Lov om styrket beredskab i energisektoren § 21

Bekendtgørelse nr. 11 af den 7. januar 2011 om identifikation og udpegning af europæisk kritisk infrastruktur på energiområdet og vurdering af behovet for bedre beskyttelse indeholder håndhævelsesbeføjelser i form af påbud. Der kan således gives påbud om at udarbejde en sikkerhedsplan, ændre denne og andre dele af operatørens beredskabsarbejde jf. § 16, stk. 2.

Elforsyningsloven og gasforsyningsloven indeholder begge håndhævelsesforanstaltningerne om påbud jf. § 85 d, inddragelse af bevilling jf. § 54 og it-revision jf. § 85 c, stk. 2. Efter de gældende regler skal forhold, der strider mod den gældende regulering bringes i orden straks eller inden for en af klima- energi- og forsyningsministeren nærmere angivet frist.

Gasforsyningsloven indeholder ligeledes håndhævelsesforanstaltninger om påbud jf. § 47 b, inddragelse af bevilling jf. § 33 og it-revision jf. § 15 b, stk. 2. Efter de gældende regler skal forhold, der strider mod den gældende regulering, bringes i orden straks eller inden for en af klima- energi- og forsyningsministeren nærmere angivet frist.

Olieberedskabsloven indeholder håndhævelsesforanstaltninger, om at klima- energi- og forsyningsministeren kan anvende påbud jf. § 18 ved manglende overholdelse af beredskabsreglerne.

Det følger af den foreslåede stk. 1, at klima- energi og forsyningsministeren ud fra en konkret vurdering af omstændighederne i hver enkelt sag kan anvende nr. 1-5 oplistede påbud og forbud over for virksomhederne.

Den foreslåede bestemmelse medfører, at Klima- Energi og Forsyningsministeriet vil skulle foretage en konkret vurdering af omstændighederne i hver enkelt sag, når der anvendes påbud og forbud over for virksomheder.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 7, skal de kompetente myndigheder, når de træffer håndhævelsesforanstaltninger, overholde retten til forsvar og tage hensyn til omstændighederne i hver enkelt sag og som minimum tage behørigt hensyn til de forhold som er oplistet i litra a-h.

Efter bestemmelsen i CER-direktivets artikel 21, stk. 3, skal de kompetente myndigheder i anvendelsen af påbud navnlig tage hensyn til overtrædelsens grovhed.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, skal medlemsstaterne sikre, at de kompetente myndigheder som minimum har beføjelser og midler som oplistet i litra a-h, med henblik på, at de kompetente myndigheder effektivt kan håndhæve, forpligtelserne som fremgår af dette direktiv.

Efter bestemmelsen i CER-direktivets artikel 21, stk. 3, kan de kompetente myndigheder pålægge de enheder, som medlemsstaterne har identificeret som kritiske i henhold til artikel 6, stk. 1, påbud og forbud for at opfylde forpligtelserne i dette direktiv.

Den foreslåede bestemmelse vil finde anvendelse på en bredere kreds, men i øvrigt svare indholdsmæssigt til NIS 2-direktivets artikel 32, stk. 4, litra a-h. Den foreslåede bestemmelse vil også gå videre, end hvad der fremgår af CER-direktivets artikel 21, stk. 3. Bestemmelsen skal derudover forstås og anvendes i overensstemmelse med direktivernes forudsætninger og eventuelle fortolkningsbidrag fra EU-Kommissionen, ENISA eller andre af EU’s institutioner. Den foreslåede bestemmelse går dermed videre end NIS 2- og CER-direktiverne.

Der vil i forbindelse med en afgørelse om påbud eller forbud efter den foreslåede bestemmelse blive fastsat en frist, inden for hvilken virksomheden skal efterkomme indholdet i afgørelsen. Fristen for hvornår virksomheden skal efterleve håndhævelsesforanstaltningerne skal være proportionel med de anvendte foranstaltninger. I tilfælde af en overhængende fare for, at en hændelse kan indtræde på baggrund af virksomhedens forhold, kan der anvendes strakspåbud.

En virksomhed, der modtager en afgørelse om påbud eller forbud efter den foreslåede bestemmelse, vil i overensstemmelse med den foreslåede bestemmelse i § 37 som vil implementere CER-direktivets artikel 22 og NIS 2-direktivets artikel 34, stk. 2, også kunne ifalde straf for en eventuel overtrædelse af denne lov eller regler udstedt i medfør af loven.

Det foreslås i stk. 1, nr. 1, at klima- energi- og forsyningsministeren kan påbyde virksomheden at træffe foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra b, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, samt frister for gennemførelse af sådanne foranstaltninger og for rapportering om deres gennemførelse eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af dette direktiv

Klima-, Energi- og Forsyningsministeriet vil i medfør af det foreslåede nr. 1, eksempelvis kunne give virksomhederne påbud om at foretage en fornøden softwareopdatering med henblik på at forhindre eller imødegå en hændelse.

Det foreslås med nr. 2, at klima- energi- og forsyningsministeren kan meddele virksomheden påbud og forbud for at sikre overholdelsen af de krav, der er fastsat i loven eller regler udstedt i medfør af loven.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra c, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at pålægge de pågældende enheder at ophøre med at udvise adfærd, der overtræder direktivet, og afstå fra at gentage denne adfærd.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra d, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at pålægge de pågældende enheder, på en nærmere angivet måde og inden for en nærmere angivet frist til, at sikre, at deres foranstaltninger til styring af cybersikkerhedsrisici overholder artikel 21, eller at efterleve underretningsforpligtelserne i artikel 23.

Efter den foreslåede nr. 2, vil klima-, energi- og forsyningsministeren kunne angive, hvilke nærmere foranstaltninger virksomheden skal træffe i tilfælde af, at virksomheden ikke lever op til de krav, der er fastsat i loven. Ministeren vil ligeledes efter bestemmelsen kunne forbyde virksomheder at foretage visse dispositioner, såfremt det vurderes, at det kan udgøre en trussel for virksomhedens sikkerhed og beredskab eller på anden måde kompromittere virksomhedens evne til at levere tjenester eller udføre sine aktiviteter. Sådanne forbud vil kunne omfatte anvendelsen af materiale eller services fra aktører fra tredjelande, hvis det kan begrundes at der er en konkret trussel mod forsyningssikkerheden. I trusselsvurderingen vil det aktuelle trusselsbillede eller konkrete oplysninger fra efterretningstjenester kunne inddrages.

Det foreslås med nr. 3, at klima-, energi- og forsyningsministeren kan påbyde virksomheden at underrette de fysiske eller juridiske personer, til hvilke den leverer tjenester eller udfører aktiviteter, som potentielt kan være berørt af en væsentlig cybertrussel, om denne trussels karakter samt om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra e, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til, at pålægge de pågældende enheder at underrette de fysiske eller juridiske personer med hensyn til hvilke de leverer tjenester eller udfører aktiviteter, som potentielt er berørt af en væsentlig cybertrussel, om denne trussels karakter samt om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som disse fysiske eller juridiske personer kan træffe som reaktion på denne trussel.

Bestemmelsen skal ses i sammenhæng med den foreslåede bestemmelse i § 13, som indeholder en forpligtelse for virksomheder til i relevant omfang at underrette modtagerne af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som modtagerne kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal virksomhederne også informere de pågældende modtagere om den væsentlige cybertrussel.

Med det foreslåede nr. 3, vil klima- energi- og forsyningsministeren kunne påbyde, at der skal foretages underretning af modtagerne af virksomhedens tjenester, uanset om virksomheden selv vurderer, at det er relevant.

Det foreslås med nr. 4, at klima- energi- og forsyningsministeren kan påbyde virksomheden, at udpege en person med ansvar for i en nærmere fastsat periode at føre tilsyn med virksomhedens overholdelse af §§ 6-9 og §§ 12-14, samt regler udstedt i medfør heraf.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra g, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til at udpege en overvågningsansvarlig med veldefinerede opgaver til i en nærmere fastsat periode at føre tilsyn med de pågældende enheders overholdelse af artikel 21 og 23.

Den foreslåede bestemmelse vil medføre, at virksomheden enten vil kunne udpege en ansat eller en ekstern person. Den pågældende person vil skulle monitorere virksomhedens overholdelse af krav til foranstaltninger til styring af enten fysiske eller logiske risici i medfør af de foreslåede bestemmelser om foranstaltningerne og underretning. Klima-, Energi- og Forsyningsministeriet vil kunne påbyde virksomheden at udpege flere personer til at føre tilsyn med overholdelse af §§ 6-9 og §§ 12-14, hvis virksomhedens størrelse eller særlig teknisk forståelse for foranstaltninger kræver det, eller hvis det i øvrigt findes relevant for at sikre et tilstrækkelig grundigt tilsyn.

Det foreslås med nr. 5, at klima-, energi- og forsyningsministeren kan påbyde virksomheden i ikke-anonymiseret form og på en nærmere angiven måde at offentliggøre afgørelser om håndhævelsesforanstaltninger efter nr. 1-5 samt resumeer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde efter lovforslagets § 37.

Efter bestemmelsen i NIS 2-direktivets artikel 32, stk. 4, litra h, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser til, at pålægge de pågældende enheder at offentliggøre aspekter af overtrædelser af dette direktiv på en nærmere angivet måde.

Den foreslåede bestemmelse vil medføre, at klima-, energi- og forsyningsministeren vil kunne pålægge en virksomhed at offentliggøre afgørelser om håndhævelsesforanstaltninger i ikke-anonymiseret form. Det betyder, at virksomheden vil skulle offentliggøre navngivne oplysninger om, hvilke sanktioner de har modtaget, herunder afgørelser om tvangsforanstaltninger og eventuelle bøder. Offentliggørelsen vil skulle ske på en specificeret måde, som kan fastsættes af ministeren.

Det bemærkes, at forvaltningslovens § 27, om offentlige ansattes tavshedspligt, vil skulle overholdes ved vurderingen af, hvorvidt og hvordan der skal pålægges offentliggørelse efter den foreslåede bestemmelse. Dette omfatter bl.a. hensynet til enkeltpersoners private forhold, forretningshemmeligheder samt hensynet til forebyggelse, efterforskning og forfølgning af lovovertrædelser. Desuden skal de hensyn som fremgår af lovforslagets kapitel 10 om fortrolighed indgå i overvejelser om orientering af offentligheden.

Det forudsættes, at virksomheden ikke pålægges at offentliggøre oplysninger om tekniske indretninger eller fremgangsmåder eller om drifts- eller forretningsforhold eller lignende, for så vidt det er af væsentlig økonomisk betydning for den virksomhed, som oplysningerne angår. Definitionen af oplysninger vedrørende tekniske indretninger m.v. skal forstås i overensstemmelse med § 30, nr. 2, i offentlighedsloven og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevant praksis.

Det forudsættes desuden, at virksomheden ikke pålægges at offentliggøre oplysninger, der kan udnyttes af ondsindede aktører og derved udgøre en sikkerhedsmæssig risiko for virksomheden. Sådanne oplysninger kan eksempelvis være nærmere information om, hvilke foranstaltninger der ikke er blevet fundet tilstrækkelige på baggrund af tilsyn og kontrol.

Det forudsættes endvidere, at virksomheden ikke pålægges at offentliggøre oplysninger om enkeltpersoners forhold, medmindre disse oplysninger indgår i virksomhedens navn. Oplysninger om enkeltpersoners forhold kan eksempelvis være oplysninger om navne, adresser eller private telefonnumre på medarbejdere eller andre berørte parter.

Klima-, Energi- og Forsyningsministeriet har overvejet om den foreslåede bestemmelse har karakter af en offentliggørelsesordning, som behandlet i betænkning nr. 1516 af 2010 om offentlige myndigheders offentliggørelse af kontrolresultater, afgørelse mv. (betænkning 1516), der vil fordre at ministeriet gennemgik betænkningens ”tjekliste” til brug ved indførelse af ordninger med systematisk offentliggørelse af oplysning om kontrolresultater, afgørelser mv. på internettet i ikke anonymiseret form.

Det fremgår af side 107 i betænkningen, at der med ”systematisk offentliggørelse” forstås, at der på et givent område sker offentliggørelse enten af alle afgørelse eller af en flerhed af afgørelser efter nærmere retningslinjer.

Som det fremgår af ovenstående beskrivelse af bestemmelsens materielle indhold, er der tale om offentliggørelse af et kontrolresultat eller en afgørelse, som eksempelvis afgørelser om påbud eller forbud efter nr. 1-4 samt resumeer af domme eller bødeforlæg, hvor der idømmes eller vedtages en bøde.

Det kan heller ikke udelukkes, at der med ordningen vil være tale om systematisk offentliggørelse.

Klima-, Energi- og Forsyningsministeriet har derfor fundet det nødvendigt at vurdere, om behovet og hensynene fra betænkning 1516’s er opfyldt i forbindelse med indførelsen af den foreslåede offentliggørelsesordning.

Klima-, Energi- og Forsyningsministeriets vurderer, at der behov for at kunne påbyde en virksomhed, at offentliggøre afgørelser om påbud eller forbud efter nr. 1-4 samt resumeer af domme eller bødeforlæg, hvor der idømmes eller vedtages en bøde, i ikke-anonymiseret form og på en nærmere angiven måde. Det skyldes, at det er et krav i NIS 2-direktivets artikel 32, stk. 4, nr. 5, om at: ”Medlemsstaterne sikrer, at deres kompetente myndigheder, når de udøver deres håndhævelsesbeføjelser over for væsentlige enheder, som minimum har beføjelse til at pålægge de pågældende enheder at offentliggøre aspekter af overtrædelser af dette direktiv på en nærmere angivet måde”. Det er Klima-, Energi- og Forsyningsministeriets vurdering, at den foreslåede offentliggørelsesordning vil være en effektiv håndhævelsesforanstaltning overfor en virksomhed og samtidig sikre overholdelsen af NIS 2-direktivets artikel 32, stk. 4, nr. 5. Således vil den blotte mulighed for at benytte denne håndhævelsesforanstaltning kunne tilskynde virksomhederne til at overholde deres forpligtigelser efter loven. Endvidere vil offentligheden, særligt privatforbrugere og virksomheder, der er afhængig af de forskellige energiforsyninger, have interesse i at vide hvilke virksomheder, der ikke opfylder kravene til organisatorisk beredskab, fysisk sikring og cybersikkerhed, således at de aktivt kan vælge en potentielt anden udbyder. I det tilfælde, at forbrugeren ikke har mulighed for at vælge en anden udbyder eller energiforsyning, vil forbrugeren kunne foretage sin egen beredskabsplanlægning, således forbrugeren kan klare sig uden den konkrete energiforsyning i et antal dage, hvilket vil gøre forbrugeren mere robust overfor energiforsyningsafbrud.

Det vil således være en væsentlig information for offentligheden, at blive gjort bekendt med, hvilke virksomheder, der ikke kan overholde kravene til organisatorisk beredskab, fysisk sikring og cybersikkerhed fastsat i denne lov eller regler udstedt i medfør af denne lov.

Ordningen indebærer, at der vil blive offentliggjort oplysninger, som betragtes som særligt indgribende, og derfor i udgangspunktet vil tale i mod at etablere en offentliggørelsesordning. Der kan således ske offentliggørelse af navngivne oplysninger om, hvilke sanktioner virksomheden har modtaget, herunder afgørelser om tvangsforanstaltninger og eventuelle bøder, ligesom virksomhedens navn vil fremgå.

Der er dog tungtvejende samfundsmæssige interesser, som opvejer hensynet til ikke i udgangspunktet at offentliggøre de fysiske og juridiske personers oplysninger om strafbare forhold. Således vil en hændelse hos en virksomhed, som følge af virksomhedens manglende overholdelse af lovforslagets regler eller regler udstedt i medfør af lovforslaget, potentielt have omfattende og meget direkte konsekvenser for samfundets forsyning af forskellige energiarter. Således vil en hændelse hos elektricitetsvirksomhed kunne føre til black out i større dele af Danmark, igennem en hændelse hos visse fjernvarmeoperatører vil kunne føre til, at tusindvis af mennesker står uden varmeforsyning i deres privathjem og på deres arbejde. Offentligheden har således en tungtvejende interesse i at blive bekendtgjort med virksomheder, der ikke overholder lovgivningen, således at de gennem valg af udbyder eller energiforsyning kan minimere risikoen for forsyningssvigt. Såfremt en anden udbyder eller energiforsyning ikke kan vælges pga. monopolforhold kan forbrugeren foretage beredskabsplanlægning for sin egen husholdning, således at forbrugeren kan træffe foranstaltninger, der gør forbrugeren i stand til at klare sig uden energiforsyningen i en rum tid.

Med den foreslåede bestemmelse sikres hjemmel til at offentliggøre information om hændelsen. Det er nærmere afgrænset ovenfor, hvornår bestemmelsen kan anvendes, herunder at der ved offentliggørelse særligt skal tages hensyn til virksomhedernes særligt følsomme oplysninger, og at reglerne om tavshedspligt i anden lovgivning skal overholdes.

Klima-, Energi- og Forsyningsministeriet vurderer på baggrund af ovenstående overvejelser, at de seks punkter i betænkning 1516’s tjekliste vil være overholdt, hvorfor den foreslåede offentliggørelsesordning vil være i overensstemmelse med betænkningens kriterier for sådanne ordninger.

Forså vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger. Der henvises i øvrigt til afsnit 3.7 i lovforslagets almindelige bemærkninger.