rådgivende mission, der kun har til formål at undersøge overholdelsen af kravene i CER-direktivets kapitel 3 jf. CER direktivets artikel 18, stk. 1, kan missionen således ikke også få adgang til virksomhedens net- og informationssystemer eller informationer om virksomhedens foranstaltninger til overholdelse af NIS 2-direktivet.
Det foreslås i stk. 3, at klima-, energi og forsyningsministeren kan træffe afgørelse om at begrænse rådgivende missioners tilsynsforanstaltninger efter § 19, stk. 2, nr. 1 og 5, i det omfang, det er nødvendigt til beskyttelse af væsentlige hensyn til følgende:
Den foreslåede undtagelsesbestemmelse medfører, at der vil kunne ske begrænsning af tilsynsforanstaltninger, som den rådgivende mission kan anvende ud over den begrænsning, som er indeholdt i den foreslåede bestemmelse i stk. 2.
Den foreslåede bestemmelse implementerer og kodificerer CER-direktivets artikel 18, stk. 8, hvoraf det følger, at rådgivende missioner gennemføres i overensstemmelse med gældende national ret i den medlemsstat, hvor de finder sted, idet den pågældende medlemsstats ansvar for national sikkerhed og beskyttelse af sine sikkerhedsmæssige interesser respekteres. Ligeledes understøttes den foreslåede bestemmelse af CER-direktivets artikel 1, stk. 6, hvorefter det gælder, at direktivet ikke berører medlemsstaternes ansvar for at beskytte national sikkerhed og forsvar og deres beføjelse til at beskytte andre væsentlige statslige funktioner, herunder sikring af statens territoriale integritet og opretholdelse af lov og orden.
Ifølge den foreslåede bestemmelse, vil klima-, energi- og forsyningsministeren kunne træffe afgørelser om, at den rådgivende mission ikke kan anvende visse tilsynsforanstaltninger eller begrænses i anvendelsen af en specifik tilsynsforanstaltning. Eksempelvis vil klima-, energi- og forsyningsministeren kunne træffe afgørelse om, at den rådgivende mission kun kan kræve at få udleveret visse oplysninger.
En afgørelse om at begrænse rådgivende missioners brug af tilsynsforanstaltningerne i § 19, stk. 2, nr. 1 og 5, vil være en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler, herunder bl.a. bestemmelserne i kapitel 3 (om vejledning og repræsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse mv.) og kapitel 7 (om klagevejledning) i udgangspunktet vil finde anvendelse. Det er forventningen, at EU-Kommissionen, som repræsentant for den rådgivende mission, vil være part i afgørelsessagen.
Klima-, energi- og forsyningsministeren vil over for virksomheden, som er udpeget som kritisk enhed af europæisk betydning, kunne træffe afgørelse om, at de ikke skal efterleve visse tilsynsforanstaltninger fra den rådgivende mission. Som eksempel vil der kunne meddeles afgørelse til den pågældende virksomhed om, at de ikke skal efterleve visse tilsynsforanstaltninger eller dele af tilsynsforanstaltninger, som anvendes af den rådgivende mission.
Det forventes med den foreslåede bestemmelse, at afgørelser om begrænsning af tilsynsforanstaltninger, som anvendes af den rådgivende mission, i vidt muligt omfang skal foretages inden den rådgivende mission påbegynder et tilsyn. Dette betyder, at klima-, energi- og forsyningsministeren, ved anmodning om en rådgivende mission, vil kunne foretage tilsyn og kontrol af en kritisk enhed af særlig europæisk betydning med det formål at afgrænse, om information hos den kritiske enhed af særlig europæisk betydning er beskyttelsesværdig information efter stk. 3, nr. 1-3.
Klima-, energi- og forsyningsministeren vil i tilfælde af tvivl, om information vedrørende den kritiske enhed af særlig europæisk betydning er beskyttelsesværdig, kunne rette henvendelse til Politiets Efterretningstjeneste, som er national sikkerhedsmyndighed, eller til Forsvarets Efterretningstjeneste, som er national sikkerhedsmyndighed på Forsvarsministeriets område.
Efter den foreslåede stk. 3, nr. 1, kan den rådgivende missions tilsynsforanstaltninger efter § 19, stk. 2, nr. 1-6, begrænses i det omfang, det er nødvendigt til beskyttelse af væsentlige hensyn til statens sikkerhed eller rigets forsvar. Statens sikkerhed eller rigets forsvar i denne lov skal fortolkes i overensstemmelse med offentlighedslovens § 31, jf. lovbekendtgørelse nr. 145 af 24. februar 2020.
Efter den foreslåede stk. 3, nr. 2, kan den rådgivende missions tilsynsforanstaltninger efter § 19, stk. 2, nr. 1-6, begrænses i det omfang, det er nødvendigt til beskyttelse af væsentlige hensyn til rigets udenrigspolitiske eller udenrigsøkonomiske interesser, herunder forholdet til fremmede magter eller mellemfolkelige institutioner. Rigets udenrigspolitiske eller udenrigsøkonomiske interesser, herunder forholdet til fremmede magter eller mellemfolkelige institutioner, skal i denne lov fortolkes i overensstemmelse med offentlighedslovens § 32.
Efter den foreslåede stk. 3, nr. 3, kan den rådgivende missions tilsynsforanstaltninger efter § 19, stk. 2, nr. 1-6, begrænses i det omfang, det er nødvendigt til beskyttelse af væsentlige hensyn til private og offentlige interesser, hvor hemmeligholdelse efter forholdets særlige karakter er påkrævet. Private og offentlige interesser, hvor hemmeligholdelse efter forholdets særlige karakter er påkrævet skal i denne lov fortolkes i overensstemmelse med offentlighedslovens § 33, nr. 5.
For så vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger. Der henvises i øvrigt til bemærkningerne til den foreslåede § 5.
Bekendtgørelse nr. 11 af den 7. januar 2011 om identifikation og udpegning af europæisk kritisk infrastruktur på energiområdet og vurdering af behovet for bedre beskyttelse indeholder håndhævelsesbeføjelser i form af påbud. Der kan således gives påbud om at udarbejde en sikkerhedsplan, ændre denne og andre dele af operatørens beredskabsarbejde jf. § 16, stk. 2.
Elforsyningsloven og gasforsyningsloven indeholder begge håndhævelsesforanstaltningerne om påbud jf. § 85 d, inddragelse af bevilling jf. § 54 og it-revision jf. § 85 c, stk. 2. Efter de gældende regler skal forhold, der strider mod den gældende regulering bringes i orden straks eller inden for en af klima- energi- og forsyningsministeren nærmere angivet frist.
Gasforsyningsloven indeholder ligeledes håndhævelsesforanstaltninger om påbud jf. § 47 b, inddragelse af bevilling jf. § 33 og it-revision jf. § 15 b, stk. 2. Efter de gældende regler skal forhold, der strider mod den gældende regulering, bringes i orden straks eller inden for en af klima- energi- og forsyningsministeren nærmere angivet frist.
Olieberedskabsloven indeholder håndhævelsesforanstaltninger, om at klima- energi- og forsyningsministeren kan anvende påbud jf. § 18 ved manglende overholdelse af beredskabsreglerne.
Det følger af den foreslåede stk. 1, at klima- energi og forsyningsministeren ud fra en konkret vurdering af omstændighederne i hver enkelt sag kan anvende nr. 1-5 oplistede påbud og forbud over for virksomhederne.
Den foreslåede bestemmelse medfører, at Klima- Energi og Forsyningsministeriet vil skulle foretage en konkret vurdering af omstændighederne i hver enkelt sag, når der anvendes påbud og forbud over for virksomheder.
Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 7, skal de kompetente myndigheder, når de træffer håndhævelsesforanstaltninger, overholde retten til forsvar og tage hensyn til omstændighederne i hver enkelt sag og som minimum tage behørigt hensyn til de forhold som er oplistet i litra a-h.
Efter bestemmelsen i CER-direktivets artikel 21, stk. 3, skal de kompetente myndigheder i anvendelsen af påbud navnlig tage hensyn til overtrædelsens grovhed.
Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, skal medlemsstaterne sikre, at de kompetente myndigheder som minimum har beføjelser og midler som oplistet i litra a-h, med henblik på, at de kompetente myndigheder effektivt kan håndhæve, forpligtelserne som fremgår af dette direktiv.
Efter bestemmelsen i CER-direktivets artikel 21, stk. 3, kan de kompetente myndigheder pålægge de enheder, som medlemsstaterne har identificeret som kritiske i henhold til artikel 6, stk. 1, påbud og forbud for at opfylde forpligtelserne i dette direktiv.
Den foreslåede bestemmelse vil finde anvendelse på en bredere kreds, men i øvrigt svare indholdsmæssigt til NIS 2-direktivets artikel 32, stk. 4, litra a-h. Den foreslåede bestemmelse vil også gå videre, end hvad der fremgår af CER-direktivets artikel 21, stk. 3. Bestemmelsen skal derudover forstås og anvendes i overensstemmelse med direktivernes forudsætninger og eventuelle fortolkningsbidrag fra EU-Kommissionen, ENISA eller andre af EU’s institutioner. Den foreslåede bestemmelse går dermed videre end NIS 2- og CER-direktiverne.
Der vil i forbindelse med en afgørelse om påbud eller forbud efter den foreslåede bestemmelse blive fastsat en frist, inden for hvilken virksomheden skal efterkomme indholdet i afgørelsen. Fristen for hvornår virksomheden skal efterleve håndhævelsesforanstaltningerne skal være proportionel med de anvendte foranstaltninger. I tilfælde af en overhængende fare for, at en hændelse kan indtræde på baggrund af virksomhedens forhold, kan der anvendes strakspåbud.
En virksomhed, der modtager en afgørelse om påbud eller forbud efter den foreslåede bestemmelse, vil i overensstemmelse med den foreslåede bestemmelse i § 37 som vil implementere CER-direktivets artikel 22 og NIS 2-direktivets artikel 34, stk. 2, også kunne ifalde straf for en eventuel overtrædelse af denne lov eller regler udstedt i medfør af loven.
Det foreslås i stk. 1, nr. 1, at klima- energi- og forsyningsministeren kan påbyde virksomheden at træffe foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse.
Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra b, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, samt frister for gennemførelse af sådanne foranstaltninger og for rapportering om deres gennemførelse eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af dette direktiv
Klima-, Energi- og Forsyningsministeriet vil i medfør af det foreslåede nr. 1, eksempelvis kunne give virksomhederne påbud om at foretage en fornøden softwareopdatering med henblik på at forhindre eller imødegå en hændelse.
Det foreslås med nr. 2, at klima- energi- og forsyningsministeren kan meddele virksomheden påbud og forbud for at sikre overholdelsen af de krav, der er fastsat i loven eller regler udstedt i medfør af loven.
Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra c, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at pålægge de pågældende enheder at ophøre med at udvise adfærd, der overtræder direktivet, og afstå fra at gentage denne adfærd.
Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra d, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at pålægge de pågældende enheder, på en nærmere angivet måde og inden for en nærmere angivet frist til, at sikre, at deres foranstaltninger til styring af cybersikkerhedsrisici overholder artikel 21, eller at efterleve underretningsforpligtelserne i artikel 23.
Efter den foreslåede nr. 2, vil klima-, energi- og forsyningsministeren kunne angive, hvilke nærmere foranstaltninger virksomheden skal træffe i tilfælde af, at virksomheden ikke lever op til de krav, der er fastsat i loven. Ministeren vil ligeledes efter bestemmelsen kunne forbyde virksomheder at foretage visse dispositioner, såfremt det vurderes, at det kan udgøre en trussel for virksomhedens sikkerhed og beredskab eller på anden måde kompromittere virksomhedens evne til at levere tjenester eller udføre sine aktiviteter. Sådanne forbud vil kunne omfatte anvendelsen af materiale eller services fra aktører fra tredjelande, hvis det kan begrundes at der er en konkret trussel mod forsyningssikkerheden. I trusselsvurderingen vil det aktuelle trusselsbillede eller konkrete oplysninger fra efterretningstjenester kunne inddrages.
Det foreslås med nr. 3, at klima-, energi- og forsyningsministeren kan påbyde virksomheden at underrette de fysiske eller juridiske personer, til hvilke den leverer tjenester eller udfører aktiviteter, som potentielt kan være berørt af en væsentlig cybertrussel, om denne trussels karakter samt om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel.
Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra e, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til, at pålægge de pågældende enheder at underrette de fysiske eller juridiske personer med hensyn til hvilke de leverer tjenester eller udfører aktiviteter, som potentielt er berørt af en væsentlig cybertrussel, om denne trussels karakter samt om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som disse fysiske eller juridiske personer kan træffe som reaktion på denne trussel.
Bestemmelsen skal ses i sammenhæng med den foreslåede bestemmelse i § 13, som indeholder en forpligtelse for virksomheder til i relevant omfang at underrette modtagerne af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som modtagerne kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal virksomhederne også informere de pågældende modtagere om den væsentlige cybertrussel.
Med det foreslåede nr. 3, vil klima- energi- og forsyningsministeren kunne påbyde, at der skal foretages underretning af modtagerne af virksomhedens tjenester, uanset om virksomheden selv vurderer, at det er relevant.
Det foreslås med nr. 4, at klima- energi- og forsyningsministeren kan påbyde virksomheden, at udpege en person med ansvar for i en nærmere fastsat periode at føre tilsyn med virksomhedens overholdelse af §§ 6-9 og §§ 12-14, samt regler udstedt i medfør heraf.
Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra g, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at udpege en overvågningsansvarlig med veldefinerede opgaver til i en nærmere fastsat periode at føre tilsyn med de pågældende enheders overholdelse af artikel 21 og 23.
Den foreslåede bestemmelse vil medføre, at virksomheden enten vil kunne udpege en ansat eller en ekstern person. Den pågældende person vil skulle monitorere virksomhedens overholdelse af krav til foranstaltninger til styring af enten fysiske eller logiske risici i medfør af de foreslåede bestemmelser om foranstaltningerne og underretning. Klima-, Energi- og Forsyningsministeriet vil kunne påbyde virksomheden at udpege flere personer til at føre tilsyn med overholdelse af §§ 6-9 og §§ 12-14, hvis virksomhedens størrelse eller særlig teknisk forståelse for foranstaltninger kræver det, eller hvis det i øvrigt findes relevant for at sikre et tilstrækkelig grundigt tilsyn.
Det foreslås med nr. 5, at klima-, energi- og forsyningsministeren kan påbyde virksomheden i ikke-anonymiseret form og på en nærmere angiven måde at offentliggøre afgørelser om håndhævelsesforanstaltninger efter nr. 1-5 samt resumeer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde efter lovforslagets § 37.
Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra h, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til, at pålægge de pågældende enheder at offentliggøre aspekter af overtrædelser af dette direktiv på en nærmere angivet måde.
Den foreslåede bestemmelse vil medføre, at klima-, energi- og forsyningsministeren vil kunne pålægge en virksomhed at offentliggøre afgørelser om håndhævelsesforanstaltninger i ikke-anonymiseret form. Det betyder, at virksomheden vil skulle offentliggøre navngivne oplysninger om, hvilke sanktioner de har modtaget, herunder afgørelser om tvangsforanstaltninger og eventuelle bøder. Offentliggørelsen vil skulle ske på en specificeret måde, som kan fastsættes af ministeren.
Det bemærkes, at forvaltningslovens § 27, om offentlige ansattes tavshedspligt, vil skulle overholdes ved vurderingen af, hvorvidt og hvordan der skal pålægges offentliggørelse efter den foreslåede bestemmelse. Dette omfatter bl.a. hensynet til enkeltpersoners private forhold, forretningshemmeligheder samt hensynet til forebyggelse, efterforskning og forfølgning af lovovertrædelser. Desuden skal de hensyn som fremgår af lovforslagets kapitel 10 om fortrolighed indgå i overvejelser om orientering af offentligheden.
Det forudsættes, at virksomheden ikke pålægges at offentliggøre oplysninger om tekniske indretninger eller fremgangsmåder eller om drifts- eller forretningsforhold eller lignende, for så vidt det er af væsentlig økonomisk betydning for den virksomhed, som oplysningerne angår. Definitionen af oplysninger vedrørende tekniske indretninger m.v. skal forstås i overensstemmelse med § 30, nr. 2, i offentlighedsloven og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevant praksis.
Det forudsættes desuden, at virksomheden ikke pålægges at offentliggøre oplysninger, der kan udnyttes af ondsindede aktører og derved udgøre en sikkerhedsmæssig risiko for virksomheden. Sådanne oplysninger kan eksempelvis være nærmere information om, hvilke foranstaltninger der ikke er blevet fundet tilstrækkelige på baggrund af tilsyn og kontrol.
Det forudsættes endvidere, at virksomheden ikke pålægges at offentliggøre oplysninger om enkeltpersoners forhold, medmindre disse oplysninger indgår i virksomhedens navn. Oplysninger om enkeltpersoners forhold kan eksempelvis være oplysninger om navne, adresser eller private telefonnumre på medarbejdere eller andre berørte parter.
Klima-, Energi- og Forsyningsministeriet har overvejet om den foreslåede bestemmelse har karakter af en offentliggørelsesordning, som behandlet i betænkning nr. 1516 af 2010 om offentlige myndigheders offentliggørelse af kontrolresultater, afgørelse mv. (betænkning 1516), der vil fordre at ministeriet gennemgik betænkningens ”tjekliste” til brug ved indførelse af ordninger med systematisk offentliggørelse af oplysning om kontrolresultater, afgørelser mv. på internettet i ikke anonymiseret form.
Det fremgår af side 107 i betænkningen, at der med ”systematisk offentliggørelse” forstås, at der på et givent område sker offentliggørelse enten af alle afgørelse eller af en flerhed af afgørelser efter nærmere retningslinjer.
Som det fremgår af ovenstående beskrivelse af bestemmelsens materielle indhold, er der tale om offentliggørelse af et kontrolresultat eller en afgørelse, som eksempelvis afgørelser om påbud eller forbud efter nr. 1-4 samt resumeer af domme eller bødeforlæg, hvor der idømmes eller vedtages en bøde.
Det kan heller ikke udelukkes, at der med ordningen vil være tale om systematisk offentliggørelse.
Klima-, Energi- og Forsyningsministeriet har derfor fundet det nødvendigt at vurdere, om behovet og hensynene fra betænkning 1516’s er opfyldt i forbindelse med indførelsen af den foreslåede offentliggørelsesordning.
Klima-, Energi- og Forsyningsministeriets vurderer, at der behov for at kunne påbyde en virksomhed, at offentliggøre afgørelser om påbud eller forbud efter nr. 1-4 samt resumeer af domme eller bødeforlæg, hvor der idømmes eller vedtages en bøde, i ikke-anonymiseret form og på en nærmere angiven måde. Det skyldes, at det er et krav i NIS 2-direktivets artikel 32, stk. 4, nr. 5, om at: ”Medlemsstaterne sikrer, at deres kompetente myndigheder, når de udøver deres håndhævelsesbeføjelser over for væsentlige enheder, som minimum har beføjelse til at pålægge de pågældende enheder at offentliggøre aspekter af overtrædelser af dette direktiv på en nærmere angivet måde”. Det er Klima-, Energi- og Forsyningsministeriets vurdering, at den foreslåede offentliggørelsesordning vil være en effektiv håndhævelsesforanstaltning overfor en virksomhed og samtidig sikre overholdelsen af NIS 2-direktivets artikel 32, stk. 4, nr. 5. Således vil den blotte mulighed for at benytte denne håndhævelsesforanstaltning kunne tilskynde virksomhederne til at overholde deres forpligtigelser efter loven. Endvidere vil offentligheden, særligt privatforbrugere og virksomheder, der er afhængig af de forskellige energiforsyninger, have interesse i at vide hvilke virksomheder, der ikke opfylder kravene til organisatorisk beredskab, fysisk sikring og cybersikkerhed, således at de aktivt kan vælge en potentielt anden udbyder. I det tilfælde, at forbrugeren ikke har mulighed for at vælge en anden udbyder eller energiforsyning, vil forbrugeren kunne foretage sin egen beredskabsplanlægning, således forbrugeren kan klare sig uden den konkrete energiforsyning i et antal dage, hvilket vil gøre forbrugeren mere robust overfor energiforsyningsafbrud.
Det vil således være en væsentlig information for offentligheden, at blive gjort bekendt med, hvilke virksomheder, der ikke kan overholde kravene til organisatorisk beredskab, fysisk sikring og cybersikkerhed fastsat i denne lov eller regler udstedt i medfør af denne lov.
Ordningen indebærer, at der vil blive offentliggjort oplysninger, som betragtes som særligt indgribende, og derfor i udgangspunktet vil tale i mod at etablere en offentliggørelsesordning. Der kan således ske offentliggørelse af navngivne oplysninger om, hvilke sanktioner virksomheden har modtaget, herunder afgørelser om tvangsforanstaltninger og eventuelle bøder, ligesom virksomhedens navn vil fremgå.
Der er dog tungtvejende samfundsmæssige interesser, som opvejer hensynet til ikke i udgangspunktet at offentliggøre de fysiske og juridiske personers oplysninger om strafbare forhold. Således vil en hændelse hos en virksomhed, som følge af virksomhedens manglende overholdelse af lovforslagets regler eller regler udstedt i medfør af lovforslaget, potentielt have omfattende og meget direkte konsekvenser for samfundets forsyning af forskellige energiarter. Således vil en hændelse hos elektricitetsvirksomhed kunne føre til black out i større dele af Danmark, igennem en hændelse hos visse fjernvarmeoperatører vil kunne føre til, at tusindvis af mennesker står uden varmeforsyning i deres privathjem og på deres arbejde. Offentligheden har således en tungtvejende interesse i at blive bekendtgjort med virksomheder, der ikke overholder lovgivningen, således at de gennem valg af udbyder eller energiforsyning kan minimere risikoen for forsyningssvigt. Såfremt en anden udbyder eller energiforsyning ikke kan vælges pga. monopolforhold kan forbrugeren foretage beredskabsplanlægning for sin egen husholdning, således at forbrugeren kan træffe foranstaltninger, der gør forbrugeren i stand til at klare sig uden energiforsyningen i en rum tid.
Med den foreslåede bestemmelse sikres hjemmel til at offentliggøre information om hændelsen. Det er nærmere afgrænset ovenfor, hvornår bestemmelsen kan anvendes, herunder at der ved offentliggørelse særligt skal tages hensyn til virksomhedernes særligt følsomme oplysninger, og at reglerne om tavshedspligt i anden lovgivning skal overholdes.
Klima-, Energi- og Forsyningsministeriet vurderer på baggrund af ovenstående overvejelser, at de seks punkter i betænkning 1516’s tjekliste vil være overholdt, hvorfor den foreslåede offentliggørelsesordning vil være i overensstemmelse med betænkningens kriterier for sådanne ordninger.
Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger. Der henvises i øvrigt til afsnit 3.7 i lovforslagets almindelige bemærkninger.
Ifølge elforsyningslovens § 85 c, stk. 2, og gasforsyningslovens § 15 b, stk. 2, kan klima-, energi- og forsyningsministeren påbyde virksomheder, som ikke har efterkommet påbud om overholdelse af krav til virksomhedernes it-beredskab, at foretage en it-revision af kritiske it-systemer ved en uafhængig revisor godkendt af tilsynsmyndigheden.
Efter olieberedskabslovens § 17, stk. 4, kan klima-, energi- og forsyningsministeren bestemme, at virksomheder skal fremsende en revisorerklæring om rigtigheden af fremsendte oplysninger om virksomhedens salg, køb og lagerbeholdninger af olie.
Det foreslås i stk. 1, at klima-, energi- og forsyningsministeren ved manglende opfyldelse af påbud efter § 21, stk. 1, nr. 1-5, kan påbyde virksomheder at få foretaget en revision af net- og informationsforanstaltninger, modstandsdygtighedsforanstaltninger og kritiske systemer ved en uafhængig revisor. Udgifterne til revisionen afholdes af virksomheden.
Efter bestemmelsen i CER-direktivets artikel 21, stk. 1, litra b, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser og midler til at foretage eller kræve revision af kritiske enheder.
Den foreslåede bestemmelse vil bygge videre på gældende bestemmelser fra el- og gassektoren, hvor ministeren kan påbyde virksomheder at foretage en revision. Den foreslåede bestemmelse vil kunne anvendes i flere tilfælde end tidligere. Som efter gældende regulering vil bestemmelsen finde anvendelse på net- og informationssystemer, svarende til it-beredskab, desuden vil klima-, energi- og forsyningsministeren påbyde virksomheder at få foretaget revision af modstandsforanstaltninger, som anvendes ved den fysiske sikring af virksomheden.
Revisionen vil adskille sig fra det generelle tilsyn, der er foreslået i lovforslagets § 19, ved at revisionen vil skulle udføres af en uafhængig revisor fremfor tilsynsmyndigheden, og at revisionen ikke vil være bundet af de tilsyns- og kontrolrammer, som anvendes af tilsynsmyndigheden.
Efter den foreslåede bestemmelse, vil klima-, energi- og forsyningsministeren kunne påbyde en revision, når håndhævelsesforanstaltninger, der er meddelt efter den foreslåede § 21, nr. 1-5, ikke vurderes tilstrækkeligt efterlevet. Påbud vil dermed kunne ske på baggrund af tilsyn, hvor tilsynsmyndigheden bliver opmærksom på manglende overholdelse af påbud hos virksomheder eller hvis sådan viden opnås gennem andre kanaler.
Det foreslåede vil medføre, at Klima-, energi og forsyningsministeren vil skulle foretage en konkret vurdering af omstændighederne i hver enkelt sag, hvor virksomheden påbydes at foretage en revision. Et påbud om revision vil skulle være proportionelt med de mangler, som er konstateret hos virksomheden.
Det forudsættes, at ministeren i sin vurdering af, om der vil skulle meddeles et påbud, vil skulle tage hensyn til overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser. Ved vurderingen af overtrædelsens grovhed skal følgende handlinger betragtes som alvorlige overtrædelser; gentagne overtrædelser, manglende underretning om eller afhjælpning af væsentlige hændelser, manglende afhjælpning af mangler efter bindende instrukser og afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende net- og informationssikkerhedsrisikostyringsforanstaltninger, modstandsforanstaltninger eller rapporteringsforpligtelser, der er fastsat i de foreslåede bestemmelser i §§ 6-9, 12, 13, 15 og 16. Endvidere vil ministeren i sin vurdering af, om der vil skulle meddeles et påbud, skulle tage hensyn til overtrædelsens varighed, den pågældende virksomheds relevante tidligere overtrædelser, enhver materiel eller immateriel skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt, hvorvidt der ved overtrædelsen er handlet forsætligt eller uagtsomt, enhver foranstaltning truffet af enheden for at forebygge eller afbøde den materielle eller immaterielle skade, hvorvidt godkendte adfærdskodekser eller godkendte certificeringsmekanismer er overholdt, og i hvilken udstrækning de fysiske eller juridiske personer, der holdes ansvarlige for overtrædelsen, samarbejder med de kompetente myndigheder.
Revisionen vil være afgrænset til de net- og informationssystemer, modstandsdygtighedsforanstaltninger og kritiske it-systemer, der indgår i virksomhedens opfyldelse af regler efter lovforslaget og regler udstedt i medfør af lovforslaget. Dermed vil en revision påbudt efter den foreslåede bestemmelse, ikke omfatte virksomhedens generelle regnskaber. Generelle administrative it-systemer vil være omfattet af en sådan revision, da cyberangreb ofte bruger sådanne systemer som en angrebsvinkel, til eksempelvis at tilegne sig adgang til andre systemer. Desuden vil revisionen få kompetence til at undersøge virksomhedens modstandsdygtighedsstyringsforanstaltninger.
Det forudsættes ved gennemførelsen af revisionen efter den foreslåede bestemmelse, at revisionen vil munde ud i en rapport, der vil indeholde en række anbefalinger fremsat af revisoren, der opstiller de tiltag som den pågældende virksomhed efter revisorens faglige vurdering, skal bringe i orden for at overholde lovforslagets regler om organisatorisk beredskab, fysisk sikring og cybersikkerhed og regler udstedt i medfør af dette lovforslag om disse emner.
Det forudsættes ligeledes ved gennemførelsen af bestemmelsen, at tilsynsmyndigheden, på baggrund af indholdet af revisorens rapport, kan blive tilsikret i den faglige kvalitet af revisionen, hvorved tilsynsmyndighedens afgørelse efter den foreslåede bestemmelse i stk. 2, kan underbygges med konkret faglig indsigt.
Det forudsættes endeligt ved gennemførelsen af bestemmelsen, at der er en vis fleksibilitet i bestemmelsen, i det den teknologiske udvikling på dette område gør, at der er behov for at kunne ændre på rammen for revisionen af virksomheden samt indholdet af revisorens rapport.
Det følger af den foreslåede stk. 2, at klima-, energi og forsyningsministeren kan påbyde virksomheder at gennemføre tiltag, som på baggrund af en revision efter stk. 1, vurderes nødvendige for at opretholde et tilstrækkeligt beredskab.
Efter den foreslåede bestemmelse, vil virksomheder dermed ikke allerede i medfør af revisionen være bundet af konklusionerne efter en afholdt revision. Virksomhederne vil med hjemmel i den foreslåede stk. 2 kunne påbydes at gennemføre tiltag på baggrund af revisionen. Bestemmelsen indebærer dermed, at klima-, energi- og forsyningsministeren konkret vil skulle gennemgå rapporter udarbejdet på baggrund af en revision, og vil efterfølgende kunne træffe afgørelse om at påbyde tiltag fra revisionen gennemført.
Det følger af den foreslåede stk. 3, at klima-, energi- og forsyningsministeren kan fastsætte nærmere regler for, hvordan den uafhængige revisor udpeges og godkendes.
Bestemmelsen har til formål at sikre, at der kan fastsættes regler, som understøtter, at den udpegede revisor er uafhængig af den virksomhed, som skal have foretage revision.
Med den foreslåede bestemmelse forventes det at der af klima-, energi- og forsyningsministeren vil kunne blive fastsat regler om af den uafhængige revisor, skal godkendes af klima-, energi- og forsyningsministeren forud for at revisionen må påbegyndes. For at lette godkendelsesprocessen forudsættes det, at konsekvensen af de regler, der fastsættes efter stk. 3, vil være, at klima-, energi- og forsyningsministeren kan udarbejde en liste med forhåndsgodkendte revisorer, hvor forhåndsgodkendelsen er af revisorens faglige niveau. Således vil vurderingen i det enkelte tilfælde kun være af om revisoren er uafhængig ift. den virksomhed der skal revideres.
Med den foreslåede bestemmelse forventes det, at der ligeledes vil kunne fastsættes regler om, hvilke kriterier en revisor skal opfylde for kunne sige at være uafhængig fra virksomheden, der skal revideres. Eksempelvis hvor lang tid siden revisoren senest må have foretaget arbejde for virksomheden eller nogle af virksomhedens andre koncernforbundne virksomheder.
Elforsyningslovens § 54, stk. 4, fastsætter regler om, at klima-, energi- og forsyningsministeren midlertidigt kan inddrage visse elektricitetsvirksomheders bevilling, dvs. virksomhedens autorisation til at drive elektricitetsvirksomhed. Ifølge bestemmelsen kan en bevilling midlertidigt inddrages i tilfælde af, at en virksomhed gentagne gange overtræder bestemmelser, vilkår eller påbud efter elforsyningsloven eller VE-loven eller regler udstedt i medfør af disse love, eller i tilfælde af at en netvirksomhed groft eller gentagne gange tilsidesætter vilkår stillet af Energinet i medfør af § 31, stk. 2, der vedrører virksomhedens bevillingspligtige aktivitet, såfremt overtrædelsen indebærer tilsidesættelse af væsentlige hensyn til elforsyningssikkerheden.
Elforsyningsloven indeholder ikke en bestemmelse om, at fysiske personer med ledelsesansvar midlertidigt kan forbydes at udøve ledelsesfunktioner.
Efter gasforsyningslovens § 33, stk. 1, nr. 1, kan bevillinger til gasvirksomheder inddrages af retten, hvis bestemmelser, vilkår eller påbud efter gasforsyningsloven eller regler udstedt i medfør af loven gentagne gange overtrædes.
Gasforsyningsloven indeholder ikke en bestemmelse om, at fysiske personer med ledelsesansvar midlertidigt kan forbydes at udøve ledelsesfunktioner.
Straffelovens § 79 indeholder regler om rettighedsfrakendelse ved dom for strafbare forhold, og bestemmelsen udgør den almindelige regel i dansk ret om rettighedsfrakendelse.
Det følger af bestemmelsen, at når særlige omstændigheder taler herfor, kan den, som udøver virksomhed, ved dom for strafbart forhold frakendes retten til fortsat at udøve den pågældende virksomhed eller til at udøve den under visse former, såfremt det udviste forhold begrunder en nærliggende fare for misbrug af stillingen, jf. straffelovens § 79. stk. 2. Efter samme regel kan der ske frakendelse af retten til at deltage i ledelsen af en erhvervsvirksomhed her i landet eller i udlandet uden at hæfte personligt og ubegrænset for virksomhedens forpligtelser. Frakendelsen sker på tid fra et til fem år regnet fra endelig dom, eller indtil videre, jf. § 79, stk. 3.
Efter straffelovens § 79, stk. 4, kan retten under behandlingen af de i straffelovens § 79, stk. 1 og 2, nævnte sager ved kendelse udelukke den pågældende fra at udøve virksomheden, indtil sagen er endeligt afgjort. Det kan ved dommen i sagen bestemmes, at anke ikke har opsættende virkning.
Det foreslås i § 23, stk. 1, at hvis en virksomhed overtræder et påbud og forbud, der er meddelt i medfør af § 21, nr. 1-4, og § 22, stk. 1 og 2, kan klima-, energi- og forsyningsministeren fastsætte en frist, inden for hvilken virksomheden skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde myndighedernes krav. Er tiltagene ikke foretaget inden for den fastsatte frist, kan klima-, energi- og forsyningsministeren træffe afgørelse om håndhævelsesforanstaltninger oplistet i nr. 1 og 2.
Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 5, skal medlemsstaterne sikre, at de kompetente myndigheder i en situation, hvor håndhævelsesforanstaltninger anvendt i medfør af direktivets artikel 32, stk. 4, litra a-d og f, er virkningsløse, skal have beføjelse til at fastsætte en frist, inden for hvilken den væsentlige enhed skal tage de nødvendige tiltag for at afhjælpe manglerne eller opfylde myndighedernes krav. Hvis de ønskede tiltag ikke tages inden for den fastsatte frist, skal de kompetente myndigheder have beføjelse håndhævelsesforanstaltninger efter artikel 32, stk. 5, litra a og b.
Den foreslåede bestemmelse vil medføre, at klima-, energi- og forsyningsministeren kan udstede en frist, inden for hvilken virksomheden skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde myndighedernes krav, i de påbud eller forbud, der meddelt i medfør af § 21, nr. 1-4 og § 22, stk. 1 og 2.
Den foreslåede bestemmelse vil medføre, at klima-, energi- og forsyningsministeren, såfremt fristen overskrides, kan træffe afgørelse om de stk. 1, nr. 1 og 2, nævnte suspensioner og forbud, der vil blive gennemgået nedenfor.
Bestemmelsen vil ligeledes finde anvendelse på forhold omkring fysisk sikring, som falder inden for CER-direktivets område.
Den foreslåede bestemmelse går videre end minimumskravene i NIS 2 direktivet, idet at bestemmelsen også kan anvendes, hvis virksomheden ikke har foretaget påbudt revision eller gennemført tiltag efter revisionen for så vidt angår modstandsdygtighedsforanstaltninger, som ikke er et krav der stammer fra NIS 2-direktivet. Bestemmelsen skal derudover forstås og anvendes i overensstemmelse med direktivets forudsætninger og eventuelle fortolkningsbidrag fra EU-Kommissionen, ENISA eller andre af EU’s institutioner.
Det bemærkes i den forbindelse, at det af den danske oversættelse af NIS 2-direktivets artikel 32, stk. 5, 1. afsnit, fremgår, at bestemmelsen kan anvendes, hvor de relevante håndhævelsesforanstaltninger er »virkningsløse«. Denne oversættelse vurderes imidlertid ikke at være forenelig med den engelske udgave af direktivet, hvori »ineffective« er anvendt. Det er således Klima-, Energi- og Forsyningsministeriets vurdering, at formuleringen »virkningsløse« vil udgøre en indholdsmæssig forskydning i forhold til den engelske sprogversion. Det er desuden Klima-, Energi- og Forsyningsministeriets vurdering, at et kriterium om, at foranstaltningerne er »virkningsløse«, vil indebære, at enhver virkning af de anvendte foranstaltninger – uanset om virkningen måtte være utilstrækkelig eller endda negativ – vil betyde, at bestemmelsen ikke vil kunne anvendes. Det vurderes, at dette reelt vil gøre bestemmelsen uanvendelig i praksis i strid med direktivets forudsætninger. Det foreslås på den baggrund, at der i stedet anvendes et kriterie om, at virksomhederne har »overtrådt« håndhævelsesforanstaltningerne, da dette i en dansk juridisk sammenhæng vurderes at svare til »ineffektive« og afspejler et indbygget proportionalitetsprincip.
Det følger på den baggrund af den foreslåede bestemmelse, at det vil være en forudsætning for at anvende bestemmelsen, at håndhævelsesforanstaltninger pålagt i medfør af den foreslåede § 21, stk. 1-4, og § 22, stk. 1 og 2, er blevet overtrådt. Det er dermed en forudsætning, at mindre indgribende midler har været forsøgt og vist sig utilstrækkelige til at sikre, at enheden foretager de nødvendige tiltag for at afhjælpe mangler, som den kompetente myndighed har konstateret, eller opfylder den kompetente myndigheds krav.
Det bemærkes i den forbindelse, at Klima-, Energi- og Forsyningsministeriet efter omstændighederne og i relevant omfang vil kunne træffe afgørelse om anvendelse af flere håndhævelsesforanstaltninger på én gang. Der er således ikke i medfør af den foreslåede § 23 et krav om, at relevante håndhævelsesforanstaltninger anvendes tidsmæssigt forskudt af hinanden, såfremt det vurderes, at flere foranstaltninger i kombination er nødvendige for at sikre, at reglerne efterleves.
Der vil efter bestemmelsen skulle fastsættes en nærmere angivet frist, inden for hvilken enheden skal have truffet de nødvendige tiltag for at afhjælpe manglerne eller opfylde den kompetente myndigheds krav. Varigheden af fristen vil afhænge af en konkret vurdering, som foretages af den kompetente myndighed. Fastsættelsen af en nærmere angivet frist vil være en selvstændig forvaltningsretlig afgørelse, der træffes i tillæg til en afgørelse efter § 21, nr. 1-4, og § 22, stk. 1 og 2, hvorfor forvaltningslovens regler, herunder bl.a. bestemmelserne i kapitel 3 (om vejledning og repræsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse mv.) og kapitel 7 (om klagevejledning) i udgangspunktet vil finde anvendelse.
Bestemmelsen vil skulle anvendes i overensstemmelse med NIS 2-direktivets forudsætninger som udtrykt i præambelbetragtning nr. 133, hvorefter bestemmelsen kun bør anvendes som en sidste udvej, dvs. først efter at de øvrige, relevante håndhævelsesforanstaltninger er udtømt. Det fremgår videre af samme præambelbetragtning, at i betragtning af deres alvor og indvirkning på virksomhedens aktiviteter og i sidste ende brugerne, bør sådanne midlertidige suspensioner eller forbud kun anvendes proportionalt med overtrædelsens alvor og under hensyntagen til omstændighederne i hvert enkelt tilfælde, herunder i lyset af, om overtrædelsen var forsætlig eller uagtsom, og ethvert tiltag, der er iværksat for at forebygge eller afbøde den materielle eller immaterielle skade.
Det foreslås, at afgørelse om suspension eller forbud træffes af klima-, energi- og forsyningsministeren. Det skal ses i lyset af, at muligheden for suspension og forbud ligger i forlængelse af anvendelsen af de øvrige håndhævelsesmuligheder, og at der i en afgørelse om suspension eller forbud forudsættes at skulle indgå en begrundelse for, hvorfor allerede pålagte håndhævelsesforanstaltninger er utilstrækkelige.
Det følger af NIS 2-direktivets artikel 32, stk. 7, at klima-, energi- og forsyningsministeren ved anvendelsen af håndhævelsesforanstaltninger, såsom suspension eller forbud efter den foreslåede bestemmelse, skal inddrage de oplistede hensyn i litra a-h.
Det foreslås med § 23, stk. 1, nr. 1, at overtræder en virksomhed et påbud eller forbud, der er meddelt i medfør af § 21, nr. 1-4, og § 22, stk. 1 og 2, kan klima-, energi- og forsyningsministeren fastsætte en frist, inden for hvilken virksomheden skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde myndighedernes krav. Er tiltagene ikke foretaget inden for den fastsatte frist, kan klima-, energi- og forsyningsministeren træffe afgørelse om midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, virksomheden leverer, eller aktiviteter, der udføres af virksomheden.
Den foreslåede bestemmelse i § 23, stk. 1, nr. 1, indebærer, at såfremt virksomheden ikke har iværksat tiltag for at afhjælpe manglerne eller efterkomme den kompetente myndigheds krav inden for den fastsatte frist, kan klima-, energi- og forsyningsministeren træffe afgørelse om midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, virksomheden leverer, eller aktiviteter, der udføres af virksomheden. Det kan eksempelvis være elproduktionsbevilling efter elforsyningslovens § 10, bevilling til at drive netvirksomhed efter elforsyningslovens § 19, tilladelse til at producere elektricitet i medfør af VE-lovens 29 eller elforsyningslovens § 11, tilladelse til efterforskning og udvinding af råstoffer efter undergrundslovens § 5, samt bevillinger til transmissions-, distributions-, lager- og LNG-virksomhed efter gasforsyningslovens 10. Der findes også andre relevante certificeringen, godkendelser, tilladelser og bevillinger, f.eks. efter miljølovgivningen, der også vil kunne suspenderes med denne bestemmelse.
En afgørelse efter § 23, stk. 1, nr. 1, vil være en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler, herunder bl.a. bestemmelserne i kapitel 3 (om vejledning og repræsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse mv.) og kapitel 7 (om klagevejledning) i udgangspunktet vil finde anvendelse.
Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 5, litra a, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at midlertidigt at suspendere eller anmode et certificerings- eller godkendelsesorgan eller en domstol om i overensstemmelse med national ret midlertidigt at suspendere, en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, der leveres, eller aktiviteter, der udføres, af en væsentlig enhed.
En afgørelse efter nr. 1 vil være af midlertidig karakter. Der henvises i øvrigt til det foreslåede stk. 2, hvorefter afgørelsen kun kan opretholdes, så længe virksomheden ikke har truffet de nødvendige tiltag for at afhjælpe de mangler eller efterleve de krav fra klima-, energi- og forsyningsministeren, som gav anledning til, at foranstaltningerne blev anvendt.
Den foreslåede bestemmelse skal ses i sammenhæng med den foreslåede bestemmelse i stk. 5, hvorefter vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab vil kunne fastsætte nærmere regler for, hvilke certificeringer og godkendelser, som bestemmelsen i stk. 1, nr. 1, finder anvendelse på. Det forudsættes, at den foreslåede bestemmelse i 1, nr. 1, ikke anvendes, før bemyndigelsen i den foreslåede stk. 5, er anvendt.
Det foreslås med § 23, stk. 1, nr. 2, at overtræder en virksomhed et påbud og forbud, der er meddelt i medfør af § 21, nr. 1-4, og § 22, stk. 1 og 2, kan klima-, energi- og forsyningsministeren fastsætte en frist, inden for hvilken virksomheden skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde myndighedernes krav. Er tiltagene ikke foretaget inden for den fastsatte frist, kan klima-, energi- og forsyningsministeren træffe afgørelse om midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos virksomheden at udøve ledelsesfunktioner i den pågældende virksomhed.
Den foreslåede bestemmelse i § 23, stk. 1, nr. 2, indebærer, at såfremt virksomheden ikke har iværksat tiltag for at afhjælpe manglerne eller efterkomme klima-, energi- og forsyningsministerens krav inden for den fastsatte frist, kan klima-, energi- og forsyningsministeren træffe afgørelse om midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos enheden at udøve ledelsesfunktioner i den pågældende virksomhed.
En afgørelse efter § 23, stk. 1, nr. 2, vil være en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler, herunder bl.a. bestemmelserne i kapitel 3 (om vejledning og repræsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse mv.) og kapitel 7 (om klagevejledning) i udgangspunktet vil finde anvendelse.
Efter NIS 2-direktivets artikel 32, stk. 5, litra b, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at anmode de relevante organer eller domstole om i overensstemmelse med national ret midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau eller som juridisk repræsentant i den pågældende væsentlige enhed at udøve ledelsesfunktioner i den pågældende enhed.
Det bemærkes i denne forbindelse, at det af den danske oversættelse af NIS 2-direktivets artikel 32, stk. 5, litra b, bl.a. fremgår, at de personer med ledelsesansvar, der midlertidigt kan suspenderes, omfatter »enhver fysisk person med ledelsesansvar på direktionsniveau«. Denne oversættelse er efter Klima-, Energi- Forsyningsministeriets opfattelse imidlertid ikke forenelig med den engelske udgave af direktivet, hvori »any natural person who is responsible for discharging managerial responsibilities at chief executive officer or legal representative level in the essential entity from exercising managerial functions in that entity« er anvendt. Den franske sprogversion anvender en tilsvarende formulering som den engelske. I den foreslåede bestemmelse anvendes på den baggrund betegnelsen »enhver fysisk person med ledelsesansvar på niveau med administrerende direktør«.
I det omfang en virksomhed eller organisation ikke har en administrerende direktør, vil bestemmelsen omfatte den øverste leder af den pågældende væsentlige enhed, fx en generalsekretær, direktør, koncernchef eller managing partner. En afgørelse efter nr. 2, vil være af midlertidig karakter. Der henvises i øvrigt til det foreslåede stk. 2, hvorefter afgørelsen kun kan opretholdes, så længe virksomheden ikke har truffet de nødvendige tiltag for at afhjælpe de mangler eller efterleve de krav fra klima- energi- og forsyningsministeren, som gav anledning til, at foranstaltningerne blev anvendt.
I det omfang en virksomhed eller organisation ikke har en administrerende direktør, vil bestemmelsen omfatte den øverste leder af den pågældende væsentlige enhed, fx en generalsekretær, direktør, koncernchef eller managing partner.
En afgørelse efter nr. 2 vil være af midlertidig karakter, jf. også det foreslåede stk. 2, hvorefter afgørelsen kun kan opretholdes, så længe enheden ikke har truffet de nødvendige tiltag for at afhjælpe de mangler eller efterleve de krav fra myndigheden, som gav anledning til, at foranstaltningerne blev anvendt.
Det foreslås i § 23, stk. 2, at midlertidige suspensioner eller forbud, som er pålagt i medfør af stk. 1, kun kan anvendes, indtil virksomheden træffer de nødvendige foranstaltninger til at afhjælpe de mangler eller til at opfylde de krav, som gav anledning til at foranstaltningerne blev anvendt.
Den foreslåede bestemmelse vil implementere NIS 2-direktivets artikel 32, stk. 5, 2. led, 1. pkt., hvoraf det følger, at midlertidige suspensioner eller forbud, som er pålagt i henhold til dette stykke, kun anvendes, indtil den pågældende virksomhed træffer de nødvendige foranstaltninger til at afhjælpe manglerne eller opfylde den kompetente myndigheds krav, som gav anledning til at disse håndhævelsesforanstaltninger blev anvendt.
Klima-, Energi- og Forsyningsministeriet har ikke fundet grundlag for at gå videre end direktivet. Den foreslåede bestemmelse svarer således indholdsmæssigt til NIS 2-direktivets artikel 32, stk. 5, 2. led, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Bestemmelsen indebærer, at klima-, energi- og forsyningsministeren, der har truffet afgørelse om midlertidigt at suspendere en certificering eller midlertidigt har forbudt en fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos enheden at udøve ledelsesfunktioner i den pågældende enhed, skal træffe afgørelse om at ophæve foranstaltningen, når enheden har truffet de nødvendige tiltag for at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningen blev anvendt. En sådan afgørelse bør træffes hurtigst muligt.
Det foreslås i § 23, stk. 3, at en afgørelse efter stk. 1 kan af virksomheden eller den fysiske person, afgørelsen vedrører, forlanges indbragt for domstolene. Klima-, energi- og forsyningsministeren anlægger i givet fald sag mod den virksomhed eller person, som har forlangt sagen indbragt.
Den foreslåede bestemmelse vil implementere NIS 2-direktivets artikel 32, stk. 5, 2. led, 2. pkt., hvoraf det følger, at pålæggelse af midlertidige suspensioner eller forbud skal være underlagt passende proceduremæssige garantier i overensstemmelse med de generelle principper i EU-retten og chartret, herunder retten til effektive retsmidler og til en retfærdig rettergang, uskyldsformodningen og retten til et forsvar.
Det vil efter den foreslåede bestemmelse være muligt for virksomheden eller den fysiske person, som afgørelsen om suspension eller forbud vedrører, at forlange afgørelsen indbragt for retten. Når en sådan sag indbringes for retten, vil bestemmelserne i retsplejeloven finde anvendelse, hvilket vil sikre de nødvendige retssikkerhedsgarantier.
Den foreslåede bestemmelse vil ikke afskære enheden eller den fysiske person, som afgørelsen vedrører, fra at påklage afgørelsen som led i almindelig administrativ rekurs og efter § 31 om klage til Energiklagenævnet.
Det vil efter bestemmelsen være muligt for enheden at forlange afgørelsen indbragt for retten, uanset om der er truffet en administrativ afgørelse i 2. instans.
Det følger af det foreslåede § 23, stk. 4, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, kan fastsætte nærmere regler om, hvilke certificeringer og godkendelser der er omfattet af stk. 1, nr. 1.
Den foreslåede bestemmelse indebærer, at der vil kunne fastsættes regler, der vil skulle sikre, at det vil være nærmere regler i bekendtgørelsesform sikres det, at det vil være klart og forudsigeligt for enhederne, hvilke certificerings- og godkendelsesordninger, der vil kunne medføre suspension. Det sikres endvidere, at reglerne løbende kan tilpasses den udvikling, der er på området, fx i tilfælde af, at der indføres en ny cybersikkerhedscertificering i EU-regi.
Det forventes, at eksempelvis elproduktionsbevilling efter elforsyningslovens § 10, bevilling til at drive netvirksomhed efter elforsyningslovens § 19, tilladelse til at producere elektricitet i medfør af VE-lovens 29 eller elforsyningslovens § 11, tilladelse til efterforskning og udvinding af råstoffer efter undergrundslovens § 5, samt bevillinger til transmissions-, distributions-, lager- og LNG-virksomhed efter gasforsyningslovens 10, vil kunne suspenderes midlertidigt. Der findes dog også andre relevante certificeringen, godkendelser, tilladelser og bevillinger, f.eks. efter miljølovgivningen, der også vil kunne omfattes i de nærmere fastsatte regler.
Det forudsættes, at den foreslåede bestemmelse i stk. 1, nr. 1, ikke anvendes, før bemyndigelsen i den foreslåede stk. 5, er anvendt.
For så vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.
Det følger af forvaltningslovens § 19, stk. 1, at såfremt en part ikke kan antages at være bekendt med, at myndigheden er i besiddelse af bestemte oplysninger om en sags faktiske grundlag eller eksterne faglige vurderinger, må der ikke træffes afgørelse, før ministeriet har gjort parten bekendt med oplysningerne eller vurderingerne og givet denne lejlighed til at fremkomme med en udtalelse. Det gælder dog kun, hvis oplysningerne eller vurderingerne er til ugunst for den pågældende part og er af væsentlig betydning for sagens afgørelse. Ministeriet kan fastsætte en frist for afgivelsen af den nævnte udtalelse, jf. forvaltningslovens § 19, stk. 1, jf. dog undtagelserne i stk. 2.
Det foreslås i § 24, stk. 1, at inden Klima- Energi- og Forsyningsministeriet træffer afgørelse om at anvende håndhævelsesforanstaltninger efter §§ 21-23, underrettes den berørte virksomhed om de påtænkte håndhævelsesforanstaltninger og begrundelsen herfor. Klima- Energi- og Forsyningsministeriet skal give virksomheden en rimelig frist til at fremsætte bemærkninger, undtagen i tilfælde hvor formålet med foranstaltningen ellers ville forspildes.
Den foreslåede bestemmelse vil skærpe kravene for, hvornår myndigheden har pligt til at foretage høring. Efter foreslåede bestemmelse, vil der være pligt til at høre den berørte virksomhed, uagtet om virksomheden måtte være bekendt med oplysninger om en sags faktiske oplysninger eller ej før der træffes afgørelse. Bestemmelsen indeholder dermed en mere objektiv høringspligt end forvaltningslovens § 19, stk. 1. Derudover vil mængden af undtagelsesbestemmelser begrænses.
Den foreslåede bestemmelse skal ses i sammenhæng med lovens mekanisme for anvendelse af håndhævelsesforanstaltninger. Lovforslaget indeholder en eskalation af anvendelsen af håndhævelsesforanstaltninger. En afgørelse efter lovforslagets § 22 eller § 23 vil dermed kunne træffes på grundlag af, at en virksomhed ikke har overhold et forbud eller påbud, som er afgivet i medfør af § 21. Der vil dermed ikke være tale om nye oplysninger, men en fortsættelse af tidligere forhold. Bestemmelsen vil i den forbindelse sikre, at den pågældende part vil skulle høres, inden der træffes afgørelse om eskalation af håndhævelsesforanstaltninger.
Den foreslåede bestemmelse vil implementere artikel 32, stk. 8, i NIS 2-direktivet. Artikel 32, stk. 8, fastsætter, at de kompetente myndigheder giver en detaljeret begrundelse for deres håndhævelsesforanstaltninger. Inden de kompetente myndigheder træffer sådanne foranstaltninger, underretter de kompetente myndigheder de berørte enheder om deres foreløbige resultater. De giver også disse enheder en rimelig frist til at fremsætte bemærkninger, undtagen i behørigt begrundede tilfælde, hvor øjeblikkelige foranstaltninger til at forebygge eller reagere på hændelser ellers ville blive hindret.
Den foreslåede bestemmelse svarer således indholdsmæssigt til NIS 2-direktivets artikel 32, stk. 8, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Efter den foreslåede bestemmelse vil Klima-, Energi- og Forsyningsministeriet skulle sende en såkaldt agterskrivelse til en virksomhed, før der træffes beslutning om at anvende en påtænkt håndhævelsesforanstaltning efter §§ 21-23.
Agterskrivelsen vil skulle være ledsaget af en nærmere begrundelse for den påtænkte håndhævelsesforanstaltning, ligesom det vil skulle fremgå klart, at der er tale om en høring, at der ikke er truffet afgørelse i sagen endnu, at virksomhedens bemærkninger til høringen kan få indflydelse på resultatet, og at Klima-, Energi- og Forsyningsministeriet lader agterskrivelsen få virkning som en afgørelse, hvis virksomheden ikke kommer med bemærkninger til høringen inden dennes udløb.
Agterskrivelsen vil skulle indeholde en rimelig frist for virksomheden til at afgive bemærkninger til agterskrivelsens indhold.
Høringsskrivelsen vil skulle indeholde en rimelig frist for enheden til at afgive bemærkninger til agterskrivelsens indhold. Kravet om at fastsætte en rimelig frist vil dog ikke gælde i behørigt begrundede tilfælde, hvor øjeblikkelige foranstaltninger til at forebygge eller reagere på hændelser ellers ville blive hindret.
Der henvises i øvrigt til afsnit 3.7 i lovforslagets almindelige bemærkninger.
Der er ikke beredskabsregulering inden for energisektoren, der indeholder bestemmelser om gensidig bistand om cybersikkerhed mellem medlemsstaters kompetente myndigheder.
Det foreslås i § 25, stk. 1, 1. pkt., at klima-, energi og forsyningsministeren samarbejder med de andre medlemsstaters kompetente myndigheder i relevant omfang, når en virksomhed leverer tjenester i mere end én medlemsstat i Den Europæiske Union, eller hvor virksomheden leverer tjenester i én eller flere medlemsstater, og virksomhedens net- og informationssystemer er beliggende i en eller flere andre medlemsstater.
Den foreslåede bestemmelse har til formål at danne rammen for gensidig bistand om cybersikkerhed mellem at klima-, energi og forsyningsministeren og andre medlemsstaters kompetente myndigheder i de tre tilsyns- og håndhævelsessituationer der er oplistet i stk. 1, nr. 1 – 3.
Bestemmelsen vil implementere artikel 37, stk. 1, i NIS 2-direktivet, hvoraf det følger, at hvor en enhed leverer tjenester i mere end én medlemsstat, eller hvor den leverer tjenester i en eller flere medlemsstater, og dens net- og informationssystemer er beliggende i en eller flere andre medlemsstater, samarbejder de kompetente myndigheder i de pågældende medlemsstater med og bistår hinanden efter behov. Det fremgår af direktivet, at dette samarbejde indebærer mindst; a) at de kompetente myndigheder, der anvender tilsyns- eller håndhævelsesforanstaltninger i en medlemsstat, via det fælles kontaktpunkt underretter og hører de kompetente myndigheder i de øvrige berørte medlemsstater om de tilsyns- og håndhævelsesforanstaltninger, der er truffet, b) at en kompetent myndighed kan anmode en anden kompetent myndighed om at træffe tilsyns- eller håndhævelsesforanstaltninger, og c) at en kompetent myndighed efter modtagelse af en begrundet anmodning fra en anden kompetent myndighed yder bistand til den anden kompetente myndighed, der står i et rimeligt forhold til dens egne ressourcer, således at tilsyns eller håndhævelsesforanstaltningerne kan gennemføres på en effektiv, virkningsfuld og konsekvent måde.
Den foreslåede bestemmelse indebærer, at Klima-, Energi- og Forsyningsministeriet i relevant omfang skal samarbejde med de kompetente myndigheder i andre medlemsstater om deres opgaveudførelse vedrørende enheder, der leverer tjenester i én eller flere medlemsstater, og enheder, hvis net- og informationssystemer er beliggende i én eller flere medlemsstater.
Det foreslås i § 25, stk. 1, 2. pkt., nr. 1, at klima-, energi- og forsyningsministeren via det centrale kontaktpunkt, der er klima-, energi- og forsyningsministeren via det centrale kontaktpunkt, der er udpeget af regeringen i medfør af, Europa-Parlamentets i medfør af NIS 2-direktivet, underretter de kompetente myndigheder i relevante medlemsstater om anvendte tilsyns- og håndhævelsesforanstaltninger,
Det følger af den foreslåede bestemmelse i § 25, stk. 1, 2. pkt., nr. 1, at samarbejdet om cybersikkerhed indebærer, at der skal ske underretning til de kompetente myndigheder i medlemsstater, hvor enheden leverer tjenester, eller hvor dens net- og informationssystemer er beliggende.
Det foreslås i § 25, stk. 1, 2. pkt., nr. 2, at klima-, energi- og forsyningsministeren kan anmode en anden medlemsstats kompetente myndigheder om at anvende tilsyns- og håndhævelsesforanstaltninger.
Men den foreslåede bestemmelse kan klima-, energi- og forsyningsministeren anmode en anden medlemsstats kompetente myndigheder om at anvende tilsyns- og håndhævelsesforanstaltninger overfor virksomheder omfattet af den anden medlemsstats regler der implementerer NIS 2-direktivet i det pågældende land. Bestemmelsen tænkes fx anvendt i situationer, hvor klima-, energi- og forsyningsministeren i forbindelse med et tilsyn efter denne lov eller regler udstedt i medfør af loven, af en dansk virksomhed, der er ejet eller på anden måde kontrolleret af en virksomhed i anden medlemsstat, har konstateret en overtrædelse af lovgivningen, der udspringer fra den udenlandske virksomhed. Det kunne også tænkes relevant i den omvendte situation, hvor den danske virksomhed er virksomheden der ejer eller kontrollerer en virksomhed i en anden medlemsstat.
Det foreslås i § 25, stk. 1, 2. pkt., nr. 3, at klima-, energi- og forsyningsministeren i rimeligt omfang yder bistand til en anden medlemsstats kompetente myndighed efter modtagelse af en begrundet anmodning herom.
Det følger af NIS 2-direktivets artikel 37, stk. 1, 2. led, at den gensidige bistand, der er omhandlet i litra c, kan omfatte anmodninger om oplysninger og tilsynsforanstaltninger, herunder anmodninger om at foretage inspektioner på stedet eller eksternt tilsyn eller målrettede sikkerhedskontroller. En kompetent myndighed, som en anmodning om bistand er rettet til, må ikke afvise anmodningen, medmindre det er fastslået, at den ikke er kompetent til at yde den ønskede bistand, at den bistand, der anmodes om, ikke står i et rimeligt forhold til den kompetente myndigheds tilsynsopgaver, eller anmodningen vedrører oplysninger eller indebærer aktiviteter, som, hvis de blev videregivet eller udført, ville stride mod den medlemsstats væsentlige interesser med hensyn til national sikkerhed, offentlige sikkerhed eller forsvar. Før den kompetente myndighed afslår en sådan anmodning, hører den de øvrige berørte kompetente myndigheder samt, efter anmodning fra en af de berørte medlemsstater, EU-Kommissionen og ENISA.
Bistanden efter den foreslåede bestemmelse i § 25, stk. 1, 2. pkt., nr. 3, kan omfatte anmodninger om oplysninger og tilsynsforanstaltninger, herunder eksempelvis anmodninger om at foretage inspektioner på stedet eller målrettede sikkerhedskontroller.
En anmodning om bistand vil kunne afvises, hvis anmodningen ikke står i rimeligt forhold til den kompetente myndigheds tilsynsopgaver og ressourcer.
En anmodning om bistand vil desuden kunne afvises, hvis anmodningen vedrører videregivelse af oplysninger eller indebærer udførelsen af aktiviteter, som ville stride mod væsentlige interesser med hensyn til national sikkerhed, offentlige sikkerhed eller forsvar. Før der vil kunne ske afvisning af en anmodning, vil den kompetente myndighed skulle høre de relevante kompetente myndigheder i andre medlemsstater samt, efter anmodning fra en af de relevante kompetente myndigheder i andre medlemsstater, EU-Kommissionen og ENISA.
Det foreslås i § 25, stk. 2, at klima-, energi- og forsyningsministeren efter nærmere aftale med kompetente myndigheder fra andre medlemsstater i Den Europæiske Union, kan gennemføre fælles tilsynstiltag.
Den foreslåede bestemmelse vil implementere NIS 2-direktivets artikel 37, stk. 2, hvoraf det følger, at de kompetente myndigheder fra forskellige medlemsstater, hvor det er hensigtsmæssigt og efter fælles overenskomst, kan gennemføre fælles tilsynstiltag.
Der stilles med den foreslåede bestemmelse ikke nærmere formkrav til den aftale, der indgås om udførelsen af fælles tilsynstiltag.
Den foreslåede bestemmelse indebærer ikke, at andre medlemsstaters myndigheder selvstændigt kan udøve tilsynsbeføjelser her i landet.
Efter elforsyningslovens § 85 c, stk. 4 og gasforsyningslovens § 15 b, stk. 4, er informationer, herunder vurderinger, planer og data, vedrørende sikkerhedsforhold for kritiske it-systemer i virksomheder, omfattet af § 85 c, stk. 1 og § 15 b, stk. 1, fortrolige, hvis oplysningerne er væsentlige af hensyn til driften af virksomheden eller det sammenhængende hhv. elsystem og gassystem.
Det er nærmere fastsat i § 29 i it-beredskabsbekendtgørelsen, at følsomme oplysninger skal behandles med fortrolighed, og at der ved følsomme oplysninger forstås oplysninger om konkrete risici og sårbarheder, planmateriale, kritiske dele af beredskabsplaner, herunder hvordan virksomheden eller sektoren vil agere i givne beredskabssituationer, materiale af tilsvarende karakter, der af virksomheden eller Energinet vurderes følsomt. Endvidere fastsætter § 29, stk. 3, at forsendelse og håndtering af følsomt materiale skal ske på en måde, der sikrer fortrolighed og integritet af materialet, mens § 29, stk. 4, bestemmer at følsomt materiale, som ikke længere benyttes, skal destrueres.
Det er endvidere i § 32 i hhv. elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen, med hjemmel i elforsyningslovens § 85 b, stk. 3 og 4, og gasforsyningslovens § 15 a, stk. 3 og 4, angivet, at sårbarhedsvurderinger og klassificering efter § 11, stk. 1 og 2, samt kritiske dele af beredskabsplaner og andet materiale af tilsvarende karakter skal behandles fortroligt og ikke må komme uvedkommende i hænde.
Næsten tilsvarende bestemmelser som ovenfor findes i olieberedskabsbekendtgørelsens § 19, der dog har den ekstra tilføjelse i stk. 3, 2. pkt., at udstederen af følsomme oplysninger har pligt til at gøre modtageren opmærksom på eventuelle krav til håndteringen af følsomt materiale.
Det foreslås i stk. 1, at informationer om sikkerhedsgodkendelse og baggrundskontrol samt forhold vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed i virksomheder, der er omfattet af loven eller informationer om energisektoren generelt, som udarbejdes i medfør af denne lov, er fortrolige i de tilfælde der er oplistet i de foreslåede nr. 1-5.
Den foreslåede bestemmelse i stk. 1, skal i udgangspunktet ses som en videreførelse af de ovenstående bestemmelser i hhv. elforsyningsloven, gasforsyningsloven og de fire beredskabsbekendtgørelser, med undtagelse af bestemmelserne om kommercielt følsomme oplysninger.
Først og fremmest er formålet at fastlægge, at en lang række informationer, der bliver udarbejdet og bruges som led i denne lov af både virksomheder og myndigheder, herunder EU-Kommissionen og dennes rådgivende missioner efter § 20, indeholder informationer, som er beskyttelsesværdige, og derfor skal behandles med fortrolighed, af alle der er besiddelse af disse informationer.
Det vil som udgangspunkt være udstederen eller ejeren af oplysningerne, der vurderer oplysningernes fortrolighed samt drager nødvendige foranstaltninger for at beskytte disse.
Bestemmelsen i det foreslåede stk. 1 ændrer ikke ved, at virksomhederne vil skulle udlevere informationer til Energistyrelsen eller EU-Kommissionen og dennes rådgivende missioner efter den foreslåede § 20, i tilsynsøjemed.
Den foreslåede bestemmelse har endvidere som formål at sikre, at personer, der virker inden for den offentlige forvaltning, har tavshedspligt omkring de beskyttelsesværdige informationer, i henhold til forvaltningslovens § 27, stk. 2, 2. pkt., såfremt informationerne ikke allerede er omfattet af en af de andre bestemmelser i forvaltningslovens § 27. Informationerne falder således, grundet klassificeringen som fortrolig ved lov og bekendtgørelse, ind under anvendelsesområdet for forvaltningslovens § 27, stk. 2, 2. pkt. Det betyder, at personer, der virker inden for den offentlige forvaltning, vil kunne ifalde strafansvar efter straffelovens § 152 og §§ 152 c-152 f, såfremt personen bryder sin tavshedspligt om disse informationer.
Den foreslåede bestemmelse indskrænker ikke, at informationer, der ved tilsyn eller på anden vis kommer Energistyrelsen i hænde, vil være omfattet af reglerne om aktindsigt i henhold til lov om offentlighed i forvaltningen, forvaltningsloven samt lov om aktindsigt i miljøoplysninger i de tilfælde, hvor det skønnes, at oplysningerne er miljøoplysninger efter definitionen i § 3 i miljøoplysningsloven.
Der skal således ved vurderingen af, om der kan gives aktindsigt, efter reglerne i offentlighedsloven, forvaltningsloven og miljøoplysningsloven, i de nævnte typer informationer, vurderes om disse informationer falder ind under disse loves undtagelsesbestemmelser, fx angående undtagelse af oplysninger af hensyn til statens sikkerhed eller rigets forsvar, undtagelse af oplysninger af hensyn til rigets udenrigspolitiske interesser m.v. og undtagelse af oplysninger om private forhold og drifts- eller forretningsforhold m.v.
Endvidere vil den foreslåede bestemmelse have den virkning, at der vil være en formodning om, at arkivlovens § 27, stk. 1, nr. 1, 2, 5 og 6, finder anvendelse på de nævnte informationer, som myndigheder, samt selskaber, institutioner, foreninger m.v., efter arkivloven er forpligtiget til at aflevere til offentligt arkiv i henhold til arkivlovens regler. Det betyder, at disse myndigheder, samt selskaber, institutioner, foreninger m.v. vil være forpligtiget til at drøfte med det modtagne arkiv om fastsættelse af en tilgængelighedsfrist, der er så lang som mulig i henhold til den foreslåede § 27, stk. 1.
Det foreslås i nr. 1, at informationerne er fortrolige i det tilfælde, at informationerne indgår i vurderingen af sikkerhedsgodkendelser.
Med den foreslåede bestemmelse vil alle oplysninger der tilgår klima-, energi- og forsyningsministeren i forbindelse med behandlingen af en ansøgning om sikkerhedsgodkendelse efter § 16, stk. 2, være omfattet.
Det foreslås i nr. 2, at informationerne er fortrolige i det tilfælde, at informationerne indgår i vurderingen af baggrundskontrol.
Med den foreslåede bestemmelse vil alle oplysninger der tilgår klima-, energi- og forsyningsministeren i forbindelse med behandlingen af en ansøgning om baggrundskontrol efter § 16, stk. 1, være omfattet.
Det foreslås i nr. 3, at informationerne er fortrolige i det tilfælde, at informationerne er væsentlige af hensyn til driften af virksomheden. Bestemmelsen vedrører eksempelvis risiko og sårbarhedsvurderinger, planmateriale, beredskabsplaner, sikringsplaner, tekniske informationer om opbygning af anlæg og netværksstrukturer samt data der bruges af virksomhederne til at levere deres tjenester.
Ved risiko og sårbarhedsvurderinger forstås i denne bestemmelse beskrivelser af konkrete sårbarheder eller scenarier, der kan afstedkomme en krisesituation eller et angreb, herunder cyberangreb. Vurderinger henviser både til virksomhedens egne vurderinger af egne systemer samt vurderinger af det samlede energisystems sårbarheder.
Ved planmateriale, beredskabsplaner og sikringsplaner forstås i denne sammenhæng beskrivelser af procedure, handlinger eller foranstaltninger, der skal forhindre eller forebygge en krisesituation eller et angreb, herunder cyberangreb.
Ved data forstås i denne sammenhæng følsomme informationer bl.a. data om systemets drift, adgange eller brugerstyring. Disse data beskriver systemers opsætning og adgangsstyring.
Det foreslås i nr. 4, at informationerne er fortrolige i det tilfælde, at informationerne er væsentlige af hensyn til driften af andre virksomheder omfattet af loven.
Informationer, som er væsentlige af hensyn til driften af andre virksomheder omfattet af loven, er de samme typer af informationer der nævnt i forslaget til nr. 3. Forskellen mellem de to bestemmelser er, at der i nr. 4 er formodning om, at den der har informationen i hænde i dette tilfælde ikke er virksomheden som oplysningerne handler om.
Det foreslås i nr. 5, at informationerne er fortrolige i det tilfælde, at informationerne er væsentlige af hensyn til driften af energiforsyningen lokalt, regionalt, nationalt eller på europæisk niveau.
Informationerne, som er væsentlige af hensyn til driften af energiforsyningen lokalt, regionalt, nationalt eller på europæisk niveau, er de samme typer af oplysninger som nævnt i forslaget til nr. 3, men i stedet for at være en virksomheds beredskabsplan eller risiko- og sårbarhedsvurdering, så vil det i denne sammenhæng være f.eks. en beredskabsplan eller risiko- og sårbarhedsvurdering angående beredskabet på lokalt, regionalt, nationalt eller europæisk niveau. Det kan også være andre oplysninger der udarbejdes som led i overholdelsen af loven eller regler udstedt i medfør af loven, som indeholder informationer, der er væsentlige af hensyn til driften af energiforsyningen på lokalt, regionalt, nationalt eller europæisk niveau.
Det foreslås i stk. 2, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om, hvordan virksomheder og myndigheder behandler informationer som nævnt i stk. 1.
Den foreslåede bestemmelse har den virkning, at klima-, energi- og forsyningsministeren bemyndiges til administrativt at fastsætte de nærmere regler for, hvordan virksomheder og myndigheder opbevarer, behandler og deler den type informationer, som der er blevet designeret som fortrolige efter stk. 1.
Det er forventningen, at ministeren vil fastsætte bestemmelser, der pålægger virksomheder og myndigheder selv at gøre opmærksom på, hvordan de forventer, at deres fortrolige informationer bliver behandlet af myndighederne og andre virksomheder, når sådanne fortrolige informationer deles og udveksles. Det forventes dog samtidigt, at ministeren fastsætter regler om, at virksomhederne, desuagtet sådanne instruktioner, skal udlevere de fortrolige informationer, når det er påkrævet i henhold til lovforslagets bestemmelser eller i regler udstedt i medfør i loven, fx i tilsynsøjemed og som led i overholdelsen af underretningspligter.
Endvidere er det forventningen, at ministeren fastsætter bestemmelser om at fortrolige informationer ikke må komme uvedkommende i hænde og at informationer skal udarbejdes, opbevares og deles på en sådan måde, at der ikke kan opnås uautoriseret adgang, ske sletning, ødelæggelse, ændring eller utilsigtet offentliggørelse af disse informationer.
Det er desuden forventningen, at ministeren fastsætter bestemmelser om at fortrolige informationer, som ikke længere benyttes, skal destrueres, medmindre det forsat skal kunne udleveres til tilsyn, i forbindelse med efterforskning eller påkræves bevaret i anden lovgivning såsom arkivloven, forvaltningsloven og offentlighedsloven.
Endeligt er det forventningen, at ministeren fastsætter bestemmelser om, at hvis fortrolige informationer kompromitteres eller mistænkes for at være kompromitteret, så skal skadevirkningerne opgøres og vurderes, ligesom virksomheden skal underrette tilsynsmyndigheden og andre virksomheder, hvor kompromitteringen potentielt kan få konsekvenser for disse virksomheders levering af deres tjenester.
Det er ikke hensigten at fastsætte regler, som overlapper indholdsmæssigt med de regler for klassificeret materiale, som fremgår af sikkerhedscirkulæret.
Der er ikke i gældende ret for energisektoren fastsat regler om, at underretninger er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.
Det foreslås i § 27, at underretning efter den foreslåede § 15 er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.
Den foreslåede bestemmelse implementerer NIS 2-direktivets art. 30, nr. 2, 2. afsnit, 1 pkt. som anfører, at ”[…] samtidig med at den vil sikre fortroligheden og passende beskyttelse af de oplysninger, der er afgivet af den underrettende enhed”.
Særligt for virksomheder kan oplysninger om, at der fx er gennemført et vellykket hackerangreb, hvor virksomheden har mistet data, i høj grad skade virksomhedens omdømme, og det kan i praksis afholde mange virksomheder fra frivilligt at underrette Energistyrelsen, som kompetent myndighed, om et sådant hackerangreb. Derfor foreslås det med bestemmelsen, at underretningerne i deres helhed undtages fra reglerne om aktindsigt efter lov om offentlighed i forvaltningen og forvaltningsloven, herunder partsaktindsigt efter forvaltningsloven. Undtagelsen vil omfatte underretningssagen som helhed og vil derfor også omfatte de processkridt, der tages af på baggrund af underretningen efter den foreslåede § 15.
Undtagelsen fra aktindsigt vil derimod ikke omfatte virksomheders eller fysiske personers adgang til at gøre sig bekendt med oplysninger, herunder personoplysninger, der vedrører deres egne forhold. En part i en sag vil således kunne søge om aktindsigt efter forvaltningslovens § 9 om partsaktindsigt.
Den foreslåede undtagelse fra aktindsigt i underretning efter § 15 vil ikke omfatte retten til aktindsigt efter miljøoplysningsloven, såfremt den enkelte underretning efter § 15, skulle indeholde miljøoplysninger. Man vil således forsat kunne få aktindsigt i miljøoplysninger efter miljøoplysningslovens regler, såfremt underretningen efter § 15 indeholder miljøoplysninger. Det er således Klima-, Energi- og Forsyningsministeriets vurdering at en sådan undtagelse ville være i strid med miljøoplysningsdirektivet.
Det er Klima-, Energi- og Forsyningsministeriets vurdering, at konsekvenserne ved den i bestemmelsen foreslåede undtagelse til offentlighedsloven i praksis er relativt begrænset. Således vil de fleste oplysninger, der vil indgå i en underretning efter den foreslåede § 15, alligevel kunne undtages efter flere af offentlighedslovens undtagelsesbestemmelser.
Der tænkes således særligt på undtagelserne i § 30 om enkeltpersoners forhold og virksomheders tekniske indretninger eller fremgangsmåder eller om drifts- eller forretningsforhold el.lign. for så vidt det er af væsentlig økonomisk betydning for den person eller virksomhed, oplysningerne angår, at anmodningen ikke imødekommes. Således vil den nævnte type hændelser meget ofte relatere sig til meget følsomme it-systemer, der bruges til drift af de tjenester, som virksomheden leverer. Offentliggørelse af sådanne oplysninger vil derfor kunne have stor økonomisk betydning for virksomheden. Dette gælder både ift. konkurrenters indsigt i driften af virksomhederne, men derudover vil tekniske oplysninger også kunne bruges til at forværre et igangværende angreb. Derudover vil oplysningerne kunne bruges til at designe et succesfuld angreb mod virksomheden, med henblik på gennemførsel på et senere tidspunkt.
Det vil også være oplysninger, der vil kunne undtages efter offentlighedslovens § 31 om undtagelse af oplysninger i det omfang, det er af væsentlig betydning for statens sikkerhed eller rigets forsvar.
Grundet de typer af virksomheder, som loven vil omfatte, og som leverer essentielle energiforsyninger til brug for samfundets funktion, vil der være oplysninger i underretninger efter § 15, som vil kunne bruges til at skade statens sikkerhed og rigets forsvar. Potentielt vil oplysningerne kunne bruges til at ramme national elektricitetsforsyning eller gasforsyning eller mindre virksomheder, som leverer elektricitet til kaserner, folketinget, sygehuse, teleinfrastruktur m.v.
Endvidere vil oplysninger i underretninger efter den foreslåede § 15 også kunne undtages efter offentlighedslovens § 32 om undtagelse af oplysninger af hensyn til rigets udenrigspolitiske interesser m.v.
Der kan være oplysninger i underretninger efter § 15, der kan bruges til at skade rigets udenrigspolitiske interesser. Det kan fx være, hvis underretningen angår en væsentlig hændelse på energiinfrastruktur, der bruges til at eksportere energi til udlandet. Her kan der være et udenrigspolitisk hensyn til at holde hændelsen fortrolig så længe som muligt, således at det andet land kan koordinere sine foranstaltninger og kommunikation til offentligheden i det pågældende land om, hvordan situationen skal håndteres.
Endeligt vil oplysninger også kunne undtages efter offentlighedslovens § 33 nr. 1, om forebyggelse, efterforskning og forfølgning af lovovertrædelser, straffuldbyrdelse og lign. og beskyttelse af sigtede, vidner eller andre i sager om strafferetlig eller disciplinær forfølgning samt nr. 5, om undtagelse af hensyn til private og offentlige interesser, hvor hemmeligholdelse efter forholdets særlige karakter er påkrævet.
Der kan være oplysninger i underretninger efter § 15, som vil indgå i opklaring af en eventuel forbrydelse begået af en eller flere hackere, der har forårsaget den væsentlige hændelse hos virksomheden. Det samme kan gøre sig gældende i en situation, hvor Center for Cybersikkerhed ønsker at imødegå og dermed forhindre, at en cybertrussel udvikler sig til en væsentlig hændelse hos virksomheden. Mulighederne for at imødegå sådanne cybertrusler kan forspildes, såfremt der sker en offentliggørelse af oplysninger, mens der er en efterforskning af politiet eller Center for Cybersikkerhed i gang. Ligeledes kan det ikke udelukkes, at der er andre særlige hensyn til private eller offentlige interesser, som der kræver at der skal ske hemmeligholdelse af underretningen.
Af ovenstående grunde er det derfor vurderingen, at der i praksis kun vil være mindre konsekvenser ved den foreslåede undtagelse til offentlighedsloven.
Forvaltningslovens §§ 28-32 fastsætter rammerne for forvaltningsmyndigheders videregivelse af oplysninger til en anden forvaltningsmyndighed. Det følger af forvaltningslovens § 28, stk. 1, at for videregivelse af oplysninger om enkeltpersoner (personoplysninger) til en anden forvaltningsmyndighed gælder reglerne i databeskyttelseslovens §§ 6-8, § 10, § 11, stk. 1, § 38 og § 40. Det følger af § 28, stk. 2, at oplysninger af fortrolig karakter, som ikke er omfattet af stk. 1, kun må videregives til en anden forvaltningsmyndighed, når: 1) den, oplysningen angår, udtrykkeligt har givet sit samtykke, 2) det følger af lov eller bestemmelser fastsat i medfør af lov, at oplysningen skal videregives, eller 3) det må antages, at oplysningen vil være af væsentlig betydning for myndighedens virksomhed eller for en afgørelse, myndigheden skal træffe. Bestemmelsen regulerer imidlertid ikke videregivelse til udenlandske myndigheder.
Derudover reguleres videregivelse af oplysninger, der ville stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige orden eller forsvar bl.a. i sikkerhedscirkulæret, forvaltningslovens regler om tavshedspligt og videregivelse af oplysninger samt straffelovens regler om tavshedspligt.
Det foreslås i § 28, at Klima-, Energi- og Forsyningsministeriet og andre relevante myndigheder kan videregive oplysninger til andre medlemsstaters myndigheder og til institutioner i Den Europæiske Union for at varetage de myndighedsopgaver, der foreslås med dette lovforslag, NIS 2-direktivet og CER-direktivet.
Den foreslåede bestemmelse indebærer, at de relevante myndigheder, CSIRT’en og det centrale kontaktpunkt som led i den nationale gennemførelse af direktiverne, kan videregive oplysninger til andre medlemsstater eller EU-institutioner, hvis det er nødvendigt for at sikre overholdelsen af forpligtelserne i NIS 2- og CER-direktiverne.
Formålet med bestemmelsen er at implementere underretningskravene efter NIS 2-direktivets artikel 3, stk. 5 og stk. 6, samt at implementere øvrige bestemmelser om videregivelse af oplysninger til andre medlemsstaters myndigheder og til institutioner i Den Europæiske Union efter NIS-2-direktivets artikel 23, stk. 6, CER-direktivets artikel 7, stk. 2, artikel 9, stk. 3, artikel 11, stk. 1 og 2, artikel 15, stk. 3, artikel 17, stk. 2, artikel 18, stk. 3 og stk. 4. Disse bestemmelser er beskrevet nedenfor.
Det fremgår af NIS 2-direktivets artikel 3, stk. 5, at de kompetente myndigheder senest den 17. april 2025 og derefter hvert andet år underretter: a) EU-Kommissionen og samarbejdsgruppen om antallet af væsentlige og vigtige enheder, der er opført på den i stk. 3 omhandlede liste for hver af de sektorer og delsektorer, der er omhandlet i bilag I eller II, samt b) EU-Kommissionen om relevante oplysninger med hensyn til antallet af væsentlige og vigtige enheder, der er identificeret i medfør af artikel 2, stk. 2, litra b) -e), hvilke af sektorerne og delsektorerne i bilag I eller II, som de tilhører, hvilken type tjeneste de leverer, og hvilken af bestemmelserne i artikel 2, stk. 2, litra b) -e), i medfør af hvilken de blev identificeret. Efter artikel 3, stk. 6 kan medlemsstaterne frem til den 17. april 2025, på anmodning efter af EU-Kommissionen, underrette EU-Kommissionen om navne på de væsentlige og vigtige enheder, der er omhandlet af stk. 5, litra b, som gengivet ovenfor.
Det følger endvidere af NIS 2-direktivets artikel 23, stk. 6, at hvor det er relevant, informerer CSIRT'en, den kompetente myndighed eller det centrale kontaktpunkt uden unødigt ophold de øvrige berørte medlemsstater og ENISA om den væsentlige hændelse, navnlig hvor den væsentlige hændelse berører to eller flere medlemsstater. Det følger af samme bestemmelse, at sådan information omfatter den type af oplysninger, der er modtaget i overensstemmelse med artikel 23, stk. 4, om enhedernes underretninger om væsentlige hændelser, og at CSIRT'en, den kompetente myndighed eller det centrale kontaktpunkt i den forbindelse i overensstemmelse med EU-retten eller national ret sikrer enhedens sikkerhed og kommercielle interesser samt fortrolig behandling af de afgivne oplysninger.
Efter bestemmelsen i artikel 23, stk. 6, skal CSIRT’en, Klima-, Energi- og Forsyningsministeriet eller det centrale kontaktpunkt således i relevant omfang videregive oplysninger, som er modtaget i medfør af de foreslåede bestemmelser i §§ 12 og 15 om hændelsesunderretninger, til øvrige berørte medlemsstater og ENISA.
Det følger af CER-direktivets artikel 7, stk. 2, at medlemsstaterne efter identifikationen af de kritiske enheder i henhold til artikel 6, stk. 1, sender følgende oplysninger uden unødigt ophold til EU-Kommissionen: a) en liste over væsentlige tjenester i pågældende medlemsstat, hvis der er yderligere væsentlige tjenester sammenlignet med den i artikel 5, stk. 1, omhandlede liste over væsentlige tjenester, b) antallet af identificerede kritiske enheder for hver sektor og delsektor anført i bilaget og for hver væsentlig tjeneste, c) eventuelle tærskler, der anvendes til at specificere et eller flere af kriterierne i stk. 1. Tærskler som omhandlet i første afsnits litra c) kan forelægges som de er eller i aggregeret form.
I den forbindelse vil klima-, energi og forsyningsministeren have hjemmel i den foreslåede bestemmelse i § 28 til at kunne videresende igennem det centrale kontaktpunkt de ovennævnte oplysninger til EU-Kommissionen.
Det følger af CER-direktivets artikel 9, stk. 3, at de centrale kontaktpunkter senest den 17. juli 2028 og derefter hvert andet år forelægger en sammenfattende rapport for EU-Kommissionen og for Gruppen for Kritiske Enheders Modstandsdygtighed omhandlet i artikel 19 om de underretninger, de har modtaget, herunder antallet af underretninger, arten af de hændelser, der er underrettet om, og de tiltag, der er taget i overensstemmelse med artikel 15, stk. 3.
I den forbindelse vil klima-, energi- og forsyningsministeren have hjemmel i den foreslåede § 28, til at videregive de nævnte informationer til det centrale kontaktpunkt for Danmark efter CER-direktivet, således at disse informationer kan indgå i den sammenfattende rapport til EU-Kommissionen og Gruppen for Kritiske Enheders Modstandsdygtighed.
Det følger endvidere af CER-direktivets artikel 11, stk. 1 og 2, at når det er relevant, konsulterer medlemsstaterne hinanden vedrørende kritiske enheder med henblik på at sikre en konsekvent anvendelse af dette direktiv. Sådanne konsultationer skal navnlig finde sted vedrørende kritiske enheder, der: a) anvender kritisk infrastruktur, som er fysisk sammenkoblet mellem to eller flere medlemsstater, b) er en del af selskabsstrukturer, som er sammenkoblet eller forbundet med kritiske enheder i en anden medlemsstat, c) er blevet identificeret som kritiske enheder i en medlemsstat, og som leverer væsentlige tjenester til eller i andre medlemsstater. De i stk. 1 omhandlede konsultationer tager sigte på at styrke kritiske enheders modstandsdygtighed og, hvor det er muligt, mindske disses administrative byrde.
Her vil klima-, energi- og forsyningsministeren have hjemmel i den foreslåede § 28 til at konsultere med kompetente myndigheder, CSIRT’er og Centrale Kontaktpunkter i andre medlemsstater for at sikre konsekvent anvendelse af direktivet på kritiske enheder.
Det følger endvidere af CER-direktivets artikel 15, stk. 3, at på grundlag af oplysninger leveret af en kritisk enhed i en underretning om en hændelse, jf. den foreslåede § 12, orienterer den relevante kompetente myndighed via det centrale kontaktpunkt andre berørte medlemsstaters centrale kontaktpunkter, hvis hændelsen har eller kunne have betydelig indvirkning på kritiske enheder og kontinuiteten i leveringen af væsentlige tjenester til eller i en eller flere andre medlemsstater. Det følger af samme bestemmelse, at centrale kontaktpunkter, der fremsender og modtager sådanne oplysninger, i overensstemmelse med EU-retten eller national ret skal behandle disse oplysninger på en måde, der respekterer deres fortrolighed og beskytter den berørte kritiske enheds sikkerhed og kommercielle interesser.
Efter bestemmelsen i CER-direktivets artikel 15, stk. 3, vil Klima-, Energi- og Forsyningsministeriet således i relevant omfang skulle videregive oplysninger, som er modtaget i medfør af de foreslåede bestemmelser i §§ 12 og 15 om hændelsesunderretninger, til øvrige berørte medlemsstater.
På baggrund af CER-direktivets artikel 17, stk. 2, skal myndighederne endvidere videregive oplysninger til EU-Kommissionen om identiteten af kritiske enheder, som leverer væsentlige tjenester til eller i seks eller flere medlemsstater, samt om de oplysninger, som enhederne leverer i henhold til den foreslåede bestemmelse i § 5, stk. 2.
Det følger af CER-direktivets artikel 18, stk. 3, om rådgivende missioner, at medlemsstaten efter en begrundet anmodning fra EU-Kommissionen, eller en eller flere medlemsstater, hvortil eller hvori den væsentlige tjeneste leveres, som har identificeret en kritisk enhed af særlig europæisk betydning som en kritisk enhed i henhold til artikel 6, stk. 1, skal give EU-Kommissionen følgende: a) de relevante dele af den kritiske enheds risikovurdering, b) en oversigt over relevante foranstaltninger, der er truffet i overensstemmelse med artikel 13, c) tilsyns- eller håndhævelsestiltag, herunder vurderinger af overholdelse eller udstedte påbud, som den kompetente myndighed har taget i henhold til artikel 21 og 22 med hensyn til den pågældende kritiske enhed.
Her vil klima-, energi- og forsyningsministeren have hjemmel i den foreslåede § 28 til at fremsende de oplysninger, der er nævnt ovenfor, til EU-Kommissionen eller til andre EU-medlemsstater, jf. dog § 29, stk. 1, i lovforslaget.
Endeligt følger det af CER-direktivets artikel 18, stk. 4, at medlemsstater, hvor det er nødvendigt, skal kunne rådgive EU-Kommissionen om, hvorvidt den kritiske enhed af særlig europæisk betydning opfylder sine forpligtelser i henhold til direktivet kapitel III og, hvis det er relevant, hvilke foranstaltninger der kunne træffes for at forbedre den pågældende kritiske enheds modstandsdygtighed.
Artikel 18, stk. 4, fastsætter endvidere, at den kompetente myndighed, der har identificeret en kritisk enhed i henhold til artikel 6, stk. 1, i CER-direktivet, skal give EU-Kommissionen og de medlemsstater, hvortil eller hvori den væsentlige tjeneste leveres, oplysninger om de foranstaltninger, som den kompetente myndighed og kritiske enhed af særlig europæisk betydning har truffet i medfør af den udtalelse EU-Kommissionen har givet den kritiske enhed af særlig europæisk betydning og den kompetente myndighed efter artikel 18, stk. 4, 3. afsnit.
Her vil klima-, energi- og forsyningsministeren have hjemmel i den foreslåede § 28 til at fremsende oplysninger til EU-Kommissionen eller til andre EU-medlemsstater, som CER-direktivets artikel 18, stk. 4, påkræver, jf. dog § 29, stk. 1, i lovforslaget.
For så vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.
Det foreslås i § 29, stk. 1, at de forpligtelser, der er fastsat i denne lov eller i regler udstedt i medfør af loven, ikke omfatter meddelelse af oplysninger, når videregivelse ville stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar.
Den foreslåede bestemmelse vil implementere artikel 2, stk. 11, i NIS 2-direktivet, og artikel 1, stk. 8, i CER-direktivet, som fastsætter, at de forpligtelser, der er fastsat i de to direktiver, ikke omfatter meddelelse af oplysninger, hvis videregivelse ville stride mod væsentlige interesser med hensyn til medlemsstaternes nationale sikkerhed, offentlige sikkerhed eller forsvar.
Artikel 2, stk. 11, i NIS 2-direktivet vil skulle implementeres i overensstemmelse med direktivets præambelbetragtning nr. 9, 4. pkt., hvor det fremgår, at ingen medlemsstat bør være forpligtet til at meddele oplysninger, hvis videregivelse efter dens opfattelse ville stride mod dens væsentlige interesser med hensyn til national sikkerhed, offentlig sikkerhed eller forsvar. Det følger samme sted, at nationale regler eller EU-regler om beskyttelse af fortrolige oplysninger, hemmeligholdelsesaftaler og uformelle hemmeligholdelsesaftaler, fx Traffic Light Protocol, bør tages i betragtning i denne sammenhæng. Traffic Light Protocol skal forstås som et middel til at informere om eventuelle begrænsninger, for så vidt angår den videre spredning af oplysninger. Den anvendes i næsten alle enheder, der håndterer it-sikkerhedshændelser (CSIRT'er), og i nogle informationsanalyse- og informationsdelingscentre.
Artikel 1, stk. 8, i CER-direktivet, vil skulle implementeres i overensstemmelse med direktivets præambelbetragtning nr. 11, hvoraf det fremgår, at ingen medlemsstat bør være forpligtet til at meddele oplysninger, hvis videregivelse vil stride mod væsentlige interesser med hensyn til dens nationale sikkerhed, og at EU-regler eller nationale regler om beskyttelse af klassificerede informationer og hemmeligholdelsesaftaler er relevante.
Der foretages en direktivnær minimumsimplementering af bestemmelsen. Den foreslåede bestemmelse vil svare indholdsmæssigt til NIS 2-direktivets artikel 2, stk. 11, og CER-direktivets artikel 1, stk. 8, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Bestemmelsen vil primært være relevant for oplysninger, der udveksles mellem medlemsstaterne og institutioner i Den Europæiske Union. Bestemmelsen vil på denne baggrund hovedsageligt være relevant i forhold til den foreslåede § 28, der udgør Klima-, Energi- og Forsyningsministeriets videregivelseshjemmel hertil.
Under hensyn til bestemmelsen i NIS 2-direktivets artikel 2, stk. 7 (om at direktivet ikke finder anvendelse på offentlige forvaltningsenheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse), er det Klima-, Energi- og Forsyningsministeriets opfattelse, at den foreslåede bestemmelse i § 29, stk. 1, for virksomheders vedkommende vil have et yderst begrænset anvendelsesområde.
Bestemmelsen vil desuden alene vedrøre meddelelsen af oplysninger, som efter en konkret vurdering vil stride mod væsentlige interesser med hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar. Bestemmelsen vil således eksempelvis ikke medføre, at en virksomhed mere generelt kan undlade at efterkomme oplysningsforpligtelserne over for de kompetente myndigheder, herunder som led i myndighedernes tilsyn. Det er Klima-, Energi- og Forsyningsministeriets opfattelse, at det kun vil være i yderst sjældne tilfælde, at videregivelse af en virksomheds oplysninger til Klima-, Energi- og Forsyningsministeriet eller CSIRT’en vil stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar.
Det foreslås i § 29 stk. 2, at oplysninger, der modtages eller hidrører fra myndigheder i andre EU-medlemsstater, behandles som fortrolige, såfremt den afgivende myndighed betragter oplysningerne som fortrolige i henhold til EU-regler eller nationale regler.
Den foreslåede bestemmelse vil bl.a. sikre, at oplysninger, som de danske myndigheder modtager fra andre medlemsstater eller EU-institutioner i medfør af NIS 2-direktivets artikel 23, stk. 6, og artikel 15, stk. 3, i CER-direktivet, vil blive behandlet med den fornødne fortrolighed.
Der er tale om oplysninger vedrørende væsentlige hændelser, der berører to eller flere medlemsstater, jf. NIS 2-direktivets artikel 23, stk. 6, og oplysninger leveret af en kritisk enhed i en underretning om en hændelse, jf. CER-direktivets artikel 15, stk. 3.
Den foreslåede bestemmelse vil finde anvendelse, uanset om oplysningerne modtages direkte fra den pågældende nationale myndighed eller via andre, herunder EU-Kommissionen.
Der er i elforsyningslovens § 92 b, gasforsyningslovens § 44 b og varmeforsyningslovens § 25 a fastsat bemyndigelse til, at klima-, energi- og forsyningsministeren kan udstede regler om, at kommunikation om forhold, som er omfattet af loven, af bestemmelser fastsat i henhold til loven eller af EU-retsakter om forhold omfattet af loven, skal ske digitalt. Ministeren kan herunder udstede regler om anvendelsen af et bestemt digitalt system og fritagelse for obligatorisk anvendelse for visse personer.
Der er i undergrundslovens § 34 b fastsat bemyndigelse til, at klima-, energi- og forsyningsministeren kan udstede regler om, at skriftlig kommunikation til og fra ministeren om forhold, som er omfattet af denne lov eller regler fastsat i medfør heraf, skal foregå digitalt. Ministeren kan endvidere fastsætte nærmere regler om digital kommunikation, herunder om anvendelse af bestemte it-systemer, særlige digitale formater og digital signatur el.lign.
Det foreslås i § 30, at klima-, energi- og forsyningsministeren kan fastsætte regler om digital kommunikation, herunder om anvendelsen af bestemte it-systemer og særlige digitale formater samt digital signatur eller lignende.
Den foreslåede bestemmelse indebærer, at ministeren for eksempel kan fastsætte regler om at gøre det obligatorisk for virksomheder at anvende bestemte internetløsninger, herunder selvbetjeningsløsninger til fremsendelse af dokumenter og oplysninger, anden kommunikation med myndighederne.
Der vil eksempelvis med hjemmel i bestemmelsen kunne fastsættes regler om, hvem der eventuelt omfattes af pligten til at kommunikere digitalt, om hvilke forhold, og på hvilken måde.
Det er hensigten, at bestemmelsen endvidere skal anvendes til at fastsætte regler om, hvordan virksomheder skal foretage underretninger om hændelser i medfør af de foreslåede §§ 12-15. Der vil eksempelvis kunne fastsættes regler om anvendelse af bestemte digitale internetløsninger såsom Virk.dk. Det kan eksempelvis også være relevant at fastsætte regler om, at bl.a. registreringspligterne i den foreslåede § 35 skal efterkommes ved anvendelse af bestemte internetløsninger, såsom Virk.dk.
Der vil med hjemmel i bestemmelsen kunne fastsættes regler om, at skriftlige henvendelser til relevante myndigheder, herunder Energistyrelsen, Energinet, CSIRT’en m.v., om forhold, som er omfattet af et krav om digital kommunikation, ikke anses for behørigt modtaget af myndighederne, hvis de indsendes på anden vis end den foreskrevne digitale måde.
Hvis en virksomhed retter henvendelse til en myndighed på anden måde end den foreskrevne digitale måde, følger det af den almindelige vejledningspligt, jf. forvaltningslovens § 7, stk. 1, at myndigheden skal vejlede om reglerne på området, herunder om pligten til at kommunikere digitalt.
Der vil desuden kunne fastsættes regler om fritagelse for pligten til digital kommunikation. Fritagelsesmuligheden tænkes navnlig anvendt, hvor det er påkrævet at anvende en dansk digital signatur, men der er tale om en virksomhed med hjemsted i udlandet, og som dermed ikke kan få udstedt en dansk digital signatur. Det bemærkes i den forbindelse, at fritagelsesmuligheden er stærkt begrænset, idet der er tale om kommunikation om erhvervsforhold, og idet virksomheder med hjemsted i udlandet kun i begrænset omfang vil høre under dansk jurisdiktion.
Det forhold, at en virksomheds computere ikke fungerer, at enheden har mistet koden til sin digitale signatur, eller at der opstår lignende hindringer, som det er op til virksomheden at overvinde, vil ikke kunne føre til fritagelse for pligten til digital kommunikation. I så fald vil den pågældende enhed eksempelvis skulle anmode en rådgiver om at varetage kommunikationen på virksomhedens vegne.
Der vil efter bestemmelsen også kunne fastsættes regler om, at en digital meddelelse anses for at være kommet frem til adressaten for meddelelsen på det tidspunkt, hvor meddelelsen er tilgængelig digitalt for adressaten. Dermed er der tale om samme retsvirkning som ved fysisk post, der anses for at være kommet frem, når den pågældende meddelelse m.v. er lagt i adressatens fysiske postkasse. En meddelelse vil normalt anses for at være kommet frem, når meddelelsen er tilgængelig digitalt for adressaten, således at vedkommende har mulighed for at behandle meddelelsen. Dette tidspunkt vil normalt blive registreret automatisk i adressatens it-system.
Det bemærkes, at EU-Kommissionen på visse punkter er tillagt kompetence til at fastsætte nærmere regler om, hvordan oplysninger skal afgives fra enhederne. EU-Kommissionen kan således bl.a. fastsætte nærmere regler om formatet og proceduren for en underretning indgivet i henhold til artikel 23, stk. 1 (underretning af myndighederne om hændelser), og artikel 30 (frivillig meddelelse af relevante oplysninger), og for en meddelelse, der er indgivet i henhold til artikel 23, stk. 2 (oplysning til modtagerne af tjenester). Såfremt EU-Kommissionen måtte vælge at udnytte denne kompetence til at fastsætte nærmere regler, vil det skulle sikres, at regler om digital kommunikation, der måtte være udstedt eller siden udstedes i medfør af den foreslåede bestemmelse, er i overensstemmelse med EU-Kommissionens retsakter.
For så vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.
Det følger af elforsyningslovens § 89, gasforsyningslovens § 51, VE-lovens § 66, og olieberedskabslovens § 21, at Energiklagenævnet behandler klager over afgørelser truffet af klima-, energi-, og forsyningsministeren efter disse love eller regler udstedt i medfør af disse love. Desuden regulerer bestemmelserne, hvilke formelle krav der er til klager.
Det foreslås i § 31, stk. 1, at Energiklagenævnet behandler klager over afgørelser truffet af klima-, energi- og forsyningsministeren eller anden statslig myndighed efter denne lov eller regler udstedt i medfør af loven.
Det bemærkes i den forbindelse, at hvis klima-, energi- og forsyningsministeren har bemyndiget en under ministeriet oprettet institution eller anden myndighed til at udøve beføjelserne, vil klageadgangen følge denne bemyndigelse. Klager over afgørelser efter denne lov truffet af en myndighed under ministeriet, kan således påklages direkte til Energiklagenævnet. Klageren skal ikke udnytte den ulovbestemte rekursmulighed, før der kan ske klage til energiklagenævnet.
Det foreslås i § 31, stk. 2, at afgørelser nævnt i stk. 1 ikke kan indbringes for anden administrativ myndighed end Energiklagenævnet. Afgørelserne kan ikke indbringes for domstolene, før den endelige administrative afgørelse foreligger, jf. dog § 23, stk. 3.
Den foreslåede bestemmelse svarer til de gældende bestemmelser om Energiklagenævnet i elforsyningslovens, gasforsyningsloven, olieberedskabsloven m.v., som regulerer energisektoren. Det foreslås, at disse regler om administrativ klageadgang ligeledes anvendes i beredskabsreguleringen for energisektoren.
Den foreslåede bestemmelse svarer til de gældende bestemmelser om Energiklagenævnet i elforsyningslovens, gasforsyningsloven, olieberedskabsloven m.v., som regulerer energisektoren. Det foreslås, at disse regler om administrativ klageadgang ligeledes anvendes i beredskabsreguleringen for energisektoren.
Den foreslåede bestemmelse har dog i medfør af den foreslåede tilføjelse af jf. dog § 23, stk. 3, en undtagelse til hovedreglen. Således medfører undtagelsen at afgørelse efter § 23, stk. 1 altid vil kunne blive forlangt indbragt for domstolene som bestemt i den foreslåede § 23, stk. 3, uagtet den foreslåede bestemmelse i § 31, stk. 2.
Det foreslås i § 31, stk. 3, at klage efter stk. 1 skal være indgivet skriftligt til Energiklagenævnet inden 4 uger fra tidspunktet, hvor afgørelsen er meddelt.
Den foreslåede bestemmelse svarer til de gældende bestemmelser om Energiklagenævnet i elforsyningslovens, gasforsyningsloven, olieberedskabsloven m.v., som regulerer energisektoren. Det foreslås, at samme regler om klagefrist anvendes i beredskabsreguleringen for energisektoren.
Klagefristen vil først begynde at løbe fra en endelig administrativ afgørelse er truffet. Er afgørelsen offentliggjort, regnes fristen dog fra offentliggørelsen. Udløber klagefristen på en lørdag, søndag eller helligdag, forlænges fristen til den følgende hverdag. Hvis klageren har anvendt rekursmuligheden, vil fristen da først løbe fra den dato, hvor rekursmyndigheden meddeler klageren afgørelsen.
Det foreslås i § 31, stk. 4, at Energiklagenævnets formand efter aftale med nævnet kan træffe afgørelse på nævnets vegne i sager, der behandles efter denne lov eller regler udstedt i medfør af loven.
Henset til, at ikke alle sager, som nævnet skal behandle efter loven eller regler udstedt i medfør af loven, nødvendigvis kræver stillingtagen fra et samlet nævn, foreslås det med bestemmelsen, at der gives formanden mulighed for efter aftale med de øvrige nævnsmedlemmer selv at træffe afgørelse i nogle sager eller typer af sager.
Den foreslåede bestemmelse svarer til de gældende bestemmelser om Energiklagenævnet i elforsyningslovens, gasforsyningsloven, olieberedskabsloven m.v., som regulerer energisektoren. Det foreslås, at samme regler om formandens kompetence til at træffe afgørelser på vegne af nævnet, anvendes i beredskabsreguleringen for energisektoren.
Det foreslås i § 31, stk. 5, at søgsmål til prøvelse af afgørelser truffet af Energiklagenævnet efter loven eller regler udstedt i medfør af loven, skal være anlagt inden 6 måneder efter, at afgørelsen er meddelt den pågældende. Er afgørelsen offentliggjort, regnes fristen dog altid fra offentliggørelsen.
Den foreslåede bestemmelse svarer til de gældende bestemmelser om Energiklagenævnet i elforsyningslovens, gasforsyningsloven, olieberedskabsloven m.v., som regulerer energisektoren. Det foreslås, at samme regler om frist for indbringelse hos domstolene anvendes i beredskabsreguleringen for energisektoren.
Energiklagenævnet har udtrykt ønske om, at der indsættes en 6 måneders frist for indbringelse af Energiklagenævnets afgørelser for domstolene. Formålet med bestemmelsen er at give Energiklagenævnet et rimeligt tidsrum, efter hvilket deres afgørelser bliver endelige.
Det foreslås i § 31, stk. 6, at Energiklagenævnet i forbindelse med behandling af en klage kan indhente oplysninger, der er nødvendige for behandling af klagen fra virksomheder omfattet af loven samt myndigheder, der træffer afgørelser efter loven eller regler udstedt i medfør af loven.
Den foreslåede bestemmelse sikrer, at Energiklagenævnet vil kunne indhente de oplysninger, der er nødvendige for at behandle klagesager.
For så vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.
Ifølge elforsyningslovens § 90, gasforsyningslovens § 52 og olieberedskabslovens § 21, stk. 5, kan klima-, energi- og forsyningsministeren fastsætte nærmere regler om: 1) adgang til at klage over afgørelser, 2) at visse afgørelser ikke skal kunne indbringes for klima-, energi- og forsyningsministeren, og 3) betaling af gebyr for at indbringe en klage til Energiklagenævnet.
Det foreslås i § 32, stk. 1, at klima-, energi- og forsyningsministeren kan fastsætte regler om adgangen til at klage over afgørelser, der efter loven eller regler udstedt i medfør af loven træffes af klima-, energi- og forsyningsministeren, herunder at visse afgørelser ikke skal kunne indbringes for Energiklagenævnet.
Det forventes på baggrund af den foreslåede bestemmelse i § 32, stk. 1, at der fastsættes nærmere regler om, at afgørelser truffet efter lovens kapitel 5 om baggrundskontrol og sikkerhedsgodkendelser eller regler udstedt i medfør af kapitel 5 ikke kan påklages til Energiklagenævnet.
Afgørelser om baggrundskontrol og sikkerhedsgodkendelser for energisektoren anvendes som en foranstaltning til at sikre mod eksempelvis insider trusler eller for at sikre, at der ikke snydes med personers identitet, når de skal have adgang til kritisk infrastruktur. Baggrundskontrol og sikkerhedsgodkendelser vedrører således områder knyttet til statens sikkerhed.
Afgørelser vedrørende baggrundskontrol og sikkerhedsgodkendelser er ikke noget, der knytter sig særligt til Energiklagenævnets kendskab til juridiske eller tekniske spørgsmål på energiområdet.
Da afgørelser om sikkerhedsgodkendelser vedrører statens sikkerhed og falder uden for Energiklagenævnets almindelige kompetenceområde, vurderes det, at Energiklagenævnet ikke skal være klageinstans for denne type af afgørelser.
Det bemærkes i den forbindelse, at afgørelser om baggrundskontrol og sikkerhedsgodkendelser kan indbringes for domstolene, jf. grundlovens § 63, stk. 1.
Det forventes endvidere, at bestemmelsen i stk. 1 vil blive brugt til at fastsætte nærmere regler om, at afgørelser der vedrører virksomhedernes overholdelse af reglerne i loven eller udstedt i medfør af loven for så vidt angår myndighedernes faglige vurderinger angående organisatorisk beredskab, fysisk sikring og cybersikkerhed, ikke kan påklages til Energiklagenævnet. Afgørelser vedrørende faglige vurderinger om organisatorisk beredskab, fysisk sikring og cybersikkerhed er ikke noget, der knytter sig særligt til Energiklagenævnets kendskab til juridiske eller tekniske spørgsmål på energiområdet.
Det forventes dog, at bestemmelsen i stk. 1 vil blive brugt til at fastsætte nærmere regler om, at virksomheder dog forsat vil kunne påklage retlige spørgsmål til Energiklagenævnet. Med retlige spørgsmål menes der bl.a. overholdelse af forvaltningslovens regler til afgørelser, herunder partshøring, begrundelse og klagevejledning samt andre relevante dele af dansk forvaltningsret, som myndigheder er forpligtet til at overholde i afgørelsessager.
Det bemærkes i den forbindelse, at afgørelser om organisatorisk beredskab, fysisk sikring og cybersikkerhed kan indbringes for domstolene, jf. grundlovens § 63, stk. 1.
Det foreslås i § 32, stk. 2, nr. 1, at erhvervsministeren kan fastsætte regler om, at kommunikation med Energiklagenævnet skal ske digitalt samt at erhvervsministeren kan udstede regler om anvendelse af et bestemt digitalt system. Herudover foreslås det i bestemmelsen, at hvis erhvervsministeren fastsætter regler om, at kommunikation med Energisklagenævnet skal ske digitalt, skal erhvervsministeren også fastsætte regler om fritagelse for obligatorisk anvendelse for visse personer og virksomheder.
Den foreslåede bestemmelse vil medføre, at erhvervsministeren kan fastsættes regler om, at borgere og virksomheder har pligt til at kommunikere digitalt med Energiklagenævnet, og at svaret fra Energiklagenævnet sendes digitalt. Bestemmelsen vil også kunne anvendes til at fastsætte undtagelser for kravet om digital kommunikation til enkeltpersoner og enkelt mandsvirksomheder.
Den foreslåede bestemmelse vil indebære, at erhvervsministeren kan anvende bestemmelsen til at fastsætte regler om f.eks. pligtmæssig brug af et digitalt system, herunder f.eks. Klageportalen, ved indgivelse af klage i medfør af loven, og at svar fra Energiklagenævnet sendes digitalt. Med digitalt system menes, at der kan laves regler om brug af bestemte digitale systemer, herunder selvbetjeningsløsninger, særlige digitale formater, digital signatur eller lignende.
Det foreslås, at bemyndigelsen til fastsættelse af regler vedrørende Energiklagenævnet tillægges erhvervsministeren, da ressortansvaret for Energiklagenævnet er tillagt erhvervsministeren, jf. kongelig resolution af 8. juni 2016.
Det foreslås i § 32, stk. 2, nr. 2, at erhvervsministeren kan fastsætte regler om betaling af gebyr ved indbringelse af en klage for Energiklagenævnet.
Den foreslåede bestemmelse vil medføre, at erhvervsministeren vil kunne fastsætte regler om betaling af gebyr ved indbringelse af en klage for Energiklagenævnet.
Det foreslås, at bemyndigelsen til fastsættelse af regler vedrørende Energiklagenævnet tillægges erhvervsministeren, da ressortansvaret for Energiklagenævnet er tillagt erhvervsministeren, jf. kongelig resolution af 8. juni 2016.
Det foreslås i § 32, stk. 2, nr. 3, at erhvervsministeren kan fastsætte nærmere regler om Energiklagenævnets sammensætning ved nævnets behandling af afgørelser efter denne lov eller regler udstedt i medfør af loven.
Den foreslåede bestemmelse vil indebære, at erhvervsministeren kan fastsætte nærmere regler om sammensætningen af Energiklagenævnet, der sikre den korrekte sagkundskab ved behandling af klagesager over afgørelser vedrørende beredskab og cybersikkerhed i energisektoren.
Det foreslås, at beføjelsen til at fastsætte nærmere regler om Energinævnets sammensætning tillægges erhvervsministeren, da ressortansvaret for Energiklagenævnet er tillagt erhvervsministeren, jf. kongelig resolution af 8. juni 2016.
Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.
Efter elforsyningslovens § 92, gasforsyningslovens § 54, varmeforsyningsloven § 24 b, stk. 1, fjernkølingslovens § 8 d, stk. 1, undergrundslovens § 37, kan klima-, energi- og forsyningsministeren bemyndige Energistyrelsen og andre statslige myndigheder til at udøve beføjelser, der ved de respektive love er tillagt klima-, energi- og forsyningsministeren.
Delegationen af opgaver fra klima-, energi- og forsyningsministeren til Energistyrelsen efter olieberedskabsloven følger af den ulovbestemte adgang til at delegere til en underordnet myndighed.
Det foreslås i § 33, at klima-, energi- og forsyningsministeren kan bemyndige en institution eller en anden myndighed oprettet under ministeriet til at udøve de beføjelser, der i denne lov er tillagt ministeren.
Den foreslåede bestemmelse vil indebære, at klima-, energi- og forsyningsministeren kan bemyndige en under Klima-, Energi- og Forsyningsministeriet oprettet offentlig myndighed eller institution, fx Energistyrelsen, til at udøve beføjelser, der i loven er tillagt ministeren.
Energinet A/S er en selvstændig offentlig virksomhed (SOV) oprettet ved lov. Energinet varetager som SOV også myndighedsopgaver, jf. lov om Energinet, § 2, stk. 6, modsætningsvist. Med den foreslåede bestemmelse vil klima-, energi- og forsyningsministeren ligeledes kunne bemyndige Energinet til at udøve beføjelser, der i loven er tillagt ministeren.
På baggrund af den foreslåede bestemmelse og den foreslåede § 11, stk. 2 forventes det, at Energinet vil blive delegeret kompetencen til at udmelde sektorberedskabsniveauer og sektorberedskabsforanstaltninger for el- og gassektoren, så Energinet kan fastholde rollen som operationelt kontaktpunkt for el- og gassektoren samt brintsektoren ved etablering af et brinttransmissionsnet. Der henvises i øvrigt til de specielle bemærkninger til § 11, stk. 2.
Endvidere foreslås det med § 11, stk. 4, at Energinet i en beredskabssituation omfattende sikkerhedsrelaterede hændelser, i særlige tilfælde, hvor klima-, energi- og forsyningsministeren ikke kan fastsætte og udmelde sektorberedskabsniveauer og foranstaltninger, jf. § 11, stk. 1, 2 og 3 kan varetage opgaven på ministerens vegne. Energinet kan kun varetage opgaven for el-, gas- og brintsektorerne.
Det foreslåede § 11, stk. 4, har karakter af en delegation til fra klima-, energi- og forsyningsministeren til Energinet. Det foreslåede stk. 4 vil kunne finde anvendelse i situationer, hvor klima-, energi- og forsyningsministeren måtte være afskåret fra at varetage sine opgaver efter stk. 1-3. Det kunne således være, hvor klima-, energi- og forsyningsministeren er ramt af en beredskabssituation, der gør det umuligt at bruge de normale kommunikationsveje til el-, gas- og brintvirksomhederne.
Den kompetence der med de foreslåede §§ 17 – 18 vedrørende gebyrer foreslås tillagt klima-, energi- og forsyningsministeren forventes dog ikke delegeret til Energistyrelsen. Kompetencen på gebyrområdet efter denne lov vil således fortsat følge kompetencefordelingen på gebyrområdet efter elforsyningsloven, gasforsyningsloven og varmeforsyningsloven.
Øvrige bemyndigelser og forpligtigelser tillagt klima-, energi- og forsyningsministeren efter denne lov, forventes at blive delegeret til Energistyrelsen.
Bestemmelsen vil desuden kunne anvendes til, at klima-, energi- og forsyningsministeren kan indgå i forhandlinger med andre ministre om at bemyndige statslige myndigheder oprettet under vedkommende ministerie til at udøve beføjelser tillagt til klima-, energi- og forsyningsministeren i denne lov.
Lovgivningen vil således være fremtidssikret i det tilfælde, at det i fremtiden vurderes, at en anden statslig myndighed vil være bedre passende til at udøve visse af ministerens beføjelser, end den oprindeligt udpegede myndighed.
Det skal dog bemærkes, at et sådant pålæg ikke kan meddeles Forsyningstilsynet i forhold til de opgaver, som tilsynet skal varetage efter loven, herunder også henset til Forsyningstilsynets uafhængighed, jf. § 2 i lov om Forsyningstilsynet. Grænserne for Energistyrelsens beføjelser i henhold til loven vil fremgå af delegationsbekendtgørelsen.
Det følger af elforsyningslovens § 2 a, at klima-, energi- og forsyningsministeren fastsætter regler eller træffer bestemmelser med henblik på at gennemføre eller anvende internationale konventioner og EU-regler om forhold, der er omfattet elforsyningsloven, herunder forordninger, direktiver og beslutninger om naturbeskyttelse på søterritoriet og i den eksklusive økonomiske zone.
Det følger af varmeforsyningslovens § 2 a, at klima-, energi- og forsyningsministeren kan fastsætte regler eller træffe bestemmelser med henblik på at gennemføre eller anvende internationale konventioner og EU-regler om forhold, der er omfattet varmeforsyningsloven.
Det følger af olieberedskabslovens § 3, at klima-, energi- og bygningsministeren (nu klima-, energi- og forsyningsministeren) kan fastsætte regler eller træffe bestemmelser med henblik på at gennemføre eller anvende internationale konventioner og EU-regler om forhold, der er omfattet af olieberedskabsloven, herunder forordninger, direktiver og beslutninger.
Det følger af undergrundslovens § 2 a, at klima-, energi- og forsyningsministeren fastsætter regler eller træffer bestemmelser med henblik på at gennemføre eller anvende internationale konventioner og EU-regler om forhold, der er omfattet undergrundsloven, herunder forordninger, direktiver og beslutninger om naturbeskyttelse på dansk søterritorium, i dansk eksklusiv økonomisk zone og på dansk kontinentalsokkelområde.
Der findes ikke en tilsvarende bestemmelse i gasforsyningsloven.
Det foreslås i § 34, at klima-, energi- og forsyningsministeren kan fastsætte regler eller træffe bestemmelser med henblik på at gennemføre eller anvende internationale konventioner og EU-regler om forhold, der er omfattet af denne lov, herunder forordninger, direktiver og beslutninger om beredskab og beskyttelse af energiinfrastruktur på søterritoriet og den eksklusive økonomiske zone.
Den foreslåede bestemmelse i § 34 vil bygge videre på gældende bestemmelser i forsyningslovene, hvorefter ministeren kan fastsætte regler eller træffer bestemmelser med henblik på at gennemføre eller anvende internationale konventioner og EU-regler, herunder om beredskab for energisektoren.
EU-Kommissionen er flere steder i CER- og NIS 2-direktiverne tillagt kompetence til at vedtage retsakter, der nærmere udmønter bestemte dele af direktivet. Energisektoren er desuden underlagt anden regulering fra EU om beredskab i energisektoren.
Det følger bl.a. af CER-direktivets artikel 5, stk. 1, at EU-Kommissionen tillægges beføjelse til at vedtage en delegeret retsakt i overensstemmelse med direktivets artikel 23 senest den 17. november 2023 for at supplere CER-direktivet ved at udarbejde en ikke-udtømmende liste over væsentlige tjenester i sektorerne og delsektorerne anført i direktivets bilag. EU-Kommissionen har ved sin delegerede forordning (EU) 2023/2450 af 25. juli 2023 til supplering af Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 opstillet en ikke-udtømmende liste over væsentlige tjenester.
Desuden følger det af CER-direktivets artikel 13, stk. 6, at EU-Kommissionen vedtager gennemførelsesretsakter med henblik på at fastsætte de nødvendige tekniske og metodiske specifikationer vedrørende anvendelsen af modstandsdygtighedsforanstaltninger efter artikel 13, stk. 1.
Det følger endvidere af CER-direktivets artikel 18, stk. 6, at EU-Kommissionen vedtager en gennemførelsesretsakt med regler for de proceduremæssige ordninger for tilrettelæggelse af rådgivende EU-delegationer.
Det fremgår derudover af CER-direktivets artikel 19, stk. 6, at EU-Kommissionen kan vedtage gennemførelsesretsakter, hvori der fastlægges proceduremæssige ordninger, som er nødvendige for Gruppen for Kritiske Enheders Modstandsdygtigheds funktion.
I medfør af artikel 21, stk. 5, 2. led, i NIS 2-direktivet, kan EU-Kommissionen vedtage gennemførelsesretsakter, der fastsætter de tekniske og metodologiske samt om nødvendigt sektorspecifikke krav til de foranstaltninger, der er omhandlet i direktivets artikel 21, stk. 2 (foranstaltninger til styring af cybersikkerhedsrisici).
Ved udarbejdelsen af gennemførelsesretsakter om foranstaltninger til styring af cybersikkerhedsrisici følger EU-Kommissionen i videst muligt omfang europæiske og internationale standarder samt relevante tekniske specifikationer. EU-Kommissionen samarbejder med samarbejdsgruppen som er nedsat i medfør af NIS 2 artikel, stk. 1, og ENISA om udkastene til gennemførelsesretsakter.
Det følger desuden af NIS 2-direktivets artikel 23, stk. 11, at EU-Kommissionen kan vedtage gennemførelsesretsakter, der yderligere præciserer typen af oplysninger, formatet og proceduren for en underretning indgivet i henhold til artikel 23, stk. 1 (underretning af myndighederne om hændelser), og artikel 30 (frivillig meddelelse af relevante oplysninger) og for en meddelelse, der er indgivet i henhold til artikel 23, stk. 2 (oplysning til modtagerne af tjenester).
Det følger endvidere af NIS 2-direktivets artikel 24, stk. 2, at EU-Kommissionen tillægges beføjelser til at vedtage delegerede retsakter for at supplere NIS 2-direktivet ved at præcisere, hvilke kategorier af væsentlige og vigtige enheder der skal anvende visse certificerede IKT-produkter, -tjenester og -processer eller indhente en attest i henhold til en europæisk cybersikkerhedscertificeringsordning, der er vedtaget i henhold til artikel 49 i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed). Disse delegerede retsakter vedtages, når der er identificeret utilstrækkelige cybersikkerhedsniveauer og de skal indeholde en gennemførelsesperiode.
Den foreslåede bestemmelse vil give klima-, energi- og forsyningsministeren hjemmel til at gennemføre EU-Kommissionens retsakter og internationale konventioner om beredskab for energisektoren.
Efter gældende ret i elforsyningslovens § 84, varmeforsyningslovens § 23 d, fjernkølingslovens § 8 c, olieberedskabslovens § 17, stk. 2, undergrundslovens § 26 og gasforsyningslovens § 45, kan klima-, energi- og forsyningsministeren indhente oplysninger som er nødvendige for varetagelsen af alle opgaver eller nogle specifikke opgaver ministeren har efter disse love, fra virksomheder omfattet af disse love. I forarbejderne til de nævnte paragraffer fremgår det, at der bl.a. er tale om regnskaber, regnskabsmateriale, udskrift af bøger, andre forretningspapirer og elektronisk lagrede data.
Det foreslås i § 35, stk. 1, at klima-, energi- og forsyningsministeren og Energinet kan fra virksomheder omfattet af loven indhente oplysninger, der er nødvendige for varetagelsen af deres opgaver efter loven, efter bestemmelser fastsat i medfør af loven eller efter EU-retsakter eller internationale forpligtelser om forhold omfattet af loven.
Klima-, energi- og forsyningsministeren og Energinet kan med hjemmel i den foreslåede bestemmelse kræve alle oplysninger, som skønnes nødvendige for deres virksomhed efter loven, eller til afgørelse af om et forhold er omfattet af lovens bestemmelser, herunder regnskaber, regnskabsmateriale, udskrift af bøger, andre forretningspapirer, elektronisk lagrede data m.m. Med den foreslåede bestemmelse kan ministeren og Energinet også kræve sammenstilling af eksisterende data, således det gøres tilgængelig og forståelig og således anvendelig ift. den opgave der skal varetages. Endelig kan den foreslåede bestemmelse også bruges til at kræve generering af nye oplysninger hos virksomheden, såfremt virksomheden ikke allerede har gjort sig bekendt med egne forhold. Her tænkes således på situationer, hvor virksomheden fx ikke allerede måtte være bekendt med hvor meget salg, kapacitet, produktion etc. virksomheden har/har haft, som er data der er nødvendigt for at klima-, energi- og forsyningsministeren kan determinere om virksomheden er omfattet af loven eller ej.
Endelig bemærkes det, at bestemmelsens anvendelse er afgrænset af retssikkerhedslovens § 10 om forbud mod selvinkriminering. Virksomheden vil aldrig være forpligtiget til at aflevere informationer til klima-, energi- og forsyningsministeren og Energinet efter den foreslåede bestemmelse, der vil kunne inkriminere virksomheden. Dette vil skulle oplyses til virksomheden ved fremsendelse af anmodningen om oplysningerne, medmindre det efter klima-, energi- og forsyningsministerens eller Energinets vurdering vil være garanteret at de oplysninger der efterspørges ikke kan inkriminere virksomheden.
Det foreslås i § 35, stk. 2, at klima-, energi- og forsyningsministeren fastsætter regler om, at virksomheder omfattet af loven skal registrere sig, og om hvilke oplysningerne som virksomheder i den forbindelse skal oplyse, herunder de i nr. 1-4 oplistede oplysninger.
Bestemmelsen gennemfører NIS 2-direkitvets artikel 3, stk. 3 og 4, hvorefter medlemsstaterne senest den 17. april 2025 udarbejder en liste over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester. Medlemsstaterne reviderer og, hvor det er relevant, ajourfører derefter listen med jævne mellemrum, mindst hvert andet år. Med henblik på udarbejdelsen af listes pålægger medlemsstaterne enhederne, at indgive mindst følgende oplysninger til de kompetente myndigheder; a) enhedens navn, b) ajourførte kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre, c) i givet fald den relevante sektor og delsektor i bilag I eller II, samt d) i givet fald en liste over de medlemsstater, hvor enheden leverer tjenester, der er omfattet af dette direktivs anvendelsesområde. De omhandlede enheder skal i tilfælde af ændringer af de oplysninger, de har indgivet, straks give underretning herom og under alle omstændigheder senest to uger efter datoen for ændringen.
Efter den foreslåede bestemmelse vil klima-, energi- og forsyningsministeren fastsætte regler for, hvilke virksomheder der skal registrere sig, og hvordan registreringen skal foregå.
Ministeren vil på baggrund af den foreslåede bestemmelse kunne fastsætte den nærmere dato for, hvornår virksomheder senest skal indgive oplysninger efter bestemmelsen og regler udsted i medfør af bestemmelsen. Virksomheder, der omfattes af denne lov, efter den fastsatte dato, vil skulle indgive oplysninger efter en nærmere angiven frist.
Bestemmelsen vil gennemføre dele af NIS 2-direktivets artikel 3, stk. 3, hvorefter medlemsstaterne senest den 17. april 2025 skal udarbejde en liste over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester.
Ministeren vil derudover, for at sikre, at oplysningerne er tilstrækkeligt ajourførte, kunne fastsatte en frist for, hvornår virksomheder skal oplyse om ændringer af oplysninger. Ministeren vil fastsætte en frist for virksomheder, for underretning om ændringer i oplysninger.
Bestemmelsen vil gennemføre NIS 2-direktivets artikel 3, stk. 4, 2. pkt., som fastsætter, at væsentlige og vigtige enheder, samt enheder, der leverer domænenavnsregistreringstjenester, i tilfælde af ændringer af de oplysninger, de har indgivet i henhold til artikel 3, stk. 4, 1. pkt., straks skal give underretning herom og under alle omstændigheder senest to uger efter datoen for ændringen.
Klima-, energi- og forsyningsministeren vil derfor som minimum fastsætte en frist på to uger for nye virksomheder at indgive oplysninger. Ministeren vil desuden som minimum fastsætte en frist på to uger for underretning om ændringer i oplysninger til brug for registrering af virksomheden.
Klima-, energi- og forsyningsministeren vil kunne fastsætte en kortere frist for virksomheder på baggrund af deres betydning for energiforsyningen. Ministeren vil dermed kunne fastsætte en differentieret frist for virksomhederne på baggrund af kritikalitet. Denne differentierede frist vil som udgangspunkt kun gælde for den underretning, som virksomhederne skal foretage om ændringer i allerede indmeldte oplysninger.
Baggrunden for registreringspligten i artikel 3, stk. 4, er, at medlemsstaterne efter NIS 2-direktivets artikel 3, stk. 3, senest den 17. april 2025 skal udarbejde en liste over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester.
Med de indsamlede oplysninger sikres der således et overblik over de energivirksomhederne, som er omfattet af lovens anvendelsesområde. Det forudsættes, at virksomheder, der leverer tjenester i flere sektorer, vil skulle foretage én samlet registrering via en fælles digital indgang, såsom Virk.dk. Dette vil sikre, at disse enheder alene skal foretage én indledende registrering, som fordeles samtidigt til de relevante myndigheder. Det forudsættes, at CSIRT’en kan tilgå oplysningerne, således at CSIRT’en har et samlet overblik over de registrerede enheder på tværs af sektorer.
De kompetente myndigheder, herunder Klima-, Energi- og Forsyningsministeriet vil, via det centrale kontaktpunkt, i overensstemmelse med NIS 2-direktivets artikel 3, stk. 5, bl.a. orientere EU-Kommissionen og Samarbejdsgruppen om antallet af virksomheder, som opfylder kravene for væsentlige og vigtige enheder for hver sektor og delsektor.
Det foreslås i § 35, stk. 2, nr. 1, at virksomheden skal oplyse virksomhedens navn. Det forudsættes, at der vil blive fastsat regler om, at virksomheden skal oplyse det navn på virksomheden, som virksomheden er registeret under i CVR-registeret, herunder andre navne virksomheden er kendt under. Såfremt virksomheden er udenlandsk, registreres det navn virksomheden er registreret under det pågældendes lands udgave af CVR-registret og hvor disse ikke findes det navn som virksomheden benytter på andre officielle dokumenter.
Det foreslås i § 35, stk. 2, nr. 2, at virksomheden skal oplyse adresse og ajourførte kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre. Det forudsættes, at der vil blive fastsat regler om, at virksomheden skal oplyse virksomhedens adresse og ajourførte kontaktoplysninger på ledelsen og andre relevante personer med ansvar for organisatorisk beredskab, fysisk sikring og cybersikkerhed, herunder e-mailadresser og telefonnumre samt hvor det er relevant IP-intervaller, som virksomheden anvender.
Det foreslås i § 35, stk. 2, nr. 3, at virksomheden skal oplyse den relevante sektor og delsektor, som virksomheden er omfattet af. Det forudsættes, at der vil blive fastsat regler om, at virksomheden skal oplyse, at virksomheden er omfattet af energisektoren, og at virksomheden agerer i en eller flere af følgende delsektorer, elektricitet, fjernvarme, fjernkøling, olie, gas og brint.
Det foreslås i § 35, stk. 2, nr. 4, at virksomheden skal oplyse de medlemsstater i Den Europæiske Union, hvor virksomheden leverer tjenester. Det forudsættes, at der vil blive fastsat regler om, at virksomheden skal oplyse om de medlemsstater i Den Europæiske Union, hvor virksomheden også eventuelt måtte levere deres tjenester.
For så vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.
Efter § 30, stk. 2, i henholdsvis elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelse samt § 17 i it-beredskabsbekendtgørelsen, kan virksomheder ansøge om at etablere samordnet beredskab, der medfører, at beredskabsarbejdet organiseres for flere virksomheder under ét. Ansøgninger skal fremsendes til Energistyrelsen til godkendelse. Ansøgninger skal suppleres med en skriftlig begrundelse samt en beskrivelse af konsekvenser ved samordnet beredskab, herunder vurdering af aftalens konsekvenser for det almene beredskabsarbejde.
Det foreslås i § 36, at klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om samordnet beredskab med henblik på, at beredskabsarbejdet efter denne lov og regler udstedt i medfør heraf, varetages af flere virksomheder i fællesskab eller af den ene part.
Det foreslås, at ordningen for samordnet beredskab videreføres med mindre tilpasninger.
Det forventes, at der vil blive fastsat nærmere regler om ansøgningsprocessen for samordnet beredskab og ansøgningens indhold, samt at Energinet høres om ansøgninger om samordnet beredskab i el – og gassektoren. Endvidere forventes der fastsat regler, om hvilke forhold der vil blive lagt vægt på ved afgørelsen om samordnet beredskab. Endelig forventes der fastsat regler om, at der efter godkendelse kan træffes afgørelse om tildeling af et nyt niveau til det samordnede beredskab, herunder kriterierne for tildeling af det nye niveau.
Det følger af elforsyningslovens § 87, stk. 1, nr. 7, at medmindre højere straf er forskyldt efter anden lovgivning, straffes med bøde den, der undlader at efterkomme påbud eller forbud efter loven, herunder påbud om at berigtige et ulovligt forhold. Desuden kan der efter elforsyningslovens § 88, stk. 1, i regler, som udstedes i henhold til loven, fastsættes bødestraf for overtrædelse af bestemmelserne i eller vilkår og påbud udstedt i henhold til reglerne. I elberedskabsbekendtgørelsens § 35, stk. 1, er der fastsat nærmere regler for bødestraf.
Det følger af gasforsyningslovens § 49, stk. 1, nr. 6, at medmindre højere straf er forskyldt efter anden lovgivning, straffes med bøde den, der undlader at efterkomme påbud eller forbud efter loven, herunder påbud om at berigtige et ulovligt forhold. Desuden kan der efter gasforsyningslovens § 50, stk. 1 i regler, som udstedes i henhold til loven, fastsættes bødestraf for overtrædelse af bestemmelserne i eller vilkår og påbud udstedt i henhold til reglerne. I naturgasberedskabsbekendtgørelsens § 35, stk. 1, er der fastsat nærmere regler for bødestraf.
Efter olieberedskabslovens § 23, stk. 1, nr. 5, gælder det, at medmindre højere straf er forskyldt efter anden lovgivning, straffes med bøde den, der undlader at efterkomme påbud efter loven eller regler udstedt i medfør af loven. Af olieberedskabslovens § 23, stk. 2, følger det, at der kan fastsættes bødestraf for overtrædelse af bestemmelserne i reglerne eller vilkår fastsat i henhold til reglerne og for manglende overholdelse af påbud meddelt i henhold til reglerne. I olieberedskabsbekendtgørelsens § 22 er der fastsat nærmere regler for bødestraf.
Der henvises i øvrigt til afsnit 3.7.1 i lovforslagets almindelige bemærkninger.
Det foreslås i § 37, stk. 1, at med bøde straffes den, der måtte udføre de i nr. 1-6 oplistede undladelser og handlinger.
Den foreslåede bestemmelse vil implementere artikel 36, stk. 1, i NIS 2-direktivet. Artikel 36, stk. 1, forpligter medlemsstaterne til at fastsætte regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale foranstaltninger, der er vedtaget i medfør af NIS 2-direktivet og til at træffe alle nødvendige foranstaltninger for at sikre, at de gennemføres. NIS-direktivet bestemmer ligeledes at sanktionerne skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.
Den foreslåede bestemmelse vil endvidere implementere NIS 2-direktivets artikel 34, hvoraf det følger, at medlemsstaterne sikrer, at de administrative bøder, der pålægges væsentlige og vigtige enheder i henhold til artiklen, for så vidt angår overtrædelser af direktivet, er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning, under hensyntagen til omstændighederne i hver enkelt sag.
Med det foreslåede § 37, stk. 1 gennemføres artikel 34, stk. 2 i NIS-2 direktivet således, at kan administrative bøder pålægges i tillæg til en hvilken som helst af foranstaltningerne omhandlet i artikel 32, stk. 4, litra a-h, artikel 32, stk. 5, og artikel 33, stk. 4, litra a-g.
Efter NIS 2-direktrivets artikel 34, stk. 4, skal medlemsstaterne sikre, at hvor væsentlige enheder overtræder artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller 23 (rapporteringsforpligtelser), straffes de i overensstemmelse med artiklernes stk. 2 og 3 med administrative bøder med et maksimum på mindst 10.000.000 euro eller et maksimum på mindst 2 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den væsentlige enhed tilhører alt efter, hvad der er højest.
Det følger af NIS 2-direkitvets artikel 34, stk. 5, at medlemsstaterne sikrer, at hvor vigtige enheder overtræder artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller 23 (rapporteringsforpligtelser), straffes de i overensstemmelse med artiklernes stk. 2 og 3 med administrative bøder med et maksimum på mindst 7.000.000 euro eller et maksimum på mindst 1,4 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den vigtige enhed tilhører alt efter, hvad der er højest.
Det følger af NIS 2-direktivets artikel 34, stk. 8, 1. og 2. pkt., at hvis en medlemsstats retssystem ikke giver mulighed for at pålægge administrative bøder, sørger den pågældende medlemsstat for, at artiklen anvendes på en sådan måde, at den kompetente myndighed tager skridt til bøder, og de kompetente nationale domstole pålægger dem, idet det sikres, at disse retsmidler er effektive, og at deres virkning svarer til virkningen af administrative bøder, som pålægges af de kompetente myndigheder. De bøder, der pålægges, skal under alle omstændigheder være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.
Den foreslåede bestemmelse vil herudover, i kombination med den foreslåede bestemmelse i § 7, stk. 1, gennemføre NIS 2-direktivets artikel 20, stk. 1, hvoraf det følger, at medlemsstaterne sikrer, at de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet med henblik på at overholde artikel 21, fører tilsyn med dens gennemførelse og kan gøres ansvarlige for enhedernes overtrædelser af forpligtelserne i nævnte artikel.
Den foreslåede bestemmelse vil desuden gennemføre artikel 22, 1. og 2. pkt., i CER-direktivet, hvoraf følger, at medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale foranstaltninger, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.
Det forudsættes, at det alene er de bestemmelser ,der specifikt henvises til, som vil have særlig betydning for så vidt angår udmålingen af bøders størrelse. Det samme gælder eventuel udmåling af bøder til fysiske personer, hvor det dog i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 130, 2. pkt., forudsættes, at der vil blive lagt vægt på det generelle indkomstniveau og personens økonomiske stilling.
For virksomheder svarende til væsentlige enheder efter NIS 2-direktivet, forudsættes det i overensstemmelse med NIS 2-direktivets artikel 34, stk. 4, at bødens størrelse for virksomheders overtrædelse af bestemmelserne i §§ 6-10, § 11, stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr. 1-7, §§ 21 og 22, maksimalt vil udgøre et beløb svarende til 10.000.000 euro eller 2 pct. af den væsentlige enheds samlede globale årsomsætning i det foregående regnskabsår, alt efter hvad der er højest.
For virksomheder svarende til vigtige enheder efter NIS 2-direktivet, forudsættes det i overensstemmelse med NIS 2-direktivets artikel 34, stk. 5, at bødens størrelse for virksomheders overtrædelse af bestemmelserne i §§ 6-10, § 11, stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr. 1-7, §§ 21 og 22, maksimalt vil udgøre et beløb svarende til 7.000.000 euro eller 1,4 pct. af den væsentlige enheds samlede globale årsomsætning i det foregående regnskabsår, alt efter hvad der er højest.
Det forudsættes i overensstemmelse med CER-direktivets artikel 22 og NIS 2-direktivets artikel 34, stk. 3, jf. artikel 32, stk. 7, at der vil blive lagt vægt på en række strafskærpende og strafformildende omstændigheder ved pålæg af en bøde og ved udmåling af bødens størrelse, herunder overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser. Således vil gentagne overtrædelser, manglende underretning om eller afhjælpning af væsentlige hændelser, manglende afhjælpning af mangler efter bindende instrukser fra kompetente myndigheder, hindringer for audits eller overvågningsaktiviteter påbudt af den kompetente myndighed efter konstatering af en overtrædelse og afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende cybersikkerhedsrisikostyringsforanstaltninger eller rapporteringsforpligtelser, der er fastsat i § 6, §§ 12-13 og §§ 15-16, under alle omstændigheder vil skulle betragtes som alvorlige overtrædelser, i overensstemmelse med CER-direktivets artikel 22 og NIS 2-direktivets artikel 34, stk. 3, jf. artikel 32, stk. 7.
Endvidere vil der blive lagt vægt på fx overtrædelsens varighed, den pågældende virksomheds relevante tidligere overtrædelser ved pålæg af en bøde og ved udmåling af bødens størrelse. Ligesom der vil blive lagt vægt på, om der er indtruffet en materiel eller immateriel skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt.
De almindelige regler i straffelovens kapitel 10 om henholdsvis strafskærpende og strafformildende omstændigheder vil ligeledes iagttages ved anvendelsen af nærværende strafbestemmelser.
Den fastsatte bøde skal i overensstemmelse med NIS 2-direktivets artikel 34, stk. 1 og CER-direktivets artikel 22, være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning under hensyntagen til omstændighederne i den konkrete sag.
Bøder vil i overensstemmelse med NIS 2-direktivets artikel 34, stk. 2, kunne pålægges i tillæg til håndhævelsesforanstaltningerne i de foreslåede §§ 20, 22 og 23.
Der lægges med loven ikke op til at omfatte virksomheder baseret på antal ansatte og virksomhedens årlige omsætning eller bruttofortjeneste. Det skyldes, at denne afgrænsning ikke inddrager virksomhedernes forsyningsmæssige størrelse og kritikalitet, og at kun få energivirksomheder vil blive omfattet. Eksempelvis kan koncernkonstruktioner med datterselskaber indebære, at energivirksomheder med stor kritikalitet kan have få ansatte eller lav omsætning eller balance. I stedet lægges der op til for begge direktiver at følge den nuværende afgrænsningsmodel i energisektoren, som er den model, der bl.a. er blevet brugt ved implementering af NIS 1-direktivet i energisektoren. Herved er det forsyningsstørrelsen, forstået som fx den samlede energiproduktion, produktions- eller lagerkapacitet eller antal kunder, og i nogle tilfælde virksomhedens eller anlæggets rolle i energisystemerne, der er afgørende for, om virksomheden omfattes af beredskabsregulering. Dette skyldes, at forsyningsstørrelsen i højere grad afspejler virksomhedens kritikalitet for energiforsyningen der primært er afgørende for, om virksomheden omfattes af beredskabsregulering. Det vurderes, at denne afgrænsning stadig lever op til direktiverne.
Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 35, stk. 2, for så vidt angår væsentlige enheder. Bestemmelsen fastsætter desuden bødestraf for overtrædelser af bestemmelser, som implementerer CER-direktivet og går dermed videre end minimumskravene i CER-direktivets artikel 22. Bestemmelsen skal derudover forstås og anvendes i overensstemmelse med direktivernes forudsætninger.
Om valg af ansvarssubjekt henvises til afsnit 3.5.2.3 i lovforslagets almindelige bemærkninger.
Det foreslås i § 37, stk. 1, nr. 1, at der med bøde straffes den, der undlader at efterkomme påbud efter § 14, stk. 2.
Den foreslåede bestemmelse medfører, at virksomheder kan straffes med bøde, såfremt virksomheden undlader at efterkomme klima-, energi- og forsyningsministerens påbud om, at virksomheden skal informere offentligheden om den hændelse, som virksomheden måtte være ramt af.
Det foreslås i § 37, stk. 1, nr. 2, at der med bøde straffes den, der hindrer myndighederne i at føre kontrol efter § 19, stk. 2, nr. 1-6,
Den foreslåede bestemmelse medfører, at virksomheder vil kunne straffes med bøde, såfremt virksomheden hindrer at klima-, energi- og forsyningsministeren eller rådgivende missioner efter § 20 kan gennemføre sit tilsyn eller rådgivende mission. Virksomheden vil kunne straffes med bøde, såfremt virksomheden helt nægter eller obstruerer klima-, energi- og forsyningsministeren eller den rådgivende mission i at foretage tilsyn og kontrol hos virksomheden ved at inspicere de lokaler, som virksomheden bruger til at levere sine tjenester. Derudover vil virksomheden kunne straffes med bøde, såfremt virksomheden helt nægter eller obstruerer klima-, energi- og forsyningsministeren eller den rådgivende mission i at foretage stikprøvekontroller, foretage regelmæssige kontrol- og tilsynsbesøg hos virksomheder, foretage ad hoc-tilsyn, foretage sikkerhedsscanninger og penetrationstest af virksomhedens net- og informationssystemer samt fysiske lokationer, at udlevere oplysninger og dokumentation, der er nødvendige for at vurdere foranstaltningerne vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed, som virksomheden har indført efter loven og regler udstedt i medfør af loven, at give adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.
Bestemmelsen vil finde anvendelse også ved delvis nægtelse af de ovenstående. Obstruktionen, der udløser en bødestraf efter denne bestemmelse, kan være at virksomheden er så lang tid om at efterkomme myndighedernes kontrolbeføjelser, at tilsynet ikke kan gennemføres effektivt.
Det foreslås i § 37, stk. 1, nr. 3, at der med bøde straffes den, der undlader at efterkomme påbud efter § 21 og § 22, stk. 1 og 2.
Den foreslåede bestemmelse medfører, at virksomheder vil kunne straffes med bøde, såfremt virksomheden undlader at efterkomme klima-, energi- og forsyningsministerens påbud eller forbud om, at virksomheden skal træffe foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, og som anses for nødvendige for at sikre overholdelsen af krav fastsat i loven og regler udstedt i medfør af loven. Det gælder navnlig, at virksomheden skal underrette de fysiske eller juridiske personer, til hvilke den leverer tjenester eller udfører aktiviteter, og som potentielt kan være berørt af en væsentlig cybertrussel, om denne trussels karakter, samt at virksomheden skal underrette disse om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel. Det gælder desuden kravet om, at virksomheden skal udpege en person med ansvar for i en nærmere fastsat periode at føre tilsyn med virksomhedens overholdelse af lovens §§ 6-9 og §§ 12-14, samt regler udstedt i medfør heraf, samt at virksomheden skal offentliggøre afgørelser om påbud eller forbud efter nr. 1-4 samt resumeer af domme eller bødeforlæg, hvor der idømmes eller vedtages en bøde, i ikke-anonymiseret form og på en nærmere angiven måde.
Den foreslåede bestemmelse medfører desuden, at virksomheder vil kunne straffes med bøde, såfremt virksomheden undlader at efterkomme klima-, energi- og forsyningsministerens påbud om, at virksomheden skal få foretaget en revision af net- og informationsforanstaltninger, modstandsdygtighedsforanstaltninger og kritiske systemer ved en uafhængig revisor, såfremt virksomheden ikke har opfyldt et eller flere påbud udstedt efter § 21.
Den foreslåede bestemmelse medfører desuden, at virksomheder vil kunne straffes med bøde, såfremt virksomheden undlader at efterkomme klima-, energi- og forsyningsministerens påbud om at gennemføre tiltag, som på baggrund af en revision efter § 22, stk. 1, vurderes nødvendige for at opretholde et tilstrækkeligt beredskab.
Det foreslås i § 37, stk. 1, nr. 4, at der med bøde straffes den, der undlader at efterkomme en afgørelse efter § 23, stk. 1, nr. 1 eller 2,
Den foreslåede bestemmelse medfører, at virksomheder vil kunne straffes med bøde, såfremt virksomheden undlader at efterkomme klima-, energi- og forsyningsministerens afgørelse om at midlertidigt suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, virksomheden leverer, eller aktiviteter, der udføres af virksomheden eller afgørelse om midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos virksomheden at udøve ledelsesfunktioner i den pågældende virksomhed.
Det foreslås i § 37, stk. 1, nr. 5, at der med bøde straffes den, der meddeler Energiklagenævnet urigtige, vildledende oplysninger eller undlader, at meddele oplysninger efter anmodning i medfør af § 31, stk. 6.
Den foreslåede bestemmelse medfører, at virksomheder vil kunne straffes med bøde, såfremt virksomheden meddeler Energiklagenævnet urigtige, vildledende oplysninger eller undlader, at meddele oplysninger efter anmodning i medfør af § 31, stk. 6.
Det foreslås i § 37, stk. 1, nr. 6, at der med bøde straffes den, der meddeler klima-, energi- og forsyningsministeren eller Energinet urigtige eller vildledende oplysninger eller undlader at meddele oplysninger i medfør af § 35, stk. 1.
Den foreslåede bestemmelse medfører, at virksomheder vil kunne straffes med bøde, såfremt virksomheden meddeler klima-, energi- og forsyningsministeren eller Energinet urigtige eller vildledende oplysninger eller undlader at meddele oplysninger i medfør af § 35, stk. 1
Det foreslås i § 37, stk. 2, at der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.
Den foreslåede bestemmelse indebærer, at selskaber m.v. (juridiske personer) vil kunne ifalde strafansvar for overtrædelse af denne lov efter reglerne i straffelovens kapitel 5.
Det foreslås i § 37, stk. 3, at der ikke kan pålægges bøde efter denne lov, hvor der er pålagt en bøde for overtrædelse af databeskyttelsesforordningen eller databeskyttelsesloven, hvis overtrædelsen skyldes den samme adfærd som den, der var genstand for bøden i medfør af databeskyttelsesforordningen eller databeskyttelsesloven.
Den foreslåede bestemmelse vil implementere NIS 2-direktivets artikel 35, stk. 2, hvoraf det følger, at tilsynsmyndighederne efter Europa-Parlamentets og Rådets forordning af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen) har pålagt en bøde i henhold til forordningens artikel 58, stk. 2, litra i, må de kompetente myndigheder efter NIS 2-direktivet ikke pålægge en bøde i henhold til NIS 2-direktivets artikel 34, der skyldes den samme adfærd som den, der var genstand for bøden efter databeskyttelsesforordningen.
Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 35, stk. 2, og skal således forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Klima-, energi- og forsyningsministeren vil fortsat kunne anvende håndhævelsesforanstaltninger i medfør af denne lov, uagtet at der måtte være pålagt en bøde for overtrædelse af databeskyttelseslovgivningen.
Det foreslås i § 37, stk. 4, at der i forskrifter, der udstedes i medfør af loven, kan fastsættes straf af bøde for overtrædelse af bestemmelser i forskrifterne.
Bestemmelsen vil indeholde hjemmel til fastsættelse af straffebestemmelser i forskrifter, som vil skulle medvirke til at sikre overholdelse af reglerne, der forventes udmøntet ved administrativ regulering i form af bekendtgørelser.
De strafbestemmelser, der måtte fastsættes i forskrifter, skal overholde de i til § 37, stk. 1, beskrevne rammer for bødestørrelsens fastsættelse. Bestemmelsen forventes anvendt til at supplere den foreslåede bestemmelse i § 37, stk. 1. Bestemmelsen forventes kun anvendt i begrænset omfang, da § 37, stk. 1, sammen med §§ 21-24, udgør en god sanktionstrappe, der umiddelbart vurderes tilstrækkelig til at håndhæve loven og regler udstedt i medfør af loven overfor virksomhederne.
Det foreslås i § 38, stk. 1, at loven skal træde i kraft den 1. marts 2025.
Det foreslås i § 38, stk. 2, at regler udstedt i medfør af § 15 a, stk. 3 og 4, § 15 b, stk. 5 og 6, og § 30 a, stk. 5 og 6, i lov om gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16. august 2023, forbliver i kraft indtil de ophæves eller afløses af regler udstedt i medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, § 10, § 12, § 13, § 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og 5, § 22, stk. 3, § 26, stk. 2, i lov om styrket beredskab i energisektoren.
Den foreslåede bestemmelse vil medføre, at de regler, der er udstedt i medfør af § 15 a, stk. 3 og 4, § 15 b, stk. 5 og 6, § 30 a, stk. 5 og 6 i gasforsyningsloven, i bekendtgørelse nr. 821 af 14. august 2019 om beredskab for gassektoren og bekendtgørelse nr. 2647 af 28. december 2021 om it-beredskab for el- og naturgassektoren, forbliver i kraft indtil de ophæves eller afløses af en ny samlet bekendtgørelse om modstandsdygtighed og beredskab i energisektoren udstedt i medfør af reglerne i denne lov. Ligeledes vil reglerne i §§ 9-12 i bekendtgørelse nr. 805 af 14. juni 2023 om betaling for myndighedsbehandling i Energistyrelsen også forblive i kraft indtil de ophæves eller afløses af regler i en ny selvstændig bekendtgørelse om betaling for myndighedsbehandling efter § 17, stk. 3 og § 18, stk. 2 i denne lov.
Det foreslås i § 38, stk. 3, at regler udstedet i medfør af § 30 a, stk. 7, i gasforsyningsloven forbliver i kraft indtil de ophæves eller afløses af regler udstedt i medfør af § 30 a, stk. 5, i gasforsyningsloven, jf. denne lovs § 41, nr. 3.
Den foreslåede bestemmelse vil medføre, at de regler der udstedt i medfør af § § 30 a, stk. 7, i gasforsyningsloven, forbliver i kraft til de ophæves eller afløses af regler udstedt i medfør af § 30 a, stk. 5, i gasforsyningsloven, jf. denne lovs § 41, nr. 3.
Det foreslås i § 38, stk. 4, at regler udstedt i medfør af § 51 d, stk. 2, § 85 b, stk. 3 og 4 og § 85 c, stk. 5 og 6, i lov om elforsyning, jf. lovbekendtgørelse nr. 1248 af 24. oktober 2023, forbliver i kraft, indtil de ophæves eller afløses af regler udstedt i medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, § 10, § 12, § 13, § 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og 5, § 22, stk. 3, § 26, stk. 2, i lov om styrket beredskab i energisektoren.
Den foreslåede bestemmelse vil medføre, at de regler ,der er udstedt i medfør af § 51 d, stk. 2, § 85 b, stk. 3 og 4, § 85 c, stk. 5 og 6, i elforsyningsloven, i i bekendtgørelse nr. 2646 af 28. december 2021 om beredskab for elsektoren og bekendtgørelse nr. 2647 af 28. december 2021 om it-beredskab for el- og naturgassektoren, forbliver i kraft indtil de ophæves eller afløses af en ny samlet bekendtgørelse om modstandsdygtighed og beredskab i energisektoren udstedt i medfør af reglerne i denne lov. Ligeledes vil reglerne i §§ 9-12 i bekendtgørelse nr. 805 af 14. juni 2023 om betaling for myndighedsbehandling i Energistyrelsen også forblive i kraft indtil de ophæves eller afløses af regler i en ny selvstændig bekendtgørelse om betaling for myndighedsbehandling efter § 17, stk. 3 og § 18, stk. 2 i denne lov.
Det foreslås i § 38, stk. 5, at regler udstedt i medfør af § 16, i lov nr. 354 af 24. april 2012 om olieberedskab, forbliver i kraft, indtil de ophæves eller afløses af regler udstedt i medfør af § 4, stk. 2, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, § 10, § 12, § 13, § 17, stk. 3, § 18, stk. 2, § 19, stk. 4 og 5, § 22, stk. 3, § 26, stk. 2, i lov om styrket beredskab i energisektoren.
Den foreslåede bestemmelse hjemler, at de regler der er udstedt i medfør af § 16, i olieberedskabsloven i bekendtgørelse nr. 424 af 25. april 2018 om beredskab for oliesektoren, forbliver i kraft indtil de ophæves eller afløses af en ny samlet bekendtgørelse om modstandsdygtighed og beredskab i energisektoren udstedt i medfør af reglerne i denne lov.
Det følger af § 16 i olieberedskabsloven, at lagringspligtige virksomheder skal foretage den nødvendige planlægning og træffe de nødvendige foranstaltninger for at sikre forsyningen af råolie og olieprodukter i beredskabssituationer og andre ekstraordinære situationer. Det følger endvidere af § 16, stk. 2, at den centrale lagerenhed skal varetage de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende det beredskab, der er anført i stk. 1. Klima-, energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i stk. 1 nævnte opgaver samt om varetagelse af de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende beredskabet, jf. § 16, stk. 3, i olieberedskabsloven. For en nærmere beskrivelse af gældende ret efter bestemmelserne henvises til pkt. 3.2.1. i de almindelige bemærkninger til lovforslaget.
Det foreslås, at § 16 ophæves.
Olieberedskabslovens § 16 om, at lagringspligtige virksomheder skal foretage den nødvendige planlægning og træffe de nødvendige foranstaltninger for at sikre forsyningen af råolie og olieprodukter i beredskabssituationer og andre ekstraordinære situationer, vil blive videreført i lovforslagets § 6, stk. 1, § 7, stk. 1 og § 8, stk. 1, mens § 16, stk. 3, vil blive videreført i § 6, stk. 2, § 7, stk. 2 og § 8, stk. 2.
Bestemmelsen foreslås ophævet af hensyn til, at det er vurderet mere hensigtsmæssigt at samle bestemmelserne om beredskab i energisektoren i nærværende lovforslag, i stedet for at der findes regler herom i de forskellige forsyningslove.
Til nr. 1
Det følger af § 51 d, i elforsyningsloven, at virksomheder med elproduktionsbevilling efter § 10, stk. 1, eller med tilladelse til elproduktion fra anlæg med en kapacitet på over 25 MW efter § 29 i VE-loven eller § 11 i elforsyningsloven, netvirksomheder og virksomheder, der yder balancering af elsystemet, halvårligt betaler et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostninger til tilsyn med virksomhederne efter regler udstedt i medfør af § 85 b, stk. 4, og § 85 c, stk. 6. For en nærmere beskrivelse af gældende ret efter bestemmelserne henvises til pkt. 3.5.1. i de almindelige bemærkninger til lovforslaget.
Det foreslås, at § 51 d ophæves.
Elforsyningslovens § 51 d, stk. 1 om, at virksomheder med elproduktionsbevilling efter § 10, stk. 1, eller med tilladelse til elproduktion fra anlæg med en kapacitet på over 25 MW efter § 29 i VE-loven eller § 11 i elforsyningsloven, netvirksomheder og virksomheder, der yder balancering af elsystemet, halvårligt betaler et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostninger til tilsyn med virksomhederne, vil blive videreført i lovforslagets § 17, stk. 1. For så vidt angår henvisningen i elforsyningslovens § 51 d, til regler om tilsyn med virksomhederne udstedt i medfør af elforsyningslovens § 85 b, stk. 4, og § 85 c, stk. 6, videreføres ordningen med lovforslagets § 19 og regler udstedt i medfør af bestemmelsens stk. 4. Elforsyningslovens § 51 d, stk. 2 om, at klima-, energi- og forsyningsministeren fastsætter regler om størrelsen af beløb efter stk. 1, herunder om fordelingen af omkostningerne på kategorier af virksomheder. Klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om betaling og opkrævning af beløb efter stk. 1, vil blive videreført i lovforslagets § 17, stk. 3. Elforsyningslovens §§ 85 b og 85 c ophæves jf. lovforslagets § 40, nr. 2.
Til nr. 2
Kapitel 12 i elforsyningsloven har overskriften ”Beredskab, fortrolighed, kontrol, oplysningspligt og påbud”.
Det foreslås, at overskriften ændres til ”Fortrolighed, kontrol, oplysningspligt og påbud”, som konsekvens af at elforsyningslovens bestemmelser om beredskab foreslås ophævet og overført til nærværende lovforslag.
Der henvises til lovforslagets § 40, nr. 1, og bemærkningerne hertil.
Til nr. 3
Det følger af elforsyningslovens § 85 b, stk. 1, at virksomheder, som er bevillingspligtige efter §§ 10 og 19 eller har tilladelse til elproduktion fra anlæg med en kapacitet på over 25 MW efter § 29 i VE-loven eller § 11 i elforsyningsloven, samt elforsyningsvirksomhed, der varetages af Energinet eller denne virksomheds helejede datterselskaber i medfør af § 2, stk. 2 og 3, i lov om Energinet, skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre elforsyningen i beredskabssituationer og andre ekstraordinære situationer.
Energinet skal varetage de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende det i stk. 1 nævnte beredskab, jf. elforsyningsloven § 85 b, stk. 2.
Klima-, energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i § 85 b, stk. 1 og 2 nævnte opgaver, jf. elforsyningslovens § 85 b, stk. 3, ligesom klima-, energi- og forsyningsministeren i medfør af § 85 b, stk. 4, kan fastsætte regler om udførelse af tilsyn med det beredskabsarbejde, der udføres efter stk. 1 og 2, herunder om virksomhedernes fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virksomhederne og om klageadgang.
Det følger af elforsyningsloven § 85 c, stk. 1, at samme virksomheder som nævnt ovenfor skal opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer, der er af betydning for elforsyningen.
Klima-, energi- og forsyningsministeren kan efter elforsyningslovens § 85 c, stk. 2 ved manglende opfyldelse af et påbud efter elforsyningslovens § 85 d om at overholde stk. 1 påbyde virksomheder at foretage en it-revision af kritiske systemer ved en uafhængig revisor godkendt af tilsynsmyndigheden. Klima-, energi- og forsyningsministeren kan derefter, jf. elforsyningsloven § 85 c, stk. 3, påbyde virksomheder at gennemføre tiltag, som på baggrund af en it-revision, jf. stk. 2, skønnes nødvendige for at opretholde et it-beredskab, jf. stk. 1.
Klima-, energi- og forsyningsministeren fastsætter efter elforsyningslovens § 85 c, stk. 5 nærmere regler for it-beredskab, jf. § 85 c, stk. 1, herunder regler om: 1) organisering af virksomhedens it-beredskab og evne til at modtage advarsler om trusler mod it-sikkerheden, 2) planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke trusler mod it-sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til Energinet og relevante myndigheder, 3) virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i risikovurderinger, 4) tilmelding til en it-sikkerhedstjeneste, der yder varsler og informationer om it-sikkerhedstrusler, 5) Energinets varetagelse af overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende it-beredskab, jf. stk. 1, og 6) krav til indholdet og planlægningen af en it-revision ved en uafhængig revisor, jf. stk. 2.
Klima-, energi- og forsyningsministeren fastsætter desuden nærmere regler for udførelsen af tilsyn med virksomheders it-beredskab, jf. elforsyningslovens § 85 c, stk. 6.
For en nærmere beskrivelse af gældende ret efter bestemmelserne henvises til pkt. 3.2.1. i de almindelige bemærkninger til lovforslaget.
Det foreslås, at § 85 b og § 85 c ophæves.
Elforsyningslovens § 85 b, stk. 1 om, at virksomheder, som er bevillingspligtige efter §§ 10 og 19 eller har tilladelse til elproduktion fra anlæg med en kapacitet på over 25 MW efter § 29 i lov om fremme af vedvarende energi eller § 11, samt elforsyningsvirksomhed, der varetages af Energinet eller denne virksomheds helejede datterselskaber i medfør af § 2, stk. 2 og 3, i lov om Energinet, skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre elforsyningen i beredskabssituationer og andre ekstraordinære situationer, vil blive videreført i lovforslagets § 6, stk. 1 og § 7, stk. 1.
Elforsyningslovens § 85 b, stk. 2 og 3 om, at Energinet skal varetage de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende det i stk. 1 nævnte beredskab, og om at klima-, energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i stk. 1 og 2 nævnte opgaver, vil blive videreført i lovforslagets § 6, stk. 2, § 7, stk. 2 og § 8, stk. 2, § 10, § 11 og § 36.
Elforsyningslovens § 85 b, stk. 4 om, at klima-, energi- og forsyningsministeren kan fastsætte regler om udførelse af tilsyn med det beredskabsarbejde, der udføres efter stk. 1 og 2, herunder om virksomhedernes fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virksomhederne og om klageadgang, vil blive videreført i lovforslagets § 19, § 30, § 32 og § 35, stk. 1.
Elforsyningslovens § 85 c, stk. 1 om, at virksomheder, som er bevillingspligtige efter §§ 10 og 19 eller har tilladelse til elproduktion fra anlæg med en kapacitet på over 25 MW efter § 29 i lov om fremme af vedvarende energi eller § 11, Energinet og dennes helejede datterselskaber samt virksomheder, der yder balancering af elsystemet, skal opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer, der er af betydning for elforsyningen, vil blive videreført i lovforslagets § 6, stk. 1, § 7, stk. 1 og § 8, stk. 1.
Elforsyningslovens § 85 c, stk. 2, stk. 3 og stk. 5, nr. 5 om, at klima-, energi- og forsyningsministeren ved manglende opfyldelse af et påbud efter § 85 d om at overholde stk. 1 kan påbyde virksomheder at foretage en it-revision af kritiske it-systemer ved en uafhængig revisor godkendt af tilsynsmyndigheden og om, at klima-, energi- og forsyningsministeren kan påbyde virksomheder at gennemføre tiltag, som på baggrund af en it-revision, jf. stk. 2, skønnes nødvendige for at opretholde et it-beredskab, jf. stk. 1, samt at klima-, energi- og forsyningsministeren fastsætter nærmere regler om krav til indholdet og planlægningen af en it-revision ved en uafhængig revisor, jf. stk. 2, vil blive videreført i lovforslagets § 22.
Elforsyningslovens § 85 c, stk. 4 om, at informationer, herunder vurderinger, planer og data, vedrørende sikkerhedsforhold for forsyningskritiske it-systemer i virksomheder, som er omfattet af stk. 1, er fortrolige, hvis oplysningerne er væsentlige af hensyn til driften af virksomheden eller det sammenhængende elsystem, vil blive videreført i lovforslagets § 26.
Elforsyningslovens § 85 c, stk. 5, nr. 1-5 om, at klima-, energi- og forsyningsministeren fastsætter nærmere regler for it-beredskab, jf. stk. 1, herunder regler om 1) organisering af virksomhedens it-beredskab og evne til at modtage advarsler om trusler mod it-sikkerheden, 2) planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke trusler mod it-sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til Energinet og til klima-, energi- og forsyningsministeren, 3) virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i risikovurderinger, 4) tilmelding til en tjeneste, der yder varsler og informationer om it-sikkerhedstrusler, 5) Energinets varetagelse af overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende it-beredskabet, jf. stk. 1, vil blive videreført i lovforslagets § 8, stk. 2.
Elforsyningslovens § 85 c, stk. 6 om, at klima-, energi- og forsyningsministeren fastsætter regler for udførelse af tilsyn med det beredskabsarbejde, der udføres efter stk. 1, videreføres i lovforslagets § 19, § 30, og § 35, stk. 1. Bestemmelsen foreslås ophævet, fordi det vurderes mere hensigtsmæssigt at samle bestemmelserne om beredskab i energisektoren i nærværende lovforslag, end at der findes regler herom i de forskellige forsyningslove.
Ændringen vil således medføre, at hjemmelsgrundlaget for beredskab i energisektoren fremadrettet vil være samlet i én lov, hvilket vil give et samlet overblik over beredskabsreguleringen for de omfattede virksomheder, hvoraf en del er multiforsyningsvirksomheder eller har aktiviteter i flere delsektorer. Ændringen vil dermed gøre det lettere for virksomhederne at navigere i den regulering, som de er underlagt med hensyn til beredskab.
Til nr. 1
Overskriften før § 15 a i gasforsyningsloven har overskriften ”Beredskab”.
Overskriften foreslås ophævet, som konsekvens af at gasforsyningslovens bestemmelser om beredskab foreslås ophævet og overført til nærværende lovforslag.
Til nr. 2
Det følger af gasforsyningslovens § 15 a, stk. 1, at selskaber, der er bevillingspligtige efter § 10, samt Energinet og denne virksomheds helejede datterselskaber, der varetager gasvirksomhed i medfør af § 2, stk. 2 og 3, i lov om Energinet, skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre gasforsyningen i beredskabssituationer og andre ekstraordinære situationer.
Energinet skal varetage de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende det i stk. 1 nævnte beredskab, jf. gasforsyningsloven § 15 a, stk. 2.
Klima-, energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i § 15 a stk. 1 og 2 nævnte opgaver, herunder om udveksling af nødvendige data i de i stk. 1 nævnte situationer og for at undgå sådanne situationer, jf. gasforsyningslovens § 15 a , stk. 3, ligesom klima-, energi- og forsyningsministeren i medfør af § 15 a, stk. 4, kan fastsætte regler om udførelse af tilsyn med det beredskabsarbejde, der udføres efter stk. 1 og 2, herunder om selskabernes fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virksomhederne og om klageadgang.
Det følger af gasforsyningsloven § 15 b, stk. 1, at samme selskaber som nævnt ovenfor skal opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer, der er af betydning for elforsyningen.
Klima-, energi- og forsyningsministeren kan efter gasforsyningslovens § 15 b, stk. 2 ved manglende opfyldelse af et påbud efter gasforsyningslovens § 47 b om at overholde stk. 1, påbyde virksomheder at foretage en it-revision af kritiske systemer ved en uafhængig revisor godkendt af tilsynsmyndigheden. Klima-, energi- og forsyningsministeren kan derefter, jf. gasforsyningsloven § 15 b, stk. 3, påbyde virksomheder at gennemføre tiltag, som på baggrund af en it-revision, jf. stk. 2, skønnes nødvendige for at opretholde et it-beredskab, jf. stk. 1.
Klima-, energi- og forsyningsministeren fastsætter efter gasforsyningslovens § 15 b, stk. 5 nærmere regler for it-beredskab, jf. § 15 b, stk. 1, herunder regler om: 1) organisering af virksomhedens it-beredskab og evne til at modtage advarsler om trusler mod it-sikkerheden, 2) planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke trusler mod it-sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til Energinet og relevante myndigheder, 3) virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i risikovurderinger, 4) tilmelding til en it-sikkerhedstjeneste, der yder varsler og informationer om it-sikkerhedstrusler, 5) Energinets varetagelse af overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende it-beredskab, jf. stk. 1, og 6) krav til indholdet og planlægningen af en it-revision ved en uafhængig revisor, jf. stk. 2.
Klima-, energi- og forsyningsministeren fastsætter desuden nærmere regler for udførelsen af tilsyn med virksomheders it-beredskab, jf. gasforsyningslovens § 15 b, stk. 6. For en nærmere beskrivelse af gældende ret efter bestemmelserne henvises til pkt. 3.2.1. i de almindelige bemærkninger til lovforslaget.
Det foreslås, at § 15 a og § 15 b ophæves.
Gasforsyningslovens § 15 a, stk. 1 om at selskaber, der er bevillingspligtige efter § 10, samt Energinet og denne virksomheds helejede datterselskaber, der varetager gasvirksomhed i medfør af § 2, stk. 2 og 3, i lov om Energinet skal foretage nødvendig planlægning og træffe de nødvendige foranstaltninger for at sikre gasforsyningen i beredskabssituationer og andre ekstraordinære situationer, og at klima-, energi- og forsyningsministeren kan bestemme, at opstrømsanlæg og bygasnet tilsvarende skal foretage sådan planlægning og træffe sådanne foranstaltninger, vil blive videreført i lovforslagets § 6, stk. 1 og § 7, stk. 1.
Gasforsyningslovens § 15 a, stk. 2 og 3 om, at Energinet skal varetage de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende det i stk. 1 nævnte beredskab, og om at klima-, energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i stk. 1 og 2 nævnte opgaver, herunder om udveksling af nødvendige data i de i stk. 1 nævnte situationer og for at undgå sådanne situationer, vil blive videreført i lovforslagets § 6, stk. 2, § 7, stk. 2 og § 8, stk. 2, § 10, § 11 og § 36.
Gasforsyningslovens § 15 a, stk. 4 om, at klima-, energi- og forsyningsministeren kan fastsætte regler om udførelse af tilsyn med det beredskabsarbejde, der udføres efter stk. 1 og 2, herunder om selskabernes fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til selskaberne og om klageadgang, vil blive videreført i lovforslagets § 19, § 30, § 32 og § 35, stk. 1. Gasforsyningslovens § 15 b, stk. 1 om, at selskaber, der er bevillingspligtige efter § 10, samt Energinet og dennes helejede datterselskaber, der varetager gasforsyningsvirksomhed i henhold til § 2, stk. 2 og 3, i lov om Energinet, skal opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer, der er af væsentlig betydning for gasforsyningen, vil blive videreført i lovforslagets § 6, stk. 1, § 7, stk. 1 og § 8, stk. 1.
Gasforsyningslovens § 15 b, stk. 2, stk. 3 og stk. 5, nr. 5 om, at klima-, energi- og forsyningsministeren ved manglende opfyldelse af et påbud efter § 47 b om at overholde stk. 1, kan påbyde virksomheder at foretage en it-revision af kritiske it-systemer ved en uafhængig revisor godkendt af tilsynsmyndigheden og om, at klima-, energi- og forsyningsministeren kan påbyde virksomheder at gennemføre tiltag, som på baggrund af en it-revision, jf. stk. 2, skønnes nødvendige for at opretholde et it-beredskab, jf. stk. 1, samt at klima-, energi- og forsyningsministeren fastsætter nærmere regler om krav til indholdet og planlægningen af en it-revision ved en uafhængig revisor, jf. stk. 2, vil blive videreført i lovforslagets § 22.
Gasforsyningslovens § 15 b, stk. 4 om, at informationer, herunder vurderinger, planer og data, vedrørende sikkerhedsforhold for forsyningskritiske it-systemer i virksomheder, som er omfattet af stk. 1, er fortrolige, hvis oplysningerne er væsentlige af hensyn til driften af virksomheden eller gassystemet, vil blive videreført i lovforslagets § 26.
Gasforsyningslovens § 15 b, stk. 5, nr. 1-5 om, at klima-, energi- og forsyningsministeren fastsætter nærmere regler for it-beredskab, jf. stk. 1, herunder regler om 1) organisering af virksomhedens it-beredskab og evne til at modtage advarsler om trusler mod it-sikkerheden, 2) planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke trusler mod it-sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til Energinet og til klima-, energi- og forsyningsministeren, 3) virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i risikovurderinger, 4) tilmelding til en tjeneste, der yder varsler og informationer om it-sikkerhedstrusler, 5) Energinets varetagelse af overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende it-beredskabet, jf. stk. 1, vil blive videreført i lovforslagets § 8, stk. 2.
Gasforsyningslovens § 15 b, stk. 6 om, at klima-, energi- og forsyningsministeren fastsætter regler for udførelse af tilsyn med det beredskabsarbejde, der udføres efter stk. 1, videreføres i lovforslagets § § 19, § 30, og § 35, stk. 1.
Bestemmelserne foreslås ophævet, da det vurderes mere hensigtsmæssigt at samle bestemmelserne om beredskab i energisektoren i nærværende lovforslag, end at der findes regler herom i de forskellige forsyningslove.
Ændringen vil således medføre, at hjemmelsgrundlaget for beredskab i energisektoren fremadrettet vil være samlet i én lov, hvilket vil give et samlet overblik over beredskabsreguleringen for de omfattede virksomheder, hvoraf en del er multiforsyningsvirksomheder eller har aktiviteter i flere delsektorer. Ændringen vil dermed gøre det lettere for virksomhederne at navigere i den regulering, som de er underlagt med hensyn til beredskab.
Til nr. 3
Det følger af § 30, a, stk. 5, i gasforsyningsloven, at Energinet og denne virksomheds helejede datterselskaber i medfør af § 2, stk. 2 og 3, i lov om Energinet, der driver lagervirksomhed, og selskaber, der driver distributionsvirksomhed efter bevilling, betaler halvårligt et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostninger til tilsyn med selskaberne efter regler udstedt i medfør af § 15 a, stk. 4, og § 15 b, stk. 6.
I medfør af § 30 a, stk. 6, i gasforsyningsloven, kan klima-, energi- og forsyningsministeren fastsætter størrelsen af beløbet efter stk. 5, herunder fordelingen af omkostningerne på kategorier af selskaber. For en nærmere beskrivelse af gældende ret efter bestemmelserne henvises til pkt. 3.5.1. i de almindelige bemærkninger til lovforslaget.
Det foreslås, at § 30 a, stk. 5 og 6 ophæves.
Stk. 6 og 7 bliver herefter stk. 5 og 6. Den foreslåede ændring vil medføre, at virksomheder omfattet af gasforsyningslovens af § 30, a ikke vil blive opkrævet et halvårligt gebyr efter gasforsyningsloven til dækning af Klima-, Energi- og Forsyningsministeriets omkostninger til tilsyn med virksomhedernes organisatoriske beredskab, fysiske sikring og cybersikkerhed, samt til dækning af de omkostninger, der er til administration af ordningen.
Gasforsyningslovens § 30 a, stk. 5 om, at Energinet og denne virksomheds helejede datterselskaber i medfør af § 2, stk. 2 og 3, i lov om Energinet, der driver lagervirksomhed, og selskaber, der driver distributionsvirksomhed efter bevilling, betaler halvårligt et beløb til Klima-, Energi- og Forsyningsministeriet til dækning af omkostninger til tilsyn med selskaberne, vil blive videreført i lovforslags § 17, stk. 1. For så vidt angår henvisningen i gasforsyningslovens § 30 a, stk. 5, til regler om tilsyn med virksomhederne udstedt i medfør af gasforsyningslovens § 15 a, stk. 4, og § 15 b, stk. 6, videreføres ordningen med lovforslagets § 19 og regler udstedt i medfør af bestemmelsens, stk. 4. Gasforsyningslovens § 30 a, stk. 6 om klima-, energi- og forsyningsministeren fastsætter størrelsen af beløbet efter stk. 5, herunder fordelingen af omkostningerne på kategorier af selskaber, vil blive videreført i lovforslagets § 17, stk. 3.
Gasforsyningslovens §§ 15 a og 15 b ophæves jf. lovforslagets § 41, nr. 2.
Klima-, Energi- og Forsyningsministeriets vil dermed fremadrettet opkræve et halvårligt gebyr hos virksomhederne til dækningen af tilsvarende opgaver efter nærværende lovforslags § 18, stk. 1, hvorved der sker en videreførelse af den eksisterende gebyrordning for tilsynet med gasvirksomhedernes organisatoriske beredskab, fysiske sikring og cybersikkerhed og dækning af de omkostninger, der er til administration af ordningen.
Ophævelsen af § 30 a, stk. 5 og 6 vil derfor ikke medføre nogen ændringer i praksis på området, da den erstattes af nærværende lovforslags § 18, stk. 1
Til nr. 1
Anvendelsesområdet for prisreguleringen i varmeforsyningsloven fremgår af § 20, stk. 1. Bestemmelsen finder anvendelse på virksomheder, der leverer opvarmet vand, damp eller gas bortset fra naturgas til det indenlandske marked med det formål at levere energi til bygningers opvarmning og forsyning med varmt vand. Det drejer sig blandt andet om kollektive varmeforsyningsanlæg, jf. § 2, i varmeforsyningsloven.
Bestemmelsen i § 20, stk. 1, indeholder princippet om nødvendige omkostninger. Princippet indebærer, at de varmeforsyningsvirksomheder, der er omfattet af bestemmelsen, kan opkræve de nødvendige omkostninger, der er forbundet med levering af det opvarmede vand m.m. til rumvarmeformål. De omkostninger, der må indregnes i priserne, skal ud over at være nødvendige, også efter deres art være indregningsberettigede.
Det foreslås i § 20, stk. 1, 1. pkt. at indsætte en henvisning til omkostninger til beredskab efter lov om styrket beredskab i energisektoren.
Den foreslåede ændring vil medføre, at varmeforsyningsvirksomheder omfattet af § 20, stk. 1, som udgangspunkt vil kunne indregne omkostninger til beredskab som en nødvendig omkostning i sine varmepriser.
Varmeforsyningsvirksomhedernes omkostninger til beredskab vil fortsat skulle være nødvendige efter § 20, stk. 1. Derudover må prisen ikke være urimelig, jf. § 21, stk. 4, i varmeforsyningsloven. En varmeforsyningsvirksomheds omkostninger til beredskab vil således fortsat være underlagt Forsyningstilsynets tilsyn og indgrebsbeføjelse efter § 21, stk. 4.
Det er ikke hensigten med lovforslaget derudover at ændre den måde, som Forsyningstilsynet i dag fører tilsyn i medfør af § 21, stk. 4, i varmeforsyningsloven. Forsyningstilsynet vil derfor skulle føre sit sædvanlige tilsyn på omkostninger til beredskab.
Der henvises til i øvrigt lovforslagets almindelige bemærkninger i afsnit 3.8.
Til nr. 2
Det følger af § 29 a i varmeforsyningsloven, at virksomheder, som driver anlæg til produktion og fremføring af bygas, skal foretage nødvendig planlægning og træffe de nødvendige foranstaltninger for at sikre bygasforsyningen i beredskabssituationer og andre ekstraordinære situationer. Klima, energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i stk. 1 nævnte opgaver samt om varetagelse af de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende beredskabet, jf. § 29 a, stk. 2, i varmeforsyningsloven. For en nærmere beskrivelse af gældende ret efter bestemmelserne henvises til pkt. 3.2.1. i de almindelige bemærkninger til lovforslaget.
Det foreslås, at § 29 a ophæves.
Varmeforsyningslovens § 29 a om, at virksomheder, som driver anlæg til produktion og fremføring af bygas, skal foretage nødvendig planlægning og træffe de nødvendige foranstaltninger for at sikre bygasforsyningen i beredskabssituationer og andre ekstraordinære situationer og om, at klima, energi- og forsyningsministeren kan fastsætte regler om varetagelse af de i stk. 1 nævnte opgaver samt om varetagelse af de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende beredskabet, vil blive videreført i lovforslags § §§ 6-8 og § 10.
Bestemmelserne foreslås ophævet, da det vurderes mere hensigtsmæssigt at samle bestemmelserne om beredskab i energisektoren i nærværende lovforslag, end at der findes regler herom i de forskellige forsyningslove.
Det følger af § 17 a, stk. 1 i undergrundsloven, at rettighedshavere med tilladelse til efterforskning og indvinding af kulbrinter eller tilladelse til etablering og drift af rørledningsanlæg i forbindelse med indvinding af kulbrinter skal planlægge med hensyn til opretholdelse og videreførelse af forsyningen af kulbrinter til samfundet i tilfælde af krisesituationer, herunder udarbejde beredskabsplaner og gennemføre nødvendige foranstaltninger til sikring af egne anlæg, rørledninger, kritiske systemer og data m.v. Dette gælder også ejere af tilstødende olie- og naturgasrørledningsanlæg, separationsfaciliteter og terminalanlæg for råolie, jf. § 1 i lov om etablering og benyttelse af en rørledning til transport af råolie og kondensat og §§ 3 a og 4 i lov om kontinentalsoklen og visse rørledningsanlæg på søterritoriet. Rettighedshavere og ejere skal koordinere dette beredskab med beredskab efter anden lovgivning.
I medfør af § 17 a, stk. 2 i undergrundsloven, hvis rettighedshaveren eller ejeren består af en eller flere fysiske eller juridiske personer i forening, gælder stk. 1 for hver enkelt af disse.
Det følger af § 17 a, stk. 3 i undergrundsloven, at klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om varetagelse af de opgaver, som er anført i stk. 1, herunder om fremsendelse af oplysninger af relevans for dette arbejde til ministeren, og nærmere regler om gennemførelse af EU-regler.
Med bemyndigelsen er der tilvejebragt hjemmel til at fastsætte regler om bl.a. følgende forhold af betydning for samfundets energiforsyning:
– Virksomhedernes beredskabsplanlægning. Det er hensigten at fastsætte regler om den beredskabsplanlægning, som skal foretages af virksomhederne. Denne beredskabsplanlægning omfatter især forhold om udarbejdelse af risiko- og sårbarhedsvurderinger, udarbejdelse af beredskabsplaner, afholdelse af øvelser om de væsentligste dele af beredskabsplanerne, evaluering af hændelser af betydning for dette beredskab samt medvirken i myndighedernes beredskab på energiområdet.
– Virksomhedernes fremsendelse af oplysninger til myndighederne. Det er hensigten at fastsætte regler herom, idet sådanne oplysninger, primært om kritiske situationer samt deres udvikling og håndtering, er centrale for myndighedernes beredskab efter den nationale beredskabsplan. Tilsvarende er det centralt, at virksomhederne på en effektiv måde kan modtage oplysninger herom fra myndighederne.
– Identifikation af kritisk infrastruktur. Det er hensigten at fastsætte regler herom, idet en central del af beredskabsarbejdet er identifikation af anlæg, rørledninger, kritiske systemer og data m.v., som har kritisk betydning for samfundets energiforsyning.
– Sikring af kritisk infrastruktur. Det er hensigten at fastsætte regler om sikring af kritisk infrastruktur over for naturgivne og menneskabte hændelser som led i beredskabsarbejdet.
– Virksomhedernes arbejde om cyber- og informationssikkerhed. Det er hensigten at fastsætte regler om virksomhedernes arbejde med beskyttelse af deres centrale aktiviteter over for cybertrusler samt deres beskyttelse af kritiske informationer, både på digital form og på anden form.
Hjemlen anvendes også til gennemførelse af EU-regler om beredskab af betydning for de nævnte forsyningsmæssige forhold.
Reglerne i medfør af stk. 3 udarbejdes i samarbejde med oliebranchen.
For en nærmere beskrivelse af gældende ret efter bestemmelserne henvises til pkt. 3.2.1. i de almindelige bemærkninger til lovforslaget.
Med lovforslaget foreslås § 17 a ophævet.
Undergrundslovens § 17 a, stk. 1, om at rettighedshavere med tilladelse til efterforskning og indvinding af kulbrinter eller tilladelse til etablering og drift af rørledningsanlæg i forbindelse med indvinding af kulbrinter skal planlægge med hensyn til opretholdelse og videreførelse af forsyningen af kulbrinter til samfundet i tilfælde af krisesituationer, herunder udarbejde beredskabsplaner og gennemføre nødvendige foranstaltninger til sikring af egne anlæg, rørledninger, kritiske systemer og data m.v. og om, at dette gælder også ejere af tilstødende olie- og naturgasrørledningsanlæg, separationsfaciliteter og terminalanlæg for råolie, jf. § 1 i lov om etablering og benyttelse af en rørledning til transport af råolie og kondensat og §§ 3 a og 4 i lov om kontinentalsoklen og visse rørledningsanlæg på søterritoriet, samt at rettighedshavere og ejere skal koordinere dette beredskab med beredskab efter anden lovgivning, vil blive videreført i lovforslagets § § 6, stk. 1, § 7, stk. 1 og § 8, stk. 1.
Undergrundslovens § 17 a, stk. 3 om, at klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om varetagelse af de opgaver, som er anført i stk. 1, herunder om fremsendelse af oplysninger af relevans for dette arbejde til ministeren, og nærmere regler om gennemførelse af EU-regler, vil blive videreført i lovforslagets § 4, § 5, § 6, stk. 2, § 7, stk. 2, § 8, stk. 2, § 34 og § 35, stk. 1.
Bestemmelsen foreslås ophævet af hensyn til, at det er vurderet mere hensigtsmæssigt at samle bestemmelserne om beredskab i energisektoren i nærværende lovforslag, end at der findes regler herom i de forskellige forsyningslove.
Ændringen vil således medføre, at hjemmelsgrundlaget for beredskab i energisektoren fremadrettet vil være samlet i én lov, hvilket vil give et samlet overblik over beredskabsreguleringen for de omfattede virksomheder, hvoraf en del er multiforsyningsvirksomheder eller har aktiviteter i flere delsektorer. Ændringen vil dermed gøre det lettere for virksomhederne at navigere i den regulering, som de er underlagt med hensyn til beredskab.
Det følger af § 2, stk. 2, at Energinet varetager en sammenhængende og helhedsorienteret planlægning efter reglerne i denne lov, elforsyningsloven, VE-loven og gasforsyningsloven og driver systemansvarlig virksomhed, eltransmissionsvirksomhed og gastransmissionsvirksomhed.
Energinets opgavevaretagelse på beredskabsområdet er nærmere fastlagt i elberedskabsbekendtgørelsen, naturgasberedskabsbekendtgørelsen og it-beredskabsbekendtgørelsen, hvorefter Energinet blandt andet varetager de overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende beredskabssituationerne i el- og gassektoren.
Det foreslås i § 20, stk. 1, 1. pkt. at indsætte en henvisning til lov om styrket beredskab i energisektoren.
Bestemmelsen foreslås ændret som konsekvens af, at bestemmelserne om beredskab i energisektoren samles i nærværende lovforslag, således at der ikke fremover findes regler herom i de forskellige forsyningslove.
Det forventes, at de gældende regler angående Energinets opgavevaretagelse i medfør af beredskabsbekendtgørelserne for elsektoren og naturgassektoren videreføres for el- og gassektoren, dog med tilføjelse af brintsektoren såfremt der måtte etableres et brinttransmissionssystem i Danmark, samt tilføjelse af de nye aktører, der vil omfattes af beredskabsreguleringen i delsektorerne for el-, gas. Disse aktører er hovedsageligt dikteret af NIS 2 og CER-direktivernes bilag om disses anvendelsesområde.
Det foreslås i § 45, at loven ikke skal gælde for Færøerne og Grønland.
De hovedlove, der ændres i kapitel 15, gælder ikke for Færøerne og Grønland, og kan ikke ved kongelig anordning sættes i kraft for Færøerne og Grønland.