Fremsat den 9. november 2016 af energi-, forsynings- og klimaministeren (Lars Christian Lilleholt)

Forslag

til

Lov om ændring af lov om elforsyning og lov om naturgasforsyning

(It- beredskab i el- og naturgassektorerne, gebyr for tilladelser til Energinet.dk og forhøjelse af indtægtsrammer for netvirksomheder mv.)

§ 1

I lov om elforsyning, jf. lovbekendtgørelse nr. 418 af 25. april 2016, som ændret ved § 1 i lov nr. 466 af 18. maj 2011, § 7 i lov nr. 261 af 16. marts 2016 og § 8 i lov nr. 427 af 18. maj 2016, foretages følgende ændringer:

1. I § 51, stk. 2, ændres "bevillingshaverne samt" til:"bevillingshaverne,", efter "lov om Energinet.dk" indsættes: ", samt virksomheder, der yder balancering af elsystemet,", og efter "herunder" indsættes: "tilsynet med beredskabsarbejdet efter regler fastsat i medfør § 85 c, stk. 6, og".

2. I § 51 a, nr. 2, indsættes efter "§ 37 a, stk. 1,": "samt § 4 a, stk. 1, i lov om Energinet.dk,".

3. I § 70 indsættes som stk. 15:

»Stk. 15 Energi-, forsynings- og klimaministeren kan fastsætte regler om, at Energitilsynet kan forhøje en netvirksomheds indtægtsramme som følge af dokumenterede meromkostninger, der følger af krav om

1) udskiftning og opgradering af elmålere til fjernaflæste elmålere, fremskyndelse af investeringer i fjernaflæste elmålere og indsendelse af timemålte forbrugsdata til datahubben i henhold til regler fastsat af energi-, forsynings- og klimaministeren i medfør af § 20, stk. 2, og § 22, stk. 4,

2) sikring af realisering af dokumenterbare energibesparelser i overensstemmelse med regler fastsat i medfør af § 22, stk. 4, jf. § 22, stk. 1, nr. 5, og

3) tilmelding til en it-sikkerhedstjeneste i henhold til regler fastsat af energi-, forsynings- og klimaministeren i medfør af § 85 c, stk. 5, nr. 4.«

4. Overskriften til kapitel 12 affattes således:

Beredskab, fortrolighed, kontrol, oplysningspligt og påbud«

5. § 85 b, stk. 4, 2. pkt., ophæves.

6. Kapitel 12 a ophæves, og i stedet indsættes efter § 85 b i kapitel 12:

»§ 85 c Virksomheder, som er bevillingspligtige efter §§ 10 og 19, Energinet.dk og dennes helejede datterselskaber samt virksomheder, der yder balancering af elsystemet, skal opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer der er, af betydning for elforsyningen.

Stk. 2. Energi-, forsynings- og klimaministeren kan ved manglende opfyldelse af et påbud efter § 85 d om at overholde stk. 1 påbyde virksomheder at foretage en it-revision af kritiske systemer ved en uafhængig revisor godkendt af tilsynsmyndigheden.

Stk. 3. Energi-, forsynings- og klimaministeren kan påbyde virksomheder at gennemføre tiltag, som på baggrund af en it-revision, jf. stk. 2, skønnes nødvendige for at opretholde et it-beredskab, jf. stk. 1.

Stk. 4. Informationer, herunder vurderinger, planer og data, vedrørende sikkerhedsforhold for kritiske it-systemer i virksomheder omfattet af stk. 1 er fortrolige, hvis oplysningerne er væsentlige af hensyn til driften af virksomheden eller det sammenhængende el-system.

Stk. 5. Energi-, forsynings- og klimaministeren fastsætter nærmere regler for it-beredskab, jf. stk. 1, herunder regler om

1) organisering af virksomhedens it-beredskab og evne til at modtage advarsler om trusler mod it-sikkerheden,

2) planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke trusler mod it-sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til Energinet.dk og relevante myndigheder,

3) virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i risikovurderinger,

4) tilmelding til en it-sikkerhedstjeneste, der yder varsler og informationer om it-sikkerhedstrusler,

5) Energinet.dk's varetagelse af overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende it-beredskab, jf. stk. 1,

6) krav til indholdet og planlægningen af en it-revision ved en uafhængig revisor, jf. stk. 2.

Stk. 6. Energi-, forsynings- og klimaministeren fastsætter regler for udførelse af tilsyn med virksomheders it-beredskab, jf. stk. 1.

§ 85 d Klima-, energi- og bygningsministeren og Energitilsynet kan påbyde, at forhold, der strider mod loven, mod regler eller afgørelser i henhold til loven eller mod Europa-Parlamentets og Rådets forordning om betingelserne for netadgang i forbindelse med grænseoverskridende elektricitetsudveksling, bringes i orden straks eller inden en nærmere angivet frist.

Stk. 2. Energitilsynet kan påbyde, at forhold, der strider mod en juridisk bindende afgørelse truffet af det europæiske agentur for samarbejde mellem energireguleringsmyndigheder eller strider mod Europa-Parlamentets og Rådets forordning (EU) nr. 1227/2011 af 25. oktober 2011 om integritet og gennemsigtighed på engrosenergimarkederne eller mod retsakter, der er vedtaget på grundlag heraf, bringes i orden straks eller inden en nærmere angivet frist.«

7. I § 86, stk. 1, ændres »§ 85 c« to steder til: »§ 85 d«.

§ 2

I lov om naturgasforsyning, jf. lovbekendtgørelse nr. 1157 af 6. september 2016, foretages følgende ændringer:

1. § 15 a, stk. 4, 2. pkt., ophæves.

2. Efter § 15 a indsættes før overskriften før § 16:

»§ 15 b Selskaber, der er bevillingspligtige efter § 10, samt Energinet.dk og dennes helejede datterselskaber, der varetager naturgasforsyningsvirksomhed i henhold til § 2, stk. 2 og 3, i lov om Energinet.dk, skal opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer, der er af væsentlig betydning for naturgasforsyningen.

Stk. 2. Energi-, forsynings- og klimaministeren kan ved manglende opfyldelse af et påbud efter § 47 b om at overholde stk. 1 påbyde virksomheder at foretage en it-revision af kritiske it-systemer ved en uafhængig revisor godkendt af tilsynsmyndigheden.

Stk. 3. Energi-, forsynings- og klimaministeren kan påbyde virksomheder at gennemføre tiltag, som på baggrund af en it-revision, jf. stk. 2, skønnes nødvendige for at opretholde et it-beredskab, jf. stk. 1.

Stk. 4. Informationer, herunder vurderinger, planer og data, vedrørende sikkerhedsforhold for forsyningskritiske it-systemer i virksomheder, som er omfattet af stk. 1, er fortrolige, hvis oplysningerne er væsentlige af hensyn til driften af virksomheden eller naturgassystemet.

Stk. 5. Energi-, forsynings- og klimaministeren fastsætter nærmere regler for it-beredskab, jf. stk. 1, herunder regler om

1) organisering af virksomhedens it-beredskab og evne til at modtage advarsler om trusler mod it-sikkerheden,

2) planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke trusler mod it-sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til Energinet.dk og til energi-, forsynings- og klimaministeren,

3) virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i risikovurderinger,

4) tilmelding til en tjeneste, der yder varsler og informationer om it-sikkerhedstrusler,

5) Energinet.dk's varetagelse af overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende it-beredskabet, jf. stk. 1, og

6) krav til indholdet og planlægningen af en it-revision ved en uafhængig revisor, jf. stk. 2.

Stk. 6. Energi-, forsynings- og klimaministeren fastsætter regler for udførelse af tilsyn med det beredskabsarbejde, der udføres efter stk. 1.«

3. I § 30, stk. 2, indsættes efter »tilsynet«: », herunder tilsynet med beredskabsarbejdet efter § 15 b, stk. 6«.

§ 3

Stk. 1. Loven træder i kraft den 1. juli 2017, jf. dog stk. 2.

Stk. 2. § 1, nr. 2, træder i kraft den 1. januar 2017.

§ 4

Loven gælder ikke for Færøerne og Grønland.

Bemærkninger til lovforslaget

Almindelige bemærkninger

Indholdsfortegnelse

1. Indledning

2. Baggrund

3. Hovedpunkter i lovforslaget

3.1. It-beredskab

3.1.1. Gældende ret

3.1.2. Energi-, forsynings- og klimaministeriets overvejelser

3.1.3. Den foreslåede ordning

3.2. Organisering af el- og naturgassektorernes beredskab

3.2.1. Gældende ret

3.2.2. Energi-, forsynings- og klimaministeriets overvejelser

3.2.3. Den forslåede ordning

3.3. Sanktioner og påbud

3.3.1. Gældende ret

3.3.2. Energi-, forsynings- og klimaministeriets overvejelser

3.3.3. Den forslåede ordning

3.4. Fastsættelse af nærmere regler for it-beredskabet

3.4.1. Gældende ret

3.4.2. Energi-, forsynings- og klimaministeriets overvejelser

3.4.3. Den forslåede ordning

3.5. Tilsyn

3.5.1. Gældende ret

3.5.2. Energi-, forsynings- og klimaministeriets overvejelser

3.5.3. Den forslåede ordning

3.6. Gebyr for tilladelser til Energinet.dk

3.6.1. Gældende ret

3.6.2. Energi-, forsynings- og klimaministeriets overvejelser

3.6.3. Den foreslåede ordning

3.7. Indtægtsrammeforhøjelser for netvirksomheder

3.7.1. Gældende ret

3.7.2. Energi-, forsynings- og klimaministeriets overvejelser

3.7.3. Den foreslåede ordning

4. Økonomiske og administrative konsekvenser for det offentlige

5. Økonomiske og administrative konsekvenser for erhvervslivet mv.

5.1. Løbende efterlevelsesomkostninger

5.2. Gebyrer

5.3. Administrative efterlevelsesomkostninger

5.4. Administrative omstillingsomkostninger

5.5. Økonomisk opsummering

6. Administrative konsekvenser for borgerne

7. Miljømæssige konsekvenser

8. Forholdet til EU-retten

9. Hørte myndigheder og organisationer mv.

10. Sammenfattende skema

1. Indledning

Dette lovforslag udmønter et initiativ i den nationale strategi for cyber- og informationssikkerhed fra december 2014, der har til hensigt at styrke cyber- og informationssikkerheden for virksomhederne i el- og naturgassektorerne ved at stille nye krav til cyber- og informationssikkerheden.

Forsyningen af el og naturgas fra produktion til forbrug styres i stigende grad af digitale styrings- og overvågningssystemer, der herved er kritiske for forsyningen af el og naturgas til samfundet. Disse forsyningskritiske it-systemer skal sikres mod driftsforstyrrelser, bevidste angreb og utilsigtede hændelser, så risikoen for forsyningsnedbrud minimeres og eventuelle konsekvenser heraf begrænses.

Den nuværende regulering af beredskabet i el- og naturgassektorerne regulerer ikke specifikt beredskabet for forsyningskritiske it-systemer.

Lovforslaget stiller krav om, at virksomhederne skal opretholde et it-beredskab for forsyningskritiske it-systemer i el- og naturgassektorerne. It-beredskabet skal sikre, at virksomhederne i el- og naturgassektorerne har overblik over egne it-systemer, vurderer risikoen for angreb på eller nedbrud i it-systemer samt modtager relevante trusselsmeldinger, således at virksomhederne kan foretage de nødvendige tiltag for at begrænse mulige konsekvenser af disse angreb eller nedbrud.

Lovforslaget giver energi-, forsynings- og klimaministeren mulighed for at påbyde en virksomhed at afholde en uvildig undersøgelse af egne it-systemer. Ministeren gives beføjelse til, at kunne påbyde virksomheder at gennemføre nødvendige foranstaltninger til opretholdelse af et relevant it-beredskab, enten på baggrund af en gennemført uvildig undersøgelse eller på baggrund af det gennemførte tilsynsarbejde.

Lovforslaget giver endvidere energi-, forsynings- og klimaministeren mulighed for at udstede regler om opkrævning af gebyr for omkostninger i forbindelse med afholdelse af tilsyn med Energinet.dk.

Med lovforslaget får energi-, forsynings- og klimaministeren pligt til at fastætte regler om virksomheders beskyttelse af egne forsyningskritiske it-systemer, og virksomhedernes bidrag til sektorernes samlede it-beredskab.

Herudover giver lovforslaget energi-, forsynings- og klimaministeren mulighed for at udstede regler om dels opkrævning af gebyrer for den myndighedsbehandling, der skal udføres som en følge af lovforslaget, dels om at virksomhedernes dokumenterede meromkostninger til opfyldelse af lovforslagets krav kan indregnes i de indtægtsrammer, som Energitilsynet fastsætter for de omfattede virksomheder.

Endelig indeholder lovforslaget en række mindre ændringer, der skal skabe klarhed om retstilstanden i forhold til gebyrer for tilladelser til, at Energinet.dk etablere elforsyningsnet på søterritoriet samt klarhed om netvirksomheders indtægtsrammer.

2. Baggrund for lovforslaget

El- og naturgassystemerne er i stigende grad automatiseret, således at produktionen, handlen og forsyningen af el og naturgas styres af digitale styrings- og overvågningssystemer. Denne digitalisering af el- og naturgassektorerne giver nye muligheder og udfordringer.

Digitaliseringen af el- og naturgassystemerne er væsentlig for at drive et effektivt og moderne energisystem. Digital informationsudveksling sikrer, at markedet effektivt kan forbinde udbud, efterspørgsel og pris, mens moderne styringsteknologi muliggør en løbende balancering af produktion og forbrug under markedsvilkår.

Balancering af forbrug og produktion af el er væsentligt for driften af el-systemet og funktionen af elmarkedet. Balanceringsydelser er markedsbestemte ydelser, hvori en virksomhed udøver fysisk kontrol af et eller flere produktions- eller forbrugsanlæg. Denne kontrol styres af avancerede it-systemer, der derved er en forudsætning for, at elsystemet effektivt kan udnytte variabel energiproduktion fra vedvarende energikilder som solceller og vindmøller.

It-systemer har en stigende betydning for el- og naturgassystemet og samtidig bliver it-systemerne stadigt mere komplekse, da stadigt flere informationer danner input og stadigt flere elementer kan styres gennem disse it-systemer. Anvendelse af it-systemer i forbindelse med styringen af el- og naturgassystemerne indebærer også en række nye udfordringer for el- og naturgassystemerne. It-systemer skal i lighed med mekaniske systemer vedligeholdes og serviceres, og ligesom mekaniske systemer skal beskyttes mod udefra kommende trusler så som vejrliget og fysisk angreb eller uheld, skal it-systemer beskyttes mod trusler så som vira og hacker-angreb.

Hidtil har der været krav til den fysiske beskyttelse af el- og naturgassektorerne, der har opstillet rammen for det almene beredskabsarbejde ved net- og produktionsvirksomheder, samt Energinet.dk efter § 85 b i lov om elforsyning og § 15 a i lov om naturgasforsyning. Det almene beredskabsarbejde pålægger virksomhederne ansvaret for at vurdere og forebygge risici, sårbarheder og trusler, således at nedbrud og skader på el- og naturgasforsyningssystemerne kan minimeres. Virksomhederne varetager den operative håndtering af en beredskabssituation og beredskabsplanlægning i egen organisation, mens Energinet.dk tilsikrer den overordnede koordinering i og mellem el- og naturgassektorerne af såvel den operative indsats som beredskabsplanlægningen.

Beredskabsarbejdet har hidtil ikke specifikt omfattet it, og der er i den gældende lovgivning ikke mulighed for at stille specifikke krav til virksomhedernes it-sikkerhed for forsyningskritiske it-systemer. Lovforslaget skal dermed regulere et område, der hidtil ikke har været reguleret. Lovforslaget skal sikre, at forsyningskritiske it-systemer integreres i el- og naturgassektorernes beredskabsarbejde.

El- og naturgasmarkedet har hidtil udviklet sig i takt med, at nye teknologier har skabt nye muligheder. Den teknologiske og kommercielle udvikling af el- og naturgassektorerne forventes fortsat at fremme en effektiv energiforsyning. Lovforslaget skal derfor undgå at begrænse den kommercielle udvikling muliggjort af den teknologiske udvikling. Virksomhederne anses for kompetente til at vurdere sammenhænge mellem de teknologiske muligheder og de kommercielle interesser. Det er dog i forbindelse med reguleringen af området væsentligt at sikre, at der fastholdes en høj forsyningssikkerhed på trods af nye teknologier og kommercielle muligheder. Lovforslaget pålægger derfor energi-, forsynings- og klimaministeren at fastsætte regler for virksomhederne, således at de foretager løbende risiko- og sårbarhedsvurderinger og inddrager disse vurderinger i deres beredskabsplanlægning.

Den 6. juli 2016 blev Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen vedtaget. Efter dette direktivs artikel 25 vedtager og offentliggør medlemsstaterne senest den 9. maj 2018 de love og administrative bestemmelser, der er nødvendige for at efterkomme dette direktiv. Det lovforberedende arbejde med henblik på at implementere direktivet gennemføres af Forsvarsministeriet uafhængigt af nærværende lovforslag. Energi, forsynings- klimaministeriet bidrager til dette arbejde.

Lovforslaget skal således ses som nationale regler, der har til formål at udmønte den nationale strategi for cyber- og informationssikkerhed fra december 2014 og de heri indeholdte krav om gennemførelse af it-beredskabsforanstaltninger på energiforsyningsområdet.

Endvidere indeholder lovforslaget en foreslået præcisering af reglerne om gebyrer for tilladelser til elforsyningsnet på søterritoriet. En række af de tilladelser, der efter ansøgning fra virksomheder meddeles af energi-, forsynings- og klimaministeren efter elforsyningsloven, betales der i dag gebyr for. Det gælder også for tilladelser til etablering samt væsentlige ændringer af elforsyningsnet på søterritoriet. Baggrunden er, at behandlingen af en ansøgning kræver en ganske omfattende behandling af myndigheder.

For at skabe klarhed om, at ministeren også kan opkræve gebyr, når Energinet.dk indsender en ansøgning om etablering af elforsyningsnet på søterritoriet på linje med alle andre virksomheder, præciseres det i lovforslaget derfor, at energi-, forsynings- og klimaministeren kan udstede regler om opkrævning af gebyr for udstedelse af tilladelser til etablering samt væsentlige ændringer af elforsyningsnet på søterritoriet til Energinet.dk.

3. Hovedpunkter i lovforslaget

3.1. It-beredskab

3.1.1. Gældende ret

Det almene beredskab på elforsyningsområdet reguleres af § 85 b i lov om elforsyning samt bekendtgørelse nr. 1024 af 21. august 2007 om beredskab for elsektoren.

Bekendtgørelse nr. 1024 af 21. august 2007 om beredskab for elsektoren er udstedt i medfør af § 85 b i lov om elforsyning. Denne bekendtgørelse fastsætter nærmere regler for virksomhedernes beredskabsplanlægning og organisatoriske forhold samt fastsætter krav til virksomhedernes beredskabsplaner. De gældende regler for beredskabsområdet efter elforsyningsloven omfatter alene det almene beredskab, hvorfor gældende ret i elforsyningsloven ikke er fundet tilstrækkelig til at omfatte it-beredskabet.

Det almene beredskab på naturgasforsyningsområdet reguleres af § 15 a i lov om naturgasforsyning samt bekendtgørelse nr. 1025 af 21. august 2007 om beredskab for naturgassektoren. Bekendtgørelse nr. 1025 af 21. august 2007 om beredskab for naturgassektoren er udstedt i medfør af § 15 a i lov om naturgasforsyning. Denne bekendtgørelse fastsætter nærmere regler for virksomhedernes beredskabsplanlægning og organisatoriske forhold og fastsætter krav til virksomhedernes beredskabsplaner. De gældende regler for beredskabsområdet efter naturgasforsyningsloven omfatter alene det almene beredskab, hvorfor gældende ret i naturgasforsyningsloven ikke er fundet tilstrækkelig til at omfatte it-beredskabet.

3.1.2. Energi-, forsynings- og klimaministeriets overvejelser

En regulering af virksomheders it-beredskab skal styrke forsyningssikkerheden ved at begrænse de risici og sårbarheder, der afledes af den teknologiske og kommercielle udvikling af it-systemer. Disse it-systemer er i stigende grad forsyningskritiske systemer, der direkte eller indirekte styrer det fysiske forsyningssystem gennem forskellige sensorer, ventiler og relæer. Det er derfor væsentligt, at en regulering finder anvendelse overfor virksomheder, der er omfattet af beredskabsbestemmelserne i § 85 b i lov om elforsyning og § 15 a i lov om naturgasforsyning, samt virksomheder, som gennem et it-system varetager styring af flere anlæg, der samlet set er væsentlige for forsyningen.

Ved at anvende begrebet kritiske it-systemer af betydning for hhv. el- og naturgasforsyningen, afgrænses lovens virkningsområde til it-systemer, der direkte anvendes i den fysiske forsyning af el og naturgas fra produktion til forbrug. En regulering heraf bør finde anvendelse for virksomheder, der leverer en ydelse, tjeneste eller produkt, der er væsentligt for opretholdelsen af el- eller naturgasforsyningen til samfundet når denne levering er afhængig af it-systemer. Virksomheder, der kan godtgøre, at de ikke anvender it-systemer til opretholdelsen af disse væsentlige tjenester, vil ikke være omfattet.

Det vurderes at være hensigtsmæssigt, at en regulering af it-beredskabsområdet anvender begreber og en systematik, der er kendt fra det almene beredskabsarbejde efter § 85 b i lov om elforsyning og § 15 a i lov om naturgasforsyning.

En regulering af it-beredskabet må indebære, at der stilles krav til beskyttelse af it-systemer, der er væsentlige for leveringen af hhv. el og naturgas til forbrugerene. Det må endvidere bero på de enkelte virksomheders egne vurderinger af, hvilke konkrete it-systemer der anses for forsyningskritiske i den lokale kontekst. Ved vurderingen af hvad der findes at være en væsentlig tjeneste må de enkelte virksomheder forventes at tillægge følgende faktorer vægt:

1. It-systemets betydning for forsyning af el- og naturgas fra produktion til forbrug.

2. It-systemets betydning for virksomhedens drift, herunder betydning for virksomhedens mulighed for at udføre sine opgaver i forsyningen og markedet samt betydningen for virksomhedens økonomiske drift.

3. It-systemets betydning for driften af andre virksomheder, der enten er direkte forbrugere eller blot videreformidlere af den leverede ydelse, tjeneste eller produkt. Herunder betydning for andre virksomheders mulighed for at udføre deres opgaver i forsyningen og markedet samt betydningen for disse virksomheders økonomiske drift.

Den kommercielle udvikling af el-forsyningssystemet afledt af digitaliseringen har medført et marked for balanceringsydelser, hvor balanceansvarlige virksomheder gennem it-systemer varetager styring af flere mindre produktions- og forbrugsanlæg. Balancering af forbrug og produktion af el er væsentligt for at drive el-systemet og et effektivt elmarked.

Balanceringsydelser er markedsbestemte ydelser, hvori en virksomhed udøver fysisk kontrol af et eller flere produktions- eller forbrugsanlæg. Hyppige informationer sikrer, at markedet effektivt kan forbinde udbud, efterspørgsel og pris, mens moderne styringsteknologi muliggør en løbende balancering af produktion og forbrug under markedsvilkår. Denne kontrol styres af avancerede it-systemer, der derved er en forudsætning for, at elsystemet effektivt kan udnytte variabel energiproduktion fra vedvarende energikilder som solceller og vindmøller. Balanceansvarlige virksomheders it-systemer udgør således i stigende grad en sårbarhed for driften af elsystemet, da konsekvenserne ved nedbrud stiger og samtidig øges kompleksiteten af styringssystemerne. Virksomheder, der udbyder balanceringsydelser er ikke underlagt krav om beredskab efter § 85 b i lov om elforsyning til trods for, at disse virksomheder har kontrol over fysisk infrastruktur.

Ved balanceansvarlige virksomheder forstås alene virksomheder med kontrol over elementer i elsystemet med det formål at balancere elsystemet efter aftale med Energinet.dk, der som systemansvarlig virksomhed erhverver balanceringsydelser.

Virksomheder, der varetager opgaver på vegne af virksomheder omfattet af § 85 b i lov om elforsyning eller § 15 a i lov om naturgasforsyning, og som i den forbindelse har kontrol over elementer i el- eller naturgassystemet på vegne af en virksomhed omfattet af denne lovbestemmelse, betragtes som tredjeparter eller leverandører. Disse virksomheder anses således ikke for omfattet af de nævnte lovbestemmelser. Det beredskabsarbejde, der er forbundet med de risici og sårbarheder anvendelse af ydelser fra denne type tredjeparter medfører, må derfor påhvile de produktions-, balance- eller forsyningsvirksomheder, der har indgået kontrakter med disse tredjeparter.

En regulering af it-beredskabet bør hvile på den forudsætning, at virksomhederne anses for kompetente til at vurdere sammenhænge mellem de teknologiske muligheder og de kommercielle interesser. Det er dog væsentligt at sikre, at der fastholdes en høj forsyningssikkerhed på trods af nye teknologier og kommercielle muligheder. Der er derfor behov for at stille krav til virksomhedernes it-beredskab, således at beskyttelsen af forsyningskritiske it-systemer indgår i virksomhedernes beredskabsarbejde.

Virksomhedernes betydning for forsyning af el- og naturgas varierer både efter antal tilsluttede forbrugere i netvirksomheder og mængde energi produceret. Samtidig må det antages at it-beredskabsarbejdet vil være forbundet med såvel administrative som direkte omkostninger for både virksomhederne og myndighederne der udøver tilsyn. En regulering af it-beredskabet bør derfor søge at begrænse ressourceforbruget ved at inddele virksomhederne i tre kategorier efter, hvor kritiske virksomhederne er for forsyningssystemer med hertil hørende graduerede krav.

Tilsynet med virksomhederne indenfor det almene beredskab føres efter § 85 b, stk. 4, i lov om elforsyning og § 15 a, stk. 4, i lov om naturgasforsyning af Energinet.dk. Det vurderes at være administrativt hensigtsmæssigt, at tilsynsmyndigheden for det almene beredskab og it-beredskabet er den samme af hensyn til den administrative synergi ved varetagelse af disse opgaver.

Samtidig vurderes den teknologiske og kommercielle udvikling i el- og naturgassektorerne at kunne medføre behov for, at opgaven som tilsynsmyndighed kan flyttes til anden relevant myndighed. Det vil derfor være hensigtsmæssigt, at reguleringen af området giver energi-, forsynings- og klimaministeren mulighed for at fastsætte regler for varetagelse af tilsynsopgaven afledt af § 85 b, stk. 4, i lov om elforsyning og § 15 a, stk. 4, i lov om naturgasforsyning.

3.1.3. Den foreslåede ordning

Det vurderes nødvendigt, at balanceansvarlige virksomheder i elsystemet og virksomhederne, der er omfattet af beredskabsbestemmelserne i § 85 b i lov om elforsyning og § 15 a i lov om naturgasforsyning er omfattet af dette lovforslag, da de er væsentlige for driften af det samlede forsyningssystem.

Der etableres med lovforslaget en ordning, der bygger på de samme principper, som reguleringen, og lovforslagets regler om it-beredeskab indebærer derfor en ordning, hvorefter virksomhederne vurderer egne sårbarheder og planlægger beredskabstiltag. Efter ordningen forpligtes energi-, forsynings- og klimaministeren til at udstede regler, der fastsætter krav om, at virksomhederne pålægges at bidrage til de samlede sektorers it-beredskabsarbejde og godtgør for egne tiltag, it-beredskabsarbejdets gennemførelse samt tilsynet hermed. Disse regler vil blive udarbejdet således, at reglerne indeholder en graduering af krav til virksomhederne efter deres betydning for den overordnede forsyning, hvorved der tilsigtes proportionalitet mellem omkostninger og betydning for den samlede forsyning.

3.2. Organisering af el- og naturgassektorernes beredskab

3.2.1 Gældende ret

Efter § 24 stk. 1, i beredskabsloven skal de enkelte ministre hver inden for deres område planlægge for opretholdelse og videreførelse af samfundets funktioner i tilfælde af større ulykker og katastrofer, herunder udarbejde beredskabsplaner. Denne beredskabsplanlægning sker efter de

retningslinjer, der følger af forsvarsministeriets vejledning til statslige myndigheder om beredskabsplanlægning, der angiver en række principper for beredskabsplanlægning, der sikrer sammenhæng mellem ansvar, kompetence og kapacitet, herunder navnlig sektoransvarsprincippet og nærhedsprincippet. Efter sektoransvarsprincippet bevarer den myndighed, der har ansvaret for en opgave til daglig, ansvaret for opgaven under en større ulykke eller katastrofe. Dette indebærer, at den sektoransvarlige myndighed skal koordinere med andre myndigheder. Efter nærhedsprincippet bør beredskabsopgaverne løses så tæt på borgerne som muligt og dermed på det lavest egnede, relevante organisatoriske niveau. I el- og naturgassektorerne indebærer princippet, at ansvaret for den operative håndtering af en beredskabssituation og planlægningen af en sådan placeres lokalt ved virksomhederne, mens Energinet.dk sikrer den overordnede koordinering i sektorerne af såvel den operative indsats som planlægningen.

Den nuværende lovgivning for beredskabsplanlægning i el- og naturgassektorerne omfatter imidlertid ikke cyber- og informationssikkerhed specifikt.

3.2.2. Energi-, forsynings- og klimaministeriets overvejelser

Flere virksomheder i el- og naturgassektorerne har investeret i tekniske og administrative tiltag, der skal fremme cyber- og informationssikkerheden lokalt. En regulering af it-beredskabet bør omfatte den lokale risikostyring og dennes sammenhæng med den sektorielle risikostyring og derved sikre, at virksomhederne kan benytte sig af allerede implementerede investeringer og rutiner. Den lokale risikostyring og omkostningsansvar skal fremme en omkostningseffektiv anvendelse af ressourcer på baggrund af erkendte risici. Den lokale risikostyring kræver imidlertid indsigt i egne systemer og trusselsbilledet samt disses sammenhæng med og afhængighed af andre systemer. Det er derfor nødvendigt at pålægge virksomhederne at etablere procedurer, der sikrer indsigt i relevante trusler samt procedurer for håndtering af akutte hændelser.

3.2.3. Den forslåede ordning

Med lovforslaget indføres en ordning, hvorefter energi-, forsynings- og klimaministeren bemyndiges til at fastsætte regler, der kan pålægge virksomhederne at være tilmeldt en it-sikkerhedstjeneste, der kan supplere meddelelser, der tilvejebringes gennem netværk med andre virksomheder.

Den forslåede ordning skal fremme en hensigtsmæssig og effektiv håndtering af nedbrud i eller trusler mod forsyningskritiske it-systemer. Dette opnås gennem en risikobaseret it-beredskabsplanlægning på såvel virksomhedsniveau som sektorniveau. En afklaring af ansvar og mulighederne for udveksling af informationer vil fremover kunne effektivisere den samordnede indsats. For at kunne håndtere de påviste risici effektivt anbefales en organiseringsmodel, der tilstræber at anvende metoder kendt fra beredskabsarbejdet. Modellen udnytter synergien med nuværende opgaver samt fremmer integrationen af it-sikkerhed i virksomhedernes risikostyring.

Bemyndigelsen til at udstede regler skal sikre, at den lokale risikostyring inddrager alle tænkelige forhold af relevans for it-beredskabet. Det er derfor væsentligt at virksomhederne løbende reviderer og vurderer, hvilke risici der er relevante for den enkelte virksomhed, samt hvilke sårbarheder i egne systemer, som bør håndteres. I denne sammenhæng kan en virksomhed ikke fraskrive sig ansvaret for en sårbarhed eller risiko, der er afledt af samarbejdet med en tredjepart eller leverandør. Disse risici og sårbarheder skal integreres i virksomhedens risikostyring.

Da der er forskel på virksomhedernes kritikalitet for den samlede forsyning, fastsætter energi-, forsynings- og klimaministeren i medfør af lovforslaget regler, som forudsættes at indeholde graduerede krav til denne it-sikkerhedstjeneste samt interne procedurer.

Ved virksomhedens kritikalitet for den samlede forsyning forstås virksomhedens kritiske betydning for forsyningen af produktet til slutforbrugerene. Virksomhedernes forudsættes opdelt efter, om de har kritisk betydning for den nationale el- og naturgasforsyning, den regionale el- og naturgasforsyning eller den lokale el- og naturgasforsyning.

Alle virksomheder forudsættes endvidere pålagt at være tilknyttet en varslingstjeneste, der giver varsler om forestående trusler eller erkendte fare. Virksomheder opdeles endvidere i kategorier. Virksomheder i kategori 1 og kategori 2 vil endvidere være pålagt at udarbejde aftale om mulighed for akut bistand fra en it-sikkerhedstjeneste. Denne aftale forudsættes at indeholde vilkår om ydelse af bistand ved hændelser samt vejledning og overvågning. Der er således to mulige it-sikkerhedstjenester: den generelle, hvorigennem der alene gives meldinger, og den udvidede, der indebærer ydelser om konkret bistand.

Virksomheder kan drive it-systemer, der ikke anses for at være et kritisk it-system for den enkelte virksomhed, men som kan have indflydelse på driften af kritiske it-systemer ved andre virksomheder. Bemyndigelsen forudsættes udnyttet til at udstede regler om, at denne type systemer skal håndteres efter den akkumulerede kritikalitet for de virksomheder, der anvender deres systemer. Disse it-systemer kan have varieret kritikalitet for de enkelte virksomheder. Denne type it-systemer skal beskyttes ud fra en vurdering af deres samlede betydning for det samlede forsyningssystem.

Energi-, forsynings- og klimaministeren bemyndiges i den forslåede ordning til at fastsætte nærmere kriterier for opdeling af virksomhederne efter deres kritikalitet.

3.3. Sanktioner og påbud

3.3.1. Gældende ret

Sanktioner og påbud vedr. elforsyning er reguleret i lov om elforsyning kapitel 12 a og 13. Energi-, forsynings- og klimaministeren kan udstede påbud i henhold til § 85 d i lov om elforsyning, hvorefter forhold der strider mod lovgivningen skal bringes i orden straks eller efter nærmere angivet frist.

Det er ikke reguleret i lov om elforsyning, at energi-, forsynings- og klimaministeren kan påbyde, at virksomheder, der ikke opfylder et udstedt påbud i henhold til det foreslåede § 85 d i lov om elforsyning, for egne midler foretager en it-revision af kritiske it-systemer ved en uafhængig revisor, der er godkendt af tilsynsmyndigheden. Ligeledes er det heller ikke reguleret i gældende lovgivning, at energi-, forsynings- og klimaministeren, kan påbyde virksomheder at gennemføre tiltag på baggrund af it-revisionen eller på baggrund af tilsynet med virksomheden, der tilsikrer overholdelse af det foreslåede § 85 d, stk. 1, i dette lovforslag.

Der er mulighed for at iværksætte sanktioner såfremt en virksomhed undlader at efterkomme et påbud udstedt i henhold til lov om elforsyning. Der kan således pålægges bødestraf, hvis en virksomhed undlader at efterkomme et påbud, jf. § 87, stk. 1, nr. 7, i lov om elforsyning.

Efter § 54 stk. 1, nr. 1, i lov om elforsyning kan bevilling endvidere inddrages, hvis bestemmelser, vilkår eller påbud efter lov om elforsyning eller lov om vedvarende energi eller regler udstedt i medfør af disse love gentagene gange overtrædes.

Sanktioner og påbud vedr. naturgasforsyning er reguleret i lov om naturgasforsyning kapitel 9 a og 10. Der foreligger således efter gældende ret mulighed for, at energi-, forsynings- og klimaministeren udsteder påbud i henhold til § 47 b i lov om naturgasforsyning, hvorefter forhold der strider mod lovgivningen skal bringes i orden straks eller efter nærmere angivet frist.

Det er ikke reguleret i lov om naturgasforsyning, at energi-, forsynings- og klimaministeren kan påbyde, at virksomheder, der ikke opfylder det udstedte påbud i henhold til gældende lovgivning, for egne midler foretager en it-revision af kritiske systemer ved en uafhængig revisor, som er godkendt af tilsynsmyndigheden. Ligeledes er det heller ikke reguleret i gældende lovgivning, at energi-, forsynings- og klimaministeren kan påbyde virksomheder at gennemføre tiltag på baggrund af it-revisionen eller tilsynet med virksomheden, der tilsikrer overholdelse af det foreslåede § 85 c, stk. 1, og § 15 b, stk. 1, i dette lovforslag.

Efter gældende ret foreligger der mulighed for yderligere sanktioner såfremt en virksomhed undlader at efterkomme et påbud udstedt i henhold til lov om naturgasforsyning. Efter kapitel 10 i lov om naturgasforsyning kan pålægges daglige eller ugentlige bøder, hvis en virksomhed rettidigt undlader at efterkomme et påbud. Ydermere er der mulighed for, at virksomheden kan få inddraget sin bevilling efter lov om naturgasforsyning § 33.

3.3.3. Energi-, forsynings- og klimaministeriets overvejelser

Den teknologiske udvikling har medført, at også it-systemer inden for forsyningsområderne, el og naturgas, i stadigt stigende omfang anvendes til styring af forsyningsvirksomhederne. Dette indebærer også, at it-systemerne alt afhængig af virksomhederne og deres forsyningssystemer kan være kendetegnet ved en større eller mindre grad af kompleksitet. At opretholde et relevant it-beredskab vil forudsætte en kortlægning af en given virksomheds it-systemer med henblik på at tilvejebringe de korrekte og tilstrækkelige oplysninger om det eller de eksisterende it-systemer. Denne kortlægning og indhentning af oplysninger vil således skulle udgøre grundlaget for virksomhedernes egne beslutninger om at indføre de nødvendige foranstaltninger til at opretholde et it-beredskab og tilsynsmyndighedens kontrol med disse foranstaltninger.

Der er i gældende ret ikke mulighed for, at energi-, forsynings- og klimaministeren kan påbyde, at virksomheder, der ikke opfylder det udstedte påbud i henhold til gældende lovgivning, for egne midler foretager en it-revision af kritiske it-systemer ved en uafhængig revisor, der er godkendt af tilsynsmyndigheden. Ligeledes er det heller ikke reguleret i gældende lovgivning, at energi-, forsynings- og klimaministeren, kan påbyde virksomheder at gennemføre tiltag på baggrund af it-revisionen, der tilsikrer overholdelse af det foreslåede § 85 c, stk. 1, og § 15 b, stk. 1, i dette lovforslag.

Manglende overholdelse af lovforslagets foreslåede § 85 c, stk. 1, og § 15 b, stk. 1, vurderes at kunne bringe elforsyningen eller naturgasforsyningen i fare, hvorfor de gældende regler om påbud og sanktion i lov om elforsyning og lov om naturgasforsyning ikke er fundet tilstrækkelige.

Energi-, Forsynings- og Klimaministeriet finder det derfor hensigtsmæssigt, at ministeren får mulighed for at pålægge virksomhederne en egentlig it-revision, hvis en given virksomhed ikke som forudsat kan antages at have foretaget en tilstrækkelig kortlægning af sine it-systemer.

3.3.4. Den forslåede ordning

Det foreslås, at der indføres en ordning, hvorefter energi-, forsynings- og klimaministeren gives mulighed for at meddele påbud til virksomheder, der er meddelt påbud om at opretholde et nødvendigt it-beredskab, jf. det foreslåede § 85 d, i lov om elforsyning eller § 47 b, i lov om naturgasforsyning, men som ikke har opfyldt påbuddet, om at virksomheden for egne midler foretager en it-revision af kritiske it-systemer ved en uafhængig revisor, der er godkendt af tilsynsmyndigheden.

Det foreslås endvidere, at energi-, forsynings- og klimaministeren kan påbyde den pågældende virksomhed at gennemføre de nødvendige tiltag på baggrund af it-revisionen og tilsynet i forbindelse hermed, således at kravet om at opretholde et it-beredskab overholdes.

Med lovforslaget er det således hensigten, at energi-, forsynings- og klimaministeren stadig kan anvende de eksisterende sanktionsmuligheder efter lov om elforsyning og lov om naturgasforsyning ved manglende opfyldelse af påbuddet udstedt i henhold til gældende lovgivning efter lov om elforsyning eller lov om naturgasforsyning eller efter manglende opfyldelse af de i medfør af lovforslaget hjemlede påbud.

Påbuds- og sanktionsmulighederne er tiltænkt at foregå i følgende trin:

1. Energi-, forsynings- og klimaministeren kan i henhold til det foreslåede § 85 b, i lov om elforsyning og § 47 b, i lov om naturgasforsyning, påbyde, at forhold der strider mod den forslåede bestemmelse i § 85 c, stk. 1 i lov om elforsyning og den forslåede § 15 b, stk. 1 i lov om naturgasforsyning bringes i orden straks eller inden nærmere angivet frist.

2. Ved manglende opfyldelse af et sådant påbud, foreslås det, at energi-, forsynings- og klimaministeren får mulighed efter det foreslåede § 85 c, stk. 2 i lov om elforsyning eller § 15 b, stk. 2 i lov om naturgasforsyning at påbyde den pågældende virksomhed at foretage en it-revision af kritiske systemer ved en uafhængig revisor afholdt for egne midler.

I de foreslåede bestemmelser i § 85 c, stk. 5, nr. 6, og i § 15 b, stk. 5, nr. 6, i lov om naturgasforsyning, er det angivet, at energi-, forsynings- og klimaministeren fastsætter regler om krav til indholdet af it-revisionen, herunder at it-revisionen kan indeholde anbefalinger til en række konkrete tiltag, som skønnes nødvendige for, at den pågældende virksomhed overholder kravet om at opretholde et it- beredskab.

3. Undlader den pågældende virksomhed, at efterkomme de tiltag, der følger af it-revisionens anbefalinger, følger det af de foreslåede bestemmelser til § 85 c, stk. 3, og lov om naturgasforsyning § 15 b, stk. 3, at energi-, forsynings- og klimaministeren kan påbyde den pågældende virksomhed at gennemføre de tiltag i it-revisionens rapport eller tiltag, som tilsynsmyndigheden skønner nødvendige for at overholde kravet om at opretholde et it-beredskab.

4. Opfylder den pågældende virksomhed ikke påbuddet efter lovforslagets stk. 3, og dermed ikke efterkommer de tiltag, der følger af it-revisionens anbefalinger eller tiltag, som tilsynsmyndigheden skønner nødvendige for at overholde kravet om at opretholde et it-beredskab, kan energi-, forsynings- og klimaministeren anvende de sanktionsmuligheder, der følger af gældende ret for sanktioner i elforsyningsloven, herunder kapitel 13 og naturgasforsyningsloven herunder kapitel 10 samt inddrage virksomhedens bevilling, jf. § 54 i lov om elforsyning og § 33 i lov om naturgasforsyning.

Det tilsigtes ikke med lovforslaget at ændre strafferammen. Betingelserne for at inddrage virksomhedens bevilling forudsættes at ske i overensstemmelse med gældende praksis.

3.4. Fastsættelse af nærmere regler for it-beredskabet

3.4.1. Gældende ret

I henhold til § 85 b, stk. 3, i lov om elforsyning og § 15 a, stk. 3, i lov om naturgasforsyning, kan energi-, forsynings- og klimaministeren fastsætte regler for beredskabsarbejdet for virksomhederne, som er omfattet af lov om elforsyning og lov om naturgasforsyning.

3.4.2. Energi-, forsyning- og klimaministeriets overvejelser

Udviklingen inden for såvel de teknologiske, juridiske og forretningsmæssige rammer har hidtil medført en udvikling af it-systemers anvendelse og kritikalitet i energisektoren. Udviklingen sker samtidig med, at truslerne mod virksomhedernes it-systemer ligeledes udvikles teknologisk og metodisk. Rammerne og truslernes udvikling medfører tilsammen et behov for en konstant udvikling af virksomhedernes it-beredskab. Der er derved behov for at kunne tilpasse kravene til den lokale risikostyring herunder krav til organiseringen af it-beredskabet, it-beredskabsplaner, sårbarhedsvurderinger og adgang til it-sikkerhedsvarsler.

Det vurderes hensigtsmæssigt at energi-, forsynings- og klimaministeren i lighed med de almindelige regler for beredskabsarbejdet bemyndiges til at fastsætte nærmere regler for området for it-beredskabet, der hidtil ikke har været specifikt reguleret.

3.4.3. Den foreslåede ordning

Den foreslåede ordning indebærer, at energi- forsynings- og klimaministeren bemyndiges til at fastsætte nærmere regler for virksomhedernes it-beredskab. Den foreslåede bemyndigelse har til formål at sikre, at ministeren kan fastsætte mere detaljerede regler for virksomhedernes it-beredskabsarbejde.

En bemyndigelse skal samtidig sikre, at energi-, forsynings- og klimaministeren inden for it-området, der er under udvikling, kan fastsætte tidssvarende detaljerede regler om virksomhedernes it-forhold, herunder regler om virksomhedernes it-beredskab, it-beredskabsplanlægning, it-risikostyring og adgang til it-sikkerhedsvarsler.

Ved at bemyndige energi-, forsynings- og klimaministeren til at fastsætte sådanne regler, vil nye trusler kunne imødegås og relevante tidssvarende nye rammer for it-beredskabsarbejdet kunne indarbejdes i kravene til virksomhedernes it-beredskabsarbejde hurtigere, hvis reglerne udstedes i bekendtgørelsesform, end hvis de fastsættes ved lov.

Den beskrevne udvikling af it-sikkerhedsområdet, medfører ligeledes udvikling i vilkårene for den centrale risikostyring af sektorens it-beredskab, hvor Energinet.dk som koordinerende overordnet virksomhed forestår det centrale it-beredskabsarbejde og koordination i operative it-beredskabssituationer. For at kunne sikre tidssvarende regler for det centrale it-beredskabsarbejde under hensyntagen til udviklingen, bemyndiges energi- forsynings- og klimaministeren ligeledes til at kunne fastsætte regler for Energinet.dk's varetagelse af den overordnede koordinerende planlægningsmæssige og operative opgave i relation til it-beredskabet.

3.5. Tilsyn

3.5.1. Gældende ret

På elforsyningsområdet er tilsynsarbejdet med det almene beredskab fastsat i § 85 b, stk. 4, i lov om elforsyning, hvorefter energi-, forsynings- og klimaministeren kan fastsætte regler om udførelse af tilsyn med beredskabsarbejdet. Denne bemyndigelse er blevet udnyttet ved bekendtgørelse nr. 1024 af 21. august 2007 om beredskab for elsektoren, hvoraf der fastsættes nærmere regler for tilsynet.

Ved denne bekendtgørelse bestemmes det, at Energinet.dk udfører tilsyn med de bevillingspligtige virksomheders beredskabsarbejde, og at Energistyrelsen fører tilsyn med Energinet.dk's beredskabsarbejde.

På naturgasforsyningsområdet er tilsynsarbejdet med det almene beredskab fastsat i § 15 a, stk. 4, i lov om naturgasforsyning, hvorefter energi-, forsynings- og klimaministeren kan fastsætte regler om udførelse af tilsyn med beredskabsarbejdet. Denne bemyndigelse er blevet udnyttet ved bekendtgørelse nr. 1025 af 21. august 2007 om beredskab for naturgassektoren, hvoraf der fastsættes nærmere regler for tilsynet.

Ved denne bekendtgørelse bestemmes det, at Energinet.dk udfører tilsyn med de bevillingspligtige virksomheders beredskabsarbejde og at Energistyrelsen fører tilsyn med Energinet.dk's beredskabsarbejde.

De gældende regler vedr. tilsyn i lov om elforsyning og lov om naturgasforsyning omfatter alene det almene beredskab og ikke specifikt virksomhedernes og Energinet.dk's it-beredskab, hvorfor gældende ret i henhold til lov om elforsyning og lov om naturgasforsyning ikke er fundet tilstrækkelig til at omfatte tilsyn med it-beredskab.

3.5.2 Energi-, forsynings- og klimaministeriets overvejelser

Det vurderes hensigtsmæssigt, at tilsynsmyndigheden for det almene beredskab og it-beredskabet er den samme, af hensyn til synergi mellem disse opgaver. Samtidig vurderes den teknologiske og kommercielle udvikling i el- og naturgassektorerne at kunne medføre behov for, at opgaven som tilsynsmyndighed kan flyttes til anden relevant myndighed. Det er derfor hensigtsmæssigt, at give energi-, forsynings- og klimaministeren mulighed for at fastsætte regler for varetagelse af tilsynsopgaven i medfør af § 85 b, stk. 4 i lov om elforsyning og § 15 a, stk. 4 i lov om naturgasforsyning samt de foreslåede bestemmelser til § 85 c, stk. 5 i lov om elforsyning og § 15 b, stk. 5 i lov om naturgasforsyning i dette lovforslag.

3.5.3. Den forslåede ordning

Det foreslås, at der indføres en ordning, hvorefter energi-, forsynings- og klimaministeren fastsætter regler vedr. tilsynet med virksomhedernes og Energinet.dk's it-beredskabsarbejde, herunder tilsynet med virksomhedernes risikostyring, it-beredskabsplaner, sårbarhedsvurderinger og adgang til it-sikkerhedsvarsler.

Det forudsættes ved bemyndigelsens udmøntning, at reglerne giver mulighed for at tilrettelægge tilsynet med virksomhederne, så det tilpasses til de enkelte virksomheders kritikalitet for den samlede el- eller naturgasforsyning. Det forventes, at ministeren vil udstede regler om, at tilsynet med virksomhederne indebærer såvel tilsynsmøder, løbende underretninger og skriftlig kommunikation om ændringer af beredskabsplaner samt risiko- og sårbarhedsvurderinger. Frekvensen af tilsynet afhænger af en kategorisering af virksomhederne som beskrevet i punkt 3.2.3. vedr. organisering af beredskabet.

Reglerne forudsættes tillige at tage højde for, at tilsynet med virksomhedernes beredskabsarbejde forudsætter fremskaffelse af oplysninger fra virksomhederne, bl.a. risiko- og sårbarhedsvurderinger samt beredskabsplaner, procedurer m.m., som er udarbejdet på grundlag af disse risiko- og sårbarhedsvurderinger. Vurdering af dette materiale forudsætter faglig viden om driftsforholdene i de forskellige former for virksomhed inden for elsektoren. Det forudsættes således, at der fastsættes regler om, at tilsynsmyndigheden skal have adgang til oplysninger om aktuelle og historiske driftsforhold ved Energinet.dk's kontrolcenter for at kunne foretage tilsyn, og at tilsynsmyndigheden i sit virke skal lægge vægt på sammenhængen mellem virksomhedernes vurderinger, beredskabsplaner, øvelser og evalueringer, da det forventes at virksomhederne, kan dokumentere en løbende udvikling og læring i it-beredskabsarbejdet.

Ved at give energi-, forsynings- og klimaministeren bemyndigelse til at fastsætte regler om tilsynsforhold i relation til it-beredskabsarbejdet i el- og naturgassektorerne, sikres der er mulighed for at følge den teknologiske, juridiske og forretningsmæssig udvikling i sektorerne som beskrevet i punkt 3.4. Tilsynsforholdet anses i denne sammenhæng for relevant at kunne ændre i lighed med forhold nævnt i punkt 3.4.

Ved at fastsætte regler om at tilsynsopgaven varetages af Energinet.dk opnås en sammenhæng med det tilsynsarbejde Energinet.dk udfører med virksomhedernes beredskabsarbejde efter § 85 b i lov om elforsyning og § 15 a i lov om naturgasforsyning. Denne kompetencefordeling af tilsynsopgaverne kræver, at Energinet.dk's tilsynsvirksomhed adskilles fra Energinet.dk's overordnede koordinerende opgaver. Disse overordnede, koordinerende opgaver forudsætter ligeledes et kendskab til de enkelte virksomheders it-beredskab, dettes omfang og kvalitet samt det indbyrdes samspil mellem de forskellige virksomheders beredskab. Såfremt Energinet.dk varetager opgaven som tilsynsmyndighed, og derved varetager både de overordnede koordinerende beredskabsopgaver efter § 85 b, stk. 2, i lov om elforsyning, og § 15 a, stk. 2, i lov om naturgasforsyning samt tilsynsopgaver efter dette lovforslag, skal Energinet.dk tilsikre, at virksomhederne oplyses om, hvilke informationer der anvendes i tilsynsøjemed. Ved fastsættelse af regler om tilsyn vil energi-, forsyning- og klimaministeren i denne situation kunne pålægges at føre tilsyn med Energinet.dk's tilsynsvirke overfor virksomhedernes it-beredskabsarbejde. Energistyrelsen vil efter de udstedte regler endvidere kunne pålægges at føre tilsyn med Energinet.dk's arbejde med at sikre beskyttelse af egne it-systemer og varetagelse af de overordnede koordinerende opgaver i beredskabssituationer.

Såfremt reglerne fastsætter, at om Energistyrelsen eller ved en anden kompetent myndighed varetager tilsynsopgaven opnås en klar adskillelse af den overordnede koordinerende opgave, der fortsat vil være placeret ved Energinet.dk. Denne opgavefordeling vil imidlertid ikke kunne udnytte den synergi, der er mellem varetagelse af tilsynsopgaverne og den koordinerende opgave. Der vil derfor være behov for at tilsikre, at tilsynsmyndigheden bibringes det konkrete faglige indsigt gennem et samarbejde med Energinet.dk samt gennem en formel tilsynsdialog med såvel Energinet.dk som med virksomhederne. Der vil i en sådan situation imidlertid være en synergi mellem det tilsyn tilsynsmyndigheden fører med Energinet.dk og virksomhederne.

Energi-, forsynings- og klimaministeren forudsættes ved udstedelse af regler om tilsynet i forhold til kompetencespørgsmålet at inddrage følgende forhold:

1. Energistyrelsens tilsyn med Energinet.dk, herunder Energistyrelsens mulighed for at føre tilsyn med Energinet.dk's evt. tilsynsførelse over for virksomhederne.

2. Virksomhedernes samarbejde med Energinet.dk i såvel beredskabssituationer som i forbindelse med planlægning af beredskabsarbejdet.

3. Energinet.dk's interne it-beredskabsarbejde.

4. Sammenhæng og synergi med andre opgaver inden for Energistyrelsens, Energinet.dk's og andre myndigheders beredskab.

Ved vurderingen af de enkelte forhold inddrages tillige hensynet til de kendte truslers karakter, de økonomiske rammer for Energinet.dk, Energinet.dk's handler med balancevirksomheder, udviklingen af markedet for it-serviceydelser og sektorernes øvrige regulering.

3.6. Gebyr for tilladelser til Energinet.dk

3.6.1. Gældende ret

Det følger af § 51 a, nr. 2, i lov om elforsyning, at energi-, forsynings- og klimaministeren kan fastsætte regler om betaling til dækning af omkostningerne ved behandling af ansøgning om tilladelse, herunder tilladelser, der er nævnt i § 11, stk. 1, § 12 a, stk. 1, § 21, stk. 1, § 22 a, stk. 1, § 23, stk. 1, og § 37 a, stk. 1.

Det fremgår af bemærkningerne til bestemmelsen, at listen over tilladelser, som der kan kræves gebyr for, ikke er udtømmende.

Henvisningen til § 22 a, stk. 1, i bestemmelsen præciserer, at der skal betales gebyr for tilladelser til etablering af elforsyningsnet på søterritoriet og i den eksklusive økonomiske zone, når nettet opføres af en anden virksomhed end Energinet.dk

3.6.2 Energi-, forsynings- og klimaministeriets overvejelser

Det vurderes, at det ikke har været lovgivers hensigt, at der for tilladelser til etablering af elforsyningsnet på søterritoriet skal kunne opkræves gebyr fra andre virksomheder, men altså ikke fra Energinet.dk. Ud fra ordlyden af § 51 a, kan man dog få det indtryk, at dette er retstilstanden. Det foreslås derfor, at det præciseres i bestemmelsen, at der kan opkræves gebyrer fra Energinet.dk, ligesom der kan opkræves gebyrer fra andre virksomheder for tilladelser til etablering af elforsyningsnet på søterritoriet

3.6.3. Den foreslåede ordning

Den foreslåede ændring indebærer, at det præciseres i § 51 a, nr. 2, at energi-, forsynings- og klimaministeren kan fastsætte regler om betaling til dækning af omkostningerne ved behandling af ansøgning om tilladelse, herunder tilladelser efter § 4 a i lov om Energinet.dk til etablering af samt væsentlige ændringer i elforsyningsnet på søterritoriet eller i den eksklusive økonomiske zone.

3.7. Indtægtsrammeforhøjelser for netvirksomheder

3.7.1. Gældende ret

Den økonomiske regulering af netvirksomheder fremgår af kapitel 10 i lov om elforsyning. Det fremgår af § 70, at netvirksomhederne er underlagt en indtægtsrammeregulering, som dels er reguleret i loven, dels er reguleret ved bekendtgørelser. Det fremgår således af § 70, stk. 2, 1. pkt., i lov om elforsyning, at energi-, forsynings- og klimaministeren fastsætter regler om indtægtsrammerne. Det fremgår endvidere af § 70, stk. 2, 2. pkt., at det som led i denne regulering sikres, at tarifferne i faste priser regnet som et gennemsnit ikke stiger i forhold til tarifferne pr. 1. januar 2004, idet kapital, der finansierer nødvendige nyinvesteringer, dog fortsat skal kunne forrentes og afskrives.

Elforsyningsloven indeholder en række bestemmelser, som muliggør forhøjelse af indtægtsrammerne. Det fremgår eksempelvis af § 70, stk. 8, 1. pkt., i lov om elforsyning, at Energitilsynet kan forhøje virksomhedens indtægtsramme med et beløb, der kompenserer for eventuelle afholdte omkostninger ved pålæg fra myndigheder eller Energinet.dk, der indebærer en væsentlig fremskyndelse af vedligeholdelsesarbejder, udskiftninger eller tekniske tilpasninger af eksisterende anlæg. Det fremgår endvidere af § 70, stk. 8, 2. pkt., i lov om elforsyning, at Energitilsynet kan forhøje indtægtsrammen med et beløb, der kompenserer for væsentlige meromkostninger som følge af pålæg fra myndigheder, som ligger ud over forpligtelsen til at drive nettene, jf. § 20, stk. 1, i lov om elforsyning, og som ikke er omfattet af § 70, stk. 4, i lov om elforsyning. § 70, stk. 4, vedrører forhøjelser af indtægtsrammen som følge af nødvendige nyinvesteringer.

3.7.2. Energi-, forsynings- og klimaministeriets overvejelser

Det er fundet nødvendigt at sikre et klart retsgrundlag for forøgelse af netvirksomhedernes indtægtsrammer. Denne overvejelse begrundes med, at Energiklagenævnet har truffet tre afgørelser om forståelsen af myndighedspålæg i § 70, stk. 8. Der kan henvises til Energiklagenævnets afgørelse af 12. maj 2014 om afslag på forhøjelse af indtægtsramme (J.nr. 1011-13-93-17), afgørelse af 28. oktober 2015 om afslag på forhøjelse af indtægtsramme (J.nr. 1011-14-166-36) og afgørelse af 29. juni 2016 om afslag på indtægtsrammeforhøjelse - omkostninger vedr. etablering af Cityring (metro) (J.nr. 2011-15-44-16). Det fremgår af Energiklagenævnets seneste afgørelse af 29. juni 2016, hvor der henvises til de to tidligere afgørelser, at der »ved myndighedspålæg - eller pålæg fra Energinet.dk - menes individuelle pålæg i form af konkrete forvaltningsafgørelser og ikke generelle retsakter i form af f.eks. lovregulering, som i den omhandlede sag.«

Det er hensigten med denne lovændring at netvirksomhederne kan fåforøget deres indtægtsramme alene for dokumenterede meromkostninger forbundet med krav om tilmelding til en it-sikkerhedstjeneste. I lyset af ovenstående administrative praksis findes det hensigtsmæssigt at sikre et klart retsgrundlag i denne sammenhæng.

3.7.3. Den foreslåede ordning

Det er hensigten med dette lovforslag om it-beredskab, at der skal være mulighed for forhøjelse af indtægtsrammen som følge af kravet om, at netvirksomhederne skal være tilmeldt en it-sikkerhedstjeneste, som energi-, forsynings- og klimaministeren får hjemmel til at fastsætte ved bekendtgørelse.

Det er ikke tilsigtet, at der skal udarbejdes individuelle pålæg i form af konkrete afgørelser. Det vurderes derfor hensigtsmæssigt, at der sikres et klarere retsgrundlag for at kunne forhøje indtægtsrammen i forbindelse med de foreslåede regler om it-beredskab.

På den baggrund foreslås, at der indsættes en særskilt hjemmel i lov om elforsyning, hvorefter energi-, forsynings- og klimaministeren kan fastsætte regler om, at Energitilsynet kan forhøje en virksomheds indtægtsramme som følge af dokumenterede meromkostninger, som følger af krav om tilmelding til en it-sikkerhedstjeneste.

For at der ikke skabes uklarhed om retstilstanden i forhold til allerede fastsatte regler med hjemmel i § 70, stk. 2, i lov om elforsyning foreslås, at den nye hjemmel også kommer til at omfatte regler om forhøjelse af indtægtsrammen i forhold til meromkostninger, som udspringer af krav om udskiftning og opgradering af elmålere til fjernaflæste målere, ved fremskyndelse af investeringer i fjernaflæste elmålere og indsendelse af timemålte forbrugsdata til datahubben, hvor disse krav er fastsat i henhold til regler fastsat af energi-, forsynings- og klimaministeren i medfør af § 20, stk. 2, og § 22, stk. 4, i lov om elforsyning, og som følge af krav om sikring af realisering af dokumenterbare energibesparelser i overensstemmelse med regler fastsat i medfør af § 22, stk. 4, jf. § 22, stk. 1, nr. 5.

4. Økonomiske og administrative konsekvenser for det offentlige

Der forventes økonomiske og administrative konsekvenser for det offentlige i forbindelse med gennemførelse af tilsyn med virksomhederne og Energinet.dk's efterlevelse af regler i medfør af dette lovforslag. . Tilsynet forventes gebyrfinansieret jf. elforsyningsloven § 51, stk. 2 og naturgasforsyningsloven § 30, stk. 2. Energistyrelsens tilsynsopgaver over for Energinet.dk forventes afholdt inden for 500 arbejdstimer årligt, a 927 kr. pr. arbejdstime i 2016. Dette medfører en samlet omkostning på ca. 463.500 kr. årligt. Af hensyn til områdets tekniske karakter forventes der endvidere anvendt ekstern konsulentbistand til kvalitetssikring af tilsynsarbejdet i ca. 50 timer årligt anslået til 1.250 kr. pr. arbejdstime, i alt ca. 62.500 kr. årligt. Der forventes således en samlet omkostning forbundet med Energistyrelsens tilsyn med Energinet.dk på i alt ca. 526.000 kr. årligt.

For Energistyrelse vil det skønsmæssigt tage ca. 600 arbejdstimer årligt til opgaven med udstedelse af tilladelser efter § 4 a i lov om Energinet.dk. Satsen for gebyropkrævning er 927 kr. pr. arbejdstime i 2016. Det medfører en samlet omkostning på ca. 556.200 kr. årligt, som Energinet.dk vil skulle betale til Energistyrelsen. Da beløbet forudsættes opkrævet som en del af den samlede gebyrbetaling og også har været opkrævet i tidligere praksis, indebærer forslaget hverken administrative eller økonomiske konsekvenser for staten.

Der er ingen økonomiske og administrative konsekvenser for regioner og kommuner.

5. Økonomiske og administrative konsekvenser for erhvervslivet mv.

Forslaget forventes at medføre en samlet omkostning for el- og naturgasvirksomhederne og Energinet.dk på ca. 38,3 mio. kr. årligt fordelt på direkte løbende efterlevelsesomkostninger på ca. 24,5 mio. kr., øget gebyropkrævning fra Energinet.dk på ca. 0,5 mio. kr. (beskrevet i punkt 4) samt løbende administrative efterlevelsesomkostninger på ca. 13,3 mio. kr. foruden en administrativ omstillingsomkostning i 2017 på ca. 10,5 mio. kr.,

Energinet.dk forventes at afholde ca. 2,7 mio. kr. af de løbende administrative omkostninger og ca. 2,0 mio. kr. af de administrative omstillingsomkostninger.

Af hensyn til at sikre proportionalitet mellem virksomhedernes administrative ressourceforbrug i medfør af dette lovforslag og de enkelte virksomheders kritikalitet for forsyningen af el og naturgas opdeles virksomhederne i tre kategorier. Disse tre kategorier påfører virksomhederne

differentierede administrative omkostninger. Virksomhederne kategoriseres efter bestemmelser fra energi- forsynings- og klimaministeren som beskrevet i punkt 3.2.

I lovforslaget foreslås, at netvirksomheder får mulighed for at forhøje indtægtsrammen, hvilket ville kunne forøge prisen på el for alle elforbrugere, herunder virksomheder.

5.1 Løbende efterlevelsesomkostninger

Det forventes, at virksomhederne og Energinet.dk tilsammen pålægges øvrige efterlevelsesomkostninger som følge af denne lovændring på ca. 24,5 mio. kr. Denne omkostning skyldes hovedsageligt, at virksomhederne i el- og naturgassektorerne pålægges at være tilknyttet en kompetent it-sikkerhedstjeneste. Alle virksomheder vil være pålagt at være tilknyttet en varslingstjeneste, der giver varsler om forestående trusler eller erkendte farer. Virksomheder i kategori 1 og kategori 2 vil endvidere være pålagt at udarbejde aftale om mulighed for akut bistand fra en it-sikkerhedstjeneste. Denne aftale vil indebære bistand ved hændelser samt vejledning og overvågning. Der er således to mulige it-sikkerhedstjenester i det generelle, der alene giver meldinger og den udvidede, der giver konkret bistand.

It-sikkerhedstjenesten forventes varetaget af private virksomheder gennem kontrakter med de enkelte el- og naturgasvirksomheder, dog er det muligt for de enkelte virksomheder at varetage denne funktion selv. Det kræver dog særlige it-kompetencer. Det er muligt for virksomhederne at indgå et samlet udbud, hvorved de samlede omkostninger forventes mindsket. På baggrund af en markedsundersøgelse skønnes det, at omkostningerne til en it-sikkerhedstjeneste vil beløbe sig til ca. 23 mio. kr. årligt.

Foruden disse omkostninger pålægges Energinet.dk en række opgaver forbundet med at varetage de overordnede koordinerende opgaver. Disse opgaver omfatter bl.a. en vagtordning, der i synergi med nuværende organisation vil kunne varetage en række opgaver forbundet med at koordinere og vejlede ved akutte sikkerhedshændelser. Denne opgave omfatter også at tilsikre at it-sikkerhed inddrages i sektorberedskabsplanerne og ajourføre planerne i forhold til nye sårbarheder og trusler. Energinet.dk pålægges endvidere at bidrage til udarbejdelsen af sektorspecifikke trusselsvurderinger i samarbejde med Center for Cybersikkerhed. Dertil kommer den omfattende opgave med at føre tilsyn med og vejlede virksomheder i deres beredskabsplanlægning og risiko- og sårbarhedsvurderinger, der ved lovforslagets ikrafttræden pålægges Energinet.dk

De samlede øvrige løbende efterlevelsesomkostninger beløber sig således til 24,5 mio. kr., hvoraf Energinet.dk forventes pålagt en omkostning på ca. 1,5 mio. kr.

5.2 Administrative efterlevelsesomkostninger

Der forventes en række administrative omkostninger ved de enkelte virksomheder i forbindelse med pålagte opgaver med løbende risikovurdering og revision af leverandøraftaler, deltagelse i fora for vidensdeling samt rapportering af sikkerhedshændelser og -øvelser i forsyningskritiske it-systemer. Disse administrative omkostninger afhænger i høj grad af virksomhedernes nuværende processer for styring af it-sikkerhed, samtidig kan de variere afhængigt af it-sikkerhedshændelser, leverandørkontrakter og it-faglige kompetencer ved medarbejderne. Der er gennemført en undersøgelse af disse omkostninger, der har vurderet, at de samlede omkostninger skønnes at beløbe sig til ca. 13,3 mio. kr. årligt.

5.3. Administrative omstillingsomkostninger

Det må forventes, at der er visse administrative omstillingsomkostninger for erhvervslivet og Energinet.dk forbundet med lovforslaget og bekendtgørelsen. De samlede omkostninger er skønnet til ca. 10,5 mio. kr. Beløbets størrelse skyldes de nye opgaver, der skal varetages af virksomhederne, hvorfor der er omkostninger forbundet etablering af procedure og planmateriel samt uddannelse af medarbejdere. Omkostningerne anses for begrænset af, at lovforslaget anvender metoder kendt fra beredskabsarbejdet, herunder risiko- og sårbarhedsstyring, øvelsesaktivitet og beredskabsplanlægning, hvilket muliggør at udnytte synergi med det almene bredskabsarbejde i de enkelte virksomheder.

5.4. Forøgelse af indtægtsrammer ved netvirksomheder

Det er hensigten med dette lovforslag om it-beredskab, at der skal være mulighed for forhøjelse af indtægtsrammen som følge af kravet om, at netvirksomhederne skal være tilmeldt en it-sikkerhedstjeneste, som energi-, forsynings- og klimaministeren får hjemmel til at fastsætte ved bekendtgørelse. Netvirksomhederne vil derved kunne få kompenseret de løbende efterlevelsesomkostninger til en it-sikkerhedstjeneste via en indtægtsrammeforøgelse. Dette vedrører alene 64 netvirksomheder, hvoraf ca. 12 forventes placeret i kategori 1 og kategori 2. Samtidig er det alene omkostninger til it-sikkerhedstjenesten, der kan dækkes, det vil sige de 23 mio. kr. behandlet i pkt. 5.1. Den samlede indtægtsrammeforøgelse vil beløbe sig til ca. 10 mio. kr. årligt. Da hver virksomhed i kategori 1 og kategori 2 forventes at have omkostninger på omkring 500.000 kr. årligt mens hver virksomhed i kategori 3 forventes at have omkostninger på omkring 80.000 kr. årligt.

5.5. Gebyrer

Eneginet.dk pålægges et gebyr til at afholde de omkostninger, som Energistyrelsen har som følge af tilsyn med Energinet.dk. Disse omkostninger forventes at beløbe sig til 500 arbejdstimer årligt a 927 kr. pr. time, og indebærer tilsyn med Energinet.dk's drift af egne it-systemer, samt tilsyn med Energinet.dk's tilsynsvirksomhed over for virksomhederne i el- og naturgassektorerne. Grundet tilsynsarbejdets it-faglige karakter forventes der behov for konsulentbistand til faglige vurderinger for omkring 50 arbejdstimer årligt 1.250 kr. pr time. På denne baggrund forventes de samlede gebyrer for tilsynet pålagt Energinet.dk at beløbe sig til ca. 526.000 kr.

Herudover vil der skønsmæssigt medgå ca. 600 arbejdstimer årligt til opgaven med udstedelse af tilladelser efter § 4 a i lov om Energinet.dk. Satsen for gebyropkrævning er 927 kr. pr. arbejdstime i 2016. Det medfører en samlet omkostning på ca. 556.200 kr. årligt, som Energinet.dk vil skulle betale til Energistyrelsen. Da beløbet forudsættes opkrævet som en del af den samlede gebyrbetaling og også har været opkrævet i tidligere praksis, indebærer forslaget hverken administrative eller økonomiske konsekvenser for Energinet.dk.

5.6 Økonomisk opsummering

På baggrund af overstående forventes de samlede udgifter pålagt virksomhederne sammenlagt at beløbe sig til 33,6 mio. kr. Heraf er 10,6 mio. kr. administrative omkostninger, mens 23,0 mio. kr. er øvrige efterlevelsesomkostninger.

Dertil kommer omkostninger for Energinet.dk der vurderes sammenlagt at beløbe sig til 4,7 mio.kr årligt. Heraf er 2,7 mio. kr. administrative omkostninger, 1,5 mio. kr. øvrige efterlevelsesomkostninger og 0,5 mio. kr. er gebyrer.

Der forventes derved en samlet økonomisk omkostning ved lovforslaget på i alt 38,3 mio. kr. årligt.

6. Administrative konsekvenser for borgere

Der eringen administrative konsekvenser for borgerne afledt af lovforslaget.

7. Miljømæssige konsekvenser

Der er ingen miljømæssige konsekvenser afledt af lovforslaget.

8. Forholdet til EU-retten

Med vedtagelsen af lovforslaget sikres det, at der ikke er modstrid mellem elforsyningsloven og bestemmelserne i forordningen, der har umiddelbar retsvirkning i national ret, og at der er sanktioner i tilfælde af overtrædelse af forordningerne.

9. Hørte myndigheder og organisationer mv.

Tre udkast til lovforslag har henholdsvis i perioderne fra den 22. august 2016 til den 19. september 2016, fra den 21. september til den 28. september og fra den 7. oktober 2016 til den 14. oktober 2016 været sendt i høring hos følgende myndigheder og organisationer m.v.: Advokatsamfundet, Affald Plus, Aluminium Danmark, Arbejderbevægelsens Erhvervsråd, Arbejdstilsynet, ARI, Brancheforeningen for Biogas, Brancheforeningen for Decentral Kraftvarme, Brancheforeningen for Husstandsvindmøller, Business Danmark, Center for cybersikkerhed, CEPOS, Cevea, DAKOFA, Danmarks Naturfredningsforening, Danmarks Vindmølleforening, Dansk Affaldsforening, Dansk Byggeri, Dansk Energi, Dansk Erhverv, Dansk Fjernvarme, Dansk Gartneri, Dansk Gasteknisk Center, Dansk Internet Forum (DIFO), DANSK IT, Dansk Landbrugsrådgivning, Dansk Metal, Dansk Solcelleforening, Dansk Told- og Skatteforbund, Danske Advokater, Danske Erhvervsskoler og -Gymnasier, Danske Halmleverandører, Danske Produktionsskolers Lærerforening, Danske Underviserorganisationers Samråd, Danske Universiteter, DANVA, Datatilsynet, Dansk Industri, DKCERT, Eksportrådet, EmballageIndustrien, Energi Danmark, Energi- og Olieforum, Energiforum Danmark, Energiklagenævnet, Energinet.dk, Energitilsynet, Erhvervsstyrelsen, Finansforbundet, Finansrådet, Forbrugerrådet Tænk, Foreningen af Danske Skatteankenævn, Foreningen af Rådgivende Ingeniører, Foreningen Danske Kraftvarmeværker, Foreningen Danske Olieberedskabslagre, Foreningen Danske Revisorer, Foreningen for Danske Biogasanlæg, Forstanderkredsen for Produktionsskoler, Frie Funktionærer, FSE, FSR - danske revisorer, FTF, Fødevarestyrelsen, Greenpeace Danmark, HK, HOFOR, Håndværksrådet, IT-Branchen, IT-Politisk Forening, KL, Konkurrence- og Forbrugerstyrelsen, Kraka, Kystdirektoratet, Metalemballagegruppen, Mineralolie Brancheforeningen, Moderniseringsstyrelsen, Nasdaq OMX Copenhagen A/S, Nationalbanken, Nationalt Center for Miljø og Energi, Natur- og Miljøklagenævnet, Nordisk Folkecenter for Vedvarende Energi, Partnerskabet for brint og brændselsceller, Plastindustrien, Produktionsskoleforeningen, PROSA, Realkreditforeningen, Realkreditrådet, Rigspolitichefen, Rigspolitiets Cyber Crime Center, Rådet for Digital Sikkerhed, Sammenslutningen af Landbrugets Arbejdsgiverforeninger, Sammensluttede Danske Energiforbrugere, Samvirkende Energi- og Miljøkontorer, SEGES, Serviceforbundet, Sikkerhedsstyrelsen, SRF Skattefaglig Forening, Statens IT-projektråd, Telekommunikationsindustrien (TI), Vedvarende Energi, VELTEK og Vindmølleindustrien.

I forbindelse med høringen af ovenstående, har berørte virksomheder, såvel produktionsselskaber, netselskaber, balanceansvarlige og interesseorganisationer været indbudt til et dialogmøder ved Energistyrelsen. Ved disse møder er indholdet af lovforslaget blevet drøftet.

10. Sammenfattende skema

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Til nr. 1

Den gældende § 51, stk. 2, indebærer, at der kan opkræves gebyr for Energistyrelsens tilsyn med bevillingshavere samt Energinet.dk og denne virksomheds helejede datterselskaber, herunder bl.a. for klagesagsbehandling.

Det foreslås, at § 51, stk. 2, ændres, således at der skabes hjemmel til, at myndigheders tilsyn med it-beredskabsopgaver efter den foreslåede § 85 c, stk. 2, kan gebyrfinansieres.

Den foreslåede ordning indebærer, at bestemmelsen ændres, så det klart fremgår af bestemmelsen, at der kan kræves gebyr for tilsyn med beredskabsopgaver efter § 85 c, stk. 6. Herudover ændres bestemmelsen, så virksomheder, der yder balanceringsydelser, og som bliver omfattet af krav efter den foreslåede ændring af § 85 d, stk. 1, om opretholdelse af et it-beredskab, kan opkræves gebyr i forbindelse med myndigheders tilsyn.

Formålet med ændringen er at sikre finansieringen af den nye tilsynsopgave, som følger af den foreslåede bestemmelse i § 85 c, jf. lovforslagets § 1, nr. 7. Ændringen betyder, at de kollektive elforsyningsvirksomheder skal betale for de timer, som Energistyrelsen anvender til at føre tilsyn med virksomhederne til en tilsynssats, som vil blive fastsat ved bekendtgørelse. Den foreslåede ændring har ikke til hensigt at begrænse anvendelsesområdet for den gældende § 51, stk. 2.

Til nr. 2

Efter § 51 a, nr. 2, kan energi-, forsynings- og klimaministeren fastsætte regler om betaling til dækning af omkostningerne ved behandling af ansøgning om tilladelse, herunder de tilladelser, der er nævnt i § 11, stk. 1, § 12 a, stk. 1, § 21, stk. 1, § 22 a, stk. 1, § 23, stk. 1, og § 37 a, stk. 1.

Efter den gældende bestemmelse er det præciseret, at der skal betales gebyr for tilladelser til etablering af elforsyningsnet på søterritoriet og i den eksklusive økonomiske zone, når nettet opføres af en anden virksomhed end Energinet.dk.

Det foreslås, at der i bestemmelsen indsættes en henvisning til § 4 a, stk. 1, i lov om Energinet.dk.

Den foreslåede ændring indebærer, at ministeren kan fastsætte regler om, at Energinet.dk skal betale for myndighedsbehandling af tilladelser til etablering af nye elforsyningsnet på søterritoriet og i den eksklusive økonomiske zone samt væsentlige ændringer i bestående elforsyningsnet og for tilladelser til miljøgodkendelse til sådanne projekter.

Ændringen har til formål at præcisere, at der kan opkræves gebyrer fra Energinet.dk, ligesom der kan opkræves gebyrer fra andre virksomheder, som ønsker at opføre et elforsyningsnet på søterritoriet eller i den eksklusive økonomiske zone.

Ifølge bemærkningerne til § 51 a forudsættes det, at ministeren kan fastsætte regler om betaling til dækning af omkostningerne ved behandling af ansøgninger om tilladelser, herunder tilladelse til elforsyningsnet på søterritoriet m.v., jf. betænkning afgivet den 26. april 2007, jf. Folketingstidende 2006-2007, tillæg B, side 888-902. Bemærkningerne nævner ikke, at der skulle gælde særlige regler for tilladelser til Energinet.dk. Det vurderes på denne baggrund, at det er en fejl, at § 51 a, nr. 2, ikke indeholder en henvisning til § 4 a i lov om Energinet.dk. Med den foreslåede præcisering vil fejlen blive rettet, således at det klart fremgår, at der kan kræves gebyrer fra Energinet.dk for tilladelse til elforsyningsnet på søterritoriet.

Der vil blive fastsat nærmere regler om betalingsinddrivelsen ved bekendtgørelse. Reglen forudsættes administreret efter de samme principper som andre gebyrbetalinger fra Energinet.dk til Energistyrelsen, der aktuelt er reguleret i bekendtgørelse om betaling for myndighedsbehandling efter lov om elforsyning og lov fremme af vedvarende energi. Beløbet vil således blive opkrævet som en del af de samlede aconto-betalinger for gebyrer fra Energinet.dk til Energistyrelsen, som justeres i forhold til det egentlige tidsforbrug til opgavevaretagelsen i Energistyrelsen ved årets udgang.

Til nr. 3

Det fremgår af § 70, stk. 2, 1. pkt., i lov om elforsyning, at energi-, forsynings- og klimaministeren fastsætter regler om indtægtsrammer. Det fremgår endvidere af § 70, stk. 2, 2. pkt., at det som led i denne regulering sikres, at tarifferne i faste priser regnet som et gennemsnit ikke stiger i forhold til tarifferne pr. 1. januar 2004, idet kapital, der finansierer nødvendige nyinvesteringer, dog fortsat skal kunne forrentes og afskrives.

Elforsyningsloven indeholder en række bestemmelser, som kan føre til forhøjelse af indtægtsrammerne. Det fremgår således af § 70, stk. 8, 1. pkt., i lov om elforsyning, at Energitilsynet kan forhøje virksomhedens indtægtsramme med et beløb, der kompenserer for eventuelle afholdte omkostninger ved pålæg fra myndigheder eller Energinet.dk, der indebærer en væsentlig fremskyndelse af vedligeholdelsesarbejder, udskiftninger eller tekniske tilpasninger af eksisterende anlæg. Det fremgår endvidere af § 70, stk. 8, 2. pkt., i lov om elforsyning, at Energitilsynet kan forhøje indtægtsrammen med et beløb, der kompenserer for væsentlige meromkostninger som følge af pålæg fra myndigheder, som ligger ud over forpligtelsen til at drive nettene, jf. § 20, stk. 1, i lov om elforsyning, og som ikke er omfattet af § 70, stk. 4, i lov om elforsyning. Lovens § 70, stk. 4, vedrører forhøjelser af indtægtsrammen som følge af nødvendige nyinvesteringer.

Energiklagenævnet har truffet tre afgørelser om forståelsen af myndighedspålæg, jf. Energiklagenævnets afgørelse af 12. maj 2014 om afslag på forhøjelse af indtægtsramme (J.nr. 1011-13-93-17), afgørelse af 28. oktober 2015 om afslag på forhøjelse af indtægtsramme (J.nr. 1011-14-166-36) og afgørelse af 29. juni 2016 om afslag på indtægtsrammeforhøjelse - omkostninger vedr. etablering af Cityring (metro) (J.nr. 2011-15-44-16).

Det fremgår af Energiklagenævnets seneste afgørelse af 29. juni 2016, hvor der henvises til de to tidligere afgørelser, at der »ved myndighedspålæg - eller pålæg fra Energinet.dk - menes individuelle pålæg i form af konkrete forvaltningsafgørelser og ikke generelle retsakter i form af f.eks. lovregulering, som i den omhandlede sag.«

Det er hensigten med dette lovforslag om it-beredskab, at der skal være mulighed for forhøjelse af indtægtsrammen som følge af kravet om, at netvirksomhederne skal være tilmeldt en it-sikkerhedstjeneste, som energi-, forsynings- og klimaministeren får hjemmel til at fastsætte ved bekendtgørelse efter den foreslåede bestemmelse til § 85 c, stk. 5, nr. 4, i lov om elforsyning og bemærkninger hertil. Der henvises endvidere til de almindelige bemærkninger afsnit 3.2. Det er ikke tilsigtet, at der skal udarbejdes individuelle pålæg i form af konkrete afgørelser.

På den baggrund foreslås, at der indsættes en hjemmel i § 70, stk. 15, i lov om elforsyning, hvorefter energi-, forsynings- og klimaministeren kan fastsætte regler om, at Energitilsynet kan forhøje en virksomheds indtægtsramme som følge af dokumenterede meromkostninger, som udspringer af krav om tilmelding til en it-sikkerhedstjeneste. Det fremgår, at omkostningerne skal være dokumenterede. Der forventes fastsat regler om, at indtægtsrammeforhøjelsen vil vedrøre de omkostninger, som kan dokumenteres i henhold til en kontrakt med en it-sikkerhedstjeneste om varslingsydelse og akut bistand til virksomheder i kategori 1 og 2. Det forventes også, at ministeren vil fastsætte regler om, at kontrakterne skal godkendes af tilsynsmyndigheden i medfør af forslaget til § 85 d, stk. 6. Indtægtsrammen vil ikke kunne forhøjes på baggrund af f.eks. intern administration afledt af kravet om tilmelding til en it-sikkerhedstjeneste.

Reglerne om forhøjelsen af indtægtsrammen forventes at give mulighed for en midlertidig forhøjelse, som vil følge kontraktens løbetid. Forhøjelsen vil nødvendigvis skulle ske efter ansøgning, idet det er Energitilsynet, som træffer afgørelse om fastsættelse af indtægtsrammen. Energi-, forsynings- og klimaministeren vil kunne fastsætte regler herom i medfør af § 70, stk. 2, i lov om elforsyning.

Der er udstedt to bekendtgørelser med hjemmel i § 70, stk. 2, som giver mulighed for indtægtsrammeforhøjelser på baggrund af udmøntede regler i bekendtgørelserne, uden at der er givet individuelle pålæg i form af konkrete afgørelser. Det drejer sig om bekendtgørelse nr. 1358 af 3. december 2013 om fjernaflæste elmålere og måling af elektricitet i slutforbruget og bekendtgørelse nr. 830 af 27. juni 2016 om energispareydelser i net- og distributionsvirksomheder.

Det fremgår af bemærkningerne til § 22, stk. 9, i lov om elforsyning, som indsat ved lov nr. 622 af 11. juni 2010, jf. Folketingstidende 2009-2010, tillæg A, L 154, side 21 og 22, at en netvirksomheds omkostninger til myndighedspålagte energibesparelser hos slutbrugerne dækkes af en forhøjelse af virksomhedens tariffer på baggrund af en forhøjelse af indtægtsrammen, der dækker omkostningerne til energispareindsatsen, jf. § 70, stk. 7, 2. pkt., i lov om elforsyning. Det fremgår endvidere af forarbejderne til lov nr. 642 af 12. juni 2013, jf. nærmere de almindelige bemærkninger afsnit 4. Økonomiske og administrative konsekvenser for erhvervslivet, Folketingstidende 2012-2013, tillæg A, L 180, side 17, at hvis hjemlen til at udstede regler med efterfølgende påbud om installation af fjernaflæste målere udnyttes, vil netvirksomhederne kunne få forhøjet deres indtægtsrammer midlertidigt til dækning af meromkostningerne.

På baggrund af ovenstående er det vurderet, at der er tilstrækkelig hjemmel til fastsættelse af de gældende regler i de to bekendtgørelser om indtægtsrammeforhøjelser, men for at undgå uklarhed om hjemmelsgrundlaget foreslås, at forslaget til bemyndigelsen i § 70, stk. 15, også indeholder en hjemmel til at fastsætte regler om forhøjelse af indtægtsrammen i forhold til meromkostninger, som udspringer af krav om udskiftning og opgradering af elmålere til fjernaflæste målere, ved fremskyndelse af investeringer i fjernaflæste elmålere og indsendelse af timemålte forbrugsdata til datahubben i henhold til regler fastsat af energi-, forsynings- og klimaministeren i medfør af § 20, stk. 2, og § 22, stk. 4, i lov om elforsyning og som følge af krav om sikring af realisering af dokumenterbare energibesparelser i overensstemmelse med regler fastsat i medfør af § 22, stk. 4, jf. § 22, stk. 1, nr. 5. Der er ikke med indsættelsen af hjemmelsbestemmelsen i § 70, stk. 15, tilsigtet materielle ændringer i forhold til, hvad der kan føre til indtægtsrammeforhøjelser i forhold til fjernaflæste målere og energibesparelser. Der vil således fortsat kunne fastsættes regler om eksempelvis standardiserede forudsætninger til beregningerne. Der henvises til § 9 i bekendtgørelse nr. 1358 af 3. december 2013 om fjernaflæste elmålere og måling af elektricitet i slutforbruget og § 19 i bekendtgørelse nr. 830 af 27. juni 2016 om energispareydelser i net- og distributionsvirksomheder.

De fastsatte regler vedrørende fjernaflæste elmålere og energibesparelser fastsat i medfør af 70, stk. 2, i lov om elforsyning, jf. lovbekendtgørelse nr. 418 af 25. april 2016 med senere ændringer, forbliver i kraft, indtil de ophæves eller afløses af nye regler.

Til nr. 4

Den nugældende overskrift til kapitel 12 lyder således: Oplysningspligt, kontrol, fortrolighed, beredskab.

Det foreslås at nyaffatte overskriften, så overskriften med lovforslaget lyder: "Kapitel 12. Beredskab, fortrolighed, kontrol, oplysningspligt og påbud".

Den foreslåede ændring indebærer, at titlen på kapitel 12 afspejler indholdet og den systematik, der følger af lovforslagets § 1, nr. 4 og 5. Ændringen er således begrundet i lovtekniske og retssystematiske hensyn.

Til nr. 5

Efter § 85 b, stk. 4, kan energi-, forsynings- og klimaministeren fastsætte regler om udførelse af tilsyn med det beredskabsarbejde, der udføres efter stk. 1 og 2, herunder om virksomhedernes fremsendelse af materiale som grundlag for tilsynet, om tilsynets beføjelser i forhold til virksomhederne og om klageadgang. I reglerne kan det fastsættes, at tilsyn med beredskabsarbejde efter stk. 1 skal udføres af Energinet.dk.

Det foreslås, at § 85 b, stk. 4, 2. pkt., ophæves.

Den foreslåede ordning indebærer, at en given delegation af kompetence skal ske efter den almindelige delegationsbestemmelse i § 92 i lov om elforsyning, idet denne bestemmelse anses for en tilstrækkelig til at delegere ministerens beføjelser til en anden myndighed. Den nugældende delegationsbestemmelse i § 85 b, stk. 4, 2. pkt., er således ikke nødvendig.

Det vurderes hensigtsmæssigt, at tilsynsmyndigheden for det almene beredskab og it-beredskabet er den samme, af hensyn til synergi mellem disse opgaver. Samtidig vurderes den teknologiske og kommercielle udvikling i el- og naturgassektorerne at kunne medføre behov for, at opgaven som tilsynsmyndighed kan flyttes til anden relevant myndighed. Det er derfor hensigtsmæssigt at give energi-, forsynings- og klimaministeren mulighed for at fastsætte regler om varetagelse af tilsynsopgaven beskrevet i § 85 b, stk. 4, i lov om elforsyning og nye bestemmelser i dette lovforslag. Der henvises i øvrigt til punkt 3.5. i de almindelige bemærkninger.

Den foreslåede ændring medfører således, at energi-, forsynings- og klimaministeren som hidtil fastsætter regler for tilsynet med beredskabet i medfør af § 85 b, stk. 4. Det er hensigten, at energi-, forsynings- og klimaministeren kan fastsætte regler, der pålægger enten Energinet.dk, Energistyrelsen eller anden egnet myndighed at føre tilsyn med virksomhedernes overholdelse af reglerne fastsat i medfør af § 92 i lov om elforsyning. Energi-, forsynings- og klimaministeren kan tillægge en relevant myndighed tilsynsopgave efter en vurdering af, hvilken institution der findes mest egnet til at løse tilsynsførelsen.

Vurdering af hvilken institution, der skal føre tilsyn med virksomhederne skal omfatte såvel økonomiske som organisatoriske forhold af betydning, herunder skal følgende forhold som minimum vurderes:

1. Energistyrelsens tilsyn med Energinet.dk, herunder Energistyrelsens mulighed for at føre tilsyn med tilsynsførelsen overfor virksomhederne.

2. Virksomhedernes samarbejde med Energinet.dk i såvel beredskabssituationer som i forbindelse med planlægning af beredskabsarbejdet.

3. Energinet.dk's it-beredskabsarbejde internt.

4. Sammenhæng og synergi med andre opgaver indenfor beredskabet.

Disse forhold er afhængige af mange faktorer, herunder de mulige truslers karakter, de økonomiske rammer for Energinet.dk, Energinet.dk's handler med balancevirksomheder, udviklingen af markedet for it-serviceydelser og sektorernes øvrige regulering. Ved at kunne ændre op fordelingen af tilsynsopgaver ved Energinet.dk og Energistyrelsen skal energi-, forsynings- og klimaministeren sikre, at tilsynsopgaven pålægges den institution, der efter ovennævnte forhold har de bedste vilkår for at føre tilsynet med virksomhedernes efterlevelse af disse regler.

Tilsynet med virksomhederne kan tilpasses til virksomhedernes kritikalitet for den samlede elforsyning. Tilsynsmyndigheden skal gennemføre tilsynsbesøg årligt ved virksomheder, der varetager kritiske systemer, mens tilsynet ved de resterende virksomheder kan begrænses til treårlige tilsynsbesøg suppleret af løbende underretninger og skriftlig kommunikation om ændringer af beredskabsplaner og risikoundersøgelser.

Tilsynsmyndigheden skal dokumentere de gennemførte tilsyn, og virksomhederne skal have mulighed for at kommentere tilsynsmyndighedens tilsynsdokumentation.

Tilsynet med virksomhedernes beredskabsarbejde forudsætter, at virksomhederne meddeler tilsynsmyndigheden relevante oplysninger bl.a. risiko- og sårbarhedsvurderinger samt beredskabsplaner, procedurer m.m., som er udarbejdet på grundlag af disse risiko- og sårbarhedsvurderinger. Vurdering af dette materiale forudsætter faglig viden om driftsforholdene i de forskellige former for virksomhed inden for elsektoren. Tilsynsmyndigheden kan indhente oplysninger om aktuelle og historiske driftsforhold ved Energinet.dk's kontrolcenter, alene med det formål at vurdere tilstrækkeligheden af virksomhedernes beredskabsarbejde i forhold til deres kritikalitet for det samlede el-system.

Tilsynsarbejdet skal adskilles fra Energinet.dk's overordnede koordinerende opgaver i beredskabssituationer. Disse overordnede, koordinerende opgaver forudsætter ligeledes et kendskab til de enkelte virksomheders it-beredskab, dettes omfang og kvalitet samt det indbyrdes samspil mellem de forskellige virksomheders beredskab. Såfremt Energinet.dk varetager opgaven som tilsynsmyndighed, og derved varetager både de overordnede koordinerende beredskabsopgaver efter § 85 b, stk. 2, i lov om elforsyning og tilsynet med virksomhedernes beredskabsarbejde, skal Energinet.dk sikre, at virksomhederne oplyses om, hvilke informationer der anvendes i tilsynsøjemed. Energistyrelsen pålægges at føre tilsyn med Energinet.dk's arbejde med at sikre beskyttelse af egne forsyningskritiske it-systemer og varetagelse af de overordnede koordinerende opgaver i beredskabssituationer. Energistyrelsen pålægges endvidere at føre tilsyn med Energinet.dk's tilsyn med virksomhedernes it-beredskabsarbejde, såfremt Energinet.dk varetager tilsynet over for virksomhederne.

Til nr. 6

Det nugældende kapitel 12 a om påbud indeholder én bestemmelse i § 85 c, hvorefter klima-, energi- og bygningsministeren og Energitilsynet kan påbyde, at forhold, der strider mod loven, mod regler eller afgørelser i henhold til loven eller mod Europa-Parlamentets og Rådets forordning om betingelserne for netadgang i forbindelse med grænseoverskridende elektricitetsudveksling, bringes i orden straks eller inden en nærmere angivet frist.

Efter bestemmelsens stk. 2 kan Energitilsynet påbyde, at forhold, der strider mod en juridisk bindende afgørelse truffet af det europæiske agentur for samarbejde mellem energireguleringsmyndigheder eller strider mod Europa-Parlamentets og Rådets forordning nr. 1227/2011 af 25. oktober 2011 om integritet og gennemsigtighed på engrosenergimarkederne eller mod retsakter, der er vedtaget på grundlag heraf, bringes i orden straks eller inden en nærmere angivet frist.

Det foreslås at kapitel 12 a ophæves af lovtekniske grunde, og forslaget skal således ses i sammenhæng med lovforslagets § 1, nr. 7, der indebærer at den nugældende § 85 c videreføres uændret som § 85 d, se herom umiddelbart nedenfor.

Den gældende regulering i elforsyningsloven af beredskabsforhold omfatter ikke it-beredskabsforhold. Med lovforslaget indsættes derfor en ny bestemmelse i § 85 c om it-beredskab, og det foreslås at videreføre den nugældende § 85 c om påbud, som ny § 85 d i kapitel 12.

Det foreslås i 85 c, stk. 1, at bevillingspligtige virksomheder, efter §§ 10 og 19, Energinet.dk og dennes helejede datterselskaber og virksomheder, der yder balanceringsydelser af elsystemet, skal opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer af betydning for elforsyningen.

Bestemmelsen omfatter Energinet.dk og dennes helejede datterselskaber, hvis definitionen er nærmere beskrevet i lov om Energinet.dk. Endvidere omfatter bestemmelsen bevillingspligtige virksomheder: Disse virksomheder er produktionsvirksomheder med en produktionskapacitet på over 25 MW og netvirksomheder, som er nærmere defineret i §§ 10 og 19. Disse typer af virksomheder har også været omfattet af den almindelige beredskabsbestemmelse i elforsyningslovens § 85 b.

Bestemmelsen omfatter endvidere virksomheder, der efter aftale med Energinet.dk formidler balanceydelser til elsystemet, således at der bevares en balance mellem elforbruget og elproduktionen. Disse balanceansvarlige virksomheder har styring over fysiske anlæg, der kan producere eller aftage elektricitet, hvorved virksomheden kan levere ydelser, der bidrager til balanceringen af elsystemet. En balanceansvarlig virksomhed er en virksomhed, der på markedsvilkår påtager sig ansvar for ubalancer mellem forbrug og produktion.

De nævnte virksomheder har forskellig indvirkning på den samlede elforsyning. Nogle virksomheder foretager handler i afgrænsede geografiske områder, mens andre varetager specifikke opgaver i det sammenhængende el-system.

For at begrænse virksomhedernes ressourceforbrug til efterlevelse af regler om it-beredskab, samt begrænse ressourceforbruget i forbindelse med tilsyn ved såvel virksomhederne som myndighederne forudsættes den fremtidig regulering i medfør af den foreslåede regel i § 85 d, stk. 6, at indeholde en opdeling af virksomhederne i tre nærmere definerede kategorier, og at der fastsættes graduerede krav i forhold til denne inddeling. Se herom nedenfor.

Virksomheder kan drive it-systemer, der ikke anses for at være et kritisk it-system for den enkelte virksomhed, men som kan have indflydelse på driften af kritiske it-systemer ved andre virksomheder. Denne type it-systemer skal håndteres som kritiske it-systemer. Der kan endvidere forekomme it-systemer, der styrer anlæg ved flere virksomheder, og disse it-systemer kan have varieret kritikalitet for de enkelte virksomheder. Denne type it-systemer skal beskyttes ud fra en vurdering af deres samlede betydning for det samlede elforsyningssystem.

Den foreslåede ordning indebærer en pligt for de omfattede virksomheder til at foretage en rettidig it-beredskabsplanlægning, således at nedbrud, fejl eller angreb i virksomhedens it-systemer ikke afstedkommer forsyningsnedbrud.

Kritiske it-systemer varetager centrale funktioner for forsyningen, hvor nedbrud, angreb eller fejl i disse it-systemer vil kunne påvirke elforsyningen. Såfremt det ikke er muligt at fjerne risikoen for forsyningsnedbrud som resultat af nedbrud, angreb eller fejl i virksomhedens it-systemer, skal virksomheden beskytte disse kritiske it-systemer på en sådan måde, at nedbrudsperioden begrænses. Beskyttelsen af kritiske it-systemer er ikke begrænset til en specifik trusselstype eller et konkret risikoscenarie. Virksomhederne skal vedligeholde et trusselsbillede, der indeholder både trusler mod virksomhedernes egne kritiske it-systemer og de it-systemer, virksomheden er afhængig af. De kritiske it-systemer skal beskyttes mod enhver trussel, der kan afstedkomme, at de styrings- og kontrolopgaver it-systemet varetager forhindres eller forstyrres.

Virksomhederne skal træffe foranstaltninger, der anses for nødvendige for at begrænse risikoen for forsyningsnedbrud som resultat af forstyrrelser i kritiske it-systemer. Nødvendige foranstaltninger er i denne sammenhæng, alle tiltag der kan begrænse konsekvenserne ved eller risikoen for et nedbrud af forsyningen under hensynstagen til virksomhedernes kommercielle drift. Disse foranstaltninger bør dog ikke kunne forøge risikoen eller omfanget af skader på mandskab og materiel i forbindelse med den operative håndtering af forstyrrelser i kritiske it-systemer.

Vurderingen af, hvilke foranstaltninger der skønnes nødvendige, beror på den enkelte virksomheds forhold.

Ved vurdering af om en foranstaltning kan betragtes som nødvendig, forudsættes virksomhederne at tillægge følgende forhold værdi efter prioriteret rækkefølge:

1. Foranstaltningen medfører ikke øget risiko for personskade.

2. Foranstaltningen medfører ikke øget risiko for materiel skade.

3. Foranstaltningen begrænser konsekvenserne og tidsrummet af forsyningsnedbrud.

4. Foranstaltningen begrænser ikke virksomhedens håndtering af andre beredskabssituationer udløst af andre faktorer så som vejret, uheld eller fysiske angreb.

5. Foranstaltningen begrænser ikke virksomhedens øvrige drift.

6. Foranstaltningen er naturlig at udføre i sammenhæng med de daglige rutiner, hvorfor operatører vil være mere tilbøjelige til at anvende den i praksis.

7. Foranstaltningen påfører virksomheden begrænsede omkostninger ved planlægning.

8. Foranstaltningen påfører virksomheden begrænsede omkostninger ved iværksættelse.

Det forudsættes, at virksomhederne i forbindelse med denne vurdering inddrager relevante medarbejdere med viden om konkrete forhold samt fagpersoner med erfaring og viden inden for det specifikke område. Det forudsættes endvidere, at virksomhederne tilsikrer, at der løbende foregår en dialog internt mellem relevante medarbejdere, således at evt. ændrede forhold kan inddrages i vurderingen af, hvilke tiltag der er nødvendige for at sikre elforsyningen. Det forudsættes, at der efter den foreslåede bestemmelse i § 85 d, stk. 5, fastsættes regler, der stiller krav om, at virksomhederne skal kunne godtgøre, at disse forhold har været inddraget i forbindelse med vurderingen.

Som eksempel på en nødvendig foranstaltning, som antages at være relevant i næsten alle virksomheder, kan nævnes tiltag som procedure for adgangsstyring til virksomhedens kritiske it-systemer. Det er dog ikke sikkert at denne procedure er ens ved alle virksomheder. En virksomhed, som har flerbrugeradgang til egne kritiske it-systemer, kan vurdere, at det er nødvendigt at have et automatiseret system, der varetager logning af brugerdata og styringsdata.

Vurderingen af hvilke foranstaltninger der er nødvendige, forudsætter at virksomheden har foretaget en grundig behandling af, hvilke risici og sårbarheder der er relevante for virksomheden. Tilsynsmyndigheden kan anmode virksomhederne om at foretage vurderinger af konkrete risici- eller sårbarheder, såfremt virksomhedens vurderinger findes manglefulde eller utilstrækkelige. Der er således en sammenhæng mellem virksomhedernes risiko- og sårbarhedsvurderinger, virksomhedernes interne organisering af it-beredskabsarbejdet, kendskabet til egne systemer, det generelle trusselsbillede og foranstaltningerne virksomhederne hver især træffer.

De nødvendige foranstaltninger vil i nogle tilfælde afhænge af virksomheden økonomiske forhold. Dermed er det ikke hensigten at hensynet til økonomisk forhold skal prioriteres fremfor hensynet til andre faktorer, men de nødvendige tiltag bør tilrettelægges til virksomhederne øvrige tiltag og aktiviteter, således at de økonomiske omkostninger forbundet med it-beredskabet kan begrænses.

En virksomhed anses for at gennemføre de nødvendige tiltag såfremt, der ved tilsyn kan forevises sammenhæng mellem tiltagene, egne risiko- og sårbarhedsvurderinger og trusselsbilledet, der i øvrigt er anerkendt at personale med ansvaret for it-sikkerheden, driften af forsyningssystemerne og forretningen.

Det foreslås i stk. 2, at energi-, forsynings- og klimaministeren kan påbyde en virksomhed omfattet af stk. 1, at foretage en it-revision af forsyningskritiske it-systemer, såfremt den pågældende virksomhed ikke opfylder et påbud udstedt af energi-, forsynings- og klimaministeren efter § 85 d. Manglende overholdelse af et påbud efter stk. 2 efter en tidsfrist angivet af tilsynsmyndigheden vil føre videre i påbuds- og sanktionsmulighederne, hvorefter det foreslåede stk. 3 i dette lovforslag vil finde anvendelse. Overholder den pågældende virksomhed ej heller påbuddet udstedt i henhold til stk. 3, kan energi-, forsynings- og klimaministeren anvende de sanktionsmuligheder, der følger af gældende ret for sanktioner i elforsyningsloven herunder kapitel 13, samt endeligt inddrage virksomhedens bevilling jf. § 54, i lov om elforsyning.

Såfremt det i forbindelse med tilsyn eller på anden måde konstateres, at den pågældende virksomhed ikke opfylder kravet i den foreslåede § 85 c, stk. 1, om at opretholde et it-beredskab, og ikke har truffet de nødvendige foranstaltninger, vil energi-, forsynings- og klimaministeren kunne udnytte den eksisterende hjemmel til at udstede et påbud efter bestemmelsen, der bliver til § 85 d, stk. 1, hvorefter energi-, forsynings- og klimaministeren kan påbyde, at forhold, der strider mod loven, mod regler eller afgørelser i medfør af loven, bringes i orden straks eller inden en nærmere angiven frist. Stk. 2 har til formål at virksomheder overholder det foreslåede stk. 1, da manglende overholdelse vil kunne bringe elforsyningen i fare. For at sikre overholdelse af det foreslåede stk. 1, henvises der til bemærkningerne til stk. 1.

Opfylder den pågældende virksomhed ikke det meddelte påbud, jf. den foreslåede bestemmelse i § 85 d, stk. 1, kan energi-, forsynings- og klimaministeren med det foreslåede § 85 d, stk. 2, påbyde den pågældende virksomhed, at den får foretaget en it-revision af forsyningskritiske it-systemer.

En it-revision består i en teknisk gennemgang af virksomhedens it-systemer, samt virksomhedens it-politikker og it-procedure således, at der etableres et billede om virksomhedens it-drift. På baggrund af denne viden undersøger it-revisionen virksomhedens evne til at fortsætte forsyningen i tilfælde af it-angreb eller it-nedbrud. En it-revision kan baseres på et internationalt anerkendt it-sikkerhedsstyringssystem såfremt tilsynsmyndigheden finder det forsvarligt i den enkelte virksomhed.

Bestemmelsen har til formål at sikre kortlægningen af den pågældende virksomheds it-systemer, herunder sikkerhedsforhold, med henblik på at tilvejebringe et tilstrækkeligt sikkert og relevant it-beredskab. Energi-, forsynings- og klimaministeren fastsætter i medfør af den foreslåede ændring i § 85 c, stk. 5, regler om krav til indholdet af it-revisionen, herunder krav om at it-revisionen skal indeholde anbefalinger. Disse anbefalinger skal den pågældende virksomhed efterleve og bringe i orden efter det forslåede stk. 3.

Den foreslåede ændring må forventes at få den konsekvens, at beslutninger om virksomhedens it-beredskab sker på det bedst mulige faglige grundlag.

Omkostninger forbundet med it-revisionen afholdes af den pågældende virksomhed. Ved uafhængig revisor forstås en revisor, som ikke er eller har været virksomhedens sædvanlige revisor og hverken har eller i perioden, som it-revisionen vedrører, har haft andre opgaver for virksomheden. Den uafhængige revisor skal være godkendt af tilsynsmyndigheden for at tilsikre tilstrækkelig og nødvendig faglighed af revisoren.

Det foreslås i stk. 3, at energi-, forsynings- og klimaministeren kan påbyde virksomheder at gennemføre tiltag på baggrund af it-revisionen efter stk. 2, der skønnes nødvendige for at overholde stk. 1 og derved tilsikre opretholdelse af en sikker elforsyning. Stk. 3 kan således kun finde anvendelse såfremt virksomheden først ikke har overholdt påbuddet udstedt i henhold til den foreslåede § 85 d, det vil sige først efter, at der er foretaget en it-revision i henhold til stk. 2. It-revisionen efter det foreslåede stk. 2 forventes at indeholde en række anbefalinger fremsat af revisoren, der opstiller tiltag som den pågældende virksomhed efter revisorens faglige vurdering skal bringe i orden for at overholde stk. 1. Energi-, forsynings- og klimaministeren kan i påbuddet efter stk. 3 fastsætte en nærmere tidsfrist for, hvornår forholdene skal være bragt i orden. Overholder den pågældende virksomhed ikke påbuddet udstedt i henhold til stk. 3, og bringer virksomheden ikke forholdene i orden inden for den fastlagte tidsfrist, kan energi-, forsynings- og klimaministeren anvende de sanktionsmuligheder, der følger af gældende ret for sanktioner i elforsyningsloven, herunder kapitel 13, samt endeligt inddrage virksomhedens bevilling, jf. § 54.

Det har ikke tidligere været muligt efter gældende ret for energi-, forsynings- og klimaministeren, at påbyde virksomheder at gennemføre tiltag, der anses for at være nødvendige for overholdelse af stk. 1 på baggrund af en it-revision. Overholdelsen af det foreslåede stk. 1 er så væsentlig for opretholdelsen af en sikker elforsyning, at virksomhederne til enhver tid skal overholde disse regler. Formålet med stk. 3 er derfor at skabe en yderligere mulighed for at virksomheder overholder stk. 1 på baggrund af revisorens rapport frem for at sanktionere med bøde som har været tidligere praksis i gældende ret, hvis den pågældende virksomhed ikke har overholdt et påbud udstedt efter § 85 c som bliver 85 d. Både stk. 2 og stk. 3 er derfor nye foreslåede påbudsmuligheder, der skal være med til at sikre opretholdelse af en sikker elforsyning.

Den foreslåede ordning indebærer, at energi-, forsynings- og klimaministeren fastsætter regler om krav til indholdet af it-revisionen, herunder krav om at it-revisionen skal indeholde anbefalinger i medfør af den foreslåede ændring i § 85 c, stk. 5. For krav om indholdet til it-revisionen henvises til bemærkningerne til det foreslåede stk. 5, nr. 6.

Omkostningerne forbundet ved it-revisionen og efterfølgende tiltag på baggrund af it-revisionen, afholdes af den pågældende virksomhed.

For korrekt overholdelse af det foreslåede stk. 1 henvises til bemærkningerne til stk. 1. Der henvises i øvrigt til de almindelige bemærkninger om sanktion og påbud i afsnit 3.3 og samt bemærkningerne til stk. 1 om vurderingen af nødvendige foranstaltninger.

Det foreslås i stk. 4, at oplysninger, herunder vurderinger, planer og data, vedrørende sikkerhedsforhold for forsyningskritiske it-systemer i virksomheder omfattet at stk. 1 er fortrolige, hvis oplysningerne er væsentlige af hensyn beskyttelse af driften af virksomheden eller det sammenhængende el-system.

Den foreslåede bestemmelse indebærer, at oplysninger, herunder vurderinger, planer eller data skal holdes fortrolige, såfremt det skønnes nødvendigt af hensyn til virksomhedens egen sikkerhed, andre virksomheders sikkerhed eller forsyningssikkerheden på lokalt, regionalt eller nationalt niveau. Det er som udgangspunkt udstederen eller ejeren af oplysningerne, der vurdere oplysningernes fortrolighed, samt drager nødvendige foranstaltninger for at beskytte disse. Bestemmelsen har til formål at modvirke, at oplysninger anvendes til at forvolde skade på den enkelte virksomheds forsyningskritiske it-systemer eller det samlede elforsyningssystem.

Ved vurderinger forstås i denne bestemmelse beskrivelser af konkrete sårbarheder eller scenarier, der kan afstedkomme en krisesituation eller et it-angreb. Vurderinger henviser både til virksomhedens egne vurderinger af egne systemer samt vurderinger af det samlede el-systems sårbarheder.

Ved planer forstås i denne bestemmelse beskrivelser af procedure, handlinger eller foranstaltninger, der skal forhindre eller forebygge en krisesituation eller et it-angreb. Planer henviser både til it-beredskabsplaner og underliggende procedurer.

Ved data forstås i denne bestemmelse følsomme informationer bl.a. data om systemets drift, adgange eller brugerstyring. Disse data beskriver forsyningskritiske it-systemers opsætning og adgangsstyring.

Stk. 4 vedrører alene informationer af følsom karakter, der kan anvendes til at forvolde skade på den enkelte virksomheds forsyningskritiske it-systemer eller den samlede elforsyning.

§ 84, stk. 8 og § 84 a, stk. 1, i lov om elforsyning regulerer til en vis grad virksomhedernes behandling af fortrolige oplysninger. Disse bestemmelser er dog målrettet kommercielt følsomme oplysninger. Formålet med disse bestemmelser er at tilsikre, at virksomheder ikke må videregive kommercielt følsomme oplysninger til andre med det resultat, at et andet selskab får konkurrencemæssige fordele i forhold til øvrige selskaber. Det er ikke hensigten med stk. 4, at sikre kommercielt følsomme oplysninger, men hensigten at sikre, at virksomheder ikke videregiver oplysninger, der kan være med til at bringe elforsyningen i fare.

Bestemmelsen i det foreslåede stk. 4 regulerer ikke oplysninger som energi-, forsyning- og klimaministeren, herunder Energistyrelsen, modtager f.eks. i forbindelse med tilsyn. Oplysninger der ved tilsyn eller på anden vis kommer energi-, forsyning- og klimaministeren i hænde, vil være reguleret af § 27, stk. 2, i forvaltningsloven, der tilsikrer tavshedspligt inden for den offentlige forvaltning, og at oplysninger, der er af væsentlig betydning for statens sikkerhed eller rigets forsvar, ikke må videregives. Oplysninger, der kommer energi-, forsynings- og klimaministeren i hænde, vil være omfattet af reglerne om aktindsigt i henhold til lov om offentlighed i forvaltningen, samt lov om aktindsigt i miljøoplysninger i de tilfælde, hvor det skønnes, at oplysningerne er miljøoplysninger efter definitionen i § 3 i miljøoplysningsloven.

Det foreslåede Stk. 5, forudsættes udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter regler for det it-beredskab, som virksomheder omfattet af stk. 1, skal opretholde.

Den foreslåede ordning indebærer, at energi-, forsynings- og klimaministeren får pligt til at fastsætte regler for en række områder af betydning for it-beredskabet.

Som en følge af den produktionsmæssige, informationsteknologiske udvikling anses det for hensigtsmæssigt, at ministeren får pligt til at udstede regler i bekendtgørelsesform for at kunne tilpasse kravene til it-beredskabet i elforsyningen løbende.

Ministeren forudsættes i forbindelse med udmøntning af forpligtelsen til at udstede regler at fastsætte krav til virksomhederne, som følger den teknologiske og kommercielle udvikling i sektoren, således at kravene kan anses for nødvendige, egnede og forholdsmæssige i forhold til behovet for beskyttelse af kritiske de it-systemer.

Det forudsættes endvidere, at reglerne om it-beredskab, der vedrører fagudtryk og referencer indenfor såvel det it-tekniske område som det beredskabsfaglige område, indeholder nærmere definitioner og præcisering af faglige begreber og termer.

Energi-, forsynings- og klimaministeren forudsættes ligeledes at fastsætte regler, der graduerer kravene til virksomhederne på baggrund af deres kritikalitet, således at virksomheder, der anses for kritiske for den nationale elforsyning og det samlede elforsyningssystem stilles skærpede krav i forhold til virksomheder, der kun anses for kritiske for den lokale elforsyning. Reglerne for virksomhederne forudsættes gradueret på baggrund af følgende kriterier:

Virksomheder af kritisk betydning for den nationale elforsyning i de sammenhængende el-systemer eller væsentlige dele af disse i de to synkronområder DK-1 og DK-2 er:

- Virksomheder ansvarlige for driften af et eller flere produktionsanlæg, med en effekt, der overstiger den effekt det pågældende synkronområde kan miste momentant, uden at det medfører forsyningsvigt.

- Virksomheder, der udøver styring af et eller flere fleksible forbrugsanlæg med et tilsvarende forbrug.

- Virksomheder der udøver styring af distributions- eller transmissionsnet, der har betydning for driften af det sammenfattede system eller leverer el til 250.000 forbrugere eller mere.

- 

Virksomheder af kritisk betydning for den regionale elforsyning er:

- Virksomheder som er ansvarlige for driften af et eller flere produktionsanlæg med en effekt, der ikke overstiger den effekt det pågældende synkronområde kan miste momentant, uden at det medfører forsyningsvigt, dog med mulig betydning for det sammenhængende systems drift. Virksomheder, der udøver styring af et eller flere fleksible forbrugsanlæg med et tilsvarende forbrug.

- Virksomheder der udøver styring af distributionsnet, der leverer el til mindre end 250.000 forbrugere.

Virksomheder af kritisk betydning for den lokale elforsyning er:

- Virksomheder som er ansvarlige for driften af et eller flere produktionsanlæg, med en samlet effekt uden betydning for det sammenhængende system. Virksomheder, der udøver styring af et eller flere fleksible forbrugsanlæg med et tilsvarende forbrug.

- Virksomheder der udøver styring af distributionsnet, der leverer el til ganske få forbrugere.

Den foreslåede bestemmelse i stk. 5, nr. 1, indebærer nærmere, at ministeren fastsætter regler om organisering af virksomhedens it-beredskab og evne til at modtage advarsler om trusler mod it-sikkerheden. Bemyndigelsen forudsættes udmøntet ved at udstede regler, der mere detaljeret beskriver krav til den organisatoriske sammenhæng mellem beredskabsarbejdet og it-beredskabet, herunder forpligtige virksomhederne til at etablere en entydig ansvarsfordeling mellem ledelsen og de faglige kompetencer i organisationen, således at virksomheden kan udarbejde et komplet risikobillede.

Bestemmelsen forudsættes således udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter krav til virksomhedernes organisering, således at de kan modtage samt videreformidle varsler om akutte eller generelle trusler mod it-sikkerheden. Disse krav skal pålægge virksomhederne ansvaret for beskyttelsen af egne forsyningskritiske it-systemer, men samtidig forpligte alle virksomheder til at formidle disse oplysninger til myndighederne og Energinet.dk, således at disse oplysninger kan bidrage til den samlede beskyttelse af el- og naturgassektorerne og samfundets forsyning. Det forudsættes endvidere, at der fastsættes krav om, at oplysninger skal videregives til Energinet.dk med det formål at give Energinet.dk mulighed for at udarbejde risiko- og sårbarhedsvurderinger samt beredskabsplaner for de samlede sektorer. Samtidig skal de videregivne oplysninger give Energinet.dk, tilsynsmyndigheden og Energistyrelsen et indblik i sikkerheden vedrørende kritiske it-systemer for sektoren. Der kan endvidere være andre myndigheder, der af hensyn til den nationale sikkerhed eller på baggrund af forpligtigelser overfor allierede eller det europæiske samarbejde, skal informeres om akutte trusler eller konkrete risici. Energi- forsynings- og klimaministeren fastsætter nærmere regler for viderebringes af denne type information.

Den foreslåede bestemmelse i stk. 5, nr. 2, indebærer nærmere, at ministeren fastsætter regler om planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke trusler mod it-sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til Energinet.dk og relevante myndigheder.

Den foreslåede bestemmelse i stk. 5, nr. 3, indebærer nærmere, at energi-, forsynings- og klimaministeren fastsætter regler om virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i risikovurderinger.

Ved risikostyring forstås i denne sammenhæng de processer og procedure den enkelte virksomhed foretager for at erkende og håndterer risici for forsyningssikkerheden afledet af anvendelse af it-systemer.

Bestemmelsen forudsættes udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter specifikke regler om indholdet i virksomhedernes relevante lokale risikostyring. Denne lokale risikostyring begrænses ikke til enkelte trusler eller andres erfaringer, men tager udgangspunkt i virksomhedens egne forhold. Det skal samtidig være muligt for virksomhederne, at begrænse deres ressourceforbrug på denne opgave, såfremt det findes forsvarligt. Dette kan gøres ved virksomheder, der deler it-systemer eller virksomheder, der af andre årsager deler risikobillede, kan indgå aftaler om at samordne deres it-beredskab. Dette skal dog godkendes af tilsynsmyndigheden.

Den lokale risikostyring ved virksomhederne er central for en effektiv beskyttelse af it-systemerne. Det er derfor hensigten, at bestemmelsen skal give energi-, forsynings- og klimaministeren hjemmel til at fastsætte krav til denne risikostyring og beredskabsplanlægning, således at der kan opnås en hyppighed og detaljeringsgrad af disse risikovurderinger, der modsvarer det generelle trusselsbillede. Det er endvidere hensigten, at der udstedes regler om, at virksomhederne kan pålægges at udarbejde risikovurderinger af specifikke trusler inden for 3 måneder. Virksomhederne skal løbende vurdere, om der er behov for yderligere risikovurderinger. Virksomhederne forventes pålagt at udarbejde risikovurderinger med en hyppighed og detaljeringsgrad, der følger deres kritikalitet for det samlede el- eller naturgassystem.

Det forventes ikke, at virksomhederne vil blive pålagt at foretage risikovurderinger af samtlige trusler oftere end hver sjette måned. Det forventes, at hyppigheden af risikovurderinger vil følge området og truslernes teknologiske udvikling.

Virksomhedernes trussels- og risikokendskab samt virksomhedernes evne til at reagere på disse er en forudsætning for en fyldestgørende risikostyring af egne it-systemer.

Virksomhedernes risikostyring skal inddrage alle væsentlige risici, herunder også risici, der er afledt af samarbejde med tredjeparter, der har adgang til virksomhedens it-systemer.

Den foreslåede bestemmelse i stk. 5, nr. 4, indebærer, at energi-, forsynings- klimaministeren skal udstede regler om tilmelding til en tjeneste, der yder varsler og informationer om it-sikkerhedstrusler.

Denne bestemmelse forudsættes udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter krav til indholdet af de aftaler, de enkelte virksomheder indgår med en it-sikkerhedstjeneste. Disse krav kan pålægge tjenester at videreformidle informationer til Energinet.dk eller andre virksomheder i el- og naturgassektorerne. Dette krav har til hensigt at forhindre, at en virksomhed eller Energinet.dk ikke kan videreformidle informationer af betydning for sikkerheden ved andre virksomheder i el- eller naturgassektoren af hensyn til ophavsret eller en aftalebegrænsning. Kravene kan endvidere beskrive, under hvilke vilkår kontrakter mellem virksomheder og it-sikkerhedstjenester kan godkendes, således at energi-, forsynings- og klimaministeren kan fastsætte procedure for godkendelse, der sikrer en ensartet og fagligt forsvarlig kontraktindgåelse under hensyn til markedets udvikling.

Det er hensigten med bestemmelsen at sikre et minimumsniveau for de kommercielle varslingstjenester ved at pålægge energi-, forsynings- og klimaministeren at fastsætte nærmere krav, der pålægger, at alle virksomheder tilmeldes en it-sikkerhedstjeneste, der leverer informationer om relevante trusler og risici mod it-sikkerheden. En sådan proaktiv tjeneste vil bidrage til virksomhedernes interne it-sikkerhedsprocesser. Det er endvidere hensigten at give energi-, forsynings- og klimaministeren hjemmel til at fastsætte graduerede krav til de reaktive ydelser en it-sikkerhedstjeneste kan yde, således at virksomheder, der ejer it-systemer af betydning for el- og naturgasforsyningen regionalt eller nationalt, kan pålægges at skulle være tilmeldt en it-sikkerhedstjeneste, der kan reagere på akutte trusler mod virksomhedens it-systemer og assistere virksomheden i forbindelse med en håndtering af en trussel eller genopretning af it-systemer og opklaring af sårbarheder efter et nedbrud eller it-angreb.

En effektiv anvendelse af en sådan reaktiv tjeneste kræver, at virksomhederne stiller de fornødne ressourcer til rådighed til såvel direkte omkostninger til tjenesten som indirekte omkostninger forbundet med en hyppig dialog om sårbarheder og systemdrift mellem virksomheden og tjenesten. Det er hensigten at energi-, forsynings- og klimaministeren pålægges at udarbejde nærmere krav til disse it-sikkerhedstjenester og revidere disse krav løbende i forhold til den teknologiske og kommercielle udvikling af såvel energimarkederne og markedet for it-sikkerhedsydelser. Det er ikke hensigten med denne bemyndigelse at pålægge ministeren at fastsætte tekniske specifikationer til hvordan it-sikkerhedstjenesten håndterer deres opgave. Der foreligger en mulighed for, at der på baggrund af kontraktudarbejdelsen mellem virksomheder og it-sikkerhedstjenester opbygges en vejledning til minimumskrav til disse kontrakter. Der foreligger også muligheden for at virksomhederne vælger at varetage opgaverne som it-varslingstjeneste ved en intern organisering, dette medfører dog et dokumentationskrav, således at det kan godtgøres at denne it-sikkerhedstjeneste efterlever krav udstedt af energi-, forsynings- og klimaministeren.

Det bemærkes, at de fastsatte regler træder i kraft på et tidspunkt, hvor virksomhederne har haft mulighed på at indrette sig i forhold til dette krav.

Den foreslåede bestemmelse i stk. 5, nr. 5, indebærer, at ministeren udsteder regler om Energinet.dk's varetagelse af overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende det beredskab, som er nævnt i det foreslåede stk. 1.

Bestemmelsen forudsættes udnyttet ved, at ministeren udsteder regler om, at Enerignet.dk kan tilgå relevante informationer og skabe det fornødne overblik i akutte beredskabssituationer. I denne sammenhæng kan der udstedes regler om, hvilke oplysninger og materiale i øvrigt virksomhederne skal stille til rådighed for Energinet.dk, og herunder bemyndige Energinet.dk til at forlange dette materiale udfyldt i et specifikt format.

Det forventes, at ministeren udsteder regler, hvorefter Energinet.dk pålægges som en del af det overordnede koordinerende arbejde at bidrage til udarbejdelsen af sektorspecifikke trusselsvurderinger. Denne opgave kræver, at Energinet.dk stiller kompetente ressourcer til rådighed til varetagelse af denne opgave. Energi-, forsynings- og klimaministeren kan fastsætte nærmere regler for dette samarbejde samt vejlede Energinet.dk i varetagelse af denne opgave.

Virksomhedernes indblik i egne it-systemer og erkendelse af anormaliteter kan være af afgørende betydning for andre virksomheders, Energinet.dk's og det samlede el- og naturgassystems evne til at begrænse eller forhindre skader ved et it-angreb. Det er derfor vigtigt, at virksomhederne øver og evaluerer hændelser. Dertil kommer, at virksomhederne skal formidle såvel øvelseserfaringer og erfaringer efter hændelser, der har aktiveret it-beredskabsplanen i væsentligt omfang til Energinet.dk samt andre virksomheder. Energi-, forsynings- og klimaministeren kan fastsætte nærmere regler herom.

Den foreslåede bestemmelse i stk. 5, nr. 6, indebærer, at ministeren udsteder regler om krav til indholdet og planlægningen af en it-revision ved en uafhængig revisor, jf. den foreslåede § 85 d, stk. 3. Bestemmelsen forudsættes udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter regler om gennemførelsen og afrapporteringen af en it-revision jf. stk. 3, herunder at it-revisionen kan indeholde en række anbefalinger fremsat af revisoren, der opstiller tiltag som den pågældende virksomhed efter revisorens faglige vurdering skal bringe i orden for at overholde det foreslåede stk. 1.

På baggrund af krav til indholdet af it-revisorens rapport kan tilsynsmyndigheden sikre en faglig kvalitet i it-revisionen, hvorved tilsynsmyndighedens afgørelser kan underbygges med konkret faglig indsigt.

Bestemmelsen pålægger endvidere energi-, forsynings- og klimaministeren at fastsætte regler om, hvorledes en it-revision efter det foreslåede stk. 3 planlægges. Det er hensigten, at der derved kan fastsættes minimumskrav til en it-revision eller fastsættes krav om godkendelse af specifikke it-revisorer.

Den teknologiske udvikling på dette område gør, at der er behov for en vis fleksibilitet for, at energi-, forsynings- og klimaministeren kan fastsætte regler for indholdet af it-revisionen og løbende kunne ændre kriterier for udvælgelse og rapportering.

Det foreslåede stk. 6, forudsættes udnyttet ved, at energi-, forsynings- og klimaministeren pålægger enten Energinet.dk, Energistyrelsen eller anden egnet myndighed at føre tilsyn med virksomhedernes overholdelse af reglerne fastsat i det foreslåede stk. 1 og 5. Energi-, forsynings- og klimaministeren kan fastsætte tilsynsforholdene efter en vurdering af, hvilken institution der findes mest egnet til at føre tilsyn efter det foreslåede stk. 6. Energistyrelsen fører tilsyn med den udpegede tilsynsmyndighed, medmindre Energistyrelsen selv varetager tilsynet med virksomhederne, da pålægges energi-, forsynings- og klimaministeriets departement at føre tilsyn med Energistyrelsen.

Denne bestemmelse forventes udmøntet i en bekendtgørelse, der fastsætter nærmere regler vedr. tilsyn. Denne bekendtgørelse bør revideres jævnligt, så det er muligt at ændre organiseringen af tilsynet efter en række foranderlige forhold.

Vurdering af hvilken institution, der skal føre tilsyn med virksomhederne skal omfatte såvel økonomiske som organisatoriske forhold af betydning, herunder skal følgende forhold som minimum vurderes:

1. Energistyrelsens tilsyn med Energinet.dk, herunder Energistyrelsens mulighed for at føre tilsyn med tilsynsførelsen overfor virksomhederne.

2. Virksomhedernes samarbejde med Energinet.dk i såvel beredskabssituationer som i forbindelse med planlægning af beredskabsarbejdet.

3. Energinet.dk's it-beredskabsarbejde internt.

4. Sammenhæng og synergi med andre opgaver indenfor beredskabet.

Disse forhold er afhængige af mange faktorer, herunder de mulige truslers karakter, de økonomiske rammer for Energinet.dk, Energinet.dk's handler med balancevirksomheder, udviklingen af markedet for it-serviceydelser og sektorernes øvrige regulering. Ved at kunne ændre på fordelingen af tilsynsopgaver ved Energinet.dk og Energistyrelsen skal energi-, forsynings- og klimaministeren sikre, at tilsynsopgaven pålægges den institution, der efter ovennævnte forhold har de bedste vilkår for at føre tilsynet med virksomhedernes efterlevelse af disse regler.

Tilsynet med virksomhederne kan tilpasses til virksomhedernes kritikalitet for den samlede elforsyning. Tilsynsmyndigheden skal gennemføre tilsynsbesøg årligt ved virksomheder, der varetager kritiske systemer, mens tilsynet ved de resterende virksomheder kan begrænses til treårlige tilsynsbesøg suppleret af løbende underretninger og skriftlig kommunikation om ændringer af beredskabsplaner og risikoundersøgelser.

Tilsynsmyndigheden skal dokumentere de gennemførte tilsyn, og virksomhederne skal have mulighed for at kommentere tilsynsmyndighedens tilsynsdokumentation.

Tilsynet med virksomhedernes beredskabsarbejde forudsætter fremskaffelse af oplysninger fra virksomhederne, bl.a. risiko- og sårbarhedsvurderinger samt beredskabsplaner, procedurer m.m., som er udarbejdet på grundlag af disse risiko- og sårbarhedsvurderinger. Vurdering af dette materiale forudsætter faglig viden om driftsforholdene i de forskellige former for virksomhed inden for elsektoren. Tilsynsmyndigheden kan indhente oplysninger om aktuelle og historiske driftsforhold ved Energinet.dk's kontrolcenter, alene med det formål at vurdere tilstrækkeligheden af virksomhedernes beredskabsarbejde i forhold til deres kritikalitet for det samlede el-system.

Tilsynsarbejdet skal adskilles fra Energinet.dk's overordnede koordinerende opgaver i beredskabssituationer. Disse overordnede, koordinerende opgaver forudsætter ligeledes et kendskab til de enkelte virksomheders it-beredskab, dettes omfang og kvalitet samt det indbyrdes samspil mellem de forskellige virksomheders beredskab. Såfremt Energinet.dk varetager opgaven som tilsynsmyndighed, og derved varetager både de overordnede koordinerende beredskabsopgaver efter § 85 b stk. 2, og tilsyn efter denne bestemmelse, skal Energinet.dk tilsikre, at virksomhederne oplyses om, hvilke informationer der anvendes i tilsynsøjemed. Energistyrelsen pålægges at føre tilsyn med Energinet.dk's arbejde med at sikre beskyttelse af egne forsyningskritiske it-systemer, varetage de overordnede koordinerende opgaver i beredskabssituationer. Dette tilsyn kan tilrettelægges således at den kan samordnes med tilsynet med virksomhedernes almene beredskabsarbejde efter § 85 b i lov om elforsyning. Energistyrelsen pålægges endvidere at føre tilsyn med Energinet.dk's tilsyn med virksomhedernes it-beredskabsarbejde i det tilfælde, at Energinet.dk varetager opgaverne som tilsynsmyndighed over for virksomhederne.

Ved § 1, nr. 32, i lov nr. 466 af 18. maj 2011 om ændring af lov om elforsyning, lov om naturgasforsyning, lov om varmeforsyning, lov om Energinet.dk og lov om fremme af vedvarende energi (Gennemførelse af el- og gasdirektiverne m.v.) blev elforsyningslovens § 85 d ophævet.

Det foreslås, at den nugældende § 85 c om påbud flyttes til § 85 d, da lovforslagets bestemmelse om it-beredskab vil blive den nye § 85 c. Flytningen af § 85 c til § 85 d skyldes derfor en lovteknisk rettelse.

§ 85 d, stk. 1, giver energi-, forsynings- og klimaministeren og Energitilsynet en udtrykkelig hjemmel til at påbyde, at forhold, der strider mod loven, mod regler eller afgørelser i medfør af loven eller mod Europa-Parlamentets og Rådets (EF) 714/2009 af 13. juli 2009 om betingelser for netadgang i forbindelse med grænseoverskridende elektricitetsudveksling og om ophævelse af forordning (EF) nr. 1228/2003, bringes i orden straks eller inden en nærmere angiven frist. Manglende overholdelse af et sådant påbud er strafsanktioneret i lovens § 87. Hvorvidt det er energi-, forsynings- og klimaministeren eller Energitilsynet, som kan udstede påbud i medfør af § 85 c, vil afhænge af, hvilken myndighed som fører tilsyn med, at et givet forhold er i overensstemmelse med lovgivningen. Bestemmelsen skal derfor ses i sammenhæng med den fordeling af tilsynsopgaverne, som fremgår af loven og regler udstedt i medfør af loven. Energitilsynet vil f.eks. kunne udstede påbud med hjemmel i § 85 d, hvis en virksomhed overtræder oplysningspligten i henhold til § 84, stk. 3-6, eller pligten til at iagttage fortrolighed om kommercielt følsomme oplysninger som foreskrevet i § 84 a.

Elforsyningsloven indeholder særlige bestemmelser om meddelelse af påbud, eksempelvis Energitilsynets adgang til efter § 77, stk. 1, at give pålæg om ændring af priser og betingelser. Sådanne særlige bestemmelser vil gå forud for den generelle påbudsbestemmelse i den nugældende § 85 c, som med lovforslaget foreslås uændret videreført i § 85 d, i det omfang forholdet er omfattet af de særlige bestemmelser. Den generelle bestemmelse vil således kun finde anvendelse på forhold, der ikke er omfattet af andre bestemmelser om påbud i loven eller i regler udstedt med hjemmel i loven. Ved § 85 c, stk. 2 og 3, om påbud vedr. it-beredskab, gælder det dog at disse først kan finde anvendelse efter, at den generelle påbudsbestemmelse i § 85 d, er udnyttet.

Stk. 2 gennemfører eldirektivets artikel 37, stk. 1, litra d, som bl.a. kræver, at de regulerende myndigheder gennemfører relevante juridisk bindende afgørelser fra agenturet for samarbejde mellem energireguleringsmyndigheder i EU. Energitilsynets forpligtelse efter artikel 37, stk. 1, litra d, til selv at overholde relevante juridisk bindende afgørelser fra agenturet (og fra Europa-Kommissionen) som er gennemført ved § 79 a, hvortil der henvises. Hermed gives Energitilsynet hjemmel til at sikre overholdelsen af agenturets bindende afgørelser. Manglende overholdelse af et sådant påbud er strafsanktioneret i lovens § 87, stk. 1, nr. 7.

Agenturet kan træffe bindende afgørelser efter artikel 7, stk. 1, og i visse tilfælde efter artikel 8 i agenturforordningen samt i visse tilfælde efter artikel 17, stk. 5, i elforordningen, jf. agenturforordningens artikel 9. Der henvises til bemærkningerne til § 79 a i Forslag til lov om ændring af lov om elforsyning, lov om naturgasforsyning, lov om varmeforsyning, lov om Energinet.dk og lov om fremme af vedvarende energi. (Gennemførelse af el- og gasdirektiverne m.v.). som findes i Folketingstidende 2010-11 (1. samling), tillæg A, L 87, side 37-38.

Stk. 2 giver Energitilsynets hjemmel til at udstede påbud til situationer, hvor der er tale om forhold, der strider mod Europa-Parlamentets og Rådets forordning nr. 1227/2011/EU af 25. oktober 2011 med eventuelle senere ændringer eller de delegerede retsakter eller gennemførelsesretsakter, der er vedtaget på grundlag af forordningen.

Bestemmelsen indebærer, at Energitilsynet kan påbyde, at forhold, der strider mod bestemmelserne i Europa-Parlamentets og Rådets Forordning nr. 1227/2011 af 25. oktober 2011 (REMIT-forordningen) eller de delegerede retsakter eller gennemførelsesretsakter, der er vedtaget på grundlag heraf, bringes i orden straks eller inden for en nærmere angiven frist.

Kommissionen kan vedtage såkaldte delegerede retsakter for at justere visse definitioner i forordningen med henblik på at sikre overensstemmelse med anden relevant EU-lovgivning på områderne for finansielle tjenesteydelser og energi. Kommissionen kan ligeledes vedtage gennemførelsesretsakter for at præcisere markedsdeltagernes indberetningsforpligtelser.

Manglende efterlevelse af påbud meddelt i henhold til § 85 c, stk. 2, vil kunne straffes med bøde, jf. den gældende bestemmelse i § 87, stk. 1, nr. 7, i lov om elforsyning, medmindre højere straf er forskyldt efter anden lovgivning.

Til nr. 7

Efter den nugældende § 86 i elforsyningsloven kan Energitilsynet som tvangsmiddel pålægge de pågældende daglige eller ugentlige bøder, hvis nogen undlader rettidigt at efterkomme et påbud meddelt af Energitilsynet efter § 85 c, stk. 1, om at give oplysninger i henhold til § 22, stk. 3, eller at efterkomme et påbud meddelt af Energitilsynet i medfør af § 77. Det samme gælder, hvis nogen undlader rettidigt at efterkomme et påbud meddelt af Energitilsynet efter § 85 c, stk. 2, om at opfylde de pligter, der påhviler vedkommende efter artikel 3, stk. 4, litra b, 2. pkt., artikel 8, stk. 1, 1. og 2. pkt., eller stk. 5, 1. pkt., eller artikel 9, stk. 1 eller 5, i Europa-Parlamentets og Rådets forordning nr. 1227/2011/EU af 25. oktober 2011 om integritet og gennemsigtighed på engrosenergimarkederne.

Det foreslås at ændre bestemmelsens henvisninger til § 85 c, således at bestemmelsen henviser til § 85 d.

Den foreslåede ændring er en konsekvensændring som følge af lovforslagets § 1, nr. 7, da den nugældende § 86, stk. 1 i § 85 d henviser to steder til den nugældende § 85 c, stk. 1 og 2, som foreslås videreført uændret i den foreslåede bestemmelse til § 85 d, stk. 1 og 2.

Til § 2

Til nr. 1

Efter de gældende § 15 a, stk. 4, 2. pkt., kan det i reglerne der udstedes efter denne bestemmelse fastsættes, at tilsyn med beredskabsarbejde efter stk. 1 skal udføres af det transmissionsselskab, der varetager opgaver efter stk. 2.

Det foreslås at § 15 a, stk. 4, 2. pkt., ophæves i lov on naturgasforsyning. Herved forudsættes, at bestemmelser i § 30 i lov om naturgasforsyning vedrørende tilsyn anvendes. Denne lovændring har til formål at fastsætte ensartede rammer for tilsynet med beredskab og it-beredskabet. Denne lovændring pålægger energi-, forsynings- og klimaministeren at fastsætte regler for tilsynet i medfør af § 15 a. Det er hensigten, at energi-, forsynings- og klimaministeren kan fastsætte regler, der pålægger enten Energinet.dk, Energistyrelsen eller anden egnet myndighed at føre tilsyn med virksomhedernes overholdelse af reglerne fastsat i medfør af § 15. Energi-, forsynings- og klimaministeren kan tillægge en relevant myndighed tilsynsopgave efter en vurdering af, hvilken institution der findes mest egnet til at løse tilsynsførelsen. Energistyrelsen fører tilsyn med den udpegede tilsynsmyndighed, medmindre Energistyrelsen selv varetager tilsynet med virksomhederne, da pålægges Energi-, Forsynings- og Klimaministeriets departement at føre tilsyn med Energistyrelsen.

En vurdering af, hvilken institution der skal føre tilsyn med virksomhederne, skal omfatte såvel økonomiske som organisatoriske forhold af betydning, herunder skal følgende forhold som minimum vurderes:

1. Energistyrelsens tilsyn med Energinet.dk, herunder Energistyrelsens mulighed for at føre tilsyn med tilsynsførelsen overfor virksomhederne.

2. Virksomhedernes samarbejde med Energinet.dk i såvel beredskabssituationer som i forbindelse med planlægning af beredskabsarbejdet.

3. Energinet.dk's it-beredskabsarbejde internt.

4. Sammenhæng og synergi med andre opgaver indenfor beredskabet.

Disse forhold er afhængige af mange faktorer, herunder de mulige truslers karakter, de økonomiske rammer for Energinet.dk, Energinet.dk's handler med balancevirksomheder, udviklingen af markedet for it-serviceydelser og sektorernes øvrige regulering. Ved at kunne ændre på fordelingen af tilsynsopgaver ved Energinet.dk og Energistyrelsen skal energi-, forsynings- og klimaministeren sikre, at tilsynsopgaven pålægges den institution, der efter ovennævnte forhold har de bedste vilkår for at føre tilsynet med virksomhedernes efterlevelse af disse regler.

Tilsynet med virksomhederne kan tilpasses til virksomhedernes kritikalitet for den samlede elforsyning. Tilsynsmyndigheden skal gennemføre tilsynsbesøg årligt ved virksomheder, der varetager kritiske systemer, mens tilsynet ved de resterende virksomheder kan begrænses til treårlige tilsynsbesøg suppleret af løbende underretninger og skriftlig kommunikation om ændringer af beredskabsplaner og risikoundersøgelser.

Tilsynsmyndigheden skal dokumentere de gennemførte tilsyn, og virksomhederne skal have mulighed for at kommentere tilsynsmyndighedens tilsynsdokumentation.

Tilsynet med virksomhedernes beredskabsarbejde forudsætter, at virksomhederne meddeler tilsynsmyndigheden relevante oplysninger bl.a. risiko- og sårbarhedsvurderinger samt beredskabsplaner, procedurer m.m., som er udarbejdet på grundlag af disse risiko- og sårbarhedsvurderinger. Vurdering af dette materiale forudsætter faglig viden om driftsforholdene i de forskellige former for virksomhed inden for elsektoren. Tilsynsmyndigheden kan indhente oplysninger om aktuelle og historiske driftsforhold ved Energinet.dk's kontrolcenter, alene med det formål at vurdere tilstrækkeligheden af virksomhedernes beredskabsarbejde i forhold til deres kritikalitet for det samlede el-system.

Tilsynsarbejdet skal adskilles fra Energinet.dk's overordnede koordinerende opgaver i beredskabssituationer. Disse overordnede, koordinerende opgaver forudsætter ligeledes et kendskab til de enkelte virksomheders it-beredskab, dettes omfang og kvalitet samt det indbyrdes samspil mellem de forskellige virksomheders beredskab. Såfremt Energinet.dk varetager opgaven som tilsynsmyndighed, og derved varetager både de overordnede koordinerende beredskabsopgaver efter § 15 a, stk. 2, og tilsynet med virksomhedernes beredskabsarbejde, skal Energinet.dk tilsikre, at virksomhederne oplyses om, hvilke informationer der anvendes i tilsynsøjemed. Energistyrelsen pålægges at føre tilsyn med Energinet.dk's arbejde med at sikre beskyttelse af egne forsyningskritiske it-systemer og varetagelse af de overordnede koordinerende opgaver i beredskabssituationer. Energistyrelsen pålægges endvidere at føre tilsyn med Energinet.dk's tilsyn med virksomhedernes it-beredskabsarbejde, såfremt Energinet.dk varetager tilsynet over for virksomhederne.

Til nr. 2

Det foreslås at indsætte en bestemmelse om it-beredskab, som er ny. Den foreslåede bestemmelse indebærer, at bevillingspligtige virksomheder efter § 10 og Energinet.dk og dennes helejede datterselskaber skal opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer af betydning for naturgasforsyning.

Bestemmelsen omfatter Energinet.dk og dennes helejede datterselskaber. Endvidere omfatter bestemmelsen bevillingspligtige virksomheder efter § 10 i lov om naturgasforsyning. Disse virksomheder er ligeledes omfattet af det almene beredskabsarbejde efter § 15 a i lov om naturgasforsyning.

For at begrænse virksomhedernes ressourceforbrug til efterlevelse af regler om it-beredskab, samt begrænse ressourceforbruget i forbindelse med tilsyn ved såvel virksomhederne som myndighederne forudsættes den fremtidig regulering i medfør af de foreslåede bestemmelser i § 15 b, stk. 5 og 6, at indeholde en opdeling af virksomhederne i tre nærmere definerede kategorier, og at der fastsættes graduerede krav i forhold til denne inddeling. Se herom nedenfor.

Virksomheder kan drive it-systemer, der ikke anses for at være et kritisk it-system for den enkelte virksomhed, men som kan have indflydelse på driften af kritiske it-systemer ved andre virksomheder. Denne type it-systemer skal håndteres som kritiske it-systemer. Der kan endvidere forekomme it-systemer, der styrer anlæg ved flere virksomheder, og disse it-systemer kan have varieret kritikalitet for de enkelte virksomheder. Denne type it-systemer skal beskyttes ud fra en vurdering af deres samlede betydning for det samlede naturgasforsyning.

Den foreslåede ordning indebærer en pligt for de omfattede virksomheder til at foretage en rettidig it-beredskabsplanlægning, således at nedbrud, fejl eller angreb i virksomhedens it-systemer ikke afstedkommer forsyningsnedbrud.

Kritiske it-systemer varetager centrale funktioner for forsyningen, hvor nedbrud, angreb eller fejl i disse it-systemer vil kunne påvirke forsyningen. Såfremt det ikke er muligt at fjerne risikoen for forsyningsnedbrud som resultat af nedbrud, angreb eller fejl i virksomhedens it-systemer, skal virksomheden beskytte disse kritiske it-systemer på en sådan måde, at nedbrudsperioden begrænses. Beskyttelsen af kritiske it-systemer er ikke begrænset til en specifik trusselstype eller et konkret risikoscenarie. Virksomhederne skal vedligeholde et trusselsbillede, der indeholder både trusler mod virksomhedernes egne kritiske it-systemer og de it-systemer, virksomheden er afhængig af. De kritiske it-systemer skal beskyttes mod enhver trussel, der kan afstedkomme, at de styrings- og kontrolopgaver it-systemet varetager forhindres eller forstyrres.

Virksomhederne skal træffe foranstaltninger, der anses for nødvendige for at begrænse risikoen for forsyningsnedbrud som resultat af forstyrrelser i kritiske it-systemer. Nødvendige foranstaltninger er i denne sammenhæng, alle tiltag der kan begrænse konsekvenserne ved eller risikoen for et nedbrud af forsyningen under hensynstagen til virksomhedernes kommercielle drift. Disse foranstaltninger bør dog ikke kunne forøge risikoen eller omfanget af skader på mandskab og materiel i forbindelse med den operative håndtering af forstyrrelser i kritiske it-systemer.

Vurderingen af, hvilke foranstaltninger der skønnes nødvendige, beror på den enkelte virksomheds forhold.

Ved vurdering af om en foranstaltning kan betragtes som nødvendig, forudsættes virksomhederne at tillægge følgende forhold værdi efter prioriteret rækkefølge:

1. Foranstaltningen medfører ikke øget risiko for personskade.

2. Foranstaltningen medfører ikke øget risiko for materiel skade.

3. Foranstaltningen begrænser konsekvenserne og tidsrummet af forsyningsnedbrud.

4. Foranstaltningen begrænser ikke virksomhedens håndtering af andre beredskabssituationer udløst af andre faktorer så som vejret, uheld eller fysiske angreb.

5. Foranstaltningen begrænser ikke virksomhedens øvrige drift.

6. Foranstaltningen er naturlig at udføre i sammenhæng med de daglige rutiner, hvorfor operatører vil være mere tilbøjelige til at anvende den i praksis.

7. Foranstaltningen påfører virksomheden begrænsede omkostninger ved planlægning.

8. Foranstaltningen påfører virksomheden begrænsede omkostninger ved iværksættelse.

Det forudsættes, at virksomhederne i forbindelse med denne vurdering inddrager relevante medarbejdere med viden om konkrete forhold samt fagpersoner med erfaring og viden inden for det specifikke område. Det forudsættes, at virksomhederne tilsikrer, at der løbende foregår en dialog internt mellem relevante medarbejdere, således at evt. ændrede forhold i virksomhedens systemer kan inddrages i vurderingen af, hvilke tiltag der er nødvendige for at sikre naturgasforsyningen. Det forudsættes, at der efter den foreslåede bestemmelse i § 15 b, stk. 5, udstedes regler der stiller krav om, at virksomhederne skal kunne godtgøre, at disse forhold har været inddraget i forbindelse med vurderingen.

Som eksempel på en nødvendig foranstaltning, som antages at være relevant ved de fleste virksomheder, kan nævnes en procedure for adgangsstyring til virksomhedens kritiske it-systemer. Det er dog ikke sikkert, at en virksomhed, som ikke har flerbrugeradgang til egne kritiske it-systemer, vil vurdere, at det er nødvendigt at have et automatiseret system, der varetager logning af brugerdata og styringsdata.

Vurderingen af hvilke foranstaltninger der er nødvendige, forudsætter at virksomheden har foretaget en grundig behandling af, hvilke risici og sårbarheder der er relevante for virksomheden. Tilsynsmyndigheden kan anmode virksomhederne om at foretage vurderinger af konkrete risici- eller sårbarheder, såfremt virksomhedens vurderinger findes manglefulde eller utilstrækkelige. Der er således en sammenhæng mellem virksomhedernes risiko- og sårbarhedsvurderinger, virksomhedernes interne organisering af it-beredskabsarbejdet, kendskabet til egne systemer, det generelle trusselsbillede og foranstaltningerne virksomhederne hver især træffer.

De nødvendige foranstaltninger vil i nogle tilfælde afhænge af virksomheden økonomiske forhold. Dermed er det ikke hensigten at hensynet til økonomisk forhold skal prioriteres fremfor hensynet til andre faktorer, men de nødvendige tiltag bør tilrettelægges til virksomhederne øvrige tiltag og aktiviteter, således at de økonomiske omkostninger forbundet med it-beredskabet kan begrænses.

En virksomhed anses for at gennemfører de nødvendige tiltag såfremt, der ved tilsyn kan forevises sammenhæng mellem tiltagene, egne risiko- og sårbarhedsvurderinger og trusselsbilledet, der i øvrigt er anerkendt af personale med ansvaret for it-sikkerheden, driften af forsyningssystemerne og forretningen.

Det foreslås i stk. 2, at energi-, forsynings- og klimaministeren kan påbyde en virksomhed omfattet af det foreslåede stk. 1, at foretage en it-revision af forsyningskritiske it-systemer, såfremt den pågældende virksomhed ikke opfylder et påbud udstedt af energi-, forsynings- og klimaministeren efter § 47 b. Manglende overholdelse af et påbud efter stk. 2 efter en tidsfrist angivet af tilsynsmyndigheden vil føre videre i påbuds- og sanktionsmulighederne, hvorefter det foreslåede stk. 3 i denne lov vil finde anvendelse. Overholder den pågældende virksomhed ej heller påbuddet udstedt i henhold til stk. 3, kan energi-, forsynings- og klimaministeren anvende de sanktionsmuligheder, der følger af gældende ret for sanktioner i naturgasforsyningsloven herunder kapitel 10, samt endeligt inddrage virksomhedens bevilling jf. § 33 i lov om naturgasforsyning.

Såfremt det i forbindelse med tilsyn eller på anden måde konstateres, at den pågældende virksomhed ikke opfylder kravet i den foreslåede § 15 b, stk. 1, om at opretholde et it-beredskab, og ikke har truffet de nødvendige foranstaltninger, vil ministeren kunne udnytte den eksisterende hjemmel til at udstede et påbud efter § 47 b, stk. 1, hvorefter energi-, forsynings- og klimaministeren kan påbyde, at forhold, der strider mod loven, mod regler eller afgørelser i medfør af loven, bringes i orden straks eller inden en nærmere angiven frist. Stk. 2 har til formål at virksomheder overholder stk. 1, da manglende overholdelse vil kunne bringe naturgasforsyningen i fare. For at sikre overholdelse af stk. 1, henvises der til bemærkningerne til stk. 1.

Opfylder den pågældende virksomhed ikke det meddelte påbud, jf. naturgasforsyningsloven § 47 b, stk. 1, kan energi-, forsynings- og klimaministeren med den foreslåede ændring i stk. 2, påbyde den pågældende virksomhed, at den får foretaget en it-revision af forsyningskritiske it-systemer.

En it-revision består i en teknisk gennemgang af virksomhedens af it-systemer, samt virksomhedens it-politikker og it-procedure således, at der etableres et billede om virksomhedens it-drift. På baggrund af denne viden undersøger it-revisionen virksomhedens evne til at fortsætte forsyningen i tilfælde af it-angreb eller it-nedbrud. En it-revision kan basseres på et internationalt anerkendt it-sikkerhedsstyringssystem såfremt tilsynsmyndigheden finder det forsvarligt i den enkelte virksomhed.

Bestemmelsen har til formål at sikre kortlægningen af den pågældende virksomheds it-systemer, herunder sikkerhedsforhold, med henblik på at tilvejebringe et tilstrækkeligt sikkert og relevant it-beredskab. Energi-, forsynings- og klimaministeren fastsætter i medfør af den foreslåede ændring i § 15 b, stk. 5, regler om krav til indholdet af it-revisionen, herunder krav om at it-revisionen skal indeholde anbefalinger. Disse anbefalinger skal den pågældende virksomhed efterleve og bringe i orden efter det forslåede stk. 3.

Den foreslåede ændring må forventes at få den konsekvens, at beslutninger om virksomhedens it-beredskab sker på det bedst mulige faglige grundlag.

Omkostninger forbundet med it-revisionen afholdes af den pågældende virksomhed. Ved uafhængig revisor forstås en revisor, som ikke er eller har været virksomhedens sædvanlige revisor og hverken har eller i perioden, som it-revisionen vedrører, har haft andre opgaver for virksomheden. Den uafhængige revisor skal være godkendt af tilsynsmyndigheden for at tilsikre tilstrækkelig og nødvendig faglighed af revisoren.

Det foreslås i stk. 3, at energi-, forsynings- og klimaministeren kan påbyde virksomheder at gennemføre tiltag på baggrund af it-revisionen efter stk. 2, der skønnes nødvendige for at overholde stk. 1 og derved tilsikre opretholdelse af en sikker naturgasforsyning. Stk. 3 kan således kun finde anvendelse såfremt virksomheden først ikke har overholdt påbuddet udstedt i henhold til § 47 b, og først efter at der er foretaget en it-revision i henhold til det foreslåede stk. 2. It-revisionen efter stk. 2 skal indeholde en række anbefalinger fremsat af revisoren, der opstiller tiltag som den pågældende virksomhed efter revisorens faglige vurdering skal bringe i orden for at overholde stk. 1. Energi-, forsynings- og klimaministeren kan i påbuddet efter stk. 3 fastsætte en nærmere tidsfrist for, hvornår forholdene skal være bragt i orden. Overholder den pågældende virksomhed ikke påbuddet udstedt i henhold til stk. 3, og bringer virksomheden ikke forholdende i orden inden for den fastlagte tidsfrist, kan energi-, forsynings- og klimaministeren anvende de sanktionsmuligheder, der følger af gældende ret for sanktioner i elforsyningsloven herunder kapitel 10, samt endeligt inddrage virksomhedens bevilling jf. § 33.

Det har ikke tidligere været muligt i gældende ret for energi-, forsynings- og klimaministeren, at påbyde virksomheder at gennemføre tiltag, der anses for at være nødvendige for overholdelse af stk. 1 på baggrund af en it-revision. Overholdelsen af det foreslåede stk. 1 er så væsentlig for opretholdelsen af en sikker naturgasforsyning, at virksomhederne til enhver tid skal overholde disse regler. Formålet med stk. 3 er derfor at skabe en yderligere mulighed for at virksomheder overholder stk. 1 på baggrund af revisorens rapport frem for at sanktionere med bøde som har været tidligere praksis i gældende ret, hvis den pågældende virksomhed ikke har overholdt et påbud udstedt efter § 47 b. Både stk. 2 og stk. 3 er derfor nye foreslåede påbudsmuligheder, der skal være med til at sikre opretholdelse af en sikker naturgasforsyning.

Den foreslåede ordning indebærer, at energi-, forsynings- og klimaministeren fastsætter regler om krav til indholdet af it-revisionen, herunder krav om at it-revisionen skal indeholde anbefalinger i medfør af den foreslåede ændring i § 15 b, stk. 5. For krav om indholdet til it-revisionen henvises til bemærkningerne til, stk. 5, nr. 6.

Omkostningerne forbundet ved it-revisionen og efterfølgende tiltag på baggrund af it-revisionen, afholdes af den pågældende virksomhed.

For korrekt overholdelse af det foreslåede stk. 1 henvises til bemærkningerne i stk. 1. Der henvises i øvrigt til de almindelige bemærkninger om sanktion og påbud i afsnit 3.3 og samt bemærkningerne til stk. 1 om vurderingen af nødvendige foranstaltninger.

Det foreslås i stk. 4, at oplysninger, herunder vurderinger, planer og data, vedrørende sikkerhedsforhold for forsyningskritiske it-systemer i virksomheder omfattet af stk. 1 er fortrolige, hvis oplysningerne er væsentlige af hensyn beskyttelse af driften af virksomheden eller det sammenhængende naturgassystem.

Den foreslåede bestemmelse indebærer, at oplysninger, herunder vurderinger, planer eller data skal holdes fortrolige, såfremt det skønnes nødvendigt af hensyn til virksomhedens egen sikkerhed, andre virksomheders sikkerhed eller forsyningssikkerheden på lokalt, regionalt eller nationalt niveau. Det er som udgangspunkt udstederen eller ejeren af oplysningerne, der vurdere oplysningernes fortrolighed, samt drager nødvendige foranstaltninger for at beskytte disse.

Bestemmelsen har til formål at modvirke, at oplysninger anvendes til at forvolde skade på den enkelte virksomheds forsyningskritiske it-systemer eller det samlede naturgasforsyning.

Ved vurderinger forstås i denne bestemmelse beskrivelser af konkrete sårbarheder eller scenarier, der kan afstedkomme en krisesituation eller et it-angreb. Vurderinger henviser både til virksomhedens egne vurderinger af egne systemer samt vurderinger af det samlede naturgassystems sårbarheder.

Ved planer forstås i denne bestemmelse beskrivelser af procedurer, handlinger eller foranstaltninger, der skal forhindre eller forebygge en krisesituation eller et it-angreb. Planer henviser både til it-beredskabsplaner og underliggende procedurer.

Ved data forstås i denne bestemmelse følsomme informationer bl.a. data om systemets drift, adgange eller brugerstyring. Disse data beskriver forsyningskritiske it-systemers opsætning og adgangsstyring.

Stk. 4 vedrører alene informationer af følsom karakter, der kan anvendes til at forvolde skade på den enkelte virksomheds forsyningskritiske it-systemer eller den samlede naturgasforsyning.

§ 46 i lov om naturgasforsyning regulerer til en vis grad virksomhedernes behandling af fortrolige oplysninger. Disse bestemmelser er dog målrettet kommercielt følsomme oplysninger. Formålet med disse bestemmelser er at tilsikre, at virksomheder ikke må videregive kommercielt følsomme oplysninger til andre med det resultat, at et andet selskab får konkurrencemæssige fordele i forhold til øvrige selskaber. Det er ikke hensigten med stk. 5 at sikre kommercielt følsomme oplysninger, men hensigten at sikre, at virksomheder ikke videregiver oplysninger, der kan være med til at bringe naturgasforsyningen i fare.

Bestemmelsen i det foreslåede stk. 4 regulerer ikke oplysninger som energi-, forsyning- og klimaministeren, herunder Energistyrelsen, modtager f.eks. i forbindelse med tilsyn. Oplysninger der ved tilsyn eller på anden vis kommer energi-, forsynings- og klimaministeren i hænde, vil være reguleret af § 27, stk. 2 i forvaltningsloven, der tilsikrer tavshedspligt inden for den offentlige forvaltning, og at oplysninger, der er af væsentlig betydning for statens sikkerhed eller rigets forsvar, ikke må videregives. Oplysninger, der kommer energi-, forsynings- og klimaministeren i hænde, vil være omfattet af reglerne om aktindsigt i henhold til lov om offentlighed i forvaltningen, samt lov om aktindsigt i miljøoplysninger i de tilfælde, hvor det skønnes, at oplysningerne vedrører miljøoplysninger efter definitionen i § 3 i miljøoplysningsloven.

Det foreslås i stk. 5, at energi-, forsynings- og klimaministeren fastsætter regler for det it-beredskab, som virksomheder omfattet af stk. 1, skal opretholde.

Den foreslåede ordning indebærer, at energi-, forsynings- og klimaministeren får pligt til at fastsætte regler for en række områder af betydning for it-beredskabet på området for naturgasforsyning.

Som en følge af den produktionsmæssige, informationsteknologiske udvikling anses det for hensigtsmæssigt, at ministeren får pligt til at udstede regler i bekendtgørelsesform for at kunne tilpasse kravene til it-beredskabet i naturgasforsyningen løbende.

Ministeren forudsættes i forbindelse med udmøntning af forpligtelsen til at udstede regler at fastsætte krav til virksomhederne, som følger den teknologiske og kommercielle udvikling i sektoren, således at kravene kan anses for nødvendige, egnede og forholdsmæssige i forhold til behovet for beskyttelse af kritiske it-systemer.

Det forudsættes endvidere, at reglerne om it-beredskab, der vedrører fagudtryk og referencer indenfor såvel det it-tekniske område som det beredskabsfaglige område, indeholder nærmere definitioner og præcisering af faglige begreber og termer.

Energi-, forsynings- og klimaministeren forudsættes ligeledes at fastsætte regler, der graduerer kravene til virksomhederne på baggrund af deres kritikalitet, således at virksomheder, der anses for kritiske for den nationale naturgasforsyning stilles skærpede krav i forhold til virksomheder, der kun anses for kritiske for den lokale naturgasforsyning. Reglerne for virksomhederne forudsættes gradueret alt efter om det er tale om virksomheders betydning for den nationale, regionale eller lokale naturgasforsyning.

Virksomheder af kritisk betydning for den nationale naturgasforsyning er:

- Virksomheder der leverer en mængde naturgas, der ved et forsyningsafbrud vil være kritisk for det sammenhængende naturgassystem.

- Virksomheder der driver naturgastransmissionsnettet.

- Virksomheder der udøver styring af distributionsnet, der har betydning for leveringen af naturgas til 250.000 forbrugere eller mere.

Virksomheder af kritisk betydning for den regionale naturgasforsyning er:

- Virksomheder der leverer en mængde naturgas, der ved et forsyningsafbrud ikke vil være kritisk for det sammenhængende naturgassystem.

- Virksomheder der udøver styring af distributionsnet, der leverer naturgas til et større område med mindre end 250.000 forbrugere.

Virksomheder af kritisk betydning for den lokale naturgasforsyning er:

- Virksomheder der leverer en naturgas uden betydning for det samlede system.

- Virksomheder der udøver styring af distributionsnet, der leverer naturgas til ganske få forbrugere.

Den foreslåede bestemmelse i stk. 5, nr. 1, indebærer nærmere, at energi-, forsynings- og klimaministeren fastsætter regler om organisering af virksomhedens it-beredskab og evne til at modtage advarsler om trusler mod it-sikkerheden. Bemyndigelsen forudsættes udmøntet ved at udstede regler, der mere detaljeret beskriver krav til den organisatoriske sammenhæng mellem beredskabsarbejdet og it-beredskabet, herunder forpligtiger virksomhederne til at etablere en entydig ansvarsfordeling mellem ledelsen og de faglige kompetencer i organisationen, således at virksomheden kan udarbejde et komplet risikobillede.

Bestemmelsen forudsættes således udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter krav til virksomhedernes organisering, således at de kan modtage samt videreformidle varsler om akutte eller generelle trusler mod it-sikkerheden. Disse krav skal pålægge virksomhederne ansvaret for beskyttelsen af egne forsyningskritiske it-systemer, men samtidig forpligte alle virksomheder til at formidle disse oplysninger til myndighederne og Energinet.dk, således at disse oplysninger kan bidrage til den samlede beskyttelse af naturgassektoren og samfundets forsyning. Det forudsættes endvidere, at der fastsættes krav om, at oplysninger skal videregives til Energinet.dk med det formål at give Energinet.dk mulighed for at udarbejde risiko- og sårbarhedsvurderinger samt beredskabsplaner for de samlede sektorer. Samtidig skal de videregivne oplysninger give Energinet.dk, tilsynsmyndigheden og Energistyrelsen et indblik i sikkerheden vedrørende kritiske it-systemer for sektoren. Der kan endvidere være andre myndigheder, der af hensyn til den nationale sikkerhed eller på baggrund af forpligtigelser overfor allierede eller det europæiske samarbejde, skal informeres om akutte trusler eller konkrete risici. Energi- forsynings- og klimaministeren fastsætter nærmere regler for viderebringes af denne type information.

Den foreslåede bestemmelse i stk. 5, nr. 2, indebærer nærmere, at energi-, forsynings- og klimaministeren fastsætter regler om planlægning og beredskabsarbejde, som virksomhederne skal udføre for at modvirke trusler mod it-sikkerheden, herunder virksomhedernes pligt til at videregive oplysninger til Energinet.dk og relevante myndigheder.

Den foreslåede bestemmelse i stk. 5, nr. 3, indebærer nærmere, at energi-, forsynings- og klimaministeren fastsætter regler om virksomhedernes risikostyring, herunder inddragelse af andre virksomheder i risikovurderinger.

Ved risikostyring forstås i denne sammenhæng de processer og procedure den enkelte virksomhed foretager for at erkende og håndterer risici for forsyningssikkerheden afledet af anvendelse af it-systemer.

Bestemmelsen forudsættes udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter specifikke regler om indholdet i virksomhedernes relevante lokale risikostyring. Denne lokale risikostyring begrænses ikke til enkelte trusler eller andres erfaringer, men tager udgangspunkt i virksomhedens egne forhold. Det skal samtidig være muligt for virksomhederne at begrænse deres ressourceforbrug på denne opgave, såfremt det findes forsvarligt. Dette kan gøres ved, at virksomheder, der deler it-systemer eller virksomheder, der af andre årsager deler risikobillede, kan indgå aftaler om at samordne deres it-beredskab. Dette skal dog godkendes af tilsynsmyndigheden.

Den lokale risikostyring ved virksomhederne er central for en effektiv beskyttelse af it-systemerne. Det er derfor hensigten, at bestemmelsen skal give energi-, forsynings- og klimaministeren hjemmel til at fastsætte krav til denne risikostyring og beredskabsplanlægning, således at der kan opnås en hyppighed og detaljeringsgrad af disse risikovurderinger, der modsvarer det generelle trusselsbillede. Det er endvidere hensigten, at der udstedes regler om, at virksomhederne kan pålægges at udarbejde risikovurderinger af specifikke trusler inden for 3 måneder. Virksomhederne skal løbende vurdere, om der er behov for yderligere risikovurderinger. Virksomhederne forventes pålagt at udarbejde risikovurderinger med en hyppighed og detaljeringsgrad, der følger deres kritikalitet for det samlede el- eller naturgassystem.

Det forventes ikke, at virksomhederne vil blive pålagt at foretage risikovurderinger af samtlige trusler oftere end hver sjette måned. Det forventes, at hyppigheden af risikovurderinger vil følge området og truslernes teknologiske udvikling.

Virksomhedernes trussels- og risikokendskab samt virksomhedernes evne til at reagere på disse er en forudsætning for en fyldestgørende risikostyring af egne it-systemer.

Virksomhedernes risikostyring skal inddrage alle væsentlige risici, herunder også risici, der er afledt af samarbejde med tredjeparter, der har adgang til virksomhedens it-systemer.

Den foreslåede bestemmelse i stk. 5, nr. 4, indebærer, at energi-, forsynings- og klimaministeren fastsætter regler om tilmelding til en tjeneste, der yder varsler og informationer om it-sikkerhedstrusler.

Denne bestemmelse forudsættes udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter krav til indholdet af de aftaler, de enkelte virksomheder indgår med en it-sikkerhedstjeneste. Disse krav kan pålægge tjenester at videreformidle informationer til Energinet.dk eller andre virksomheder i el- og naturgassektorerne. Dette krav har til hensigt at forhindre, at en virksomhed eller Energinet.dk ikke kan videreformidle informationer af betydning for sikkerheden ved andre virksomheder i el- eller naturgassektoren af hensyn til ophavsret eller en aftalebegrænsning. Kravene kan endvidere beskrive, under hvilke vilkår kontrakter mellem virksomheder og it-sikkerhedstjenester kan godkendes, således at energi-, forsynings- og klimaministeren kan fastsætte procedure for godkendelse, der sikrer en ensartet og fagligt forsvarlig kontraktindgåelse under hensyn til markedets udvikling.

Det er hensigten med bestemmelsen at sikre et minimumsniveau for de kommercielle varslingstjenester ved at pålægge energi-, forsynings- og klimaministeren at fastsætte nærmere krav, der pålægger, at alle virksomheder tilmeldes en it-sikkerhedstjeneste, der leverer informationer om relevante trusler og risici mod it-sikkerheden. En sådan proaktiv tjeneste vil bidrage til virksomhedernes interne it-sikkerhedsprocesser. Det er endvidere hensigten at give energi-, forsynings- og klimaministeren hjemmel til at fastsætte graduerede krav til de reaktive ydelser en it-sikkerhedstjeneste kan yde, således at virksomheder, der ejer it-systemer af betydning for el- og naturgasforsyningen regionalt eller nationalt, kan pålægges at skulle være tilmeldt en it-sikkerhedstjeneste, der kan reagere på akutte trusler mod virksomhedens it-systemer og assistere virksomheden i forbindelse med en håndtering af en trussel eller genopretning af it-systemer og opklaring af sårbarheder efter et nedbrud eller it-angreb.

En effektiv anvendelse af en sådan reaktiv tjeneste kræver, at virksomhederne stiller de fornødne ressourcer til rådighed til såvel direkte omkostninger til tjenesten som indirekte omkostninger forbundet med en hyppig dialog om sårbarheder og systemdrift mellem virksomheden og tjenesten. Det er hensigten at energi-, forsynings- og klimaministeren pålægges at udarbejde nærmere krav til disse it-sikkerhedstjenester og revidere disse krav løbende i forhold til den teknologiske og kommercielle udvikling af såvel energimarkederne og markedet for it-sikkerhedsydelser. Det er ikke hensigten med denne bemyndigelse at pålægge ministeren at fastsætte tekniske specifikationer til hvordan it-sikkerhedstjenesten håndtere deres opgave. Der foreligger en mulighed for, at der på baggrund af kontraktudarbejdelsen mellem virksomheder og it-sikkerhedstjenester opbygges en vejledning til minimumskrav til disse kontrakter. Der foreligger også muligheden for at virksomhederne vælger at varetage opgaverne som it-varslingstjeneste ved en intern organisering, dette medfører dog et dokumentationskrav, således at det kan godtgøres at denne it-sikkerhedstjeneste efterlever krav udstedt af energi-, forsynings- og klimaministeren.

Det bemærkes, at de udstedte regler om træder i kraft på tidspunkt, hvor virksomhederne har haft mulighed på at indrette sig i forhold til dette krav.

Den foreslåede bestemmelse i stk. 5, nr. 5, indebærer, at energi-, forsynings- og klimaministeren fastsætter regler om Energinet.dk's varetagelse af overordnede, koordinerende planlægningsmæssige og operative opgaver vedrørende det beredskab, som er nævnt i stk. 1.

Bestemmelsen forudsættes udnyttet ved, at ministeren udsteder regler om, at Energinet.dk kan tilgå relevante informationer og skabe det fornødne overblik over situationen, herunder hvilke oplysninger og materiale i øvrigt virksomhederne skal stille til rådighed for Energinet.dk, og herunder bemyndige Energinet.dk til at forlange dette materiale udfyldt i et specifikt format. Dette materiale skal kunne håndteres med den fornødne fortrolighed.

Det forventes, at energi-, forsynings- og klimaministeren fastsætter regler, hvorefter Energinet.dk pålægges som en del af det overordnede koordinerende arbejde at bidrage til udarbejdelsen af sektorspecifikke trusselsvurderinger. . Denne opgave kræver, at Energinet.dk stiller kompetente ressourcer til varetagelse af denne opgave. . Energi-, forsynings- og klimaministeren kan fastsætte nærmere regler for dette samarbejde samt vejlede Energinet.dk i varetagelse af denne opgave.

Virksomhedernes indblik i egne it-systemer og erkendelse af anormaliteter kan være af afgørende betydning for andre virksomheders, Energinet.dk's og det samlede el- og naturgassystems evne til at begrænse eller forhindre skader ved et it-angreb. Det er derfor vigtigt, at virksomhederne øver og evaluerer hændelser. Dertil kommer, at virksomhederne skal formidle såvel øvelseserfaringer og erfaringer efter hændelser, der har aktiveret it-beredskabsplanen i væsentligt omfang til Energinet.dk samt andre virksomheder. Energi-, forsynings- og klimaministeren kan fastsætte nærmere regler herom.

Den foreslåede bestemmelse i stk. 5, nr. 6, indebærer, at energi-, forsynings- og klimaministeren fastsætter regler om krav til indholdet og planlægningen af en it-revision ved en uafhængig revisor, jf. det foreslåede stk. 2. Bestemmelsen forudsættes udnyttet ved, at energi-, forsynings- og klimaministeren fastsætter regler om gennemførelsen og afrapporteringen af en it-revision jf. det foreslåede stk. 2, herunder at it-revisionen kan indeholde en række anbefalinger fremsat af revisoren, der opstiller tiltag, som den pågældende virksomhed efter revisorens faglige vurdering skal bringe i orden for at overholde det foreslåede stk. 1.

På baggrund af krav til indholdet af it-revisorens rapport kan tilsynsmyndigheden sikre en faglig kvalitet i it-revisionen, hvorved tilsynsmyndighedens afgørelser kan underbygges med konkret faglig indsigt.

Bestemmelsen pålægger endvidere energi-, forsynings- og klimaministeren at fastsætte regler om, hvorledes en it-revision efter det foreslåede stk. 2 planlægges. Det er hensigten, at der derved kan fastsættes minimumskrav til en it-revision eller fastsættes krav om godkendelse af specifikke it-revisorer.

Den teknologiske udvikling på dette område gør, at der er behov for en vis fleksibilitet for, at energi-, forsynings- og klimaministeren kan fastætte regler for indholdet af it-revisionen og løbende kunne ændre kriterier for udvælgelse og rapportering.

Det foreslås i stk. 6, at energi-, forsynings- og klimaministeren pålægger enten Energinet.dk, Energistyrelsen eller anden egnet myndighed at føre tilsyn med virksomhedernes overholdelse af reglerne fastsat i stk. 1. Energistyrelsen fører tilsyn med den udpegede tilsynsmyndighed, medmindre Energistyrelsen selv varetager tilsynet med virksomhederne, da pålægges energi-, forsynings- og klimaministeriets departement at føre tilsyn med Energistyrelsen.

Denne bestemmelse forventes udmøntet i en bekendtgørelse, der fastsætter nærmere regler vedr. tilsyn. Denne bekendtgørelse bør revideres jævnligt, så det er muligt at ændre organiseringen af tilsynet efter en række foranderlige forhold.

Vurdering af, hvilken institution der skal føre tilsyn med virksomhederne, skal omfatte såvel økonomiske som organisatoriske forhold af betydning, herunder skal følgende forhold som minimum vurderes:

1. Energistyrelsens tilsyn med Energinet.dk, herunder Energistyrelsens mulighed for at føre tilsyn med tilsynsførelsen overfor virksomhederne.

2. Virksomhedernes samarbejde med Energinet.dk i såvel beredskabssituationer som i forbindelse med planlægning af beredskabsarbejdet.

3. Energinet.dk's it-beredskabsarbejde internt.

4. Sammenhæng og synergi med andre opgaver indenfor beredskabet.

Disse forhold er afhængige af mange faktorer, herunder de mulige truslers karakter, de økonomiske rammer for Energinet.dk, Energinet.dk's handler med balancevirksomheder, udviklingen af markedet for it-serviceydelser og sektorernes øvrige regulering. Ved at kunne ændre på fordelingen af tilsynsopgaver ved Energinet.dk og Energistyrelsen skal energi-, forsynings- og klimaministeren sikre, at tilsynsopgaven pålægges den institution, der efter ovennævnte forhold har de bedste vilkår for at føre tilsynet med virksomhedernes efterlevelse af disse regler.

Tilsynet med virksomhederne kan tilpasses til virksomhedernes kritikalitet for den samlede naturgasforsyning. Tilsynsmyndigheden skal gennemføre tilsynsbesøg årligt ved virksomheder, der varetager kritiske systemer, mens tilsynet ved de resterende virksomheder kan begrænses til treårlige tilsynsbesøg suppleret af løbende underretninger og skriftlig kommunikation om ændringer af beredskabsplaner og risikoundersøgelser.

Tilsynsmyndigheden skal dokumentere de gennemførte tilsyn, og virksomhederne skal have mulighed for at kommentere tilsynsmyndighedens tilsynsdokumentation.

Tilsynet med virksomhedernes beredskabsarbejde forudsætter fremskaffelse af oplysninger fra virksomhederne, bl.a. risiko- og sårbarhedsvurderinger samt beredskabsplaner, procedurer m.m., som er udarbejdet på grundlag af disse risiko- og sårbarhedsvurderinger. Vurdering af dette materiale forudsætter faglig viden om driftsforholdene i de forskellige former for virksomhed inden for naturgassektoren. Tilsynsmyndigheden kan indhente oplysninger om aktuelle og historiske driftsforhold ved Energinet.dk's kontrolcenter, alene med det formål at vurdere tilstrækkeligheden af virksomhedernes beredskabsarbejde i forhold til deres kritikalitet for det samlede naturgassystem.

Tilsynsarbejdet skal adskilles fra Energinet.dk's overordnede koordinerende opgaver i beredskabssituationer. Disse overordnede, koordinerende opgaver forudsætter ligeledes et kendskab til de enkelte virksomheders it-beredskab, dettes omfang og kvalitet samt det indbyrdes samspil mellem de forskellige virksomheders beredskab. Såfremt Energinet.dk varetager opgaven som tilsynsmyndighed, og derved varetager både de overordnede koordinerende beredskabsopgaver efter § 15 a, stk. 2 og tilsyn efter denne bestemmelse, skal Energinet.dk tilsikre, at virksomhederne oplyses om, hvilke informationer der anvendes i tilsynsøjemed. Energistyrelsen pålægges at føre tilsyn med Energinet.dk's arbejde med at sikre beskyttelse af egne forsyningskritiske it-systemer, varetage de overordnede koordinerende opgaver i beredskabssituationer. Dette tilsyn kan tilrettelægges således, at den kan samordnes med tilsynet med virksomhedernes almene beredskabsarbejde efter § 15 a i lov om naturgasforsyning. Energistyrelsen pålægges endvidere at føre tilsyn med Energinet.dk's tilsyn med virksomhedernes it-beredskabsarbejde i det tilfælde, at Energinet.dk varetager opgaverne som tilsynsmyndighed over for virksomhederne.

Til nr. 3

Den gældende bestemmelse i § 30, stk. 2, indebærer, at der kan opkræves gebyr for Energistyrelsens tilsyn med bevillingshavere samt Energinet.dk og denne virksomheds helejede datterselskaber.

Det foreslås, at bestemmelsen i § 30, stk. 2, ændres, således at der skabes hjemmel til, at Energistyrelsens tilsyn med beredskabsopgaver efter den foreslåede § 15 b kan gebyrfinansieres.

Formålet med ændringen er at sikre finansieringen af den nye tilsynsopgave, som foreslås i § 15 b. Den foreslåede ændring betyder, at de kollektive elforsyningsvirksomheder skal betale for de timer, som Energistyrelsen anvender til at føre tilsyn med virksomhederne. Der beregnes en tilsynssats, som vil blive fastsat ved bekendtgørelse. Den foreslåede ændring har ikke til hensigt at begrænse anvendelsesområdet for den gældende bestemmelse i § 30, stk. 2.

Til § 3

Det foreslås i stk. 1, at loven træder i kraft den 1. juli 2017, jf. dog stk. 2.

Ikrafttrædelsestidspunktet er fastsat til den 1. juli 2017 under hensyn til erhvervslivet mulighed for at indrette sig i henhold til de nye krav til it-sikkerhedstjeneste mv.

Det foreslås i stk. 2, at lovforslagets § 1, nr. 2, som ikke er erhvervsrettet, træder i kraft den 1. januar 2017 med henblik på at sikre et klarere hjemmelsgrundlag for opkrævning gebyrer for Energistyrelsens behandling af godkendelser til, at Energinet.dk kan etablere elforsyningsnet på søterritoriet og i den eksklusive økonomiske zone.

Bilag

Lovforslaget sammenholdt med gældende lov