Lov om styrket beredskab i energisektoren § 15

Der er i dag ikke fastsat regler i energisektoren, der regulerer, frivillige indberetninger til Klima-, Energi- og Forsyningsministeriet om hændelser, med henblik på, at ministeriet kan udnytte erfaringer med cybertrusler og sikkerhedsrisici på tværs af samfundet.

Det følger af det foreslåede stk. 1, at enhver kan underrette Klima-, Energi- og Forsyningsministeriet om væsentlige hændelser, cybertrusler og nærvedhændelser, der negativt påvirker eller vurderes at kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale servicer i energisektoren.

For en nærmere beskrivelse af begreberne hændelse, cybertrusler og nærvedhændelser henvises til de specielle bemærkninger til den foreslåede § 3, nr. 11, 4 og 22.

Den foreslåede bestemmelse har til formål at implementere NIS 2-direktivets artikel 30, stk. 1, litra a og b. Det følger derfor af den foreslåede bestemmelse, at der i tilgift til underretningsforpligtelsen der vil blive fastsat i medfør af den foreslåede § 12 og § 13 kan indgives underretninger til Klima-, Energi- og Forsyningsministeriet på frivillig basis af virksomheder omfattet af loven for så vidt angår hændelser, cybertrusler og nærvedhændelser, samt virksomheder og personer der ikke er omfattet af loven for så vidt angår væsentlige hændelser, cybertrusler og nærvedhændelser.

Den foreslåede bestemmelse vil indebære, at alle offentlige og private virksomheder samt privatpersoner vil kunne underrette Klima-, Energi- og Forsyningsministeriet om hændelser, der negativt påvirker, eller vurderes at kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale services, hvilket indholdsmæssigt svarer til begrebet »sikkerhedshændelse« efter § 2, nr. 1, i lov om Center for Cybersikkerhed, jf. lovbekendtgørelse nr. 836 af 7. august 2019 (CFCS-loven). Det bemærkes i den forbindelse, at begrebet »digitale services« skal forstås i overensstemmelse med begrebet »digitale tjenester« i CFSF-loven.

Det er Klima-, Energi- og Forsyningsministeriets vurdering, at underretning af ministeriet ved større sikkerhedshændelser skaber de bedst mulige forudsætninger for, at Klima-, Energi- og Forsyningsministeriet kan udnytte erfaringer med cybertrusler og sikkerhedsrisici på tværs af samfundet – og dermed skabe et samlet overblik over den aktuelle sikkerhedstilstand i energisektoren i Danmark. Underretninger vil således sætte Klima-, Energi- og Forsyningsministeriet i stand til at varsle hurtigere om trusler og styrke grundlaget for rådgivningen om risici og passende sikkerhedstiltag.

Det bemærkes, at frivillige underretninger foreslås undtages fra aktindsigt efter lovforslagets § 27, jf. de specielle bemærkninger til denne bestemmelse.

Det følger af den foreslåede stk. 2, at klima-, energi- og forsyningsministeren uden unødigt ophold skal videresende underretninger efter stk. 1, til den danske CSIRT.

Den foreslåede bestemmelse, vil medføre, at klima-, energi- og forsyningsministeren uden unødigt ophold vil skulle videresende underretninger efter stk. 1, til den danske såkaldte CSIRT.

Det forventes derfor, at klima-, energi- og forsyningsministeren vil skulle videresende underretninger efter den foreslåede stk. 1 til Center for Cybersikkerhed, således NIS 2- direktivets artikel 30, stk. 1, litra a og b, kan implementeres fuldt ud.

Center for Cybersikkerhed (CFCS) blev ved implementeringen af NIS 1-direktivet udpeget som CSIRT i Danmark, og opgaven har hidtil været varetaget som en del af Netsikkerhedstjenesten i CFCS. Med den kongelige resolution af 29. august 2024 er Center for Cybersikkerhed, bortset fra Netsikkerhedstjenesten, blevet overdraget til Ministeriet for Samfundssikkerhed og Beredskab. Det betyder, at Forsvarsministeriet, herunder FE, indtil videre bibeholder ansvaret for CSIRT-funktionen.

Det forventes, at Energistyrelsen vil skulle varetage opgaven som kompetent myndighed på energiområdet for Danmark i overensstemmelse med NIS 2-direktivets artikel 8, stk. 3.

Forså vidt angår de persondataretlige overvejelser i relation til den foreslåede bestemmelse, henvises der til pkt. 4 i de almindelige bemærkninger.