Lov om styrket beredskab i energisektoren § 29

Det foreslås i § 29, stk. 1, at de forpligtelser, der er fastsat i denne lov eller i regler udstedt i medfør af loven, ikke omfatter meddelelse af oplysninger, når videregivelse ville stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar.

Den foreslåede bestemmelse vil implementere artikel 2, stk. 11, i NIS 2-direktivet, og artikel 1, stk. 8, i CER-direktivet, som fastsætter, at de forpligtelser, der er fastsat i de to direktiver, ikke omfatter meddelelse af oplysninger, hvis videregivelse ville stride mod væsentlige interesser med hensyn til medlemsstaternes nationale sikkerhed, offentlige sikkerhed eller forsvar.

Artikel 2, stk. 11, i NIS 2-direktivet vil skulle implementeres i overensstemmelse med direktivets præambelbetragtning nr. 9, 4. pkt., hvor det fremgår, at ingen medlemsstat bør være forpligtet til at meddele oplysninger, hvis videregivelse efter dens opfattelse ville stride mod dens væsentlige interesser med hensyn til national sikkerhed, offentlig sikkerhed eller forsvar. Det følger samme sted, at nationale regler eller EU-regler om beskyttelse af fortrolige oplysninger, hemmeligholdelsesaftaler og uformelle hemmeligholdelsesaftaler, fx Traffic Light Protocol, bør tages i betragtning i denne sammenhæng. Traffic Light Protocol skal forstås som et middel til at informere om eventuelle begrænsninger, for så vidt angår den videre spredning af oplysninger. Den anvendes i næsten alle enheder, der håndterer it-sikkerhedshændelser (CSIRT'er), og i nogle informationsanalyse- og informationsdelingscentre.

Artikel 1, stk. 8, i CER-direktivet, vil skulle implementeres i overensstemmelse med direktivets præambelbetragtning nr. 11, hvoraf det fremgår, at ingen medlemsstat bør være forpligtet til at meddele oplysninger, hvis videregivelse vil stride mod væsentlige interesser med hensyn til dens nationale sikkerhed, og at EU-regler eller nationale regler om beskyttelse af klassificerede informationer og hemmeligholdelsesaftaler er relevante.

Der foretages en direktivnær minimumsimplementering af bestemmelsen. Den foreslåede bestemmelse vil svare indholdsmæssigt til NIS 2-direktivets artikel 2, stk. 11, og CER-direktivets artikel 1, stk. 8, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Bestemmelsen vil primært være relevant for oplysninger, der udveksles mellem medlemsstaterne og institutioner i Den Europæiske Union. Bestemmelsen vil på denne baggrund hovedsageligt være relevant i forhold til den foreslåede § 28, der udgør Klima-, Energi- og Forsyningsministeriets videregivelseshjemmel hertil.

Under hensyn til bestemmelsen i NIS 2-direktivets artikel 2, stk. 7 (om at direktivet ikke finder anvendelse på offentlige forvaltningsenheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse), er det Klima-, Energi- og Forsyningsministeriets opfattelse, at den foreslåede bestemmelse i § 29, stk. 1, for virksomheders vedkommende vil have et yderst begrænset anvendelsesområde.

Bestemmelsen vil desuden alene vedrøre meddelelsen af oplysninger, som efter en konkret vurdering vil stride mod væsentlige interesser med hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar. Bestemmelsen vil således eksempelvis ikke medføre, at en virksomhed mere generelt kan undlade at efterkomme oplysningsforpligtelserne over for de kompetente myndigheder, herunder som led i myndighedernes tilsyn. Det er Klima-, Energi- og Forsyningsministeriets opfattelse, at det kun vil være i yderst sjældne tilfælde, at videregivelse af en virksomheds oplysninger til Klima-, Energi- og Forsyningsministeriet eller CSIRT’en vil stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar.

Det foreslås i § 29 stk. 2, at oplysninger, der modtages eller hidrører fra myndigheder i andre EU-medlemsstater, behandles som fortrolige, såfremt den afgivende myndighed betragter oplysningerne som fortrolige i henhold til EU-regler eller nationale regler.

Den foreslåede bestemmelse vil bl.a. sikre, at oplysninger, som de danske myndigheder modtager fra andre medlemsstater eller EU-institutioner i medfør af NIS 2-direktivets artikel 23, stk. 6, og artikel 15, stk. 3, i CER-direktivet, vil blive behandlet med den fornødne fortrolighed.

Der er tale om oplysninger vedrørende væsentlige hændelser, der berører to eller flere medlemsstater, jf. NIS 2-direktivets artikel 23, stk. 6, og oplysninger leveret af en kritisk enhed i en underretning om en hændelse, jf. CER-direktivets artikel 15, stk. 3.

Den foreslåede bestemmelse vil finde anvendelse, uanset om oplysningerne modtages direkte fra den pågældende nationale myndighed eller via andre, herunder EU-Kommissionen.