Lov om styrket beredskab i energisektoren § 19

Efter elforsyningslovens § 85 b, stk. 4, kan Klima-, energi- og forsyningsministeriet fastsætte nærmere regler for udførelsen af tilsyn med virksomhedernes nødvendigealmene beredskabsarbejde. De nærmere regler for tilsyn er fastsat i elberedskabsbekendtgørelsens kapitel 10. Efter bekendtgørelsen er Energistyrelsen tilsynsmyndigheden, jf. § 28, stk. 1, 1. pkt. og § 29, stk. 1, 1.pkt.

Klima-, energi- og forsyningsministeren kan på baggrund af gasforsyningslovens § 15 a, stk. 4, fastsætte nærmere regler for udførelsen af selskabernes almene beredskabsarbejde. De nærmere regler for tilsyn er fastsat i naturgasberedskabsbekendtgørelsen. Energistyrelsen er tilsynsmyndigheden for selskabernes overholdelse af beredskabsreguleringen, jf. § 28, stk. 1, 1. pkt. og § 29, stk. 1, 1.pkt.

Efter elforsyningslovens § 85 c, stk. 6, og gasforsyningslovens § 15 b, stk. 6, fastsætter klima-, energi- og forsyningsministeren nærmere regler for udførelsen af tilsyn med virksomhedernes it-beredskab. De nærmere regler for tilsyn er fastsat i it-beredskabsbekendtgørelsen. Efter bekendtgørelsen er Energistyrelsen tilsynsmyndigheden, jf. bekendtgørelsens § 26, stk. 1 og § 27, stk. 1.

Ifølge olieberedskabslovens § 17, stk. 1, fører klima-, energi- og forsyningsministeren tilsyn med, at loven og regler udstedt i medfør af loven overholdes. Olieberedskabslovens indeholder i § 16 beredskabspligter for virksomheder omfattet af loven. Klima-, energi- og forsyningsministeren fører således tilsyn med olievirksomhedernes beredskab efter olieberedskabsbekendtgørelsen. Efter olieberedskabslovens § 17, stk. 5, kan klima-, energi og forsyningsministeren fastsætte nærmere regler om fremsendelse af oplysninger til brug for tilsyn, om virksomhedernes medvirken i tilsyn og om virksomhedernes fremsendelse af revisorerklæring. De nærmere regler er fastsat i olieberedskabsbekendtgørelsens § 18.

Der er ikke nærmere regler for tilsyn af virksomheders beredskab i fjernvarme- og kølesektoren eller virksomhedernes beredskab efter undergrundsloven.

Det foreslås i stk. 1, at tilsyn med, at virksomhederne opfylder deres forpligtelser i henhold til loven og regler udstedt i medfør af loven.

Den foreslåede bestemmelse har til formål at fastlægge hvilken myndighed, der har tilsynsforpligtigelsen med de af loven omfattet virksomheder i el-, gas-, olie-, fjernvarme-, fjernkøling- og brintsektoren og denne myndighed tilfalder, at klima-, energi- og forsyningsministeren.

Tilsynsforpligtigelsen forventes dog at blive delegeret til Energistyrelsen i medfør af den foreslåede bestemmelse i § 33.

Det foreslås i stk. 2, at klima-, energi og forsyningsministeren, som led i sin tilsynsforpligtelse kan anvende de i bestemmelsens nr. 1-6 oplistede tilsyns- og kontrolforanstaltninger.

Den foreslåede bestemmelse har til formål fastlægge hvilke tilsynsbeføjelser Klima-, Energi- og Forsyningsministeriet har til at løfte tilsynsforpligtigelsen efter stk. 1 med de af loven omfattet virksomheder i el-, gas-, olie-, fjernvarme-, fjernkøling- og brintsektoren. Den foreslåede bestemmelse har endvidere til formål at implementere artikel 32, stk. 1, i NIS 2-direktivet og artikel 21, stk. 1 og 2, i CER-direktivet.

Bestemmelsen vil sikre, at de tilsynsforanstaltninger, der kan anvendes af Klima-, Energi- og Forsyningsministeriet er effektive og står i rimeligt forhold til overtrædelsen og har afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.

Bestemmelsen vil sikre at Klima-, Energi- og Forsyningsministeriet i medfør af beføjelserne i nr. 1-6, har beføjelser og midler til, at ministeriet kan vurdere, om virksomhederne der er omfattet af loven, opfylder forpligtelserne.

Bestemmelsen vil endvidere sikre at Klima-, Energi- og Forsyningsministeriet, hvor det er nødvendigt for udførelsen af ministeriets tilsynsopgaver i henhold til stk. 1, har beføjelser og midler til at virksomhederne inden for en rimelig tidsfrist, der fastsættes af ministeriet, giver de informationer, der kan kræves for føre tilsyn med virksomheden.

Der gives med den foreslåede bestemmelse hjemmel til, at klima-, energi- og forsyningsministeren kan anvende de tilsynsbeføjelser, der er oplistet i § 19, stk. 2, nr. 1-6. Bestemmelsen oplister således nogle af de værktøjer, som klima-, energi- og forsyningsministeren har til rådighed til at løfte sin tilsynsforpligtigelse fastsat i § 19, stk. 1.

Det forudsættes, at der ved valget om en af de i § 19, stk. 2, nr. 1-6, tvangsindgreb vil skulle anvendes at klima-, energi- og forsyningsministeren iagttager proportionalitetsprincippet i retssikkerhedslovens § 2, og således kun anvender foranstaltninger hvis indgreb står i rimeligt forhold til formålet med indgrebet.

Det forudsættes ligeledes, at retssikkerhedslovens § 3 til § 8 iagttages ved anvendelsen af det valgte tvangsindgreb. Således skal der ske underretning af virksomheden, og formkravene i § 5, stk. 2 skal overholdes medmindre undtagelserne i § 5, stk. 4, måtte finde anvendelse.

Det bemærkes endeligt generelt set til de foreslåede bestemmelser i § 19, stk. 2, nr. 1-6, at de dele af direktivernes bestemmelser, der angår rent myndighedsinterne forhold, eller som allerede følger af almindelige forvaltningsretlige principper eller den almindelige adgang til domstolsprøvelse, ikke er afspejlet i lovteksten. Den foreslåede bestemmelse vil således fokusere på, hvilke konkrete tilsynsforanstaltninger de kompetente myndigheder vil kunne anvende over for enhederne.

Eksempelvis er CER-direktivets artikel 21, stk. 4, ikke afspejlet direkte i lovteksten. Det følger af den nævnte artikel, at medlemsstaterne skal sikre, at de tillagte beføjelser kun kan udøves med forbehold af passende beskyttelsesforanstaltninger, og at disse beskyttelsesforanstaltninger navnlig skal sikre, at en sådan udøvelse finder sted på en objektiv, gennemsigtig og forholdsmæssig måde, og at de berørte kritiske enheders rettigheder og legitime interesser såsom beskyttelse af forretningshemmeligheder garanteres behørigt, herunder deres ret til at blive hørt, til et forsvar og til effektive retsmidler ved en uafhængig domstol. Det samme gælder eksempelvis CER-direktivets artikel 21, stk. 5, som overordnet fastsætter krav til samarbejde mellem de kompetente myndigheder efter henholdsvis NIS 2-direktivet og CER-direktivet.

Ligeledes fremgår det af NIS 2-direktivets artikel 32, stk. 2, litra a, om at kontrollerne skal udføres af uddannede fagfolk, ikke afspejlet direkte i lovteksten. Det samme gælder eksempelvis den del af direktivets artikel 32, stk. 2, litra d, hvorefter sikkerhedsscanninger skal være baseret på objektive, ikke-diskriminerende, fair og gennemsigtige risikovurderingskriterier.

I overensstemmelse med forudsætningerne i NIS 2-direktivets præambelbetragtning nr. 123 bør udførelsen af tilsynsopgaven ikke unødigt hæmme den berørte virksomheds forretningsaktiviteter. Hvor en tilsynsmyndighed udfører sin tilsynsopgave vedrørende en virksomhed, herunder i form af kontrol på stedet og administrativt tilsyn på skriftligt grundlag, efterforskning af overtrædelser af direktivet og udførelse af sikkerhedsaudits eller -scanninger, bør tilsynsmyndigheden myndighed minimere indvirkningen på den berørte enheds forretningsaktiviteter.

Det foreslås i § 19, stk. 2, nr. 1, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage tilsyn og kontrol hos virksomheden ved at inspicere de lokaler, som virksomheden bruger til at levere sine tjenester og foretage stikprøvekontroller.

Formålet med bestemmelsen er give hjemmel til at Klima-, Energi- og Forsyningsministeriet kan som led i sin tilsynsforpligtelse kan foretage tilsyn og kontrol hos virksomheden ved at inspicere de lokaler, som virksomheden bruger til at levere sine tjenester og foretage stikprøvekontroller, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra a, i NIS 2-direktivet og artikel 21, stk. 1, litra a, i CER-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt angår, hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet i forhold til, hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Det bemærkes, at NIS 2-direktivets artikel 32, stk. 2, litra a, anvender udtrykket »på stedet«. Klima-, Energi- og Forsyningsministeriet vurderer, at dette udtryk kan forstås i overensstemmelse med CER-direktivets artikel 21, stk. 1, litra a. Bestemmelsen gør dog brug af udtrykket »hos virksomheden«, da det vil lede til mindre fortolkningstvivl og samtidig dække over udtrykket »på stedet«. Det foreslås derfor, at bestemmelsen anvender udtrykket »hos virksomheden«.

Bestemmelsens omfatter derfor når skrives tilsyn hos virksomheden« derfor NIS2-direktivets og CER-direktivets »kontrol på stedet« og omfatter således konkret, at der efter bestemmelsen kan føres tilsyn med både; 1) områder, hvor virksomhederne har materiale eller anlæg, som anvendes til at levere virksomhedens tjeneste og 2) lokaler, som virksomheden anvender til at levere sine tjenester.

Det bemærkes endvidere, at der af direktivernes bestemmelser fremgår, at der kan foretages »eksternt tilsyn«, hvilket er en formulering, der kan give anledning til fortolkningstvivl. I den engelske sprogversion af NIS 2-direktivet anvendes formuleringen »off-site supervision«.

Bestemmelsen brug af »tilsyn og kontrol« omfatter både eksternt tilsyn, forstået som off-site supervision, samt et tilsyn uden fysisk tilstedeværelse på stedet, altså eksempelvis udført på skriftligt grundlag. Disse former for tilsyn kan beskrives som administrative tilsyn.

Bestemmelsen giver således hjemmel til, at der kan føres tilsyn på områder, hvor virksomhederne har materiale eller anlæg, som anvendes til at levere virksomhedens tjeneste og lokaler, som virksomheden anvender til at levere sine tjenester. Bestemmelsen vil ligeledes give hjemmel til, at dele af tilsynet kan føres som administrativt tilsyn. Endelig vil bestemmelsen give hjemmel til, at tilsynet kan gennemføres med stikprøvekontroller, altså at tilsynet kan ske stikprøvevis, således at klima-, energi- og forsyningsministeren vil kunne udvælge et repræsentativt antal områder eller lokaler, der inspiceres på baggrund af ministerens risikovurdering af, hvilke områder og lokaler der måtte være mest kritiske.

Tilsynet efter denne bestemmelse vil skulle anmeldes og aftales med en repræsentant for virksomheden, inden det gennemføres.

Det foreslås i nr. 2, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretages regelmæssige kontrol- og tilsynsbesøg hos virksomheder.

Formålet med bestemmelsen er at give hjemmel til, at Klima-, Energi- og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage regelmæssige kontrol- og tilsynsbesøg hos virksomheder, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsen fastsætter således mulighed for at ministeriet kan bestemme hyppigheden i brugen af kontrol og tilsynsbeføjelser efter § 19, stk. 2, nr. 1 og 3-5. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra b, i NIS 2-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt angår, hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven og gasforsyningsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet, i forhold til hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre m.fl.

Som det fremgår ovenfor implementerer bestemmelsen kun en artikel fra NIS-2 direktivet. Desuagtet finder bestemmelsen efter nationalt ønske anvendelse på alle forhold omfattet af loven, uagtet de relaterer sig til implementering af NIS2-direktivets og CER-direktivets krav eller udtryk for nationale ønsker. Den foreslåede bestemmelse vil dermed gå videre end minimumskravene i NIS2- og CER-direktiverne.

Den foreslåede bestemmelse vil give hjemmel til, at Klima-, Energi- og Forsyningsministeriet kan besøge virksomhederne regelmæssigt med henblik på at gennemføre tilsyn med virksomheden. Bestemmelsen gælder i forhold til tilsyn med alle aspekter af virksomhedernes overholdelse af loven eller regler udstedt i medfør at loven og er ikke indskrænket til de dele af loven, der angår cybersikkerhed. Der forventes, at bestemmelsen vil blive anvendt i forbindelse den foreslåede bestemmelse i nr. 1 og nr. 3-5.

Det foreslås i § 19, stk. 2, nr. 3, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage ad hoc-tilsyn.

Formålet med bestemmelsen er at give hjemmel til, at Klima-, Energi- og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage ad hoc-tilsyn, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra c, i NIS 2-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt angår hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet, i forhold til hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen, som noget nyt vil blive omfattet af denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Den foreslåede bestemmelse vil således give hjemmel til, at klima-, energi- og forsyningsministeren på ad hoc basis vil kunne føre tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsen forventes brugt i tilfælde, hvor klima-, energi- og forsyningsministeren imellem de regelmæssige tilsyn efter nr. 2, måtte blive opmærksom på mulige overtrædelser af loven eller regler udstedt i medfør af loven. Her vil der kunne være behov for at føre tilsyn, fordi det vurderes af ministeren, at den potentielle overtrædelse af reglerne er så slem, at tilsyn ikke kan vente til det regelmæssige tilsyn. I vurderingen af om ad hoc-tilsyn skal indledes, vil der af klima-, energi- og forsyningsministeren lægges særligt vægt på, om den/de formode overtrædelse medfører en direkte trussel mod leveringen af virksomhedens tjeneste.

Tilsyn efter denne bestemmelse vil skulle anmeldes og aftales med en repræsentant for virksomheden, inden det gennemføres.

Det foreslås i § 19, stk. 2, nr. 4, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage sikkerhedsscanninger og penetrationstests af virksomhedens net- og informationssystemer samt fysiske lokationer.

Formålet med bestemmelsen er give hjemmel til, at Klima-, Energi- og Forsyningsministeriet som led i sin tilsynsforpligtelse kan foretage sikkerhedsscanninger og penetrationstests af virksomhedens net- og informationssystemer samt fysiske lokationer, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra d i NIS 2-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt angår, hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet, i forhold til hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Bestemmelsen skal anvendes i overensstemmelse med NIS 2 direktivets præambel betragtning nr. 87 forudsættes det, at de kompetente myndigheder i forbindelse med deres tilsynsopgaver vil gøre brug af cybersikkerhedstjenester til at foretage sikkerheds audits og penetrationstest.

Bestemmelsen vil således give hjemmel til, at klima-, energi og forsyningsministeren som led i sit tilsyn vil kunne gøre brug af sikkerhedsscanninger og penetrationstest af virksomhedens net- og informationssystemer. Bestemmelsen foreslås udvidet ift. NIS 2-direktivets ordlyd, således at penetrationstests også vil kunne anvendes til at teste den fysiske sikring af fysiske lokationer, som virksomhederne anvender i leveringen af deres tjeneste.

Bestemmelsen forventes anvendt i samarbejde med virksomhederne, således at ingen penetrationstest eller sikkerhedsscanning vil blive foretaget uden forudgående varsling af virksomheden, herunder hvad/hvor, hvornår og hvor længe scanningen eller penetrationstesten vil pågå af hensyn til sikring af den fortsatte drift i virksomheden, i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 123 om at sikkerhedsscanning og penetrationstest alene vil ske varslet af hensyn til sikring af den fortsatte drift i virksomheden.

Ministeren forventes altid at benytte sig af akkrediterede virksomheder til at gennemføre scanninger og tests efter bestemmelsen, og personalet vil som minimum skulle være sikkerhedsgodkendt til fortrolig efter sikkerhedscirkulæret, inden planlægningen af scanningen eller penetrationstesten vil kunne påbegyndes. Det vil være væsentligt hensyn, at driften af virksomheden ikke må påvirkes negativt, og planlægningen og gennemførelsen vil skulle således varetage dette hensyn.

Hvordan ministeren administrativt og processuelt vil gøre brug af bestemmelsen vil blive yderligere præciseret i vejledningsmateriale, der vil blive udarbejdet af klima-, energi- og forsyningsministeren.

Det foreslås i nr. 5, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan kræve at få udleveret oplysninger og dokumentation, der er nødvendige for at vurdere foranstaltninger vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed, som virksomheden har indført efter lovforslaget og regler udsted i medfør af lovforslaget.

Formålet med bestemmelsen er give hjemmel til, at Klima-, Energi- og Forsyningsministeriet kan som led i sin tilsynsforpligtelse kræve at få udleveret oplysninger og dokumentation, der er nødvendige for at vurdere foranstaltninger vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed, som virksomheden har indført efter lovforslaget og regler udsted i medfør af lovforslaget, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra e, i NIS 2-direktivet og artikel 21, stk. 2, litra a og b, i CER-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt angår hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet, i forhold til hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Den foreslåede bestemmelse vil give hjemmel til, at klima-, energi- og forsyningsministeren kan kræve at få udleveret oplysninger og dokumentation, der er nødvendige for at vurdere foranstaltningerne vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed, som virksomheden har indført efter loven og regler udstedt i medfør af loven.

Det forventes, at bestemmelsen blandt andet i praksis vil blive anvendt ved, at virksomhederne vil skulle udfylde et selvevalueringsskema forud for gennemførelse af tilsyn med virksomheden efter nr. 1, 2 og 3. Virksomheden vil i den forbindelse vurdere, hvordan den lever op til de forskellige krav til organisatorisk beredskab, fysisk sikring og cybersikkerhed. Bestemmelsen vil også kunne bruges til at påbyde virksomhederne at udlevere dokumenter såsom beredskabsplaner, øvelsesplaner, politikker, netværks-topologier samt andet materiale, som virksomhederne er forpligtet til at udarbejde i medfør af lovforslaget eller regler fastsat i medfør heraf.

Det foreslås i nr. 6, at Klima-, Energi og Forsyningsministeriet som led i sin tilsynsforpligtelse kan kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.

Formålet med bestemmelsen er give hjemmel til, at Klima-, Energi- og Forsyningsministeriet som led i sin tilsynsforpligtelse kan kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven, således at der kan føres et effektivt tilsyn med virksomhedernes overholdelse af loven og regler udstedt i medfør af loven. Bestemmelsens formål er samtidig at implementere artikel 32, stk. 2, litra f og litra g, i NIS 2-direktivet og artikel 21, stk. 1 og 2, i CER-direktivet.

Bestemmelsen vil videreføre gældende ret for så vidt angår, hvordan der kan føres tilsyn med overholdelsen af beredskabskravene fastsat i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet, i forhold til hvem der kan føres tilsyn med på denne måde, idet bestemmelsen efter det foreslåede vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet denne tilsynsmulighed vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Bestemmelsen vil give hjemmel til, at klima-, energi- og forsyningsministeren kan påbyde at få adgang til andre data, dokumenter og oplysninger som ikke nødvendigvis er omfattet af den foreslåede bestemmelse i nr. 5. Bestemmelsen vil kunne anvendes til at få adgang til kontrakter med leverandører, få forevist data om energianlægs produktions-, distributions-, transmissions- og lagringskapaciteter samt antallet af forbrugere, og om virksomheden leverer sine ydelser til kritiske forbrugere såsom sygehuse.

Det foreslås i stk. 3, at Klima-, Energi- og Forsyningsministeriet er ansvarlig for eventuelle skader, som en virksomhed måtte lide i forbindelse med scanninger og tests efter stk. 2, nr. 4.

Det følger af den foreslåede bestemmelse, at Klima-, Energi- og Forsyningsministeriet vil bære et objektivt ansvar, for skader som virksomheden vil blive pådraget i forbindelse med scanninger og tests foretaget på baggrund af § 19, stk. 2, nr. 4. Erstatningsbeløbet vil skulle opgøres efter de almindelige regler om erstatning uden for kontrakt i dansk ret. Klima-, Energi- og Forsyningsministeriet skal betale erstatningen, omkostningen til en sådan erstatning kan ikke indregnes i gebyrerne der opkræves efter de foreslåede bestemmelser i § 17 og § 18.

Det foreslås i stk. 4, at klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om tilsyn og kontrol af virksomhederne, herunder omfanget, udførelsen og hyppigheden af tilsyns- og kontrolbesøg. Med den foreslåede bestemmelse bemyndiges ministeren til at fastsætte nærmere regler både for det administrative tilsyn og for kontrol- og tilsynsbesøg hos virksomhederne.

Formålet med bestemmelsen er at give en ramme for Energistyrelsens tilsynsarbejde, da de forventes at få delegeret tilsynsopgaven i stk. 1 efter den foreslåede § 33. Rammen skal således sikre at tilsynet er forankret i en stærk beredskabs- og cybersikkerhedsfaglighed, der ligger vægt på at være værdiskabende for virksomhederne, således at udgangspunktet tilsynet er at gøre den enkelte virksomheds beredskab og cybersikkerhed bedre efter fuldendt tilsyn.

Efter bestemmelsen vil de nærmere regler, som ministeren vil kunne fastsætte, blandt andet være »omfanget« af tilsyns- og kontrolbesøg efter § 19, stk. 2, nr. 1-6. Udtrykket omfanget skal forstås bredt, i den forstand at det både kan relatere sig til det tidsmæssige omfang af tilsynet og i hvilken geografisk udstrækning, der skal ske tilsyn med virksomheden.

Ministeren vil efter bestemmelsen desuden kunne fastsætte nærmere regler om udførelsen af tilsyn. Bestemmelsen vil medføre, at ministeren vil kunne fastsætte nærmere regler om, hvorvidt tilsynet vil skulle ske ved et fysisk tilsyn med fremmøde hos virksomheden, eller om tilsynet vil skulle ske som et eksternt tilsyn. Ministeren vil ligeledes kunne fastsætte nærmere regler om hvad et fysisk tilsyn vil indebære. Eksempelvis vil der kunne fastsættes regler om, at tilsynsmyndigheden skal have adgang til særlige områder som serverrum for at observere, at der er den korrekte sikkerhed. Tilsyn forudsættes alene at være anmeldte med et nærmere fastsat varsel. Ministeren vil kunne fastsætte nærmere regler om varsling af anmeldelse af tilsyn.

Efter bestemmelsen vil ministeren også kunne fastsætte nærmere regler om hyppigheden af tilsyn, denne del af bestemmelsen skal derfor også læses i sammenhæng med den foreslåede bestemmelse i § 19, stk. 2, nr. 2. Der vil i den forbindelse kunne fastsættes regler om, at tilsyn skal ske årligt eller efter anden frekvens, som kan være forskellig alt efter hvilket niveau virksomheden er inddelt på efter regler udstedt i medfør af den i loven foreslåede bestemmelse i § 4, stk. 2. Der vil desuden kunne fastsættes regler om, at der kan ændres op og ned i frekvensen af tilsyn for virksomheder på baggrund af tidligere tilsyn af samme virksomhed.

Den foreslåede bemyndigelsesbestemmelse vil også medføre, at der vil kunne fastsættes regler om den tidsmæssige og geografiske udstrækning af tilsyn der føres efter den foreslåede § 19, stk. 2, nr. 1-6, der er proportionelle med den type virksomhed, som der skal føres tilsyn hos. Dette findes hensigtsmæssigt af hensyn til at virksomheder inden for energisektoren, der kontroller energimængder af en vis størrelse, kan have en betydelig effekt på den samlede forsyningssikkerhed i Danmark. Sådanne virksomheder kan anvende komplekse net- og informationssystemer, som kræver et længerevarende tilsyn for, at systemer i tilstrækkeligt grad kan undersøges for, om virksomheden efterlever de gældende krav. Størrelsen af virksomheder og mængden af tjenester som virksomheden leverer, kan også påvirke den samlede kompleksitet, som bør understøttes af regler om længere og mere dybdegående tilsyn. Desuden kan virksomheder også strække sig over mange lokaliteter, hvor hver lokation hos virksomheden kan introducere nye og særegne trusler. Modsatvis findes der også virksomheder inden for sektoren, som kun i mindre grad kan påvirke energiforsyning. Disse virksomheder kan være mindre komplekse og et tilsyn kan udføres i tilstrækkelig grad på mindre tid og i begrænset geografisk udstrækning. Bestemmelsen har derfor til formål, at der med udviklingen i sektoren kan fastsættes regler om den tidsmæssige og geografiske udstrækning af tilsyn, der er proportionelle med den type virksomhed der skal føres tilsyn hos.

På baggrund af ovenstående, forventes det, at den foreslåede bestemmelse vil blive anvendt til at fastsætte differentierede regler om tilsyn på baggrund af en risikobaseret tilgang. Det forventes, at der vil blive fastsat regler, hvorefter virksomheder inddeles i forskellige kategorier eller niveauer, som fastsættes ud fra både objektive og skønsmæssige kriterier om virksomhedens kritikalitet. Omfanget, udførelsen og hyppigheden af tilsyn hos virksomheder forventes som udgangspunkt at blive baseret på denne niveauinddeling.

Det forventes med den foreslåede bestemmelse, at tilsynsmyndigheden vil videreføre den tilsynspraksis, der har været gældende inden for de allerede omfattede virksomheder og sektorer. Praksis har hidtil været, at tilsynsmyndigheden har ført tilsyn ud fra en dialogbaseret og værdiskabende tilgang. Formålet med tilsyn er således at dele erfaringer mellem myndigheder og virksomheder for at opnå en mere sikker sektor. Hensynet til samarbejde og værdiskabelse af sikkerhed i energisektoren, bør således også indgå i en proportionalitetsvurdering ved anvendelsen af tilsynsforanstaltninger, håndhævelsesforanstaltninger eller sanktioner.

Det foreslås i § 19, stk. 5, at klima-, energi- og forsyningsministeren kan fastsætte regler om udlevering af materiale til brug for tilsyn samt formkrav hertil, herunder regler om hvilke sprog materialet skal udarbejdes på.

Efter bestemmelsen vil ministeren kunne fastsætte regler om, at oplysninger eller materiale til brug for tilsyn udarbejdes af virksomheden og udleveres på en bestemt måde, på et bestemt sprog og i en bestemt form. Bestemmelsen supplerer således de i stk. 2, nr. 5 og 6 foreslåede bestemmelser, i det der kan fastsættes nærmere regler for hvilken form og sproget materialet skal have, samt processen herfor. Eksempelvis vil der kunne fastsættes regler om, at virksomhederne skal anvende bestemte skemaer eller skabeloner ved udleveringen af tilsynsmateriale. Ligeledes vil der kunne fastsættes regler om, at virksomhederne forpligtes til at registrere visse oplysninger ved brug af en bestemt hjemmeside eller it-løsning. Endeligt vil bestemmelsen også kunne bruges til at fastsætte regler om at dokumentation og oplysninger til brug for klima-, energi- og forsyningsministeren skal indgive i en dansk version uagtet hvad virksomhedens organisationssprog måtte være.

Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger. Der henvises i øvrigt til afsnit 3.6 i lovforslagets almindelige bemærkninger.