Lov om styrket beredskab i energisektoren § 4

Efter § 3, stk. 1, i bekendtgørelse om identifikation og udpegning af europæisk kritisk infrastruktur på energiområdet og vurdering af behovet for bedre beskyttelse, foretager Energistyrelsen identifikation af europæisk kritisk infrastruktur. Metoden for udpegelse fremgår af bekendtgørelsens § 4, stk. 1. Bekendtgørelsen er udstedt i medfør af elforsyningsloven, gasforsyningsloven, lov om kontinentalsoklen, offshoresikkerhedsloven og olieberedskabsloven og implementerer EPCIP-direktivet i energisektoren.

Det følger af it-beredskabsbekendtgørelsens § 9, der er udstedt i medfør af elforsyningsloven og gasforsyningsloven, at Energistyrelsen skal foretage kategorisering af virksomheder.

Ifølge elberedskabsbekendtgørelsens § 11, stk. 1, og naturgasberedskabsbekendtgørelsens § 11, stk. 1, skal Energistyrelsen foretage en klassificering af anlæg i el- og gassektoren.

Kategorisering og klassificering afhænger af anlæggets eller virksomhedens betydning for energiforsyningen og er afgørende for, hvilke beredskabskrav der stilles til virksomhederne.

For oliesektoren er der ikke indført en egentlig kategorisering af virksomheder. Dog følger det af olieberedskabsbekendtgørelsens § 2, stk. 1, nr.1, at bekendtgørelsen kun finder anvendelse på lagringspligtige virksomheder, der har en lagringspligtig omsætning større end nul, dvs. en pligt til at holde beredskabslagre. Da det kun er ca. halvdelen af alle virksomheder, som er omfattet af kravene i olieberedskabsloven, der har en lagringspligtig omsætning større end nul, bliver virksomheder i oliesektoren med beredskabslagre mødt af flere beredskabskrav efter olieberedskabsbekendtgørelsen.

Der henvises i øvrigt til afsnit 3.1.1 i lovforslagets almindelige bemærkninger.

Det følger af den foreslåede § 4, stk. 1, at klima-, energi- og forsyningsministeren identificerer kritiske virksomheder, kritiske systemer og anlæg omfattet af loven, der anvendes til at levere virksomhedernes tjenester.

Formålet med stk. 1 er implementere kravene til identificering af kritiske enheder efter CER-direktivet samt kravene til identificering af væsentlige og vigtige enheder samt enheder, der leverer domæne-navnsregistreringstjenester efter NIS-2-direktivet.

Den foreslåede bestemmelse skal ses i sammenhæng med den foreslåede § 35, stk. 2, om registrerings- og oplysningspligt for virksomheder, som vil sikre informationsgrundlaget for ministerens identifikation af væsentlige og vigtige enheder efter bestemmelsen.

Afhængig af identificeringen efter denne bestemmelse vil enhederne blive underlagt specifikke krav og specifikke tilsyn samt modtage særlig støtte og vejledning over for alle relevante risici. Den særlige støtte og vejledning vil eksempelvis komme til udtryk i nationale strategier eller risiko- og sårbarhedsscenarier.

Det bemærkes, at nogle af de mindste virksomheder, der falder indenfor lovforslagets anvendelsesområde, vil falde udenfor NIS 2- og CER-direktivernes anvendelsesområde, og de vil således aldrig blive identificeres som kritiske, væsentlige eller vigtige enheder efter bestemmelsen.

Det bemærkes, at ordet identificering angår designeringen af virksomheder som hhv. kritiske enheder i henhold til kravene CER-direktivet og væsentlige og vigtige enheder efter kravene NIS-2 direktivet.

Den foreslåede bestemmelse vil implementere CER-direktivets artikel 6, stk. 1 og 2, hvorefter hver medlemsstat senest den 17. juli 2026 skal have identificeret de kritiske enheder for de sektorer og delsektorer, der er anført i bilaget til CER-direktivet, herunder energisektoren. Med bestemmelsen har klima-, energi- og forsyningsministeren hjemmel til at foretage identificeringen.

Bestemmelsen vil desuden implementere NIS 2-direktivets artikel 3, stk. 3, hvorefter medlemsstater senest den 17. april 2025 udarbejder en liste over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester. Medlemsstaterne skal endvidere revidere og, hvor det er relevant, ajourføre listen med jævne mellemrum, mindst hvert andet år.

De indsamlede oplysninger efter § 35, stk. 2, vil i relevant omfang indgå i listen, der udarbejdes til EU-Kommissionen jf. NIS 2-direktivets artikel 3.

De nærmere regler for hvordan identificeringen af virksomhederne og deres systemer og anlæg nærmere vil blive fastlagt, jf. den foreslåede bemyndigelse i stk. 3.

Det følger af det foreslåede stk. 2, at klima-, energi- og forsyningsministeren endvidere kategoriserer virksomheder, deres systemer og anlæg omfattet af loven, der anvendes til at levere virksomhedernes tjenester.

Formålet med bestemmelsen er, at give hjemmel til klima-, energi- og forsyningsministeren til at træffe afgørelse om virksomheders kategorisering og kategorisering af virksomhedernes systemer og anlæg som udtryk for en forskellig kritikaliteten af disse. Dette giver grundlag, for at der kan differentieres i kritikaliteten af individuelle virksomheder, deres systemer og anlæg, således at der i de regler der fastsættes efter f.eks. § 6-9 og 19, stk. 4, kan fastsættes differentierede krav om foranstaltninger og tilsyn, som tager hensyn til virksomhedernes kritikalitet for forsyningssikkerheden og opretholdelse af samfundsvigtige funktioner.

Det bemærkes, at begrebet kategorisering anvendes som samlebetegnelse for hhv. niveauinddeling og klassificering, hvor niveauinddeling sker på virksomhedsniveau, mens klassificering sker på system og anlægs niveau.

Den foreslåede bestemmelse, vil endelig bemyndige klima- energi-, og forsyningsministeren til at foretage kategorisering af virksomheder, samt deres systemer og anlæg, som falder uden for anvendelsesområdet af NIS 2- og CER-direktivet. Dette vil være virksomheder, der efter nationalt ønske er omfattet af loven i fx fjernvarmesektoren.

De nærmere regler, for hvordan kategorisering af virksomhederne og deres systemer og anlæg skal ske, vil blive nærmere fastlagt, jf. den foreslåede bemyndigelse i stk. 3.

Efter det foreslåede stk. 3, fastsætter klima-, energi- og forsyningsministeren nærmere regler om identifikation og kategorisering af virksomheder og af virksomheders systemer og anlæg, som anvendes til levering af virksomhedens tjenester efter stk. 1 og 2.

Formålet med bestemmelsen er at skabe bemyndigelseshjemmel for ministeren til at fastsætte de nødvendige regler om identifikation af visse typer af virksomheder i energisektoren, jf. stk. 1, med henblik på, at der vil kunne fastsættes regler for, hvordan virksomhederne identificeres som hhv. kritiske enheder og vigtige eller væsentlige enheder samt fastsættelse af objektive kriterier eller andre regler, der vil fastsætte, hvilket niveau en virksomhed skal indplaceres på, og hvilken klasse en virksomheds system eller anlæg skal tildeles. Dette vil ske for at sikre korrekt implementering af NIS 2- og CER-direktiverne.

I fastsættelsen af de nærmere regler om identificering og kategorisering af virksomheder samt net- og informationssystemer og anlæg, herunder dem som falder uden for anvendelsesområdet af NIS 2- og CER-direktivet, vil følgende hensyn blive inddraget: 1) den nationale strategi for styrkelse af modstandsdygtighed, 2) den nationale risikovurdering med henblik på kategorisering, 3) om enheden leverer en eller flere væsentlige tjenester, 4) om enheden opererer og har sin kritiske infrastruktur beliggende på dansk territorium og 5) om en hændelse vil have virkning på forsyningssikkerheden eller på leveringen af andre væsentlige tjenester i sektorer i bilag 1 til CER-direktivet, som er afhængige af denne eller disse væsentlige tjenester.

Bestemmelsen vil således give hjemmel til, at der kan ske implementering af CER-direktivets artikel 6, stk. 2, i forbindelse med fastsættelsen af de nærmere regler for, hvordan virksomheder identificeres som kritiske enheder.

De nærmere regler om identificering af virksomheder som kritiske enheder, vil desuden tage hensyn til følgende kriterier: 1) antal brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den berørte virksomhed, 2) omfanget af andre i bilaget anførte sektorers og delsektorers afhængighed af den pågældende væsentlige tjeneste, 3) den indvirkning som hændelser kunne have med hensyn til omfang og varighed på økonomiske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens sundhed, 4) virksomhedens markedsandel på markedet for den berørte væsentlige tjeneste eller de berørte væsentlige tjenester, 5) det geografiske område, der kunne blive berørt af en hændelse, herunder eventuel grænseoverskridende indvirkning, under hensyntagen til den sårbarhed, som er forbundet med den grad af afsondrethed, der kendetegner visse typer af geografiske områder, såsom ø-regioner, afsidesliggende regioner eller bjergområder, og 6) virksomhedens betydning med hensyn til at opretholde et tilstrækkeligt niveau for den væsentlige tjeneste under hensyntagen til tilgængelighed af alternative måder at levere denne væsentlige tjeneste på.

Bestemmelsen vil i denne henseende give hjemmel til, at der kan ske implementering af CER-direktivets artikel 7, stk. 1, som opstiller kriterier for, hvornår en hændelse vil have betydeligt forstyrrende virkninger. At en hændelse vil have betydeligt forstyrrende virkning vil være et kriterie ved identifikationen af kritiske enheder.

Endvidere vil bestemmelsen bemyndige klima- energi-, og forsyningsministeren til at fastsætte regler om, hvornår virksomheder anses for væsentlige eller vigtige enheder i henhold til kriterierne i NIS 2-direktivets artikel 3, stk. 1 og 2.

Bemyndigelsen forventes udmøntet ved at fastsætte regler om, at virksomheder vil være væsentlige enheder, når de er omfattet af denne lovs § 2, stk. 1 og opfylder en af følgende kriterier: 1) er den eneste udbyder i en medlemsstat af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, 2) er en tjeneste hvis forstyrrelse vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden, 3) er en tjeneste hvis forstyrrelse vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer, hvor en sådan forstyrrelse kan have en grænseoverskridende virkning, 4) er kritisk på grund af sin specifikke betydning på nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i medlemsstaten, 5) er identificeret som kritiske enheder i henhold til direktiv (EU) 2022/2557 (CER-direktivet) eller 6) er identificeret som operatører af væsentlige tjenester i overensstemmelse med direktiv (EU) 2016/1148 (NIS 1-direktivet) eller national ret inden d. 16. januar 2023.

Bestemmelsen vil i denne henseende endvidere give hjemmel til, at der kan ske implementering af NIS-direktivets artikel 3, stk. 1 og 2, som opstiller samme kriterier.

Det forventes, at bemyndigelsen vil blive brugt til at fastsætte nærmere regler for frekvensen af identificeringen af virksomheder, deres systemer og anlæg. Den foreslåede bestemmelse vil dermed give hjemmel til på bekendtgørelsesniveau at implementere CER-direktivets artikel 6, stk. 5, 1. pkt., hvoraf det fremgår, at medlemsstaterne gennemgår, hvor det er nødvendigt og under alle omstændigheder mindst hvert fjerde år, listen over identificerede kritiske enheder. Ligeledes vil NIS 2-direktivets artikel 3, stk. 3, hvoraf det fremgår, at listen over væsentlige og vigtige enheder ajourføres mindst hvert andet år, også kunne implementeres i de nærmere fastsatte regler.

Den foreslåede bestemmelse har endvidere til formål at skabe bemyndigelseshjemmel til klima- energi-, og forsyningsministeren, pga. et nationalt ønske og behov, til at fastsætte de nærmere regler for kategorisering af virksomhederne samt de systemer og anlæg, de anvender til leveringen af deres tjeneste.

Det bemærkes, at begrebet kategorisering forsat anvendes som samlebetegnelse for hhv. niveauinddeling og klassificering, hvor niveauinddeling sker på virksomhedsniveau, mens klassificering sker på system og anlægs niveau.

Bestemmelsen forventes i denne henseende udmøntet ved regler om, at kategoriseringen af virksomheder vil ske ved at inddele virksomhederne i niveauer på baggrund af forsyningsstørrelse og kritikalitet for forsyningssikkerheden samt opretholdelsen af samfundsvigtige funktioner. De virksomheder, som er mindst kritiske, vil blive indplacet på niveau 1. De virksomheder, som er mest kritiske for forsyningssikkerheden og opretholdelsen af samfundsvigtige funktioner forventes at blive indplaceret på niveau 5.

Kategoriseringen af anlæg og lokationer med betydning for leveringen af tjenesten vil ske ved at inddele disse i klasser fra 2-5. Ved klassificeringen forventes de mindst kritiske anlæg og lokationer at blive indplaceret i klasse 2, mens de mest kritiske forventes indplaceret i klasse 5.

Endelig vil en række meget små virksomheder, efter den foreslåede bestemmelse, blive niveauinddelt for sig selv i det laveste niveau 1 og deres systemer og anlæg vil ikke blive tildelt en klasse. Dette vil sikre, at der kan fastsættes regler om, at sådanne virksomheder skal efterleve simplere beredskabskrav, end hvad der fremgår af direktiverne. De simplere beredskabskrav vil kunne være krav om en beredskabsplan eller kontaktliste og har ikke nærmere sammengæng med CER- eller NIS 2-direktiverne.

Bemyndigelsen forventes at kunne udnyttes dynamisk, således at der ved udviklinger i energisektoren, f.eks. ift. antallet af virksomheder, disses størrelser ift. produktion, antal af kunder mv., vil kunne tilføjes eller fjernes niveauer og klasser, hvis der skulle opstå behov for at være mere eller mindre differentieret i kritikaliteten.

Det forventes, at bemyndigelsen vi blive brugt til at fastsætte regler om niveauinddelingen af virksomheder vil skulle tage udgangspunkt i, hvilken delsektor virksomheden operer inden for, og den tjeneste, som virksomheden leverer. Hvis en virksomhed leverer tjenester i flere delsektorer, fx hvis den leverer både el og varme, vil virksomheden kun blive inddelt på ét niveau. Det forventes, at virksomheden vil blive inddelt i niveauet for den forsyningsart, hvor tjenesten vil være mest kritisk.

Det forventes desuden, at bemyndigelsen vil blive brugt til at fastsætte regler om, at virksomhedens samlede betydning for forsyningssikkerheden og opretholdelse af samfundsvigtige funktioner vil have betydning for, hvilket niveau virksomheden vil blive inddelt på. Ligeledes vil det have en betydning, om virksomheden leverer en tjeneste, som påvirker eller kan påvirke andre kritiske sektorer.

Det forventes ligeledes, at bemyndigelsen vil blive brugt til at fastsætte regler om niveauinddelingen af virksomhedernes vil ske ud fra en konkret vurdering med udgangspunkt i den samlede energimængde, virksomheden kontrollerer, virksomhedens betydning for energiforsyningen, om virksomheden leverer tjenester til andre kritiske sektorer eller varetager samfundskritiske opgaver.

Det forventes, at bemyndigelsen vil blive brugt til at der fastsættes regler om, at kategoriseringen af anlæg og systemer sker ved at inddele disse i klasser. Det forventes, at der ved klassificeringen vil blive taget udgangspunkt i den tjeneste, som anlægget eller systemer vedrører, mængden af energi, som de er med til at understøtte, og deres betydning for forsyningssikkerheden eller andre samfundsvigtige funktioner.

Efter bestemmelsen vil der desuden blive fastsat regler om kategorisering af net- og informationssystemer og anlæg, som falder uden for anvendelsesområdet af NIS 2- og CER-direktivet med henblik på, at disse anlæg og systemer kan blive omfattet af simplere beredskabskrav, end hvad der fremgår af direktiverne. Sådanne virksomheder vil følgelig ikke skulle indmeldes til Kommissionen efter NIS 2-direktiets artikel 3, stk. 4 og CER-direktivets artikel 6, stk. 3.

Det forventes, at bemyndigelsen vil blive brugt til at fastsætte nærmere regler for frekvensen af kategorisering af virksomheder, deres systemer og anlæg.

Der henvises i øvrigt til afsnit 3.1 i lovforslagets almindelige bemærkninger.