Lov om styrket beredskab i energisektoren § 6

Det følger af elforsyningslovens § 85 b og § 85 c, at visse virksomheder med bevilling eller tilladelse til produktion af elektricitet skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre elforsyningen i beredskabssituationer og andre ekstraordinære situationer. Det samme gælder for Energinet og dennes helejede datterselskaber samt virksomheder, der yder balancering af elsystemet. Det følger af gasforsyningslovens § 15 a og § 15 b, at virksomheder som er bevillingspligtige efter gasforsyningslovens § 10 samt Energinet og dennes helejede datterselskaber, som foretager gasforsyningsvirksomhed, skal have et klassisk beredskab og et it-beredskab.

Elforsyningslovens §§ 85 b, stk. 3 og 85 c, stk. 5, og gasforsyningslovens §§ 15 a, stk. 3, og 15 b, stk. 5, indeholder bemyndigelsesbestemmelser om, at klima-, energi- og forsyningsministeren kan fastsætte nærmere regler om klassisk beredskab og it-beredskabet, herunder regler om organisatorisk beredskab.

For el- og gassektorerne er de nærmere regler for organisatorisk beredskab gennemført i elberedskabsbekendtgørelsen, naturgasberedskabsbekendtgørelse og it-beredskabsbekendtgørelsen.

Det følger blandt andet af bekendtgørelserne, at virksomheder i el- og gassektoren skal udpege en beredskabskoordinator og et kontaktpunkt i krisesituationer (operationel kontakt), ligesom virksomheder med klasse 1 og 2-anlæg efter 11, stk. 1, nr. 1 og 2, skal have en sikringsansvarlig medarbejder, jf. § 5, stk. 1, i elberedskabsbekendtgørelsen og § 5, stk. 1, i naturgasberedskabsbekendtgørelsen. Virksomhederne skal have en it-beredskabsansvarlig samt sikre, at der sker koordination mellem det almene beredskab og it-beredskabet mindst fire gange årligt, jf. § 6, stk. 1 og 3, i it-beredskabsbekendtgørelsen.

Virksomheder i el- og naturgassektoren skal inden for både klassisk og it-beredskab derudover blandt andet udarbejde risiko- og sårbarhedsvurderinger og beredskabsplaner, afholde øvelser med udgangspunkt i beredskabsplanerne og sikre, at deres medarbejdere modtager den fornødne instruktion og uddannelse, jf. elberedskabsbekendtgørelsens §§ 6, skt. 1, og 7, stk. 1, 20 og 21, stk. 1, naturgasberedskabsbekendtgørelsens §§ 6, stk. 1, 7, stk. 1, 20 og 21, stk. 1, og it-beredskabsbekendtgørelsen §§ 10, stk. 1, og 14, stk. 1, 18 og 19, stk. 1. Endvidere skal virksomheder etablere procedurer for leverandørers adgang til forsyningskritiske it-systemer, jf. it-beredskabsbekendtgørelsens § 24, stk. 2.

Det følger af olieberedskabslovens § 16, stk. 1, at lagringspligtige virksomheder skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre olieforsyningen i beredskabssituationer og andre ekstraordinære situationer. Efter § 16, stk. 3, kan klima-, energi- og forsyningsministeren fastsætte nærmere regler om beredskabsplanlægningen efter stk. 1. De nærmere regler er gennemført i olieberedskabsbekendtgørelsen.

Ifølge olieberedskabsbekendtgørelsens § 5 skal beredskabsarbejdet baseres på alle risici, så ledelsen har et samlet risikobillede. Det følger desuden af bekendtgørelsens § 6, at organisationen skal indrettes, så det sikres, at virksomheden kan modtage varsler af teknisk karakter med henblik på at iværksætte relevante tiltag.

Virksomheder og den centrale lagerenhed i oliesektoren skal blandt andet udarbejde risiko- og sårbarhedsvurderinger samt beredskabsplaner, sikre at deres beredskabsmedarbejdere løbende modtager den fornødne instruktion, uddannelse og træning, afholde beredskabsøvelser med udgangspunkt i beredskabsplanerne og etablere procedurer for leverandørers adgang til forsyningskritisk infrastruktur, jf. olieberedskabsbekendtgørelsens §§ 8, stk. 1 og 11, stk. 1, § 12, 13, stk. 1, og 17, stk. 2.

Der findes i gældende ret ikke regler om fastsættelse af nærmere regler om beredskab og it-beredskab for fjernvarme, fjernkøling og brintsektoren.

Der henvises i øvrigt til afsnit 3.2.1.1 i lovforslagets almindelige bemærkninger.

Det foreslås i § 6, stk. 1, at virksomheder omfattet af lovforslaget skal foretage nødvendig beredskabsplanlægning og gennemføre passende organisatoriske foranstaltninger for at beskytte leveringen af deres tjenester og sikre effektiv genoprettelse af deres tjenester.

Formålet med bestemmelsen er at rammesætte de overordnede krav til virksomheders modstandsdygtighed og etableringen af et organisatorisk beredskab.

Bestemmelsen vil videreføre gældende ret for så vidt angår hvem kravene til organisatorisk beredskab vil finde anvendelse på i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet for kravene, idet kravene efter det foreslåede også vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet af krav til organisatorisk beredskab vil f.eks. være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

De nærmere krav vil blive udmøntet i medfør af den foreslåede § 6, stk. 2.

Det foreslås i § 6, stk. 2, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om beredskabsplanlægning og foranstaltninger efter stk. 1, herunder elementer af organisatorisk beredskab opregnet i stk. 2, nr. 1-12.

Kravene i de regler der forventes fastsat i medfør af den foreslåede bestemmelse, vil kunne differentieres i intensitet ift. virksomhedernes niveauinddeling og klassificeringen af virksomhedernes systemer og anlæg, jf. de regler der forventes udstedt i medfør af lovforslagets § 4, stk. 2. Differentieringen vil således ske ud fra en betragtning om, at en forstyrrelse af særlig kritiske virksomheders tjenester vil have større betydning for samfundet samt ud fra en betragtning om, at der bør være proportionalitet mellem sikkerhedseffekter og omkostninger forbundet med de konkrete krav.

Ved udmøntningen af bemyndigelsesbestemmelsen forventes det endvidere, at der vil ske en differentiering af, hvilke virksomheder der skal efterleve de nærmere fastsatte krav, så de mere kritiske virksomheder skal følge flere elementer af kravene.

Klima-, energi- og forsyningsministeren skal fastsætte regler om de nr. 1-12 oplistede emner. Reglerne kan indenfor hvert emne tilpasses, når det måtte være nødvendigt pga. udvikling i trusselsbilledet mod energisektoren, og når det vurderes nødvendigt for at imødegå den teknologiske udvikling i energisektoren og cybersikkerheden.

Bemyndigelsen forventes udmøntet i en bekendtgørelse, der blandt andet vil fastsætte nærmere regler for de i nr. 1 - 12 nævnte elementer af organisatorisk beredskab, som beskrevet nedenfor.

Det foreslås i § 6, stk. 2, nr. 1, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om ledelsespligter, herunder krav om godkendelse af virksomhedens risiko- og sårbarhedsvurdering samt beredskabsplaner, tilsynsrapporter og leverandørkontrakter.

Bestemmelsens formål er at bemyndige klima-, energi- og forsyningsministeren til at implementere NIS 2-direktivets krav til væsentlige og vigtige enheders ledelsesorganer samt til at udvide disse krav til også at omfatte relevante emner udover cybersikkerhedsrisisi, som for eksempel styring af organisatorisk sikkerhed og fysisk sikring, ud fra en betragtning om, at konsekvensen ved afbrud i leveringen af de relevante virksomheders tjeneste og omkostninger ved genopretning er lige kritiske, uagtet om dette skyldes organisatoriske forhold, manglende fysisk sikring eller cybersikkerhed. Denne udvidede bemyndigelse vil endvidere kunne blive udmøntet ved regler til sikring af en indbyrdes forbindelse mellem organisatorisk beredskab, fysisk sikring og cybersikkerhed, som det i praksis ellers kan være svært at adskille i forhold til risici.

De nærmere regler om ledelsespligter forventes blandt andet udmøntet i krav om, at ledelsen aktivt vil skulle forholde sig til virksomhedens beredskab og niveau af modstandsdygtighed. Endvidere forventes bestemmelsen for eksempel at blive udmøntet ved nærmere regler om, at den enkelte virksomheds ledelse kontinuerligt vil skulle godkende virksomhedens beredskabsplaner og risiko- og sårbarhedsvurderinger, herunder bl.a. godkende foranstaltninger for styring af cybersikkerhedsrisici. Ved udmøntningen af bemyndigelsesbestemmelsen vil der herudover blive fastsat regler, der sikrer, at virksomhedens ledelse vil have et samlet og ajourført billede af beredskabet samt kendte og mulige risici mod produktion, forsyning eller levering af virksomhedens tjenester.

Udmøntningen af den foreslåede bemyndigelse vil i denne henseende implementere NIS 2-direktivets artikel 20, stk. 1, hvorefter medlemsstater sikrer, at de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet og fører tilsyn med gennemførelsen af.

Som eksempel på regler, der endvidere forventes fastsat i medfør af bestemmelsen, udover hvad der følger af NIS 2-direktivet, kan nævnes regler om, at den enkelte virksomheds ledelse gøres ansvarlig for foranstaltninger til styring af organisatorisk sikkerhed, fysisk sikring og cybersikkerhed. Dette er en udvidelse af NIS 2-direktivets artikel 20, idet denne udelukkende omhandler styring i forhold til cybersikkerhedsrisici.

Klima-, energi- og forsyningsministeren forventes endvidere på baggrund af bestemmelsen, at fastsætte nærmere regler, der præciserer, at ledelsen har ansvar for at inddrage sikkerhedshensyn i forbindelse med beslutninger, der vedrører leverandørkontrakter. Ved leverandørkontrakter forstås i denne sammenhæng nye projekter samt leverandør- og serviceaftaler.

Efter den forventede udmøntning af bestemmelsen vil virksomheder skulle forholde sig til trusler og sårbarheder i forbindelse med fx anlægsprojekter eller systemerhvervelser, som har potentiale til at påvirke leveringen af virksomhedens tjenester. Det forventes desuden, at der vil blive fastsat nærmere regler om, at ledelsen skal tage stilling til passende foranstaltninger, der skal mitigere identificerede risici forbundet med det konkrete projekt eller erhvervelse.

Det følger af den foreslåede § 6, stk. 2, nr. 2, at klima-, energi- og forsyningsministeren efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætter nærmere regler om, at ledelsesorganer skal tilegne sig viden og kundskaber inden for risiko- og sårbarhedsstyring.

Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler om, at ledelsen skal opbygge viden og kompetencer til at træffe kvalificerede beslutninger vedrørende cybersikkerhed og beredskab. Reglerne vil medføre, at det vil være ledelsens ansvar at etablere en sikkerhedskultur og sikre uddannelse i hele organisationen.

Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere dele af NIS 2-direktivets artikel 20, stk. 2, hvorefter medlemmerne af væsentlige og vigtige enheders ledelsesorganer er forpligtet til at følge kurser, der gør ledelsen i stand til at identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici. Den forventede udmøntning vil dog udvide kravene efter NIS 2-direktivet med henblik på, at ledelsen i de relevante virksomheder skal kunne identificere risici forbundet med både organisatorisk sikkerhed, fysisk sikring og cybersikkerhed. Dette er en udvidelse af NIS 2-direktivets artikel 20, idet denne udelukkende omhandler uddannelse og kurser vedrørende styring i forhold til cybersikkerhedsrisici.

Det følger af den foreslåede § 6, stk. 2, nr. 3, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om identifikations- og adgangskontrolpolitikker for beskyttelse mod uautoriseret adgang.

Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere dele af CER-direktivets artikel 13, stk. 1, litra b, hvorefter kritiske enheder skal sikre tilstrækkelig fysisk beskyttelse af deres lokaler og kritiske infrastruktur under hensyntagen til fx adgangskontrol. Reglerne forventes endvidere at implementere CER-direktivets artikel 13, stk. 1, litra e, hvorefter kritiske enheder skal sikre passende medarbejdersikkerhedsstyring såsom fastlæggelse af adgangsrettigheder til lokaler, kritisk infrastruktur og følsomme oplysninger. Desuden vil de forventede regler implementere NIS 2-direktivets artikel 21, stk. 2, litra i, hvorefter vigtige og væsentlige enheder skal træffe foranstaltninger om bl.a. personalesikkerhed og adgangskontrolpolitikker.

Det forventes på baggrund af den foreslåede bestemmelse, at der vil blive fastsat nærmere regler om, at virksomheder omfattet af loven skal have politikker og procedurer for identifikation af personel med adgang til virksomhedens anlæg. Det forventes endvidere, at der vil blive fastsat regler om, at virksomhederne skal have politikker og procedurer for at identificere fysiske områder og inddele adgang til disse områder i zoner som del af en samlet tilgang til fysisk sikring med henblik på at kunne identificere og verificere, hvilke personer der må opholde sig i og omkring virksomhedens anlæg.

Det forventes herudover, at der på baggrund af bestemmelsen vil blive fastsat nærmere regler om, at virksomheden skal kunne etablere adgangsstyring baseret på roller og arbejdsbetinget behov med henblik på at sikre klart definerede regler for, hvilke medarbejdere eller medarbejdergrupper der kan tilgå forskellige dele af et anlæg eller net- og informationssystemer. På den baggrund forventes det, at der eksempelvis vil blive fastsat nærmere regler om, at virksomhederne skal have procedurer for, hvordan adgange til kritiske anlæg og net- og informationssystemer tildeles, ændres og lukkes for både virksomhedens egne medarbejdere såvel som for gæster, konsulenter, eksterne samarbejdspartnere og leverandører.

Det følger af den foreslåede § 6 stk. 2, nr. 4, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om udpegelse af personer til at varetage specifikke beredskabsroller.

Det forventes, at gældende ret for udpegelsen af beredskabsroller videreføres i vidt omfang. Dog ændres betegnelsen it-beredskabsansvarlig til cyberkoordinator, som er et kontaktpunkt for kommunikation med myndigheder. Dette er ikke den samme rolle som det operationelle kontaktpunkt, som forventes at være døgnbemandet.

Bemyndigelsen forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der implementer CER-direktivets artikel 13, stk. 3, hvorefter medlemsstaterne sikrer, at hver kritisk enhed udpeger en forbindelsesofficer eller tilsvarende som kontaktpunkt for de kompetente myndigheder.

Som en udvidelse af CER-direktivets krav vil der efter bestemmelsen endvidere kunne blive fastsat regler om roller vedrørende cyberberedskabet.

Bestemmelsen forventes endvidere udmøntet ved regler om, at virksomhederne bl.a. vil skulle udpege en beredskabskoordinator, en cyberkoordinator, et operationelt kontaktpunkt og én eller flere sikringskoordinator(er). Det forventes, at disse roller for virksomheder i niveau 4 og 5 efter reglerne udstedt i medfør af den foreslåede bestemmelse i § 4, stk. 2, ikke vil kunne varetages af samme person.

Det følger af den foreslåede § 6, stk. 2, nr. 5, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om politikker for informationssystemsikkerhed.

Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere dele af NIS 2-direktivets artikel 21, stk. 2, litra a, hvorefter vigtige og væsentlige enheder skal have politikker for informationssystemsikkerhed.

Det forventes på baggrund af den foreslåede bestemmelse, at der vil blive fastsat nærmere regler om, at virksomheder omfattet af loven, som del af deres organisatoriske modstandsdygtighed, skal udarbejde en informationssystemsikkerhedspolitik, der sætter en overordnet ramme for beskyttelse af virksomhedens informationer, herunder hvordan virksomheden selv forholder sig til relevante aktiviteter for beskyttelse af anvendte net- og informationssystemer.

Det følger af den foreslåede § 6, stk. 2, nr. 6, at klima-, energi- og forsyningsministeren efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætter nærmere regler om politikker for og udarbejdelse af risiko- og sårbarhedsvurderinger, som omfatter nyindkøb, projekter og etablering af net- og informationssystemer og anlæg.

Bemyndigelsen forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere dele af NIS 2-direktivets artikel 21, stk. 2, litra a, hvorefter vigtige og væsentlige enheder skal have politikker for risikoanalyse. Reglerne forventes endvidere at implementere CER-direktivets artikel 12, stk. 1-2, hvorefter kritiske enheder foretager en risikovurdering for at vurdere alle relevante risici, der kunne forstyrre leveringen af deres væsentlige tjenester.

Bemyndigelsen forventes herudover udmøntet ved regler, der vil implementere artikel 21, stk. 2, litra e, i NIS 2-direktivet om sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer. Bemyndigelsen går videre end implementering af direktivet, idet ministeren, efter den foreslåede § 6, stk. 2, nr. 6, vil have mulighed for at fastsætte regler om både cybersikkerhed og fysisk sikring i forbindelse med indkøb, projekter og nyetableringer. Bestemmelsen giver desuden ministeren bemyndigelse til at fastsætte regler om, at virksomheder skal foretage risiko- og sårbarhedsvurderinger i forbindelse med indkøb, projekter og nyetableringer.

På baggrund af bestemmelsen forventes det endvidere, at der vil blive fastsat nærmere regler om, at virksomheden skal udarbejde risiko- og sårbarhedsvurderinger, som identificerer og vurderer risici og sårbarheder i forhold til virksomhedens kontinuitet.

Det forventes endvidere, at der fastsættes nærmere regler om, at risiko- og sårbarhedsvurderingerne og handlingsplanerne skal gennemgås med fast interval eller når nye risici, trusler eller sårbarheder erkendes samt ved væsentlige ændringer af virksomhedens organisation, kritiske systemer eller infrastruktur eller ved ændringer i trusselsbilledet. Det foreslås samtidig, at vurderingen af cybersikkerhedsrisici, organisatoriske risici og fysiske risici kobles sammen, ved at virksomhedernes opdateringer af deres risiko- og sårbarhedsvurderinger af henholdsvis virksomhedens cybersikkerhed og fysiske sikring følger samme kadence for udarbejdelse og indsendelse til Energistyrelsen.

Den forventede udmøntning af bestemmelsen vil i vidt omfang videreføre gældende ret for udarbejdelse af risiko- og sårbarhedsvurdering efter elberedskabsbekendtgørelsen, naturgasberedskabsbekendtgørelsen, olieberedskabsbekendtgørelsen og it-beredskabsbekendtgørelsen. Det forventes således, at der vil blive fastsat nærmere regler om, at virksomhederne vil skulle udarbejde en vurdering af virksomhedens risici og sårbarheder på baggrund af risiko- og sårbarhedsscenarier, som Energistyrelsen udarbejder.

Der forventes endvidere fastsat nærmere regler om, at virksomhederne, som led i udarbejdelsen af risiko- og sårbarhedsvurderinger, skal udarbejde en politik og have en proces for risikostyring, der skal identificere og vurdere de væsentligste risici for virksomhedens organisation, kritiske net- og informationssystemer og infrastruktur med henblik på opretholdelsen af leveringen af deres tjeneste.

Endeligt forventes der i henhold til bestemmelsen udstedt nærmere regler om, at virksomhedernes processer for risikostyring skal forholde sig til de væsentligste trusler og sårbarheder og forankres i organisationen, således at virksomhedsledelsen forholder sig til både processerne for risikostyring, de identificerede risici, samt de foranstaltninger til styring af risici, som virksomheden iværksætter på baggrund heraf.

Det følger af den foreslåede § 6, stk. 2, nr. 7, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem virksomheden og dens direkte leverandører eller tjenesteudbydere.

Bemyndigelsen forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere NIS 2-direktivets artikel 21, stk. 2, litra d, hvorefter væsentlige og vigtige enheder træffer foranstaltninger for forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere. Den foreslåede bestemmelse vil desuden danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau kan ske implementering af NIS 2-direktivets artikel 21, stk. 3, hvorefter væsentlige og vigtige enheder tager hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder.

På baggrund af den foreslåede bestemmelse vil der blive fastsat nærmere regler om, at virksomhederne skal etablere den nødvendige leverandørstyring, herunder at virksomhederne skal iværksætte sikkerhedsrelaterede foranstaltninger til styring af risici i virksomhedens leverandørkæder.

Den foreslåede bestemmelse indebærer, at der kan fastsættes nærmere regler om, at virksomhederne skal sikre, at leverandører, der varetager opgaver i relation til anlæg, komponenter og net- og informationssystemer med betydning for leveringen af tjenesten, overholder samme krav for opretholdelse af virksomhedens modstandsdygtighed, som virksomheden er underlagt efter den foreslåede lov. Det følger heraf, at der kan fastsættes regler om, at virksomhederne skal have politikker og procedurer for kontrol af, at leverandørerne efterlever kravene og opretholder det nødvendige sikkerhedsniveau i forbindelse med udførelsen af opgaven.

Som følge af bestemmelsen vil ministeren fastsætte nærmere regler om, at virksomhederne skal vurdere og håndtere de risici, der er forbundet med indgåelse af leverandøraftaler. Dette vil blandt andet indebære, at virksomhederne inden indgåelse af en aftale, løbende skal tage stilling til sikkerhedsrisici forbundet med kritikaliteten af opgaven eller leverancen, hvorvidt der sker væsentlige forandringer hos leverandøren, der kan påvirke leverancen, leverandørernes villighed til at efterleve kravene i den foreslåede lov og det aktuelle trusselsbillede.

Det foreslås derudover, at ministeren, efter bestemmelsen, vil kunne fastsætte nærmere regler om, at leverandører, som varetager opgaver i relation til anlæg, komponenter og net- og informationssystemer eller leverandører af net- og informationssystemer, med betydning for leveringen af tjenesten, deltager i relevante dele af virksomhedens beredskabsplanlægning. Herefter vil ministeren bl.a. kunne fastsætte nærmere regler om, at leverandørerne vil skulle deltage i virksomhedens arbejde med risiko- og sårbarhedsvurderinger samt øvelser, der træner de dele af beredskabet, hvor leverandørerne har betydning for opretholdelse af leveringen af virksomhedens tjenester.

Det følger af den foreslåede § 6, stk. 2, nr. 8, at klima-, energi- og forsyningsministeren efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætter nærmere regler om beredskabsplaner og beredskabsplanlægning for håndtering af hændelser.

Formålet med bestemmelsen er at bemyndige klima-, energi- og forsyningsministeren til at fastsætte nærmere regler for beredskabsplaner og beredskabsplanlægning til brug for operativ vejledning, når en hændelse bliver varslet eller opstår. I det omfang, der udarbejdes lignende materiale som eksempelvis en beredskabsplan efter risikoreguleringen, er det hensigten, at relevante dele heraf vil kunne genanvendes til opfyldelse af de relevante beredskabskrav.

Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere dele af CER-direktivets artikel 13, stk. 2, hvorefter medlemsstaterne sikrer, at kritiske enheder har indført og anvender en plan for modstandsdygtighed eller et eller flere tilsvarende dokumenter. Derudover vil den forventede udmøntning implementere elementer af NIS 2-direktivets artikel 21, stk. 2, litra b og c, hvorefter vigtige og væsentlige enheder skal træffe foranstaltninger, der omfatter håndtering af hændelser, driftskontinuitet og krisestyring.

Det forventes, at der efter bestemmelsen vil blive fastsat nærmere regler om, at beredskabsplanerne bl.a. skal beskrive virksomhedens krisehåndtering, hvordan virksomhedens krisehåndteringsorganisation aktiveres, etableres og driftes, og hvordan der koordineres og udsendes information internt og eksternt i virksomheden. Desuden forventes det, at der vil blive fastsat regler, hvorefter virksomhederne skal have metoder til at sikre, at virksomhederne overholder deres underretnings- og rapporteringsforpligtelser i forbindelse med en hændelse.

Det foreslås i § 6 stk. 2, nr. 9, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om øvelsesplanlægning, herunder afholdelse af øvelser og træning af beredskabsforanstaltninger.

Den foreslåede bemyndigelse forventes udmøntet ved nærmere regler på bekendtgørelsesniveau, der vil implementere CER-direktivets artikel 13, stk. 1, litra f, hvorefter medlemsstaterne sikrer, at kritiske enheder øger bevidstheden blandt det relevante personale under hensyntagen til øvelser.

NIS 2-direktivet stiller ikke krav om, at vigtige og væsentlige enheder afholder øvelser. NIS 2-direktivets artikel 21, stk. 2, litra c, beskriver i stedet at der skal stilles krav om tests af enheders planer for driftskontinuitet med henblik på at sikre deres effektivitet. Klima-, Energi- og Forsyningsministeriet vurderer, at øvelser og øvelsesplanlægning efter den foreslåede bestemmelse dækker over begrebet test i NIS 2-direktivet, hvorfor artikel 21, stk. 2, litra c, også kan implementeres i forbindelse med udstedelsen af de nærmere regler efter den foreslåede bestemmelse.

På baggrund af bestemmelsen forventes det, at der vil blive fastsat nærmere regler om, at virksomhederne skal udarbejde en øvelsesplan og afholde øvelser efter nærmere fastsatte kadencer med udgangspunkt i virksomhedens beredskabsplaner. Det forventes endvidere, at der fastsættes nærmere regler om revidering af øvelsesplanen, eksempelvis mindst én gang om året og i forbindelse med særlige sårbarheder eller væsentlige ændringer i virksomhedens beredskab. Der forventes også fastsat nærmere regler om, at en evaluering af en hændelse kan godkendes som en øvelse på øvelsesplanen, hvis hændelsen har afprøvet konkrete forhold i virksomhedens beredskab og vurderes at have samme værdi som en øvelse.

Det forventes endelig, at der vil blive fastsat nærmere regler om at virksomheden løbende skal sikre, at medarbejdere modtager den fornødne instruktion og uddannelse i beredskab, herunder cybersikkerhed, samt at der stilles krav om, at virksomheden gennemfører awareness-tiltag om cybersikkerhed efter en nærmere fastsat kadence.

Udmøntningen af den foreslåede bemyndigelse forventes at videreføre gældende ret for øvelsesplanlægning, herunder afholdelse af øvelser og træning af beredskabsforanstaltninger, der gælder for virksomheder i el, gas og oliesektoren. Dog forventes det som noget nyt, at der vil blive fastsat nærmere regler om indholdet i øvelsesplanerne, herunder elementer i beredskabet som skal øves, eksempelvis krisestyring, mobilisering af ekstra ressourcer og materialer, henholdsvis intern og ekstern kommunikation, genopretning af forsyning eller sikring af fortsat drift og iværksættelse af foranstaltninger i henhold til nyt sektorberedskabsniveau.

Det følger af den foreslåede § 6, stk. 2, nr. 10, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om beredskabstræning, cybersikkerhedsadfærd- og sikkerhedsuddannelse af ansatte i virksomheden.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering af CER-direktivets artikel 13, stk. 1, litra f, hvorefter medlemsstaterne sikrer, at kritiske enheder øger bevidstheden blandt det relevante personale under hensyntagen til bl.a. uddannelseskurser og informationsmateriale.

Den foreslåede bestemmelse vil desuden danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering NIS 2-direktivets artikel 20, stk. 2, hvorefter ledelsen i vigtige og væsentlige enheder skal tilskynde deres ansatte at følge kurser, således at de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici. Bestemmelse vil endvidere danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering af NIS 2-direktivets artikel 21, stk. 2, litra g, hvorefter vigtige og væsentlige enheder træffer foranstaltninger om grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse. Det forventes, at der vil fastsættes nærmere regler, hvorefter virksomhederne stilles krav om at øge sikkerhedsbevidstheden hos medarbejderne. Den foreslåede bestemmelse vil medføre, at de medarbejdere, der deltager i virksomhedens arbejde med beredskabsplanlægning, fysisk sikring og sikkerheden i net- og informationssystemer, skal have tilstrækkelige færdigheder samt viden til at kunne varetage deres opgaver.

Det forventes herudover, at der vil blive fastsat nærmere regler om, at medarbejdere skal have kompetence til at agere sikkerhedsmæssigt forsvarligt i de opgaver, der skal udføres jf. § 6, stk. 2, nr. 1. Den gældende regulering af el- og gassektorerne, som stiller krav om at virksomhederne gennemfører awareness-tiltag om it-sikkerhed, forventes udvidet med krav om, at disse tiltag kan omfatte både cybersikkerhed fx sikker konfigurering af- og test af it-udstyr, netværk og infrastruktur, cloud-løsninger eller identitets- og adgangsstyring, såvel som årvågenhed i forhold til fx spionage, uautoriseret adgang, utilsigtet informationsdeling og andre forhold, der kan kompromittere forsyningssikkerheden. De pågældende tiltag skal baseres på medarbejderens funktion i virksomheden. Den foreslåede ordning vil sikre, at også medarbejdere med adgang til og på kritiske anlæg og lokationer, herunder daglig stationsadgang, sikres tilstrækkelig viden og sikkerhedsbevidsthed.

Ved udmøntningen af bemyndigelsesbestemmelsen forventes det, at der eksempelvis vil blive fastsat krav om, at medarbejdere i relevant omfang skal følge uddannelsesforløb, samt at virksomheden skal gennemføre awareness-tiltag om fysisk sikring, cybersikkerhed og beredskab, der øger den organisatoriske modstandsdygtighed på tværs af virksomheden.

Det følger af den foreslåede § 6, stk. 2, nr. 11, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om kapacitet til at modtage og videreformidle advarsler om trusler.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering dele af NIS 2-direktivets artikel 21, stk. 2, litra e, hvorefter væsentlige og vigtige enheder træffer foranstaltninger til håndtering og offentliggørelse af sårbarheder.

På den baggrund forventes der eksempelvis fastsat nærmere regler om, at virksomheden skal indrette cyberberedskabet på en måde, der sikrer operationel koordinering af varsler og alarmer på tværs af virksomhedens forretningsområder og aktiver. Det forventes blandt andet at indbefatte krav om, at virksomheden skal have metoder til at identificere sårbarheder, samt at virksomheden skal organisere et beredskab med evne til at modtage og videreformidle advarsler om trusler og sårbarheder, der potentielt kan påvirke virksomhedens evne til at levere deres tjeneste.

Ligeledes foreslås det på baggrund af bemyndigelsesbestemmelsen, at der vil blive fastsat regler om, at virksomheden både vil kunne modtage varsler fra samarbejdspartnere, operatører eller øvrige aktører og videreformidle sådanne data og information, som en mitigerende foranstaltning for tjenesten, samt videregive oplysninger til klima-, energi- og forsyningsministeren, andre myndigheder og relevante samarbejdspartnere, såsom leverandører og kunder uden unødig forsinkelse.

Det følger af den foreslåede § 6, stk. 2, nr. 12, at klima-, energi- og forsyningsministeren, efter forhandling med ministeren for samfundssikkerhed og beredskab, fastsætter nærmere regler om tilmelding til en it-sikkerhedstjeneste.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan implementeres dele af NIS 2-direktivets artikel 21, stk. 2, litra e, hvorefter væsentlige og vigtige enheder træffer foranstaltninger til sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder foranstaltninger til håndtering og offentliggørelse af sårbarheder. Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, kan ske implementering den foreslåede bestemmelse NIS 2-direktivets artikel 21, stk. 2, litra c, hvorefter væsentlige og vigtige enheder træffer foranstaltninger til bl.a. reetablering og krisestyring. Den foreslåede bestemmelse går videre end NIS 2-direktivet, idet der direkte stilles krav om, at virksomhederne skal tilmeldes en it-sikkerhedstjeneste.

Det forventes på baggrund af den foreslåede bestemmelse, at der vil blive fastsat nærmere regler om, at virksomheder i energisektoren indgår aftale om at være tilmeldt en it-sikkerhedstjeneste. Virksomheden vil herefter skulle være tilmeldt en it-sikkerhedstjeneste, der yder vejledning om vurdering og mitigering af sårbarheder. It-sikkerhedstjenesten vil endvidere skulle give informationer og varsle om relevante it-sikkerhedstrusler. Supplerende til eksisterende krav foreslås det, at virksomhedens proaktive indsats skal omfatte viden om trusler baseret på globale informationer fra anerkendte kilder, såsom abonnementer på cyber-trusselsfeed, der er leveret af globale aktører inden for cybersikkerhed. Den foreslåede bemyndigelsesbestemmelse vil også medføre, at der skal fastsættes regler om, at virksomheden skal være tilmeldt en reaktiv it-sikkerhedstjeneste, der bistår virksomheden ved nedbrud eller angreb på it-systemer, herunder assistance til akut skadesbegrænsning, bevisindsamling og reetablering i akutte sikkerhedsmæssige situationer. Information fra it-sikkerhedstjenesten skal kunne videreformidles til andre virksomheder i energisektoren uden forsinkelse, såfremt disse oplysninger vurderes at have betydning for leveringen af andre virksomheders tjenester.