Energi-, Forsynings- og Klimaudvalget 2015-16
EFK Alm.del Bilag 378
Offentligt
1658163_0001.png
Forslag
til
Udkast til lov om ændring af lov om elforsyning og lov om naturgasforsyning
(It-sikkerheds-beredskab i el- og naturgassektorerne)
§1
I lov om elforsyning, jf. lovbekendtgørelse nr. 418 af 25. april 2016, som ændret bl.a. ved § 1 nr. 30
i lov nr. 466 af 18. maj 2011, § 7 i lov nr. 261 af 16. april 2016 og § 8 i lov nr. 427 af 18. maj 2016,
foretages følgende ændringer:
1.
§ 85 b, stk. 4, 2. pkt.
ophæves.
2.
§ 85 d
affattes således:
Ȥ 85 d.
Bevillingspligtige virksomheder, efter §§ 10 og 19, Energinet.dk og dennes helejede
datterselskaber samt virksomheder, der yder balancering af elsystemet skal opretholde et it-
beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af
kritiske it-systemer, af betydning for elforsyningen.
Stk. 2.
Energi-, forsynings- og klimaministeren kan ved manglende opfyldelse af et påbud efter §
85 d om overholdelse af stk. 1, påbyde virksomheder omfattet af stk. 1, at foretage en it-revision af
kritiske systemer ved en uafhængig revisor godkendt af tilsynsmyndigheden.
Stk. 3.
Energi-, forsynings- og klimaministeren kan påbyde virksomheder omfattet af stk. 1, at
gennemføre tiltag, som på baggrund af en it-revision jf. stk. 2, skønnes nødvendige for at overholde
stk. 1.
Stk. 4.
Informationer, herunder vurderinger, planer og data, vedrørende sikkerhedsforhold for
forsyningskritiske it-systemer i virksomheder omfattet af stk. 1, er fortrolige, hvis oplysningerne er
væsentlige af hensyn til driften af virksomheden eller det sammenhængende el-system.
Stk. 5.
Energi-, forsynings- og klimaministeren fastsætter regler for det it-beredskab, som
virksomheder omfattet af stk. 1, skal opretholde, herunder regler om følgende:
1)
organisering af virksomhedens it-beredskab og evne til at modtage advarsler om
trusler mod it-sikkerheden.
2)
planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke
trusler mod it-sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til
Energinet.dk og relevante myndigheder.
3)
virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i
risikovurderinger.
4)
tilmelding til en tjeneste, der yder varsler og informationer om it-sikkerhedstrusler.
5)
Energinet.dk’s varetagelse af overordnede, koordinerende planlægningsmæssige og
operative opgaver vedrørende det beredskab, som er nævnt i stk. 1.
6)
krav til indholdet og planlægningen af en it-revision ved en uafhængig revisor jf. stk.
3
Stk. 6.
Energi-, forsynings- og klimaministeren fastsætter regler for udførelse af tilsyn med det
beredskabsarbejde, der udføres efter stk. 1.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0002.png
3.
I
§ 51, stk. 2,
ændres ”samt” til:”,” og der indsættes efter ”lov om Energinet.dk”: ”samt
virksomheder, der yder balancering af elsystemet,” og efter "herunder"; "tilsynet med
beredskabsarbejdet efter § 85 d, stk. 6, og".
§2
I lov om naturgasforsyning, jf. lovbekendtgørelse nr. 1331 af 25. november 2013, som ændret ved §
2 i lov nr. 466 af 18. maj 2011, § 2 i lov nr. 633 af 16. juni 2014, § 2 i lov nr. 1498 af 23. december
2014, lov nr. 77 af 27. januar 2016, § 8 i lov nr. 132 af 16. februar 2016 og § 2 i lov nr. 630 af 8.
juni 2016, foretages følgende ændringer:
1.
§ 15 a, stk. 4, 2. pkt.
ophæves.
2.
Efter
§ 15 a
indsættes § 15 b før overskriften før
§ 16, § 15 b
affattes således:
Ȥ 15 b.
Energinet.dk og dennes helejede datterselskaber og bevillingspligtige virksomheder efter
§ 10 skal opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for
at sikre beskyttelsen af kritiske it-systemer, der er af væsentlig betydning for naturgasforsyningen.
Stk. 2.
Energi-, forsynings- og klimaministeren kan ved manglende opfyldelse af et påbud efter §
85 d om overholdelse af stk. 1, påbyde virksomheder omfattet af stk. 1, at foretage en it-revision af
kritiske systemer ved en uafhængig revisor godkendt af tilsynsmyndigheden.
Stk. 3.
Energi-, forsynings- og klimaministeren kan påbyde virksomheder omfattet af stk. 1, at
gennemføre tiltag, som på baggrund af en it-revision jf. stk. 2, skønnes nødvendige for at overholde
stk. 1.
Stk. 4.
Informationer, herunder vurderinger, planer og data, vedrørende sikkerhedsforhold for
forsyningskritiske it-systemer i virksomheder omfattet af stk. 1, er fortrolige, hvis oplysningerne er
væsentlige af hensyn til driften af virksomheden eller naturgassystemet.
Stk. 5.
Energi-, forsynings- og klimaministeren fastsætter regler for det it-beredskab, som
virksomheder omfattet af stk. 1, skal opretholde, herunder regler om følgende:
1)
organisering af virksomhedens it-beredskab og evne til at modtage advarsler om
trusler mod it-sikkerheden.
2)
planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke
trusler mod it-sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til
Energinet.dk og til energi-, forsynings- og klimaministeren.
3)
virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i
risikovurderinger.
4)
tilmelding til en tjeneste, der yder varsler og informationer om it-sikkerhedstrusler.
5)
Energinet.dk’s varetagelse af overordnede, koordinerende planlægningsmæssige og
operative opgaver vedrørende det beredskab, som er nævnt i stk. 1.
6)
krav til indholdet og planlægningen af en it-revision ved en uafhængig revisor jf. stk.
3.
Stk. 6.
Energi-, forsynings- og klimaministeren fastsætter regler for udførelse af tilsyn med det
beredskabsarbejde, der udføres efter stk. 1.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0003.png
3.
I
§ 30, stk. 2,
indsættes efter "tilsynet"; ", herunder tilsynet med beredskabsarbejdet efter § 15
b, stk. 6"
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0004.png
§3
Loven træder i kraft den 1. januar 2017.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0005.png
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Indledning
2. Baggrund
3. Hovedpunkter for lovforslaget
3.1. It-beredskab
3.1.1. Gældende ret vedr. it-beredskab
3.1.1.1. Gældende ret vedr. it-beredskab i elforsyningsloven
3.1.1.2. Gældende ret vedr. it-beredskab i naturgasforsyningsloven
3.1.2. Energi-, forsynings- og klimaministeriets overvejelser
3.1.3. Den foreslåede ordning
3.2. Organisering af el- og naturgassektorernes beredskab
3.2.1. Den forslåede ordning vedr. organisering af el- og naturgassektorernes it-beredskab
3.3. Sanktioner og påbud
3.3.1. Gældende ret vedr. sanktioner og påbud i elforsyningsloven
3.3.2. Gældende ret vedr. sanktioner og påbud i naturgasforsyningsloven
3.3.3. Energi-, forsynings- og klimaministerens overvejelser vedr. påbud
3.3.4. Den forslåede ordning vedr. sanktioner og påbud
3.4. Gældende ret vedr. bemyndigelse af energi-, forsynings- og klimaministeren
3.4.1. Den forslåede ordning vedr. bemyndigelse af energi-, forsynings- og klimaministeren
3.5. Vedr. tilsyn
3.5.1. Gældende ret vedr. tilsyn i elforsyningsloven
3.5.2. gældende ret vedr. tilsyn i naturgasforsyningsloven
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0006.png
3.5.1. Den forslåede ordning vedr. tilsyn
4. Økonomiske og administrative konsekvenser for det offentlige
5. Økonomiske og administrative konsekvenser for erhvervslivet mv
5.1. Løbende efterlevelsesomkostninger
5.2. Gebyrer
5.3. Administrative efterlevelsesomkostninger
5.4. Administrative omstillingsomkostninger
5.5. Økonomisk opsummering
6. Administrative konsekvenser for borgere
7. Miljømæssige konsekvenser
8. Forholdet til EU-retten
9. Hørte myndigheder og organisationer mv
10. Sammenfattende skema
1. Indledning
Dette lovforslag udmønter en del af den nationale strategi for cyber- og informationssikkerhed fra
december 2014, hvori der tages initiativ til at styrke cyber- og informationssikkerheden, ved at stille
skærpede krav til cyber- og informationssikkerheden ved virksomhederne i el- og
naturgassektorerne.
Forsyningen af el og naturgas fra produktion til forbrug styres i stigende grad af digitale styrings-
og overvågningssystemer, der herved er kritiske for forsyningen af el og naturgas til samfundet.
Disse forsyningskritiske it-systemer skal sikres mod driftsforstyrrelser, bevidste angreb og
utilsigtede hændelser, så risikoen for forsyningsnedbrud minimeres og eventuelle konsekvenser
heraf begrænses.
Den nuværende regulering af beredskabet i el- og naturgassektorerne regulerer ikke specifikt
beredskabet for forsyningskritiske it-systemer.
Lovforslaget stiller krav om, at virksomhederne skal opretholde et it-beredskab for
forsyningskritiske it-systemer i el- og naturgassektorerne. It-beredskabet skal sikre, at
virksomhederne i el- og naturgassektorerne har overblik over egne it-systemer, vurderer risikoen for
angreb på eller nedbrud i it-systemer samt modtager relevante trusselsmeldinger, således at
virksomhederne kan foretage de nødvendige tiltag for at begrænse mulige konsekvenser af disse
angreb eller nedbrud.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0007.png
Lovforslaget giver energi-, forsynings- og klimaministeren mulighed for at påbyde en virksomhed
at afholde en uvildig undersøgelse af egne it-systemer. På baggrund af denne undersøgelse vil
ministeren kunne påbyde virksomheden at gennemføre nødvendige foranstaltninger til
opretholdelse af et relevant it-beredskab for den pågældende virksomhed.
Lovforslaget giver endvidere energi-, forsynings- og klimaministeren mulighed for at udstede regler
om opkrævning af gebyr for omkostninger i forbindelse med afholdelse af tilsyn med Energinet.dk.
Med lovforslaget får energi-, forsynings- og klimaministeren pligt til at fastætte regler om
virksomheders beskyttelse af egne forsyningskritiske it-systemer, og virksomhedernes bidrag til
sektorernes samlede it-beredskab.
2. Baggrund for lovforslaget
El- og naturgassystemerne er i stigende grad automatiseret, således at produktionen, handlen og
forsyningen af el og naturgas styres af digitale styrings- og overvågningssystemer. Digitaliseringen
af el- og naturgassektorerne giver nye muligheder og udfordringer.
Disse it-systemer er væsentlige for at drive et effektivt og moderne energisystem. Hyppige
informationer sikrer, at markedet effektivt kan forbinde udbud, efterspørgsel og pris, mens moderne
styringsteknologi muliggør en løbende balancering af produktion og forbrug under markedsvilkår.
Balancering af forbrug og produktion af el er væsentligt for driften af el-systemet og funktionen af
elmarkedet. Balanceringsydelser er markedsbestemte ydelser, hvori en virksomhed udøver fysisk
kontrol af et eller flere produktions- eller forbrugsanlæg. Denne kontrol styres af avancerede it-
systemer, der derved er en forudsætning for, at elsystemet effektivt kan udnytte energiproduktion
fra vedvarende energikilder som solceller og vindmøller.
It-systemer har en stigende betydning for el- og naturgassystemet og samtidig bliver it-systemerne
stadigt mere komplekse, da stadigt flere informationer danne input og stadigt flere elementer kan
styres gennem disse it-systemer. Ved at introducere it-systemer i styringen af el- og
naturgassystemerne, introduceres også en række nye udfordringer for el- og naturgassystemerne. It-
systemer skal i lighed med mekaniske systemer vedligeholdes og serviceres, og ligesom mekaniske
systemer skal beskyttes mod udefra kommende trusler så som vejrliget og fysisk angreb eller uheld,
skal it-systemer beskyttes mod trusler så som vira og hacker-angreb.
Hidtil har der kun været krav til den fysiske beskyttelse af el- og naturgassektorerne, der har
opstillet rammen for det almene bredskabsarbejde ved net- og produktionsvirksomheder, samt
Energinet.dk efter § 85 b i lov om elforsyning og § 15 a i Lov om naturgasforsyning. Det almene
beredskabsarbejde pålægger virksomhederne ansvaret for at vurdere og forebygge risici,
sårbarheder og trusler, således at nedbrud og skader på el- og naturgasforsyningen kan minimeres.
Virksomhederne varetager selv den operative håndtering af en beredskabssituation og
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0008.png
beredskabsplanlægningen, mens Energinet.dk tilsikrer den overordnede koordinering i og mellem
el- og naturgassektorerne af såvel den operative indsats som beredskabsplanlægningen.
Beredskabsarbejdet har hidtil ikke omfattet it direkte, og der er i den gældende lovgivning ikke
mulighed for at stille specifikke krav til virksomhedernes it-sikkerhed for forsyningskritiske it-
systemer. Lovforslaget skal dermed regulere et område, der hidtil ikke har været reguleret.
Lovforslaget skal sikre, at forsyningskritiske it-systemer integreres i el- og naturgassektorernes
beredskabsarbejde.
El- og naturgasmarkedet har hidtil udviklet sig i takt med, at nye teknologier har skabt nye
muligheder. Den teknologiske og kommercielle udvikling af el- og naturgassektorerne forventes
fortsat at fremme en effektiv energiforsyning. Lovforslaget skal derfor undgå at begrænse den
kommercielle udvikling muliggjort af den teknologiske udvikling. Virksomhederne anses for
kompetente til at vurdere sammenhæng mellem de teknologiske muligheder og de kommercielle
interesser. Det er dog væsentligt at tilsikre, at der fastholdes en høj forsyningssikkerhed på trods af
nye teknologier og kommercielle muligheder. Lovforslaget pålægger derfor energi-, forsynings- og
klimaministeren at fastsætte regler for virksomhederne, således at de foretager løbende risiko- og
sårbarhedsvurderinger og inddrager disse vurderinger i deres beredskabsplanlægning.
3. Hovedpunkter i lovforslaget
3.1 It-beredskab
3.1.1 Gældende ret vedr. It-beredskab
3.1.1.1 Gældende ret vedr. It-beredskab i elforsyningsloven
Det almene beredskab på elforsyningsområdet reguleres af lov om elforsyning § 85 b samt
bekendtgørelse nr. 1024 af 21. august 2007 om beredskab for elsektoren.
Bekendtgørelse nr. 1024 af 21. august 2007 om beredskab for elsektoren er udstedt i medfør af lov
om elforsyning § 85 b. Denne bekendtgørelse fastsætter nærmere regler for virksomhedernes
beredskabsplanlægning og organisatoriske forhold samt fastsætter krav til virksomhedernes
beredskabsplaner. De gældende regler for beredskabsområdet efter elforsyningsloven omfatter alene
det almene beredskab, hvorfor gældende ret i elforsyningsloven ikke er fundet tilstrækkelig til at
omfatte it-beredskabet.
3.1.1.2 Gældende ret vedr. it-beredskab i naturgasforsyningsloven
Det almene beredskab på naturgasforsyningsområdet reguleres af lov om naturgasforsyning § 15 a
samt bekendtgørelse nr. 1025 af 21. august 2007 om beredskab for naturgassektoren.
Bekendtgørelse nr. 1025 af 21. august 2007 om beredskab for naturgassektoren er udstedt i medfør
af Lov om naturgasforsyning § 15 a. Denne bekendtgørelse fastsætter nærmere regler for
virksomhedernes beredskabsplanlægning og organisatoriske forhold og fastsætter krav til
virksomhedernes beredskabsplaner. De gældende regler for beredskabsområdet efter
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0009.png
naturgasforsyningsloven omfatter alene det almene beredskab, hvorfor gældende ret i
naturgasforsyningsloven ikke er fundet tilstrækkelig til at omfatte it-beredskabet.
3.1.2 Energi-, forsynings- og klimaministeriets overvejelser
En regulering af it-beredskabet skal styrke forsyningssikkerheden ved at begrænse de risici og
sårbarheder, der afledes af den teknologiske og kommercielle udvikling af it-systemer. Disse it-
systemer er i stigende grad forsyningskritiske systemer, der direkte eller indirekte styrer det fysiske
forsyningssystem gennem forskellige sensorer, ventiler og relæer. Det er derfor væsentligt, at en
regulering finder anvendelse overfor virksomheder, der er omfattet af beredskabsbestemmelserne i
§ 85 b i lov om elforsyning og § 15 a i lov om naturgasforsyning, samt virksomheder, der gennem
et it-system varetager styring af flere anlæg, der samlet set er væsentlige for forsyningen.
Særligt vedr. el-systemet: Den kommercielle udvikling afledt af digitaliseringen har medført et
marked for balanceringsydelser, hvor balanceansvarlige virksomheder gennem it-systemer
varetager styring af flere anlæg. Balancestyringen af el-systemet er væsentlig for at drive et
effektivt og moderne el-system. Hyppige informationer sikrer, at markedet effektiv kan forbinde
udbud, efterspørgsel og pris, mens moderne styringsteknologi muliggøre en løbende balancering af
produktion og forbrug under markedsvilkår.
Balancering af forbrug og produktion af el er væsentligt for driften af el-systemet og funktionen af
elmarkedet. Balanceringsydelser er markedsbestemte ydelser, hvori en virksomhed udøver fysisk
kontrol af et eller flere produktions- eller forbrugsanlæg. Denne kontrol styres af avancerede it-
systemer, der derved er en forudsætning for, at elsystemet effektivt kan udnytte energiproduktion
fra vedvarende energikilder som solceller og vindmøller. Balanceansvarlige virksomheders it-
systemer udgør således i stigende grad en sårbarhed for driften af el-systemet, da konsekvenserne
ved nedbrud stiger. Samtidig begrænses mulighederne for at drive el-systemet uden it-systemer, til
almindelig styring af elsystemet og styring af produktion og forbrug.
Virksomheder, der udbyder balanceringsydelser er ikke underlagt krav om beredskab efter lov om
elforsyning § 85 b til trods for, at disse virksomheder har kontrol over fysisk infrastruktur.
Ved balanceansvarlige virksomheder forstås alene virksomheder med direkte kontrol over
elementer i elsystemet, med det formål at balancere elsystemet.
Virksomheder, der varetager opgaver på vegne af virksomheder omfattet af Lov om elforsyning §
85 b eller lov om naturgasforsyning § 15 a, og i den forbindelse har kontrol over elementer i el-
eller naturgassystemet på vegne af en virksomhed omfattet af denne lovbestemmelse, betragtes som
tredjeparter eller leverandører og er ikke omfattet af denne lovbestemmelse. Det beredskabsarbejde,
der er forbundet med de risici og sårbarheder anvendelse af ydelser fra denne type tredjeparter
medfører, påhviler de produktions-, balance- eller forsyningsvirksomheder, der har indgået
kontrakter med disse virksomheder.
Virksomhederne anses for kompetente til at vurdere sammenhæng mellem de teknologiske
muligheder og de kommercielle interesser. Det er dog væsentligt at sikre, at der fastholdes en høj
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0010.png
forsyningssikkerhed på trods af nye teknologier og kommercielle muligheder. Der er derfor behov
for at stille krav til virksomhedernes it-beredskab, således at beskyttelsen af forsyningskritiske it-
systemer indgår i virksomhedernes beredskabsarbejde.
Virksomhedernes betydning for forsyning af el- og naturgas varierer både efter antal tilsluttede
forbrugere i netvirksomheder og mængde energi produceret. Samtidig er it-beredskabsarbejdet
forbundet med såvel administrative som direkte omkostninger ved både virksomhederne samt
myndighederne der udøver tilsyn, lovforslaget bør tage hensyn til at begrænse ressourceforbruget.
Tilsynet med virksomhederne indenfor det almene beredskab føres efter § 85 b stk. 4 i lov om
elforsyning og § 15 a stk. 4 i lov om naturgasforsyning af Energinet.dk. Det vurderes
hensigtsmæssigt, at tilsynsmyndigheden for det almene beredskab og it-beredskabet er den samme,
af hensyn til synergi mellem disse opgaver. Samtidig vurderes den teknologiske og kommercielle
udvikling i el- og naturgassektorerne at kunne medføre behov for, at opgaven som
tilsynsmyndighed kan flyttes til anden relevant myndighed. Det er derfor hensigtsmæssigt, at give
energi-, forsynings- og klimaministeren mulighed for at fastsætte regler for varetagelse af
tilsynsopgaven afledt af § 85 b stk. 4 i lov om elforsyning og § 15 a stk. 4 i lov om
naturgasforsyning samt nye bestemmelser i dette lovforslag.
3.1.3 Den foreslåede ordning
Det vurderes nødvendigt, at balanceansvarlige virksomheder i elsystemet og virksomhederne, der er
omfattet af beredskabsbestemmelserne i § 85 b i lov om elforsyning og § 15 a i lov om
naturgasforsyning er omfattet af dette lovforslag, da de er væsentlige for driften af det samlede
forsyningssystem.
Lovforslaget anvender begreber og systematik kendt fra det almene beredskabsarbejde efter lov om
elforsyning § 85 b og lov om naturgasforsyning § 15 a. Disse bestemmelser pålægger
virksomhederne at vurdere egne sårbarheder og planlægge beredskabstiltag. Samtidig pålægges
virksomhederne at bidrage til de samlede sektorers it-beredskabsarbejde og godtgøre for egne tiltag.
Energi-, forsynings- og klimaministeren pålægges at udarbejde regler for såvel it-
beredskabsarbejdets gennemførelse som tilsynet hermed. Disse regler vil blive udarbejdet således,
at reglerne indeholder en graduering af krav til virksomhederne efter deres betydning for den
overordnede forsyning, hvorved der tilsigtes proportionalitet mellem omkostninger og betydning for
den samlede forsyning. Energi, forsynings- og klimaministeren kan fastsætte regler om varetagelse
af tilsynsopgaven med virksomhedernes efterlevelse af regler for det almene beredskabsarbejde
efter lov om elforsyning § 85 b og lov om naturgasforsyning § 15 a samt regler vedr. it-beredskabet
i medfør dette lovforslag.
3.2 Organisering af el- og naturgassektorernes beredskab
Reguleringen på beredskabsområdet inden for el- og naturgassektorerne bygger på principper i den
nationale beredskabsplan, der har til formål at sikre samfundets videreførelse i
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0011.png
beredskabssituationer. Disse principper tilsikrer sammenhæng mellem ansvar, kompetence og
kapacitet. I relation til el- og naturgassektorerne fremhæves nærhedsprincippet, der tilsiger, at
ansvaret for den operative håndtering af en beredskabssituation og planlægningen af en sådan
placeres lokalt ved virksomhederne, mens Energinet.dk tilsikrer den overordnede koordinering i
sektorerne af såvel den operative indsats som planlægningen. Beredskabskoordination mellem
myndigheder følger sektoransvarsprincippet, der tilsiger, at den sektoransvarlige myndighed skal
koordinere med andre myndigheder. It-sikkerhedsområdet adskiller sig ikke fra andre
beredskabshændelser, hvad angår disse principper.
Den nuværende lovgivning i el- og naturgassektorerne behandler imidlertid ikke cyber- og
informationssikkerhed specifikt.
3.2.1 Den forslåede ordning vedr. organisering af el- og naturgassektorernes it-beredskab
El- og naturgassektorerne gennemfører rutinemæssigt risikobaseret beredskabsplanlægning.
Formålet er at forhindre forsyningsnedbrud som resultat af beredskabshændelser. Arbejdet
planlægger endvidere en hurtig genopretning af forsyningen ved nedbrud.
Den forslåede ordning skal fremme en hensigtsmæssig og effektiv håndtering af nedbrud eller
trusler om forsyningskritiske it-systemer. Dette opnås gennem en risikobaseret it-
beredskabsplanlægning på såvel virksomhedsniveau som sektorniveau. En afklaring af ansvar og
mulighederne for udveksling af informationer vil fremover kunne effektivisere den samordnede
indsats. For at kunne håndtere de påviste risici effektivt anbefales en organiseringsmodel, der
tilstræber at anvende metoder kendt fra beredskabsarbejdet. Modellen udnytter synergien med
nuværende opgaver samt fremmer integrationen af it-sikkerhed i virksomhedernes risikostyring.
Flere virksomheder i el- og naturgassektorerne har investeret i tekniske og administrative tiltag, der
skal fremme cyber- og informationssikkerheden lokalt. Ved at fokusere lovgivningen på den lokale
risikostyring og dennes sammenhæng med den sektorielle risikostyring anvendes en metode, der
benytter de gennemførte investeringer og rutiner ved virksomhederne. Den lokale risikostyring og
omkostningsansvar skal fremme en omkostningseffektiv anvendelse af ressourcer på baggrund af
erkendte risici. Den lokale risikostyring kræver imidlertid indsigt i egne systemer og trusselsbilledet
samt disses sammenhæng med og afhængighed af andre systemer. Det er derfor nødvendigt at
pålægge virksomhederne at etablere procedurer, der sikrer indsigt i relevante trusler, samt
procedurer for håndtering af akutte hændelser.
Energi-, forsynings- og klimaministeren bemyndiges derfor til at fastsætte regler, der kan pålægge
virksomhederne at være tilmeldt en varslingstjeneste, der kan supplere de meddelelser, der
tilvejebringes gennem netværk med andre virksomheder og gennem samarbejde med
myndighederne, herunder Center for Cybersikkerhed (CFCS).
Da der er forskel på virksomhedernes kritikalitet for den samlede forsyning pålægges energi-,
forsynings- og klimaministeren i medfør af lovforslagets stk. 5 at udarbejde graduerede krav til
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0012.png
denne varslingstjeneste samt interne procedurer. Virksomhedernes opdeles efter, om de har kritisk
betydning for den nationale el- og naturgasforsyning, den regionale el- og naturgasforsyning eller
lokale el- og naturgasforsyning.
Virksomheder kan drive it-systemer, der ikke anses for at være et kritisk it-system for den enkelte
virksomhed, men som kan have indflydelse på driften af kritiske it-systemer ved andre
virksomheder. Denne type virksomheder skal håndteres efter den akkumulerede kritikalitet for de
virksomheder, der anvender deres systemer. Der kan endvidere forekomme it-systemer, der styrer
anlæg ved flere virksomheder. Disse it-systemer kan have varieret kritikalitet for de enkelte
virksomheder. Denne type it-systemer skal beskyttes ud fra en vurdering af deres samlede
betydning for det samlede elforsyningssystem.
Energi-, forsynings- og klimaministeren bemyndiges i den forslåede ordning til at fastsætte
nærmere kriterier for opdeling af virksomhederne efter deres kritikalitet.
3.3. Sanktioner og påbud
3.3.1 Gældende ret vedr. sanktioner og påbud i Lov om elforsyning
Sanktioner og påbud er reguleret i lov om elforsyning kapitel 12 a og 13. Energi-, forsynings- og
klimaministeren kan udstede påbud i henhold til lov om elforsyning § 85 d, hvorefter forhold, der
strider mod lovgivningen skal bringes i orden straks eller efter nærmere angivet frist.
Det er ikke reguleret i lov om elforsyning, at energi-, forsynings- og klimaministeren kan påbyde, at
virksomheder, der ikke opfylder det udstedte påbud i henhold til gældende lovgivning, for egne
midler foretager en it-revision af kritiske systemer ved en uafhængig revisor, som er godkendt af
tilsynsmyndigheden. Ligeledes er det heller ikke reguleret i gældende lovgivning, at energi-,
forsynings- og klimaministeren, kan påbyde virksomheder at gennemføre tiltag på baggrund af it-
revisionen, der tilsikrer overholdelse af stk. 1 i dette lovforslag.
Herudover er der mulighed for at iværksætte yderligere sanktioner såfremt en virksomhed undlader
at efterkomme et påbud udstedt i henhold til lov om elforsyning. Der kan således pålægges
bødestraf, hvis en virksomhed undlader at efterkomme et påbud jf. § 87, stk. 1, nr. 7 i Lov om
elforsyning.
Efter § 54 stk. 1, nr. 1 i lov om elforsyning kan bevilling endvidere inddrages, hvis bestemmelser,
vilkår eller påbud efter lov om elforsyning eller lov om vedvarende energi eller regler udstedt i
medfør af disse love gentagende gange overtrædes.
3.3.2 Gældende ret vedr. sanktioner og påbud i Lov om naturgasforsyning
Sanktioner og påbud er reguleret i lov om naturgasforsyning kapitel 9 a og 10. Der foreligger
således efter gældende ret mulighed for, at energi-, forsynings- og klimaministeren udsteder påbud i
henhold til lov om naturgasforsyning 47 b, hvorefter forhold, der strider mod lovgivningen, skal
bringes i orden straks eller efter nærmere angivet frist.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0013.png
Det er ikke reguleret i lov om naturgasforsyning, at energi-, forsynings- og klimaministeren kan
påbyde, at virksomheder, der ikke påfylder det udstedte påbud i henhold til gældende lovgivning,
for egne midler foretager en it-revision af kritiske systemer ved en uafhængig revisor, som er
godkendt af tilsynsmyndigheden. Ligeledes er det heller ikke reguleret i gældende lovgivning, at
energi-, forsynings- og klimaministeren kan påbyde virksomheder at gennemføre tiltag på baggrund
af it-revisionen, der tilsikrer overholdelse af stk. 1 i dette lovforslag.
Efter gældende ret foreligger der også mulighed for yderligere sanktioner såfremt en virksomhed
undlader at efterkomme et påbud udstedt i henhold til lov om naturgasforsyning. Efter lov om
naturgasforsyning kan pålægges daglige eller ugentlige bøder, hvis en virksomhed rettidigt undlader
at efterkomme et påbud. Ydermere er der mulighed for, at virksomheden kan få inddraget sin
bevilling.
3.3.3. Energi-, forsynings- og klimaministerens overvejelser vedr. påbud
Der er i gældende ret ikke mulighed for, at energi-, forsynings- og klimaministeren kan påbyde, at
virksomheder, der ikke opfylder det udstedte påbud i henhold til gældende lovgivning, for egne
midler foretager en it-revision af kritiske systemer ved en uafhængig revisor, som er godkendt af
tilsynsmyndigheden. Ligeledes er det heller ikke reguleret i gældende lovgivning, at energi-,
forsynings- og klimaministeren, kan påbyde virksomheder at gennemføre tiltag på baggrund af it-
revisionen, der tilsikrer overholdelse af stk. 1 i dette lovforslag. Det skønnes hensigtsmæssigt at
give energi-, forsynings- og klimaministeren mulighed for at pålægge virksomhederne en sådan
revision, da der derved er mulighed for at forbedre såvel virksomhedens som tilsynsmyndighedens
indsigt i it-beredskabet ved den pågældende virksomhed.
3.3.4 Den forslåede ordning vedr. sanktioner og påbud
Det foreslås, at der indføres en ordning, hvorefter energi-, forsynings- og klimaministeren gives
mulighed for at meddele påbud til virksomheder, der er meddelt påbud om at opretholde et
nødvendigt it-beredskab, jf. elforsyningslovens § 85 c, men som ikke har opfyldt påbuddet, om at
virksomheden for egne midler foretager en it-revision af kritiske systemer ved en uafhængig
revisor, som er godkendt af tilsynsmyndigheden. Herudover indebærer lovforslaget, at energi-,
forsynings- og klimaministeren kan påbyde den pågældende virksomhed at gennemføre tiltag på
baggrund af it-revisionen, der sikrer overholdelse af kravet om at opretholde et it-beredskab.
Manglende overholdelse af lovforslagets stk. 1 vurderes at kunne bringe elforsyningen eller
naturgasforsyningen i fare, hvorfor de gældende regler om påbud og sanktion i lov om elforsyning
og lov om naturgasforsyning ikke er fundet tilstrækkelige.
Med lovforslaget er det således hensigten, at energi-, forsynings- og klimaministeren stadig kan
anvende de eksisterende sanktionsmuligheder efter lov om elforsyning og lov om
naturgasforsyning, ved manglende opfyldelse af påbuddet udstedt i henhold til gældende lovgivning
efter lov om elforsyning eller lov om naturgasforsyning eller efter manglende opfyldelse af påbud i
henhold stk. 2 og 3 i dette lovforslag.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0014.png
Påbuds- og sanktionsmulighederne for energi-, forsynings- og klimaministeren er derfor tiltænkt at
foregå i følgende trin:
1. Energi-, forsynings- og klimaministeren kan i henhold til lov om elforsyning § 85 c og
naturgasforsyningsloven § 47 b, påbyde at forhold der strider mod den forslåede § 85 d, stk. 1 i lov
om elforsyning og den forslåede § 15 b, stk. 1 i lov om naturgasforsyning bringes i orden straks
eller inden nærmere angivet frist.
2. Ved manglende opfyldelse af et sådant påbud, foreslås det, at energi-, forsynings- og
klimaministeren får mulighed efter lovforslagets stk. 2, at påbyde den pågældende virksomhed at
foretage en it-revision af kritiske systemer ved en uafhængig revisor afholdt for egne midler. I stk.
5, nr. 6 er det angivet, at energi-, forsynings- og klimaministeren fastsætter regler om krav til
indholdet af it-revisionen, herunder at it-revisionen kan indeholde anbefalinger til en række
konkrete tiltag som skønnes nødvendige for, at den pågældende virksomhed overholder
lovforslagets stk. 1.
3. Undlader den pågældende virksomhed, at efterkomme de tiltag, der følger af it-revisionens
anbefalinger jf. lovforslagets stk. 2, forslås det, at energi-, forsynings- og klimaministeren får
mulighed for, efter lovforslagets stk. 3, at påbyde den pågældende virksomhed at gennemføre de
tiltag i it-revisionens rapport som tilsynsmyndigheden skønner nødvendige for overholdelse af stk.
1.
4. Opfylder den pågældende virksomhed ikke påbuddet efter lovforslagets stk. 3, og dermed ikke
efterkommer de tiltag, der følger af it-revisionens anbefalinger jf. lovforslagets stk. 2, kan energi-,
forsynings- og klimaministeren anvende de sanktionsmuligheder, der følger af gældende ret for
sanktioner i elforsyningsloven herunder kapitel 13 og naturgasforsyningsloven herunder kapitel 10
samt inddrage virksomhedens bevilling jf. lov om elforsyning § 54 og Lov om naturgasforsyning §
33.
3.4 Gældende ret vedr. bemyndigelse af energi-, forsynings- og klimaministeren
I henhold til § 85 b stk. 3 i lov om elforsyning og § 15 a, stk. 3 i lov om naturgasforsyning, kan
energi-, forsynings- og klimaministeren fastsætte regler for beredskabsarbejdet for virksomhederne
omfattet af lovgivningen. Dette lovforslags stk. 6, skal i lighed med de almindelige regler for
beredskabsarbejdet bemyndige energi-, forsynings- og klimaministeren til at fastsætte nærmere
regler for området for it-beredskab, der hidtil ikke har været reguleret.
3.4.1 Den foreslåede ordning vedr. bemyndigelse af energi-, forsynings- og klimaministeren
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0015.png
Lovforslaget bemyndiger energi- forsynings- og klimaministeren til at fastsætte regler for
virksomhedernes it-beredskab. Denne bemyndigelse skal primært sikre, at der kan fastsættes
specifikke regler for virksomhedernes it-beredskabsarbejde. Denne bemyndigelse skal samtidig
sikre, at energi-, forsynings- og klimaministeren kan fastsætte tidssvarende regler inden for et
område under udvikling. Denne udvikling inden for såvel de teknologiske, juridiske og
forretningsmæssige rammer har hidtil medført en udvikling af it-systemers anvendelse og
kritikalitet i sektoren. Udviklingen sker samtidig med, at truslerne mod virksomhedernes it-
systemer ligeledes udvikles teknologisk og metodisk. Rammerne og truslernes udvikling medfører
tilsammen et behov for en konstant udvikling af virksomhedernes it-beredskab. Der er derved behov
for at kunne tilpasse kravene til den lokale risikostyring herunder krav til organiseringen af it-
beredskabet, it-beredskabsplaner, sårbarhedsvurderinger og adgang til it-sikkerhedsvarsler.
For at håndtere denne udvikling følger lovforslaget de overordnede principper, der også anvendes i
beredskabsarbejdet. Disse principper tillægger den lokale risikostyring stor betydning som
beskrevet i punkt 3.2.1 vedr. organisering af beredskabsarbejdet. Den lokale risikostyring vil skulle
foregå inden for rammerne af dette lovforslag samt regler udstedt i medfør heraf. Henset til
udviklingen af it-sikkerhedsområdet findes det hensigtsmæssigt at bemyndige energi-, forsynings-
og klimaministeren til at fastsætte regler for virksomhedernes it-beredskab, it-
beredskabsplanlægning, it-risikostyring og adgang til it-sikkerhedsvarsler. Ved at bemyndige
energi-, forsynings- og klimaministeren til at fastsætte disse regler, vil nye trusler og rammer for it-
beredskabsarbejdet kunne indarbejdes i kravene til virksomhedernes it-beredskabsarbejde.
Den beskrevne udvikling af it-sikkerhedsområdet, medfører ligeledes udvikling i vilkårene for den
centrale risikostyring af sektorens it-beredskab, hvor Energinet.dk som koordinerende overordnet
virksomhed forestår det centrale it-beredskabsarbejde og koordination i operative it-
beredskabssituationer. For at kunne sikre tidssvarende regler for det centrale it-beredskabsarbejde
under hensyntagen til udviklingen, bemyndiges energi- forsynings- og klimaministeren ligeledes til
at kunne fastsætter regler for Energinet.dk’s varetagelse af den overordnede koordinerende
planlægningsmæssige og operative opgave i relation til it-beredskabet.
3.5 Vedr. tilsyn
3.5.1 Gældende ret vedr. tilsyn i Lov om elforsyning
Tilsynet med det almene beredskabsarbejde er fastsat i elforsyningsloven § 85 b, stk. 4, hvorefter
energi-, forsynings- og klimaministeren kan fastsætte regler om udførelse af tilsyn med
beredskabsarbejdet. Denne bemyndigelse er blevet udnyttet ved bekendtgørelse nr. 1024 af 21.
august 2007 om beredskab for elsektoren, hvoraf der fastsættes nærmere regler for tilsynet.
Ved denne bekendtgørelse bestemmes det, at Energinet.dk udfører tilsyn med de bevillingspligtige
virksomheders beredskabsarbejde, og at Energistyrelsen fører tilsyn med Energinet.dk’s
beredskabsarbejde.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0016.png
De gældende regler vedr. tilsyn i elforsyningsloven omfatter alene det almene beredskab og ikke
virksomhedernes og Energinet.dk’s it-beredskab, hvorfor gældende ret i henhold til
elforsyningsloven ikke er fundet tilstrækkelig til at omfatte tilsyn med it-beredskab.
3.5.2 Gældende ret vedr. tilsyn i Lov om naturgasforsyning
Tilsynet med det almene beredskabsarbejde er reguleret i naturgasforsyningsloven § 15 a, stk. 4,
hvorefter energi-, forsynings- og klimaministeren kan fastsætte regler om udførelse af tilsyn med
beredskabsarbejdet. Denne bemyndigelse er blevet udnyttet ved bekendtgørelse nr. 1025 af 21.
august 2007 om beredskab for naturgassektoren, hvoraf der fastsættes nærmere regler for tilsynet.
Ved denne bekendtgørelse bestemmes det, at Energinet.dk udfører tilsyn med de bevillingspligtige
virksomheders beredskabsarbejde og at Energistyrelsen fører tilsyn med Energinet.dk’s
beredskabsarbejde.
De gældende regler vedr. tilsyn i naturgasforsyningsloven omfatter alene det almene beredskab og
ikke virksomhedernes og Energinet.dk’s it-beredskab, hvorfor gældende ret i henhold til
naturgasforsyningsloven ikke er fundet tilstrækkelig til at omfatte tilsyn med it-beredskab.
3.5.3 Den forslåede ordning vedr. tilsyn
Det foreslås, at der indfører en ordning, hvorefter energi-, forsynings- og klimaministeren fastsætter
regler vedr. tilsynet med virksomhedernes og Energinet.dk’s beredskabsarbejde, herunder deres
risikostyring, it-beredskabsplaner, sårbarhedsvurderinger og adgang til it-sikkerhedsvarsler.
Formen af tilsynet med virksomhederne kan tilpasses til virksomhedernes kritikalitet for den
samlede el- eller naturgasforsyning. Tilsynet med virksomhederne består af såvel tilsynsmøder,
løbende underretninger og skriftlig kommunikation om ændringer af beredskabsplaner samt risiko-
og sårbarhedsvurderinger. Frekvensen af tilsynet afhænger af en kategorisering af virksomhederne
som beskrevet i punkt 3.2 vedr. organisering af beredskabet og i medfør at lovforslagets § 1 stk. 6.
Tilsynet med virksomhedernes beredskabsarbejde forudsætter fremskaffelse af oplysninger fra
virksomhederne, bl.a. risiko- og sårbarhedsvurderinger samt beredskabsplaner, procedurer m.m.,
som er udarbejdet på grundlag af disse risiko- og sårbarhedsvurderinger. Vurdering af dette
materiale forudsætter faglig viden om driftsforholdene i de forskellige former for virksomhed inden
for elsektoren. Tilsynsmyndigheden skal have adgang til oplysninger om aktuelle og historiske
driftsforhold ved Energinet.dk’s kontrolcenter, for at kunne foretage tilsyn.
Tilsynsmyndigheden kan placeres ved Energinet.dk, Energistyrelsen eller en tredje kompetent
myndighed, efter regler fastsat af energi-, forsynings- og klimaministeren. Ved at give energi-,
forsynings- og klimaministeren myndighed til at fastsætte tilsynsforholdet i relation til it-
beredskabsarbejdet i el- og naturgassektorerne, sikres mulighed for at følge den teknologiske,
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0017.png
juridiske og forretningsmæssig udvikling i sektorerne som beskrevet i punkt 3.4. Tilsynsforholdet
anses i denne sammenhæng for relevant at kunne ændre i lighed med forhold nævnt i punkt 3.4
vedrørende bemyndigelsen af energi-, forsynings- og klimaministeren, på baggrund af en række
forhold.
Ved at placere tilsynsopgaven ved Energinet.dk opnås en sammenhæng med det tilsynsarbejde
Energinet.dk udfører med virksomhedernes beredskabsarbejde efter lov om elforsyning § 85 b og
lov om naturgasforsynings § 15 a. Denne placering af tilsynsopgaverne kræver, at tilsynet adskilles
fra Energinet.dk’s overordnede koordinerende opgaver i beredskabssituationer. Disse overordnede,
koordinerende opgaver forudsætter ligeledes et kendskab til de enkelte virksomheders it-beredskab,
dettes omfang og kvalitet samt det indbyrdes samspil mellem de forskellige virksomheders
beredskab. Såfremt Energinet.dk varetager opgaven som tilsynsmyndighed, og derved varetager
både de overordnede koordinerende beredskabsopgaver efter lov om elforsyning § 85 b stk. 2 og lov
om naturgasforsyning § 15 a, stk. 2 tilsyn efter dette lovforslag, skal Energinet.dk tilsikre, at
virksomhederne oplyses om, hvilke informationer, der anvendes i tilsynsøjemed. Energistyrelsen vil
i denne situation pålægges at føre tilsyn med Energinet.dk’s tilsyn med virksomhedernes it-
beredskabsarbejde. Energistyrelsen vil pålægges i en sådan situation derudover at føre tilsyn med
Energinet.dk’s arbejde med at sikre beskyttelse af egne it-systemer og varetagelse af de
overordnede koordinerende opgaver i beredskabssituationer.
Såfremt tilsynsopgaven overfor virksomhederne placeres ved Energistyrelsen eller ved en anden
kompetent myndighed opnås en klar adskillelse af den overordnede koordinerende opgave, der
fortsat vil være placeret ved Energinet.dk. Denne opgavefordeling vil imidlertid ikke kunne udnytte
den synergi, der er mellem tilsynsopgaverne og den koordinerende opgave. Der vil derfor være
behov for at tilsikre, at tilsynsmyndigheden bibringes en konkrete faglige indsigt gennem et
samarbejde med Energinet.dk samt gennem en formel tilsynsdialog med såvel Energinet.dk som
med virksomhederne. Der vil i en sådan situation imidlertid være en synergi mellem det tilsyn
tilsynsmyndigheden fører med Energinet.dk og virksomhederne.
Ved fastsættelse af regler for tilsynet skal energi-, forsynings- og klimaministeren vurdere,
hvorledes tilsynsplaceringen vil påvirke:
1. Energistyrelsens tilsyn med Energinet.dk, herunder Energistyrelsens mulighed for at føre
tilsyn med Energinet.dk’s tilsynsførelse over for virksomhederne.
2. Virksomhedernes samarbejde med Energinet.dk i såvel beredskabssituationer som i
forbindelse med planlægning af beredskabsarbejdet.
3. Energinet.dk’s interne it-beredskabsarbejde.
4. Sammenhæng og synergi med andre opgaver inden for Energistyrelsens, Energinet.dk’s og
andre myndigheders beredskab.
Disse forhold er afhængige af flere faktorer, herunder kendte truslers karakter, de økonomiske
rammer for Energinet.dk, Energinet.dk’s handler med balancevirksomheder, udviklingen af
markedet for it-serviceydelser og sektorernes øvrige regulering. Ved at have bemyndigelse til at
fastsætte regler for tilsynet skal energi-, forsynings- og klimaministeren sikre, at tilsynsopgaven
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0018.png
pålægges den institution, der efter ovennævnte forhold har de bedste vilkår, for at føre tilsyn med
virksomhedernes efterlevelse af disse regler.
4. Økonomiske og administrative konsekvenser for det offentlige
Der forventes alene økonomiske og administrative konsekvenser for det offentlige i forbindelse med
gennemførelse af tilsyn med virksomhederne og Energinet.dk’s efterlevelse af regler i medfør af
dette lovforslag. De økonomiske byrder forventes afholdt ved gebyrer pålagt de virksomheder, der
underlægges tilsynet. Tilsynet forventes gebyrfinansieret jf. elforsyningsloven § 51, stk. 2 og
naturgasforsyningsloven § 30, stk. 2. Energistyrelsens tilsynsopgaver over for Energinet.dk
forventes afholdt inden for 500 arbejdstimer årligt, af 927 kr. pr. arbejdstime i 2016. Dette medfører
en samlet omkostning på ca. 463.500 kr. årligt. Af hensyn til områdets tekniske karakter forventes
der endvidere anvendt ekstern konsulentbistand til kvalitetssikring af tilsynsarbejdet i 50 timer årligt
anslået til 1.250 kr. pr. arbejdstime, i alt 62.500 kr. årligt. Der forventes således en samlet
omkostning forbundet med Energistyrelsens tilsyn med Energinet.dk på i alt ca. 526.000 kr. årligt.
5. Økonomiske og administrative konsekvenser for erhvervslivet mv.
Der forventes en samlet omkostning for el- og naturgasvirksomhederne herunder Energinet.dk på
ca. 38,3 mio. kr. årligt fordelt på direkte løbende efterlevelsesomkostninger på ca. 24,5 mio. kr.,
gebyr på ca. 0,5 mio. kr. (beskrevet i punkt 4) samt administrative efterlevelsesomkostninger på ca.
13,3 mio. kr. foruden en administrativ omstillingsomkostning i 2017 på ca. 10,5 mio. kr.
Energinet.dk forventes at afholde 2,7 mio. kr. af de administrative omkostninger og ca. 2,0 mio. kr.
af de administrative omstillingsomkostninger.
Af hensyn til at sikre proportionalitet mellem virksomhedernes administrative ressourceforbrug i
medfør af dette lovforslag og kritikalitet for forsyningen af el og naturgas opdeles de i tre
kategorier. Disse tre kategorier medfører, at kravene vil være differentieret, og på samme vis vil
omkostningerne være differentieret. Virksomhederne kategoriseres efter bestemmelser fra energi-
forsynings- og klimaministeren som beskrevet i punkt 3.2.
5.1 Løbende efterlevelsesomkostninger
Det forventes, at virksomhederne og Energinet.dk tilsammen pålægges øvrige
efterlevelsesomkostninger som følge af bekendtgørelsen på ca. 24,5 mio. kr. Denne omkostning
skyldes hovedsageligt, at virksomhedernes i el- og naturgassektorerne pålægges at være tilknyttet
en kompetent kommerciel it-sikkerheds varslingstjeneste, også kaldet en Computer Security
Incident Response Team (CSIRT). Denne tjeneste forventes varetaget af private virksomheder
gennem kontrakter med de enkelte el- og naturgasvirksomheder. Det er muligt for virksomhederne
at indgå et samlet udbud, hvorved de samlede omkostninger forventes mindsket. På baggrund af en
markedsundersøgelse skønnes det, at omkostningerne til en CSIRT-tjenester vil beløbe sig til
maksimalt ca. 23 mio. kr. årligt, såfremt der ikke udarbejdes et fælles udbud. Kun kategori 1 og
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0019.png
kategori 2 vil være pålagt at udarbejde aftale med en CSIRT-tjeneste, om bistand ved hændelser
samt vejledning og overvågning, mens alle virksomheder vil være pålagt at være tilknyttet en
varslingstjeneste fra en CSIRT-tjeneste.
Foruden disse omkostninger pålægges Energinet.dk en række opgaver forbundet med at varetage de
overordnede koordinerende opgaver. Disse opgaver omfatter bl.a. en vagtordning, der i synergi med
nuværende organisation vil kunne varetage en række opgaver forbundet med at koordinere og
vejlede ved akutte sikkerhedshændelser. Denne opgave omfatter også at udarbejde en samlet it-
sektorberedskabsplan og ajourføre planerne i forhold til nye sårbarheder og trusler. Energinet.dk
pålægges endvidere at bidrage til udarbejdelsen af sektorspecifikke trusselsvurderinger i samarbejde
med Center for Cybersikkerhed. Dertil kommer den omfattende opgave med at føre tilsyn med og
vejlede virksomheder i deres beredskabsplanlægning og risiko- og sårbarhedsvurderinger, der ved
lovforslagets ikrafttræden pålægges Energinet.dk
De samlede øvrige løbende efterlevelsesomkostninger beløber sig således til 24,5 mio. kr. hvoraf
Energinet.dk forventes pålagt en omkostning på ca. 1,5 mio. kr.
5.2 Gebyrer
Eneginet.dk pålægges et gebyr til at afholde de omkostninger, som Energistyrelsen har som følge af
tilsyn med Energinet.dk. Disse omkostninger forventes at beløbe sig til 500 arbejdstimer årligt af
927 kr. pr. time, og indebærer tilsyn med Energinet.dk’s drift af egne it-systemer, samt tilsyn med
Energinet.dk’s tilsynsvirksomhed over for virksomhederne i el- og naturgassektorerne. Grundet
tilsynsarbejdets it-faglige karakter forventes der behov for konsulentbistand til faglige vurderinger
for omkring 50 arbejdstimer årligt af 1.250 kr. pr time. På denne baggrund forventes de samlede
gebyrer pålagt Energinet.dk at beløbe sig til ca. 526.000 kr.
5.3 Administrative efterlevelsesomkostninger
Der forventes en række administrative omkostninger ved de enkelte virksomheder i forbindelse med
pålagte opgaver med løbende risikovurdering og revision af leverandøraftaler, deltagelse i fora for
vidensdeling samt rapportering af sikkerhedshændelse og -øvelser i forsyningskritiske it-systemer.
Disse administrative omkostninger afhænger i høj grad af virksomhedernes nuværende processer
for styring af it-sikkerhed, samtidig kan de variere afhængigt af it-sikkerhedshændelser,
leverandørkontrakter og it-faglige kompetencer ved medarbejderne. Der er gennemført en
undersøgelse af disse omkostninger, der har vurderet, at de samlede omkostninger skønnes at
beløbe sig til ca. 13,3 mio. kr. årligt.
5.4. Administrative omstillingsomkostninger
Det må forventes, at der er visse administrative omstillingsomkostninger for erhvervslivet forbundet
med lovforslaget og bekendtgørelsen. De samlede omkostninger er skønnet til ca. 10,5 mio. kr.
Beløbets størrelse skyldes de nye opgaver, der skal varetages af virksomhederne, hvorfor der er
omkostninger forbundet etablering af procedure og planmateriel samt uddannelse af medarbejdere.
Omkostningerne anses for begrænset af, at lovforslaget anvender metoder kendt fra
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0020.png
beredskabsarbejdet,
herunder
risiko-
og
sårbarhedsstyring,
øvelsesaktivitet
og
beredskabsplanlægning, hvilket muliggør at udnytte synergi med det almene bredskabsarbejde i de
enkelte virksomheder.
5.5 Økonomisk opsummering
På baggrund af overstående forventes de samlede udgifter pålagt virksomhederne sammenlagt at
beløbe sig til 33,6 mio.kr. heraf er 10,6 mio. kr. administrative omkostninger mens 23,0 mio. kr. er
øvrige efterlevelsesomkostninger.
Dertil kommer omkostninger for Energinet.dk vurderes sammenlagt at beløbe sig til 4,7 mio.kr
årligt. Heraf er 2,7 mio. kr. administrative omkostninger, 1,5 mio. kr. øvrige
efterlevelsesomkostninger og 0,5 mio. kr. er gebyrer.
Der forventes derved en samlet økonomisk omkostning ved lovforslaget på i alt 38,3 mio. kr. årligt.
6. Administrative konsekvenser for borgere
Der forventes ingen administrative konsekvenser for borgerne afledt af lovforslaget.
7. Miljømæssige konsekvenser
Der forventes ingen miljømæssige konsekvenser afledt af lovforslaget.
8. Forholdet til EU-retten
Lovforslaget er afledt af det nationale arbejde med cyber- og informationssikkerhed, i regi af den
nationale strategi for cyber- og informationssikkerhed. Området er endnu ikke reguleret i EU-retten,
hvorfor der ikke er nogen umiddelbar forbindelse til EU-retten.
9. Hørte myndigheder og organisationer mv.
Et udkast til lovforslag har i perioden fra den 22. august 2016 til den 19. september 2016 været
sendt i høring hos følgende myndigheder og organisationer m.v.: Advokatsamfundet, Affald Plus,
Aluminium Danmark, Arbejderbevægelsens Erhvervsråd, Arbejdstilsynet, ARI, Brancheforeningen
for Biogas, Brancheforeningen for Decentral Kraftvarme, Brancheforeningen for
Husstandsvindmøller, Business Danmark, Center for cybersikkerhed, CEPOS, Cevea, DAKOFA,
Danmarks Naturfredningsforening, Danmarks Vindmølleforening, Dansk Affaldsforening, Dansk
Byggeri, Dansk Energi, Dansk Erhverv, Dansk Fjernvarme, Dansk Gartneri, Dansk Gasteknisk
Center, Dansk Internet Forum (DIFO), DANSK IT, Dansk Landbrugsrådgivning, Dansk Metal,
Dansk Solcelleforening, Dansk Told- og Skatteforbund, Danske Advokater, Danske Erhvervsskoler,
Danske
Halmleverandører,
Danske
Produktionsskolers
Lærerforening,
Danske
Underviserorganisationers Samråd, Danske Universiteter, DANVA, Datatilsynet, Dansk Industri,
DKCERT, Eksportrådet, EmballageIndustrien, Energi Danmark, Energi- og Olieforum,
Energiforum Danmark, Energiklagenævnet, Energinet.dk, Energitilsynet, Erhvervs- og
Vækstministeriet,
Erhvervsstyrelsen,
Finansforbundet,
Finansministeriet,
Finansrådet,
Forbrugerrådet Tænk, Foreningen af Danske Skatteankenævn, Foreningen af Rådgivende
Ingeniører, Foreningen Danske Kraftvarmeværker, Foreningen Danske Olieberedskabslagre,
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0021.png
Foreningen Danske Revisorer, Foreningen for Danske Biogasanlæg, Forstanderkredsen for
Produktionsskoler, Forsvarsministeriet, Frie Funktionærer, FSE, FSR - danske revisorer, FTF,
Fødevarestyrelsen, Greenpeace Danmark, HK, HOFOR, Håndværksrådet, IT-Branchen, IT-Politisk
Forening, Justitsministeriet, KL, Konkurrence- og Forbrugerstyrelsen, Kraka, Kulturministeriet,
Kystdirektoratet, Metalemballagegruppen, Miljø- og Fødevareministeriet, Miljøstyrelsen,
Mineralolie Brancheforeningen, Moderniseringsstyrelsen, Nasdaq OMX Copenhagen A/S,
Nationalbanken, Nationalt Center for Miljø og Energi, Natur- og Miljøklagenævnet,
NaturErhvervsstyrelsen, Naturstyrelsen, Nordisk Folkecenter for Vedvarende Energi, Partnerskabet
for brint og brændselsceller, Plastindustrien, Produktionsskoleforeningen, PROSA,
Realkreditforeningen, Realkreditrådet, Rigspolitichefen, Rigspolitiets Cyber Crime Center, Rådet
for Digital Sikkerhed, Sammenslutningen af Landbrugets Arbejdsgiverforeninger, Sammensluttede
Danske Energiforbrugere, Samvirkende Energi- og Miljøkontorer, SEGES, Serviceforbundet,
Sikkerhedsstyrelsen, Skatteankestyrelsen, Skatteministeriet, SRF Skattefaglig Forening, Statens IT-
projektråd,
Søfartsstyrelsen,
Telekommunikationsindustrien
(TI),
Transport-
og
Bygningsministeriet, Udenrigsministeriet, Vedvarende Energi, VELTEK og Vindmølleindustrien.
10. Sammenfattende skema
Negative konsekvenser/merudgifter
Positive
konsekvenser/mindreudgifter
Ingen
Økonomiske
konsekvenser
for stat,
kommuner og
regioner
Administrative
konsekvenser
for stat,
kommuner og
regioner
Økonomiske
konsekvenser
for
erhvervslivet
Ingen
Ingen
Lovforslaget medfører en stigning i antallet
af tilsynssager for Energistyrelsen. Denne
gebyrfinansieres.
Der er ikke umiddelbart nogle
positive konsekvenser ved
lovforslaget. Det er dog muligt,
at enkelte virksomheder, der på
forhånd efterlever kravene til
dette lovforslag, vil kunne opnå
en besparelse ved en
varslingstjeneste, som resultat
af øget konkurrence og
ensartede krav.
Virksomhederne skal være tilmeldt en
varslingstjeneste, der leverer varsler og
leverer vejledning af de virksomheder, der
anses for kritiske på national og regionalt
niveau. Omkostningerne til en sådan
tjeneste afholdes ved virksomhederne.
Energinet.dk pålægges endvidere en række
opgaver forbundet med den koordinerende
funktion, heriblandt løbende kontakt til
myndighederne og virksomhederne.
Energinet.dk pålægges endvidere et gebyr
til finansiereng af Energistyrelsens tilsyn
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0022.png
Administrative Ingen
konsekvenser
for
erhvervslivet
Miljømæssige Ingen
konsekvenser
Administrative Ingen
konsekvenser
for borgerne
Forholdet til Ingen
EU-retten
med Energinet.dk. Samlet set vurderes
disse omkostninger ikke at overstige 25,0
mio. kr. årligt.
Virksomhederne skal varetage egen it-
sikkerhedsstyring samt bidrage til
sektorernes samlede it-sikkerhed. Dette
medfører, at virksomhederne planlægger og
risikovurderer løbende samt udarbejder
evalueringer og erfaringer på baggrund af
hændelse og øvelser. De samlede
administrative omkostninger forventes ikke
at overstige 13,3 mio. kr. årligt.
Ingen
Ingen
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0023.png
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Til nr. 1
Efter § 85 b, stk. 4, kan klima-, energi- og bygningsministeren fastsætte regler om udførelse af
tilsyn med det beredskabsarbejde, der udføres efter stk. 1 og 2, herunder om virksomhedernes
fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til
virksomhederne og om klageadgang. I reglerne kan det fastsættes, at tilsyn med beredskabsarbejde
efter stk. 1 skal udføres af Energinet.dk.
Det foreslås, at § 85, b, stk. 4, 2. pkt., ophæves.
Den foreslåede ordning indebærer, at en given delegation af kompetence skal ske efter den
almindelige delegationsbestemmelse i elforsyningslovens § 90, idet denne bestemmelse anses for en
tilstrækkelig til at delegere ministerens beføjelser til en anden myndighed. Den nugældende
delegationsbestemmelse er således ikke nødvendig.
Det vurderes hensigtsmæssigt, at tilsynsmyndigheden for det almene beredskab og it-beredskabet er
den samme, af hensyn til synergi mellem disse opgaver. Samtidig vurderes den teknologiske og
kommercielle udvikling i el- og naturgassektorerne at kunne medføre behov for, at opgaven som
tilsynsmyndighed kan flyttes til anden relevant myndighed. Det er derfor hensigtsmæssigt at give
energi-, forsynings- og klimaministeren mulighed for at fastsætte regler for varetagelse af
tilsynsopgaven beskrevet i § 85 b stk. 4 i lov om elforsyning og nye bestemmelser i dette lovforslag.
Der henvises i øvrigt til punkt 3.5 i de almindelige bemærkninger.
Denne lovændring forudsættes udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter
regler for tilsynet i medfør af § 85 b. Det er hensigten, at energi-, forsynings- og klimaministeren
kan fastsætte regler, der pålægger enten Energinet.dk, Energistyrelsen eller anden egnet myndighed
at føre tilsyn med virksomhedernes overholdelse af reglerne fastsat i medfør af § 85 b. Energi-,
forsynings- og klimaministeren kan tillægge en relevant myndighed tilsynsopgave efter en
vurdering af, hvilken institution der findes mest egnet til at løse tilsynsførelsen.
Vurdering af hvilken institution, der skal føre tilsyn med virksomhederne skal omfatte såvel
økonomiske som organisatoriske forhold af betydning, herunder skal følgende forhold som
minimum vurderes:
1. Energistyrelsens tilsyn med Energinet.dk, herunder Energistyrelsens mulighed for at føre
tilsyn med tilsynsførelsen overfor virksomhederne.
2. Virksomhedernes samarbejde med Energinet.dk i såvel beredskabssituationer som i
forbindelse med planlægning af beredskabsarbejdet.
3. Energinet.dk’s it-beredskabsarbejde internt.
4. Sammenhæng og synergi med andre opgaver indenfor beredskabet.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0024.png
Disse forhold er afhængige af mange faktorer, herunder de mulige truslers karakter, de økonomiske
rammer for Energinet.dk, Energinet.dk’s handler med balancevirksomheder, udviklingen af
markedet for it-serviceydelser og sektorernes øvrige regulering. Ved at kunne ændre op fordelingen
af tilsynsopgaver ved Energinet.dk og Energistyrelsen skal energi-, forsynings- og klimaministeren
sikre, at tilsynsopgaven pålægges den institution, der efter ovennævnte forhold har de bedste vilkår
for at føre tilsynet med virksomhedernes efterlevelse af disse regler.
Tilsynet med virksomhederne kan tilpasses til virksomhedernes kritikalitet for den samlede
elforsyning. Tilsynsmyndigheden skal gennemføre tilsynsbesøg årligt ved virksomheder, der
varetager kritiske systemer, mens tilsynet ved de resterende virksomheder kan begrænses til
treårlige tilsynsbesøg suppleret af løbende underretninger og skriftlig kommunikation om ændringer
af beredskabsplaner og risikoundersøgelser.
Tilsynsmyndigheden skal dokumentere de gennemførte tilsyn, og virksomhederne skal have
mulighed for at kommentere tilsynsmyndighedens tilsynsdokumentation.
Tilsynet med virksomhedernes beredskabsarbejde forudsætter, at virksomhederne meddeler
tilsynsmyndigheden relevante oplysninger bl.a. risiko- og sårbarhedsvurderinger samt
beredskabsplaner, procedurer m.m., som er udarbejdet på grundlag af disse risiko- og
sårbarhedsvurderinger. Vurdering af dette materiale forudsætter faglig viden om driftsforholdene i
de forskellige former for virksomhed inden for elsektoren. Tilsynsmyndigheden kan indhente
oplysninger om aktuelle og historiske driftsforhold ved Energinet.dk’s kontrolcenter, alene med det
formål at vurdere tilstrækkeligheden af virksomhedernes beredskabsarbejde i forhold til deres
kritikalitet for det samlede el-system.
Tilsynsarbejdet skal adskilles fra Energinet.dk’s overordnede koordinerende opgaver i
beredskabssituationer. Disse overordnede, koordinerende opgaver forudsætter ligeledes et kendskab
til de enkelte virksomheders it-beredskab, dettes omfang og kvalitet samt det indbyrdes samspil
mellem de forskellige virksomheders beredskab. Såfremt Energinet.dk varetager opgaven som
tilsynsmyndighed, og derved varetager både de overordnede koordinerende beredskabsopgaver efter
§ 85b stk. 2 og tilsynet med virksomhedernes beredskabsarbejde, skal Energinet.dk tilsikre, at
virksomhederne oplyses om, hvilke informationer der anvendes i tilsynsøjemed. Energistyrelsen
pålægges at føre tilsyn med Energinet.dk’s arbejde med at sikre beskyttelse af egne
forsyningskritiske it-systemer og varetagelse af de overordnede koordinerende opgaver i
beredskabssituationer. Energistyrelsen pålægges endvidere at føre tilsyn med Energinet.dk’s tilsyn
med virksomhedernes it-beredskabsarbejde, såfremt Energinet.dk varetager tilsynet over for
virksomhederne.
Til nr. 2
Det foreslås at indsætte en ny § 85 d.
I Efter
stk. 1
Bevillingspligtige virksomheder, efter §§ 10 og 19, Energinet.dk og dennes helejede
datterselskaber og virksomheder, der yder balanceringsydelser af elsystemet, skal opretholde et it-
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0025.png
beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af
kritiske it-systemer af betydning for elforsyningen.
Den foreslåede ordning indebærer en pligt for de omfattede virksomheder til at foretage en rettidig
it-beredskabsplanlægning, således at nedbrud, fejl eller angreb i virksomhedens it-systemer ikke
afstedkommer forsyningsnedbrud.
Bestemmelsen omfatter Energinet.dk og dennes helejede datterselskaber, hvis definitionen er
nærmere beskrevet i lov om Energinet.dk. Endvidere omfatter bestemmelsen bevillingspligtige
virksomheder: Disse virksomheder er produktionsvirksomheder med en produktionskapacitet på
over 25 MW og netvirksomheder, som er nærmere defineret i §§ 10 og 19. Disse typer af
virksomheder har også været omfattet af den almindelige beredskabsbestemmelse i
elforsyningslovens § 85 b.
Bestemmelsen omfatter endvidere virksomheder, der efter aftale med Energinet.dk formidler
balanceydelser til elsystemet, således at der bevares en balance mellem elforbruget og
elproduktionen. Disse balanceansvarlige virksomheder har styring over fysiske anlæg, der kan
producere eller aftage elektricitet, hvorved virksomheden kan levere ydelser, der bidrager til
balanceringen af elsystemet. En balanceansvarlig virksomhed er en virksomhed, der på
markedsvilkår påtager sig ansvar for ubalancer mellem forbrug og produktion.
De nævnte virksomheder har forskellig indvirkning på den samlede elforsyning. Nogle
virksomheder foretager handler i afgrænsede geografiske områder, mens andre varetager specifikke
opgaver i det sammenhængende el-system.
For at begrænse virksomhedernes ressourceforbrug til efterlevelse af regler om it-beredskab, samt
begrænse ressourceforbruget i forbindelse med tilsyn ved såvel virksomhederne som
myndighederne forudsættes den fremtidig regulering i medfør af den foreslåede regel i § 85 d, stk. 6
at indeholde en opdeling af virksomhederne i tre nærmere definerede kategorier, og at der fastsættes
graduerede krav i forhold til denne inddeling. Se herom nedenfor.
Virksomheder kan drive it-systemer, der ikke anses for at være et kritisk it-system for den enkelte
virksomhed, men som kan have indflydelse på driften af kritiske it-systemer ved andre
virksomheder. Denne type it-systemer skal håndteres som kritiske it-systemer. Der kan endvidere
forekomme it-systemer, der styrer anlæg ved flere virksomheder, og disse it-systemer kan have
varieret kritikalitet for de enkelte virksomheder. Denne type it-systemer skal beskyttes ud fra en
vurdering af deres samlede betydning for det samlede elforsyningssystem.
Der er dog tilfælde, hvor it-systemer varetager styringen af centrale funktioner for forsyningen,
hvorfor nedbrud, angreb eller fejl i disse it-systemer ikke vil kunne undgå at påvirke elforsyningen.
Disse it-systemer betragtes som kritiske it-systemer, da de er kritiske for elforsyningen. Såfremt det
ikke er muligt at fjerne risikoen for forsyningsnedbrud som resultat af nedbrud, angreb eller fejl i
virksomhedens it-systemer, skal virksomheden beskytte disse kritiske it-systemer på en sådan måde,
at nedbrudsperioden begrænses. Beskyttelsen af kritiske it-systemer er ikke begrænset til en specifik
trusselstype eller et konkret risikoscenarie. Virksomhederne skal kunne udarbejde et trusselsbillede,
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0026.png
der indeholder både trusler mod virksomhedernes egne kritiske it-systemer og de it-systemer,
virksomheden er afhængig af. De kritiske it-systemer skal beskyttes mod enhver trussel, der kan
afstedkomme et nedbrud af it-systemet, hvorved at de styrings- og kontrolopgaver it-systemet
varetager forhindres eller forstyrres.
Virksomhederne skal træffe foranstaltninger, der anses for nødvendige for at begrænse risikoen for
forsyningsnedbrud som resultat af forstyrrelser i kritiske it-systemer. Nødvendige foranstaltninger
er i denne sammenhæng, alle tiltag der kan begrænse konsekvenserne ved eller risikoen for en
forstyrrelse. Disse foranstaltninger bør dog ikke potentielt kunne forøge risikoen eller omfanget af
skader på mandskab og materiel i forbindelse med den operative håndtering af forstyrrelser i
kritiske it-systemer.
Vurderingen af, hvilke foranstaltninger der skønnes nødvendige, beror på den enkelte virksomheds
forhold.
Ved vurdering af om en foranstaltning kan betragtes som nødvendig, forudsættes virksomhederne at
tillægge følgende forhold værdi efter prioriteret rækkefølge:
1. Foranstaltningen medfører ikke øget risiko for personskade.
2. Foranstaltningen medfører ikke øget risiko for materiel skade.
3. Foranstaltningen begrænser konsekvenserne og tidsrummet af forsyningsnedbrud.
4. Foranstaltningen begrænser ikke virksomhedens håndtering af andre beredskabssituationer
udløst af andre faktorer så som vejret, uheld eller fysiske angreb.
5. Foranstaltningen begrænser ikke virksomhedens øvrige drift.
6. Foranstaltningen er let at udføre, hvorfor operatører vil være mere tilbøjelige til at anvende
den i praksis.
7. Foranstaltningen medfører virksomheden begrænsede omkostninger ved planlægning.
8. Foranstaltningen medfører virksomheden begrænsede omkostninger ved iværksættelse.
Det forudsættes, at virksomhederne i forbindelse med denne vurdering inddrager relevante
medarbejdere med viden om konkrete forhold samt fagpersoner med erfaring og viden inden for det
specifikke område. Det forudsættes, at virksomhederne tilsikrer, at der løbende foregår en dialog
internt mellem relevante medarbejdere, således at evt. ændrede forhold i virksomhedens systemer
kan inddrages i vurderingen af, hvilke tiltag der er nødvendige for at sikre elforsyningen. Det
forudsættes, at der efter den foreslåede bestemmelse i § 85 d, stk. 5, udstedes regler, der stiller krav
om, at virksomhederne skal kunne godtgøre, at disse forhold har været inddraget i forbindelse med
vurderingen.
Som eksempel på en nødvendig foranstaltning, som antages at være relevant i næsten alle
virksomheder, kan nævnes en procedure for at såvel it-systemer som personer kan få adgang til
virksomhedens kritiske it-systemer. Det er dog ikke sikkert, at en virksomhed, som ikke har
flerbrugeradgang til egne kritiske it-systemer, vil vurdere, at det er nødvendigt at have et
automatiseret system, der varetager logning af brugerdata og styringsdata.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0027.png
Det foreslås i
stk. 2,
som er en ny bestemmelse, at energi-, forsynings- og klimaministeren kan
påbyde en virksomhed omfattet af stk. 1, at foretage en it-revision af forsyningskritiske it-systemer,
såfremt den pågældende virksomhed ikke opfylder et påbud udstedt af energi-, forsynings- og
klimaministeren efter § 85 c.
Såfremt det i forbindelse med tilsyn konstateres, at den pågældende virksomhed ikke opfylder
kravet i den foreslåede § 85 d, stk. 1, om at opretholde et it-beredskab, og ikke har truffet de
nødvendige foranstaltninger, vil ministeren kunne udnytte den eksisterende hjemmel til at udstede
et påbud efter § 85 c, stk. 1, hvorefter energi-, forsynings- og klimaministeren kan påbyde, at
forhold, der strider mod loven, mod regler eller afgørelser i medfør af loven, bringes i orden straks
eller inden en nærmere angiven frist.
Opfylder den pågældende virksomhed ikke det meddelte påbud, jf. elforsyningslovens § 85 c, stk. 1,
kan ministeren med den foreslåede ændring i stk. 2 kunne påbyde den pågældende virksomhed, at
den får foretaget en it-revision af forsyningskritiske it-systemer.
Bestemmelsen har til formål at sikre kortlægningen af den pågældende virksomheds it-systemer,
herunder sikkerhedsforhold, med henblik på at tilvejebringe et tilstrækkeligt sikkert og relevant it-
beredskab. Energi-, forsynings- og klimaministeren fastsætter i medfør af den foreslåede ændring i
§ 85 d, stk. 5, regler om krav til indholdet af it-revisionen, herunder krav om at it-revisionen skal
indeholde anbefalinger.
Den foreslåede ændring må forventes at få den konsekvens, at beslutninger om virksomhedens it-
beredskab sker på det bedst mulige faglige grundlag.
Omkostninger forbundet med it-revisionen afholdes af den pågældende virksomhed. Ved uafhængig
revisor forstås en revisor, som ikke er eller har været virksomhedens sædvanlige revisor og hverken
har eller i perioden, som it-revisionen vedrører, har haft andre opgaver for virksomheden.
Det foreslås i
stk. 3,
som er en ny bestemmelse, at energi-, forsynings- og klimaministeren kan
påbyde virksomheder at gennemføre tiltag på baggrund af it-revisionen efter stk. 2, der skønnes
nødvendige for at overholde stk. 1 og derved tilsikre opretholdelse af en sikker elforsyning.
Overholdelsen af stk. 1 er så væsentlig for opretholdelsen af en sikker elforsyning, at
virksomhederne til enhver tid skal overholde disse regler. Der henvises i øvrigt til de almindelige
bemærkninger om sanktion og påbud i afsnit 3.3 og ovenfor om vurderingen af nødvendige
foranstaltninger.
Det foreslås i
stk. 4,
at oplysninger, herunder vurderinger, planer og data, vedrørende
sikkerhedsforhold for forsyningskritiske it-systemer i virksomheder omfattet at stk. 1 er fortrolige,
hvis oplysningerne er væsentlige af hensyn beskyttelse af driften af virksomheden eller det
sammenhængende el-system.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0028.png
Den foreslåede bestemmelse indebærer, at oplysninger, herunder vurderinger, planer eller data skal
holdes fortrolige af hensyn til virksomhedens egen sikkerhed og forsyningssikkerheden på lokalt,
regionalt eller samfundsniveau.
Bestemmelsen har til formål at modvirke, at oplysninger anvendes til at forvolde skade på den
enkelte virksomheds forsyningskritiske it-systemer eller det samlede elforsyningssystem.
Ved vurderinger forstås i denne bestemmelse beskrivelser af konkrete sårbarheder eller scenarier,
der kan afstedkomme en krisesituation eller et it-angreb. Vurderinger henviser både til
virksomhedens egne vurderinger af egne systemer samt vurderinger af det samlede el-systems
sårbarheder.
Ved planer forstås i denne bestemmelse beskrivelser af procedure, handlinger eller foranstaltninger,
der skal forhindre eller forebygge en krisesituation eller et it-angreb. Planer henviser både til it-
beredskabsplaner og underliggende procedurer.
Ved data forstås i denne bestemmelse følsomme informationer bl.a. data om systemets drift,
adgange eller brugerstyring. Disse data beskriver forsyningskritiske it-systemets opsætning og
adgangsstyring.
Stk. 4 vedrører alene informationer af følsom karakter, der kan anvendes til at forvolde skade på
den enkelte virksomheds forsyningskritiske it-systemer eller den samlede elforsyning.
Elforsyningsloven §§ 84, stk. 8 og 84 a, stk. 1, regulerer til en vis grad virksomhedernes
behandling af fortrolige oplysninger. Disse bestemmelser er dog målrettet kommercielt følsomme
oplysninger. Formålet med disse bestemmelser er at tilsikre, at virksomheder ikke må videregive
kommercielt følsomme oplysninger til andre med det resultat, at et andet selskab får
konkurrencemæssige fordele i forhold til øvrige selskaber. Det er ikke hensigten med stk. 5, at sikre
kommercielt følsomme oplysninger, men hensigten at sikre, at virksomheder ikke videregiver
oplysninger, der kan være med til at bringe elforsyningen i fare.
Bestemmelsen i stk. 4 regulerer ikke oplysninger som energi-, forsyning- og klimaministeren,
herunder Energistyrelsen, modtager f.eks. i forbindelse med tilsyn. Oplysninger der ved tilsyn eller
på anden vis kommer energi-, forsyning- og klimaministeren i hænde, vil være reguleret af
forvaltningsloven § 27, stk. 2, der tilsikrer tavshedspligt inden for den offentlige forvaltning, og at
oplysninger, der er af væsentlig betydning for statens sikkerhed eller rigets forsvar, ikke må
videregives. Oplysninger, der kommer energi-, forsynings- og klimaministeren i hænde, vil være
omfattet af reglerne om aktindsigt i henhold til lov om offentlighed i forvaltningen, samt lov om
aktindsigt i miljøoplysninger i de tilfælde, hvor det skønnes, at oplysningerne vedrører
miljøoplysninger efter definitionen i miljøoplysningsloven § 3.
Det foreslås i
stk. 5,
som er ny bestemmelse, at energi-, forsynings- og klimaministeren fastsætter
regler for det it-beredskab, som virksomheder omfattet af stk. 1, skal opretholde.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0029.png
Den foreslåede ordning indebærer, at energi-, forsynings- og klimaministeren får pligt til at
fastsætte regler for en række områder af betydning for it-beredskabet.
Som en følge af den produktionsmæssige, informationsteknologiske udvikling anses det for
hensigtsmæssigt, at ministeren får pligt til at udstede regler i bekendtgørelsesform for at kunne
tilpasse kravene til it-beredskabet i elforsyningen løbende.
Ministeren forudsættes i forbindelse med udmøntning af forpligtelsen til at udstede regler at
fastsætte krav til virksomhederne, som følger den teknologiske og kommercielle udvikling i
sektoren, således at kravene kan anses for nødvendige, egnede og forholdsmæssige i forhold til
behovet for beskyttelse af kritiske de it-systemer.
Det forudsættes endvidere, at reglerne om it-beredskab, der vedrører fagudtryk og referencer
indenfor såvel det it-tekniske område som det beredskabsfaglige område, indeholder nærmere
definitioner og præcisering af faglige begreber og termer.
Energi-, forsynings- og klimaministeren forudsættes ligeledes at fastsætte regler, der graduerer
kravene til virksomhederne på baggrund af deres kritikalitet, således at virksomheder, der anses for
kritiske for den nationale elforsyning og det samlede elforsyningssystem stilles skærpede krav i
forhold til virksomheder, der kun anses for kritiske for den lokale elforsyning. Reglerne for
virksomhederne forudsættes gradueret på baggrund af følgende kriterier:
Virksomheder af kritisk betydning for den nationale elforsyning i de sammenhængende el-systemer
eller væsentlige dele af disse i de to synkronområder DK-1 og DK-2 er:
-
Virksomheder ansvarlige for driften af et eller flere produktionsanlæg, med en effekt, der
overstiger den effekt det pågældende synkronområde kan miste momentant, uden at det
medfører forsyningsvigt.
Virksomheder, der udøver styring af et eller flere fleksible forbrugsanlæg med en
tilsvarende forbrug.
Virksomheder der udøver styring af distributions- eller transmissionsnet, der har betydning
for driften af det sammenfattede system eller leverer el til 250.000 forbrugere eller mere.
-
-
Virksomheder af kritisk betydning for den regionale elforsyning er:
-
Virksomheder som er ansvarlige for driften af et eller flere produktionsanlæg med en effekt,
der ikke overstiger den effekt det pågældende synkronområde kan miste momentant, uden at
det medfører forsyningsvigt, dog med mulig betydning for det sammenhængende systems
drift. Virksomheder, der udøver styring af et eller flere fleksible forbrugsanlæg med et
tilsvarende forbrug.
Virksomheder der udøver styring af distributionsnet, der leverer el til mindre end 250.000
forbrugere.
-
Virksomheder af kritisk betydning for den regionale elforsyning er:
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0030.png
-
-
Virksomheder ansvarlige for driften af et eller flere produktionsanlæg, med en samlet effekt
uden betydning for det sammenhængende system. Virksomheder, der udøver styring af et
eller flere fleksible forbrugsanlæg med et tilsvarende forbrug.
Virksomheder der udøver styring af distributionsnet, der leverer el til ganske få forbrugere.
Den foreslåede bestemmelse i
stk. 5, nr. 1,
indebærer nærmere, at at ministeren fastsætter regler om
organisering af virksomhedens it-beredskab og evne til at modtage advarsler om trusler mod it-
sikkerheden. Bemyndigelsen forudsættes udmøntet ved at udstede regler, der mere detaljeret
beskriver krav til den organisatoriske sammenhæng mellem beredskabsarbejdet og it-beredskabet,
herunder forpligtige virksomhederne til at etablere en entydig ansvarsfordeling mellem ledelsen og
de faglige kompetencer i organisationen, således at virksomheden kan udarbejde et komplet
risikobillede.
Den foreslåede bestemmelse i
stk. 5, nr. 2,
indebærer nærmere, at ministeren udsteder regler om
planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke trusler mod it-
sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til Energinet.dk og
relevante myndigheder.
Bestemmelsen forudsættes således udnyttet ved, at energi-, forsynings- og klimaministeren
fastsætter krav til virksomhedernes evne til at modtage samt videreformidle varsler om akutte eller
generelle trusler mod it-sikkerheden. Disse krav skal pålægge virksomhederne ansvaret for
beskyttelsen af egne forsyningskritiske it-systemer, men samtidig forpligte alle virksomheder til at
formidle disse oplysninger til myndighederne og Energinet.dk, således at disse oplysninger kan
bidrage til den samlede beskyttelse af el- og naturgassektorerne og samfundets forsyning. Det
forudsættes endvidere, at der fastsættes krav om, at oplysninger skal videregives til Energinet.dk
med det formål at give Energinet.dk mulighed for at udarbejde risiko- og sårbarhedsvurderinger
samt beredskabsplaner for de samlede sektorer. Samtidig skal de videregivne oplysninger give
Energinet.dk, tilsynsmyndigheden og Energistyrelsen et indblik i sikkerheden vedrørende kritiske
it-systemer for sektoren. Der kan endvidere være andre myndigheder, der af hensyn til den nationale
sikkerhed eller på baggrund af forpligtigelser overfor allierede eller det europæiske samarbejde,
skal informeres om akutte trusler eller konkrete risici. Energi- forsynings- og klimaministeren
fastsætter nærmere regler for viderebringes af denne type information.
Den foreslåede bestemmelse i
stk. 5, nr. 3,
indebærer nærmere, at ministeren fastsætter regler om
virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i risikovurderinger.
Bestemmelsen forudsættes udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter
specifikke regler om indholdet i virksomhedernes relevante lokale risikostyring. Denne lokale
risikostyring begrænses ikke til enkelte trusler eller andres erfaringer, men tager udgangspunkt i
virksomhedens egne forhold. Det skal samtidig være muligt for virksomhederne, at begrænse deres
ressourceforbrug på denne opgave, såfremt det findes forsvarligt. Dette kan gøres ved
virksomheder, der deler it-systemer eller virksomheder, der af andre årsager deler risikobillede, kan
indgå aftaler om at samordne deres it-beredskab. Dette skal dog godkendes af tilsynsmyndigheden.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0031.png
Den lokale risikostyring ved virksomhederne er central for en effektiv beskyttelse af it-systemerne.
Det er derfor hensigten, at bestemmelsen skal give energi-, forsynings- og klimaministeren hjemmel
til at fastsætte krav til denne risikostyring og beredskabsplanlægning, således at der kan opnås en
hyppighed og detaljeringsgrad af disse risikovurderinger, der modsvarer det generelle
trusselsbillede. Det er endvidere hensigten, at der udstedes regler om, at virksomhederne kan
pålægges at udarbejde risikovurderinger af specifikke trusler inden for 3 måneder. Virksomhederne
skal løbende vurdere, om der er behov for yderligere risikovurderinger. Virksomhederne forventes
pålagt at udarbejde risikovurderinger med en hyppighed og detaljeringsgrad, der følger deres
kritikalitet for det samlede el- eller naturgassystem.
Det forventes ikke, at virksomhederne vil blive pålagt at foretage risikovurderinger af samtlige
trusler oftere end hver sjette måned. Det forventes, at hyppigheden af risikovurderinger vil følge
området og truslernes teknologiske udvikling.
Virksomhedernes trussels- og risikokendskab samt virksomhedernes evne til at reagere på disse er
en forudsætning for en fyldestgørende risikostyring af egne it-systemer.
Virksomhedernes risikostyring skal inddrage alle væsentlige risici, herunder også risici, der er afledt
af samarbejde med tredjeparter, der har adgang til virksomhedens it-systemer.
Den foreslåede bestemmelse i
stk. 5, nr. 3,
indebærer, at ministeren skal udstede regler om
tilmelding til en tjeneste, der yder varsler og informationer om it-sikkerhedstrusler.
Denne bestemmelse forudsættes udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter
krav til indholdet af de aftaler, de enkelte virksomheder indgår med en varslingstjeneste. Disse krav
kan pålægge tjenester at videreformidle informationer til Energinet.dk eller andre virksomheder i el-
og naturgassektorerne. Dette krav har til hensigt at forhindre, at en virksomhed eller Energinet.dk
ikke kan videreformidle informationer af betydning for sikkerheden ved andre virksomheder i el-
eller naturgassektoren af hensyn til ophavsret eller en aftalebegrænsning. Kravene kan endvidere
beskrive, under hvilke vilkår kontrakter mellem virksomheder og varslingstjenester kan godkendes,
således at energi-, forsynings- og klimaministeren kan fastsætte procedure for godkendelse, der
sikrer en ensartet og fagligt forsvarlig kontraktindgåelse under hensyn til markedets udvikling.
Det er hensigten med bestemmelsen at sikre et minimumsniveau for de kommercielle
varslingstjenester ved at pålægge energi-, forsynings- og klimaministeren at fastsætte nærmere krav,
der pålægger, at alle virksomheder tilmeldes en kommerciel sikkerhedstjeneste, der leverer
informationer om relevante trusler og risici mod it-sikkerheden. En sådan proaktiv tjeneste vil
bidrage til virksomhedernes interne it-sikkerhedsprocesser. Det er endvidere hensigten at give
energi-, forsynings- og klimaministeren hjemmel til at fastsætte graduerede krav til selvsamme
tjenestes reaktive ydelser, således at virksomheder, der ejer it-systemer af betydning for el- og
naturgasforsyningen regionalt eller nationalt, kan pålægges at skulle være tilmeldt en kommerciel
tjeneste, der kan reagere på akutte trusler mod virksomhedens it-systemer og assistere
virksomheden i forbindelse med en håndtering af en trussel eller genopretning af it-systemer og
opklaring af sårbarheder efter et nedbrud eller it-angreb.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0032.png
En effektiv anvendelse af en sådan reaktiv tjeneste kræver, at virksomhederne stiller de fornødne
ressourcer til rådighed til såvel direkte omkostninger til tjenesten som indirekte omkostninger
forbundet med en hyppig dialog om sårbarheder og systemdrift mellem virksomheden og tjenesten.
Det er hensigten, at disse omkostninger afholdes af virksomhederne, dog kan netvirksomheder
ansøge om at forhøje indtægtsrammen på baggrund af konkrete omkostninger afledt af denne lov.
Den foreslåede bestemmelse i
stk. 5, nr. 5,
indebærer, at ministeren udsteder regler om
Energinet.dk’s varetagelse af overordnede, koordinerende planlægningsmæssige og operative
opgaver vedrørende det beredskab, som er nævnt i stk. 1.
Bestemmelsen forudsættes udnyttet ved, at ministeren udsteder regler om, at Enerignet.dk kan tilgå
relevante informationer og skabe det fornødne overblik i akutte beredskabssituationer. I denne
sammenhæng kan der udstedes regler om, hvilke oplysninger og materiale i øvrigt virksomhederne
skal stille til rådighed for Energinet.dk, og herunder bemyndige Energinet.dk til at forlange dette
materiale udfyldt i et specifikt format.
Det forventes, at ministeren udsteder regler, hvorefter Energinet.dk pålægges som en del af det
overordnede koordinerende arbejde at bidrage til udarbejdelsen af sektorspecifikke
trusselsvurderinger i samarbejde med Center for Cybersikkerhed. Denne opgave kræver, at
Energinet.dk stiller kompetente ressourcer til rådighed for trusselsvurderingsenheden ved Center for
Cybersikkerhed. Energi-, forsynings- og klimaministeren kan fastsætte nærmere regler for dette
samarbejde samt vejlede Energinet.dk i varetagelse af denne opgave.
Virksomhedernes indblik i egne it-systemer og erkendelse af anormaliteter kan være af afgørende
betydning for andre virksomheders, Energinet.dk’s og det samlede el- og naturgassystems evne til
at begrænse eller forhindre skader ved et it-angreb. Det er derfor vigtigt, at virksomhederne øver og
evaluerer hændelser. Dertil kommer, at virksomhederne skal formidle såvel øvelseserfaringer og
erfaringer efter hændelser, der har aktiveret it-beredskabsplanen i væsentligt omfang til
Energinet.dk samt andre virksomheder. Energi-, forsynings- og klimaministeren kan fastsætte
nærmere regler herom.
Den foreslåede bestemmelse i
stk. 5, nr. 6
indebærer, at ministeren udsteder regler om krav til
indholdet og planlægningen af en it-revision ved en uafhængig revisor, jf. den foreslåede § 85 d,
stk. 3. Bestemmelsen forudsættes udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter
regler om gennemførelsen og afrapporteringen af en it-revision jf. stk. 3. herunder at it-revisionen
kan indeholde en række anbefalinger fremsat af revisoren, der opstiller tiltag som den pågældende
virksomhed efter revisorens faglige vurdering skal bringe i orden for at overholde stk. 1.
På baggrund af krav til indholdet af it-revisorens rapport kan tilsynsmyndigheden sikre en faglig
kvalitet i it-revisionen, hvorved tilsynsmyndighedens afgørelser kan underbygges med konkret
faglig indsigt.
Bestemmelsen pålægger endvidere energi-, forsynings- og klimaministeren at fastsætte regler om,
hvorledes en it-revision efter stk. 3. planlægges. Det er hensigten, at der derved kan fastsættes
minimumskrav til en it-revision eller fastsættes krav om godkendelse af specifikke it-revisorer.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0033.png
Den teknologiske udvikling på dette område gør, at der er behov for en vis fleksibilitet for, at
energi-, forsynings- og klimaministeren kan fastsætte regler for indholdet af it-revisionen og
løbende kunne ændre kriterier for udvælgelse og rapportering.
Stk.
6, som
er en ny bestemmelse, forudsættes udnyttet ved, at energi-, forsynings- og
klimaministeren pålægger enten Energinet.dk, Energistyrelsen eller anden egnet myndighed at føre
tilsyn med virksomhedernes overholdelse af reglerne fastsat i stk. 1 og 5. Energi-, forsynings- og
klimaministeren kan fastsætte tilsynsforholdene efter en vurdering af, hvilken institution der findes
mest egnet til at føre tilsyn efter stk. 6. Energistyrelsen fører tilsyn med den udpegede
tilsynsmyndighed, men mindre Energistyrelsen selv varetager tilsynet med virksomhederne, da
pålægges Energi-, Forsynings- og Klimaministeriets departement at føre tilsyn med Energistyrelsen.
Vurdering af hvilken institution, der skal føre tilsyn med virksomhederne skal omfatte såvel
økonomiske som organisatoriske forhold af betydning, herunder skal følgende forhold som
minimum vurderes:
1. Energistyrelsens tilsyn med Energinet.dk, herunder Energistyrelsens mulighed for at føre
tilsyn med tilsynsførelsen overfor virksomhederne.
2. Virksomhedernes samarbejde med Energinet.dk i såvel beredskabssituationer som i
forbindelse med planlægning af beredskabsarbejdet.
3. Energinet.dk’s it-beredskabsarbejde internt.
4. Sammenhæng og synergi med andre opgaver indenfor beredskabet.
Disse forhold er afhængige af mange faktorer, herunder de mulige truslers karakter, de økonomiske
rammer for Energinet.dk, Energinet.dk’s handler med balancevirksomheder, udviklingen af
markedet for it-serviceydelser og sektorernes øvrige regulering. Ved at kunne ændre på fordelingen
af tilsynsopgaver ved Energinet.dk og Energistyrelsen skal energi-, forsynings- og klimaministeren
sikre, at tilsynsopgaven pålægges den institution, der efter ovennævnte forhold har de bedste vilkår
for at føre tilsynet med virksomhedernes efterlevelse af disse regler.
Tilsynet med virksomhederne kan tilpasses til virksomhedernes kritikalitet for den samlede
elforsyning. Tilsynsmyndigheden skal gennemføre tilsynsbesøg årligt ved virksomheder, der
varetager kritiske systemer, mens tilsynet ved de resterende virksomheder kan begrænses til
treårlige tilsynsbesøg suppleret af løbende underretninger og skriftlig kommunikation om ændringer
af beredskabsplaner og risikoundersøgelser.
Tilsynsmyndigheden skal dokumentere de gennemførte tilsyn, og virksomhederne skal have
mulighed for at kommentere tilsynsmyndighedens tilsynsdokumentation.
Tilsynet med virksomhedernes beredskabsarbejde forudsætter fremskaffelse af oplysninger fra
virksomhederne, bl.a. risiko- og sårbarhedsvurderinger samt beredskabsplaner, procedurer m.m.,
som er udarbejdet på grundlag af disse risiko- og sårbarhedsvurderinger. Vurdering af dette
materiale forudsætter faglig viden om driftsforholdene i de forskellige former for virksomhed inden
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0034.png
for elsektoren. Tilsynsmyndigheden kan indhente oplysninger om aktuelle og historiske
driftsforhold ved Energinet.dk’s kontrolcenter, alene med det formål at vurdere tilstrækkeligheden
af virksomhedernes beredskabsarbejde i forhold til deres kritikalitet for det samlede el-system.
Tilsynsarbejdet skal adskilles fra Energinet.dk’s overordnede koordinerende opgaver i
beredskabssituationer. Disse overordnede, koordinerende opgaver forudsætter ligeledes et kendskab
til de enkelte virksomheders it-beredskab, dettes omfang og kvalitet samt det indbyrdes samspil
mellem de forskellige virksomheders beredskab. Såfremt Energinet.dk varetager opgaven som
tilsynsmyndighed, og derved varetager både de overordnede koordinerende beredskabsopgaver efter
§ 85b stk. 2 og tilsyn efter denne bestemmelse, skal Energinet.dk tilsikre, at virksomhederne
oplyses om, hvilke informationer der anvendes i tilsynsøjemed. Energistyrelsen pålægges at føre
tilsyn med Energinet.dk’s arbejde med at sikre beskyttelse af egne forsyningskritiske it-systemer,
varetage de overordnede koordinerende opgaver i beredskabssituationer. Dette tilsyn kan
tilrettelægges nærmere efter anvendelse af bestemmelser i anden lov, herunder kan Energistyrelsen
pålægge Energinet.dk konkrete tiltag. Energistyrelsen pålægges endvidere at føre tilsyn med
Energinet.dk’s tilsyn med virksomhedernes it-beredskabsarbejde i det tilfælde, at Energinet.dk
varetager opgaverne som tilsynsmyndighed over for virksomhederne.
Til nr. 3
Den gældende § 51, stk. 2, indebærer, at der kan opkræves gebyr for Energistyrelsens tilsyn med
bevillingshavere samt Energinet.dk og denne virksomheds helejede datterselskaber, herunder bl.a.
for klagesagsbehandling.
Det foreslås, at § 51, stk. 2, ændres, således at der skabes hjemmel til, at myndigheders tilsyn med
it-beredskabsopgaver efter den foreslåede § 85 d, stk. 2, kan gebyrfinansieres.
Den foreslåede ordning indebærer, at bestemmelsen ændres, så det klart fremgår af bestemmelsen,
at der kan kræves gebyr for tilsyn med beredskabsopgaver efter § 85 d, stk. 6. Herudover ændres
bestemmelsen, så virksomheder, der yder balanceringsydelser, og som bliver omfattet af krav efter
den foreslåede ændring af § 85 d, stk. 1, om opretholdelse af et it-beredskab, kan opkræves gebyr i
forbindelse med myndigheders tilsyn.
Formålet med ændringen er at sikre finansieringen af den nye tilsynsopgave, som foreslås i § 85 d.
Ændringen betyder, at de kollektive elforsyningsvirksomheder skal betale for de timer, som
Energistyrelsen anvender til at føre tilsyn med virksomhederne til en tilsynssats, som vil blive
fastsat ved bekendtgørelse. Den foreslåede ændring har ikke til hensigt at begrænse
anvendelsesområdet for den gældende § 51, stk. 2.
Til § 2
Til nr. 2
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0035.png
Til § 1
Nr. 1. Det fremgår af lovforslagets § 2, at § 85 b stk. 4 i lov on naturgasforsyning slettes. Herved
forudsættes, at bestemmelser i § 30 i lov om naturgasforsyning vedrørende tilsyn anvendes. Denne
lovændring har til formål at fastsætte ensartede rammer for tilsynet med beredskab og it-
beredskabet. Disse rammer vurderes bedst defineret i bestemmelserne i § 30 i lov om elforsyning.
Denne lovændring pålægger energi-, forsynings- og klimaministeren at fastsætte regler for tilsynet i
medfør af § 15 a. Det er hensigten, at energi-, forsynings- og klimaministeren kan fastsætte regler,
der pålægger enten Energinet.dk, Energistyrelsen eller anden egnet myndighed at føre tilsyn med
virksomhedernes overholdelse af reglerne fastsat i medfør af § 15. Energi-, forsynings- og
klimaministeren kan tillægge en relevant myndighed tilsynsopgave efter en vurdering af, hvilken
institution der findes mest egnet til at løse tilsynsførelsen. Energistyrelsen fører tilsyn med den
udpegede tilsynsmyndighed, men mindre Energistyrelsen selv varetager tilsynet med
virksomhederne, da pålægges Energi-, Forsynings- og Klimaministeriets departement at føre tilsyn
med Energistyrelsen.
Vurdering af hvilken institution, der skal føre tilsyn med virksomhederne skal omfatte såvel
økonomiske som organisatoriske forhold af betydning, herunder skal følgende forhold som
minimum vurderes:
1. Energistyrelsens tilsyn med Energinet.dk, herunder Energistyrelsens mulighed for at føre
tilsyn med tilsynsførelsen overfor virksomhederne.
2. Virksomhedernes samarbejde med Energinet.dk i såvel beredskabssituationer som i
forbindelse med planlægning af beredskabsarbejdet.
3. Energinet.dk’s it-beredskabsarbejde internt.
4. Sammenhæng og synergi med andre opgaver indenfor beredskabet.
Disse forhold er afhængige af mange faktorer, herunder de mulige truslers karakter, de økonomiske
rammer for Energinet.dk, Energinet.dk’s handler med balancevirksomheder, udviklingen af
markedet for it-serviceydelser og sektorernes øvrige regulering. Ved at kunne ændre på fordelingen
af tilsynsopgaver ved Energinet.dk og Energistyrelsen skal energi-, forsynings- og klimaministeren
sikre, at tilsynsopgaven pålægges den institution, der efter ovennævnte forhold har de bedste vilkår
for at føre tilsynet med virksomhedernes efterlevelse af disse regler.
Tilsynet med virksomhederne kan tilpasses til virksomhedernes kritikalitet for den samlede
elforsyning. Tilsynsmyndigheden skal gennemføre tilsynsbesøg årligt ved virksomheder, der
varetager kritiske systemer, mens tilsynet ved de resterende virksomheder kan begrænses til
treårlige tilsynsbesøg suppleret af løbende underretninger og skriftlig kommunikation om ændringer
af beredskabsplaner og risikoundersøgelser.
Tilsynsmyndigheden skal dokumentere de gennemførte tilsyn, og virksomhederne skal have
mulighed for at kommentere tilsynsmyndighedens tilsynsdokumentation.
Tilsynet med virksomhedernes beredskabsarbejde forudsætter, at virksomhederne meddeler
tilsynsmyndigheden relevante oplysninger bl.a. risiko- og sårbarhedsvurderinger samt
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0036.png
beredskabsplaner, procedurer m.m., som er udarbejdet på grundlag af disse risiko- og
sårbarhedsvurderinger. Vurdering af dette materiale forudsætter faglig viden om driftsforholdene i
de forskellige former for virksomhed inden for elsektoren. Tilsynsmyndigheden kan indhente
oplysninger om aktuelle og historiske driftsforhold ved Energinet.dk’s kontrolcenter, alene med det
formål at vurdere tilstrækkeligheden af virksomhedernes beredskabsarbejde i forhold til deres
kritikalitet for det samlede el-system.
Tilsynsarbejdet skal adskilles fra Energinet.dk’s overordnede koordinerende opgaver i
beredskabssituationer. Disse overordnede, koordinerende opgaver forudsætter ligeledes et kendskab
til de enkelte virksomheders it-beredskab, dettes omfang og kvalitet samt det indbyrdes samspil
mellem de forskellige virksomheders beredskab. Såfremt Energinet.dk varetager opgaven som
tilsynsmyndighed, og derved varetager både de overordnede koordinerende beredskabsopgaver efter
§ 15 a stk. 2 og tilsynet med virksomhedernes beredskabsarbejde, skal Energinet.dk tilsikre, at
virksomhederne oplyses om, hvilke informationer der anvendes i tilsynsøjemed. Energistyrelsen
pålægges at føre tilsyn med Energinet.dk’s arbejde med at sikre beskyttelse af egne
forsyningskritiske it-systemer og varetagelse af de overordnede koordinerende opgaver i
beredskabssituationer. Energistyrelsen pålægges endvidere at føre tilsyn med Energinet.dk’s tilsyn
med virksomhedernes it-beredskabsarbejde, såfremt Energinet.dk varetager tilsynet over for
virksomhederne.
Til nr. 2
Bevillingspligtige virksomheder, efter § 10 og Energinet.dk og dennes helejede datterselskaber, skal
opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre
beskyttelsen af kritiske it-systemer af betydning for naturgasforsyning.
Den foreslåede ordning indebærer en pligt for de omfattede virksomheder til at foretage en rettidig
it-beredskabsplanlægning, således at nedbrud, fejl eller angreb i virksomhedens it-systemer ikke
afstedkommer forsyningsnedbrud.
Bestemmelsen omfatter Energinet.dk og dennes helejede datterselskaber, hvis definition er nærmere
beskrevet i lov om Energinet.dk. Endvidere omfatter bestemmelsen bevillingspligtige virksomheder
efter § 10 i lov om naturgasforsyning. Disse virksomheder er ligeledes omfattet af det almene
beredskabsarbejde efter § 15 a i lov om naturgasforsyning.
For at begrænse virksomhedernes ressourceforbrug til efterlevelse af regler om it-beredskab, samt
begrænse ressourceforbruget i forbindelse med tilsyn ved såvel virksomhederne som
myndighederne forudsættes den fremtidig regulering i medfør af den foreslåede regel i § 85 d, stk. 6
at indeholde en opdeling af virksomhederne i tre nærmere definerede kategorier, og at der fastsættes
graduerede krav i forhold til denne inddeling. Se herom nedenfor.
Virksomheder kan drive it-systemer, der ikke anses for at være et kritisk it-system for den enkelte
virksomhed, men som kan have indflydelse på driften af kritiske it-systemer ved andre
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0037.png
virksomheder. Denne type it-systemer skal håndteres som kritiske it-systemer. Der kan endvidere
forekomme it-systemer, der styrer anlæg ved flere virksomheder, og disse it-systemer kan have
varieret kritikalitet for de enkelte virksomheder. Denne type it-systemer skal beskyttes ud fra en
vurdering af deres samlede betydning for det samlede naturgasforsyning.
Der er dog tilfælde, hvor it-systemer varetager styringen af centrale funktioner for forsyningen,
hvorfor nedbrud, angreb eller fejl i disse it-systemer ikke vil kunne undgå at påvirke
naturgasforsyningen. Disse it-systemer betragtes som kritiske it-systemer, da de er kritiske for
naturgasforsyningen. Såfremt det ikke er muligt at fjerne risikoen for forsyningsnedbrud som
resultat af nedbrud, angreb eller fejl i virksomhedens it-systemer, skal virksomheden beskytte disse
kritiske it-systemer på en sådan måde, at nedbrudsperioden begrænses. Beskyttelsen af kritiske it-
systemer er ikke begrænset til en specifik trusselstype eller et konkret risikoscenarie.
Virksomhederne skal kunne udarbejde et trusselsbillede, der indeholder både trusler mod
virksomhedernes egne kritiske it-systemer og de it-systemer, virksomheden er afhængig af. De
kritiske it-systemer skal beskyttes mod enhver trussel, der kan afstedkomme et nedbrud af it-
systemet, hvorved at de styrings- og kontrolopgaver it-systemet varetager forhindres eller forstyrres.
Virksomhederne skal træffe foranstaltninger, der anses for nødvendige for at begrænse risikoen for
forsyningsnedbrud som resultat af forstyrrelser i kritiske it-systemer. Nødvendige foranstaltninger
er i denne sammenhæng, alle tiltag der kan begrænse konsekvenserne ved eller risikoen for en
forstyrrelse. Disse foranstaltninger bør dog ikke potentielt kunne forøge risikoen eller omfanget af
skader på mandskab og materiel i forbindelse med den operative håndtering af forstyrrelser i
kritiske it-systemer.
Vurderingen af, hvilke foranstaltninger der skønnes nødvendige, beror på den enkelte virksomheds
forhold.
Ved vurdering af om en foranstaltning kan betragtes som nødvendig, forudsættes virksomhederne at
tillægge følgende forhold værdi efter prioriteret rækkefølge:
1. Foranstaltningen medfører ikke øget risiko for personskade.
2. Foranstaltningen medfører ikke øget risiko for materiel skade.
3. Foranstaltningen begrænser konsekvenserne og tidsrummet af forsyningsnedbrud.
4. Foranstaltningen begrænser ikke virksomhedens håndtering af andre beredskabssituationer
udløst af andre faktorer så som vejret, uheld eller fysiske angreb.
5. Foranstaltningen begrænser ikke virksomhedens øvrige drift.
6. Foranstaltningen er let at udføre, hvorfor operatører vil være mere tilbøjelige til at anvende
den i praksis.
7. Foranstaltningen medfører virksomheden begrænsede omkostninger ved planlægning.
8. Foranstaltningen medfører virksomheden begrænsede omkostninger ved iværksættelse.
Det forudsættes, at virksomhederne i forbindelse med denne vurdering inddrager relevante
medarbejdere med viden om konkrete forhold samt fagpersoner med erfaring og viden inden for det
specifikke område. Det forudsættes, at virksomhederne tilsikrer, at der løbende foregår en dialog
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0038.png
internt mellem relevante medarbejdere, således at evt. ændrede forhold i virksomhedens systemer
kan inddrages i vurderingen af, hvilke tiltag der er nødvendige for at sikre naturgasforsyningen. Det
forudsættes, at der efter den foreslåede bestemmelse i § 15 b, stk. 5, udstedes regler der stiller krav
om, at virksomhederne skal kunne godtgøre, at disse forhold har været inddraget i forbindelse med
vurderingen.
Som eksempel på en nødvendig foranstaltning, som antages at være relevant i næsten alle
virksomheder, kan nævnes en procedure for at såvel it-systemer som personer kan få adgang til
virksomhedens kritiske it-systemer. Det er dog ikke sikkert, at en virksomhed, som ikke har
flerbrugeradgang til egne kritiske it-systemer, vil vurdere, at det er nødvendigt at have et
automatiseret system, der varetager logning af brugerdata og styringsdata.
Det foreslås i
stk. 2,
som er en ny bestemmelse, at energi-, forsynings- og klimaministeren kan
påbyde en virksomhed omfattet af stk. 1, at foretage en it-revision af forsyningskritiske it-systemer,
såfremt den pågældende virksomhed ikke opfylder et påbud udstedt af energi-, forsynings- og
klimaministeren efter § 47 b.
Såfremt det i forbindelse med tilsyn konstateres, at den pågældende virksomhed ikke opfylder
kravet i den foreslåede § 15 b, stk. 1, om at opretholde et it-beredskab, og ikke har truffet de
nødvendige foranstaltninger vil ministeren kunne udnytte den eksisterende hjemmel til at udstede et
påbud efter § 47 b, stk. 1, hvorefter energi-, forsynings- og klimaministeren kan påbyde, at forhold,
der strider mod loven, mod regler eller afgørelser i medfør af loven, bringes i orden straks eller
inden en nærmere angiven frist.
Opfylder den pågældende virksomhed ikke det meddelte påbud, jf. naturgasforsyningsloven § 47 b,
stk. 1, kan ministeren med den foreslåede ændring i stk. 3 kunne påbyde den pågældende
virksomhed, at den får foretaget en it-revision af forsyningskritiske it-systemer.
Bestemmelsen har til formål at sikre kortlægningen af den pågældende virksomheds it-systemer,
herunder sikkerhedsforhold, med henblik på at tilvejebringe et tilstrækkeligt sikkert og relevant it-
beredskab. Energi-, forsynings- og klimaministeren fastsætter i medfør af den foreslåede ændring i
§ 15 b, stk. 6, regler om krav til indholdet af it-revisionen, herunder krav om at it-revisionen skal
indeholde anbefalinger.
Den foreslåede ændring må forventes at få den konsekvens, at beslutninger om virksomhedens it-
beredskab sker på det bedst mulige faglige grundlag.
Omkostninger forbundet med it-revisionen afholdes af den pågældende virksomhed. Ved uafhængig
revisor forstås en revisor, som ikke er eller har været virksomhedens sædvanlige revisor og hverken
har eller i perioden, som it-revisionen vedrører, har haft andre opgaver for virksomheden.
Det foreslås i
stk. 3,
som er en ny bestemmelse, at energi-, forsynings- og klimaministeren kan
påbyde virksomheder at gennemføre tiltag på baggrund af it-revisionen efter stk. 3, der skønnes
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0039.png
nødvendige for at overholde stk. 1 og derved tilsikre opretholdelse af en sikker naturgasforsyning.
Overholdelsen af stk. 1 er så væsentlig for opretholdelsen af en sikker naturgasforsyning, at
virksomhederne til enhver tid skal overholde disse regler. Der henvises i øvrigt til de almindelige
bemærkninger om sanktion og påbud i afsnit 3.3 og ovenfor om vurderingen af nødvendige
foranstaltninger.
Det foreslås i
stk. 4,
at oplysninger, herunder vurderinger, planer og data, vedrørende
sikkerhedsforhold for forsyningskritiske it-systemer i virksomheder omfattet af stk. 1 er fortrolige,
hvis oplysningerne er væsentlige af hensyn beskyttelse af driften af virksomheden eller det
sammenhængende naturgassystem.
Den foreslåede bestemmelse indebærer, at oplysninger, herunder vurderinger, planer eller data skal
holdes fortrolige af hensyn til virksomhedens egen sikkerhed og forsyningssikkerheden på lokalt,
regionalt eller samfundsniveau.
Bestemmelsen har til formål at modvirke, at oplysninger anvendes til at forvolde skade på den
enkelte virksomheds forsyningskritiske it-systemer eller det samlede naturgasforsyning.
Ved vurderinger forstås i denne bestemmelse beskrivelser af konkrete sårbarheder eller scenarier,
der kan afstedkomme en krisesituation eller et it-angreb. Vurderinger henviser både til
virksomhedens egne vurderinger af egne systemer samt vurderinger af det samlede naturgassystems
sårbarheder.
Ved planer forstås i denne bestemmelse beskrivelser af procedurer, handlinger eller
foranstaltninger, der skal forhindre eller forebygge en krisesituation eller et it-angreb. Planer
henviser både til it-beredskabsplaner og underliggende procedurer.
Ved data forstås i denne bestemmelse følsomme informationer bl.a. data om systemets drift,
adgange eller brugerstyring. Disse data beskriver forsyningskritiske it-systemets opsætning og
adgangsstyring.
Stk. 5. vedrører alene informationer af følsom karakter, der kan anvendes til at forvolde skade på
den enkelte virksomheds forsyningskritiske it-systemer eller den samlede naturgasforsyning.
Naturgasforsyningsloven § 46, regulerer til en vis grad virksomhedernes behandling af fortrolige
oplysninger. Disse bestemmelser er dog målrettet kommercielt følsomme oplysninger. Formålet
med disse bestemmelser er at tilsikre, at virksomheder ikke må videregive kommercielt følsomme
oplysninger til andre med det resultat, at et andet selskab får konkurrencemæssige fordele i forhold
til øvrige selskaber. Det er ikke hensigten med stk. 5, at sikre kommercielt følsomme oplysninger,
men hensigten at sikre, at virksomheder ikke videregiver oplysninger, der kan være med til at
bringe naturgasforsyningen i fare.
Bestemmelsen i stk. 4 regulerer ikke oplysninger som energi-, forsyning- og klimaministeren,
herunder Energistyrelsen, modtager f.eks. i forbindelse med tilsyn. Oplysninger der ved tilsyn eller
på anden vis kommer energi-, forsynings- og klimaministeren i hænde, vil være reguleret af
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0040.png
forvaltningsloven § 27, stk. 2, der tilsikrer tavshedspligt inden for den offentlige forvaltning, og at
oplysninger, der er af væsentlig betydning for statens sikkerhed eller rigets forsvar, ikke må
videregives. Oplysninger, der kommer energi-, forsynings- og klimaministeren i hænde, vil være
omfattet af reglerne om aktindsigt i henhold til lov om offentlighed i forvaltningen, samt lov om
aktindsigt i miljøoplysninger i de tilfælde, hvor det skønnes, at oplysningerne vedrører
miljøoplysninger efter definitionen i miljøoplysningsloven § 3.
Det foreslås i
stk. 5,
som er ny, at energi-, forsynings- og klimaministeren fastsætter regler for det
it-beredskab, som virksomheder omfattet af stk. 1, skal opretholde.
Den foreslåede ordning indebærer, at energi-, forsynings- og klimaministeren får pligt til at
fastsætte regler for en række områder af betydning for it-beredskabet.
Som en følge af den produktionsmæssige, informationsteknologiske udvikling anses det for
hensigtsmæssigt, at ministeren får pligt til at udstede regler i bekendtgørelsesform for at kunne
tilpasse kravene til it-beredskabet i naturgasforsyningen løbende.
Ministeren forudsættes i forbindelse med udmøntning af forpligtelsen til at udstede regler at
fastsætte krav til virksomhederne, som følger den teknologiske og kommercielle udvikling i
sektoren, således at kravene kan anses for nødvendige, egnede og forholdsmæssige i forhold til
behovet for beskyttelse af kritiske it-systemer.
Det forudsættes endvidere, at reglerne om it-beredskab, der vedrører fagudtryk og referencer
indenfor såvel det it-tekniske område som det beredskabsfaglige område, indeholder nærmere
definitioner og præcisering af faglige begreber og termer.
Energi-, forsynings- og klimaministeren forudsættes ligeledes at fastsætte regler, der graduerer
kravene til virksomhederne på baggrund af deres kritikalitet, således at virksomheder, der anses for
kritiske for den nationale naturgasforsyning stilles skærpede krav i forhold til virksomheder, der
kun anses for kritiske for den lokale naturgasforsyning. Reglerne for virksomhederne forudsættes
gradueret på baggrund af følgerende kriterier:
Virksomheder af kritisk betydning for den nationale naturgasforsyning er:
-
-
-
Virksomheder der leverer en mængde naturgas, der ved et forsyningsafbrud vil være kritisk
for det sammenhængende naturgassystem.
Virksomheder der driver naturgastransmissionsnettet.
Virksomheder der udøver styring af distributionsnet, der har betydning for leveringen af
naturgas til 250.000 forbrugere eller mere.
Virksomheder af kritisk betydning for den regionale naturgasforsyning er:
-
-
Virksomheder der leverer en mængde naturgas, der ved et forsyningsafbrud ikke vil være
kritisk for det sammenhængende naturgassystem.
Virksomheder der udøver styring af distributionsnet, der leverer naturgas til et større område
med mindre end 250.000 forbrugere.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0041.png
Virksomheder af kritisk betydning for den regionale naturgasforsyning er:
-
-
Virksomheder der leverer en naturgas uden betydning for det samlede system.
Virksomheder der udøver styring af distributionsnet, der leverer naturgas til ganske få
forbrugere.
Den foreslåede bestemmelse i
stk. 5, nr. 1,
indebærer nærmere, at ministeren fastsætter regler om
organisering af virksomhedens it-beredskab og evne til at modtage advarsler om trusler mod it-
sikkerheden. Bemyndigelsen forudsættes udmøntet ved at udstede regler, der mere detaljeret
beskriver krav til den organisatoriske sammenhæng mellem beredskabsarbejdet og it-beredskabet,
herunder forpligtiger virksomhederne til at etablere en entydig ansvarsfordeling mellem ledelsen og
de faglige kompetencer i organisationen, således at virksomheden kan udarbejde et komplet
risikobillede.
Den foreslåede bestemmelse i
stk. 5, nr. 2,
indebærer nærmere, at ministeren udsteder regler om
planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke trusler mod it-
sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til Energinet.dk og
relevante myndigheder.
Bestemmelsen forudsættes således udnyttet ved, at energi-, forsynings- og klimaministeren
fastsætter krav til virksomhedernes evne til at modtage samt videreformidle varsler om akutte eller
generelle trusler mod it-sikkerheden. Disse krav skal pålægge virksomhederne ansvaret for
beskyttelsen af egne forsyningskritiske it-systemer, men samtidig forpligte alle virksomheder til at
formidle disse oplysninger til myndighederne og Energinet.dk, således at disse oplysninger kan
bidrage til den samlede beskyttelse af el- og naturgassektorerne og samfundets forsyning. Det
forudsættes endvidere, at der fastsættes krav om, at oplysninger skal videregives til Energinet.dk
med det formål at give Energinet.dk mulighed for at udarbejde risiko- og sårbarhedsvurderinger
samt beredskabsplaner for de samlede sektorer. Samtidig skal de videregivne oplysninger give
Energinet.dk, tilsynsmyndigheden og Energistyrelsen et indblik i sikkerheden vedrørende kritiske
it-systemer for sektoren. Der kan endvidere være andre myndigheder, der af hensyn til den nationale
sikkerhed eller på baggrund af forpligtigelser overfor allierede eller det europæiske samarbejde,
skal informeres om akutte trusler eller konkrete risici. Energi- forsynings- og klimaministeren
fastsætter nærmere regler for viderebringes af denne type information.
Den foreslåede bestemmelse i
stk. 5, nr. 3,
indebærer nærmere, at ministeren fastsætter regler om
virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i risikovurderinger.
Bestemmelsen forudsættes udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter
specifikke regler om indholdet i virksomhedernes relevante lokale risikostyring. Denne lokale
risikostyring begrænses ikke til enkelte trusler eller andres erfaringer, men tager udgangspunkt i
virksomhedens egne forhold. Det skal samtidig være muligt for virksomhederne at begrænse deres
ressourceforbrug på denne opgave, såfremt det findes forsvarligt. Dette kan gøres ved, at
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0042.png
virksomheder, der deler it-systemer eller virksomheder, der af andre årsager deler risikobillede, kan
indgå aftaler om at samordne deres it-beredskab. Dette skal dog godkendes af tilsynsmyndigheden.
Den lokale risikostyring ved virksomhederne er central for en effektiv beskyttelse af it-systemerne.
Det er derfor hensigten, at bestemmelsen skal give energi-, forsynings- og klimaministeren hjemmel
til at fastsætte krav til denne risikostyring og beredskabsplanlægning, således at der kan opnås en
hyppighed og detaljeringsgrad af disse risikovurderinger, der modsvarer det generelle
trusselsbillede. Det er endvidere hensigten, at der udstedes regler om, at virksomhederne kan
pålægges at udarbejde risikovurderinger af specifikke trusler inden for 3 måneder. Virksomhederne
skal løbende vurdere, om der er behov for yderligere risikovurderinger. Virksomhederne forventes
pålagt at udarbejde risikovurderinger med en hyppighed og detaljeringsgrad, der følger deres
kritikalitet for det samlede el- eller naturgassystem.
Det forventes ikke, at virksomhederne vil blive pålagt at foretage risikovurderinger af samtlige
trusler oftere end hver sjette måned. Det forventes, at hyppigheden af risikovurderinger vil følge
området og truslernes teknologiske udvikling.
Virksomhedernes trussels- og risikokendskab samt virksomhedernes evne til at reagere på disse er
en forudsætning for en fyldestgørende risikostyring af egne it-systemer.
Virksomhedernes risikostyring skal inddrage alle væsentlige risici, herunder også risici, der er afledt
af samarbejde med tredjeparter, der har adgang til virksomhedens it-systemer.
Den foreslåede bestemmelse i
stk. 5, nr. 4,
indebærer, at ministeren skal udstede regler om
tilmelding til en tjeneste, der yder varsler og informationer om it-sikkerhedstrusler.
Denne bestemmelse forudsættes udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter
krav til indholdet af de aftaler, de enkelte virksomheder indgår med en varslingstjeneste. Disse krav
kan pålægge tjenester at videreformidle informationer til Energinet.dk eller andre virksomheder i el-
og naturgassektorerne. Dette krav har til hensigt at forhindre, at en virksomhed eller Energinet.dk
ikke kan videreformidle informationer af betydning for sikkerheden ved andre virksomheder i el-
eller naturgassektoren af hensyn til ophavsret eller en aftalebegrænsning. Kravene kan endvidere
beskrive, under hvilke vilkår kontrakter mellem virksomheder og varslingstjenester kan godkendes,
således at energi-, forsynings- og klimaministeren kan fastsætte procedurer for godkendelse, der
sikre en ensartet og fagligt forsvarlig kontraktindgåelse under hensyn til markedets udvikling.
Det er hensigten med bestemmelsen at sikre et minimumsniveau for de kommercielle
varslingstjenester ved at pålægge energi-, forsynings- og klimaministeren at fastsætte nærmere krav,
der pålægger, at alle virksomheder tilmeldes en kommerciel sikkerhedstjeneste, der leverer
informationer om relevante trusler og risici mod it-sikkerheden. En sådan proaktiv tjeneste vil
bidrage til virksomhedernes interne it-sikkerhedsprocesser. Det er endvidere hensigten at give
energi-, forsynings- og klimaministeren hjemmel til at fastsætte graduerede krav til selvsamme
tjenestes reaktive ydelser, således at virksomheder, der ejer it-systemer af betydning for el- og
naturgasforsyningen regionalt eller nationalt, kan pålægges at skulle være tilmeldt en kommerciel
tjeneste, der kan reagere på akutte trusler mod virksomhedens it-systemer og assistere
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0043.png
virksomheden i forbindelse med en håndtering af en trussel eller genopretning af it-systemer og
opklaring af sårbarheder efter et nedbrud eller it-angreb.
En effektiv anvendelse af en sådan reaktiv tjeneste kræver, at virksomhederne stiller de fornødne
ressourcer til rådighed til såvel direkte omkostninger til tjenesten som indirekte omkostninger
forbundet med en hyppig dialog om sårbarheder og systemdrift mellem virksomheden og tjenesten.
Det er hensigten, at disse omkostninger afholdes af virksomhederne, dog kan netvirksomheder
ansøge om at forhøje indtægtsrammen på baggrund af konkrete omkostninger afledt af denne lov.
Den foreslåede bestemmelse i
stk. 5, nr. 5,
indebærer, at ministeren udsteder regler om
Energinet.dk’s varetagelse af overordnede, koordinerende planlægningsmæssige og operative
opgaver vedrørende det beredskab, som er nævnt i stk. 1.
Bestemmelsen forudsættes udnyttet ved, at ministeren udsteder regler om, at Energinet.dk kan tilgå
relevante informationer og skabe det fornødne overblik over situationen, herunder hvilke
oplysninger og materiale i øvrigt virksomhederne skal stille til rådighed for Energinet.dk, og
herunder bemyndige Energinet.dk til at forlange dette materiale udfyldt i et specifikt format. Dette
materiale skal kunne håndteres med den fornødne fortrolighed.
Det forventes, at ministeren udsteder regler, hvorefter Energinet.dk pålægges som en del af det
overordnede koordinerende arbejde at bidrage til udarbejdelsen af sektorspecifikke
trusselsvurderinger i samarbejde med Center for Cybersikkerhed. Denne opgave kræver, at
Energinet.dk stiller kompetente ressourcer til rådighed for trusselsvurderingsenheden ved Center for
Cybersikkerhed. Energi-, forsynings- og klimaministeren kan fastsætte nærmere regler for dette
samarbejde samt vejlede Energinet.dk i varetagelse af denne opgave.
Virksomhedernes indblik i egne it-systemer og erkendelse af anormaliteter kan være af afgørende
betydning for andre virksomheders, Energinet.dk’s og det samlede el- og naturgassystems evne til
at begrænse eller forhindre skader ved et it-angreb. Det er derfor vigtigt, at virksomhederne øver og
evaluerer hændelser. Dertil kommer, at virksomhederne skal formidle såvel øvelseserfaringer og
erfaringer efter hændelser, der har aktiveret it-beredskabsplanen i væsentligt omfang til
Energinet.dk samt andre virksomheder. Energi-, forsynings- og klimaministeren kan fastsætte
nærmere regler herom.
Den foreslåede bestemmelse i
stk. 5, nr. 6
indebærer, at ministeren udsteder regler om krav til
indholdet og planlægningen af en it-revision ved en uafhængig revisor, jf. den foreslåede § 85 d,
stk. 3. Bestemmelsen forudsættes udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter
regler om gennemførelsen og afrapporteringen af en it-revision jf. stk. 3. herunder at it-revisionen
kan indeholde en række anbefalinger fremsat af revisoren, der opstiller tiltag, som den pågældende
virksomhed efter revisorens faglige vurdering skal bringe i orden for at overholde stk. 1.
På baggrund af krav til indholdet af it-revisorens rapport kan tilsynsmyndigheden sikre en faglig
kvalitet i it-revisionen, hvorved tilsynsmyndighedens afgørelser kan underbygges med konkret
faglig indsigt.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0044.png
Bestemmelsen pålægger endvidere energi-, forsynings- og klimaministeren at fastsætte regler om,
hvorledes en it-revision efter stk. 3. planlægges. Det er hensigten, at der derved kan fastsættes
minimumskrav til en it-revision eller fastsættes krav om godkendelse af specifikke it-revisorer.
Den teknologiske udvikling på dette område gør, at der er behov for en vis fleksibilitet for, at
energi-, forsynings- og klimaministeren kan fastætte regler for indholdet af it-revisionen og løbende
kunne ændre kriterier for udvælgelse og rapportering.
Stk.
6, som
er en ny bestemmelse, forudsættes udnyttet ved, at energi-, forsynings- og
klimaministeren pålægger enten Energinet.dk, Energistyrelsen eller anden egnet myndighed at føre
tilsyn med virksomhedernes overholdelse af reglerne fastsat i stk. 1. Energi-, forsynings- og
klimaministeren kan fastsætte tilsynsforholdene efter en vurdering af, hvilken institution der findes
mest egnet til at løse tilsynsførelsen efter stk. 6. Energistyrelsen fører tilsyn med den udpegede
tilsynsmyndighed, men mindre Energistyrelsen selv varetager tilsynet med virksomhederne, da
pålægges Energi-, Forsynings- og Klimaministeriets departement at føre tilsyn med Energistyrelsen.
Vurdering af hvilken institution, der skal føre tilsyn med virksomhederne skal omfatte såvel
økonomiske som organisatoriske forhold af betydning, herunder skal følgende forhold som
minimum vurderes:
5. Energistyrelsens tilsyn med Energinet.dk, herunder Energistyrelsens mulighed for at føre
tilsyn med tilsynsførelsen overfor virksomhederne.
6. Virksomhedernes samarbejde med Energinet.dk i såvel beredskabssituationer som i
forbindelse med planlægning af beredskabsarbejdet.
7. Energinet.dk’s it-beredskabsarbejde internt.
8. Sammenhæng og synergi med andre opgaver indenfor beredskabet.
Disse forhold er afhængige af mange faktorer, herunder de mulige truslers karakter, de økonomiske
rammer for Energinet.dk, Energinet.dk’s handler med balancevirksomheder, udviklingen af
markedet for it-serviceydelser og sektorernes øvrige regulering. Ved at kunne ændre på fordelingen
af tilsynsopgaver ved Energinet.dk og Energistyrelsen skal energi-, forsynings- og klimaministeren
sikre, at tilsynsopgaven pålægges den institution, der efter ovennævnte forhold har de bedste vilkår
for at føre tilsynet med virksomhedernes efterlevelse af disse regler.
Tilsynet med virksomhederne kan tilpasses til virksomhedernes kritikalitet for den samlede
naturgasforsyning. Tilsynsmyndigheden skal gennemføre tilsynsbesøg årligt ved virksomheder, der
varetager kritiske systemer, mens tilsynet ved de resterende virksomheder kan begrænses til
treårlige tilsynsbesøg suppleret af løbende underretninger og skriftlig kommunikation om ændringer
af beredskabsplaner og risikoundersøgelser.
Tilsynsmyndigheden skal dokumentere de gennemførte tilsyn, og virksomhederne skal have
mulighed for at kommentere tilsynsmyndighedens tilsynsdokumentation.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0045.png
Tilsynet med virksomhedernes beredskabsarbejde forudsætter fremskaffelse af oplysninger fra
virksomhederne, bl.a. risiko- og sårbarhedsvurderinger samt beredskabsplaner, procedurer m.m.,
som er udarbejdet på grundlag af disse risiko- og sårbarhedsvurderinger. Vurdering af dette
materiale forudsætter faglig viden om driftsforholdene i de forskellige former for virksomhed inden
for naturgassektoren. Tilsynsmyndigheden kan indhente oplysninger om aktuelle og historiske
driftsforhold ved Energinet.dk’s kontrolcenter, alene med det formål at vurdere tilstrækkeligheden
af virksomhedernes beredskabsarbejde i forhold til deres kritikalitet for det samlede naturgassystem.
Tilsynsarbejdet skal adskilles fra Energinet.dk’s overordnede koordinerende opgaver i
beredskabssituationer. Disse overordnede, koordinerende opgaver forudsætter ligeledes et kendskab
til de enkelte virksomheders it-beredskab, dettes omfang og kvalitet samt det indbyrdes samspil
mellem de forskellige virksomheders beredskab. Såfremt Energinet.dk varetager opgaven som
tilsynsmyndighed, og derved varetager både de overordnede koordinerende beredskabsopgaver efter
§ 15 a, stk. 2 og tilsyn efter denne bestemmelse, skal Energinet.dk tilsikre, at virksomhederne
oplyses om, hvilke informationer der anvendes i tilsynsøjemed. Energistyrelsen pålægges at føre
tilsyn med Energinet.dk’s arbejde med at sikre beskyttelse af egne forsyningskritiske it-systemer,
varetage de overordnede koordinerende opgaver i beredskabssituationer. Dette tilsyn kan
tilrettelægges nærmere efter anvendelse af bestemmelser i anden lov, herunder kan Energistyrelsen
pålægge Energinet.dk konkrete tiltag. Energistyrelsen pålægges endvidere at føre tilsyn med
Energinet.dk’s tilsyn med virksomhedernes it-beredskabsarbejde i det tilfælde, at Energinet.dk
varetager opgaverne som tilsynsmyndighed over for virksomhederne.
Til nr. 3
Den gældende bestemmelse i § 30, stk. 2, indebærer, at der kan opkræves gebyr for
Energistyrelsens tilsyn med bevillingshavere samt Energinet.dk og denne virksomheds helejede
datterselskaber.
Det foreslås, at bestemmelsen i § 30, stk. 2, ændres, således at der skabes hjemmel til, at
Energistyrelsens tilsyn med beredskabsopgaver efter den foreslåede § 15 b, kan gebyrfinansieres.
Formålet med ændringen er at sikre finansieringen af den nye tilsynsopgave, som foreslås i § 15 b.
Den foreslåede ændring betyder, at de kollektive elforsyningsvirksomheder skal betale for de timer,
som Energistyrelsen anvender til at føre tilsyn med virksomhederne til en tilsynssats, som vil blive
fastsat ved bekendtgørelse. Den foreslåede ændring har ikke til hensigt at begrænse
anvendelsesområdet for den gældende bestemmelse i § 30, stk. 2.
Til § 3
Det foreslås at loven træder i kraft den 1. januar 2017. Det er dog hensigten, at virksomheder
omfattet af denne lov, først skal have udarbejdet kontrakt med en varslingstjeneste i henhold til
denne lovs § 1, stk. 6, nr. 4 og § 2, stk. 6, nr. 4, den 1. juli 2017. Dette skal tilsikre at
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0046.png
virksomhederne har rimelig tid og mulighed for at implementere den foreslåede ordning på behørig
vis.
Lovforslaget sammenholdt med gældende ret
Gældende formulering
§ 85 b...
Stk. 4.
Energi-, forsynings- og klimaministeren
kan fastsætte regler om udførelse af tilsyn med
det beredskabsarbejde, der udføres efter stk. 1
og 2, herunder om virksomhedernes
fremsendelse af materiale som grundlag for
tilsynet, om tilsynets beføjelser i forhold til
virksomhederne og om klageadgang. I reglerne
kan det fastsættes, at tilsyn med
beredskabsarbejde efter stk. 1 skal udføres af
Energinet.dk.
§ 85 d...
Lovforslaget
§1
I lov om elforsyning, jf. lovbekendtgørelse nr.
418 af 25. april 2016, som ændret bl.a. ved § 1
nr. 30 i lov nr. 466 af 18. maj 2011, § 7 i lov nr.
261 af 16. april 2016 og § 8 i lov nr. 427 af 18.
maj 2016 foretages følgende ændringer:
§ 85 b, stk. 4, affattes således:
Stk. 4.
Energi-, forsynings- og klimaministeren
kan fastsætte regler om udførelse af tilsyn med
det beredskabsarbejde, der udføres efter stk. 1
og 2, herunder om virksomhedernes
fremsendelse af materiale som grundlag for
tilsynet, om tilsynets beføjelser i forhold til
virksomhederne og om klageadgang
§ 85 d affattes således:
Bevillingspligtige virksomheder, efter §§ 10
og 19, Energinet.dk og dennes helejede
datterselskaber, og virksomheder, der yder
balancering af elsystemet, skal opretholde et it-
beredskab, herunder planlægge og træffe
nødvendige foranstaltninger for at sikre
beskyttelsen af kritiske it-systemer, af betydning
for elforsyningen.
Stk.
2.
Energi-,
forsynings-
og
klimaministeren kan ved manglende opfyldelse
af et påbud efter § 85 d om overholdelse af stk.
1, påbyde virksomheder omfattet af stk. 1, at
foretage en it-revision af kritiske systemer ved
en
uafhængig
revisor
godkendt
af
tilsynsmyndigheden.
Stk. 3.
Energi-, forsynings- og
klimaministeren kan påbyde virksomheder
omfattet af stk. 1, at gennemføre tiltag, som på
baggrund af it-revisionen jf. stk. 3, skønnes
nødvendige for at overholde stk. 1.
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0047.png
§ 51...
Stk. 2. Bevillingshaverne samt Energinet.dk og
denne virksomheds helejede datterselskaber, jf.
§ 2, stk. 2 og 3, i lov om Energinet.dk skal efter
regler fastsat af energi-, forsynings- og
klimaministeren betale de udgifter, som er
forbundet med tilsynet, herunder
klagesagsbehandlingen..
Stk. 4.
informationer, herunder vurderinger,
planer og data, vedrørende sikkerhedsforhold
for
forsyningskritiske
it-systemer
i
virksomheder omfattet af stk. 1, er fortrolige,
hvis oplysningerne er væsentlige af hensyn til
driften
af
virksomheden
eller
det
sammenhængende el-system.
Stk.
5.
Energi-,
forsynings-
og
klimaministeren fastsætter regler for det it-
beredskab, som virksomheder omfattet af stk. 1,
skal opretholde, herunder regler om følgende:
1)
organisering af virksomhedens it-
beredskab og evne til at modtage advarsler
om trusler mod it-sikkerheden.
2)
planlægning og beredskabsarbejde,
som virksomhederne skal udføre for at
modvirke trusler mod it-sikkerheden,
herunder virksomhedernes pligt til at
videregive oplysninger til Energinet.dk og
relevante myndigheder.
3) virksomhedernes risikostyring, herunder
inddragelse af andre virksomheder i
risikovurderinger.
4)
tilmelding til en tjeneste, der yder
varsler og informationer om it-sikkerhedstrusler.
5)
Energinet.dk’s varetagelse af
overordnede,
koordinerende
planlægningsmæssige og operative opgaver
vedrørende det beredskab, som er nævnt i stk. 1.
6)
krav
til
indholdet
og
planlægningen af en it-revision ved en
uafhængig revisor jf. stk. 3
Stk. 6.
Energi-, forsynings- og klimaministeren
fastsætter regler for udførelse af tilsyn med det
beredskabsarbejde, der udføres efter stk. 1
§ 51, stk. 2,
ændres ”samt” til:”,” og der
indsættes efter ”lov om Energinet.dk”: ”samt
virksomheder, der yder balancering af
elsystemet,” og efter "herunder"; "tilsynet med
beredskabsarbejdet efter § 85 d, stk. 6, og".
§2
I lov om naturgasforsyning, jf.
lovbekendtgørelse nr. 1331 af 25. november
2013, som bl.a. ændret ved § 2 i lov nr. 466 af
18. maj 2011, § 2 i lov nr. 633 af 16. juni 2014,
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0048.png
§ 2 i lov nr. 1498 af 23. december 2014, lov nr.
77 af 27. januar 2016, § 8 i lov nr. 132 af 16.
februar 2016 og § 2 i lov nr. 630 af 8. juni 2016
foretages følgende ændringer:
§ 15 a, stk. 4, affattes således:
§ 15 a...
Stk. 4.
Klima-, energi- og bygningsministeren
Stk. 4.
Klima-, energi- og bygningsministeren
kan fastsætte regler om udførelse af tilsyn med
kan fastsætte regler om udførelse af tilsyn med
det beredskabsarbejde, der udføres efter stk. 1
det beredskabsarbejde, der udføres efter stk. 1
og 2, herunder om selskabernes fremsendelse af og 2, herunder om selskabernes fremsendelse af
materiale som grundlag for tilsynet, om tilsynets materiale som grundlag for tilsynet, om tilsynets
beføjelser i forhold til selskaberne og om
beføjelser i forhold til selskaberne og om
klageadgang. I reglerne kan det fastsættes, at
klageadgang.
tilsyn med beredskabsarbejde efter stk. 1 skal
udføres af det transmissionsselskab, der
varetager opgaver efter stk. 2.
Efter § 15 a indsættes før overskriften før § 16:
§ 15 b...
Ȥ 15 b.
Energinet.dk og dennes helejede
datterselskaber
og
bevillingspligtige
virksomheder efter § 10 skal opretholde et it-
beredskab, herunder planlægge og træffe
nødvendige foranstaltninger for at sikre
beskyttelsen af kritiske it-systemer, der er af
væsentlig betydning for naturgasforsyningen.
Stk.
2.
Energi-,
forsynings-
og
klimaministeren
kan
ved
manglende
overholdelse af et påbud efter § 47 b om
overholdelse af stk. 1 påbyde virksomheder
omfattet af stk. 1 at foretage en it-revision af
kritiske systemer ved en uafhængig revisor
godkendt af tilsynsmyndigheden.
Stk. 3.
Energi-,
forsynings- og
klimaministeren kan påbyde virksomheder
omfattet af stk. 1, at gennemføre tiltag, som på
baggrund af it-revisionen jf. stk. 2, skønnes
nødvendige for at overholde stk. 1.
Stk. 4.
informationer, herunder vurderinger,
planer og data, vedrørende sikkerhedsforhold
for
forsyningskritiske
it-systemer
i
virksomheder omfattet af stk. 1, er fortrolige,
hvis oplysningerne er væsentlige af hensyn til
driften
af
virksomheden
eller
det
sammenhængende el-system.
Stk.
5.
Energi-,
forsynings-
og
klimaministeren fastsætter regler for det it-
beredskab, som virksomheder omfattet af stk. 1,
skal opretholde, herunder regler om følgende:
1)
organisering af virksomhedens it-
beredskab og evne til at modtage advarsler
 EFK, Alm.del - 2015-16 - Bilag 378: Høring af udkast til lovforslag om it-beredskab i el og naturgassektoren
1658163_0049.png
§ 30...
Stk. 2. Bevillingshaverne samt Energinet.dk og
denne virksomheds helejede datterselskaber, jf.
§ 2, stk. 2 og 3, i lov om Energinet.dk skal efter
regler fastsat af klima-, energi- og
bygningsministeren betale de udgifter, som er
forbundet med tilsynet.
om trusler mod it-sikkerheden.
2)
planlægning og beredskabsarbejde,
som virksomhederne skal udføre for at
modvirke trusler mod it-sikkerheden,
herunder virksomhedernes pligt til at
videregive oplysninger til Energinet.dk og
relevante myndigheder.
3) virksomhedernes risikostyring, herunder
inddragelse af andre virksomheder i
risikovurderinger.
4)
tilmelding til en tjeneste, der yder
varsler og informationer om it-sikkerhedstrusler.
5)
Energinet.dk’s varetagelse af
overordnede,
koordinerende
planlægningsmæssige og operative opgaver
vedrørende det beredskab, som er nævnt i stk. 1.
6)
krav
til
indholdet
og
planlægningen af en it-revision ved en
uafhængig revisor jf. stk. 3
Stk. 6.
Energi-, forsynings- og klimaministeren
fastsætter regler for udførelse af tilsyn med det
beredskabsarbejde, der udføres efter stk. 1.
§ 30, stk. 2,
indsættes efter "tilsynet"; ",
herunder tilsynet med beredskabsarbejdet efter §
15 b, stk. 6"
§3
Loven træder i kraft den 1. januar 2017.