Lov om styrket beredskab i energisektoren § 37

Det følger af elforsyningslovens § 87, stk. 1, nr. 7, at medmindre højere straf er forskyldt efter anden lovgivning, straffes med bøde den, der undlader at efterkomme påbud eller forbud efter loven, herunder påbud om at berigtige et ulovligt forhold. Desuden kan der efter elforsyningslovens § 88, stk. 1, i regler, som udstedes i henhold til loven, fastsættes bødestraf for overtrædelse af bestemmelserne i eller vilkår og påbud udstedt i henhold til reglerne. I elberedskabsbekendtgørelsens § 35, stk. 1, er der fastsat nærmere regler for bødestraf.

Det følger af gasforsyningslovens § 49, stk. 1, nr. 6, at medmindre højere straf er forskyldt efter anden lovgivning, straffes med bøde den, der undlader at efterkomme påbud eller forbud efter loven, herunder påbud om at berigtige et ulovligt forhold. Desuden kan der efter gasforsyningslovens § 50, stk. 1 i regler, som udstedes i henhold til loven, fastsættes bødestraf for overtrædelse af bestemmelserne i eller vilkår og påbud udstedt i henhold til reglerne. I naturgasberedskabsbekendtgørelsens § 35, stk. 1, er der fastsat nærmere regler for bødestraf.

Efter olieberedskabslovens § 23, stk. 1, nr. 5, gælder det, at medmindre højere straf er forskyldt efter anden lovgivning, straffes med bøde den, der undlader at efterkomme påbud efter loven eller regler udstedt i medfør af loven. Af olieberedskabslovens § 23, stk. 2, følger det, at der kan fastsættes bødestraf for overtrædelse af bestemmelserne i reglerne eller vilkår fastsat i henhold til reglerne og for manglende overholdelse af påbud meddelt i henhold til reglerne. I olieberedskabsbekendtgørelsens § 22 er der fastsat nærmere regler for bødestraf.

Der henvises i øvrigt til afsnit 3.7.1 i lovforslagets almindelige bemærkninger.

Det foreslås i § 37, stk. 1, at med bøde straffes den, der måtte udføre de i nr. 1-6 oplistede undladelser og handlinger.

Den foreslåede bestemmelse vil implementere artikel 36, stk. 1, i NIS 2-direktivet. Artikel 36, stk. 1, forpligter medlemsstaterne til at fastsætte regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale foranstaltninger, der er vedtaget i medfør af NIS 2-direktivet og til at træffe alle nødvendige foranstaltninger for at sikre, at de gennemføres. NIS-direktivet bestemmer ligeledes at sanktionerne skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Den foreslåede bestemmelse vil endvidere implementere NIS 2-direktivets artikel 34, hvoraf det følger, at medlemsstaterne sikrer, at de administrative bøder, der pålægges væsentlige og vigtige enheder i henhold til artiklen, for så vidt angår overtrædelser af direktivet, er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning, under hensyntagen til omstændighederne i hver enkelt sag.

Med det foreslåede § 37, stk. 1 gennemføres artikel 34, stk. 2 i NIS-2 direktivet således, at kan administrative bøder pålægges i tillæg til en hvilken som helst af foranstaltningerne omhandlet i artikel 32, stk. 4, litra a-h, artikel 32, stk. 5, og artikel 33, stk. 4, litra a-g.

Efter NIS 2-direktrivets artikel 34, stk. 4, skal medlemsstaterne sikre, at hvor væsentlige enheder overtræder artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller 23 (rapporteringsforpligtelser), straffes de i overensstemmelse med artiklernes stk. 2 og 3 med administrative bøder med et maksimum på mindst 10.000.000 euro eller et maksimum på mindst 2 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den væsentlige enhed tilhører alt efter, hvad der er højest.

Det følger af NIS 2-direkitvets artikel 34, stk. 5, at medlemsstaterne sikrer, at hvor vigtige enheder overtræder artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller 23 (rapporteringsforpligtelser), straffes de i overensstemmelse med artiklernes stk. 2 og 3 med administrative bøder med et maksimum på mindst 7.000.000 euro eller et maksimum på mindst 1,4 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den vigtige enhed tilhører alt efter, hvad der er højest.

Det følger af NIS 2-direktivets artikel 34, stk. 8, 1. og 2. pkt., at hvis en medlemsstats retssystem ikke giver mulighed for at pålægge administrative bøder, sørger den pågældende medlemsstat for, at artiklen anvendes på en sådan måde, at den kompetente myndighed tager skridt til bøder, og de kompetente nationale domstole pålægger dem, idet det sikres, at disse retsmidler er effektive, og at deres virkning svarer til virkningen af administrative bøder, som pålægges af de kompetente myndigheder. De bøder, der pålægges, skal under alle omstændigheder være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Den foreslåede bestemmelse vil herudover, i kombination med den foreslåede bestemmelse i § 7, stk. 1, gennemføre NIS 2-direktivets artikel 20, stk. 1, hvoraf det følger, at medlemsstaterne sikrer, at de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet med henblik på at overholde artikel 21, fører tilsyn med dens gennemførelse og kan gøres ansvarlige for enhedernes overtrædelser af forpligtelserne i nævnte artikel.

Den foreslåede bestemmelse vil desuden gennemføre artikel 22, 1. og 2. pkt., i CER-direktivet, hvoraf følger, at medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale foranstaltninger, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Det forudsættes, at det alene er de bestemmelser ,der specifikt henvises til, som vil have særlig betydning for så vidt angår udmålingen af bøders størrelse. Det samme gælder eventuel udmåling af bøder til fysiske personer, hvor det dog i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 130, 2. pkt., forudsættes, at der vil blive lagt vægt på det generelle indkomstniveau og personens økonomiske stilling.

For virksomheder svarende til væsentlige enheder efter NIS 2-direktivet, forudsættes det i overensstemmelse med NIS 2-direktivets artikel 34, stk. 4, at bødens størrelse for virksomheders overtrædelse af bestemmelserne i §§ 6-10, § 11, stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr. 1-7, §§ 21 og 22, maksimalt vil udgøre et beløb svarende til 10.000.000 euro eller 2 pct. af den væsentlige enheds samlede globale årsomsætning i det foregående regnskabsår, alt efter hvad der er højest.

For virksomheder svarende til vigtige enheder efter NIS 2-direktivet, forudsættes det i overensstemmelse med NIS 2-direktivets artikel 34, stk. 5, at bødens størrelse for virksomheders overtrædelse af bestemmelserne i §§ 6-10, § 11, stk. 2, §§ 12 og 13, § 14, stk. 2, § 19, stk. 2, nr. 1-7, §§ 21 og 22, maksimalt vil udgøre et beløb svarende til 7.000.000 euro eller 1,4 pct. af den væsentlige enheds samlede globale årsomsætning i det foregående regnskabsår, alt efter hvad der er højest.

Det forudsættes i overensstemmelse med CER-direktivets artikel 22 og NIS 2-direktivets artikel 34, stk. 3, jf. artikel 32, stk. 7, at der vil blive lagt vægt på en række strafskærpende og strafformildende omstændigheder ved pålæg af en bøde og ved udmåling af bødens størrelse, herunder overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser. Således vil gentagne overtrædelser, manglende underretning om eller afhjælpning af væsentlige hændelser, manglende afhjælpning af mangler efter bindende instrukser fra kompetente myndigheder, hindringer for audits eller overvågningsaktiviteter påbudt af den kompetente myndighed efter konstatering af en overtrædelse og afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende cybersikkerhedsrisikostyringsforanstaltninger eller rapporteringsforpligtelser, der er fastsat i § 6, §§ 12-13 og §§ 15-16, under alle omstændigheder vil skulle betragtes som alvorlige overtrædelser, i overensstemmelse med CER-direktivets artikel 22 og NIS 2-direktivets artikel 34, stk. 3, jf. artikel 32, stk. 7.

Endvidere vil der blive lagt vægt på fx overtrædelsens varighed, den pågældende virksomheds relevante tidligere overtrædelser ved pålæg af en bøde og ved udmåling af bødens størrelse. Ligesom der vil blive lagt vægt på, om der er indtruffet en materiel eller immateriel skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt.

De almindelige regler i straffelovens kapitel 10 om henholdsvis strafskærpende og strafformildende omstændigheder vil ligeledes iagttages ved anvendelsen af nærværende strafbestemmelser.

Den fastsatte bøde skal i overensstemmelse med NIS 2-direktivets artikel 34, stk. 1 og CER-direktivets artikel 22, være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning under hensyntagen til omstændighederne i den konkrete sag.

Bøder vil i overensstemmelse med NIS 2-direktivets artikel 34, stk. 2, kunne pålægges i tillæg til håndhævelsesforanstaltningerne i de foreslåede §§ 20, 22 og 23.

Der lægges med loven ikke op til at omfatte virksomheder baseret på antal ansatte og virksomhedens årlige omsætning eller bruttofortjeneste. Det skyldes, at denne afgrænsning ikke inddrager virksomhedernes forsyningsmæssige størrelse og kritikalitet, og at kun få energivirksomheder vil blive omfattet. Eksempelvis kan koncernkonstruktioner med datterselskaber indebære, at energivirksomheder med stor kritikalitet kan have få ansatte eller lav omsætning eller balance. I stedet lægges der op til for begge direktiver at følge den nuværende afgrænsningsmodel i energisektoren, som er den model, der bl.a. er blevet brugt ved implementering af NIS 1-direktivet i energisektoren. Herved er det forsyningsstørrelsen, forstået som fx den samlede energiproduktion, produktions- eller lagerkapacitet eller antal kunder, og i nogle tilfælde virksomhedens eller anlæggets rolle i energisystemerne, der er afgørende for, om virksomheden omfattes af beredskabsregulering. Dette skyldes, at forsyningsstørrelsen i højere grad afspejler virksomhedens kritikalitet for energiforsyningen der primært er afgørende for, om virksomheden omfattes af beredskabsregulering. Det vurderes, at denne afgrænsning stadig lever op til direktiverne.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 35, stk. 2, for så vidt angår væsentlige enheder. Bestemmelsen fastsætter desuden bødestraf for overtrædelser af bestemmelser, som implementerer CER-direktivet og går dermed videre end minimumskravene i CER-direktivets artikel 22. Bestemmelsen skal derudover forstås og anvendes i overensstemmelse med direktivernes forudsætninger.

Om valg af ansvarssubjekt henvises til afsnit 3.5.2.3 i lovforslagets almindelige bemærkninger.

Det foreslås i § 37, stk. 1, nr. 1, at der med bøde straffes den, der undlader at efterkomme påbud efter § 14, stk. 2.

Den foreslåede bestemmelse medfører, at virksomheder kan straffes med bøde, såfremt virksomheden undlader at efterkomme klima-, energi- og forsyningsministerens påbud om, at virksomheden skal informere offentligheden om den hændelse, som virksomheden måtte være ramt af.

Det foreslås i § 37, stk. 1, nr. 2, at der med bøde straffes den, der hindrer myndighederne i at føre kontrol efter § 19, stk. 2, nr. 1-6,

Den foreslåede bestemmelse medfører, at virksomheder vil kunne straffes med bøde, såfremt virksomheden hindrer at klima-, energi- og forsyningsministeren eller rådgivende missioner efter § 20 kan gennemføre sit tilsyn eller rådgivende mission. Virksomheden vil kunne straffes med bøde, såfremt virksomheden helt nægter eller obstruerer klima-, energi- og forsyningsministeren eller den rådgivende mission i at foretage tilsyn og kontrol hos virksomheden ved at inspicere de lokaler, som virksomheden bruger til at levere sine tjenester. Derudover vil virksomheden kunne straffes med bøde, såfremt virksomheden helt nægter eller obstruerer klima-, energi- og forsyningsministeren eller den rådgivende mission i at foretage stikprøvekontroller, foretage regelmæssige kontrol- og tilsynsbesøg hos virksomheder, foretage ad hoc-tilsyn, foretage sikkerhedsscanninger og penetrationstest af virksomhedens net- og informationssystemer samt fysiske lokationer, at udlevere oplysninger og dokumentation, der er nødvendige for at vurdere foranstaltningerne vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed, som virksomheden har indført efter loven og regler udstedt i medfør af loven, at give adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.

Bestemmelsen vil finde anvendelse også ved delvis nægtelse af de ovenstående. Obstruktionen, der udløser en bødestraf efter denne bestemmelse, kan være at virksomheden er så lang tid om at efterkomme myndighedernes kontrolbeføjelser, at tilsynet ikke kan gennemføres effektivt.

Det foreslås i § 37, stk. 1, nr. 3, at der med bøde straffes den, der undlader at efterkomme påbud efter § 21 og § 22, stk. 1 og 2.

Den foreslåede bestemmelse medfører, at virksomheder vil kunne straffes med bøde, såfremt virksomheden undlader at efterkomme klima-, energi- og forsyningsministerens påbud eller forbud om, at virksomheden skal træffe foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, og som anses for nødvendige for at sikre overholdelsen af krav fastsat i loven og regler udstedt i medfør af loven. Det gælder navnlig, at virksomheden skal underrette de fysiske eller juridiske personer, til hvilke den leverer tjenester eller udfører aktiviteter, og som potentielt kan være berørt af en væsentlig cybertrussel, om denne trussels karakter, samt at virksomheden skal underrette disse om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel. Det gælder desuden kravet om, at virksomheden skal udpege en person med ansvar for i en nærmere fastsat periode at føre tilsyn med virksomhedens overholdelse af lovens §§ 6-9 og §§ 12-14, samt regler udstedt i medfør heraf, samt at virksomheden skal offentliggøre afgørelser om påbud eller forbud efter nr. 1-4 samt resumeer af domme eller bødeforlæg, hvor der idømmes eller vedtages en bøde, i ikke-anonymiseret form og på en nærmere angiven måde.

Den foreslåede bestemmelse medfører desuden, at virksomheder vil kunne straffes med bøde, såfremt virksomheden undlader at efterkomme klima-, energi- og forsyningsministerens påbud om, at virksomheden skal få foretaget en revision af net- og informationsforanstaltninger, modstandsdygtighedsforanstaltninger og kritiske systemer ved en uafhængig revisor, såfremt virksomheden ikke har opfyldt et eller flere påbud udstedt efter § 21.

Den foreslåede bestemmelse medfører desuden, at virksomheder vil kunne straffes med bøde, såfremt virksomheden undlader at efterkomme klima-, energi- og forsyningsministerens påbud om at gennemføre tiltag, som på baggrund af en revision efter § 22, stk. 1, vurderes nødvendige for at opretholde et tilstrækkeligt beredskab.

Det foreslås i § 37, stk. 1, nr. 4, at der med bøde straffes den, der undlader at efterkomme en afgørelse efter § 23, stk. 1, nr. 1 eller 2,

Den foreslåede bestemmelse medfører, at virksomheder vil kunne straffes med bøde, såfremt virksomheden undlader at efterkomme klima-, energi- og forsyningsministerens afgørelse om at midlertidigt suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, virksomheden leverer, eller aktiviteter, der udføres af virksomheden eller afgørelse om midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos virksomheden at udøve ledelsesfunktioner i den pågældende virksomhed.

Det foreslås i § 37, stk. 1, nr. 5, at der med bøde straffes den, der meddeler Energiklagenævnet urigtige, vildledende oplysninger eller undlader, at meddele oplysninger efter anmodning i medfør af § 31, stk. 6.

Den foreslåede bestemmelse medfører, at virksomheder vil kunne straffes med bøde, såfremt virksomheden meddeler Energiklagenævnet urigtige, vildledende oplysninger eller undlader, at meddele oplysninger efter anmodning i medfør af § 31, stk. 6.

Det foreslås i § 37, stk. 1, nr. 6, at der med bøde straffes den, der meddeler klima-, energi- og forsyningsministeren eller Energinet urigtige eller vildledende oplysninger eller undlader at meddele oplysninger i medfør af § 35, stk. 1.

Den foreslåede bestemmelse medfører, at virksomheder vil kunne straffes med bøde, såfremt virksomheden meddeler klima-, energi- og forsyningsministeren eller Energinet urigtige eller vildledende oplysninger eller undlader at meddele oplysninger i medfør af § 35, stk. 1

Det foreslås i § 37, stk. 2, at der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Den foreslåede bestemmelse indebærer, at selskaber m.v. (juridiske personer) vil kunne ifalde strafansvar for overtrædelse af denne lov efter reglerne i straffelovens kapitel 5.

Det foreslås i § 37, stk. 3, at der ikke kan pålægges bøde efter denne lov, hvor der er pålagt en bøde for overtrædelse af databeskyttelsesforordningen eller databeskyttelsesloven, hvis overtrædelsen skyldes den samme adfærd som den, der var genstand for bøden i medfør af databeskyttelsesforordningen eller databeskyttelsesloven.

Den foreslåede bestemmelse vil implementere NIS 2-direktivets artikel 35, stk. 2, hvoraf det følger, at tilsynsmyndighederne efter Europa-Parlamentets og Rådets forordning af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen) har pålagt en bøde i henhold til forordningens artikel 58, stk. 2, litra i, må de kompetente myndigheder efter NIS 2-direktivet ikke pålægge en bøde i henhold til NIS 2-direktivets artikel 34, der skyldes den samme adfærd som den, der var genstand for bøden efter databeskyttelsesforordningen.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 35, stk. 2, og skal således forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Klima-, energi- og forsyningsministeren vil fortsat kunne anvende håndhævelsesforanstaltninger i medfør af denne lov, uagtet at der måtte være pålagt en bøde for overtrædelse af databeskyttelseslovgivningen.

Det foreslås i § 37, stk. 4, at der i forskrifter, der udstedes i medfør af loven, kan fastsættes straf af bøde for overtrædelse af bestemmelser i forskrifterne.

Bestemmelsen vil indeholde hjemmel til fastsættelse af straffebestemmelser i forskrifter, som vil skulle medvirke til at sikre overholdelse af reglerne, der forventes udmøntet ved administrativ regulering i form af bekendtgørelser.

De strafbestemmelser, der måtte fastsættes i forskrifter, skal overholde de i til § 37, stk. 1, beskrevne rammer for bødestørrelsens fastsættelse. Bestemmelsen forventes anvendt til at supplere den foreslåede bestemmelse i § 37, stk. 1. Bestemmelsen forventes kun anvendt i begrænset omfang, da § 37, stk. 1, sammen med §§ 21-24, udgør en god sanktionstrappe, der umiddelbart vurderes tilstrækkelig til at håndhæve loven og regler udstedt i medfør af loven overfor virksomhederne.