Lov om styrket beredskab i energisektoren § 28

Forvaltningslovens §§ 28-32 fastsætter rammerne for forvaltningsmyndigheders videregivelse af oplysninger til en anden forvaltningsmyndighed. Det følger af forvaltningslovens § 28, stk. 1, at for videregivelse af oplysninger om enkeltpersoner (personoplysninger) til en anden forvaltningsmyndighed gælder reglerne i databeskyttelseslovens §§ 6-8, § 10, § 11, stk. 1, § 38 og § 40. Det følger af § 28, stk. 2, at oplysninger af fortrolig karakter, som ikke er omfattet af stk. 1, kun må videregives til en anden forvaltningsmyndighed, når: 1) den, oplysningen angår, udtrykkeligt har givet sit samtykke, 2) det følger af lov eller bestemmelser fastsat i medfør af lov, at oplysningen skal videregives, eller 3) det må antages, at oplysningen vil være af væsentlig betydning for myndighedens virksomhed eller for en afgørelse, myndigheden skal træffe. Bestemmelsen regulerer imidlertid ikke videregivelse til udenlandske myndigheder.

Derudover reguleres videregivelse af oplysninger, der ville stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige orden eller forsvar bl.a. i sikkerhedscirkulæret, forvaltningslovens regler om tavshedspligt og videregivelse af oplysninger samt straffelovens regler om tavshedspligt.

Det foreslås i § 28, at Klima-, Energi- og Forsyningsministeriet og andre relevante myndigheder kan videregive oplysninger til andre medlemsstaters myndigheder og til institutioner i Den Europæiske Union for at varetage de myndighedsopgaver, der foreslås med dette lovforslag, NIS 2-direktivet og CER-direktivet.

Den foreslåede bestemmelse indebærer, at de relevante myndigheder, CSIRT’en og det centrale kontaktpunkt som led i den nationale gennemførelse af direktiverne, kan videregive oplysninger til andre medlemsstater eller EU-institutioner, hvis det er nødvendigt for at sikre overholdelsen af forpligtelserne i NIS 2- og CER-direktiverne.

Formålet med bestemmelsen er at implementere underretningskravene efter NIS 2-direktivets artikel 3, stk. 5 og stk. 6, samt at implementere øvrige bestemmelser om videregivelse af oplysninger til andre medlemsstaters myndigheder og til institutioner i Den Europæiske Union efter NIS-2-direktivets artikel 23, stk. 6, CER-direktivets artikel 7, stk. 2, artikel 9, stk. 3, artikel 11, stk. 1 og 2, artikel 15, stk. 3, artikel 17, stk. 2, artikel 18, stk. 3 og stk. 4. Disse bestemmelser er beskrevet nedenfor.

Det fremgår af NIS 2-direktivets artikel 3, stk. 5, at de kompetente myndigheder senest den 17. april 2025 og derefter hvert andet år underretter: a) EU-Kommissionen og samarbejdsgruppen om antallet af væsentlige og vigtige enheder, der er opført på den i stk. 3 omhandlede liste for hver af de sektorer og delsektorer, der er omhandlet i bilag I eller II, samt b) EU-Kommissionen om relevante oplysninger med hensyn til antallet af væsentlige og vigtige enheder, der er identificeret i medfør af artikel 2, stk. 2, litra b) -e), hvilke af sektorerne og delsektorerne i bilag I eller II, som de tilhører, hvilken type tjeneste de leverer, og hvilken af bestemmelserne i artikel 2, stk. 2, litra b) -e), i medfør af hvilken de blev identificeret. Efter artikel 3, stk. 6 kan medlemsstaterne frem til den 17. april 2025, på anmodning efter af EU-Kommissionen, underrette EU-Kommissionen om navne på de væsentlige og vigtige enheder, der er omhandlet af stk. 5, litra b, som gengivet ovenfor.

Det følger endvidere af NIS 2-direktivets artikel 23, stk. 6, at hvor det er relevant, informerer CSIRT'en, den kompetente myndighed eller det centrale kontaktpunkt uden unødigt ophold de øvrige berørte medlemsstater og ENISA om den væsentlige hændelse, navnlig hvor den væsentlige hændelse berører to eller flere medlemsstater. Det følger af samme bestemmelse, at sådan information omfatter den type af oplysninger, der er modtaget i overensstemmelse med artikel 23, stk. 4, om enhedernes underretninger om væsentlige hændelser, og at CSIRT'en, den kompetente myndighed eller det centrale kontaktpunkt i den forbindelse i overensstemmelse med EU-retten eller national ret sikrer enhedens sikkerhed og kommercielle interesser samt fortrolig behandling af de afgivne oplysninger.

Efter bestemmelsen i artikel 23, stk. 6, skal CSIRT’en, Klima-, Energi- og Forsyningsministeriet eller det centrale kontaktpunkt således i relevant omfang videregive oplysninger, som er modtaget i medfør af de foreslåede bestemmelser i §§ 12 og 15 om hændelsesunderretninger, til øvrige berørte medlemsstater og ENISA.

Det følger af CER-direktivets artikel 7, stk. 2, at medlemsstaterne efter identifikationen af de kritiske enheder i henhold til artikel 6, stk. 1, sender følgende oplysninger uden unødigt ophold til EU-Kommissionen: a) en liste over væsentlige tjenester i pågældende medlemsstat, hvis der er yderligere væsentlige tjenester sammenlignet med den i artikel 5, stk. 1, omhandlede liste over væsentlige tjenester, b) antallet af identificerede kritiske enheder for hver sektor og delsektor anført i bilaget og for hver væsentlig tjeneste, c) eventuelle tærskler, der anvendes til at specificere et eller flere af kriterierne i stk. 1. Tærskler som omhandlet i første afsnits litra c) kan forelægges som de er eller i aggregeret form.

I den forbindelse vil klima-, energi og forsyningsministeren have hjemmel i den foreslåede bestemmelse i § 28 til at kunne videresende igennem det centrale kontaktpunkt de ovennævnte oplysninger til EU-Kommissionen.

Det følger af CER-direktivets artikel 9, stk. 3, at de centrale kontaktpunkter senest den 17. juli 2028 og derefter hvert andet år forelægger en sammenfattende rapport for EU-Kommissionen og for Gruppen for Kritiske Enheders Modstandsdygtighed omhandlet i artikel 19 om de underretninger, de har modtaget, herunder antallet af underretninger, arten af de hændelser, der er underrettet om, og de tiltag, der er taget i overensstemmelse med artikel 15, stk. 3.

I den forbindelse vil klima-, energi- og forsyningsministeren have hjemmel i den foreslåede § 28, til at videregive de nævnte informationer til det centrale kontaktpunkt for Danmark efter CER-direktivet, således at disse informationer kan indgå i den sammenfattende rapport til EU-Kommissionen og Gruppen for Kritiske Enheders Modstandsdygtighed.

Det følger endvidere af CER-direktivets artikel 11, stk. 1 og 2, at når det er relevant, konsulterer medlemsstaterne hinanden vedrørende kritiske enheder med henblik på at sikre en konsekvent anvendelse af dette direktiv. Sådanne konsultationer skal navnlig finde sted vedrørende kritiske enheder, der: a) anvender kritisk infrastruktur, som er fysisk sammenkoblet mellem to eller flere medlemsstater, b) er en del af selskabsstrukturer, som er sammenkoblet eller forbundet med kritiske enheder i en anden medlemsstat, c) er blevet identificeret som kritiske enheder i en medlemsstat, og som leverer væsentlige tjenester til eller i andre medlemsstater. De i stk. 1 omhandlede konsultationer tager sigte på at styrke kritiske enheders modstandsdygtighed og, hvor det er muligt, mindske disses administrative byrde.

Her vil klima-, energi- og forsyningsministeren have hjemmel i den foreslåede § 28 til at konsultere med kompetente myndigheder, CSIRT’er og Centrale Kontaktpunkter i andre medlemsstater for at sikre konsekvent anvendelse af direktivet på kritiske enheder.

Det følger endvidere af CER-direktivets artikel 15, stk. 3, at på grundlag af oplysninger leveret af en kritisk enhed i en underretning om en hændelse, jf. den foreslåede § 12, orienterer den relevante kompetente myndighed via det centrale kontaktpunkt andre berørte medlemsstaters centrale kontaktpunkter, hvis hændelsen har eller kunne have betydelig indvirkning på kritiske enheder og kontinuiteten i leveringen af væsentlige tjenester til eller i en eller flere andre medlemsstater. Det følger af samme bestemmelse, at centrale kontaktpunkter, der fremsender og modtager sådanne oplysninger, i overensstemmelse med EU-retten eller national ret skal behandle disse oplysninger på en måde, der respekterer deres fortrolighed og beskytter den berørte kritiske enheds sikkerhed og kommercielle interesser.

Efter bestemmelsen i CER-direktivets artikel 15, stk. 3, vil Klima-, Energi- og Forsyningsministeriet således i relevant omfang skulle videregive oplysninger, som er modtaget i medfør af de foreslåede bestemmelser i §§ 12 og 15 om hændelsesunderretninger, til øvrige berørte medlemsstater.

På baggrund af CER-direktivets artikel 17, stk. 2, skal myndighederne endvidere videregive oplysninger til EU-Kommissionen om identiteten af kritiske enheder, som leverer væsentlige tjenester til eller i seks eller flere medlemsstater, samt om de oplysninger, som enhederne leverer i henhold til den foreslåede bestemmelse i § 5, stk. 2.

Det følger af CER-direktivets artikel 18, stk. 3, om rådgivende missioner, at medlemsstaten efter en begrundet anmodning fra EU-Kommissionen, eller en eller flere medlemsstater, hvortil eller hvori den væsentlige tjeneste leveres, som har identificeret en kritisk enhed af særlig europæisk betydning som en kritisk enhed i henhold til artikel 6, stk. 1, skal give EU-Kommissionen følgende: a) de relevante dele af den kritiske enheds risikovurdering, b) en oversigt over relevante foranstaltninger, der er truffet i overensstemmelse med artikel 13, c) tilsyns- eller håndhævelsestiltag, herunder vurderinger af overholdelse eller udstedte påbud, som den kompetente myndighed har taget i henhold til artikel 21 og 22 med hensyn til den pågældende kritiske enhed.

Her vil klima-, energi- og forsyningsministeren have hjemmel i den foreslåede § 28 til at fremsende de oplysninger, der er nævnt ovenfor, til EU-Kommissionen eller til andre EU-medlemsstater, jf. dog § 29, stk. 1, i lovforslaget.

Endeligt følger det af CER-direktivets artikel 18, stk. 4, at medlemsstater, hvor det er nødvendigt, skal kunne rådgive EU-Kommissionen om, hvorvidt den kritiske enhed af særlig europæisk betydning opfylder sine forpligtelser i henhold til direktivet kapitel III og, hvis det er relevant, hvilke foranstaltninger der kunne træffes for at forbedre den pågældende kritiske enheds modstandsdygtighed.

Artikel 18, stk. 4, fastsætter endvidere, at den kompetente myndighed, der har identificeret en kritisk enhed i henhold til artikel 6, stk. 1, i CER-direktivet, skal give EU-Kommissionen og de medlemsstater, hvortil eller hvori den væsentlige tjeneste leveres, oplysninger om de foranstaltninger, som den kompetente myndighed og kritiske enhed af særlig europæisk betydning har truffet i medfør af den udtalelse EU-Kommissionen har givet den kritiske enhed af særlig europæisk betydning og den kompetente myndighed efter artikel 18, stk. 4, 3. afsnit.

Her vil klima-, energi- og forsyningsministeren have hjemmel i den foreslåede § 28 til at fremsende oplysninger til EU-Kommissionen eller til andre EU-medlemsstater, som CER-direktivets artikel 18, stk. 4, påkræver, jf. dog § 29, stk. 1, i lovforslaget.

For så vidt angår de persondataretlige overvejelser, henvises der til pkt. 4 i de almindelige bemærkninger.