Energi-, Forsynings- og Klimaudvalget 2016-17
L 68 Bilag 1
Offentligt
1685120_0001.png
Høringsnotat vedr. forslag til lov om ændring af lov om
elforsyning og lov om naturgasforsyning (It- beredskab i el- og
naturgassektorerne, gebyr for myndighedsbehandling og
forhøjelse af indtægtsrammer for netvirksomheder)
Kontor/afdeling
Center for Forsyning
Dato
4. november 2016
J nr.
2016-9444
JCV/DFR/CVMA
Udkast til lovforslag om ændring af lov om elforsyning og lov om naturgasforsyning
(beredskab for forsyningskritiske it-systemer i el- og naturgassektoren, gebyr for
myndighedsbehandling og forhøjelse af indtægtsrammer for netvirksomheder) har
været udsendt i høring af tre perioder. I perioden den 22. august til den 19.
september 2016 har lovforslaget omhandlende it-beredskab i el- og
naturgassektorerne været i høring med tilhørende bekendtgørelse. I perioden fra
den 21. til 28. september 2016 har tillæg til lovforslaget omhandlende gebyr for
myndighedsbehandling været i høring. I perioden fra den 7. til 14. oktober 2016 har
tillæg til lovforslaget omhandlende netvirksomheders mulighed for forhøjelse af
indtægtsrammer været sendt i høring.
Høringsnotatet er opdelt efter de tre høringsperioder med en overskrift for hver
høringsperiode.
Høringsnotatet redegør for de væsentligste punkter i høringssvarene knyttet til
hovedemner. Ønskes der detaljerede oplysninger om høringssvarenes indhold,
henvises der til de fremsendte høringssvar.
Energistyrelsens bemærkninger til høringssvarene er angivet med kursiv efter hvert
emne.
Udover de i høringsnotatet behandlede punkter indeholder høringssvarene en
række mere tekniske og redaktionelle kommentarer til lovforslaget og følgende
bekendtgørelse. Disse kommentarer er indarbejdet i lovforslaget i fornødent
omfang. Endelig er der foretaget en række mindre ændringer, herunder
redaktionelle og lovtekniske ændringer i lovforslaget.
Energi-, Forsynings- og
Klimaministeriet
Stormgade 2-6
1470 København K
T: +45 3392 2800
E: [email protected]
Side 1/13
www.efkm.dk
 L 68 - 2016-17 - Bilag 1: Høringssvar og høringsnotat, fra energi-, forsynings- og klimaministeren
1685120_0002.png
1. Første høringsperiode – It-beredskab i el- og naturgassektorerne med
tilhørende bekendtgørelse
Udkast til lovforslag om ændring af lov om elforsyning og lov om naturgasforsyning
(beredskab for forsyningskritiske it-systemer i el- og naturgassektoren) samt
tilhørende bekendtgørelse har været udsendt i høring fra den 22. august til den 19.
september 2016.
Energistyrelsen har modtaget i alt 12 høringssvar i denne periode.
Følgende høringsparter har oplyst, at de ingen bemærkninger har til udkastet til
lovforslaget: Danske Erhvervsskoler og -Gymnasier, Danske Universiteter,
Datatilsynet, Konkurrence- og Forbrugerstyrelsen, SRF Skattefaglig Forening.
Følgende høringsparter har fremsendt bemærkninger til udkastet til lovforslaget:
Dansk Energi, Dansk IT, Energitilsynet, FSR - danske revisorer, NEAS ENERGY,
Radius Elnet A/S, Vindenergi Danmark.
1.1. Overordnede bemærkninger til lovforslaget
NEAS Energy, Dansk IT, Radius, FSR – danske revisorer og Dansk Energi
forholder sig positivt til, at der er fokus på at fremme it-beredskabet i el- og
naturgassektorerne. Dansk Energi bemærker, at cybertruslen er en de kommende
års større udfordringer. Dansk IT vurderer, at lovforslagets risikobaserede tilgang til
forsyningskritiske it-systemer er rigtig.
FSR – danske revisorer gør endvidere
opmærksom på, at ”compliance” kan blive et spørgsmål om, hvorvidt virksomheden
har lavet f.eks. en risiko- og sårbarhedsvurdering. Vindenergi Danmark pointerer, at
det skal være muligt at lave indsigelse mod allerede vedtagende punkter i denne
lovgivning, såfremt et ændringsforslag med bredere involvering skulle indtræde.
Energistyrelsens bemærkninger
Høringssvarene indikerer, at it-beredskabet er et væsentligt område, der fortsat bør
have bevågenhed. Den risikobaserede tilgang kræver en lokal forankring af it-
beredskabet, hvilket medfører risiko for, at det kan være vanskeligt at omsætte
myndighedskrav til krav i den lokale kontekst, som pointeret af FSR – danske
revisorer. Den valgte risikobaserede tilgang til området fastholdes, vel vidende at
dette kan medføre et fokus på risiko- og sårbarhedsvurderingerne frem for
specifikke tiltag.
Den nuværende lovgivnings genstandsfelt er afgrænset af lovforslagets § 1 i den
nye § 85 c til lov om elforsyning og lovforslagets § 2 i den nye § 15 a til lov om
naturgasforsyning. Det er på denne baggrund ikke belæg for, at denne lov finder
anvendelse på andre virksomheder end de, der er nævnt i lovforslagets § 1 i den
nye § 85 c stk. 1 til lov om elforsyning og lovforslagets § 2 i den nye § 15 a stk. 1 til
lov om naturgasforsyning. En udvidelse af genstandsfeltet vil kræve et nyt
lovforslag, hvilket vil medføre en fornyet høring.
Side 2/13
 L 68 - 2016-17 - Bilag 1: Høringssvar og høringsnotat, fra energi-, forsynings- og klimaministeren
1685120_0003.png
1.2. Konkretisering af begreber og krav
Dansk Energi, FSR – danske revisorer og NEAS Energy efterspørger, at begreber,
der anvendes i lovforslaget og i udkastet til bekendtgørelsen, afklares. De samme
høringssvar udbeder endvidere en konkretisering af kravene til virksomhederne
forud for lovens ikrafttrædelse. FSR – danske revisorer efterlyser generelt
retningslinjer for den indledende kortlægning og klassifikation af de anvendte it-
systemer som forsyningskritiske eller ej, som ifølge FSR – danske revisorer skal
dokumenteres og bør være obligatorisk.
NEAS opfordrer til metodefrihed i forhold til valg af systemer, da NEAS er aktive i
flere lande og finder det nødvendigt, at der kan opereres med det samme tekniske
set-up i flere europæiske lande. NEAS opfordrer endvidere til en workshop, hvor
krav og begreber kan drøftes for at undgå over- og underimplementering og
konkurrenceforvridninger i forbindelse med implementering af lovforslaget.
FSR – danske revisorer påpeger, at det er vigtigt at kunne opdage, når noget går
galt, og efterlyser i den anledning retningslinjer for, hvordan virksomheden skal
arbejde med at opdage hændelser.
Energistyrelsens bemærkninger:
Der er på baggrund af høringssvarene fra Dansk Energi, FSR – danske revisorer
og NEAS fundet behov for at beskrive begrebet forsyningskritiske it-systemer
nærmere, således at der kan etableres klarhed over, hvilke it-systemer
virksomhederne forventes at håndtere som forsyningskritiske it-systemer. Samtidig
er der blevet gjort opmærksom på en risiko for forvirring ved anvendelse af
forskellige nært beslægtede begreber i forskellige bekendtgørelse og lovtekster.
Der er på baggrund af disse bemærkninger blevet tilføjet en uddybende beskrivelse
af begrebet forsyningskritiske it-systemer til lovforslagets almindelige
bemærkninger afsnit 3.1.3. Denne beskrivelse indeholder en afklaring af begrebet
forsyningskritiske it-systemer. Dog understreges nødvendigheden af, at den
konkrete vurdering af, hvilke it-systemer der er kritiske, må bero på en lokal
vurdering. Det er således den enkelte virksomhed, der skal vurdere, hvilke it-
systemer der anses for forsyningskritiske i den lokale kontekst.
NEAS og Danske Energi har påpeget en usikkerhed i forhold til, hvilke krav og
specifikationer en virksomhed bør stille til en it-sikkerhedstjeneste eller CSIRT efter
lovforslagets § 1 i den nye § 85 c til lov om elforsyning, stk. 5, nr. 4. Der er
endvidere blevet påpeget en uhensigtsmæssighed ved at anvende begrebet
CSIRT, da dette begreb kan forveksles med andre definitioner af tjenester anvendt
i it-sikkerhedsbranchen, samt at dette begreb kan forveksles med begrebet CERT,
der er ophavsrettighedsbeskyttet. På baggrund af disse bemærkninger er begrebet
CSIRT blevet erstattet af begrebet it-sikkerhedstjeneste i såvel lovforslaget som
følgende bekendtgørelse. Dette begreb er endvidere blevet uddybet i de specielle
bemærkninger til såvel lovforslagets § 1 omhandlende den nye § 85 c stk. 5 nr. 4
som lovforslagets § 2 omhandlende den nye § 15 a, stk. 5, nr. 4.
Side 3/13
 L 68 - 2016-17 - Bilag 1: Høringssvar og høringsnotat, fra energi-, forsynings- og klimaministeren
1685120_0004.png
Lovteksten giver fortsat energi-, forsynings- og klimaministeren mulighed for at
fastsætte nærmere regler for de kontrakter, virksomhederne tegner med it-
sikkerhedstjenester. Der er ytret ønske om nærmere teknisk specificering af krav til
virksomhedernes kontrakter med en it-sikkerhedstjeneste (FSR- Danske revisorer,
Dansk IT og Dansk Energi), således at det afklares, om virksomhederne skal have
kontrakt med en it-sikkerhedstjeneste, der konstant overvåger netværkstrafikken på
virksomhedernes egne net for derved at kunne yde en mere målrettet og
dybdegående tjeneste. Det er fundet uhensigtsmæssigt at specificere disse krav
nærmere på lovniveau, da den teknologiske udvikling bør kunne indeholdes i
lovgivningen. En teknisk specificering uden mulighed for tilpasning til det aktuelle
trusselsniveau risikerer at fratage virksomhederne muligheden for selv at vurdere,
hvilke krav til en it-sikkerhedstjeneste der er relevante i den lokale kontekst. Der er
imidlertid indsat en nærmere specificering af, hvilke forhold der skal inddrages i
vejledning og vurdering af virksomhedernes kontrakter med it-sikkerhedstjenester.
Det findes generelt uhensigtsmæssigt at opstille tekniske specifikationer, da et it-
systems betydning for virksomhedens drift og levering af el- og naturgasforsyning
afhænger af den lokale kontekst og må anses for foranderlig. Som eksempel vil et
it-system af et givent fabrikat eller med en specifik funktionalitet kunne anvendes
forskelligt i forskellige virksomheder, hvorfor det vil medføre risiko for
fejlvurderinger og evt. ressourcespild, såfremt en central enhed eller lovgivningen
stiller specifikke krav til specifikt udstyr eller funktioner. NEAS efterlyser
metodefrihed ligesom Dansk IT vurderer, at den risikobaserede tilgang er rigtig.
Dette tolkes som et ønske om lokal frihed til at vælge effektive tekniske løsninger.
Virksomhederne anses for kompetente til at foretage denne vurdering, og det lokale
ansvar for både at vurdere risici og trusler samt foretage den nødvendige
planlægning anses for et bærende princip i it-beredskabsarbejdet. Af samme årsag
er det ikke muligt at imødekomme ønsket om, at lovforslaget stiller krav til
tredjepartsleverandører (NEAS). Inddragelse af tredjepartsleverandører i risiko- og
sårbarhedsvurderingerne understreges i lovforslagets bemærkninger.
Der er blevet opfordret til, at branchen inddrages i en dialog for at konkretisere,
hvilke systemer, der kan anses for forsyningskritiske, og hvilke foranstaltninger, der
anses for nødvendige (NEAS og Dansk Energi). På baggrund af disse
bemærkninger vil Energistyrelsen efter vedtagelse af lovforslaget invitere berørte
virksomheder til en drøftelse af begreber og minimumskrav til efterlevelse af
lovforslaget og af den følgende bekendtgørelse. Der er en forventning om, at den
teknologiske og kommercielle udvikling løbende vil medføre behov for ændringer af
it-beredskabet, hvorfor behovet for løbende dialog om trusler, sårbarheder og
planer på tværs af sektorerne inkorporeres i bekendtgørelsen. Den følgende
bekendtgørelse vil herudover behandle, hvordan der tilsikres en løbende vejledning
af virksomhederne i, hvorledes der lokalt foretages vurderinger af forsyningskritiske
it-systemer og nødvendige foranstaltninger.
1.3. Økonomiske konsekvenser
Side 4/13
 L 68 - 2016-17 - Bilag 1: Høringssvar og høringsnotat, fra energi-, forsynings- og klimaministeren
1685120_0005.png
Der har været en række bemærkninger til de økonomiske forhold i lovforslaget. For
læsevenlighedens skyld opdeles disse bemærkninger i to grupper vedr. hhv.
beregningsforudsætninger og indtægtsrammer for netvirksomheder.
Beregningsforudsætninger
Høringssvarene fra Danske Energi og NEAS Energy indeholder kritik af
beregningsforudsætningerne for den gennemførte AMVAB-undersøgelse af
administrative konsekvenser forbundet med udkastet til bekendtgørelsen, der følger
lovforslaget. Dansk Energi foretager en opsummering af Erhvervsstyrelsens
økonomiske konsekvensvurdering og konkluderer, at rapportens økonomiske
konsekvensvurdering er mangelfuld og evt. ukorrekt. NEAS støtter denne
bemærkning, idet der foreligger et stort arbejde med dokumentation, der opfylder
forslagets krav. Dansk Energi anbefaler, at rapporten ikke i sin nuværende form
lægges til grund for vurderingen af de økonomiske konsekvenser for virksomheder
og myndigheder.
De samme høringsparter og Dansk IT udtrykker kritik af den gennemførte
markedsundersøgelse. De vurderede omkostninger ved tilmelding til en it-
sikkerhedstjeneste og konsulentbistand findes generelt anslået for lavt. Dansk
Energi udtrykker tvivl om, hvorvidt det bliver praktisk muligt at opnå de rabatter,
notatet lægger op til, idet notatet forudsætter et omfattende sektorsamarbejde inkl.
fællesudbud/-indkøb. Dansk Energi anser de økonomiske konsekvenser ved
virksomhedernes tilslutning til en it-sikkerhedstjeneste som værende umulige at
vurdere troværdigt, førend omfanget af de proaktive og reaktive it-
sikkerhedsydelser er nærmere defineret og fastlagt i samarbejde med
virksomhederne. Dansk IT vurderer, at de estimerede økonomiske konsekvenser er
optimistiske eller ikke tager højde for den kompleksitet som findes i monitorering af
hel- eller delvist isolerede netværk. Dansk IT anser ikke beregningerne for at være
retvisende, idet beregninger baseret på konsulent-timesatser på kr. 1.000 vurderes
urealistiske i det nuværende marked.
Dansk Energi og Dansk IT påpeger, at der udstår en vurdering af i hvilket omfang
netværksmonitorering hos virksomhederne skal anses som grundlaget for
varslingstjenestens varslinger.
Energistyrelsens bemærkninger:
Beregninger af økonomiske konsekvenser er foretaget på baggrund af et udkast til
bekendtgørelse vedr. it-beredskab i el- og naturgassektorerne. Den gennemførte
undersøgelse er derved ikke direkte en undersøgelse af konsekvenserne ved
lovforslaget. Lovforslaget muliggør imidlertid udstedelsen af bekendtgørelsen,
hvorfor beregningerne er relevant for vedtagelsen af lovforslaget. De økonomiske
konsekvensberegninger er foretaget af Ernst & Young på vegne af
Erhvervsstyrelsen efter AMVAB-metoden. AMVAB-metoden anvendes til en ex
ante måling af et repræsentativt udsnit af de berørte virksomheder. Målingen har til
fompl at forudsige de administrative konsekvenser ved lovgivningen. Da
Side 5/13
 L 68 - 2016-17 - Bilag 1: Høringssvar og høringsnotat, fra energi-, forsynings- og klimaministeren
1685120_0006.png
lovgivningen regulerer et nyt område, og virksomhedernes tidligere investeringer
inden for området har varieret, forventes der usikkerhed forbundet med AMVAB-
undersøgelsens resultat.
Vedr. markedsundersøgelsen af tilmelding til en it-sikkerhedstjeneste skal det
understreges, at denne markedsundersøgelse opererer med en mulig besparelse
ved en prisforhandling svarende til en halvering af omkostninger pr. virksomhed.
Virksomhedens reelle omkostning afhænger dog af mulighederne for at forhandle
priser og evt. samarbejde med andre virksomheder om et fælles udbud. Der er
derved forbundet en usikkerhed med undersøgelsens resultat.
Disse undersøgelser er begge udtryk for et øjebliksbillede i marts 2016, og det må
forventes, at der løbende er ændringer af flere parametre så som teknologiske og
kommercielle forhold. De grundlæggende forudsætninger og usikkerheder anses
for uforandrede siden undersøgelsernes gennemførelse, hvorfor hørringssvarerne
ikke har givet anledning til at foretage nye undersøgelser.
Indtægtsrammen for netvirksomheder
Høringssvar fra Danske Energi, Energitilsynet og Radius indeholder ønske om en
klar beskrivelse af muligheder for forøgelse af indtægtsrammerne ved
netvirksomhederne i elsektoren. Danske Energi og Radius ønsker tillige mulighed
for dækning af alle omkostninger ved lovforslaget såvel direkte omkostninger som
administrative omkostninger.
Energitilsynet fremhæver, at lovforslaget ikke tager højde for de øgede
omkostninger der vil blive påført Energitilsynet i forbindelse med administration og
behandling af ansøgninger om forøgelse af indtægtsrammer.
Energitilsynet påpeger endvidere at begrebet
dokumenterede meromkostninger
bør
præciseres.
Energistyrelsens bemærkninger:
Energistyrelsen har taget bemærkningerne vedrørende klar beskrives af
mulighederne for netvirksomhedernes indtægtsrammer til efterretning og har i lyset
heraf udsendt udkast til ændring af elforsyningslovens § 70 i høring. Der henvises
til afsnit 3 i nærværende høringsnotat.
Energistyrelsen skal samtidig i forhold til Energitilsynets bemærkning om forøgede
administrationsomkostninger bemærke, at styrelsen på baggrund af de
gennemførte undersøgelser af de økonomiske konsekvenser anser hovedparten af
de meromkostninger, der pålægges netvirksomhederne, at være direkte forbundet
med kontrakter med en it-sikkerhedstjeneste. Netvirksomhedernes øvrige
administrative meromkostninger anses for begrænsede (ca. 75.000 kr. årligt
gennemsnitligt pr. netvirksomhed jf. AMVAB-målingen). Meromkostninger direkte
Side 6/13
 L 68 - 2016-17 - Bilag 1: Høringssvar og høringsnotat, fra energi-, forsynings- og klimaministeren
1685120_0007.png
afledt af tilmelding til en it-sikkerhedstjeneste anses for at være
netvirksomhedernes primære meromkostning forbundet med lovforslaget. Denne
meromkostning vurderes at være dokumenterbar og kvantificerbar. På denne
baggrund afgrænses muligheden for indtægtsrammeforøgelse til alene at omfatte
omkostninger til denne it-sikkerhedstjeneste.
På denne måde begrænses mulighederne for forøgelse af netvirksomhedernes
indtægtsramme til alene at omfatte dokumenterbare og kvantificerbare
meromkostninger forbundet med en af Energistyrelsen godkendt kontrakt med en
it-sikkerhedstjeneste. Den foreslåede ordning anses derved ikke at medføre en
omfattende administrativ byrde for Energitilsynet, da Energitilsynet alene skal
behandle virksomhedernes dokumentation for afholdte meromkostninger til en it-
sikkerhedstjeneste. Energitilsynet skal således ikke foretage vurderinger af
meromkostninger forbundet med administrative processer eller afholdte
arbejdstimer. Denne administrative opgave vurderes at være af begrænset omfang.
1.4. Energinet.dk’s koordinerende opgaver i relation til it-beredskabet
Høringssvar fra Danske Energi, Radius og Dansk IT påpeger en
uhensigtsmæssighed ved, at Energinet.dk varetager både den koordinerende rolle
som systemansvarlig virksomhed og tilsynsopgaven i relation til it-beredskabet.
Dansk Energi opfordrer til, at tilsynsopgaven for både det almene beredskab og it-
beredskabet flyttes fra Energinet.dk til en anden kompetent myndighed ved lovens
ikrafttrædelse. Dansk Energi foreslår, at Center for Cybersikkerhed evt. kan bistå
den kompetente myndighed i forbindelse med tilsyn på it-beredskabet.
Energistyrelsens bemærkninger:
Der har i forbindelse med udarbejdelsen af lovforslaget været opmærksomhed
omkring denne problemstilling, hvorfor problemstillingen også fremgår af de
almindelige bemærkninger til lovforslagets punkt 3.5.3. Det fremgår heraf, at det
foreslås, at energi-, forsynings- og klimaministeren bemyndiges at fastsætte regler
for tilsynet, herunder hvilken institution der varetager tilsynet. Det er således
indarbejdet i lovforslaget, at tilsynsopgaven kan flyttes ud fra en række kriterier, der
anses for relevante for placering af tilsynsopgaven, herunder sammenhæng
mellem tilsynet inden for it-beredskabet og tilsynet i det almene beredskab. Det vil
herved løbende overvejes, hvilken myndighed der bør varetager tilsynet.
Dansk Energis anbefaling om at pålægge tilsynsopgaverne en anden myndighed
end Energinet.dk ved ikrafttrædelsen, vil ikke kunne imødekommes. Dette
begrundes med, at Energinet.dk har opbygget en erfaring med tilsynsopgaven i det
almene beredskab, og der forventes store synergi mellem tilsynsopgaven i det
almene beredskab og it-beredskabet. Det vurderes samtidig, at der for nuværende
ikke er nogen anden myndighed med de fornødne ressourcer, der kan varetage
begge tilsynsopgaver.
Side 7/13
 L 68 - 2016-17 - Bilag 1: Høringssvar og høringsnotat, fra energi-, forsynings- og klimaministeren
1685120_0008.png
1.5. Tidspunkt for ikrafttrædelse
Danske Energi og NEAS Energy anbefaler, at lovforslaget udsættes af hensyn til,
at virksomhederne får bedre muligheder for at udarbejde egne it-beredskabsplaner
på baggrund af en vurdering af egne sårbarheder og risici. Både den 1. juli 2017 og
1. januar 2018 forslås som mulige ikrafttrædelsesdatoer. Dansk Energi pointerer, at
der forsat er en mængde ubesvarede spørgsmål, uklarheder og
uhensigtsmæssigheder og opfordrer til, at lovforslaget ikke hastes igennem.
Dansk Energi opfordrer til, at sektoren – i form af repræsentanter fra Energinet.dk,
Dansk Energi og virksomhederne – gives mere tid til at samarbejde om at
identificere de reelle og potentielle sårbare og kritiske systemer for derigennem at
udtænke og udvikle konkrete løsningsforslag, som vurderes nødvendige for at
tilsikre et tilstrækkeligt og nødvendigt teknisk sikkerhedsniveau og beredskab.
Dansk Energi vurderer, at dette analysearbejde kan blive såvel omfattende som
tidskrævende – og derfor umuligt vil kunne afsluttes inden udgangen af 2016, men
nærmere sommeren 2017.
Radius Elnet A/S ser behov for en rimelig tidshorisont til fuld implementering af
bekendtgørelsen fra ikrafttrædelsen. Radius Elnet A/S fremhæver, at
implementeringsfristen ikke fremgår klart af lovforslagets tekst.
NEAS Energy finder ikrafttrædelsestidspunktet for urealistisk af flere årsager.
NEAS Energy efterlyser endvidere workshops for, hvordan implementeringen kan
ske bedst og henstiller til at ikrafttrædelsestidspunktet ikke bør være før disse
workshops, da virksomhederne kan have vanskeligt ved at kende det konkrete
omfang af implementeringen forinden disse workshops. NEAS Energy opfordrer til,
at ikrafttrædelsestidspunktet ikke bør ligge før 1. januar 2018.
Energistyrelsens bemærkninger:
På baggrund af nævnte anbefalinger er ikrafttrædelse af lovforslaget udskudt til 1.
juli 2017. Denne udskydelse skyldes en afvejning af ønsket om mulighed for at
gennemarbejde egne it-beredskabsplaner som fremført i høringssvar og hensynet
til det tvingende samfundshensyn til at styrke forsyningssikkerheden i to
samfundskritiske sektorer. Kravet om udarbejdelse af kontrakter med it-
sikkerhedstjenester udskydes til 1. september 2017, hvilket er to måneder senere
end oprindeligt foreslået i det udsendte høringsudkast af bekendtgørelsen. Denne
udskydelse skyldes en vurdering af, at udarbejdelse af kontrakter med it-
sikkerhedstjenester vil kræve et foregående arbejde ved virksomhederne og
omfattende samarbejde mellem virksomheder, der ønsker at samarbejde om et
udbud af disse kontrakter med it-sikkerhedstjenester.
1.6. Europæisk lovgivning, herunder NIS-direktivet
Dansk Energi og Dansk IT har i deres høringssvar påpeget, at lovforslaget ikke til
fulde er i overensstemmelse med EU direktiv 2016/1148 vedrørende Netværks- og
informationssikkerhed (NIS-direktivet) som blev vedtaget 6. juli 2016. Dansk Energi
Side 8/13
 L 68 - 2016-17 - Bilag 1: Høringssvar og høringsnotat, fra energi-, forsynings- og klimaministeren
1685120_0009.png
opfordrer til at afvente, indtil der er mere klarhed, hvad angår igangværende EU-
initiativer samt kommende implementering af anden nærtbeslægtet lovgivning for at
undgå overimplementering og dobbeltregulering.
Energistyrelsens bemærkninger:
Den 6. juli 2016 blev Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6.
juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net-
og informationssystemer i hele Unionen vedtaget. Efter dette direktivs artikel 25
vedtager og offentliggør medlemsstaterne senest den 9. maj 2018 de love og
administrative bestemmelser, der er nødvendige for at efterkomme dette direktiv.
Det lovforberedende arbejde med henblik på at implementere dette direktiv
gennemføres af Forsvarsministeriet uafhængigt af nærværende lovforslag, Energi-,
Forsynings- og Klimaministeriet bidrager til dette arbejde. Lovforslaget skal således
ses som nationale regler, der har til formål at udmønte Den nationale strategi for
cyber- og informationssikkerhed fra december 2014 og de heri indeholdte krav om
gennemførelse af it-beredskabsforanstaltninger på energiforsyningsområdet.
Side 9/13
 L 68 - 2016-17 - Bilag 1: Høringssvar og høringsnotat, fra energi-, forsynings- og klimaministeren
1685120_0010.png
2. Anden høringsperiode - gebyr for myndighedsbehandling
Udkast til lovforslag om ændring af lov om elforsyning (gebyrer for
myndighedsbehandling) har været udsendt i høring fra den 21. september til den
28. september 2016.
Energistyrelsen har modtaget i alt 7 høringssvar fra følgende høringsparter: Dansk
Byggeri, Danske Erhvervsskoler og -Gymnasier, Datatilsynet, Energinet.dk,
Konkurrence- og Forbrugerstyrelsen, Sekretariatet for Energitilsynet og SRF
Skattefaglig Forening, som har oplyst, at de ingen bemærkninger har.
Side 10/13
 L 68 - 2016-17 - Bilag 1: Høringssvar og høringsnotat, fra energi-, forsynings- og klimaministeren
1685120_0011.png
3. Tredje høringsperiode - forhøjelse af indtægtsrammer for netvirksomheder
Et udkast til ændring af § 70 i lov om elforsyning, som omhandler den økonomiske
regulering af netvirksomheder, har været sendt i tillægshøring i perioden 7. - 14.
oktober 2016. Høringen skal ses i sammenhæng med et udkast til lov om ændring
af lov om elforsyning og lov om naturgasforsyning (It-sikkerheds-beredskab i el- og
naturgassektorerne), som har været sendt i høring i perioden den 22. august 2016
til den 19. september 2016.
Energistyrelsen har modtaget 8 høringssvar i denne periode.
Følgende høringsparter har oplyst, at de ingen bemærkninger har til udkastet til
lovforslaget: Center for Cybersikkerhed, Dansk Byggeri, Datatilsynet, Konkurrence-
og Forbrugerstyrelsen og Aalborg Universitet har ikke haft bemærkninger.
Følgende høringsparter har fremsendt bemærkninger til udkastet til lovforslaget:
Dansk Energi, Dansk Erhverv og Radius Elnet A/S (herefter benævnt Radius),
Radius henviser endvidere til Dansk Energis høringssvar, som Radius støtter.
3.1. Forhøjelse af indtægtsrammen generelt
Dansk Energi og Radius kan tilslutte sig, at netvirksomhederne foreslås at få en
indtægtsrammeforhøjelse i forbindelse med de nye krav om tilmelding til en it-
sikkerhedstjeneste, men mener, at der bør være en bredere mulighed for forhøjelse
af indtægtsrammen som følge af forslaget om it-beredskab, jf. også pkt. 3.2. neden
for.
Dansk Energi og Radius er herudover ikke enige i den fremgangsmåde, som er
foreslået. Efter forslaget indsættes en ny afgrænset bemyndigelsesbestemmelse i §
70, stk. 15, lov om elforsyning, der giver energi-, forsynings- og klimaministeren
hjemmel til at fastsætte regler om visse indtægtsrammeforhøjelser på baggrund af
krav, der stilles til netvirksomhederne i forbindelse med deres
energispareforpligtelser, udrulningen af fjernaflæste elmålere og tilmelding til en it-
sikkerhedstjeneste.
Radius gør opmærksom på, at det bør overvejes, i hvilket omfang behandlingen af
nærværende forslag til ny bemyndigelsesbestemmelse vedrørende mulighed for
indtægtsrammeforhøjelser kan komplicere arbejdet med det kommende lovforslag
om en ny økonomisk regulering af netvirksomhederne, der er planlagt fremsat i
samme Folketingssamling. Også Dansk Energi fremhæver under henvisning til
dette kommende lovforslag, at der ikke bør foretages unødvendige ændringer af
elforsyningsloven.
Både Dansk Energi og Radius mener, at forslaget lægger op til en indskrænkning
af netvirksomhedernes rettigheder efter gældende ret.
Dansk Energi og Radius er endvidere af den opfattelse, at det ikke er nødvendigt
med en ændring af § 70, men at det vil være tilstrækkeligt med en præcisering af
lovbemærkningerne. Især finder Dansk Energi og Radius, at det i stedet bør fremgå
af lovbemærkningerne, at Energistyrelsen vurderer, at der er hjemmel til at
fastsætte i en bekendtgørelse, at nærmere angivne krav skal give adgang til
indtægtsrammeforhøjelse. Hermed vil hjemlen være tilstrækkelig klar, og det vil
Side 11/13
 L 68 - 2016-17 - Bilag 1: Høringssvar og høringsnotat, fra energi-, forsynings- og klimaministeren
1685120_0012.png
være samme fremgangsmåde, som er anvendt i forhold til reglerne om fjernaflæste
målere og energibesparelser. Det fremgår endvidere af Dansk Energis høringssvar,
som Radius har tilsluttet sig, at det kan gøres klart, at det ikke tilsigtes at udvide
eller indskrænke netselskabernes adgang til at få indtægtsrammeforhøjelse, men at
det skal stå helt klart, at det ikke kun er individuelle pålæg, som kan give anledning
til indtægtsrammeforhøjelse.
Som alternativ foreslår Dansk Energi og Radius en præcisering af § 70, stk. 8,
således at det kommer til at fremgå af bestemmelsen sammenholdt med
bemærkninger, at pålæg ikke kun skal vedrøre individuelle myndighedspålæg.
Hvis det fastholdes, at der skal udarbejdes en ny § 70, stk. 15, i lov om elforsyning,
påpeger Dansk Energi, at bestemmelsen ikke bør indeholde en udtømmende liste,
der begrænser anvendelsesområdet til fjernaflæste målere, energibesparelser og
krav vedr. it-sikkerhedsberedskab. En udtømmende liste vil ifølge Dansk Energi
betyde, at der vil indføres et tungt og usmidigt system, der vil forudsætte
lovændring at fastsætte nye myndighedskrav, som skal kunne give anledning til
indtægtsrammeforhøjelse.
Energistyrelsens bemærkninger:
Det fastholdes, at det er hensigtsmæssigt at indsætte en ny hjemmel i § 70, stk. 15.
Baggrunden herfor er Energiklagenævnets afgørelser fra 2014-2016, hvorefter der
ved myndighedspålæg i § 70, stk. 8, menes individuelle pålæg i form af konkrete
forvaltningsafgørelser og ikke generelle retsakter i form af f.eks. lovregulering. I
lyset heraf anses det for hensigtsmæssigt, at skabe et klarere retsgrundlag for at
kunne fastsætte regler om forhøjelse af indtægtsrammen som udspringer af krav
om tilmelding til en it-sikkerhedstjeneste. Samtidigt er det hensigtsmæssigt at
skabe en klarere hjemmel til at fastsætte regler om forhøjelse af indtægtsrammen i
forhold til meromkostninger, som udspringer af visse nærmere angivne krav i
forhold til fjernaflæste målere og energibesparelser. Lovforslaget følger således
Energiklagenævnets afgørelser fra 2014-2016, som er en del af gældende ret.
Med forslaget vil § 70, stk. 15, udtømmende regulere, hvornår der kan ske
indtægtsrammeforhøjelser
baggrund
af
generelle
myndighedskrav.
Fremgangsmåden er valgt, fordi en udtømmende liste over hvilke generelle
myndighedskrav, der kan føre til forhøjelse af indtægtsrammen, vurderes at skabe
størst mulig klarhed. Energitilsynet får således ikke mulighed for at forhøje
indtægtsrammen ved generelle myndighedskrav udover, hvad der måtte være
fastsat ved bekendtgørelse. Det kan overvejes, om det er tilstrækkeligt fleksibelt på
lang sigt, idet det vil kræve en ny hjemmel, hvis der skal gives
indtægtsrammeforhøjelser på baggrund af nye generelle myndighedskrav. Det
bemærkes dog i den forbindelse, at der arbejdes på en ny økonomisk regulering af
netvirksomhederne, hvorfor bestemmelsen alene forventes at skulle gælde, indtil
den nye regulering måtte finde anvendelse.
Der er ikke med indsættelsen af den nye hjemmel tilsigtet materielle ændringer i
forhold til, hvad der kan føre til indtægtsrammeforhøjelser i forhold til fjernaflæste
målere og energibesparelser.
I forhold til Dansk Energis og Radius’ bemærkninger om fremsættelse af to
lovforslag om netvirksomheders indtægtsrammer i samme Folketingsår, anses det
Side 12/13
 L 68 - 2016-17 - Bilag 1: Høringssvar og høringsnotat, fra energi-, forsynings- og klimaministeren
1685120_0013.png
for hensigtsmæssigt, at Folketinget i forbindelse med behandling af lovforslaget om
it-beredskab også tager stilling den grundlæggende reguleringsmæssige
håndtering af de omkostninger, som lovforslaget påfører netvirksomhederne. Dette
ikke mindst på baggrund af, at indtægtsrammeforhøjelser vil kunne føre til højere
priser for elforbrugerne. Herudover bemærkes det, at den nye økonomiske
regulering tidligst vil kunne finde anvendelse for reguleringsåret 2018. De
lovtekniske overvejelser, som flere lovforslag i samme samling vil kunne give
anledning til, forventes således håndteret i forbindelse med et senere lovforslag om
netvirksomhedernes økonomiske regulering.
3.2. Forhøjelse af indtægtsrammen som følge af tilmelding til en it-
sikkerhedstjeneste
Dansk Energi finder konkret, at hjemlen til indtægtsrammeforhøjelser ikke bør
afgrænses til alene at omfatte ”tilmelding til en it-sikkerhedstjeneste”, men bør
udvides til at omfatte de nye aktiviteter, der vil blive stillet krav om. Dansk Energi
henviser til § 2, stk. 2, i det udkast til bekendtgørelse om it-beredskab for el- og
naturgassektorerne, som blev sendt i høring sammen med lovforslaget i perioden
den 22. august 2016 til den 19. september 2016. Radius har endvidere tilsluttet sig
Dansk Energis høringssvar.
Dansk Erhverv mener, at der ved vurderingen af, om indtægtsrammen skal justeres
vedrørende it-sikkerhed, bør anlægges samme betragtninger som ved fjernaflæste
målere. Dansk Erhverv henviser til, at udskiftning af målere i almindelighed må
betragtes som en ordinær aktivitet. Udskiftningen sker i det konkrete tilfælde på
baggrund af et lovkrav, hvorfor en del af omkostningerne med rimelighed kan
betragtes som ekstraordinære. Fjernaflæste målere medfører også
omkostningsbesparelser, som der skal tages højde for, således at der alene
opereres med nettomeromkostninger i forbindelse med
indtægtsrammereguleringen.
Energistyrelsens bemærkninger:
Det vurderes, at det alene er omkostninger vedrørende tilmelding til en it-
sikkerhedstjeneste, som kan give anledning til en forhøjelse af netvirksomhedernes
indtægtsramme. Der er tale om en ny opgave, hvor det vurderes muligt at
dokumentere omkostningerne. Andre omkostninger, f.eks. intern administration,
vurderes ikke at skulle kunne give anledning til indtægtsrammeforhøjelser. Dette
skyldes særligt, at det vurderes vanskeligt at dokumentere og kvantificere
omkostningerne. Der henvises i øvrigt til afsnit 1, hvori administration af
ansøgninger om indtægtsrammeforøgelser behandles.
Side 13/13