Lov om styrket beredskab i energisektoren § 13

Der er i dag ikke fastsat regler i energisektoren om, i hvilket omfang operatører af væsentlige tjenester skal underrette modtagerne af deres tjenester om væsentlige hændelser, der påvirker de tjenester, som operatørerne leverer.

Det foreslås i § 13, at klima-, energi- og forsyningsministeren kan fastsætte regler om virksomheders pligt til at underrette modtagere af deres tjenester, myndigheder eller juridiske personer, som udfører myndighedsopgaver, om trusler eller hændelser, der kan påvirke eller har potentiale til at påvirke virksomhedens levering af tjenester.

Formålet med bestemmelsen er at skabe hjemmel for ministeren til at fastsætte de nødvendige regler om virksomheders underretningspligt, herunder med henblik på at risici fra en væsentlig cybertrussel eller en væsentlig hændelse vil kunne blive håndteret effektivt.

De kommende regler vil skulle implementere artikel 23, stk. 1, 2. pkt., i NIS 2-direktivet, som fastsætter en forpligtelse for medlemsstaterne til at sikre, at væsentlige og vigtige enheder i relevant omfang underretter modtagerne af deres tjenester om væsentlige hændelser, der sandsynligvis vil påvirke leveringen af disse tjenester negativt.

Desuden vil de kommende regler skulle implementere NIS 2-direktivets artikel 23, stk. 2, der fastsætter en forpligtelse for medlemsstaterne til at sikre, at væsentlige og vigtige enheder i givet fald uden unødigt ophold meddeler modtagerne af deres tjenester, som potentielt kan være berørt af en væsentlig cybertrussel, eventuelle foranstaltninger eller modforholdsregler, som disse modtagere kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal enhederne også informere de pågældende modtagere om selve den væsentlige trussel.

Ved udmøntningen af bemyndigelsesbestemmelsen forventes ministeren i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 103, at fastsætte nærmere regler, hvorefter virksomheder uden unødigt ophold vil skulle underrette deres tjenestemodtagere om enhver foranstaltning eller modforholdsregel, de vil kunne træffe for at afbøde risici fra en væsentlig cybertrussel. Virksomhederne vil herefter være forpligtede til også at informere deres tjenestemodtagere om selve truslen, i det omfang det vil være hensigtsmæssigt, og navnlig hvor den væsentlige cybertrussel sandsynligvis vil materialisere sig. Disse forpligtelser vil ikke fritage disse virksomheder for forpligtelsen til for egen regning at træffe passende og øjeblikkelige foranstaltninger til at forebygge eller afhjælpe enhver trussel af denne art og genoprette tjenestens normale sikkerhedsniveau.

Ministeren forventes endvidere på baggrund af bestemmelsen og i overensstemmelse med præambel betragtning nr. 103 i NIS 2-direktivet, hvorefter oplysninger om væsentlige cybertrusler blandt andet bør stilles gratis til rådighed for modtagerne, at fastsætte nærmere regler om at oplysninger om væsentlige cybertrusler vil skulle stilles gratis til rådighed for modtagerne i et let forståeligt sprog.