Lov om styrket beredskab i energisektoren § 7

Det følger af elforsyningslovens § 85 b, at visse virksomheder med bevilling eller tilladelse til produktion eller distribution af elektricitet skal have et klassisk beredskab. Det samme gælder for Energinet og dennes helejede datterselskaber.

Efter elforsyningslovens § 85 b, stk. 4, kan klima-, energi- og forsyningsministeren fastsætte regler om udførelse af tilsyn med virksomhedernes beredskabsarbejde, herunder om virksomhedernes fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virksomhederne og om klageadgang. De nærmere regler er gennemført i elberedskabsbekendtgørelsen.

Det følger af gasforsyningslovens § 15 a, at virksomheder som er bevillingspligtige efter gasforsyningslovens § 10, samt Energinet og dennes helejede datterselskaber, som foretager gasforsyningsvirksomhed, skal have et klassisk beredskab.

Efter gasforsyningslovens § 15, a, stk. 4, kan klima-, energi- og forsyningsministeren fastsætte regler om udførelse af tilsyn med virksomhedernes beredskabsarbejde, herunder om virksomhedernes fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virksomhederne og om klageadgang. De nærmere regler er gennemført i naturgasberedskabsbekendtgørelsen.

Efter elberedskabsbekendtgørelsen og naturgasbekendtgørelsen skal virksomhederne udarbejde sikringsplaner, som omfatter kortmateriale, oversigt over anlægs sårbarheder, m.v., jf. bekendtgørelsernes § 12, stk. 1. Virksomhederne skal desuden sikre, at anlæg har lav sårbarhed over for funktionssvigt af offentligt udbudte net og tjenester for elektronisk kommunikation, at anlæg har lav sårbarhed over for funktionssvigt af væsentlige it-systemer, og at anlæg har nødstrømsforsyning, som i tilfælde af strømafbrydelse sikrer anlæggets funktionalitet i perioden frem til strømforsyningens reetablering, jf. bekendtgørelsernes § 13, stk. 1.

Det gælder desuden, at ubemandede anlæg i klasse 1 skal sikres mod uautoriseret adgang gennem etablering af mekaniske og elektroniske sikrings- og overvågningsforanstaltninger, jf. bekendtgørelsernes § 13, stk. 2. Virksomheder skal desuden etablere et system for styret adgangskontrol til klasse 1 anlæg, jf. bekendtgørelsernes § 13, stk. 3. Der skal regelmæssigt og mindst hver måned føres kontrol med den fysiske sikring af klasse 1 anlæg, hvilket virksomhederne skal føre en log over, jf. bekendtgørelsernes § 13, stk. 4.

Det følger af olieberedskabslovens § 16, stk. 1, at lagringspligtige virksomheder skal foretage nødvendig planlægning og træffe nødvendige foranstaltninger for at sikre olieforsyningen i beredskabssituationer og andre ekstraordinære situationer. Efter § 16, stk. 3, kan klima-, energi- og forsyningsministeren fastsætte nærmere regler, om beredskabsplanlægningen efter stk. 1.

Ifølge olieberedskabsbekendtgørelsens § 16, stk. 1, skal virksomhederne og den centrale lagerenhed sikre, at forsyningskritiske anlæg beskyttes i forhold til deres kritikalitet. Virksomhederne skal desuden sikre forsyningskritiske anlæg mod uautoriseret adgang, jf. § 16, stk. 2.

Det følger af den foreslåede § 7, stk. 1, at virksomheder omfattet af lovforslaget skal træffe passende foranstaltninger for at opretholde nødvendig fysisk sikring af lokationer og anlæg, der bruges til at levere virksomhedens tjenester, eller hvorfra drift af net- og informationssystemer finder sted.

Med den foreslåede § 7, stk. 1 rammesættes de overordnede krav til virksomhedens fysiske sikring af lokationer og anlæg, der bruges til at levere virksomhedens tjenester, eller hvorfra drift af net- og informationssystemer finder sted. De nærmere krav vil blive fastsat i forbindelse med udmøntningen af det foreslåede § 7, stk. 2.

Bestemmelsen vil videreføre gældende ret, for så vidt angår hvem kravene til fysisk sikring vil finde anvendelse på i medfør af elforsyningsloven, gasforsyningsloven, varmeforsyningsloven og undergrundsloven. Bestemmelsen udvider dog samtidig anvendelsesområdet for kravene, idet kravene efter det foreslåede også vil finde anvendelse på samtlige virksomheder omfattet af lovforslaget. De virksomheder, der i medfør af bestemmelsen som noget nyt vil blive omfattet af krav til fysisk sikring, vil fx være fjernvarmevirksomheder, fjernkølingsvirksomheder, brintvirksomheder, biogasvirksomheder, virksomheder der udfører forskellige opgaver i el- og gasmarkedet og kommercielle virksomheder i downstream oliesektoren, hvis disse ikke har pligt til at holde olieberedskabslagre.

Det foreslås i § 7, stk. 2, at klima-, energi- og forsyningsministeren bemyndiges til at fastsætte nærmere regler om fysisk sikring.

Bemyndigelsen forventes udmøntet i en bekendtgørelse, der blandt andet fastsætter nærmere regler for de i nr. 1 – 5 nævnte elementer af fysisk sikring, som beskrevet nedenfor.

Kravene i de regler, der fastsættes i medfør af den foreslåede bestemmelse, kan differentieres i intensitet ift. virksomhedernes niveauinddeling og klassificeringen af virksomhedernes systemer og anlæg, jf. de regler der udstedets i medfør af lovens foreslåede § 4, stk. 2. Differentieringen vil således ske ud fra en betragtning om, at en forstyrrelse af særlig kritiske virksomheders tjenester vil have større betydning for samfundet samt ud fra en betragtning om, at der bør være proportionalitet mellem sikkerhedseffekter og omkostninger forbundet med de konkrete krav.

Ved udmøntningen af bemyndigelsesbestemmelsen forventes det endvidere, at der vil ske en differentiering af, hvilke virksomheder der skal efterleve de nærmere fastsatte krav, så de mere kritiske virksomheder skal følge flere elementer af kravene.

Klima-, energi- og forsyningsministeren skal fastsætte regler om de nr. 1-5 oplistede emner. Reglerne kan indenfor hvert emne tilpasses, når det måtte være nødvendigt pga. udvikling i trusselsbilledet mod energisektoren og når det vurderes nødvendigt for at imødegå den teknologiske udvikling i energisektoren og cybersikkerheden.

Det foreslås i § 7 stk. 2, nr. 1, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om fysisk sikring efter stk. 1, herunder om forhindring af, at hændelser indtræffer under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau vil ske implementering af CER-direktivets artikel 13, stk. 1, litra a, hvorefter medlemsstaterne sikrer, at kritiske enheder forhindrer hændelser i at indtræffe under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger.

Ved udmøntningen af bemyndigelsesbestemmelsen forventes det, at der vil blive fastsat regler om, at virksomhederne skal identificere deres kritiske anlæg og net- og informationssystemer. Det forventes endvidere, at der med bemyndigelsen vil blive fastsat krav til virksomhedernes overblik over sårbarheder i forhold til naturkatastrofer og ekstreme vejrforhold, herunder at virksomhederne løbende forholder sig til risici, der er forbundet med at intensiteten og hyppigheden af ekstreme vejrforhold stiger i takt med klimaforandringerne. Det forventes således, at der med bemyndigelsen vil blive fastsat regler, hvorefter virksomhederne skal iværksætte foranstaltninger, der tager højde for vurderingen af de risici, der er forbundet med naturkatastrofer og ekstreme vejrforhold, og som minimerer risikoen for, at disse hændelser kan forstyrre leveringen af tjenesten. Det forventes endvidere, at der med bemyndigelsen vil blive fastsat regler, hvorefter virksomhederne skal tage højde for klimatilpasningsforanstaltninger i beslutninger vedrørende hvor og hvordan anlæg og net- og informationssystemer etableres og driftes. Ligeledes foreslås på baggrund af bemyndigelsesbestemmelsen, at der vil blive fastsat regler om at beredskabsplanlægningen i relevant omfang skal vurdere muligheder for genopretning af leveringen af tjenesten i tilfælde af større katastrofer og ekstreme vejrforhold.

Ifølge den foreslåede § 7, stk. 2, nr. 2, fastsætter klima-, energi- og forsyningsministeren nærmere regler om fysisk sikring efter stk. 1, herunder om etablering af foranstaltninger til overvågning, detektion og reaktion i forbindelse med uautoriseret adgang til og på anlæg og lokationer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af dele af CER-direktivets artikel 13, stk. 1, litra b, hvorefter kritiske enheder træffer foranstaltninger til fysisk beskyttelse af deres lokaler og kritiske infrastruktur under hensyntagen til værktøjer og rutiner til overvågning af perimetre, detektionsudstyr og adgangskontrol. Den foreslåede bestemmelse går videre end CER-direktivet, idet der på bekendtgørelsesniveau vil blive stillet krav om, at virksomhederne desuden skal etablere overvågning, der kan opdage uautoriseret adgang til net- og informationssystemer med betydning for leveringen af tjenesten.

Efter bestemmelsen vil der blandt andet blive fastsat nærmere regler om, at virksomheden skal træffe passende tekniske foranstaltninger og konfigurationer, der sikrer monitorering og detektion af uautoriseret adgang til net- og informationssystemer. Det forventes på baggrund af bestemmelsen, at der vil blive fastsat nærmere regler om, at virksomheden skal sikre koordination af sikkerhedsniveauet for tekniske og elektroniske foranstaltninger med fysiske og organisatoriske sikringsforanstaltninger. Det forventes, at ministeren også vil fastsætte nærmere regler om brug af videoovervågning, herunder om elektronisk og fysisk sikring af net- og informationssystemer, der benyttes til videoovervågning, der har betydning for leveringen af tjenesten.

Ligeledes forventes det, at der vil blive fastsat regler, hvorefter virksomhedernes skal være i stand til at detektere, verificere og alarmere i tilfælde af utilsigtede hændelser såsom brand, naturkatastrofer og ekstreme vejrforhold.

De nærmere regler om etablering af foranstaltninger til overvågning, detektion og reaktion i forbindelse med uautoriseret adgang til og på anlæg og lokationer forventes endvidere at indeholde krav om, at uautoriseret adgang kan opdages i realtid, og at virksomhederne skal have fastlagt procedurer for, hvordan der reageres på forsøg på uautoriseret adgang til og på lokationer og anlæg med betydning for leveringen af tjenesten. I denne sammenhæng kan den nødvendige overvågning og detektion fx omfatte en kombinationen af kamera, sensorer, alarmer, hegn, vagtordninger eller lignende foranstaltninger. Det forventes på baggrund af bestemmelsen, at der vil blive fastsat regler om reaktionstid.

Det forventes endvidere, at der på baggrund af bestemmelsen, vil blive fastsat nærmere regler om, at virksomheden skal træffe passende tekniske foranstaltninger og konfigurationer, der sikrer monitorering og detektion af uautoriseret adgang til net- og informationssystemer. Ved udmøntningen af bestemmelsen vil der herefter blive stillet krav om, at uautoriseret adgang til anlæg eller komponenter med netværksadgang skal kunne opdages i realtid. Det forventes herudover, at der vil blive fastsat nærmere regler om, at virksomheden skal sikre koordination af sikkerhedsniveauet for tekniske og elektroniske foranstaltninger med fysiske og organisatoriske sikringsforanstaltninger. Det forventes endeligt, at der vil blive fastsat nærmere regler om brug af fx videoovervågning, herunder om elektronisk og fysisk sikring af net- og informationssystemer, der benyttes til videoovervågning, der har betydning for leveringen af tjenesten.

Det foreslås i § 7 stk. 2, nr. 3, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om fysisk sikring efter stk. 1, herunder om tilstrækkelig fysisk sikring af virksomhedens anlæg og lokationer, herunder kontrolrum og kontrolrummets arbejdsstationer.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af af CER-direktivets artikel 13, stk. 1, litra b, hvorefter kritiske enheder sikrer tilstrækkelig fysisk beskyttelse af deres lokaler og kritiske infrastruktur under behørig hensyntagen til fx hegn, barrierer, værktøjer og rutiner til overvågning af perimetre.

På baggrund af bestemmelsen forventes der fastsat nærmere regler om, at tilstrækkelig fysiske sikring vil skulle etableres, uanset om der er tale om anlæg, der allerede er i drift, er projekterede eller er under etablering. Fysisk sikring vil efter bestemmelsen skulle forstås som perimeter-, skal- og cellesikring. Det forventes således, at der vil blive nærmere regler om krav til sikring af de ydre grænser rundt om anlægget, sikring af anlægget, herunder anlæggets bygninger og ydre mure, og sikring af udvalgte rum eller komponenter. Ved udmøntningen af bemyndigelsesbestemmelsen vil der blive fastsat krav til sammenhæng mellem virksomhedernes fysiske sikring af anlæg og lokationer og de krav til overvågnings- og detektionsforanstaltninger, der vil blive fastsat ved udmøntningen af lovforslagets § 7 stk. 2, nr. 2.

Efter bestemmelsen, vil klima-, energi- og forsyningsministeren endvidere skulle fastsætte nærmere regler om, at anlæg og komponenter med netværksadgang til net- og informationssystemer, der har betydning for leveringen af tjenesten, skal have tilstrækkelig fysisk sikring. Der vil blive fastsat regler på baggrund af bestemmelsen, hvorefter virksomhederne skal sikre, at der er tilstrækkelig afskærmning af anlæg, lokationer og komponenter for visuel eksponering, således at uvedkommende ikke kan få adgang til eller indblik i informationer, der har betydning for leveringen af virksomhedens tjenester.

Den foreslåede bestemmelse gælder anlæg, lokationer og komponenter, der er i drift såvel som anlæg, lokationer og komponenter, der er projekterede eller er under etablering. Der vil blive fastsat regler på baggrund af bestemmelsen, hvorefter virksomhederne skal sikre, at deres anlæg og net- og informationssystemer ikke kompromitteres inden de er idriftsat og dermed har indbyggede sårbarheder. Således vil den forventede udmøntning af bestemmelsen indeholdekrav om, at virksomhederne allerede under projekteringen vil skulle forholde sig til fysiske sikkerhedsrisici og cybersikkerhedsrisici og mitigere disse i relevant omfang. Det forventes herudover, at der vil blive fastsat nærmere regler om, at virksomhederne skal have tilstrækkelig fysisk sikring samt overvågnings- og detektionsforanstaltninger ved og omkring de anlæg og lokationer, der benyttes ved en relokering af kontrolrum eller serverrum.

Det foreslås i § 7, stk. 2, nr. 4, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om fysisk sikring efter stk. 1, herunder om håndtering af hændelser og genopretning efter hændelser.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af CER-direktivets artikel 13, stk. 1, litra c, hvorefter kritiske enheder skal være i stand til at reagere på, modstå og afbøde følgerne af hændelser under behørig hensyntagen til gennemførelsen af risiko- og krisestyringsprocedurer og -protokoller samt varslingsrutiner. Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau kan ske implementering af CER-direktivets artikel 13, stk. 1, litra d, hvorefter kritiske enheder skal træffe foranstaltninger, der sikrer genopretning efter hændelser under behørig hensyntagen til forretningskontinuitetsforanstaltninger og identifikation af alternative forsyningskæder.

På baggrund af bemyndigelsesbestemmelsen forventes der fastsat nærmere regler om virksomhedernes hændelseshåndtering. Eksempelvis vil reglerne indeholde krav til planer og procedurer for, hvordan virksomhederne håndterer en hændelse. Endvidere vil reglerne indeholde krav til virksomhedernes planer for, hvordan de forebygger hændelser, hvordan de opdager, analyserer og varsler hændelser, og hvordan de inddæmmer eller reagerer på og reetablerer sig efter en hændelse. Et yderligere eksempel på krav der vil skulle fastsættes efter den foreslåede bestemmelse, er krav om at virksomhederne skal have procedurer, der sikrer integriteten og den fysiske beskyttelse af virksomhedens anlæg i tilfælde af både tilsigtede og utilsigtede hændelser med henblik på, at leveringen af tjenesten videreføres.

Ved udmøntningen af den foreslåede bestemmelse vil der endvidere blive fastsat regler, hvorefter virksomhederne skal have etableret procedurer og foranstaltninger, der sikrer at virksomhederne hurtigst muligt kan genoprette leveringen af tjenesten i tilfælde af, at en hændelse har haft forstyrrende indvirkning. Det forventes endvidere, at der vil fastsættes krav om, at virksomhedernes procedurer for genopretning skal bygge på virksomhedernes egen identifikation af kritiske anlæg og komponenter og deres fysiske sårbarheder. På baggrund af bestemmelsen forventes det således, at der vil blive fastsat nærmere regler om, at virksomhederne skal have overblik over tilgængeligheden af reservedele og identificere alternative forsyningskæder, der kan sikre, at leveringen af tjenesten genoprettes.

Det foreslås i § 7 stk. 2, nr. 5, at klima-, energi- og forsyningsministeren fastsætter nærmere regler om fysisk sikring efter stk. 1, herunder om medarbejdersikkerhedsstyring.

Den foreslåede bestemmelse vil danne hjemmel for, at der ved fastsættelse af nærmere regler på bekendtgørelsesniveau, vil ske implementering af CER-direktivets artikel 13, stk. 1, litra c, hvor efter passende medarbejdersikkerhedsstyring skal sikres under behørig hensyntagen til foranstaltninger såsom fastsættelse af kategorier af personale, der udøver kritiske funktioner, fastlæggelse af adgangsrettigheder til lokaler, kritisk infrastruktur og følsomme oplysninger og fastsættelse af procedurer for baggrundskontrol.

På baggrund af bestemmelsen vil der blive fastsat regler med krav til virksomhedernes politikker og systemer for styret adgangskontrol, der vil forpligte virksomhederne til at tage stilling til, hvilke medarbejdere, herunder eksterne, der vil have adgang til hvilke dele af anlægget samt hvilke medarbejdere, herunder eksterne, der vil have fysisk adgang til net- og informationssystemer. Endvidere forventes reglerne at indeholde krav om logning af denne adgang, samt om løbende kontrol med, at adgangskontrollen virker efter hensigten. Med den foreslåede bestemmelse vil der endvidere blive fastsat regler, hvorefter virksomhederne skal sikre sammenhæng mellem medarbejderstyringen efter denne bestemmelse og bestemmelsen om autentificering og adgangsbeskyttelse af net- og informationssystemer, jf. den foreslåede § 8 stk. 2, nr. 9.