Forslag om lov om styrket beredskab i energisektoren

Forslag om lov om styrket beredskab i energisektoren

Energisektorens beredskabsregulering har til formål at sikre, at sektoren er forberedt til at kunne beskytte og videreføre energiforsyningen i tilfælde af naturskabte, menneskeskabte og teknologiske risici.

Formålet med lovforslaget er at styrke energisektorens beredskab med henblik på at forebygge og modstå hændelser, som truer energiforsyningen. Der i dag et markant og højt trusselsniveau mod energisektoren fra bl.a. cyberangreb og spionage. Desuden sker der store forandringer i energisektoren som følge af den grønne omstilling og digitaliseringen. 

Lovforslaget omfatter virksomheder el-, gas-, olie-, fjernvarme-, fjernkøling- og brintsektoren. Dermed vil lovforslaget omfatte aktører, der i dag ikke er underlagt beredskabsregulering i energisektoren. 

Lovforslaget implementerer Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet) og EuropaParlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet). 

Foruden at implementere NIS 2- og CER-direktivet vil lovforslaget indeholde en række supplerende krav til virksomheders beredskab, herunder krav til fysiske, tekniske og organisatoriske foranstaltninger for at imødekomme udviklingen med nye forsyningsaktører, teknologiske forandringer samt trusselsniveauet og herved sikre en høj robusthed i energisektoren. 

De områder hvorved lovforslaget supplerer direktiverne er hovedsageligt de foranstaltninger som foreslås i §§ 6-8, hvor klima-, energi- og forsyningsministeren fastsætter nærmere regler vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed. De supplerende krav vil bl.a. blive centreret omkring: krav til hvorfra net- og informationssystemer med betydning for energiforsyningen (tidl. forsyningskritiske systemer) kan driftes samt tilgås via fjernadgang; udarbejdelse af risiko- og sårbarhedsvurderinger for indkøb, design og etablering af energiinfrastruktur; alarmer hvorved der kan reageres på fx indtrængen; netværkssikkerhed herunder segmentering; overblik og styring af arkitektur og datatrafik; beskyttelse af mobile enheder og servere. De supplerende krav er udfoldet i de specielle bemærkninger og vil blive endeligt specificeret på bekendtgørelsesniveau. Kravene vil desuden gradueres efter virksomhedernes forsyningsmæssige kritikalitet.

Det forventes, at der vil blive udstedt tre udmøntende bekendtgørelser vedrørende regler om personelsikkerhed, gebyrer og beredskabskrav. Det forventes, at disse vil blive sendt i høring i september 2024. En del af bestemmelserne i bekendtgørelserne forventes at træde i kraft 1. januar 2025, men andre forventes at træde i kraft senere. Det vil fremgå af bekendtgørelserne, hvornår bestemmelserne træder i kraft. 

Q&A vil løbende blive opdateret.

Q&A til Lov om styrket beredskab

Lovforslaget
  • Spørgsmål: Er elforhandlere og elsalgsvirksomheder (virksomheder der sælger strøm til slutbrugerne) omfattet af lovforslaget? 

Svar: Ja, elforhandlere anses enten som 1) elektricitetsvirksomheder, 2) udpegede elektricitetsmarkedsoperatører eller 3) markedsdeltagere der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring. Elforhandlere er dermed omfattet af lovforslaget, jf. § 2, stk. 1, nr. 1, 5 og 6. Virksomheder som sælger strømmen til slutbrugere er også omfattet af loven.
Elektricitetsvirksomheder er nærmere defineret i § 3, stk. 1, nr. 7. Udpegede elektricitetsmarkedsoperatører er nærmere defineret i § 3, stk. 1, nr. 29. Aggregering, energilagring og fleksibelt elforbrug er nærmere defineret i henholdsvis § 3, stk. 1, nr. 1, 9 og 10.
Energistyrelsen vil bestræbe sig på, at det fremgår tydeligere, at elforhandlere og elsalgsvirksomheder er omfattet af lovforslaget efter høringsperioden.

 

  • Spørgsmål: Vedrørende lovforslagets § 5 om enheder af særlig europæisk betydning: hvem udpeger de enheder?

Svar: Europa-kommissionen udpeger enheder. Energistyrelsen giver virksomheder besked, hvis de er blevet udpeget som enhed af særlig europæisk betydning.

 

  • Spørgsmål: Vedrørende virksomheder med hovedkontor i Danmark og aktiviteter i flere Europæiske lande: hvilket land(e) skal de reguleres af?

Svar: Dette reguleres af blandt andet af NIS 2-direktivets artikel 26 om jurisdiktion og territorialitet. Det følger af artikel 26, stk. 1, at enheder (virksomheder), der er omfattet af dette direktivs anvendelsesområde, anses for at henhøre under jurisdiktionen i den medlemsstat, hvor de er etableret. 
Energistyrelsen vurderer derfor, at virksomheder som leverer tjenester i flere medlemslande kan være underlagt regulering af alle medlemsstater de er etableret i eller leverer tjenester til. Energistyrelsen vil gerne indgå i dialog med de virksomheder som kan være berørt af dette. 
Energistyrelsen deltager i internationale fora, hvor netop reguleringstryk og jurisdiktion diskuteres. Det generelle ønske er at sikre hensynene til smidig virksomhedsførelse og forsyningssikkerhed på bedst mulig vis imødekommes. 
Dette understøttes også af præambel nr. 113 som bidrager til fortolkningen af artikel 26. Af præamblen fremgår det at, 
”hvis enheden leverer tjenester eller er etableret i mere end én medlemsstat, bør den henhøre under hver af disse medlemsstaters særskilte og parallelle jurisdiktion. De kompetente myndigheder i disse medlemsstater bør samarbejde, yde hinanden gensidig bistand og, hvor det er hensigtsmæssigt, gennemføre fælles tilsynstiltag. Hvor medlemsstaterne udøver deres jurisdiktion, bør de ikke pålægge håndhævelsesforanstaltninger eller sanktioner mere end én gang for den samme adfærd i overensstemmelse med princippet ne bis in idem.”

 

  • Spørgsmål: Hvorfor er det kun § 15 og ikke § 12 som er undtaget fra aktindsigt?

Svar: Det er på baggrund af de rettigheder, som fremgår af anden lovgivning, og som sætter barrierer op for hvilke informationer, der bredt set kan undtages fra aktindsigt. De eksisterende undtagelser fra aktindsigt sikrer allerede, at vi kan undtage de oplysninger som kan sætte forsyningssikkerheden i fare.

 

  • Spørgsmål: Hvem er ledelsen, og omfatter dette bestyrelsen?

Svar: Bestemmelsen i § 6, stk. 2, nr. 1, er med til at sikre, at det er de personer, som har kompetence til at afsætte midler og godkende processer, som bliver ansvarlige for beredskabet og modstandsdygtigheden i virksomheden. Det vil derfor være en konkret vurdering i den enkelte virksomhed, om hvem der har beslutningskompetence, hvad angår midler, og hvem der dermed anses for at udgøre ledelsen. 

 

  • Spørgsmål: Hvorfor fremgår der ikke de samme beskrivelser om elsektorens nye omkostninger som der gør for varmesektorens selskaber?

Svar: Det er særligt henset til at varmesektoren ikke tidligere har været omfattet af beredskabslovgivningen i energisektoren. Der er således behov for at ændre i Varmeforsyningsloven § 20, stk. 1, 1. pkt., således at varmeforsyningsvirksomheder vil kunne indregne nødvendige omkostninger til beredskab efter lov om styrket beredskab i energisektoren.  Energistyrelsen så derfor et særligt behov for, at den økonomiske regulering blev tilstrækkeligt beskrevet i lovforslaget, sådan at eventuelle økonomiske spørgsmål blev foregrebet.
Energistyrelsen foreslår indtægtsrammebekendtgørelsen ændres således at netselskabers meromkostninger til beredskab som følge af nye krav kan føre til en forhøjelse af indtægtsrammen. 

 

Leverandører
  • Spørgsmål: Nogle steder i loven står der direkte leverandører, og andre steder nævners der afledte leverandører. Hvornår er leverandører omfattet?

Svar: Virksomheder skal selv stille kravene til leverandører. Det er dermed virksomhederne, der skal sikre, at deres leverandører lever op til reguleringens krav, i forhold til den vare eller tjeneste som virksomheden får leveret.

 

  • Spørgsmål: Vil virksomheder, som udlejer lagringsplads til olie, være omfattet?

Svar: Virksomheder, som ikke selv ejer olien eller operer med olien, men alene udlejer lagringsplads vil ikke være direkte omfattet af lovforslaget. Virksomheder som udlejer lagringsplads skal dog være opmærksomme på hvilke forpligtelser, der kan være til leverandører.

 

  • Spørgsmål: Er virksomheder, som udbyder services til eks. energisektoren, og som har adgang til at kontrollere eks. 2 GW installeret kapacitet, direkte omfattet af lovgivningen? Eller påhviler kravene udelukkende de juridiske ejere af anlæggene?

Svar: Det er som udgangspunkt den juridiske person, som ejer anlæggene, der vil være omfattet direkte af lovgivningen. Virksomheder, som udbyder services, skal være opmærksomme på de krav, de skal leve op til som leverandører til de omfattede virksomheder.

 

Kategorisering
  • Spørgsmål: I lovforslaget beskrives det, at virksomheder skal inddeles i niveauer på baggrund af den sektor, virksomhederne leverer tjenester i. Hvordan niveauinddeles virksomheder, som leverer tjeneste inden for flere sektorer? Eksempelvis kan en virksomhed både levere el og varme. Betyder dette, at virksomheden bliver inddelt i flere niveauer?

Svar: Virksomheder inddeles ikke på flere niveauer. Virksomheder, som opererer inden for flere delsektorer, placeres på det højeste niveau, hvortil virksomheden opfylder kravene. Hvis en virksomhed, der har aktiviteter i varmesektoren, svarende til niveau 2 og aktiviteter i elsektoren, svarende til niveau 3, så vil virksomhedens som udgangspunkt blive inddelt på niveau 3.
Virksomhedens samlede forhold på tværs af delsektorerne, herunder den samlede energimængde som virksomheden håndterer, indgår i afgørelsen om virksomhedens niveau. Desuden kan andre særlige omstændigheder lede til, at virksomheden kan placeres i et højere niveau.

 

  • Spørgsmål: Bliver virksomheder niveauinddelt alene ud fra den energimængde, som virksomhederne kan producere, håndtere eller kontrollere?

Svar: Nej, det vil være en konkret vurdering. Så mens energimængden vil udgøre en grænseværdi for virksomhedens niveau, kan virksomheder blive sat i et højere niveau, hvis de leverer kritiske tjenester. 

  • Spørgsmål: Er niveauinddelingen af virksomheder det samme som klassificering af anlæg?

Svar: Nej. Der kommer til at være en særskilt klassificering af anlæg. Virksomheder inddeles på niveau, mens anlæg inddeles i klasser. En niveau 4-virksomhed kan godt eje mange klasse 2-anlæg og har ikke nødvendigvis nogen klasse 4-anlæg. Hvis en virksomhed derimod ejer et klasse 4-anlæg, er virksomheden som minimum også en niveau 4-virksomhed. 

  • Spørgsmål: Vil virksomheder få direkte besked om hvilket niveau, de er i?

Svar: Som udgangspunkt, vil virksomheder få direkte besked om, hvilket niveau de inddeles i, og hvordan deres anlæg klassificeres. Det skal dog understreges, at virksomheder til enhver tid selv har ansvar for at efterleve den regulering, virksomhederne omfattes af. Er en virksomhed i tvivl om, hvorvidt denne er omfattet af den kommende beredskabsregulering, bedes virksomheden tage kontakt til Energistyrelsens beredskabskontor med henblik på afklaring og evt. fastlæggelse af virksomhedens niveau. 

  • Spørgsmål: Hvordan niveauinddeles ladestandere?

Svar: Ladestandere vil blive placeret under elsektoren. Niveauinddelingen vil som udgangspunkt følge samme kapacitetsinddeling som de resterende virksomheder i elsektoren. Dette kan dog evt. reguleres på baggrund af det reelle forbrug.

  • Spørgsmål: Bliver der differentieret på kritikalitet af anlæg?

Svar: Ja, vi viderefører den nuværende ordning om klassificering af anlæg, således at de mest kritiske anlæg skal efterleve de strengeste krav.

 

Krav
  • Spørgsmål: Hvilke virksomheder skal foretage fysisk segmentering af deres net- og informationssystemer.

Svar: Virksomheder i niveau 4 og 5 vil skulle foretage fysisk segmentering af deres net- og informationssystemer. Dette gælder ikke for internetforbindelsen eller fiberforbindelsen, men alene netværkene. 

  • Spørgsmål: Kommer der krav til den fysiske placering af f.eks. kontrolrum?

Svar: Hvis der er behandling af data i kontrolrummet, kommer der til at være krav til at kontrolrummet skal være placeret indenfor EU/EØS/EFTA for så vidt angår niveau 4- og 5-virksomheder.

  • Spørgsmål: Hvilke former for undervisning skal ledelsen hos en virksomhed modtage?

Svar: Ledelsen skal løbende være orienteret om de beredskabsmæssige risici, som virksomheden er udsat for. Ledelsen skal desuden være i stand til at identificere risici ved eksempelvis et projekt.

  • Spørgsmål: Hvor kan vi se de differentierede krav for virksomhederne? Der nævnes eksempelvis, at niveau 1-virksomheder skal leve op til begrænsede krav?

Svar: De konkrete krav til de forskellige niveauer vil fremgå af bekendtgørelserne.

  • Spørgsmål: Kommer der nogen krav til fjernopkoblet styring i forhold til den fysiske sikkerhed?

Svar: Ja det vil blive stillet krav til sikkerheden i forbindelse med, at man tilgår de kritiske virksomheders systemer.

  • Spørgsmål: Kravene vil tage noget tid at implementere, hvornår forventes det at virksomhederne skal efterleve kravene?

Svar: Der vil blive differentieret ift. hvornår de enkelte krav vil skulle være implementeret. Dette vil fremgå af bekendtgørelserne. 

 

Sikkerhedsgodkendelser og baggrundstjek
  • Spørgsmål: Kommer reglerne om sikkerhedsgodkendelse og baggrundskontrol også til at omfatte leverandører i energisektoren? Kan leverandørerne søge om godkendelse allerede inden der er indgået en kontrakt?

Svar: Energistyrelsen ser gerne, at leverandører også kan sikkerhedsgodkendes. Hvorvidt leverandører skal sikkerhedsgodkendes kommer dog an på de muligheder, der er på området. Dette skal endeligt afklares før Energistyrelsen kan bekræfte ordningen.

  • Spørgsmål: Skal der kun ske sikkerhedsgodkendelse af personer, der skal udføre arbejde for Energistyrelsen eller Energinet, eller kan personer, der alene udfører arbejde i det private og for private aktører, også blive sikkerhedsgodkendt?

Svar: Det forventes at de kommende regler om sikkerhedsgodkendelse og baggrundskontrol også vil finde anvendelse på private aktører. Efter forventningen kan medarbejdere, der ikke udfører myndighedsopgaver, også blive sikkerhedsgodkendt.

  • Spørgsmål: Hvordan kommer sikkerhedsgodkendelser til at påvirke udenlandske borgere og samarbejdet med udenlandske borgere? Hvis man fx har en engelsk chef, må man så dele fortrolig information med vedkommende?

Svar: Virksomheder har et ansvar for at fastlægge de interne procedurer. Hvis informationen er klassificeret til fortrolig efter Sikkerhedscirkulæret, skal man følge reglerne i cirkulæret.

 

Mere om Beredskab