Lov om styrket beredskab i energisektoren § 22

Ifølge elforsyningslovens § 85 c, stk. 2, og gasforsyningslovens § 15 b, stk. 2, kan klima-, energi- og forsyningsministeren påbyde virksomheder, som ikke har efterkommet påbud om overholdelse af krav til virksomhedernes it-beredskab, at foretage en it-revision af kritiske it-systemer ved en uafhængig revisor godkendt af tilsynsmyndigheden.

Efter olieberedskabslovens § 17, stk. 4, kan klima-, energi- og forsyningsministeren bestemme, at virksomheder skal fremsende en revisorerklæring om rigtigheden af fremsendte oplysninger om virksomhedens salg, køb og lagerbeholdninger af olie.

Det foreslås i stk. 1, at klima-, energi- og forsyningsministeren ved manglende opfyldelse af påbud efter § 21, stk. 1, nr. 1-5, kan påbyde virksomheder at få foretaget en revision af net- og informationsforanstaltninger, modstandsdygtighedsforanstaltninger og kritiske systemer ved en uafhængig revisor. Udgifterne til revisionen afholdes af virksomheden.

Efter bestemmelsen i CER-direktivets artikel 21, stk. 1, litra b, skal medlemsstater sikre, at de kompetente myndigheder har beføjelser og midler til at foretage eller kræve revision af kritiske enheder.

Den foreslåede bestemmelse vil bygge videre på gældende bestemmelser fra el- og gassektoren, hvor ministeren kan påbyde virksomheder at foretage en revision. Den foreslåede bestemmelse vil kunne anvendes i flere tilfælde end tidligere. Som efter gældende regulering vil bestemmelsen finde anvendelse på net- og informationssystemer, svarende til it-beredskab, desuden vil klima-, energi- og forsyningsministeren påbyde virksomheder at få foretaget revision af modstandsforanstaltninger, som anvendes ved den fysiske sikring af virksomheden.

Revisionen vil adskille sig fra det generelle tilsyn, der er foreslået i lovforslagets § 19, ved at revisionen vil skulle udføres af en uafhængig revisor fremfor tilsynsmyndigheden, og at revisionen ikke vil være bundet af de tilsyns- og kontrolrammer, som anvendes af tilsynsmyndigheden.

Efter den foreslåede bestemmelse, vil klima-, energi- og forsyningsministeren kunne påbyde en revision, når håndhævelsesforanstaltninger, der er meddelt efter den foreslåede § 21, nr. 1-5, ikke vurderes tilstrækkeligt efterlevet. Påbud vil dermed kunne ske på baggrund af tilsyn, hvor tilsynsmyndigheden bliver opmærksom på manglende overholdelse af påbud hos virksomheder eller hvis sådan viden opnås gennem andre kanaler.

Det foreslåede vil medføre, at Klima-, energi og forsyningsministeren vil skulle foretage en konkret vurdering af omstændighederne i hver enkelt sag, hvor virksomheden påbydes at foretage en revision. Et påbud om revision vil skulle være proportionelt med de mangler, som er konstateret hos virksomheden.

Det forudsættes, at ministeren i sin vurdering af, om der vil skulle meddeles et påbud, vil skulle tage hensyn til overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser. Ved vurderingen af overtrædelsens grovhed skal følgende handlinger betragtes som alvorlige overtrædelser; gentagne overtrædelser, manglende underretning om eller afhjælpning af væsentlige hændelser, manglende afhjælpning af mangler efter bindende instrukser og afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende net- og informationssikkerhedsrisikostyringsforanstaltninger, modstandsforanstaltninger eller rapporteringsforpligtelser, der er fastsat i de foreslåede bestemmelser i §§ 6-9, 12, 13, 15 og 16. Endvidere vil ministeren i sin vurdering af, om der vil skulle meddeles et påbud, skulle tage hensyn til overtrædelsens varighed, den pågældende virksomheds relevante tidligere overtrædelser, enhver materiel eller immateriel skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt, hvorvidt der ved overtrædelsen er handlet forsætligt eller uagtsomt, enhver foranstaltning truffet af enheden for at forebygge eller afbøde den materielle eller immaterielle skade, hvorvidt godkendte adfærdskodekser eller godkendte certificeringsmekanismer er overholdt, og i hvilken udstrækning de fysiske eller juridiske personer, der holdes ansvarlige for overtrædelsen, samarbejder med de kompetente myndigheder.

Revisionen vil være afgrænset til de net- og informationssystemer, modstandsdygtighedsforanstaltninger og kritiske it-systemer, der indgår i virksomhedens opfyldelse af regler efter lovforslaget og regler udstedt i medfør af lovforslaget. Dermed vil en revision påbudt efter den foreslåede bestemmelse, ikke omfatte virksomhedens generelle regnskaber. Generelle administrative it-systemer vil være omfattet af en sådan revision, da cyberangreb ofte bruger sådanne systemer som en angrebsvinkel, til eksempelvis at tilegne sig adgang til andre systemer. Desuden vil revisionen få kompetence til at undersøge virksomhedens modstandsdygtighedsstyringsforanstaltninger.

Det forudsættes ved gennemførelsen af revisionen efter den foreslåede bestemmelse, at revisionen vil munde ud i en rapport, der vil indeholde en række anbefalinger fremsat af revisoren, der opstiller de tiltag som den pågældende virksomhed efter revisorens faglige vurdering, skal bringe i orden for at overholde lovforslagets regler om organisatorisk beredskab, fysisk sikring og cybersikkerhed og regler udstedt i medfør af dette lovforslag om disse emner.

Det forudsættes ligeledes ved gennemførelsen af bestemmelsen, at tilsynsmyndigheden, på baggrund af indholdet af revisorens rapport, kan blive tilsikret i den faglige kvalitet af revisionen, hvorved tilsynsmyndighedens afgørelse efter den foreslåede bestemmelse i stk. 2, kan underbygges med konkret faglig indsigt.

Det forudsættes endeligt ved gennemførelsen af bestemmelsen, at der er en vis fleksibilitet i bestemmelsen, i det den teknologiske udvikling på dette område gør, at der er behov for at kunne ændre på rammen for revisionen af virksomheden samt indholdet af revisorens rapport.

Det følger af den foreslåede stk. 2, at klima-, energi og forsyningsministeren kan påbyde virksomheder at gennemføre tiltag, som på baggrund af en revision efter stk. 1, vurderes nødvendige for at opretholde et tilstrækkeligt beredskab.

Efter den foreslåede bestemmelse, vil virksomheder dermed ikke allerede i medfør af revisionen være bundet af konklusionerne efter en afholdt revision. Virksomhederne vil med hjemmel i den foreslåede stk. 2 kunne påbydes at gennemføre tiltag på baggrund af revisionen. Bestemmelsen indebærer dermed, at klima-, energi- og forsyningsministeren konkret vil skulle gennemgå rapporter udarbejdet på baggrund af en revision, og vil efterfølgende kunne træffe afgørelse om at påbyde tiltag fra revisionen gennemført.

Det følger af den foreslåede stk. 3, at klima-, energi- og forsyningsministeren kan fastsætte nærmere regler for, hvordan den uafhængige revisor udpeges og godkendes.

Bestemmelsen har til formål at sikre, at der kan fastsættes regler, som understøtter, at den udpegede revisor er uafhængig af den virksomhed, som skal have foretage revision.

Med den foreslåede bestemmelse forventes det at der af klima-, energi- og forsyningsministeren vil kunne blive fastsat regler om af den uafhængige revisor, skal godkendes af klima-, energi- og forsyningsministeren forud for at revisionen må påbegyndes. For at lette godkendelsesprocessen forudsættes det, at konsekvensen af de regler, der fastsættes efter stk. 3, vil være, at klima-, energi- og forsyningsministeren kan udarbejde en liste med forhåndsgodkendte revisorer, hvor forhåndsgodkendelsen er af revisorens faglige niveau. Således vil vurderingen i det enkelte tilfælde kun være af om revisoren er uafhængig ift. den virksomhed der skal revideres.

Med den foreslåede bestemmelse forventes det, at der ligeledes vil kunne fastsættes regler om, hvilke kriterier en revisor skal opfylde for kunne sige at være uafhængig fra virksomheden, der skal revideres. Eksempelvis hvor lang tid siden revisoren senest må have foretaget arbejde for virksomheden eller nogle af virksomhedens andre koncernforbundne virksomheder.