EFK, Alm.del - 2017-18 - Bilag 233: Orientering om udstedt bekendtgørelse om beredskab for oliesektoren og nyudstedt bekendtgørelse om it-beredskab i el- og naturgassektorerne.

Energi- Forsynings- og Klimaudvalget 2017-18
EFK Alm.del Bilag 233
Offentligt

Høringsnotat vedr. ændringsbekendtgørelse til bekendtgørelse

om It-beredskab i el- og naturgassektorerne

Kontor/afdeling

Center for Forsyning

Dato

28. marts 2018

J nr.

2017-988

JCV/MMO/SMT

Et udkast til ændringsbekendtgørelse til bekendtgørelse om it-beredskab i el- og

naturgassektorerne har været udsendt i ekstern høring i perioden den 20. februar

2018 til 20. marts 2018. Energistyrelsen (ENS) har på baggrund af denne høring

modtaget høringssvar for Dansk Energi (DE) og Ørsted A/S. Dette notat redegør

for de væsentligste punkter i høringssvarerne. Energistyrelsens bemærkninger

hertil er angivet med kursiv efter hvert punkt. Ønskes der detaljerede oplysninger

om høringssvarets indhold, henvises der til de fremsendte høringssvar.

Fortrolighed i fremsendelsen af følsomt materiale

DE udtrykker bekymring ved indsendelse af beredskabs- og planmateriale til

Energinet. DE påpeger, at it-sikkerhed i modsætning til meget andet

beredskabsarbejde beror på ondsindede, menneskeskabte aktiviteter og

handlinger, hvorfor der er et behov for fortrolighed. DE ønsker derfor, at

beredskabs- og planmaterialet alene stilles til rådighed ved personligt møde. DE

fremhæver, at DE støtter udarbejdelsen og godkendelsen af det påkrævede

materiale, hvorved DE’s anke alene vedrører spørgsmålet om fortrolighed, da

følsomt materiale vil blive kopieret.

ENS deler DE’s opfattelse af, at der er behov for beskyttelse af følsomme

oplysninger i forbindelse med it-beredskabsarbejdet. Det er imidlertid en

forudsætning for Energinets koordinerende arbejde og tilsynsarbejde, at der kan

udveksles relevante oplysninger mellem virksomheder, Energinet og myndigheder.

Såfremt nogle informationer vurderes at være følsomme, anbefales det, at

udstederen sikrer, at det fremgår tydeligt af materialet, ligesom forholdsregler for

opbevaring og håndtering aftales ved overlevering. ENS anbefaler, at DE tager

direkte kontakt til Energinet, såfremt flere virksomheder finder behov for, at

Energinet i sin egenskab af tilsynsmyndighed eller i egenskab af koordinerende

enhed i el- og naturgassektorerne, udarbejder en beskrivelse af, hvordan denne

type oplysninger håndteres ved Energinet.

DE henleder ENS opmærksomhed på, at der inden for telesektoren ikke er

tilsvarende krav om deling af beredskabsplaner mellem virksomheder og

myndigheder. DE finder forskellen bemærkelsesværdig.

Energi-, Forsynings- og

Klimaministeriet

Stormgade 2-6

1470 København K

T: +45 3392 2800

E: [email protected]

Side 1/3

www.efkm.dk

EFK, Alm.del - 2017-18 - Bilag 233: Orientering om udstedt bekendtgørelse om beredskab for oliesektoren og nyudstedt bekendtgørelse om it-beredskab i el- og naturgassektorerne.

ENS er ikke vidende om de overvejelser, der ligger bag valget af den metode for

tilsyn, der er valgt i telesektoren. ENS vurderer umiddelbart, at der er væsentlige

forskelle imellem sektorerne, der kan begrunde denne forskel. Fx at Energinet som

central aktør i el- og naturgassektorerne råder over en række forsyningskritiske

anlæg. På den baggrund kan der være væsentlige forskelle på de opgaver, CFCS

varetager ved en operativ cyberhændelse i telesektoren, i forhold til de opgaver,

Energinet varetager i el- og naturgassektorerne.

DE anbefaler under henvisning til bekendtgørelsens § 29 stk. 4, at Energinet

destruerer følsomt materiale efter godkendelse og anvendelse for koordinering.

ENS varetager tilsynet med Energinets overholdelse af den pågældende

bekendtgørelse. ENS fører tilsyn med Energinets overholdelse af bekendtgørelsen

§ 29 stk. 4, i lighed med andre gældende regler.

Fremsendelse af øvelsesevalueringer

Ørsted A/S påpeger, at den indførte ændring i bekendtgørelsens § 19 stk. 7, er

uhensigtsmæssig, da den kan forstås således, at virksomhederne skal sende

øvelsesevalueringer til både Energinet og Energistyrelsen. Ørsted A/S foreslår, at

den oprindelige tekst fra § 19 stk. 7 bibeholdes.

Det er ENS’ hensigt med den tilføjede bemærkning at præcisere, at Energinet i

lighed med virksomhederne skal udarbejde øvelsesevalueringer efter § 19 stk. 3 og

stk. 4. Energinet skal fremsende disse evalueringer til Energistyrelsen på lige vilkår

med virksomhederne, der fremsender tilsvarende evalueringer til Energinet. På

baggrund af den risiko for misforståelse som Ørsted A/S har påpeget ændres den

forslåede bestemmelse fra:

”§ 19 Stk. 7. Virksomhedernes og Energinets øvelsesevalueringer efter stk. 3 og

stk. 4 fremsendes senest tre måneder efter øvelsen til Energinet hhv.

Energistyrelsen.” til:

”§ 19 Stk. 7. Virksomhedernes øvelsesevalueringer efter stk. 3 og stk. 4

fremsendes senest tre måneder efter øvelsen til Energinet. Energinets

øvelsesevalueringer efter stk. 3-5 fremsendes senest tre måneder efter øvelsen til

Energistyrelsen.”

Energistyrelsen vurderer, at denne ændring alene er af redaktionel karakter.

Andet

ENS er blevet opmærksom på, at den anvendte formulering af

ændringsbekendtgørelsens § 1 stk. 8 er uhensigtsmæssig, da det ikke er

tilstrækkeligt klart, hvilken internetportal Energinet skal anvende.

Ændringsbekendtgørelsens § 1 stk. 8, formulering tilpasses, således at det

fremgår, at Energinet skal anvende den portal, som Erhvervsstyrelsen stiller til

Side 2/3

EFK, Alm.del - 2017-18 - Bilag 233: Orientering om udstedt bekendtgørelse om beredskab for oliesektoren og nyudstedt bekendtgørelse om it-beredskab i el- og naturgassektorerne.

rådighed for samtlige myndigheder og virksomheder til brug for rapportering af it-

hændelser i alle sektorer underlagt pligter i NIS-direktivet.

Energistyrelsen er endvidere blevet opmærksom på en mangel ift. at få

implementeret net- og informationssikkerhedsdirektivet korrekt. De respektive

kompetente myndigheder i hver sektor skal efter forudgående høring af en

virksomhed, der er ramt af en hændelse, kunne oplyse offentligheden om den

konkrete it- hændelse hos den konkrete virksomhed, hvis offentlighedens kendskab

hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende

hændelse jf. NIS-direktivets artikel 14(6).

Der tilføjes derfor et stk. 3 til bekendtgørelsens § 14, der giver Energinet hjemmel til

efter forudgående høring af den ramte virksomhed at informere offentligheden om

den konkrete hændelse, hvis offentlighedens kendskab hertil er nødvendigt for at

forebygge en hændelse eller håndtere en igangværende hændelse.

En tilsvarende hjemmel er allerede implementeret, for så vidt angår tværsektorielle

it-hændelser, hvor Center for Cybersikkerhed har hjemmel til at informere

offentligheden efter forudgående høring af virksomheden. Energistyrelsen skal dog

for at tilsikre tilstrækkelig implementering have tilsvarende hjemmel, såfremt it-

hændelsen ikke har tværsektorielle implikationer.

Side 3/3