Lov om styrket beredskab i energisektoren § 26

Efter elforsyningslovens § 85 c, stk. 4 og gasforsyningslovens § 15 b, stk. 4, er informationer, herunder vurderinger, planer og data, vedrørende sikkerhedsforhold for kritiske it-systemer i virksomheder, omfattet af § 85 c, stk. 1 og § 15 b, stk. 1, fortrolige, hvis oplysningerne er væsentlige af hensyn til driften af virksomheden eller det sammenhængende hhv. elsystem og gassystem.

Det er nærmere fastsat i § 29 i it-beredskabsbekendtgørelsen, at følsomme oplysninger skal behandles med fortrolighed, og at der ved følsomme oplysninger forstås oplysninger om konkrete risici og sårbarheder, planmateriale, kritiske dele af beredskabsplaner, herunder hvordan virksomheden eller sektoren vil agere i givne beredskabssituationer, materiale af tilsvarende karakter, der af virksomheden eller Energinet vurderes følsomt. Endvidere fastsætter § 29, stk. 3, at forsendelse og håndtering af følsomt materiale skal ske på en måde, der sikrer fortrolighed og integritet af materialet, mens § 29, stk. 4, bestemmer at følsomt materiale, som ikke længere benyttes, skal destrueres.

Det er endvidere i § 32 i hhv. elberedskabsbekendtgørelsen og naturgasberedskabsbekendtgørelsen, med hjemmel i elforsyningslovens § 85 b, stk. 3 og 4, og gasforsyningslovens § 15 a, stk. 3 og 4, angivet, at sårbarhedsvurderinger og klassificering efter § 11, stk. 1 og 2, samt kritiske dele af beredskabsplaner og andet materiale af tilsvarende karakter skal behandles fortroligt og ikke må komme uvedkommende i hænde.

Næsten tilsvarende bestemmelser som ovenfor findes i olieberedskabsbekendtgørelsens § 19, der dog har den ekstra tilføjelse i stk. 3, 2. pkt., at udstederen af følsomme oplysninger har pligt til at gøre modtageren opmærksom på eventuelle krav til håndteringen af følsomt materiale.

Det foreslås i stk. 1, at informationer om sikkerhedsgodkendelse og baggrundskontrol samt forhold vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed i virksomheder, der er omfattet af loven eller informationer om energisektoren generelt, som udarbejdes i medfør af denne lov, er fortrolige i de tilfælde der er oplistet i de foreslåede nr. 1-5.

Den foreslåede bestemmelse i stk. 1, skal i udgangspunktet ses som en videreførelse af de ovenstående bestemmelser i hhv. elforsyningsloven, gasforsyningsloven og de fire beredskabsbekendtgørelser, med undtagelse af bestemmelserne om kommercielt følsomme oplysninger.

Først og fremmest er formålet at fastlægge, at en lang række informationer, der bliver udarbejdet og bruges som led i denne lov af både virksomheder og myndigheder, herunder EU-Kommissionen og dennes rådgivende missioner efter § 20, indeholder informationer, som er beskyttelsesværdige, og derfor skal behandles med fortrolighed, af alle der er besiddelse af disse informationer.

Det vil som udgangspunkt være udstederen eller ejeren af oplysningerne, der vurderer oplysningernes fortrolighed samt drager nødvendige foranstaltninger for at beskytte disse.

Bestemmelsen i det foreslåede stk. 1 ændrer ikke ved, at virksomhederne vil skulle udlevere informationer til Energistyrelsen eller EU-Kommissionen og dennes rådgivende missioner efter den foreslåede § 20, i tilsynsøjemed.

Den foreslåede bestemmelse har endvidere som formål at sikre, at personer, der virker inden for den offentlige forvaltning, har tavshedspligt omkring de beskyttelsesværdige informationer, i henhold til forvaltningslovens § 27, stk. 2, 2. pkt., såfremt informationerne ikke allerede er omfattet af en af de andre bestemmelser i forvaltningslovens § 27. Informationerne falder således, grundet klassificeringen som fortrolig ved lov og bekendtgørelse, ind under anvendelsesområdet for forvaltningslovens § 27, stk. 2, 2. pkt. Det betyder, at personer, der virker inden for den offentlige forvaltning, vil kunne ifalde strafansvar efter straffelovens § 152 og §§ 152 c-152 f, såfremt personen bryder sin tavshedspligt om disse informationer.

Den foreslåede bestemmelse indskrænker ikke, at informationer, der ved tilsyn eller på anden vis kommer Energistyrelsen i hænde, vil være omfattet af reglerne om aktindsigt i henhold til lov om offentlighed i forvaltningen, forvaltningsloven samt lov om aktindsigt i miljøoplysninger i de tilfælde, hvor det skønnes, at oplysningerne er miljøoplysninger efter definitionen i § 3 i miljøoplysningsloven.

Der skal således ved vurderingen af, om der kan gives aktindsigt, efter reglerne i offentlighedsloven, forvaltningsloven og miljøoplysningsloven, i de nævnte typer informationer, vurderes om disse informationer falder ind under disse loves undtagelsesbestemmelser, fx angående undtagelse af oplysninger af hensyn til statens sikkerhed eller rigets forsvar, undtagelse af oplysninger af hensyn til rigets udenrigspolitiske interesser m.v. og undtagelse af oplysninger om private forhold og drifts- eller forretningsforhold m.v.

Endvidere vil den foreslåede bestemmelse have den virkning, at der vil være en formodning om, at arkivlovens § 27, stk. 1, nr. 1, 2, 5 og 6, finder anvendelse på de nævnte informationer, som myndigheder, samt selskaber, institutioner, foreninger m.v., efter arkivloven er forpligtiget til at aflevere til offentligt arkiv i henhold til arkivlovens regler. Det betyder, at disse myndigheder, samt selskaber, institutioner, foreninger m.v. vil være forpligtiget til at drøfte med det modtagne arkiv om fastsættelse af en tilgængelighedsfrist, der er så lang som mulig i henhold til den foreslåede § 27, stk. 1.

Det foreslås i nr. 1, at informationerne er fortrolige i det tilfælde, at informationerne indgår i vurderingen af sikkerhedsgodkendelser.

Med den foreslåede bestemmelse vil alle oplysninger der tilgår klima-, energi- og forsyningsministeren i forbindelse med behandlingen af en ansøgning om sikkerhedsgodkendelse efter § 16, stk. 2, være omfattet.

Det foreslås i nr. 2, at informationerne er fortrolige i det tilfælde, at informationerne indgår i vurderingen af baggrundskontrol.

Med den foreslåede bestemmelse vil alle oplysninger der tilgår klima-, energi- og forsyningsministeren i forbindelse med behandlingen af en ansøgning om baggrundskontrol efter § 16, stk. 1, være omfattet.

Det foreslås i nr. 3, at informationerne er fortrolige i det tilfælde, at informationerne er væsentlige af hensyn til driften af virksomheden. Bestemmelsen vedrører eksempelvis risiko og sårbarhedsvurderinger, planmateriale, beredskabsplaner, sikringsplaner, tekniske informationer om opbygning af anlæg og netværksstrukturer samt data der bruges af virksomhederne til at levere deres tjenester.

Ved risiko og sårbarhedsvurderinger forstås i denne bestemmelse beskrivelser af konkrete sårbarheder eller scenarier, der kan afstedkomme en krisesituation eller et angreb, herunder cyberangreb. Vurderinger henviser både til virksomhedens egne vurderinger af egne systemer samt vurderinger af det samlede energisystems sårbarheder.

Ved planmateriale, beredskabsplaner og sikringsplaner forstås i denne sammenhæng beskrivelser af procedure, handlinger eller foranstaltninger, der skal forhindre eller forebygge en krisesituation eller et angreb, herunder cyberangreb.

Ved data forstås i denne sammenhæng følsomme informationer bl.a. data om systemets drift, adgange eller brugerstyring. Disse data beskriver systemers opsætning og adgangsstyring.

Det foreslås i nr. 4, at informationerne er fortrolige i det tilfælde, at informationerne er væsentlige af hensyn til driften af andre virksomheder omfattet af loven.

Informationer, som er væsentlige af hensyn til driften af andre virksomheder omfattet af loven, er de samme typer af informationer der nævnt i forslaget til nr. 3. Forskellen mellem de to bestemmelser er, at der i nr. 4 er formodning om, at den der har informationen i hænde i dette tilfælde ikke er virksomheden som oplysningerne handler om.

Det foreslås i nr. 5, at informationerne er fortrolige i det tilfælde, at informationerne er væsentlige af hensyn til driften af energiforsyningen lokalt, regionalt, nationalt eller på europæisk niveau.

Informationerne, som er væsentlige af hensyn til driften af energiforsyningen lokalt, regionalt, nationalt eller på europæisk niveau, er de samme typer af oplysninger som nævnt i forslaget til nr. 3, men i stedet for at være en virksomheds beredskabsplan eller risiko- og sårbarhedsvurdering, så vil det i denne sammenhæng være f.eks. en beredskabsplan eller risiko- og sårbarhedsvurdering angående beredskabet på lokalt, regionalt, nationalt eller europæisk niveau. Det kan også være andre oplysninger der udarbejdes som led i overholdelsen af loven eller regler udstedt i medfør af loven, som indeholder informationer, der er væsentlige af hensyn til driften af energiforsyningen på lokalt, regionalt, nationalt eller europæisk niveau.

Det foreslås i stk. 2, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om, hvordan virksomheder og myndigheder behandler informationer som nævnt i stk. 1.

Den foreslåede bestemmelse har den virkning, at klima-, energi- og forsyningsministeren bemyndiges til administrativt at fastsætte de nærmere regler for, hvordan virksomheder og myndigheder opbevarer, behandler og deler den type informationer, som der er blevet designeret som fortrolige efter stk. 1.

Det er forventningen, at ministeren vil fastsætte bestemmelser, der pålægger virksomheder og myndigheder selv at gøre opmærksom på, hvordan de forventer, at deres fortrolige informationer bliver behandlet af myndighederne og andre virksomheder, når sådanne fortrolige informationer deles og udveksles. Det forventes dog samtidigt, at ministeren fastsætter regler om, at virksomhederne, desuagtet sådanne instruktioner, skal udlevere de fortrolige informationer, når det er påkrævet i henhold til lovforslagets bestemmelser eller i regler udstedt i medfør i loven, fx i tilsynsøjemed og som led i overholdelsen af underretningspligter.

Endvidere er det forventningen, at ministeren fastsætter bestemmelser om at fortrolige informationer ikke må komme uvedkommende i hænde og at informationer skal udarbejdes, opbevares og deles på en sådan måde, at der ikke kan opnås uautoriseret adgang, ske sletning, ødelæggelse, ændring eller utilsigtet offentliggørelse af disse informationer.

Det er desuden forventningen, at ministeren fastsætter bestemmelser om at fortrolige informationer, som ikke længere benyttes, skal destrueres, medmindre det forsat skal kunne udleveres til tilsyn, i forbindelse med efterforskning eller påkræves bevaret i anden lovgivning såsom arkivloven, forvaltningsloven og offentlighedsloven.

Endeligt er det forventningen, at ministeren fastsætter bestemmelser om, at hvis fortrolige informationer kompromitteres eller mistænkes for at være kompromitteret, så skal skadevirkningerne opgøres og vurderes, ligesom virksomheden skal underrette tilsynsmyndigheden og andre virksomheder, hvor kompromitteringen potentielt kan få konsekvenser for disse virksomheders levering af deres tjenester.

Det er ikke hensigten at fastsætte regler, som overlapper indholdsmæssigt med de regler for klassificeret materiale, som fremgår af sikkerhedscirkulæret.