Ny lovgivning styrker dansk forsyningssikkerhed

Energisektoren har fået sin egen beredskabslovgivning, der har til formål at øge modstandsdygtigheden og beredskabet over for naturskabte, menneskeskabte og teknologiske trusler mod den danske energiforsyning: 

Der i dag et markant og højt trusselsniveau mod energisektoren fra bl.a. cyberangreb og spionage. Desuden sker der store forandringer i energisektoren som følge af den grønne omstilling og digitaliseringen.

Lovgivningen har fokus på at forebygge og modstå hændelser, som truer energiforsyningen. Det sker navnlig gennem regler om organisatorisk beredskab, fysisk sikring og cybersikkerhed for virksomheder i energisektoren. Lovgivningen omfatter virksomheder, der har betydning for forsyningen i el-, gas-, olie-, fjernvarme-, fjernkøling- og brintsektoren. 

Med den nye lovgivning følger også en modernisering af den eksisterende beredskabsregulering af energisektoren. Der stilles nye krav til virksomhedernes fysiske sikkerhed, cybersikkerhed og organisatoriske beredskab med det formål at sikre en høj robusthed. For eksempel stilles der krav til hvorfra net- og informationssystemer med betydning for energiforsyningen kan driftes samt tilgås via fjernadgang; udarbejdelse af risiko- og sårbarhedsvurderinger for indkøb, design og etablering af energiinfrastruktur; alarmer hvorved der kan reageres på fx indtrængen; netværkssikkerhed herunder netværksopdeling, der minimerer risikoen for, at cyberangreb kan sprede sig. Kravene vil desuden gradueres efter virksomhedernes forsyningsmæssige kritikalitet.

Lovgivningen implementerer Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet) og Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet). 

Foruden at implementere NIS 2- og CER-direktiverne indeholder lovgivningen en række supplerende krav til virksomheders beredskab, for at forebygge og modstå hændelser, som truer energiforsyningen.

Q&A vil løbende blive opdateret og udbygget.

Hjælpeværktøjer 

Energistyrelsen udarbejder flere hjælpeværktøjer til forståelse af, hvilke krav energivirksomhederne skal overholde i medfør af bekendtgørelse om modstandsdygtighed og beredskab i energisektoren. I kan finde de første to nedenfor:

Hjælpeværktøj 1: Oversigt over krav til virksomheder baseret på niveauinddelingen af virksomheder i henholdsvis niveau 1 – 5.

 

Hjælpeværktøj 2: Oversigt over krav til virksomheders anlæg baseret på de fem inddelte klasser.

Spørgsmål og svar om beredskabsregulering

Nedenstående opdateres og udbygges løbende.

Et anlæg er en større teknisk installation, eller en samling af større tekniske installationer, der behandler energi (producerer, omformer, transporterer, lagrer, forbruger).

Et anlæg kan for eksempel være et kraftværk eller kraftvarmeværk, en transformerstation, lednings- eller rørstrækninger, kompressorstationer, pumpestationer, kontrolrum, elektrolyser, energilagre, varmepumper m.m.

Anlæg er eksempelvis ikke: 

  • Lokationer hvor der alene er placeret netværksudstyr og reservedele.
  • Kontorfaciliteter, med mindre der er tale om et kontrolrum.
  • Et ladepunkt.

Eksempler på anlæg i de respektive delsektorer fremgår af bilag 3 i bekendtgørelse om modstandsdygtighed og beredskab i energisektoren nr. 10 – 15, som er forsimplet opsummeret nedenfor.

Anlæg i elsektoren

Produktionsanlæg, anlæg med systembærende egenskaber, stationer til el-distribution og eltransmission og forbindelser i el-systemet, herunder kraftværker, nødstartsanlæg, transformerstationer, kabelovergangsstationer, stationsanlæg, kabelanlæg, luftledningsanlæg, ledningsstrækninger, tilbageførelsesanlæg, forbindelseslinjer, anlæg med vindmøller (inkl. havmøller), solceller, batterier og brintproducerende anlæg.

Brintproducerende anlæg, som forbruger eller udveksler elektricitet samt anlæg inden for brintlagring og brinttransmission, der håndterer mængder svarende til tærskelværdierne for anlæg i gassektoren

Anlæg i gassektoren

Eksempelvis kompressorstationer, gaslagerfaciliteter, beskyttelsesanlæg, stationer (M/R stationer, tilbageførelsesanlæg, linjeventilstationer, ledningsstrækninger), ledninger (transmissionsledninger), opstrømsrørledningsnet, naturgasraffinaderier og –behandlingsanlæg, gasproduktionsanlæg, opgraderingsanlæg, LNG-faciliteter samt kontrolrum, der styrer, regulerer eller overvåger gasleverancer.

Anlæg i oliesektoren

Eksempelvis olieproduktionsanlæg, olieraffinaderier, oliebehandlingsanlæg, olielagre, olieterminaler og olietransmissionsanlæg, herunder olierørledninger.

Anlæg i fjernvarme- og fjernkølingssektoren

Eksempelvis distribution fra kraftvarmeværker, fjernkølingsanlæg, spids- og reservelastanlæg, ledningsnet, pumpestationer, varmevekslerstationer, varmepumper og kontrolrum.

Om krav til anlæg, se Hjælpeværktøj 2: Oversigt over krav til virksomheders anlæg baseret på de fem inddelte klasser.

En politik beskriver en organisations overordnede tilgang til samt praktiske organisering af et bestemt område. Politikken medvirker til at sikre en sammenkædning af de overordnede målsætninger med implementeringen i virkeligheden. En politik beskriver hvilke tiltag og processer der skal implementeres, hvilke fremgangsmåder eller tiltag der benyttes, og hvem i organisationen der har konkrete ansvar for, at politikken gennemføres i praksis.

Det er topledelsens ansvar at sikre, at ansvar og beføjelser i politikken er delegeret til de ansvarlige og kommunikeret til organisationen.

I forbindelse med implementeringen af Lov om styrket beredskab i energisektoren er der flere forskellige politikker, som er vigtige for en organisation, blandt andet en informationssikkerhedspolitik, en cybersikkerhedspolitik og en risikostyringspolitik. Politikkerne skal være relevante for det konkrete arbejde, organisationen laver, og de måder, de arbejder på, så de bedst muligt afspejler de opgaver, virksomheden udfører. Politikkerne skal også formulere målsætninger for arbejdet og opgaverne, så virksomheden internt kan følge op på, at man efterlever sin politik på et område.

En procedure beskriver en etableret fremgangsmåde i forhold til et arbejdsområde eller en eller flere opgaver. Modsat en politik, som kan være overordnet, så beskriver en procedure en konkret fremgangsmåde, der er tættere på det praktiske arbejde. En procedure beskriver en fremgangsmåde for en arbejdsopgave, blandt andet hvem der har ansvaret for opgaven, de aftalte procestrin, og hvornår opgaven er færdig og godkendt. 

Der kan være forskellige tilgange for om en procedure foreligger skriftligt eller i digitalt format. En procedure bør være nedskrevet på papir eller tegnet i en procesdiagram, så den kan sendes digitalt til relevante medarbejdere.

Læs mere under ’Politik’ og ’Fortegnelse’.

En fortegnelse er en samlet oversigt eller liste over for eksempel en organisations processer, aktiver eller ansvarsplacering på et bestemt område eller for et bestemt system. En fortegnelse giver en organisation et samlet billede over et bestemt område, så det er tydeligt, om der skal foretages ændringer i eksisterende processer og assets eller for eksempel tilføjes nye.

Når det drejer sig om fortegnelser over for eksempel net- og informationssystemer, skal fortegnelserne blandt andet indeholde oplysninger om funktion, kritikalitet og ansvarsplacering for det gældende system.

Fortegnelserne skal holdes opdaterede, så de altid er retvisende. 

Læs mere under ’Procedure’ og ’Politik’.

Energistyrelsen inddeler de virksomheder, der er omfattet af bekendtgørelse nr. 260 af 6. marts 2025 om modstandsdygtighed og beredskab for energisektoren, i fem niveauer efter tærskelværdierne angivet i bekendtgørelsens bilag 1 ”Skemaer med tærskelværdier for niveauinddeling af virksomheder”. Det følger af bekendtgørelsens § 4.

Niveauinddelingen afgør, hvilke krav i bekendtgørelsen virksomheden skal følge, samt gebyrstørrelse jf. Bekendtgørelse om Energistyrelsens gebyrer efter lov om styrket beredskab i energisektoren, nr. 261 af 6. marts 2025.

Niveauindplaceringen er baseret på de data, som Energistyrelsen har haft til rådighed. Hvis niveauinddelingen ikke stemmer overens med jeres oplysninger om hvor store energimængder I håndterer, så jeres virksomhed vil ændre niveau ved anvendelse af jeres data, bedes I særskilt gøre os opmærksom på det ved at sende en mail til beredskab@ens.dk.

Energistyrelsen har den 7. marts 2025, via digital post til virksomhedens CVR nr., udsendt et niveauinddelingsbrev og en velkomstskrivelse, der bl.a. indeholdt relevant information omkring opstart i beredskabsreguleringen i energisektoren og information om, hvordan man skulle indlevere både kontaktoplysninger på beredskabsroller og oplysninger til brug for niveauinddeling og klassificering jf. § 9 i bekendtgørelse nr. 260 om modstandsdygtighed og beredskab i energisektoren med frist henholdsvis den 1. april 2025 og 1. maj 2025.

Såfremt vi ikke modtager bemærkninger om korrektion af data fra jer inden den 1. maj 2025, så er virksomhedens niveau gældende fra denne dato og indtil næste gennemførelse af niveauinddeling.

For mere information om de respektive niveauer inden for de forskellige forsyningsarter, bedes I slå op i bekendtgørelsens kapitel 2 samt relevant bilag. 

Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren.

Samordnet beredskab er en samlebetegnelse for to måder, hvorpå beredskabsarbejdet efter BEK 260 kan varetages i fællesskab for en større eller mindre gruppe af virksomheder, der hver især er omfattet af BEK 260.

Den første måde (type 1) – og historisk set mest anvendte måde at have samordnet beredskab på – er, at beredskabet for to eller flere virksomheder varetages af én virksomhed på den eller de andres virksomheders vegne.

Den anden og sjældnere anvendte måde at have samordnet beredskab på er, når virksomhederne i fællesskab varetager beredskabet på tværs af alle de virksomheder, der deltager (type 2).

Der er en række praktiske og juridisk konsekvenser ved at have samordnet beredskab i henhold til § 113. Der redegøres for disse i vejledningen om ansøgning af samordnet beredskab. Her redegøres der også for hvordan og hvortil der kan ansøges om samordnet beredskab. Vejledningen bliver tilgængelig for virksomheder omfattet af Lov om styrket beredskab i energisektoren på Energistyrelsens lukkede beredskabssite inden påske.

For virksomheder der har været omfattet af og har haft samordnet beredskab efter bekendtgørelse nr. 2646 af 28. december 2021 om beredskab for elsektoren, bekendtgøreles nr. 2647 af 28. december 2021 om it-beredskab for el- og naturgassektorerne og/eller bekendtgørelse nr. 821 af 14. august 2019 om beredskab for naturgassektoren, skal Energistyrelsen gøre opmærksom på at disse virksomheder skal ansøge om samordnet beredskab på ny, da der ikke er fastsat regler om at samordnede beredskab efter de gamle regler automatisk videreføres efter § 113, i BEK 260. 

Gebyrer

Du skal som virksomhed betale for Energistyrelsens tilsyn og myndighedsbehandling efter lov om styrket beredskab regler udstedt i medfør heraf.

Virksomheder i niveau 2-5 betaler på baggrund af den niveauinddeling virksomheden har modtaget, samt antallet klasse 4 anlæg eller om virksomheden er transmissionssystemoperatør i el- og gassystemet. Således skal virksomheder årligt betale følgende:

  • Transmissionssystemoperatør i el- og gassystemet: 675.272 kr.
  • Virksomheder i niveau 5, og som opererer fire eller flere klasse 4-anlæg: 345.808 kr.
  • Virksomheder i niveau 5, og som opererer tre eller færre klasse 4-anlæg: 270.753 kr.
  • Virksomheder i niveau 4: 235.677 kr.
  • Virksomheder i niveau 3: 79.721 kr.
  • Virksomheder i niveau 2: 44.732 kr.

Virksomheder i niveau 1 betaler 2.099 kr., dog kun såfremt de har modtaget tilsyn i det pågældende år.

I tillæg til betaling for den almindelige myndighedsbehandling og tilsyn efter Lov om styrket beredskab i energisektoren og regler udstedt i medfør heraf, så skal virksomhederne betale for ad hoc tilsyn de modtager efter § 19, stk. 2, nr. 3, i lov om styrket beredskab i energisektoren.

Endelig skal virksomheder betale gebyrer for indgivelse af ansøgninger og dispensationer efter lov om styrket beredskab eller BEK 260. Der er tale om følgende ansøgningstyper og tilhørende satser:

  • Ansøgning om samordnet beredskab: 790 kr.
  • Ansøgning om dispensation fra reglerne: 2.923 kr.
  • Ansøgning om personsammenfald: 790 kr.
  • Ansøgning om forhåndstilsagn om klasseinddeling af projekterede anlæg: 2.923 kr.
  • Ansøgning om at virksomheden selv kan varetage opgaven som it-sikkerhedstjeneste: 790 kr.
     

Gebyrerne opkræves bagudrettet hver d. 1. januar og d. 1. juli, første gang d. 1. juli 2025 jf. § 6, stk. 1 i BEK 261.

Gebyropkrævningen vil blive sendt til virksomhedens digitale postkasse. Der vil på fakturaen i udgangspunktet være angivet teksten ”Opkrævning af gebyrer efter lov om styrket beredskab i energisektoren”. Virksomheden kan indmelde indkøbsordrenumre, og en person der kan sættes som ”ATT” på fakturaen, således at fakturaen hurtigt kan komme frem til den rette person i organisationen.

Grundet de mange opkrævninger der skal sendes, er det i modsætning til tidligere ikke længere muligt at få tilsendt fakturaen til almindelige e-mails, eller som almindelig post.

Fakturaen skal betales inden 30 dage efter fakturaens udstedelse. Såfremt fakturaen ikke betales rettidigt kan der pålægges renter i medfør af renteloven. En reminder om betaling vil automatisk blive sendt [x antal dage] efter manglende betaling. Såfremt fakturaen stadig ikke betales efter betalingspåmindelsen vil fakturaen blive sendt til inddrivelse ved inkasso. 

Virksomheder opkræves løbende for Energistyrelsens beredskabstilsyn. Beløbet dækker det løbende beredskabstilsyn der modtages som f.eks. godkendelse af risiko- og sårbarhedsvurderinger og beredskabstilsyn, samt det fysiske tilsyn hvert tredje år, såfremt der ikke foretages ændringer i gebyrsatserne eller andre regler omkring gebyrbetaling for beredskabstilsyn, i den mellemliggende tid.

Virksomheder der indgår i et samordnet beredskab, hvor beredskabet bliver varetaget af en anden af loven omfattet virksomhed (type 1-samordnet beredskab), skal virksomheden ikke betale gebyr jf. § 5 i BEK 261. I stedet vil den virksomhed der varetager beredskabet blive opkrævet gebyret. Såfremt virksomheden indgår i et samordnet beredskab, hvor virksomhederne varetager beredskabet i fællesskab (type 2), vil begge virksomheder i udgangspunktet hæfte for betalingen af gebyrerne efter BEK 261. Af praktiske årsager vil kun den ene virksomhed blive opkrævet beløbet, dette vil blive afklaret i forbindelse med godkendelsen af ansøgning om samordnet beredskab.  

Kontakt

Beredskab
Mail Icon