Ny lovgivning om styrket beredskab i energisektoren

Et anlæg er en større teknisk installation, eller en samling af større tekniske installationer, der behandler energi (producerer, omformer, transporterer, lagrer, forbruger).

Et anlæg kan for eksempel være et kraftværk eller kraftvarmeværk, en transformerstation, lednings- eller rørstrækninger, kompressorstationer, pumpestationer, kontrolrum, elektrolyser, energilagre, varmepumper m.m.

Anlæg er eksempelvis ikke: 

• Lokationer hvor der alene er placeret netværksudstyr og reservedele.
• Kontorfaciliteter, med mindre der er tale om et kontrolrum.
• Et ladepunkt.

Eksempler på anlæg i de respektive delsektorer fremgår af bilag 3 i bekendtgørelse om modstandsdygtighed og beredskab i energisektoren nr. 10 – 15, som er forsimplet opsummeret nedenfor.

Anlæg i elsektoren

Produktionsanlæg, anlæg med systembærende egenskaber, stationer til el-distribution og eltransmission og forbindelser i el-systemet, herunder kraftværker, nødstartsanlæg, transformerstationer, kabelovergangsstationer, stationsanlæg, kabelanlæg, luftledningsanlæg, ledningsstrækninger, tilbageførelsesanlæg, forbindelseslinjer, anlæg med vindmøller (inkl. havmøller), solceller, batterier og brintproducerende anlæg.

Brintproducerende anlæg, som forbruger eller udveksler elektricitet samt anlæg inden for brintlagring og brinttransmission, der håndterer mængder svarende til tærskelværdierne for anlæg i gassektoren

Anlæg i gassektoren

Eksempelvis kompressorstationer, gaslagerfaciliteter, beskyttelsesanlæg, stationer (M/R stationer, tilbageførelsesanlæg, linjeventilstationer, ledningsstrækninger), ledninger (transmissionsledninger), opstrømsrørledningsnet, naturgasraffinaderier og –behandlingsanlæg, gasproduktionsanlæg, opgraderingsanlæg, LNG-faciliteter samt kontrolrum, der styrer, regulerer eller overvåger gasleverancer.

Anlæg i oliesektoren

Eksempelvis olieproduktionsanlæg, olieraffinaderier, oliebehandlingsanlæg, olielagre, olieterminaler og olietransmissionsanlæg, herunder olierørledninger.

Anlæg i fjernvarme- og fjernkølingssektoren

Eksempelvis distribution fra kraftvarmeværker, fjernkølingsanlæg, spids- og reservelastanlæg, ledningsnet, pumpestationer, varmevekslerstationer, varmepumper og kontrolrum.

Om krav til anlæg, se Hjælpeværktøj 2: Oversigt over krav til virksomheders anlæg baseret på de fem inddelte klasser.

En politik beskriver en organisations overordnede tilgang til samt praktiske organisering af et bestemt område. Politikken medvirker til at sikre en sammenkædning af de overordnede målsætninger med implementeringen i virkeligheden. En politik beskriver hvilke tiltag og processer der skal implementeres, hvilke fremgangsmåder eller tiltag der benyttes, og hvem i organisationen der har konkrete ansvar for, at politikken gennemføres i praksis.

Det er topledelsens ansvar at sikre, at ansvar og beføjelser i politikken er delegeret til de ansvarlige og kommunikeret til organisationen.

I forbindelse med implementeringen af Lov om styrket beredskab i energisektoren er der flere forskellige politikker, som er vigtige for en organisation, blandt andet en informationssikkerhedspolitik, en cybersikkerhedspolitik og en risikostyringspolitik. Politikkerne skal være relevante for det konkrete arbejde, organisationen laver, og de måder, de arbejder på, så de bedst muligt afspejler de opgaver, virksomheden udfører. Politikkerne skal også formulere målsætninger for arbejdet og opgaverne, så virksomheden internt kan følge op på, at man efterlever sin politik på et område.

En procedure beskriver en etableret fremgangsmåde i forhold til et arbejdsområde eller en eller flere opgaver. Modsat en politik, som kan være overordnet, så beskriver en procedure en konkret fremgangsmåde, der er tættere på det praktiske arbejde. En procedure beskriver en fremgangsmåde for en arbejdsopgave, blandt andet hvem der har ansvaret for opgaven, de aftalte procestrin, og hvornår opgaven er færdig og godkendt. 

Der kan være forskellige tilgange for om en procedure foreligger skriftligt eller i digitalt format. En procedure bør være nedskrevet på papir eller tegnet i en procesdiagram, så den kan sendes digitalt til relevante medarbejdere.

Læs mere under ’Politik’ og ’Fortegnelse’.

En fortegnelse er en samlet oversigt eller liste over for eksempel en organisations processer, aktiver eller ansvarsplacering på et bestemt område eller for et bestemt system. En fortegnelse giver en organisation et samlet billede over et bestemt område, så det er tydeligt, om der skal foretages ændringer i eksisterende processer og assets eller for eksempel tilføjes nye.

Når det drejer sig om fortegnelser over for eksempel net- og informationssystemer, skal fortegnelserne blandt andet indeholde oplysninger om funktion, kritikalitet og ansvarsplacering for det gældende system.

Fortegnelserne skal holdes opdaterede, så de altid er retvisende. 

Læs mere under ’Procedure’ og ’Politik’.

Energistyrelsen inddeler de virksomheder, der er omfattet af bekendtgørelse nr. 260 af 6. marts 2025 om modstandsdygtighed og beredskab for energisektoren, i fem niveauer efter tærskelværdierne angivet i bekendtgørelsens bilag 1 ”Skemaer med tærskelværdier for niveauinddeling af virksomheder”. Det følger af bekendtgørelsens § 4.

Niveauinddelingen afgør, hvilke krav i bekendtgørelsen virksomheden skal følge, samt gebyrstørrelse jf. Bekendtgørelse om Energistyrelsens gebyrer efter lov om styrket beredskab i energisektoren, nr. 261 af 6. marts 2025.

Niveauindplaceringen er baseret på de data, som Energistyrelsen har haft til rådighed. Hvis niveauinddelingen ikke stemmer overens med jeres oplysninger om hvor store energimængder I håndterer, så jeres virksomhed vil ændre niveau ved anvendelse af jeres data, bedes I særskilt gøre os opmærksom på det ved at sende en mail til beredskab@ens.dk.

Energistyrelsen har den 7. marts 2025, via digital post til virksomhedens CVR nr., udsendt et niveauinddelingsbrev og en velkomstskrivelse, der bl.a. indeholdt relevant information omkring opstart i beredskabsreguleringen i energisektoren og information om, hvordan man skulle indlevere både kontaktoplysninger på beredskabsroller og oplysninger til brug for niveauinddeling og klassificering jf. § 9 i bekendtgørelse nr. 260 om modstandsdygtighed og beredskab i energisektoren med frist henholdsvis den 1. april 2025 og 1. maj 2025.

Såfremt vi ikke modtager bemærkninger om korrektion af data fra jer inden den 1. maj 2025, så er virksomhedens niveau gældende fra denne dato og indtil næste gennemførelse af niveauinddeling.

For mere information om de respektive niveauer inden for de forskellige forsyningsarter, bedes I slå op i bekendtgørelsens kapitel 2 samt relevant bilag. 

Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren.

Det følger af § 11 i bekendtgørelse om modstandsdygtighed og beredskab i energisektoren, at virksomheder skal have henholdsvis én beredskabskoordinator og én cyberkoordinator. Virksomheder med anlæg i klasse 4 og 5 skal have én eller flere sikringskoordinatorer.

Virksomheder skal underrette Energistyrelsen om opdaterede kontaktoplysninger på de koordinerende roller.

Beredskabskoordinatoren

Beredskabskoordinatoren har ansvar for at koordinere beredskabsplanlægningen, herunder bistå ved udarbejdelsen af risiko- og sårbarhedsvurderinger efter § 18 og beredskabsplaner efter § 19. Personen har ofte et indgående kendskab til virksomheden – i nogle tilfælde tæt på driften – og deltager ligeledes ved tilsyn.

Cyberkoordinatoren

Cyberkoordinatoren har fokus på cybersikkerhed i relation til selskabets forsyningskritiske net og informationssystemer. Cyberkoordinatoren skal kordinere de foranstaltninger, der skal understøtte sikkerheden i net- og informationssystemerne, samt forestår beredskabsplanlægningen for virksomhedens net- og informationssystemer.

Sikringskoordinatoren

Sikringskoordinatoren er kun et krav for de største selskaber, der har anlæg i klasse 4 og 5.

Sikringskoordinatoren har ansvar for at koordinere den fysiske sikring i virksomheden og på dets anlæg. Det er vigtigt at bemærke, at bekendtgørelsen giver mulighed for at udpege flere sikringskoordinatorer, hvilket kan være relevant for selskaber med mange anlæg. Sikringskoordinatorerne skal i så fald koordinere foranstaltningerne på virksomhedens anlæg i klasse 4 og 5 mellem sig.

Beredskabs-, cyber- og sikringskoordinatorens samarbejde

Sammen skal beredskabskoordinatoren, cyberkoordinatoren og sikringskoordinatoren koordinere de forskellige områder, så virksomhedens beredskab planlægges ud fra et samlet risikobillede.

Beredskabskoordinatoren, cyberkoordinatoren og sikringskoordinatoren skal mødes med ledelse fire gange om året med henblik på at tage stilling til virksomhedens organisatoriske beredskab, fysiske sikring og cybersikkerhed.  

Bemærk, at det her ikke nødvendigvis behøver at være den øverste ledelse, der deltager i beredskabsmøderne. Det må i disse tilfælde godt ’bare’ være medlemmer af direktionen. Dette har været praksis hidtil og vil blive præciseret ved førstkommende ændring af bekendtgørelsen.

Beredskabskoordinatoren og cyberkoordinator er også de personer, Energistyrelsen vil tage kontakt til i forbindelse med tilsynsføring og sagsbehandling af virksomhedens beredskabsmateriale.

Virksomheder i niveau 4 og 5 må ikke have personsammenfald mellem beredskabskoordinatoren, cyberkoordinatoren og virksomhedens ledelsesorgan, der godkender risikovurderinger og beredskabsplaner efter § 10. Det følger af bekendtgørelsens § 11, stk. 6. Der må gerne være personsammenfald mellem ledelsen og sikkerhedskoordinatoren.

Modstandsdygtighed og beredskab er ledelsesansvar. Bekendtgørelsen om modstandsdygtighed og beredskab stiller særlige krav til ledere eller medlemmer af en bestyrelse eller direktion i virksomheder og myndigheder, som er omfattet af bekendtgørelsen. 

Spørgsmål 1: Hvordan er ledelsesbegrebet defineret i bekendtgørelsen?

Bekendtgørelsen om modstandsdygtighed stiller krav til ”ledelsesorganet” i virksomheder (§ 10).

Ledelsesorganet er defineret som ”henholdsvis det centrale ledelsesorgan, som defineret i selskabsloven, og ledelsen, som defineret i LEV-loven, afhængigt af virksomhedens selskabsform”.

Hvem, der udgør ”ledelsesorganet”, skal forstås i overensstemmelse med definitionerne af henholdsvis ”det centrale ledelsesorgan” i selskabslovens § 5, nr. 4, og ”ledelsen” i LEV-lovens § 4 a, nr. 2. 

Ifølge selskabsloven er det centrale ledelsesorgan:

• Bestyrelsen i selskaber, der har en direktion og en bestyrelse.
• Direktionen i selskaber, der alene har en direktion.
• Direktionen i selskaber, der både har en direktion og et tilsynsråd.

”Ledelsen” er i LEV-loven medlemmer af en bestyrelse, direktion eller et tilsvarende ledelsesorgan.

Den relevante definition af ledelsesorganet afhænger af virksomhedens selskabsform. Selskabsloven finder alene anvendelse for aktie- og anpartsselskaber, mens LEV-loven gælder for erhvervsdrivende virksomheder, der ikke er omfattet af selskabsloven fx enkeltmandsvirksomheder, interessentskaber, kommanditselskaber, andelsselskaber og fonde eller foreninger med erhvervsmæssig aktivitet.

Det vil være op til den enkelte virksomhed at vurdere deres virksomhedskonstruktion hører under selskabsloven eller LEV-loven.

Spørgsmål 2: Hvilke krav er der til ledelsens styring af beredskabet?

Ledelsesorganet har ansvaret at fastlægge virksomhedens risikostyring og beredskab. Ansvaret skal ses i forlængelse af de opgaver, bestyrelsen har for risikostyring ifølge selskabslovens § 115, og kan sammenlignes med den opgave, bestyrelsen i øvrigt har i forhold til finansielle risici samt ikke-finansielle risici (fx operationel risiko, teknologisk risiko m.m.).  Ledelsesorganets opgaver i forhold til risikostyring og beredskab er således ikke anderledes end andre risikostyringsområder, hvor ledelsen skal vurdere og føre kontrol med virksomheden eller organisationens  risici.

Ledelsesorganet skal, jf. § 10, godkende:

• Risiko- og sårbarhedsvurderinger efter § 18.
• Risikovurderinger i forbindelse med projekter, som skal sendes til Energistyrelsen efter § 28, stk. 1.
• Beredskabsplaner efter § 19.

Ledelsesorganet skal, jf § 11, stk. 5

• Mødes minimum fire gange årligt med de koordinerende beredskabsroller (beredskabskoordinatoren, cyberkoordinatoren og sikringskoordinatorerne)  med henblik på at tage stilling til virksomhedens organisatoriske beredskab, fysiske sikring og cybersikkerhed. Der skal føres referat af møderne.
• Forholde sig til, hvad der udgør et passende sikkerhedsniveau for virksomhedens net- og informationssystemer og for virksomhedens fysiske sikring set i forhold til virksomhedens risikoeksponering og den samfundsmæssige betydning af de tjenester og services, som virksomheden leverer. Det betyder bl.a., at ledelsen på et overordnet og strategisk niveau skal træffe beslutning om, hvilke foranstaltninger virksomheden skal have, og hvornår beskyttelsen er tilstrækkelig.

Bemærk, at det her ikke nødvendigvis behøver at være den øverste ledelse, der deltager i beredskabsmøderne. Det må i disse tilfælde godt ’bare’ være medlemmer af direktionen. Dette har været praksis hidtil og vil blive præciseret ved førstkommende ændring af bekendtgørelsen.

Spørgsmål 3: Hvordan skal ledelsen følge op på beslutninger om virksomhedens risikostyring og beredskab? 

Ledelsesorganet i virksomheden skal følge op på, at beslutninger, ledelsen har truffet på baggrund af risiko- og sårbarhedsvurderingerne, herunder de mitigerende foranstaltninger i forhold til cybersikkerhed og anlæggenes modstandsdygtighed i beredskabsplanerne, gennemføres.

Ledelsen skal derfor følge op på og føre kontrol med, at de sikkerhedstiltag, ledelsen har iværksat, realiseres og har den ønskede virkning. Opfølgningen kan ske på forskellige måder, fx gennem periodiske ledelsesrapporter, hvor ledelsesorganet får status på de strategiske målsætninger, handleplaner samt udvalgte nøgletal og kontrolmål for virksomhedens arbejde med fx cyber- og informationssikkerhed.

Ledelsesorganet kan også følge op på beslutningerne ved at etablere processer for intern eller ekstern revision af kravene til modstandsdygtighed og beredskab. I begge tilfælde skal resultaterne rapporteres til ledelsen.

Spørgsmål 4: Hvilke krav stiller bekendtgørelsen om modstandsdygtighed og beredskab til uddannelse og awareness til ledelsens og medarbejdere?

Det følger af § 24 i bekendtgørelsen om modstandsdygtighed og beredskab, at medlemmer af en virksomheds ledelsesorgan skal deltage i relevante kurser eller undervisning om organisatoriske beredskab, fysiske sikring og cybersikkerhed.

Der er ikke et specifikt form- og indholdskrav til kurserne, men undervisningskravet skal ses i lyset af den rolle og de opgaver, ledelsesorganet har inden for risikovurderingen og beredskabet i deres virksomhed efter bekendtgørelsens § 10.

Kurserne skal gøre ledelsen i stand til at vurdere risici og til at kunne træffe beslutninger om og følge op på cybersikkerhedsforanstaltninger og foranstaltninger til fysisk sikring. Det er ikke et krav, at alle eller et bestemt antal medlemmer af ledelsesorganet skal have gennemført et givent antal kurser, men ledelsesorganet skal som kollektiv have de fornødne kompetencer til at styre det organisatoriske beredskab, cybersikkerheden og den fysiske sikring i virksomheden.

Relevante kurser kan fx være 

• generelle kurser om cyber- og informationssikkerhed,
• ledelseskurser
• workshops om styring af cyber- og informationssikkerhedsrisici,
• kurser og certificeringer i anerkendte europæiske og internationale sikkerhedsstandarder, eller
• egne internt tilrettelagte kurser og seminarer om cyber- og informationssikkerhed, som er målrettet ledelsen.

Yderligere krav til uddannelse og awareness

• Uddannelsesaktiviteterne skal kunne dokumenteres fx i form af kursusbevis eller bekræftelse på deltagelse i kursus.
• Virksomheder skal sikre, at personer, som udfører opgaver inden for virksomhedens organisatoriske beredskab, fysiske sikring og cybersikkerhed, opbygger og fastholder de nødvendige kompetencer, herunder modtager den fornødne instruktion, undervisning og træning, jf. § 25.
• Virksomheder skal årligt gennemføre awareness-tiltag for at fremme og fastholde kendskabet til relevante beredskabsplaner, trusler og sårbarheder i virksomheden, jf. § 26, stk. 1.
• Virksomheder skal årligt gennemføre awareness-tiltag for at fremme og fastholde virksomhedens evne til at genkende og håndtere relevante cybertrusler og sårbarheder, jf. § 26, stk. 2.
   

Nogle virksomheder og organisationer har som en del af deres organisering etableret et cyber- og informationssikkerhedsudvalg, revisionsudvalg eller lignende med repræsentanter fra ledelsesorganet. Typisk varetager udvalgene opgaver vedrørende styring af og kontrol med virksomhedens cybersikkerhed.

Ledelsesorganet kan uddelegere sine opgaver til denne type udvalg, men det vil fortsat være det samlede ledelsesorgan, der kollektivt har ansvaret for, at virksomheden lever op til forpligtelserne i bekendtgørelsen om modstandsdygtighed og beredskab i energisektoren. Dette inkluderer kravene til ledelsesorganet. Ledelsesorganet bør derfor overvåge og påse, at udvalget udfører opgaverne.

Samordnet beredskab er en samlebetegnelse for to måder, hvorpå beredskabsarbejdet efter BEK 260 kan varetages i fællesskab for en større eller mindre gruppe af virksomheder, der hver især er omfattet af BEK 260.

Den første måde (type 1) – og historisk set mest anvendte måde at have samordnet beredskab på – er, at beredskabet for to eller flere virksomheder varetages af én virksomhed på den eller de andres virksomheders vegne.

Den anden og sjældnere anvendte måde at have samordnet beredskab på er, når virksomhederne i fællesskab varetager beredskabet på tværs af alle de virksomheder, der deltager (type 2).

Der er en række praktiske og juridisk konsekvenser ved at have samordnet beredskab i henhold til § 113. Der redegøres for disse i vejledningen om ansøgning af samordnet beredskab. Her redegøres der også for hvordan og hvortil der kan ansøges om samordnet beredskab. Vejledningen bliver tilgængelig for virksomheder omfattet af Lov om styrket beredskab i energisektoren på Energistyrelsens lukkede beredskabssite inden påske.

For virksomheder der har været omfattet af og har haft samordnet beredskab efter bekendtgørelse nr. 2646 af 28. december 2021 om beredskab for elsektoren, bekendtgørelse nr. 2647 af 28. december 2021 om it-beredskab for el- og naturgassektorerne og/eller bekendtgørelse nr. 821 af 14. august 2019 om beredskab for naturgassektoren, skal Energistyrelsen gøre opmærksom på at disse virksomheder skal ansøge om samordnet beredskab på ny, da der ikke er fastsat regler om at samordnede beredskab efter de gamle regler automatisk videreføres efter § 113, i BEK 260. 

Du skal som virksomhed betale for Energistyrelsens tilsyn og myndighedsbehandling efter lov om styrket beredskab regler udstedt i medfør heraf.

Virksomheder i niveau 2-5 betaler på baggrund af den niveauinddeling virksomheden har modtaget, samt antallet klasse 4 anlæg eller om virksomheden er transmissionssystemoperatør i el- og gassystemet. Således skal virksomheder årligt betale følgende:

• Transmissionssystemoperatør i el- og gassystemet: 675.272 kr.
• Virksomheder i niveau 5, og som opererer fire eller flere klasse 4-anlæg: 345.808 kr.
• Virksomheder i niveau 5, og som opererer tre eller færre klasse 4-anlæg: 270.753 kr.
• Virksomheder i niveau 4: 235.677 kr.
• Virksomheder i niveau 3: 79.721 kr.
• Virksomheder i niveau 2: 44.732 kr.

Virksomheder i niveau 1 betaler 2.099 kr., dog kun såfremt de har modtaget tilsyn i det pågældende år.

I tillæg til betaling for den almindelige myndighedsbehandling og tilsyn efter Lov om styrket beredskab i energisektoren og regler udstedt i medfør heraf, så skal virksomhederne betale for ad hoc tilsyn de modtager efter § 19, stk. 2, nr. 3, i lov om styrket beredskab i energisektoren.

Endelig skal virksomheder betale gebyrer for indgivelse af ansøgninger og dispensationer efter lov om styrket beredskab eller BEK 260. Der er tale om følgende ansøgningstyper og tilhørende satser:

• Ansøgning om samordnet beredskab: 790 kr.
• Ansøgning om dispensation fra reglerne: 2.923 kr.
• Ansøgning om personsammenfald: 790 kr.
• Ansøgning om forhåndstilsagn om klasseinddeling af projekterede anlæg: 2.923 kr.
• Ansøgning om at virksomheden selv kan varetage opgaven som it-sikkerhedstjeneste: 790 kr.
   

Gebyrerne opkræves bagudrettet hver d. 1. januar og d. 1. juli, første gang d. 1. juli 2025 jf. § 6, stk. 1 i BEK 261.

Gebyropkrævningen vil blive sendt til virksomhedens digitale postkasse. Der vil på fakturaen i udgangspunktet være angivet teksten ”Opkrævning af gebyrer efter lov om styrket beredskab i energisektoren”. Virksomheden kan indmelde indkøbsordrenumre, og en person der kan sættes som ”ATT” på fakturaen, således at fakturaen hurtigt kan komme frem til den rette person i organisationen.

Grundet de mange opkrævninger der skal sendes, er det i modsætning til tidligere ikke længere muligt at få tilsendt fakturaen til almindelige e-mails, eller som almindelig post.

Fakturaen skal betales inden 30 dage efter fakturaens udstedelse. Såfremt fakturaen ikke betales rettidigt kan der pålægges renter i medfør af renteloven. En reminder om betaling vil automatisk blive sendt [x antal dage] efter manglende betaling. Såfremt fakturaen stadig ikke betales efter betalingspåmindelsen vil fakturaen blive sendt til inddrivelse ved inkasso. 

Virksomheder opkræves løbende for Energistyrelsens beredskabstilsyn. Beløbet dækker det løbende beredskabstilsyn der modtages som f.eks. godkendelse af risiko- og sårbarhedsvurderinger og beredskabstilsyn, samt det fysiske tilsyn hvert tredje år, såfremt der ikke foretages ændringer i gebyrsatserne eller andre regler omkring gebyrbetaling for beredskabstilsyn, i den mellemliggende tid.

Virksomheder der indgår i et samordnet beredskab, hvor beredskabet bliver varetaget af en anden af loven omfattet virksomhed (type 1-samordnet beredskab), skal virksomheden ikke betale gebyr jf. § 5 i BEK 261. I stedet vil den virksomhed der varetager beredskabet blive opkrævet gebyret. Såfremt virksomheden indgår i et samordnet beredskab, hvor virksomhederne varetager beredskabet i fællesskab (type 2), vil begge virksomheder i udgangspunktet hæfte for betalingen af gebyrerne efter BEK 261. Af praktiske årsager vil kun den ene virksomhed blive opkrævet beløbet, dette vil blive afklaret i forbindelse med godkendelsen af ansøgning om samordnet beredskab.