Lov om styrket beredskab i energisektoren § 12

For el- og gassektorerne er der fastsat regler om at indberette beredskabshændelser, som vedrører det klassiske beredskab i elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen. Ifølge bekendtgørelsernes § 22, stk. 1, skal virksomheder udarbejde en evaluering af større eller usædvanlige hændelser, som i væsentligt omfang har aktiveret virksomhedens beredskab. Der stilles krav til indhold af evalueringen, samt at der senest 3 måneder efter hændelsen skal fremsendes til Energistyrelsen. Energistyrelsen kan pålægge virksomheder at udarbejde sådanne evalueringer. Virksomheder skal efter § 23 i bekendtgørelserne omgående underrette Energinet om nærmere angivne hændelser af relevans for beredskabssituationer i overensstemmelse med sektorberedskabsplanen.

Regler om indberetning af beredskabshændelser om it-beredskab for virksomheder i el- og gassektorerne fremgår af it-beredskabsbekendtgørelsen. Det fremgår af bekendtgørelsens § 21, stk. 1, at it-sikkerhedshændelser, der i væsentligt grad reducerer virksomhedens funktionalitet eller funktionaliteten af andre dele af el- og gassektoren, omgående skal meddeles Energinet. Virksomheder skal desuden ifølge bekendtgørelsens § 22, stk. 1, udarbejde evalueringer af hændelser, der i væsentligt omfang aktiverer virksomhedens it-beredskab. Der opstilles nærmere scenarier, hvor det kræves, at der udarbejdes en evaluering. Der er fastsat indholdsmæssige krav til evalueringen i § 22, stk. 2, mens der i § 22, stk. 3, stilles krav om, at evalueringen senest 3 måneder efter hændelsen fremsendes til Energistyrelsen.

De nærmere regler om at indberette beredskabshændelser for oliesektoren fremgår af olieberedskabsbekendtgørelsens §§ 14 og 15. Bestemmelserne regulerer både klassiske beredskabshændelser og it-beredskabshændelser. Ifølge § 14, stk. 1, skal virksomheder og den centrale lagerenhed uden ugrundet ophold meddele Energistyrelsen om hændelser, der i væsentlig grad reducerer deres funktionalitet eller funktionaliteten af andre dele af oliesektoren. Efter § 15, stk. 1, skal virksomheder og den centrale lagerenhed udarbejde en evaluering af hændelser, som meddeles i medfør af § 14, stk. 1. Hændelsesevalueringen skal fremsendes senest 3 måneder efter hændelsen til energistyrelsen, jf. § 15, stk. 3.

Der stilles ikke krav om indberetning af beredskabshændelser i andre delsektorer i energisektoren.

Det følger af den foreslåede § 12, at klima-, energi- og forsyningsministeren kan fastsætte regler for underretning og indrapportering af hændelser, væsentlige cybertrusler og nærvedhændelser.

Formålet med bestemmelsen er at skabe hjemmel til at ministeren vil kunne fastsætte de nødvendige regler om underretning og indrapportering af hændelser, der eksempelvis vil forpligte virksomheder til at foretage underretning om enhver væsentlig hændelse uden unødigt ophold, samt ved at stille krav til indholdet af en sådan underretning, herunder at den for eksempel vil skulle indeholde oplysninger, der gør det muligt at fastslå eventuelle grænseoverskridende virkninger af hændelsen.

Det forventes på den baggrund, at der eksempelvis vil blive fastsat nærmere regler om, at underretning af hændelser og nærvedhændelser med cyberelementer, vil skulle sendes til Energistyrelsen, der forventes udpeget som den kompetente myndighed for energisektoren i Danmark i overensstemmelse med NIS 2-direktivets artikel 8, stk. 3 samt Center for Cybersikkerhed.

Center for Cybersikkerhed (CFCS) blev ved implementeringen af NIS 1-direktivet udpeget som CSIRT i Danmark, og opgaven har hidtil været varetaget som en del af Netsikkerhedstjenesten i CFCS.

Med den kongelige resolution af 29. august 2024 er Center for Cybersikkerhed, bortset fra Netsikkerhedstjenesten, blevet overdraget til Ministeriet for Samfundssikkerhed og Beredskab. Det betyder, at Forsvarsministeriet, herunder FE, indtil videre bibeholder ansvaret for CSIRT-funktionen.

Det forventes, at der vil blive fastsat nærmere regler om, at underretning om sådanne hændelser, vil skulle ske via virk.dk og at underretning vil skulle sendes samtidig til Energistyrelsen og Center for Cybersikkerhed via en fælles digital indgang, såsom Virk.dk. De berørte virksomheder vil herefter alene skulle foretage én samlet underretning, som sendes samtidigt til de relevante myndigheder. Ordningen vil sikre, at både den Energistyrelsen og Center for Cybersikkerhed hurtigt og effektivt vil kunne varetage deres myndighedsopgaver.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau vil implementeres artikel 23, stk. 1 og stk. 6 i NIS 2-direktivet og artikel 15, stk. 1, 1. pkt., i CER-direktivets forpligtelser til at foretage underretning ved hændelser, væsentlige cybertrusler og nærvedhændelser, herunder ved væsentlige hændelser berører to eller flere medlemsstater.

Bemyndigelsen forventes endvidere udmøntet ved nærmere regler om, at de ovenfor beskrevne forpligtelser til at foretage underretning ved hændelser, væsentlige cybertrusler og nærvedhændelser, der forventes fastsat i medfør af bestemmelsen, finder anvendelse på virksomheder, uanset om virksomhederne selv vedligeholder deres net- og informationssystemer eller outsourcer vedligeholdelsen deraf, i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 83, 2. pkt. Såfremt der måtte ske en hændelse i et net- og informationssystem, som eksempelvis er outsourcet, vil det herefter fortsat være virksomhedens ansvar, at der sker underretning i fornødent omfang.

Ministeren forventes på baggrund af bestemmelsen endvidere at fastsætte nærmere regler der præciserer, hvilke hændelser virksomheder skal underrette myndighederne om. Disse regler vil implementere CER-direktivets artikel 15, stk. 1, 3. pkt., og NIS 2-direktivers artikel 23, stk. 3, om hvilke hændelser der skal foretages underretning om, der fastlægger de kriterier, der skal tages i betragtning for at fastslå en hændelses omfang, herunder hvornår en hændelse anses som væsentlig.

Ministeren vil herudover kunne fastsætte regler, hvor tærsklen for at virksomheder skal foretage underretninger af hændelser er mindre, end hvad der følger af CER- og NIS 2-direktiverne, da dette ville kunne understøtte et bedre indblik i det aktuelle trusselsbillede. Et mere præcist trusselsbillede vil kunne anvendes til at foretage de nødvendige nationale foranstaltninger, for at opretholde en mere robust energisektor.

Med den foreslåede bestemmelse vil klima-, energi- og forsyningsministeren kunne fastsætte nærmere regler til formkrav af underretninger, herunder hvilke informationer, der vil skulle fremgå af underretninger og hvilke frister vil gælde i forhold til underretning. Ministeren vil desuden med baggrund i bestemmelsen, kunne fastsætte regler, om hvem der udover den Energistyrelsen og Center for Cybersikkerhed evt. vil skulle underrettes ved hændelser.

Ved de nærmere regler om underretning af hændelser forventes det, at der vil blive fastsat regler om at underretning vil skulle ske på følgende måde; 1) en tidlig varsling, som skal angive, om hændelsen mistænkes at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning, sendes uden unødigt ophold og under alle omstændigheder inden for 24 timer efter, at virksomheden har fået kendskab til hændelsen, til Energistyrelsen og Center for Cybersikkerhed, 2) en hændelsesunderretning, som skal ajourføre oplysningerne fra den tidlige varsling, jf. nr. 1, og give en indledende vurdering af hændelsen, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger, sendes uden unødigt ophold og under alle omstændigheder inden for 72 timer efter, at den pågældende har fået kendskab til hændelsen, til den kompetente myndighed og CSIRT’en, 3) efter anmodning fra kompetente myndighed og CSIRT’en sendes en foreløbig rapport med relevante statusopdateringer til den anmodende myndighed, 4) en endelig rapport sendes til kompetente myndighed og CSIRT’en senest en måned efter fremsendelsen af den i nr. 2 omhandlede hændelsesunderretning. Rapporten skal indeholde følgende; a) en detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning, b) den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen, c) anvendte og igangværende afbødende foranstaltninger og d) de eventuelle grænseoverskridende virkninger af hændelsen, og 5) såfremt hændelsen fortsat pågår på tidspunktet for fremsendelsen af den endelige rapport, jf. nr. 4, skal den berørte virksomhed forelægge en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter, at hændelsen er håndteret, til kompetente myndighed og CSIRT’en .

Med udmøntningen af den foreslåede bemyndigelsesbestemmelse forventes der fastsat nærmere regler, hvorefter der vil blive fastlagt en flertrinstilgang for underretninger om væsentlige hændelser, som følger NIS 2- direktivets artikel 23, stk. 4. De nærmere regler, som udmøntes på baggrund af bestemmelsen, skal dermed forstås og anvendes i overensstemmelse med direktivernes forudsætninger.

De regler, der vil blive udstedt på baggrund af bestemmelsen om fremgangsmåden for underretningen vil desuden implementere CER-direktivets artikel 15, stk. 1, 1. og 2. pkt., hvoraf det fremgår, at medlemsstaterne sikrer, at kritiske enheder uden unødigt ophold underretter den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af væsentlige tjenester. Medlemsstaterne sikrer, at kritiske enheder, med mindre det operationelt ikke er muligt, indgiver den første underretning senest 24 timer efter at være blevet opmærksom på en hændelse, efterfulgt, hvor det er relevant, af en detaljeret rapport senest 1 måned derefter. Det fremgår endvidere af artikel 15, stk. 2, at underretninger efter artiklen ikke medfører et øget ansvar for kritiske enheder, hvilket vil være gældende for underretninger efter den foreslåede § 12.

Det forventes desuden, at der vil blive fastsat nærmere regler om, at virksomhederne også skal rette henvendelse til den nationale CSIRT, såfremt en hændelse måtte have grænseoverskridende karakter. Bemyndigelse vil endvidere kunne blive udmøntet ved regler, hvorefter den nationale CSIRT via Energistyrelsen (som nationalt kontaktpunkt) uden unødigt ophold skulle underrette de øvrige berørte medlemsstater og ENISA om den væsentlige hændelse, navnlig hvor den væsentlige hændelse berører to eller flere medlemsstater.

Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.