Forsvarsudvalget 2023-24
FOU Alm.del Bilag 208
Offentligt
2891451_0001.png
UDKAST
Forslag
til
Lov om kritiske enheders modstandsdygtighed
1
Kapitel 1
Anvendelsesområde og definitioner
§ 1.
Loven finder anvendelse på enheder, der er omfattet af enhedskate-
gorierne i lovens bilag 2, jf. dog stk. 2-6.
Stk. 2.
Loven finder ikke anvendelse på forhold omfattet af den natio-
nale gennemførelse af Europa-Parlamentets og Rådets direktiv (EU)
2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt
fælles cybersikkerhedsniveau i hele unionen, om ændring af forordning
(EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direk-
tiv (EU) 2016/1148 (NIS 2-direktivet).
Stk. 3.
Loven finder ikke anvendelse på offentlige forvaltningsenheder,
som udfører deres aktiviteter inden for national sikkerhed, offentlig sikker-
hed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og
retsforfølgning af strafbare handlinger.
Stk. 4.
Vedkommende minister kan inden for sit område træffe afgørelse
om helt eller delvist at undtage specifikke kritiske enheder, der udfører ak-
tiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller rets-
håndhævelse, herunder forebyggelse, efterforskning, afsløring og retsfor-
følgning af strafbare handlinger, eller som udelukkende leverer tjenester til
offentlige forvaltningsenheder, der er omfattet af stk. 3, fra bestemmel-
serne i §§ 4-9 og 15-17.
1
Loven gennemfører dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af
14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets
direktiv 2008/114/EF (CER-direktivet), EU-Tidende 2022, nr. L 333 side 164. Direktivet
er medtaget som bilag 1 til loven.
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Stk. 5.
For kritiske enheder i sektorerne bankvirksomhed, finansiel mar-
kedsinfrastruktur og digital infrastruktur, jf. lovens bilag 2, finder bestem-
melserne i §§ 4-9 og 15-17 ikke anvendelse.
Stk. 6.
Vedkommende minister kan inden for sit område bestemme, at lo-
ven helt eller delvist ikke finder anvendelse på kritiske enheder, hvor sek-
torspecifikke EU-retsakter og eventuel national gennemførelse heraf har
mindst samme virkning som de tilsvarende forpligtelser efter denne lov og
regler udstedt i medfør af denne lov.
§ 2.
I denne lov forstås ved:
1) Hændelse: En begivenhed, der har potentiale til i betydelig grad at for-
styrre, eller som forstyrrer, leveringen af en væsentlig tjeneste.
2) Kritisk infrastruktur: Et aktiv, en facilitet, udstyr, et netværk eller et
system, eller en del af et aktiv, en facilitet, udstyr, et netværk eller et
system, som er nødvendig(t) for leveringen af en væsentlig tjeneste.
3) Modstandsdygtighed: En kritisk enheds evne til at forebygge, beskytte
mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og sikre gen-
opretning efter en hændelse.
4) Risiko: Potentialet for tab eller forstyrrelse som følge af en hændelse,
der skal udtrykkes som en kombination af størrelsen af et sådant tab
eller en sådan forstyrrelse og sandsynligheden for, at hændelsen ind-
træffer.
5) Risikovurdering: Den samlede proces med henblik på at bestemme ar-
ten og omfanget af en risiko ved at identificere og analysere potenti-
elle relevante trusler, sårbarheder og farer, der kunne føre til en hæn-
delse, og ved at evaluere det potentielle tab eller den potentielle for-
styrrelse af leveringen af en væsentlig tjeneste forårsaget af denne
hændelse.
6) Væsentlig tjeneste: En tjeneste, der er afgørende for opretholdelsen af
vitale samfundsmæssige funktioner, økonomiske aktiviteter, folke-
sundhed, offentlig sikkerhed eller miljøet.
Kapitel 2
Kritiske enheder
Identifikation af kritiske enheder
§ 3.
Vedkommende minister træffer inden for sit område afgørelse om
identifikation og afidentifikation af kritiske enheder, der er omfattet af en-
hedskategorierne i lovens bilag 2.
Stk. 2.
Ved identifikation af kritiske enheder lægges der vægt på føl-
gende:
1) Den nationale strategi for styrkelse af kritiske enheders modstands-
dygtighed.
2
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
2) Den nationale risikovurdering med henblik på identifikation af kritiske
enheder.
3) Om enheden leverer en eller flere væsentlige tjenester.
4) Om enheden opererer i og har sin kritiske infrastruktur beliggende på
dansk territorium.
5) Om en hændelse vil have betydelig forstyrrende virkning, jf. stk. 3, på
enhedens levering af en eller flere væsentlige tjenester eller på leverin-
gen af andre væsentlige tjenester i sektorer omfattet af Europa-Parla-
mentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om
kritiske enheders modstandsdygtighed og om ophævelse af Rådets di-
rektiv 2008/114/EF (CER-direktivet), jf. lovens bilag 1, som er af-
hængige af denne eller disse væsentlige tjenester.
Stk. 3.
Ved fastlæggelse af, om en hændelse vil have betydelig forstyr-
rende virkning, jf. stk. 2, nr. 5, lægges der vægt på følgende:
1) Antal brugere, der er afhængige af den væsentlige tjeneste, som udby-
des af den berørte enhed.
2) Omfanget af andre sektorers og delsektorers afhængighed af den på-
gældende væsentlige tjeneste.
3) Den indvirkning, som hændelser kan have med hensyn til omfang og
varighed på økonomiske og samfundsmæssige aktiviteter, miljøet, den
offentlige sikkerhed eller befolkningens sundhed.
4) Enhedens markedsandel på markedet for den eller de berørte væsent-
lige tjenester.
5) Det geografiske område, der kan blive berørt af en hændelse, herunder
eventuel grænseoverskridende indvirkning.
6) Enhedens betydning med hensyn til at opretholde et tilstrækkeligt ni-
veau for den væsentlige tjeneste under hensyntagen til tilgængelighed
af alternative måder at levere denne væsentlige tjeneste på.
Stk. 4.
Vedkommende minister kan kræve, at enheder fremlægger mate-
riale og oplysninger, der er nødvendige for stillingtagen til, om en enhed
skal identificeres som kritisk.
Stk. 5.
Vedkommende minister orienterer inden for en måned efter iden-
tifikation efter stk. 1 enheden om dens forpligtelser, og om fra hvilken dato
forpligtelserne finder anvendelse.
Stk. 6.
Vedkommende minister kan inden for sit område fastsætte nær-
mere regler om identifikation af kritiske enheder.
Kritiske enheder af særlig europæisk betydning
§ 4.
Kritiske enheder betragtes som kritiske enheder af særlig europæisk
betydning, hvis de leverer de samme eller lignende væsentlige tjenester til
eller i seks eller flere EU-medlemsstater.
Stk. 2.
Kritiske enheder skal underrette den relevante kompetente myn-
dighed, såfremt de leverer væsentlige tjenester til eller i seks eller flere
3
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
EU-medlemsstater. Enhederne skal i den forbindelse oplyse, hvilke væ-
sentlige tjenester de leverer, samt hvilke EU-medlemsstater tjenesterne le-
veres til eller i.
Stk. 3.
Den relevante kompetente myndighed underretter uden unødigt
ophold en kritisk enhed om, at den er identificeret som en kritisk enhed af
særlig europæisk betydning, om dens forpligtelser efter § 17 og om fra
hvilken dato disse forpligtelser finder anvendelse.
Kritiske enheders risikovurdering
§ 5.
Kritiske enheder skal foretage en risikovurdering med henblik på at
vurdere alle relevante risici, der kan forstyrre leveringen af deres væsent-
lige tjenester.
Stk. 2.
Risikovurderingen skal foretages på grundlag af den nationale ri-
sikovurdering og andre relevante informationskilder, og den skal tage
højde for alle relevante naturlige og menneskeskabte risici, der kan føre til
en hændelse. Risikovurderingen skal endvidere tage hensyn til det omfang
i hvilket andre sektorer omfattet af CER-direktivet, jf. lovens bilag 1, af-
hænger af den kritiske enheds væsentlige tjeneste, og det omfang i hvilket
den kritiske enhed afhænger af væsentlige tjenester, der leveres af andre
enheder i andre sektorer omfattet af CER-direktivet, jf. lovens bilag 1, her-
under i andre lande.
Stk. 3.
Risikovurderingen skal opdateres, når det er nødvendigt, og
mindst hvert fjerde år.
Stk. 4.
Vedkommende minister kan inden for sit område fastsætte nær-
mere regler om kritiske enheders risikovurdering.
Kritiske enheders modstandsdygtighedsforanstaltninger
§ 6.
Kritiske enheder skal træffe passende og forholdsmæssige tekniske,
sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre enhe-
dernes modstandsdygtighed på grundlag af den nationale risikovurdering
og den kritiske enheds egen risikovurdering, herunder foranstaltninger, der
er nødvendige for at:
1) Forhindre hændelser i at indtræffe under behørig hensyntagen til kata-
stroferisikoreduktions- og klimatilpasningsforanstaltninger.
2) Sikre tilstrækkelig fysisk beskyttelse af enhedens lokaler og kritiske
infrastruktur under behørig hensyntagen til f.eks. hegn, barrierer,
værktøjer og rutiner til overvågning af perimetre, detektionsudstyr og
adgangskontrol.
3) Reagere på, modstå og afbøde følgerne af hændelser under behørig
hensyntagen til gennemførelsen af risiko- og krisestyringsprocedurer
og -protokoller samt varslingsrutiner.
4
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
4) Sikre genopretning efter hændelser under behørig hensyntagen til for-
retningskontinuitetsforanstaltninger og identifikation af alternative
forsyningskæder for at genoptage leveringen af væsentlige tjenester.
5) Sikre passende medarbejdersikkerhedsstyring under behørig hensynta-
gen til foranstaltninger såsom fastsættelse af kategorier af eget og eks-
ternt personale, der udøver kritiske funktioner, fastlæggelse af ad-
gangsrettigheder til lokaler, kritisk infrastruktur og følsomme oplys-
ninger, fastsættelse af procedurer for baggrundskontrol jf. § 9 og ud-
pegelse af kategorier af personer, som er forpligtet til at gennemgå en
sådan baggrundskontrol, samt fastlæggelse af passende uddannelses-
krav og kvalifikationer.
6) Øge bevidstheden blandt det relevante personale om de foranstaltnin-
ger, der er omhandlet i nr. 1-5, under behørig hensyntagen til kurser,
informationsmateriale og øvelser.
Stk. 2.
Kritiske enheder skal have og anvende en plan for modstandsdyg-
tighed, der beskriver, hvilke foranstaltninger der er truffet i henhold til stk.
1.
Stk. 3.
Vedkommende minister kan inden for sit område fastsætte nær-
mere regler om kritiske enheders modstandsdygtighedsforanstaltninger.
Kritiske enheders oplysnings- og underretningspligter
§ 7.
Kritiske enheder skal udpege en kontaktperson og meddele relevante
kontaktoplysninger til den relevante kompetente myndighed. Den kritiske
enhed skal underrette den kompetente myndighed om ændringer i kontakt-
oplysningerne.
§ 8.
Kritiske enheder skal underrette den relevante kompetente myndig-
hed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i
betydelig grad at forstyrre leveringen af enhedens væsentlige tjenester.
Stk. 2.
Ved vurdering af en forstyrrelses omfang indgår navnlig:
1) Antallet og andelen af brugere, der er berørt af forstyrrelsen.
2) Forstyrrelsens varighed.
3) Det geografiske område, der er berørt af forstyrrelsen, idet der tages
hensyn til, om det er et geografisk isoleret område.
Stk. 3.
Underretninger efter stk. 1 skal indeholde alle tilgængelige oplys-
ninger, der er nødvendige for, at den kompetente myndighed kan forstå
hændelsens art, årsag og mulige konsekvenser, herunder alle tilgængelige
oplysninger, der er nødvendige for at fastslå hændelsens eventuelle græn-
seoverskridende indvirkning.
Stk. 4.
Underretningen skal ske uden unødigt ophold og, medmindre det
operationelt ikke er muligt, senest 24 timer efter, at den kritiske enhed er
blevet opmærksom på hændelsen. Den kritiske enhed skal på anmodning
fra den kompetente myndighed sende en detaljeret rapport til den kompe-
tente myndighed senest en måned efter hændelsen.
5
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Stk. 5.
Den kompetente myndighed giver snarest muligt efter modtagelse
af en underretning efter stk. 1 den berørte kritiske enhed relevante opføl-
gende oplysninger, herunder oplysninger, som kan understøtte en effektiv
reaktion fra den kritiske enhed på den pågældende hændelse.
Stk. 6.
Den kompetente myndighed kan orientere offentligheden om en
hændelse, hvis det vil være i offentlighedens interesse.
Stk. 7.
Vedkommende minister kan inden for sit område fastsætte nær-
mere regler om vurderingen af en forstyrrelses omfang efter stk. 2 og de
oplysninger, der skal indgå i en underretning efter stk. 3.
Baggrundskontrol af personer
§ 9.Vedkommende
minister kan inden for sit område efter forhandling
med justitsministeren fastsætte nærmere regler om, på hvilke betingelser
kritiske enheder kan få foretaget baggrundskontrol af personer med hen-
blik på at vurdere en potentiel sikkerhedsrisiko for enheden. Baggrunds-
kontrollen kan angå personer, der:
1) Varetager følsomme funktioner i eller til fordel for en kritisk enhed,
navnlig vedrørende den kritiske enheds modstandsdygtighed.
2) Er bemyndiget til at få direkte adgang eller fjernadgang til en kritisk
enheds lokaler, oplysninger eller kontrolsystemer, herunder i forbin-
delse med den kritiske enheds sikkerhed.
3) Overvejes ansat i stillinger, der indebærer opgavevaretagelse efter nr.
1 og 2.
Kapitel 3
Videregivelse af oplysninger, digital kommunikation og gennemførelses-
retsakter
§ 10.
De relevante myndigheder kan videregive oplysninger til andre
medlemsstaters myndigheder og til institutioner i Den Europæiske Union
for at varetage de opgaver, som følger af denne lov eller CER-direktivet.
§ 11.
De forpligtelser, der er fastsat i denne lov eller i regler udstedt i
medfør af loven, omfatter ikke meddelelse af oplysninger, hvis videregi-
velse ville stride mod væsentlige interesser af hensyn til den nationale sik-
kerhed, offentlige sikkerhed eller forsvar.
Stk. 2.
Oplysninger, der modtages eller hidrører fra myndigheder i andre
EU-medlemsstater, behandles som fortrolige, såfremt den afgivende myn-
dighed betragter oplysningerne som fortrolige i henhold til EU-regler eller
nationale regler.
6
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
§ 12.
Vedkommende minister kan inden for sit område fastsætte regler,
som er nødvendige for at gennemføre retsakter udstedt af Europa-Kom-
missionen i medfør af CER-direktivet.
§ 13.
Vedkommende minister kan inden for sit område fastsætte regler
om digital kommunikation, herunder om anvendelsen af bestemte it-syste-
mer og særlige digitale formater samt digital signatur eller lignende.
Kapitel 4
Tilsyn og håndhævelse
§ 14.
Vedkommende minister fastsætter inden for sit område regler om,
hvilken myndighed der skal varetage funktionen som kompetent myndighed
inden for en given sektor eller delsektor, jf. lovens bilag 2.
§ 15.
Den kompetente myndighed fører på sit område tilsyn med over-
holdelsen af denne lov og regler udstedt i medfør af loven. Den kompe-
tente myndighed kan som led i dette tilsyn:
1) Foretage inspektioner på stedet af den kritiske infrastruktur og de lo-
kaler, som den kritiske enhed anvender til at levere sine væsentlige
tjenester.
2) Foretage en audit af en kritisk enhed eller stille krav om, at enheden
får et kvalificeret, uafhængigt organ til at foretage denne, og at resul-
taterne heraf stilles til rådighed for den kompetente myndighed.
3) Kræve at få udleveret oplysninger, der er nødvendige for at vurdere,
hvorvidt de modstandsdygtighedsforanstaltninger, som den berørte en-
hed har indført, opfylder kravene i § 6.
4) Kræve at få adgang til data, dokumenter og oplysninger, der er nød-
vendige for udførelsen af tilsynsopgaven.
5) Kræve at få udleveret dokumentation for faktisk gennemførelse af
modstandsdygtighedsforanstaltninger, herunder resultaterne af en au-
dit.
Stk. 2.
Ved anvendelsen af tiltagene i stk. 1, nr. 3-5, skal den kompetente
myndighed angive formålet med kravet og præcisere, hvilke oplysninger
der kræves udleveret.
Stk. 3.
Den kompetente myndighed kan stille nærmere krav til, hvordan
og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 3-5, skal
afgives.
§ 16.
Den kompetente myndighed kan påbyde en kritisk enhed at træffe
nødvendige og forholdsmæssige foranstaltninger for at afhjælpe en konsta-
teret overtrædelse af loven eller regler fastsat i medfør af loven.
7
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
§ 17.
Kritiske enheder af særlig europæisk betydning, jf. § 4, skal give
rådgivende EU-delegationer adgang til oplysninger, systemer og facilite-
ter, der vedrører levering af deres væsentlige tjenester, og som er nødven-
dige for at gennemføre den pågældende rådgivende aktivitet.
Kapitel 5
Straf
§ 18.
Med bøde straffes den, der:
1) Overtræder § 4, stk. 2, § 5, stk. 1, 2 eller 3, § 6, stk. 1 eller 2, § 7, § 8,
stk. 1, 3 eller 4, eller § 17.
2) Undlader at efterkomme krav efter § 3, stk. 4, eller § 15, stk. 1, nr. 2-
5, eller stk. 3.
3) Undlader at efterkomme påbud efter § 16.
4) Hindrer den kompetente myndighed i at føre tilsyn efter § 15, stk. 1,
nr. 1 og 2.
Stk. 2.
Der kan pålægges selskaber m.v. (juridiske personer) strafansvar
efter reglerne i straffelovens 5. kapitel.
Stk. 3.
I regler udstedt i medfør af loven kan der fastsættes straf i form af
bøde for overtrædelse af regler udstedt i medfør af loven.
Kapitel 6
Ikrafttræden
§ 19.
Loven træder i kraft den 1. marts 2025.
Kapitel 7
Territorialbestemmelser
§ 20.
Loven gælder ikke for Færøerne og Grønland, men kan ved konge-
lig anordning helt eller delvist sættes i kraft for Færøerne og Grønland med
de ændringer, som de henholdsvis færøske og grønlandske forhold tilsiger.
8
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Bilag 1
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU)
2022/2557
af 14. december 2022
om kritiske enheders modstandsdygtighed og om ophævelse af Rådets
direktiv 2008/114/EF
(EØS-relevant tekst)
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE
UNION HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
særlig artikel 114,
under henvisning til forslag fra Europa-Kommissionen,
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale
parlamenter,
under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale
Udvalg (
1
),
under henvisning til udtalelse fra Regionsudvalget (
2
),
efter den almindelige lovgivningsprocedure (
3
), og
ud fra følgende betragtninger:
(1)Kritiske enheder spiller som leverandører af væsentlige tjenester en
uundværlig rolle med hensyn til opretholdelse af vitale samfundsmæssige
funktioner eller økonomiske aktiviteter på det indre marked i en stadig
mere indbyrdes afhængig EU-økonomi. Det er derfor vigtigt at fastlægge
en EU-ramme med det formål at både styrke kritiske enheders mod-
standsdygtighed på det indre marked ved at fastsætte harmoniserede mi-
nimumsregler og bistå dem gennem sammenhængende og målrettede
støtte- og tilsynsforanstaltninger.
(2)Rådets direktiv 2008/114/EF (
4
) indeholder bestemmelser om en proce-
dure for udpegning af europæisk kritisk infrastruktur i energi- og trans-
portsektoren, hvis forstyrrelse eller ødelæggelse vil få betydelig grænse-
overskridende indvirkning på mindst to medlemsstater. Nævnte direktiv
fokuserer udelukkende på beskyttelse af sådan infrastruktur. Den evalu-
ering af direktiv 2008/114/EF, der blev foretaget i 2019, viste imidlertid,
at på grund af den stadig mere indbyrdes forbundne og grænseoverskri-
dende karakter af operationer, der anvender kritisk infrastruktur, er be-
9
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
skyttelsesforanstaltninger vedrørende individuelle aktiver i sig selv util-
strækkelige til at forhindre alle forstyrrelser. Det er derfor nødvendigt at
ændre tilgangen til sikring af, at der tages bedre hensyn til risici, at kriti-
ske enheders rolle og opgaver som leverandører af tjenester, der er væ-
sentlige for det indre markeds funktion, defineres bedre og er sammen-
hængende, og at der vedtages EU-regler for at styrke kritiske enheders
modstandsdygtighed. Kritiske enheder bør være i stand til at styrke deres
evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absor-
bere, tilpasse sig til og komme på fode igen efter hændelser, der har po-
tentiale til at forstyrre leveringen af væsentlige tjenester.
(3)Selv om en række foranstaltninger på EU-plan, såsom det europæiske
program for beskyttelse af kritisk infrastruktur, og på nationalt plan har
til formål at støtte beskyttelsen af kritisk infrastruktur i Unionen, bør der
gøres mere for bedre at udstyre de enheder, der driver sådan infrastruktur,
til at håndtere risiciene for deres drift, som kunne føre til forstyrrelse i
leveringen af væsentlige tjenester. Der bør også gøres mere for bedre at
udstyre sådanne enheder, da der foreligger et dynamisk trusselsbillede,
der omfatter voksende hybride trusler og terrortrusler, og voksende ind-
byrdes afhængighed mellem infrastruktur og sektorer. Desuden er der en
øget fysisk risiko som følge af naturkatastrofer og klimaændringer, hvil-
ket intensiverer hyppigheden og omfanget af ekstreme vejrforhold og
medfører langsigtede ændringer i de gennemsnitlige klimaforhold, der
kan reducere visse infrastrukturtypers kapacitet, effektivitet og levetid,
hvis foranstaltninger til klimatilpasning ikke er på plads. Endvidere er det
indre marked kendetegnet ved fragmentering med hensyn til identifika-
tion af kritiske enheder, fordi relevante sektorer og kategorier af enheder
ikke anerkendes konsekvent som kritiske i alle medlemsstaterne. Dette
direktiv bør derfor opnå et solidt harmoniseringsniveau med hensyn til
de sektorer og kategorier af enheder, der er omfattet af dets anvendelses-
område.
(4)Visse sektorer af økonomien, såsom energi- og transportsektorerne, er
allerede reguleret gennem sektorspecifikke EU-retsakter, men disse rets-
akter indeholder bestemmelser, der kun vedrører visse aspekter af mod-
standsdygtigheden af enheder, som opererer inden for disse sektorer. For
at håndtere modstandsdygtigheden af de enheder, der er kritiske for et
velfungerende indre marked, på en omfattende måde skaber dette direktiv
en overordnet ramme, der tager højde for kritiske enheders modstands-
dygtighed over for alle farer, hvad enten de er naturlige eller menneske-
skabte, hændelige eller tilsigtede.
(5)Den voksende indbyrdes afhængighed mellem infrastruktur og sektorer
er resultatet af et stadig mere grænseoverskridende og indbyrdes af-
hængigt net af tjenester, der anvender nøgleinfrastruktur i hele Unionen,
10
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
i sektorerne energi, transport, bankvæsen, drikkevand, spildevand, pro-
duktion, tilvirkning og distribution af fødevarer, sundhed, rummet, finan-
siel markedsinfrastruktur og digital infrastruktur samt i visse aspekter af
sektoren for offentlig forvaltning. Rumsektoren er omfattet af dette di-
rektivs anvendelsesområde med hensyn til levering af visse tjenester, der
er afhængige af jordbaseret infrastruktur, som ejes, forvaltes og drives af
enten medlemsstaterne eller private parter; derfor er infrastruktur, der
ejes, forvaltes eller drives af eller på vegne af Unionen som led i dens
rumprogram, ikke omfattet af dette direktivs anvendelsesområde.
Hvad angår energisektoren og navnlig metoderne til produktion og trans-
mission af elektricitet (med hensyn til elforsyning), er det underforstået,
at elproduktion, for så vidt det skønnes hensigtsmæssigt, kan inkludere
eltransmissionsdele af kernekraftværker uden at inkludere de specifikt
nukleare elementer, der er omfattet af traktater og EU-retten, herunder
relevante EU-retsakter vedrørende kernekraft. Processen for identifika-
tion af kritiske enheder i fødevaresektoren bør på passende vis afspejle
det indre markeds karakter i denne sektor og de omfattende EU-regler
vedrørende de generelle principper og krav for fødevareret og fødevare-
sikkerhed. For at sikre, at der er en forholdsmæssig tilgang og for på pas-
sende vis at afspejle disse enheders rolle og betydning på nationalt plan
bør kritiske enheder derfor kun identificeres blandt fødevarevirksomhe-
der, hvad enten de er med eller uden gevinst for øje, og uanset om de er
offentlige eller private, som udelukkende beskæftiger sig med logistik,
engrosdistribution og industriel produktion og tilvirkning i stor skala med
en betydelig markedsandel som observeret på nationalt plan. Disse ind-
byrdes afhængighedsforhold betyder, at enhver forstyrrelse af væsentlige
tjenester, selv en, der oprindeligt var begrænset til én enhed eller én sek-
tor, kan have kaskadevirkninger mere generelt, hvilket potentielt kan føre
til en vidtrækkende og langsigtet negativ indvirkning på leveringen af
tjenester på hele det indre marked. Store kriser, såsom covid-19-pande-
mien, har vist, at vores stadig mere indbyrdes afhængige samfund er sår-
bare over for risici med stor indvirkning og lav sandsynlighed.
(6)De enheder, der er involveret i levering af væsentlige tjenester, er i sti-
gende grad underlagt forskellige krav i henhold til national ret. Det for-
hold, at nogle medlemsstater stiller mindre strenge sikkerhedskrav til
disse enheder, fører ikke kun til forskellige grader af modstandsdygtig-
hed, men risikerer også at have negativ indvirkning på opretholdelsen af
vitale samfundsmæssige funktioner eller økonomiske aktiviteter i hele
Unionen og fører til hindringer for et velfungerende indre marked. Inve-
storer og virksomheder kan støtte sig til og stole på kritiske enheder, der
er modstandsdygtige, og pålidelighed og tillid er hjørnestenene i et vel-
fungerende indre marked. Enheder af samme type betragtes som kritiske
i nogle medlemsstater, men ikke i andre, og de enheder, der er identifice-
ret som kritiske, er underlagt forskellige krav i forskellige medlemsstater.
11
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Dette medfører en yderligere og unødvendig administrativ byrde for virk-
somheder, der opererer på tværs af grænserne, navnlig for virksomheder,
der er aktive i medlemsstater med strengere krav. En EU-ramme vil der-
for også skabe lige konkurrencevilkår for kritiske enheder i hele Unio-
nen.
(7)Det er nødvendigt at fastsætte harmoniserede minimumsregler for at
sikre leveringen af væsentlige tjenester på det indre marked, styrke kriti-
ske enheders modstandsdygtighed og forbedre det grænseoverskridende
samarbejde mellem kompetente myndigheder. Det er vigtigt, at disse reg-
ler er fremtidssikrede med hensyn til udformning og gennemførelse, sam-
tidig med at der gives mulighed for den nødvendige fleksibilitet. Det er
også afgørende at forbedre kritiske enheders kapacitet til at levere væ-
sentlige tjenester i lyset af en række forskellige risici.
(8)For at opnå en høj grad af modstandsdygtighed bør medlemsstaterne
identificere kritiske enheder, som vil være underlagt specifikke krav og
specifikt tilsyn og som vil ydes særlig støtte og vejledning over for alle
relevante risici.
(9)I betragtning af betydning af cybersikkerhed for kritiske enheders mod-
standsdygtighed og af hensyn til konsistens bør der i videst muligt om-
fang sikres en sammenhængende tilgang mellem dette direktiv og Eu-
ropa-Parlamentets og Rådets direktiv (EU) 2022/2555 (
5
). I lyset af cy-
berrisicis øgede hyppighed og særlige karakteristika pålægger direktiv
(EU) 2022/2555 en lang række enheder omfattende krav for at sikre deres
cybersikkerhed. Da cybersikkerhed behandles tilstrækkeligt i direktiv
(EU) 2022/2555, bør de spørgsmål, der er omfattet af nævnte direktiv,
udelukkes fra nærværende direktivs anvendelsesområde, uden at det be-
rører den særlige ordning for enheder i sektoren for digital infrastruktur.
(10)Hvor bestemmelser i sektorspecifikke EU-retsakter kræver, at kritiske
enheder træffer foranstaltninger for at styrke deres modstandsdygtig-
hed, og hvor disse krav er anerkendt af medlemsstaterne som svarende
mindst til de tilsvarende forpligtelser i dette direktiv, bør de relevante
bestemmelser i dette direktiv ikke finde anvendelse for at undgå dob-
beltarbejde og unødvendige byrder. I så fald bør de relevante bestem-
melser i sådanne EU-retsakter finde anvendelse. Hvis de relevante be-
stemmelser i dette direktiv ikke finder anvendelse, bør bestemmelserne
om tilsyn og håndhævelse i dette direktiv heller ikke finde anvendelse.
(11)Dette direktiv berører ikke medlemsstaternes og deres myndigheders
kompetencer med hensyn til administrativ autonomi eller deres ansvar
for at varetage national sikkerhed og forsvar eller deres beføjelse til at
varetage andre væsentlige statslige funktioner, navnlig vedrørende of-
fentlig sikkerhed, territorial integritet og opretholdelse af lov og orden.
Udelukkelsen af offentlige forvaltningsenheder fra dette direktivs an-
vendelsesområde bør gælde for enheder, hvis aktiviteter hovedsageligt
12
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
udføres på områderne national sikkerhed, offentlig sikkerhed, forsvar
eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølg-
ning af strafbare handlinger. Offentlige forvaltningsenheder, hvis akti-
viteter kun er marginalt relateret til disse områder, bør dog være omfat-
tet af dette direktivs anvendelsesområde. Med henblik på dette direktiv
anses enheder med reguleringsbeføjelser ikke for at udføre aktiviteter
inden for retshåndhævelse, og de er derfor ikke på dette grundlag ude-
lukket fra dette direktivs anvendelsesområde. Offentlige forvaltnings-
enheder, der er etableret i fællesskab med et tredjeland i overensstem-
melse med en international aftale, er udelukket fra dette direktivs an-
vendelsesområde. Dette direktiv finder ikke anvendelse på medlemssta-
ternes diplomatiske og konsulære missioner i tredjelande.
Visse kritiske enheder udfører aktiviteter på områderne national sikker-
hed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efter-
forskning, afsløring og retsforfølgning af strafbare handlinger, eller le-
verer udelukkende tjenester til offentlige forvaltningsenheder, der ho-
vedsageligt udfører aktiviteter på disse områder. I betragtning af med-
lemsstaternes ansvar for at varetage national sikkerhed og forsvar bør
medlemsstater kunne beslutte, at kritiske enheders forpligtelser fastsat i
dette direktiv helt eller delvist ikke finder anvendelse på disse kritiske
enheder, hvis de tjenester, som de leverer, eller de aktiviteter, som de
udfører, hovedsageligt vedrører områderne national sikkerhed, offentlig
sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, af-
sløring og retsforfølgning af strafbare handlinger. Kritiske enheder, hvis
tjenester eller aktiviteter kun er marginalt relaterede til disse områder,
bør stadig være omfattet af dette direktivs anvendelsesområde. Ingen
medlemsstat bør være forpligtet til at meddele oplysninger, hvis videre-
givelse vil stride mod væsentlige interesser med hensyn til dens natio-
nale sikkerhed. EU-regler eller nationale regler om beskyttelse af klas-
sificerede informationer og hemmeligholdelsesaftaler er relevante.
(12)For ikke at bringe national sikkerhed eller kritiske enheders sikkerhed
og kommercielle interesser i fare bør adgang til samt udveksling og
håndtering af følsomme oplysninger foregå med omtanke og med særlig
vægt på de transmissionskanaler og lagringskapaciteter, der anvendes.
(13)Med henblik på at sikre en samlet tilgang til kritiske enheders mod-
standsdygtighed bør hver medlemsstat have en strategi for styrkelse af
kritiske enheders modstandsdygtighed på plads (»strategien«). Strate-
gien bør fastsætte de strategiske mål og politikforanstaltninger, der skal
gennemføres. Af hensyn til sammenhæng og effektivitet bør strategien
udformes således, at de uden problemer kan integrere eksisterende po-
litikker, og så vidt muligt bygge på eksisterende nationale og sektorspe-
cifikke strategier, planer eller lignende dokumenter. For at opnå en sam-
13
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
let tilgang bør medlemsstaterne sikre, at deres strategier skaber en poli-
tikramme for øget koordinering mellem de kompetente myndigheder i
henhold til dette direktiv og de kompetente myndigheder i henhold til
direktiv (EU) 2022/2555 i forbindelse med udveksling af oplysninger
om cybersikkerhedsrisici, cybertrusler og cyberhændelser og ikkecy-
berrisici, -trusler og -hændelser samt i forbindelse med udførelse af til-
synsopgaver. Når medlemsstaterne indfører deres strategier, bør med-
lemsstaterne tage behørigt hensyn til den hybride karakter af trusler mod
kritiske enheder.
(14)Medlemsstaterne bør meddele Kommissionen deres strategier og væ-
sentlige ajourføringer heraf, navnlig for at sætte Kommissionen i stand
til at vurdere, om dette direktiv anvendes korrekt for så vidt angår poli-
tiktilgange til kritiske enheders modstandsdygtighed på nationalt plan.
Strategierne vil, hvor det er nødvendigt, kunne meddeles som klassifi-
cerede informationer. Kommissionen bør udarbejde en sammenfattende
rapport om de strategier, som medlemsstaterne har meddelt, der skal
tjene som grundlag for udvekslinger med henblik på at identificere bed-
ste praksis og spørgsmål af fælles interesse inden for rammerne af en
Gruppe for Kritiske Enheders Modstandsdygtighed. På grund af den føl-
somme karakter af de samlede oplysninger, der vil være indeholdt i den
sammenfattende rapport, uanset om de er klassificerede eller ej, bør
Kommissionen forvalte den sammenfattende rapport med et passende
niveau af opmærksomhed med hensyn til kritiske enheders, medlems-
staters og Unionens sikkerhed. Den sammenfattende rapport og strate-
gierne bør beskyttes mod ulovlige eller ondsindede handlinger og bør
kun være tilgængelige for bemyndigede personer med henblik på at op-
fylde målene i dette direktiv. Meddelelsen af strategierne og væsentlige
ajourføringer heraf bør også hjælpe Kommissionen med at forstå udvik-
lingen i tilgangene til kritiske enheders modstandsdygtighed og bidrage
til overvågningen af dette direktivs indvirkning og merværdi, som Kom-
missionen regelmæssigt skal gennemgå.
(15)Medlemsstaternes tiltag til at identificere og bidrage til at sikre kritiske
enheders modstandsdygtighed bør følge en risikobaseret tilgang, hvor
der fokuseres på de enheder, der er mest relevante for udførelsen af vi-
tale samfundsmæssige funktioner eller økonomiske aktiviteter. For at
sikre en sådan målrettet tilgang bør hver medlemsstat inden for en har-
moniseret ramme foretage en vurdering af de relevante naturlige og
menneskeskabte risici, herunder tværsektorielle eller grænseoverskri-
dende risici, der vil kunne påvirke leveringen af væsentlige tjenester,
herunder ulykker, naturkatastrofer, folkesundhedskriser såsom pande-
mier og hybride trusler eller andre antagonistiske trusler, herunder ter-
rorhandlinger, kriminel infiltration og sabotage (»medlemsstatsrisiko-
vurdering«). Når medlemsstaterne foretager medlemsstatsrisikovurde-
14
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
ringer, bør de tage hensyn til andre generelle eller sektorspecifikke risi-
kovurderinger, der er foretaget i henhold til andre EU-retsakter, og til
omfanget af afhængighed mellem sektorer, herunder af sektorer i andre
medlemsstater og tredjelande. Resultaterne af medlemsstatsrisikovur-
deringer bør anvendes til at identificere kritiske enheder og bistå disse
enheder med at opfylde deres modstandsdygtighedskrav. Dette direktiv
finder kun anvendelse på medlemsstater og kritiske enheder, der opere-
rer i Unionen. Ikke desto mindre vil den ekspertise og viden, der gene-
reres af kompetente myndigheder, navnlig gennem risikovurderinger,
og af Kommissionen, navnlig gennem forskellige former for støtte og
samarbejde, kunne anvendes, hvor det er relevant og i overensstem-
melse med de gældende retlige instrumenter, til fordel for tredjelande,
navnlig dem i Unionens umiddelbare nærområde, ved at bidrage til ek-
sisterende samarbejde om modstandsdygtighed.
(16)For at sikre, at alle relevante enheder er omfattet af dette direktivs mod-
standsdygtighedskrav, og for at mindske forskellene i denne henseende
er det vigtigt at fastsætte harmoniserede regler, der muliggør en konse-
kvent identifikation af kritiske enheder i hele Unionen, samtidig med at
medlemsstaterne også får mulighed for i tilstrækkelig grad at afspejle
disse enheders rolle og betydning på nationalt plan. Ved anvendelse af
de kriterier, der er fastlagt i dette direktiv, bør hver medlemsstat identi-
ficere enheder, der leverer en eller flere væsentlige tjenester, og som
opererer og har kritisk infrastruktur, der er beliggende på dens område.
En enhed bør anses for at operere på en medlemsstats område, hvor den
udfører de aktiviteter, der er nødvendige for den eller de pågældende
væsentlige tjenester, og hvor enhedens kritiske infrastruktur, som an-
vendes til at levere den eller de pågældende tjenester, er beliggende.
Hvis der ikke er nogen enhed, der opfylder disse kriterier i en medlems-
stat, bør den pågældende medlemsstat ikke være forpligtet til at identi-
ficere en kritisk enhed i den tilsvarende sektor eller delsektor. Af hensyn
til effektivitet, virkningsfuldhed, konsistens og retssikkerhed bør der
fastsættes passende regler med hensyn til underretning af enheder om,
at de er identificeret som kritiske enheder.
(17)Medlemsstaterne bør på en måde, der opfylder målene i dette direktiv,
forelægge Kommissionen en liste over væsentlige tjenester, antallet af
kritiske enheder, som er identificeret for hver sektor og delsektor anført
i bilaget og for den eller de væsentlige tjenester, som hver enhed leverer,
og såfremt sådanne anvendes, tærskler. Det bør være muligt at frem-
lægge tærskler som sådan eller i sammenfattet form, hvorved forstås, at
oplysningerne kan gøres til genstand for en gennemsnitsberegning efter
geografisk område, år, sektor, delsektor eller andre metoder og kan om-
fatte oplysninger om omfanget af de forelagte indikatorer.
15
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
(18)Der bør fastlægges kriterier for bestemmelse af betydningen af en for-
styrrende virkning som følge af en hændelse. Disse kriterier bør være
baseret på kriterierne i Europa-Parlamentets og Rådets direktiv (EU)
2016/1148 (
6
) for at udnytte medlemsstaternes indsats for at identificere
operatører af væsentlige tjenester som defineret i nævnte direktiv og de
erfaringer, der er gjort i denne forbindelse. Større kriser, såsom covid-
19-pandemien, har vist, hvor vigtigt det er at sørge for forsyningskæde-
sikkerhed, og har påvist, hvordan forstyrrelse heraf kan have negativ
økonomisk og samfundsmæssig indvirkning inden for en lang række
sektorer og på tværs af grænserne. Medlemsstaterne bør derfor også i
det omfang, det er muligt, overveje virkningerne på forsyningskæden,
når de fastslår i hvilket omfang andre sektorer og delsektorer afhænger
af de væsentlige tjenester, der udbydes af en kritisk enhed.
(19)I overensstemmelse med gældende EU-ret og national ret, herunder Eu-
ropa-Parlamentets og Rådets forordning (EU) 2019/452 (
7
), som fast-
lægger et regelsæt for screening af udenlandske direkte investeringer i
Unionen, skal den potentielle trussel, som udenlandsk ejerskab af kritisk
infrastruktur i Unionen udgør, anerkendes, idet tjenester, økonomien og
EU-borgernes frie bevægelighed og sikkerhed er afhængige af velfun-
gerende kritisk infrastruktur.
(20)I henhold til direktiv (EU) 2022/2555 skal enheder, der tilhører sektoren
for digital infrastruktur, og som kunne betragtes som kritiske enheder i
henhold til nærværende direktiv, træffe passende og forholdsmæssige
tekniske, operationelle og organisatoriske foranstaltninger for at styre
risiciene for sikkerheden i net- og informationssystemer samt underrette
om væsentlige hændelser og cybertrusler. Da trusler mod sikkerheden i
net- og informationssystemer kan have forskellig oprindelse, anvender
direktiv (EU) 2022/2555 en tilgang, der omfatter alle farer, og som om-
fatter net- og informationssystemers modstandsdygtighed samt disse sy-
stemers fysiske komponenter og fysiske miljø.
Eftersom kravene i forbindelse hermed i direktiv (EU) 2022/2555
mindst svarer til de tilsvarende forpligtelser i nærværende direktiv, bør
forpligtelserne i artikel 11 og kapitel III, IV og VI i nærværende direktiv
ikke finde anvendelse på enheder, der tilhører sektoren for digital infra-
struktur, for at undgå dobbeltarbejde og unødvendige administrative
byrder. I betragtning af den betydning, som tjenester, der leveres af en-
heder, der tilhører den digitale infrastruktursektor, har for kritiske enhe-
der, der tilhører alle andre sektorer, bør medlemsstaterne imidlertid på
grundlag af kriterierne og ved anvendelse af proceduren i dette direktiv
identificere enheder, der tilhører sektoren for digital infrastruktur, som
kritiske enheder. Derfor bør strategierne, medlemsstatsrisikovurderin-
gerne og støtteforanstaltningerne fastsat i dette direktivs kapitel II finde
16
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
anvendelse. Medlemsstaterne bør kunne vedtage eller opretholde be-
stemmelser i national ret for at opnå en højere grad af modstandsdyg-
tighed for disse kritiske enheder, forudsat at disse bestemmelser er i
overensstemmelse med gældende EU-ret.
(21)I EU-retten om finansielle tjenesteydelser fastsættes omfattende krav til
finansielle enheder om at håndtere alle risici, som de står over for, her-
under operationelle risici, og sikre forretningskontinuitet. Denne ret om-
fatter Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 (
8
),
(EU) nr. 575/2013 (
9
) og (EU) nr. 600/2014 (
10
) og Europa-Parlamentets
og Rådets direktiv 2013/36/EU (
11
) og 2014/65/EU (
12
). Denne retlige
ramme suppleres med Europa-Parlamentets og Rådets forordning (EU)
2022/2554 (
13
), som fastsætter krav til finansielle enheder om at styre
risici i forbindelse med informations- og kommunikationsteknologi
(IKT), herunder vedrørende beskyttelse af fysisk IKT-infrastruktur. Ef-
tersom disse enheders modstandsdygtighed derfor er fuldt ud dækket,
bør artikel 11 og kapitel III, IV og VI i dette direktiv ikke finde anven-
delse på disse enheder for at undgå dobbeltarbejde og unødvendige ad-
ministrative byrder.
I betragtning af den betydning, som tjenester, der leveres af enheder i
den finansielle sektor, har for kritiske enheder, der tilhører alle andre
sektorer, bør medlemsstaterne imidlertid på grundlag af kriterierne og
ved anvendelse af proceduren i dette direktiv identificere enheder i den
finansielle sektor som kritiske enheder. Derfor bør strategierne, med-
lemsstatsrisikovurderingerne og støtteforanstaltningerne fastsat i dette
direktivs kapitel II finde anvendelse. Medlemsstaterne bør kunne ved-
tage eller opretholde bestemmelser i national ret for at opnå en højere
grad af modstandsdygtighed for disse kritiske enheder, forudsat at disse
bestemmelser er i overensstemmelse med gældende EU-ret.
(22)Medlemsstaterne bør udpege eller oprette myndigheder, der har kompe-
tence til at føre tilsyn med anvendelsen af og om nødvendigt håndhæve
reglerne i dette direktiv, og sikre, at disse myndigheder har tilstrække-
lige beføjelser og ressourcer. I lyset af forskellene i nationale forvalt-
ningsstrukturer, for at sikre allerede eksisterende sektorspecifikke ord-
ninger eller EU-tilsyns- og reguleringsorganer og for at undgå dobbelt-
arbejde bør medlemsstaterne kunne udpege eller oprette mere end én
kompetent myndighed. Hvis medlemsstaterne udpeger eller opretter
mere end én kompetent myndighed, bør de klart afgrænse de berørte
myndigheders respektive opgaver og sikre, at de samarbejder gnid-
ningsløst og effektivt. Alle kompetente myndigheder bør også samar-
bejde mere generelt med andre relevante myndigheder, både på EU-plan
og nationalt plan.
17
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
(23)For at lette grænseoverskridende samarbejde og kommunikation og mu-
liggøre en effektiv gennemførelse af dette direktiv bør hver medlems-
stat, uden at dette berører kravene i sektorspecifikke EU-retsakter, ud-
pege et centralt kontaktpunkt med ansvar for at koordinere spørgsmål
vedrørende kritiske enheders modstandsdygtighed og grænseoverskri-
dende samarbejde på EU-plan i denne henseende, hvis relevant inden
for en kompetent myndighed. Hvert centralt kontaktpunkt bør holde
kontakt med og koordinere kommunikationen, hvor det er relevant, med
sin medlemsstats kompetente myndigheder, med andre medlemsstaters
centrale kontaktpunkter og med Gruppen for Kritiske Enheders Mod-
standsdygtighed.
(24)De kompetente myndigheder i henhold til dette direktiv, og de kompe-
tente myndigheder i henhold til direktiv (EU) 2022/2555, bør samar-
bejde og udveksle oplysninger om cybersikkerhedsrisici, cybertrusler
og cyberhændelser og ikkecyberrisici, -trusler og -hændelser, som be-
rører kritiske enheder, samt i forhold til relevante foranstaltninger, der
er truffet af de kompetente myndigheder i henhold til nærværende di-
rektiv og de kompetente myndigheder i henhold til direktiv (EU)
2022/2555 Det er vigtigt, at medlemsstaterne sikrer, at kravene i nær-
værende direktiv og i direktiv (EU) 2022/2555 gennemføres på en kom-
plementær måde, og at kritiske enheder ikke pålægges en administrativ
byrde, der går ud over, hvad der er nødvendigt for at nå målene i nær-
værende direktiv og nævnte direktiv.
(25)Medlemsstaterne bør støtte kritiske enheder, herunder dem, der kan be-
tegnes som små eller mellemstore virksomheder, med at styrke deres
modstandsdygtighed i overensstemmelse med medlemsstaternes for-
pligtelser i dette direktiv, uden at dette berører de kritiske enheders eget
retlige ansvar for at sikre en sådan opfyldelse, og i denne forbindelse
hindre uforholdsmæssigt store administrative byrder. Medlemsstaterne
vil navnlig kunne udvikle vejledningsmaterialer og -metoder, støtte til-
rettelæggelse af øvelser for at afprøve kritiske enheders modstandsdyg-
tighed og yde rådgivning og tilbyde uddannelse til personale i kritiske
enheder. Hvor det er nødvendigt og begrundet i almene hensyn, kan
medlemsstaterne stille finansielle ressourcer til rådighed og bør lette fri-
villig udveksling af oplysninger og udveksling af god praksis mellem
kritiske enheder, uden at det berører anvendelsen af konkurrencereg-
lerne i traktaten om Den Europæiske Unions funktionsmåde (TEUF).
(26)For at styrke modstandsdygtigheden af kritiske enheder, som er identi-
ficeret af medlemsstaterne, og for at mindske den administrative byrde
for disse kritiske enheder bør de kompetente myndigheder konsultere
hinanden, når det er hensigtsmæssigt, med henblik på at sikre en konsi-
stent anvendelse af dette direktiv. Disse konsultationer bør indledes ef-
18
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
ter anmodning fra enhver interesseret kompetent myndighed og bør fo-
kusere på at sikre en konvergerende tilgang til indbyrdes forbundne kri-
tiske enheder, der anvender kritisk infrastruktur, som er fysisk sammen-
koblet mellem to eller flere medlemsstater, og som tilhører de samme
koncerner eller selskabsstrukturer, eller som er blevet identificeret i én
medlemsstat og leverer væsentlige tjenester til eller i andre medlems-
stater.
(27)Hvis bestemmelser i EU-retten eller national ret kræver, at kritiske en-
heder vurderer risici, der er relevante i forbindelse med dette direktiv,
og træffer foranstaltninger for at sikre deres egen modstandsdygtighed,
bør der tages tilstrækkeligt hensyn til disse krav med henblik på at føre
tilsyn med kritiske enheders overholdelse af dette direktiv.
(28)Kritiske enheder bør have en omfattende forståelse af de relevante risici,
som de er eksponeret for, og en pligt til at analysere disse risici. Med
henblik herpå bør de foretage risikovurderinger, når det er nødvendigt i
lyset af deres særlige omstændigheder og udviklingen af disse risici og
under alle omstændigheder hvert fjerde år, for at vurdere alle relevante
risici, der vil kunne forstyrre leveringen af deres væsentlige tjenester
(»kritiske enheders risikovurdering«). Hvor kritiske enheder har foreta-
get andre risikovurderinger eller udarbejdet dokumenter i henhold til
forpligtelser i andre retsakter, der er relevante for deres risikovurdering,
bør de kunne anvende disse vurderinger og dokumenter til at opfylde
kravene i dette direktiv vedrørende kritiske enheders risikovurdering.
En kompetent myndighed bør kunne erklære, at en eksisterende risiko-
vurdering foretaget af en kritisk enhed, der behandler de relevante risici
og det relevante omfang af afhængighed, helt eller delvist opfylder for-
pligtelserne i dette direktiv.
(29)Kritiske enheder bør træffe passende tekniske, sikkerhedsmæssige og
organisatoriske foranstaltninger, der står i et rimeligt forhold til de risici,
som de står over for, for at forebygge, beskytte mod, reagere på, modstå,
afbøde, absorbere, tilpasse sig til og komme på fode igen efter en hæn-
delse. Mens kritiske enheder bør træffe disse foranstaltninger i overens-
stemmelse med dette direktiv, bør sådanne foranstaltningers nærmere
enkeltheder og omfang afspejle de forskellige risici, som hver kritiske
enhed har identificeret som led i sin risikovurdering, og de særlige for-
hold, der gør sig gældende for en sådan enhed, på en passende og for-
holdsmæssig måde. For at fremme en sammenhængende EU-tilgang bør
Kommissionen efter høring af Gruppen for Kritiske Enheders Mod-
standsdygtighed vedtage ikkebindende retningslinjer for nærmere at
præcisere disse tekniske, sikkerhedsmæssige og organisatoriske foran-
staltninger. Medlemsstaterne bør sikre, at hver kritisk enhed udpeger en
forbindelsesofficer eller tilsvarende som kontaktpunkt for de kompe-
tente myndigheder.
19
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
(30)Af hensyn til effektivitet og ansvarlighed bør kritiske enheder under
hensyntagen til de identificerede risici beskrive de foranstaltninger, som
de træffer, med en detaljeringsgrad, som i tilstrækkelig grad når målene
om effektivitet og ansvarlighed, i en plan for modstandsdygtighed eller
i et eller flere dokumenter, der svarer til en plan for modstandsdygtig-
hed, og anvende denne plan i praksis. Hvis en kritisk enhed allerede har
truffet tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger
og udarbejdet dokumenter i henhold til andre retsakter, der er relevante
for modstandsdygtighedsstyrkende foranstaltninger i henhold til dette
direktiv, bør den for at undgå dobbeltarbejde kunne anvende disse for-
anstaltninger og dokumenter til at opfylde kravene med hensyn til mod-
standsdygtighedsforanstaltninger i henhold til dette direktiv. For at
undgå dobbeltarbejde bør en kompetent myndighed kunne erklære, at
en kritisk enheds eksisterende modstandsdygtighedsforanstaltninger,
der tager hånd om dens forpligtelse til at træffe tekniske, sikkerheds-
mæssige og organisatoriske foranstaltninger i henhold til dette direktiv,
helt eller delvist opfylder kravene i dette direktiv.
(31)I Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 (
14
) og
(EF) nr. 300/2008 (
15
) og Europa-Parlamentets og Rådets direktiv
2005/65/EF (
16
) fastsættes krav til enheder i luftfarts- og søtransportsek-
toren med henblik på at forebygge hændelser forårsaget af ulovlige
handlinger og modstå og afbøde følgerne af sådanne hændelser. Selv
om de foranstaltninger, der kræves i henhold til nærværende direktiv, er
bredere med hensyn til de risici, der håndteres, og de typer af foranstalt-
ninger, der skal træffes, bør kritiske enheder i disse sektorer i deres plan
for modstandsdygtighed eller tilsvarende dokumenter afspejle de foran-
staltninger, der er truffet i henhold til disse andre EU-retsakter. Kritiske
enheder skal også tage hensyn til Europa-Parlamentets og Rådets direk-
tiv 2008/96/EF (
17
), som indfører en vejnetvurdering med henblik på at
kortlægge risiciene for ulykker og en målrettet trafiksikkerhedsinspek-
tion med henblik på at afdække farlige forhold, mangler og problemer,
som øger risikoen for ulykker og tilskadekomst, baseret på besigtigelse
af eksisterende veje eller vejstrækninger. Sikring af kritiske enheders
beskyttelse og modstandsdygtighed er af allerstørste betydning for jern-
banesektoren, og kritiske enheder tilskyndes til at henvise til ikkebin-
dende retningslinjer og dokumenter om god praksis, der er udarbejdet
under sektorspecifikke arbejdsgange, såsom EU-sikkerhedsplatformen
for jernbanepassagerer, der er oprettet ved Kommissionens afgørelse
2018/C 232/03 (
18
), når de gennemfører modstandsdygtighedsforanstalt-
ninger i henhold til dette direktiv.
(32)Risikoen for, at ansatte i kritiske enheder eller deres kontrahenter mis-
bruger for eksempel deres adgangsret inden for den kritiske enheds or-
ganisation til at skade og forvolde skade, giver anledning til stigende
20
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
bekymring. Medlemsstaterne bør derfor angive de betingelser, på hvilke
kritiske enheder i behørigt begrundede tilfælde og under hensyntagen
til medlemsstatsrisikovurderinger har tilladelse til at indgive anmodnin-
ger om baggrundskontrol af personer, der tilhører specifikke kategorier
af deres personale. Det bør sikres, at de relevante myndigheder vurderer
sådanne anmodninger inden for en rimelig frist og behandler dem i over-
ensstemmelse med national ret og nationale procedurer samt relevant
og gældende EU-ret, herunder om beskyttelse af personoplysninger. For
at bekræfte identiteten af en person, der er genstand for en baggrunds-
kontrol, er det hensigtsmæssigt, at medlemsstaterne kræver et identitets-
bevis, såsom et pas, et nationalt identitetskort eller en digital form for
identifikation, i overensstemmelse med gældende ret.
Baggrundskontrol bør omfatte kontrol af strafferegistre for den pågæl-
dende person. Medlemsstaterne bør anvende det europæiske informati-
onssystem vedrørende strafferegistre i overensstemmelse med procedu-
rerne i Rådets rammeafgørelse 2009/315/RIA (
19
) og, hvor det er rele-
vant og finder anvendelse, Europa-Parlamentets og Rådets forordning
(EU) 2019/816 (
20
) med henblik på indhentning af oplysninger fra andre
medlemsstaters strafferegistre. Medlemsstaterne kan også, hvor det er
relevant og finder anvendelse, trække på anden generation af Schenge-
ninformationssystemet (SIS II), der blev oprettet ved Europa-Parlamen-
tets og Rådets forordning (EU) 2018/1862 (
21
), efterretninger og alle an-
dre tilgængelige objektive oplysninger, som måtte være nødvendige for
at fastslå, om den berørte person er egnet til at beklæde den stilling, for
hvilken den kritiske enhed har anmodet om en baggrundskontrol.
(33)Der bør oprettes en mekanisme til underretning om visse hændelser for
at gøre det muligt for de kompetente myndigheder at reagere hurtigt og
hensigtsmæssigt på hændelser og danne sig et samlet overblik over ind-
virkningen, arten, årsagen og de mulige konsekvenser af hændelser,
som kritiske enheder håndterer. Kritiske enheder bør uden unødigt op-
hold underrette de kompetente myndigheder om hændelser, der i bety-
delig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre
leveringen af væsentlige tjenester. Medmindre det operationelt ikke er
muligt, bør kritiske enheder indgive en første underretning senest 24
timer efter, at de er blevet opmærksomme på en hændelse. Den første
underretning bør kun indeholde de oplysninger, der er strengt nødven-
dige for at gøre den kompetente myndighed opmærksom på hændelsen
og give den kritiske enhed mulighed for at søge bistand, hvis det er nød-
vendigt. En sådan underretning bør, hvor det er muligt, angive den for-
modede årsag til hændelsen. Medlemsstaterne bør sikre, at kravet om at
foretage denne første underretning ikke afleder den kritiske enheds res-
sourcer fra aktiviteter vedrørende håndtering af hændelser, der bør pri-
oriteres. Den første underretning bør, hvor det er relevant, efterfølges af
en detaljeret rapport senest en måned efter hændelsen. Den detaljerede
21
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
rapport bør supplere den første underretning og give et mere fuldstæn-
digt overblik over hændelsen.
(34)Standardisering bør fortsat primært være en markedsstyret proces. Der
kan imidlertid stadig være situationer, hvor det er hensigtsmæssigt at
kræve overholdelse af specifikke standarder. Medlemsstaterne bør, hvor
det er nyttigt, tilskynde til anvendelse af europæiske og internationale
standarder og tekniske specifikationer af relevans for de sikkerheds- og
modstandsdygtighedsforanstaltninger, som finder anvendelse på kriti-
ske enheder.
(35)Selv om kritiske enheder generelt opererer som en del af et stadig mere
sammenkoblet net af tjenester og infrastruktur og ofte leverer væsent-
lige tjenester i mere end én medlemsstat, er nogle af disse kritiske en-
heder af særlig betydning for Unionen og dens indre marked, fordi de
leverer væsentlige tjenester til eller i seks eller flere medlemsstater og
derfor vil kunne drage fordel af specifik støtte på EU-plan. Der bør der-
for fastsættes regler om rådgivende missioner for sådanne kritiske en-
heder af særlig europæisk betydning. Disse regler berører ikke reglerne
om tilsyn og håndhævelse i dette direktiv.
(36)Efter en begrundet anmodning fra Kommissionen eller en eller flere
medlemsstater, hvortil eller hvori en væsentlig tjeneste leveres, bør en
medlemsstat, der har identificeret en kritisk enhed af særlig europæisk
betydning som kritisk enhed, give Kommissionen visse oplysninger
som fastsat dette direktiv, hvis der er behov for yderligere oplysninger
for at kunne rådgive den kritiske enhed om opfyldelse af dens forplig-
telser i henhold til dette direktiv eller vurdere, om den kritiske enhed af
særlig europæisk betydning opfylder disse forpligtelser. Efter aftale
med den medlemsstat, der har identificeret den kritiske enhed af særlig
europæisk betydning som kritisk enhed, bør Kommissionen kunne til-
rettelægge en rådgivende mission for at vurdere de foranstaltninger,
som den pågældende enhed har truffet. For at sikre, at sådanne rådgi-
vende missioner gennemføres korrekt, bør der fastsættes supplerende
regler, navnlig for de rådgivende missioners tilrettelæggelse og gen-
nemførelse, de opfølgende tiltag, der skal tages, og forpligtelserne for
berørte kritiske enheder af særlig europæisk betydning. Rådgivende
missioner bør, uden at det berører behovet for, at den medlemsstat, hvor
en rådgivende mission gennemføres, og den berørte enhed overholder
reglerne i dette direktiv, gennemføres i henhold til de detaljerede regler
i den pågældende medlemsstats nationale ret, f.eks. om de præcise be-
tingelser, der skal opfyldes for at få adgang til relevante lokaler eller
dokumenter, og om domstolsprøvelse. Der vil, hvor det er relevant,
kunne anmodes om specifik ekspertbistand til sådanne rådgivende mis-
sioner via Katastrofeberedskabskoordinationscentret, som er oprettet
ved Europa-Parlamentets og Rådets afgørelse nr. 1313/2013/EU (
22
).
22
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
(37)For at støtte Kommissionen og lette samarbejde mellem medlemssta-
terne og udveksling af oplysninger, herunder bedste praksis, om spørgs-
mål vedrørende dette direktiv bør der nedsættes en Gruppe for Kritiske
Enheders Modstandsdygtighed som en ekspertgruppe i Kommissionen.
Medlemsstaterne bør bestræbe sig på at sikre et effektivt samarbejde
mellem de udpegede repræsentanter for deres kompetente myndigheder
i Gruppen for Kritiske Enheders Modstandsdygtighed, herunder ved at
udpege repræsentanter, der er sikkerhedsgodkendt, hvis det er relevant.
Gruppen for Kritiske Enheders Modstandsdygtighed bør begynde at ud-
føre sine opgaver så snart som muligt for at tilvejebringe yderligere mid-
ler til passende samarbejde i løbet af gennemførelsesperioden for dette
direktiv. Gruppen for Kritiske Enheders Modstandsdygtighed bør indgå
i et samspil med andre relevante sektorspecifikke ekspertgrupper.
(38)Gruppen for Kritiske Enheders Modstandsdygtighed bør samarbejde
med den samarbejdsgruppe, der er nedsat i henhold til direktiv (EU)
2022/2555, med henblik på at støtte en omfattende ramme for kritiske
enheders cyber- og ikkecybermodstandsdygtighed. Gruppen for Kriti-
ske Enheders Modstandsdygtighed og den samarbejdsgruppe, der er
nedsat i henhold til direktiv (EU) 2022/2555, bør indgå i en regelmæssig
dialog for at fremme samarbejde mellem de kompetente myndigheder i
henhold til nærværende direktiv og de kompetente myndigheder i hen-
hold til direktiv (EU) 2022/2555, og for at lette udveksling af oplysnin-
ger, navnlig om emner af relevans for begge grupper.
(39)For at nå målene i dette direktiv, og uden at dette berører medlemssta-
ternes og kritiske enheders retlige ansvar for at sikre, at de respektive
forpligtelser, der er fastsat heri, opfyldes, bør Kommissionen, hvor den
finder det hensigtsmæssigt, støtte kompetente myndigheder og kritiske
enheder med henblik på at lette opfyldelsen af deres respektive forplig-
telser. Når Kommissionen yder støtte til medlemsstaterne og kritiske
enheder ved opfyldelsen af forpligtelserne i henhold til dette direktiv,
bør den tage udgangspunkt i eksisterende strukturer og værktøjer såsom
dem inden for rammerne af EU-civilbeskyttelsesmekanismen, der blev
oprettet ved afgørelse nr. 1313/2013/EU, og det europæiske reference-
netværk for beskyttelse af kritisk infrastruktur. Den bør desuden orien-
tere medlemsstaterne om midler, der er til rådighed på EU-plan, f.eks.
inden for Fonden for Intern Sikkerhed, der blev oprettet ved Europa-
Parlamentets og Rådets forordning (EU) 2021/1149 (
23
), Horisont Eu-
ropa, der blev oprettet ved Europa-Parlamentets og Rådets forordning
(EU) 2021/695 (
24
), eller andre instrumenter, der er relevante for kritiske
enheders modstandsdygtighed.
(40)Medlemsstaterne bør sikre, at deres kompetente myndigheder har visse
specifikke beføjelser til at sikre en korrekt anvendelse og håndhævelse
af dette direktiv i forbindelse med kritiske enheder, når disse enheder
23
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
hører under deres jurisdiktion som fastsat i dette direktiv. Disse beføjel-
ser bør navnlig omfatte beføjelse til at foretage inspektioner og revision,
til at føre tilsyn, til at kræve, at kritiske enheder fremlægger oplysninger
og dokumentation vedrørende de foranstaltninger, som de har truffet for
at opfylde deres forpligtelser, og, hvor det er nødvendigt, til at udstede
påbud for at afhjælpe konstaterede overtrædelser. Når medlemsstaterne
udsteder sådanne påbud, bør de ikke kræve foranstaltninger, der går ud
over, hvad der er nødvendigt og rimeligt for at sikre, at den pågældende
kritiske enhed opfylder forpligtelserne, navnlig under hensyntagen til
overtrædelsens alvor og den pågældende kritiske enheds økonomiske
formåen. Mere generelt bør disse beføjelser ledsages af passende og ef-
fektive garantier, der fastsættes i national ret i overensstemmelse med
Den Europæiske Unions charter om grundlæggende rettigheder. Ved
vurderingen af, om en kritisk enhed opfylder sine forpligtelser som fast-
sat i dette direktiv, bør de kompetente myndigheder i henhold til dette
direktiv kunne anmode de kompetente myndigheder i henhold til direk-
tiv (EU) 2022/2555 om at udøve deres tilsyns- og håndhævelsesbeføjel-
ser over for en enhed i henhold til nævnte direktiv, som er identificeret
som kritisk enhed i henhold til nærværende direktiv. De kompetente
myndigheder i henhold til nærværende direktiv og de kompetente myn-
digheder i henhold til direktiv (EU) 2022/2555 bør samarbejde og ud-
veksle oplysninger med henblik herpå.
(41)For at dette direktiv kan anvendes på en effektiv og konsekvent måde,
bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i
overensstemmelse med artikel 290 i TEUF med henblik på at supplere
dette direktiv ved at udarbejde en liste over væsentlige tjenester. Denne
liste bør anvendes af kompetente myndigheder med henblik på at fore-
tage medlemsstatsrisikovurderinger og identificere kritiske enheder i
henhold til dette direktiv. I lyset af dette direktivs tilgang med mini-
mumsharmonisering er denne liste ikkeudtømmende, og medlemssta-
terne kan supplere den med yderligere væsentlige tjenester på nationalt
plan for at tage hensyn til særlige nationale forhold i forbindelse med
levering af væsentlige tjenester. Det er navnlig vigtigt, at Kommissio-
nen gennemfører relevante høringer under sit forberedende arbejde, her-
under på ekspertniveau, og at disse høringer gennemføres i overens-
stemmelse med principperne i den interinstitutionelle aftale af 13. april
2016 om bedre lovgivning (
25
). For at sikre lige deltagelse i forberedel-
sen af delegerede retsakter modtager Europa-Parlamentet og Rådet
navnlig alle dokumenter på samme tid som medlemsstaternes eksperter,
og deres eksperter har systematisk adgang til møder i Kommissionens
ekspertgrupper, der beskæftiger sig med forberedelse af delegerede rets-
akter.
24
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
(42)For at sikre ensartede betingelser for gennemførelsen af dette direktiv
bør Kommissionen tillægges gennemførelsesbeføjelser. Disse beføjel-
ser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets
forordning (EU) nr. 182/2011 (
26
).
(43)Målene for dette direktiv, nemlig at sikre at tjenester, der er væsentlige
for opretholdelsen af vitale samfundsmæssige funktioner eller økono-
miske aktiviteter, leveres uhindret på det indre marked, og at styrke
modstandsdygtigheden af kritiske enheder, som leverer sådanne tjene-
ster, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan
på grund af foranstaltningens virkninger bedre nås på EU-plan; Unionen
kan derfor vedtage foranstaltninger i overensstemmelse med nærheds-
princippet, jf. artikel 5 i traktaten om Den Europæiske Union. I over-
ensstemmelse med proportionalitetsprincippet, jf. nævnte artikel 5, går
dette direktiv ikke videre, end hvad der er nødvendigt for at nå disse
mål.
(44)Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i
overensstemmelse med artikel 42, stk. 1, i Europa-Parlamentets og Rå-
dets forordning (EU) 2018/1725 (
27
) og afgav udtalelse den 11. august
2021.
(45)Direktiv 2008/114/EF bør derfor ophæves —
VEDTAGET DETTE DIREKTIV:
KAPITEL I
ALMINDELIGE BESTEMMELSER
Artikel 1
Genstand og anvendelsesområde
1. Ved dette direktiv:
a) fastsættes forpligtelser for medlemsstaterne til at træffe specifikke foran-
staltninger med henblik på at sikre, at tjenester, der er væsentlige for op-
retholdelsen af vitale samfundsmæssige funktioner eller økonomiske ak-
tiviteter inden for anvendelsesområdet for artikel 114 i TEUF, leveres
uhindret på det indre marked, navnlig forpligtelser til at identificere kri-
tiske enheder og til at støtte kritiske enheder i at opfylde de forpligtelser,
som de er pålagt
b) fastsættes forpligtelser for kritiske enheder med henblik på at styrke deres
modstandsdygtighed og evne til at levere de i litra a) omhandlede tjene-
ster på det indre marked
c) fastsættes regler for:
25
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
i) tilsyn med kritiske enheder
ii) håndhævelse
iii) identifikation af kritiske enheder af særlig europæisk betydning og for
rådgivende missioner for at vurdere de foranstaltninger, som sådanne
enheder har truffet for at opfylde deres forpligtelser i henhold til ka-
pitel III
d) fastsættes fælles procedurer for samarbejde og rapportering med henblik
på anvendelse af dette direktiv
e) indføres foranstaltninger med henblik på at opnå en høj grad af mod-
standsdygtighed i kritiske enheder for at sikre levering af væsentlige tje-
nester i Unionen og forbedre det indre markeds funktion.
2. Dette direktiv finder ikke anvendelse på spørgsmål, der er omfattet af
direktiv (EU) 2022/2555, jf. dog nærværende direktivs artikel 8. I lyset af
forbindelsen mellem kritiske enheders fysiske sikkerhed og cybersikkerhed
sikrer medlemsstaterne en koordineret gennemførelse af nærværende direk-
tiv og direktiv (EU) 2022/2555.
3. Hvor bestemmelser i sektorspecifikke EU-retsakter kræver, at kritiske
enheder træffer foranstaltninger for at styrke deres modstandsdygtighed, og
hvor disse krav er anerkendt af medlemsstaterne som svarende mindst til de
tilsvarende forpligtelser, der er fastsat i dette direktiv, finder de relevante
bestemmelser i dette direktiv, herunder bestemmelsen om tilsyn og håndhæ-
velse i kapitel VI, ikke anvendelse.
4. Uden at det berører artikel 346 i TEUF, udveksles oplysninger, der er
fortrolige i henhold til EU-regler eller nationale regler, såsom regler om for-
retningshemmeligheder, kun med Kommissionen og andre relevante myn-
digheder i overensstemmelse med dette direktiv, hvor denne udveksling er
nødvendig for anvendelsen af dette direktiv. De udvekslede oplysninger be-
grænses til, hvad der er relevant og forholdsmæssigt under hensyntagen til
formålet med udvekslingen. Udvekslingen af oplysninger skal bevare de på-
gældende oplysningers fortrolighed og beskytte de kritiske enheders sikker-
hed og kommercielle interesser, samtidig med at medlemsstaternes sikker-
hed respekteres.
5. Dette direktiv berører ikke medlemsstaternes ansvar for at beskytte na-
tional sikkerhed og forsvar og deres beføjelse til at beskytte andre væsent-
lige statslige funktioner, herunder sikring af statens territoriale integritet og
opretholdelse af lov og orden.
6. Dette direktiv finder ikke anvendelse på offentlige forvaltningsenheder,
som udfører deres aktiviteter indenfor national sikkerhed, offentlig sikker-
hed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og
retsforfølgning af strafbare handlinger.
26
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
7. Medlemsstaterne kan beslutte, at artikel 11 og kapitel III, IV og VI helt
eller delvist ikke finder anvendelse på specifikke kritiske enheder, der ud-
fører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar
eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning
af strafbare handlinger, eller som udelukkende leverer tjenester til de offent-
lige forvaltningsenheder, der er omhandlet i nærværende artikels stk. 6.
8. De forpligtelser, der er fastsat i dette direktiv, omfatter ikke meddelelse
af oplysninger, hvis videregivelse ville stride mod væsentlige interesser med
hensyn til medlemsstaternes national sikkerhed, offentlig sikkerhed eller
forsvar.
9. Dette direktiv berører ikke EU-retten om beskyttelse af personoplysnin-
ger, navnlig Europa-Parlamentets og Rådets forordning (EU)
2016/679 (
28
) og Europa-Parlamentets og Rådets direktiv 2002/58/EF (
29
).
Artikel 2
Definitioner
I dette direktiv forstås ved:
1) »kritisk enhed«: en offentlig eller privat enhed, som er blevet identificeret
af en medlemsstat i overensstemmelse med artikel 6 som tilhørende en af
kategorierne anført i tredje kolonne i tabellen i bilaget
2) »modstandsdygtighed«: en kritisk enheds evne til at forebygge, beskytte
mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og komme på
fode igen efter en hændelse
3) »hændelse«: en begivenhed, der har potentiale til i betydelig grad at for-
styrre, eller som forstyrrer, leveringen af en væsentlig tjeneste, herunder
når den påvirker de nationale systemer, der sikrer retsstatsprincippet
4) »kritisk infrastruktur«: et aktiv, en facilitet, udstyr, et netværk eller et sy-
stem, eller en del af et aktiv, en facilitet, udstyr, et netværk eller et system,
som er nødvendig(t) for leveringen af en væsentlig tjeneste
5) »væsentlig tjeneste«: en tjeneste, der er afgørende for opretholdelsen af
vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesund-
hed og offentlig sikkerhed eller miljøet
6) »risiko«: potentialet for tab eller forstyrrelse som følge af en hændelse,
der skal udtrykkes som en kombination af størrelsen af et sådant tab eller
en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræffer
7) »risikovurdering«: den samlede proces med henblik på at bestemme arten
og omfanget af en risiko ved at identificere og analysere potentielle rele-
vante trusler, sårbarheder og farer, der kunne føre til en hændelse, og ved
at evaluere det potentielle tab eller den potentielle forstyrrelse af leverin-
gen af en væsentlig tjeneste forårsaget af denne hændelse
27
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
8) »standard«: en standard som defineret i artikel 2, nr. 1), i Europa-Parla-
mentets og Rådets forordning (EU) nr. 1025/2012 (
30
)
9) »teknisk specifikation«: en teknisk specifikation som defineret i artikel 2,
nr. 4), i forordning (EU) nr. 1025/2012
10)»offentlig forvaltningsenhed«: en enhed, der er anerkendt som sådan i en
medlemsstat i overensstemmelse med national ret, med undtagelse af
retsvæsenet, parlamenter og centralbanker, som opfylder følgende krite-
rier:
a) den er oprettet med henblik på at opfylde almennyttige formål og har
ikke industriel eller kommerciel karakter
b) den har status som juridisk person eller er ved lov berettiget til at
handle på vegne af en anden enhed med status som juridisk person
c) den finansieres overvejende af statslige myndigheder eller af andre
offentligretlige organer på centralt niveau, er underlagt ledelsestilsyn
af disse myndigheder eller organer, eller har et administrations-, le-
delses- eller tilsynsorgan, hvor mere end halvdelen af medlemmerne
udpeges af statslige myndigheder eller andre offentligretlige organer
på centralt niveau
d) den har beføjelse til at rette administrative eller lovgivningsmæssige
afgørelser til fysiske eller juridiske personer, der påvirker deres ret-
tigheder i forbindelse med grænseoverskridende bevægelighed for
personer, varer, tjenester eller kapital.
Artikel 3
Minimumsharmonisering
Dette direktiv er ikke til hinder for, at medlemsstaterne vedtager eller opret-
holder bestemmelser i national ret med henblik på at opnå et højere niveau
for kritiske enheders modstandsdygtighed, forudsat at sådanne bestemmel-
ser er i overensstemmelse med medlemsstaternes forpligtelser, der er fastsat
i EU-retten.
KAPITEL II
NATIONALE RAMMER FOR KRITISKE ENHEDERS MOD-
STANDSDYGTIGHED
Artikel 4
Strategi for kritiske enheders modstandsdygtighed
1. Efter en høring, der i det omfang, det er praktisk muligt, er åben for
relevante interessenter, vedtager hver medlemsstat senest den 17. januar
28
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
2026 en strategi for styrkelse af kritiske enheders modstandsdygtighed
(»strategien«). Byggende på relevante eksisterende nationale og sektorspe-
cifikke strategier, planer eller lignende dokumenter skal strategien inde-
holde strategiske mål og politikforanstaltninger med henblik på at opnå og
opretholde en høj grad af modstandsdygtighed i kritiske enheder og mindst
omfatte de sektorer, der er anført i bilaget.
2. Hver strategi skal mindst indeholde følgende elementer:
a) strategiske mål og prioriteter med henblik på at styrke kritiske enheders
overordnede modstandsdygtighed under hensyntagen til grænseoverskri-
dende og tværsektoriel afhængighed og indbyrdes afhængighed
b) en forvaltningsramme for at nå de strategiske mål og prioriteter, herunder
en beskrivelse af roller og ansvarsområder for de forskellige myndighe-
der, kritiske enheder og andre parter, der er involveret i gennemførelsen
af strategien
c) en beskrivelse af de foranstaltninger, der er nødvendige for at styrke kri-
tiske enheders overordnede modstandsdygtighed, herunder en beskri-
velse af risikovurderingen omhandlet i artikel 5
d) en beskrivelse af den proces, hvorved kritiske enheder identificeres
e) en beskrivelse af processen for støtte til kritiske enheder i overensstem-
melse med dette kapitel, herunder foranstaltninger til styrkelse af samar-
bejdet mellem den offentlige sektor på den ene side og den private sektor
og offentlige og private enheder på den anden side
f) en liste over de vigtigste myndigheder og relevante interessenter, ud over
kritiske enheder, der er involveret i gennemførelsen af strategien
g) en politikramme for koordinering mellem de kompetente myndigheder i
henhold til dette direktiv (»de kompetente myndigheder«) og de kompe-
tente myndigheder i henhold til direktiv (EU) 2022/2555 med henblik på
udveksling af oplysninger om cybersikkerhedsrisici, cybertrusler og cy-
berhændelser og ikkecyberrisici, -trusler og -hændelser samt udøvelse af
tilsynsopgaver
h) en beskrivelse af allerede indførte foranstaltninger, der har til formål at
lette opfyldelsen af forpligtelser i henhold til dette direktivs kapitel III for
små og mellemstore virksomheder i den i bilaget til Kommissionens hen-
stilling 2003/361/EF (
31
) anvendte betydning, som den pågældende med-
lemsstat har identificeret som kritiske enheder.
Efter en høring, der i det omfang, det er praktisk muligt, er åben for relevante
interessenter, ajourfører medlemsstaterne deres strategier mindst hvert
fjerde år.
3. Medlemsstaterne meddeler Kommissionen deres strategier og væsent-
lige ajourføringer heraf inden for tre måneder efter deres vedtagelse.
29
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Artikel 5
Medlemsstaternes risikovurdering
1. Kommissionen tillægges beføjelse til at vedtage en delegeret retsakt i
overensstemmelse med artikel 23 senest den 17. november 2023 for at sup-
plere dette direktiv ved at udarbejde en ikkeudtømmende liste over væsent-
lige tjenester i sektorerne og delsektorerne anført i bilaget. De kompetente
myndigheder bruger denne liste over væsentlige tjenester til at foretage en
risikovurdering (»medlemsstatsrisikovurdering«) senest den 17. januar
2026, når det er nødvendigt efterfølgende, og mindst hvert fjerde år. De
kompetente myndigheder bruger medlemsstatsrisikovurderinger med hen-
blik på at identificere kritiske enheder i overensstemmelse med artikel 6 og
til at bistå disse kritiske enheder med at træffe foranstaltninger i henhold til
artikel 13.
Medlemsstatsrisikovurderinger skal tage højde for de relevante naturlige og
menneskeskabte risici, herunder af tværsektoriel eller grænseoverskridende
karakter, ulykker, naturkatastrofer, folkesundhedskriser og hybride trusler
eller andre antagonistiske trusler, herunder terrorhandlinger som fastsat i
Europa-Parlamentets og Rådets direktiv (EU) 2017/541 (
32
).
2. Ved foretagelse af medlemsstatsrisikovurderinger tager medlemssta-
terne mindst hensyn til følgende:
a) den generelle risikovurdering, som foretages i henhold til artikel 6, stk. 1,
i afgørelse nr. 1313/2013/EU
b) andre relevante risikovurderinger, der foretages i overensstemmelse med
kravene i de relevante sektorspecifikke EU-retsakter, herunder Europa-
Parlamentets og Rådets forordning (EU) 2017/1938 (
33
) og (EU)
2019/941 (
34
) og
Europa-Parlamentets
og
Rådets
direktiv
2007/60/EF (
35
) og 2012/18/EU (
36
)
c) de relevante risici som følge af omfanget af afhængighed mellem de sek-
torer, der er anført i bilaget, herunder som følge af omfanget af afhængig-
hed af enheder beliggende i andre medlemsstater og tredjelande, og den
indvirkning, som en betydelig forstyrrelse i en sektor kan have på andre
sektorer, herunder eventuelle betydelige risici for borgerne og det indre
marked
d) eventuelle oplysninger om hændelser, der er underrettet om i overens-
stemmelse med artikel 15.
Med henblik på første afsnit, litra c), samarbejder medlemsstaterne med an-
dre medlemsstaters og tredjelandes kompetente myndigheder, alt efter hvad
der er relevant.
3. Medlemsstaterne stiller, hvor det er relevant gennem deres centrale kon-
taktpunkter, de relevante elementer i medlemsstatsrisikovurderinger til rå-
dighed for de kritiske enheder, som de har identificeret i overensstemmelse
30
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
med artikel 6. Medlemsstaterne sikrer, at de oplysninger, der gives til de
kritiske enheder, bistår dem med at foretage deres risikovurdering i henhold
til artikel 12 og træffe foranstaltninger for at sikre deres modstandsdygtig-
hed i henhold til artikel 13.
4. Inden for tre måneder efter at have foretaget en medlemsstatsrisikovur-
dering meddeler en medlemsstat Kommissionen relevante oplysninger om
risikotyperne identificeret som følge af, og resultaterne af, denne medlems-
statsrisikovurdering pr. sektor og delsektor anført i bilaget.
5. Kommissionen udarbejder i samarbejde med medlemsstaterne en frivil-
lig fælles rapporteringsmodel med henblik på overholdelse af stk. 4.
Artikel 6
Identifikation af kritiske enheder
1. Senest den 17. juli 2026 identificerer medlemsstaterne de kritiske enhe-
der for sektorerne og delsektorerne anført i bilaget.
2. Når en medlemsstat identificerer kritiske enheder i henhold til stk. 1, ta-
ger den hensyn til resultaterne af dens medlemsstatsrisikovurdering og dens
strategi og anvender alle følgende kriterier:
a) enheden leverer en eller flere væsentlige tjenester
b) enheden opererer og dens kritiske infrastruktur er beliggende på denne
medlemsstats område og
c) en hændelse vil have betydelige forstyrrende virkninger som fastslået i
overensstemmelse med artikel 7, stk. 1, på enhedens levering af en eller
flere væsentlige tjenester eller på leveringen af andre væsentlige tjenester
i sektorerne anført i bilaget, som er afhængige af denne eller disse væ-
sentlige tjenester.
3. Hver medlemsstat opstiller en liste over de kritiske enheder, der er iden-
tificeret i henhold til stk. 2, og sikrer, at disse kritiske enheder inden for en
måned efter denne identifikation underrettes om, at de er blevet identificeret
som kritiske enheder. Medlemsstaterne orienterer disse kritiske enheder om
deres forpligtelser i henhold til kapitel III og IV og om, fra hvilken dato
disse forpligtelser finder anvendelse på dem, uden at det berører artikel 8.
Medlemsstaterne orienterer kritiske enheder i sektorerne i punkt 3, 4 og 8 i
tabellen i bilaget, om, at de ikke har nogen forpligtelser i henhold til kapitel
III og IV, medmindre andet er fastsat i nationale foranstaltninger.
For de berørte kritiske enheder finder kapitel III anvendelse fra ti måneder
efter datoen for underretningen omhandlet i dette stykkes første afsnit.
4. Medlemsstaterne sikrer, at deres kompetente myndigheder i henhold til
dette direktiv underretter de kompetente myndigheder i henhold til direktiv
31
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
(EU) 2022/2555, om identiteten af de kritiske enheder, som de har identifi-
ceret i henhold til denne artikel, inden for en måned efter denne identifika-
tion. Af underretningen skal det, hvor det er relevant, fremgå, at de pågæl-
dende kritiske enheder er enheder i sektorerne i punkt 3, 4 og 8 i tabellen i
bilaget til nærværende direktiv, og ikke har nogen forpligtelser i henhold til
nærværende direktivs kapitel III og IV.
5. Medlemsstaterne gennemgår, hvor det er nødvendigt og under alle om-
stændigheder mindst hvert fjerde år, listen over identificerede kritiske enhe-
der omhandlet i stk. 3 og ajourfører, hvor det er relevant, denne. Hvis disse
ajourføringer fører til identifikation af yderligere kritiske enheder, finder
stk. 3 og 4 anvendelse for de yderligere kritiske enheder. Medlemsstaterne
sikrer desuden, at enheder, der ikke længere identificeres som kritiske en-
heder som følge af en sådan ajourføring, rettidigt underrettes herom og om,
at de ikke længere er omfattet af forpligtelserne i henhold til kapitel III fra
datoen for modtagelsen af denne orientering.
6. Kommissionen udarbejder i samarbejde med medlemsstaterne henstil-
linger og ikkebindende retningslinjer for at bistå medlemsstaterne med at
identificere kritiske enheder.
Artikel 7
Betydelig forstyrrende virkning
1. Ved fastlæggelsen af betydningen af en forstyrrende virkning som om-
handlet i artikel 6, stk. 2, litra c), skal medlemsstaterne tage hensyn til føl-
gende kriterier:
a) antal brugere, der er afhængige af den væsentlige tjeneste, som udbydes
af den berørte enhed
b) omfanget af andre i bilaget anførte sektorers og delsektorers afhængighed
af den pågældende væsentlige tjeneste
c) den indvirkning, som hændelser kunne have med hensyn til omfang og
varighed på økonomiske og samfundsmæssige aktiviteter, miljøet, den
offentlige sikkerhed eller befolkningens sundhed
d) enhedens markedsandel på markedet for den berørte væsentlige tjeneste
eller de berørte væsentlige tjenester
e) det geografiske område, der kunne blive berørt af en hændelse, herunder
eventuel grænseoverskridende indvirkning, under hensyntagen til den
sårbarhed, som er forbundet med den grad af afsondrethed, der kendeteg-
ner visse typer af geografiske områder, såsom øregioner, afsidesliggende
regioner eller bjergområder
f) enhedens betydning med hensyn til at opretholde et tilstrækkeligt niveau
for den væsentlige tjeneste under hensyntagen til tilgængelighed af alter-
native måder at levere denne væsentlige tjeneste på.
32
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
2. Efter identifikationen af de kritiske enheder i henhold til artikel 6, stk. 1,
sender hver medlemsstat uden unødigt ophold Kommissionen følgende op-
lysninger:
a) en liste over væsentlige tjenester i pågældende medlemsstat, hvis der er
yderligere væsentlige tjenester sammenlignet med den i artikel 5, stk. 1,
omhandlede liste over væsentlige tjenester
b) antallet af identificerede kritiske enheder for hver sektor og delsektor an-
ført i bilaget og for hver væsentlig tjeneste
c) eventuelle tærskler, der anvendes til at specificere et eller flere af kriteri-
erne i stk. 1.
Tærskler som omhandlet i første afsnits litra c) kan forelægges som de er
eller i aggregeret form.
Medlemsstaterne sender efterfølgende de i første afsnit omhandlede oplys-
ninger, når det er nødvendigt, og mindst hvert fjerde år.
3. Kommissionen vedtager efter høring af Gruppen for Kritiske Enheders
Modstandsdygtighed omhandlet i artikel 19 ikkebindende retningslinjer for
at lette anvendelsen af kriterierne omhandlet i denne artikels stk. 1 under
hensyntagen til de i denne artikels stk. 2 omhandlede oplysninger.
Artikel 8
Kritiske enheder i sektorerne bankvæsen, finansiel markedsinfra-
struktur og digital infrastruktur
Medlemsstaterne sikrer, at artikel 11 og kapitel III, IV og VI ikke finder
anvendelse på kritiske enheder, som de har identificeret i sektorerne i punkt
3, 4 og 8 i tabellen i bilaget. Medlemsstaterne kan vedtage eller opretholde
bestemmelser i national ret for at opnå et højere niveau for disse kritiske
enheders modstandsdygtighed, forudsat at disse bestemmelser er i overens-
stemmelse med gældende EU-ret.
Artikel 9
Kompetente myndigheder og centralt kontaktpunkt
1. Hver medlemsstat udpeger eller opretter en eller flere kompetente myn-
digheder, der er ansvarlige for korrekt anvendelse og, hvor det er nødven-
digt, håndhævelse af reglerne fastsat i dette direktiv på nationalt plan.
For så vidt angår kritiske enheder i sektorerne i punkt 3 og 4 i tabellen i dette
direktivs bilag, skal de kompetente myndigheder i princippet være de kom-
petente myndigheder, som er omhandlet i artikel 46 i forordning (EU)
2022/2554. For så vidt angår de kritiske enheder i den sektor, der er anført i
punkt 8 i tabellen i bilaget til nærværende direktiv, skal de kompetente myn-
digheder i princippet være de kompetente myndigheder i henhold direktiv
33
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
(EU) 2022/2555. Medlemsstaterne kan udpege en anden kompetent myn-
dighed for sektorerne i punkt 3, 4 og 8 i tabellen i bilaget til nærværende
direktiv i overensstemmelse med eksisterende nationale rammer.
Hvor medlemsstaterne udpeger eller opretter mere end én kompetent myn-
dighed, skal de klart angive hver berørt myndigheds opgaver og sikre, at de
samarbejder effektivt om at udføre deres opgaver i henhold til dette direktiv,
herunder med hensyn til udpegelsen af et centralt kontaktpunkt og dets ak-
tiviteter, der er omhandlet i stk. 2.
2. Hver medlemsstat udpeger eller opretter et centralt kontaktpunkt til at
varetage en forbindelsesfunktion med henblik på at sikre grænseoverskri-
dende samarbejde med de andre medlemsstaters centrale kontaktpunkter og
Gruppen for Kritiske Enheders Modstandsdygtighed omhandlet i artikel 19
(»centralt kontaktpunkt«). Hvis det er relevant, udpeger en medlemsstat sit
centrale kontaktpunkt inden for en kompetent myndighed. Hvis det er rele-
vant, kan en medlemsstat bestemme, at dens centrale kontaktpunkt også
udøver en forbindelsesfunktion med Kommissionen og sikrer samarbejde
med tredjelande.
3. Senest den 17. juli 2028 og derefter hvert andet år forelægger de centrale
kontaktpunkter en sammenfattende rapport for Kommissionen og for Grup-
pen for Kritiske Enheders Modstandsdygtighed omhandlet i artikel 19 om
de underretninger, de har modtaget, herunder antallet af underretninger, ar-
ten af de hændelser, der er underrettet om, og de tiltag, der er taget i over-
ensstemmelse med artikel 15, stk. 3.
Kommissionen udarbejder i samarbejde med Gruppen for Kritiske Enheders
Modstandsdygtighed en fælles rapporteringsmodel. De kompetente myn-
digheder kan anvende denne fælles rapporteringsmodel på frivillig basis
med henblik på at forelægge sammenfattende rapporter som omhandlet i
første afsnit.
4. Hver medlemsstat sikrer, at dens kompetente myndighed og dets cen-
trale kontaktpunkt har beføjelser og tilstrækkelige finansielle, menneskelige
og tekniske ressourcer til på en virkningsfuld og effektiv måde at kunne ud-
føre de opgaver, som de har fået pålagt.
5. Hver medlemsstat sikrer, at dens kompetente myndighed, når det er hen-
sigtsmæssigt og i overensstemmelse med EU-retten og national ret, hører og
samarbejder med andre relevante nationale myndigheder, herunder myndig-
heder med ansvar for civilbeskyttelse, retshåndhævelse og beskyttelse af
personoplysninger, samt med kritiske enheder og med relevante interesse-
rede parter.
6. Hver medlemsstat sikrer, at dens kompetente myndighed i henhold til
dette direktiv samarbejder og udveksler oplysninger med kompetente myn-
digheder i henhold til direktiv (EU) 2022/2555 om cybersikkerhedsrisici,
cybertrusler og cyberhændelser og ikkecyberrisici, -trusler og -hændelser,
34
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
som påvirker kritiske enheder, herunder med hensyn til relevante foranstalt-
ninger, der træffes af dens kompetente myndighed og kompetente myndig-
heder i henhold til direktiv (EU) 2022/2555.
7. Hver medlemsstat underretter Kommissionen om identiteten af den
kompetente myndighed og det centrale kontaktpunkt inden for tre måneder
efter udpegelsen eller oprettelsen af disse, samt om deres opgaver og an-
svarsområder i henhold til dette direktiv, deres kontaktoplysninger og even-
tuelle efterfølgende ændringer heraf. Medlemsstaterne underretter Kommis-
sionen, hvis de beslutter at udpege andre myndigheder end dem, der er om-
handlet i stk. 1, andet afsnit, som de kompetente myndigheder for så vidt
angår de kritiske enheder i sektorerne i punkt 3, 4 og 8 i tabellen i bilaget.
Hver medlemsstat offentliggør identiteten af den kompetente myndighed og
det centrale kontaktpunkt.
8. Kommissionen gør en liste over de centrale kontaktpunkter offentligt
tilgængelig.
Artikel 10
Medlemsstaternes støtte til kritiske enheder
1. Medlemsstaterne støtter kritiske enheder med at styrke deres modstands-
dygtighed. Denne støtte kan omfatte udvikling af vejledningsmaterialer og
-metoder, støtte til tilrettelæggelse af øvelser for at afprøve deres mod-
standsdygtighed, og rådgivning og uddannelse af personale i kritiske enhe-
der. Uden at dette berører gældende statsstøtteregler kan medlemsstaterne
stille finansielle ressourcer til rådighed for kritiske enheder, hvor det er nød-
vendigt og begrundet i mål af samfundsmæssig interesse.
2. Hver medlemsstat sikrer, at dens kompetente myndighed samarbejder
og udveksler oplysninger og god praksis med kritiske enheder i de sektorer,
der er anført i bilaget.
3. Medlemsstaterne letter frivillig udveksling af oplysninger mellem kriti-
ske enheder vedrørende spørgsmål, der er omfattet af dette direktiv, i over-
ensstemmelse med EU-retten og national ret om navnlig klassificerede og
følsomme informationer, konkurrence og beskyttelse af personoplysninger.
Artikel 11
Samarbejde mellem medlemsstaterne
1. Når det er relevant, konsulterer medlemsstaterne hinanden vedrørende
kritiske enheder med henblik på at sikre en konsekvent anvendelse af dette
direktiv. Sådanne konsultationer skal navnlig finde sted vedrørende kritiske
enheder, der:
a) anvender kritisk infrastruktur, som er fysisk sammenkoblet mellem to el-
ler flere medlemsstater
35
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
b) er en del af selskabsstrukturer, som er sammenkoblet eller forbundet med
kritiske enheder i en anden medlemsstat
c) er blevet identificeret som kritiske enheder i en medlemsstat, og som le-
verer væsentlige tjenester til eller i andre medlemsstater.
2. De i stk. 1 omhandlede konsultationer tager sigte på at styrke kritiske
enheders modstandsdygtighed og, hvor det er muligt, mindske disses admi-
nistrative byrde.
KAPITEL III
KRITISKE ENHEDERS MODSTANDSDYGTIGHED
Artikel 12
Kritiske enheders risikovurdering
1. Uanset fristen i artikel 6, stk. 3, andet afsnit, sikrer medlemsstaterne, at
kritiske enheder inden for ni måneder efter modtagelsen af den i artikel 6,
stk. 3, omhandlede underretning, når det er nødvendigt efterfølgende, og
mindst hvert fjerde år, på grundlag af medlemsstatsrisikovurderinger og an-
dre relevante informationskilder, foretager en risikovurdering for at vurdere
alle relevante risici, der kunne forstyrre leveringen af deres væsentlige tje-
nester (»kritiske enheders risikovurderinger«).
2. Kritiske enheders risikovurderinger skal tage højde for alle relevante na-
turlige og menneskeskabte risici, der kunne føre til en hændelse, herunder
af tværsektoriel eller grænseoverskridende karakter, ulykker, naturkatastro-
fer, folkesundhedskriser og hybride trusler og andre antagonistiske trusler,
herunder terrorhandlinger som fastsat i direktiv (EU) 2017/541. En kritisk
enheds risikovurdering skal tage hensyn til det omfang andre sektorer anført
i bilaget afhænger af den væsentlige tjeneste, der leveres af den kritiske en-
hed, og det omfang den kritiske enheds afhænger af væsentlige tjenester, der
leveres af andre enheder i sådanne andre sektorer, herunder i nabomedlems-
stater og tredjelande hvor det er relevant.
Hvor en kritisk enhed har foretaget andre risikovurderinger eller udarbejdet
dokumenter i henhold til forpligtelser i andre retsakter, der er relevante for
dens risikovurdering, kan den anvende disse vurderinger og dokumenter til
at opfylde de krav, der er fastsat i denne artikel. Ved udøvelsen af sine til-
synsfunktioner kan den kompetente myndighed erklære, at en kritisk enheds
eksisterende risikovurdering, som behandler de risici og det omfang af af-
hængighed, der er omhandlet i dette stykkes første afsnit, helt eller delvist
opfylder forpligtelserne i henhold til denne artikel.
36
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Artikel 13
Kritiske enheders modstandsdygtighedsforanstaltninger
1. Medlemsstaterne sikrer, at kritiske enheder træffer passende og for-
holdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstalt-
ninger for at sikre deres modstandsdygtighed på grundlag af de relevante
oplysninger, som medlemsstaterne har givet om medlemsstatsrisikovurde-
ringen, og af resultaterne af de kritiske enheders risikovurderinger, herunder
foranstaltninger, der er nødvendige for at:
a) forhindre hændelser i at indtræffe under behørig hensyntagen til katastro-
ferisikoreduktions- og klimatilpasningsforanstaltninger
b) sikre tilstrækkelig fysisk beskyttelse af deres lokaler og kritiske infra-
struktur under behørig hensyntagen til f.eks. hegn, barrierer, værktøjer og
rutiner til overvågning af perimetre, detektionsudstyr og adgangskontrol
c) reagere på, modstå og afbøde følgerne af hændelser under behørig hen-
syntagen til gennemførelsen af risiko- og krisestyringsprocedurer og -
protokoller samt varslingsrutiner
d) sikre genopretning efter hændelser under behørig hensyntagen til forret-
ningskontinuitetsforanstaltninger og identifikation af alternative forsy-
ningskæder for at genoptage leveringen af væsentlige tjenester
e) sikre passende medarbejdersikkerhedsstyring under behørig hensyntagen
til foranstaltninger såsom fastsættelse af kategorier af personale, der udø-
ver kritiske funktioner, fastlæggelse af adgangsrettigheder til lokaler, kri-
tisk infrastruktur og følsomme oplysninger, fastsættelse af procedurer for
baggrundskontrol i overensstemmelse med artikel 14 og udpegelse af ka-
tegorier af personer, som er forpligtet til at gennemgå sådanne baggrunds-
kontrol, samt fastlæggelse af passende uddannelseskrav og kvalifikatio-
ner
f) øge bevidstheden blandt det relevante personale om de foranstaltninger,
der er omhandlet i litra a)-e), under behørig hensyntagen til uddannelses-
kurser, informationsmateriale og øvelser.
Med henblik på første afsnits litra e) sikrer medlemsstaterne, at kritiske en-
heder tager hensyn til eksterne tjenesteudbyderes personale, når der fastsæt-
tes kategorier af personale, som udøver kritiske funktioner.
2. Medlemsstaterne sikrer, at kritiske enheder har indført og anvender en
plan for modstandsdygtighed eller et eller flere tilsvarende dokumenter, der
beskriver foranstaltningerne truffet i henhold til stk. 1. Hvis kritiske enheder
har udarbejdet dokumenter eller truffet foranstaltninger i henhold til forplig-
telser i andre retsakter, der er relevante for foranstaltningerne omhandlet i
stk. 1, kan de anvende disse dokumenter og foranstaltninger til at opfylde
de krav, der er fastsat i denne artikel. Den kompetente myndighed kan ved
udøvelsen af sine tilsynsfunktioner erklære, at en kritisk enheds eksisterende
37
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
modstandsdygtighedsstyrkende foranstaltninger, der på en passende og for-
holdsmæssig måde tager hånd om de tekniske, sikkerhedsmæssige og orga-
nisatoriske foranstaltninger, som er omhandlet i stk. 1, helt eller delvist op-
fylder forpligtelserne i henhold til denne artikel.
3. Medlemsstaterne sikrer, at hver kritisk enhed udpeger en forbindelses-
officer eller tilsvarende som kontaktpunkt for de kompetente myndigheder.
4. Efter anmodning fra en medlemsstat, der har identificeret en kritisk en-
hed, og med samtykke fra den berørte kritiske enhed tilrettelægger Kom-
missionen rådgivende missioner i overensstemmelse med de ordninger, som
er fastsat i artikel 18, stk. 6, 8 og 9, for at rådgive den kritiske enhed om
opfyldelsen af dens forpligtelser i henhold til kapitel III. Den rådgivende
mission aflægger rapport til Kommissionen, den pågældende medlemsstat
og den berørte kritiske enhed om sine resultater.
5. Kommissionen vedtager efter høring af Gruppen for Kritiske Enheders
Modstandsdygtighed omhandlet i artikel 19 ikkebindende retningslinjer for
nærmere at præcisere de tekniske, sikkerhedsmæssige og organisatoriske
foranstaltninger, der kan træffes i henhold til denne artikels stk. 1.
6. Kommissionen vedtager gennemførelsesretsakter med henblik på at
fastsætte de nødvendige tekniske og metodiske specifikationer vedrørende
anvendelsen af de i denne artikels stk. 1 omhandlede foranstaltninger. Disse
gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. arti-
kel 24, stk. 2.
Artikel 14
Baggrundskontrol
1. Medlemsstaterne angiver, på hvilke betingelser en kritisk enhed i behø-
rigt begrundede tilfælde og under hensyntagen til medlemsstatsrisikovurde-
ringen har tilladelse til at indgive anmodninger om baggrundskontrol af per-
soner, der:
a) varetager følsomme opgaver i eller til fordel for en kritisk enhed, navnlig
vedrørende den kritiske enheds modstandsdygtighed
b) er bemyndiget til at få direkte adgang eller fjernadgang til en kritisk en-
heds lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse
med den kritiske enheds sikkerhed
c) overvejes ansat i stillinger, der hører under kriterierne i litra a) eller b).
2. Anmodningers som omhandlet i denne artikels stk. 1 vurderes inden for
en rimelig frist og behandles i overensstemmelse med national ret og natio-
nale procedurer samt relevant og gældende EU-ret, herunder forordning
(EU) 2016/679 og Europa-Parlamentets og Rådets direktiv (EU)
38
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
2016/680 (
37
). Baggrundskontrol skal være forholdsmæssig og strengt be-
grænset til, hvad der er nødvendigt. Den foretages udelukkende med henblik
på at vurdere en potentiel sikkerhedsrisiko for den berørte kritiske enhed.
3. En baggrundskontrol som omhandlet i stk. 1 skal mindst:
a) bekræfte identiteten af den person, der er genstand for baggrundskontrol-
len
b) kontrollere strafferegistrene for den pågældende person for så vidt angår
lovovertrædelser, der ville være relevante for en bestemt stilling.
Når medlemsstater foretager baggrundskontrol, skal de anvende det euro-
pæiske informationssystem vedrørende strafferegistre i overensstemmelse
med procedurerne i rammeafgørelse 2009/315/RIA og, hvor det er relevant
og finder anvendelse, forordning (EU) 2019/816 med henblik på indhent-
ning af oplysninger fra andre medlemsstaters strafferegistre. De centrale
myndigheder omhandlet i artikel 3, stk. 1, i rammeafgørelse 2009/315/RIA
og i artikel 3, nr. 5), i forordning (EU) 2019/816, besvarer anmodninger om
sådanne oplysninger inden for ti arbejdsdage efter datoen for modtagelsen
af anmodningen i overensstemmelse med artikel 8, stk. 1, i rammeafgørelse
2009/315/RIA.
Artikel 15
Underretning om hændelser
1. Medlemsstaterne sikrer, at kritiske enheder uden unødigt ophold under-
retter den kompetente myndighed om hændelser, der i betydelig grad for-
styrrer eller har potentiale til i betydelig grad at forstyrre leveringen af væ-
sentlige tjenester. Medlemsstaterne sikrer, at kritiske enheder, med mindre
det operationelt ikke er muligt, indgiver en første underretning senest 24
timer, efter at være blevet opmærksom på en hændelse, efterfulgt, hvor det
er relevant, af en detaljeret rapport senest en måned derefter. Med henblik
på at fastslå en forstyrrelses omfang tages navnlig følgende kriterier i be-
tragtning:
a) antallet og andelen af brugere, der er berørt af forstyrrelsen
b) forstyrrelsens varigheden
c) det geografiske område, der er berørt af forstyrrelsen, idet der tages hen-
syn til, om det er et geografisk isoleret område.
Hvor en hændelse har eller kunne have betydelig indvirkning på kontinuite-
ten i leveringen af væsentlige tjenester til eller i seks eller flere medlemssta-
ter, underretter de kompetente myndigheder i de medlemsstater, der er be-
rørt af hændelsen, Kommissionen om en denne hændelse.
39
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
2. Underretninger som omhandlet i stk. 1, første afsnit, skal indeholde alle
tilgængelige oplysninger, der er nødvendige for, at den kompetente myndig-
hed kan forstå hændelsens art, årsag og mulige konsekvenser, herunder alle
tilgængelige oplysninger, der er nødvendige for at fastslå hændelsens even-
tuelle grænseoverskridende indvirkning. Sådanne underretninger medfører
ikke et øget ansvar for kritiske enheder.
3. På grundlag af oplysningerne leveret af en kritisk enhed i en underret-
ning som omhandlet i stk. 1 orienterer den relevante kompetente myndighed
via det centrale kontaktpunkt andre berørte medlemsstaters centrale kontakt-
punkter, hvis hændelsen har eller kunne have betydelig indvirkning på kri-
tiske enheder og kontinuiteten i leveringen af væsentlige tjenester til eller i
en eller flere andre medlemsstater.
Centrale kontaktpunkter, der fremsender og modtager oplysninger i medfør
af første afsnit, behandler i overensstemmelse med EU-retten eller national
ret disse oplysninger på en måde, der respekterer deres fortrolighed og be-
skytter den berørte kritiske enheds sikkerhed og kommercielle interesser.
4. Så snart som muligt efter modtagelse af en underretning som omhandlet
i stk. 1 giver den kompetente myndighed den berørte kritiske enhed rele-
vante opfølgende oplysninger, herunder oplysninger, som kunne understøtte
en effektiv reaktion fra denne kritiske enhed på den pågældende hændelse.
Medlemsstaterne orienterer offentligheden, hvor de vurderer, at det vil være
i offentlighedens interesse at gøre det.
Artikel 16
Standarder
For at fremme en konvergerende gennemførelse af dette direktiv, og hvor
det er hensigtsmæssigt og uden at pålægge, eller diskriminere til fordel for,
anvendelse af en bestemt type teknologi, tilskynder medlemsstaterne til an-
vendelsen af europæiske og internationale standarder og tekniske specifika-
tioner af relevans for sikkerheds- og modstandsdygtighedsforanstaltninger,
som finder anvendelse på kritiske enheder.
KAPITEL IV
KRITISKE ENHEDER AF SÆRLIG EUROPÆISK BETYDNING
Artikel 17
Identifikation af kritiske enheder af særlig europæisk betydning
1. En enhed betragtes som en kritisk enhed af særlig europæisk betydning,
hvor den:
a) er blevet identificeret som en kritisk enhed i henhold til artikel 6, stk. 1
40
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
b) leverer de samme eller lignende væsentlige tjenester til eller i seks eller
flere medlemsstater og
c) er blevet underrettet i henhold til nærværende artikels stk. 3.
2. Medlemsstaterne sikrer, at en kritisk enhed efter den i artikel 6, stk. 3,
omhandlede underretning oplyser sin kompetente myndighed, hvis den le-
verer væsentlige tjenester til eller i seks eller flere medlemsstater. I så fald
sikrer medlemsstaterne, at den kritiske enhed oplyser sin kompetente myn-
dighed om de væsentlige tjenester, den leverer til eller i disse medlemsstater,
og om de medlemsstater hvortil eller hvori den leverer sådanne væsentlige
tjenester. Medlemsstaterne underretter uden unødigt ophold Kommissionen
om identiteten af sådanne kritiske enheder samt om de oplysninger de leve-
rer i henhold til nærværende stykke.
Kommissionen konsulterer den kompetente myndighed i den medlemsstat,
der identificerede en kritisk enhed som omhandlet i første afsnit, andre be-
rørte medlemsstaters kompetente myndigheder og den pågældende kritiske
enhed. Under disse konsultationer oplyser hver medlemsstat Kommissio-
nen, såfremt den finder, at de tjenester, som leveres til denne medlemsstat
af den kritiske enhed, er væsentlige tjenester.
3. Hvis Kommissionen på grundlag af de i denne artikels stk. 2 omhand-
lede konsultationer konstaterer, at den pågældende kritiske enhed leverer
væsentlige tjenester til eller i seks eller flere medlemsstater, underretter
Kommissionen den pågældende kritiske enhed gennem dennes kompetente
myndighed om, at den anses for at være en kritisk enhed af særlig europæisk
betydning, og oplyser denne kritiske enhed om dens forpligtelser i henhold
til dette kapitel og om, fra hvilken dato disse forpligtelser finder anvendelse
på den. Når Kommissionen har oplyst den kompetente myndighed om sin
beslutning om at betragte en kritisk enhed som en kritisk enhed af særlig
europæisk betydning, videresender den kompetente myndighed uden unø-
digt ophold denne underretning til den pågældende kritiske enhed.
4. Dette kapitel finder anvendelse på den berørte kritiske enhed af særlig
europæisk betydning fra datoen for modtagelse af den underretning, der er
omhandlet i denne artikels stk. 3.
Artikel 18
Rådgivende missioner
1. Efter anmodning fra en medlemsstat, som har identificeret en kritisk en-
hed af særlig europæisk betydning som en kritisk enhed i henhold til arti-
kel 6, stk. 1, tilrettelægger Kommissionen en rådgivende mission for at vur-
dere de foranstaltninger, som denne kritiske enhed har truffet for at opfylde
sine forpligtelser i henhold til kapitel III.
41
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
2. På eget initiativ eller efter anmodning fra en eller flere medlemsstater,
hvortil eller hvori den væsentlige tjeneste leveres, og forudsat at den med-
lemsstat, som har identificeret en kritisk enhed af særlig europæisk betyd-
ning som en kritisk enhed i henhold til artikel 6, stk. 1, giver sit samtykke
dertil, tilrettelægger Kommissionen en rådgivende mission som omhandlet
i nærværende artikels stk. 1.
3. Efter en begrundet anmodning fra Kommissionen eller en eller flere
medlemsstater, hvortil eller hvori den væsentlige tjeneste leveres, giver den
medlemsstat, som har identificeret en kritisk enhed af særlig europæisk be-
tydning som en kritisk enhed i henhold til artikel 6, stk. 1, Kommissionen
følgende:
a) de relevante dele af den kritiske enheds risikovurdering
b) en oversigt over relevante foranstaltninger, der er truffet i overensstem-
melse med artikel 13
c) tilsyns- eller håndhævelsestiltag, herunder vurderinger af overholdelse
eller udstedte påbud, som den kompetente myndighed har taget i henhold
til artikel 21 og 22 med hensyn til den pågældende kritiske enhed.
4. Den rådgivende mission aflægger inden for tre måneder efter afslutnin-
gen af den rådgivende mission rapport om sine resultater til Kommissionen,
til den medlemsstat, der har identificeret en kritisk enhed af særlig europæ-
isk betydning som en kritisk enhed i henhold til artikel 6, stk. 1, til de med-
lemsstater, hvortil eller hvori den væsentlige tjeneste leveres, og til den på-
gældende kritiske enhed.
De medlemsstater, hvortil eller hvori den væsentlige tjeneste leveres, analy-
serer den i første afsnit omhandlede rapport og rådgiver, hvor det er nød-
vendigt, Kommissionen om, hvorvidt den kritiske enhed af særlig europæisk
betydning opfylder sine forpligtelser i henhold til kapitel III, og, hvis det er
relevant, hvilke foranstaltninger der kunne træffes for at forbedre den på-
gældende kritiske enheds modstandsdygtighed.
Kommissionen meddeler på grundlag af den rådgivning, der er omhandlet i
dette stykkes andet afsnit, den medlemsstat, som har identificeret en kritisk
enhed af særlig europæisk betydning som en kritisk enhed i henhold til arti-
kel 6, stk. 1, de medlemsstater, hvortil og hvori den væsentlige tjeneste le-
veres, og den pågældende kritiske enhed en udtalelse om, hvorvidt den på-
gældende kritiske enhed opfylder sine forpligtelser i henhold til kapitel III,
og, hvis det er relevant, hvilke foranstaltninger der kunne træffes for at for-
bedre den pågældende kritiske enheds modstandsdygtighed.
Den medlemsstat, der har identificeret en kritisk enhed af særlig europæisk
betydning som en kritisk enhed i henhold til artikel 6, stk. 1, sikrer, at dens
kompetente myndighed og den berørte kritiske enhed tager hensyn til den i
dette stykkes tredje afsnit omhandlede udtalelse, og giver Kommissionen og
42
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
de medlemsstater, hvortil eller hvori den væsentlige tjeneste leveres, oplys-
ninger om de foranstaltninger, som den har truffet i medfør af denne udta-
lelse.
5. Hver rådgivende mission består af eksperter fra den medlemsstat, hvor
den kritiske enhed af særlig europæisk betydning er beliggende, eksperter
fra de medlemsstater, hvortil eller hvori den væsentlige tjeneste leveres, og
repræsentanter for Kommissionen. Disse medlemsstater kan foreslå kandi-
dater til at deltage i en rådgivende mission. Kommissionen udvælger og ud-
nævner efter en konsultation med den medlemsstat, som har identificeret en
kritisk enhed af særlig europæisk betydning som en kritisk enhed i henhold
til artikel 6, stk. 1, medlemmerne af hver rådgivende mission i overensstem-
melse med deres faglige kapacitet og sikrer, hvor det er muligt, en geogra-
fisk afbalanceret repræsentation fra alle disse medlemsstater. Når det er nød-
vendigt, skal medlemmerne af den rådgivende mission have gyldig og pas-
sende sikkerhedsgodkendelse. Kommissionen afholder omkostningerne i
forbindelse med deltagelse i rådgivende missioner.
Kommissionen tilrettelægger programmet for hver rådgivende mission i
samråd med medlemmerne af den pågældende rådgivende mission og efter
aftale med den medlemsstat, som har identificeret en kritisk enhed af særlig
europæisk betydning som en kritisk enhed i henhold til artikel 6, stk. 1.
6. Kommissionen vedtager en gennemførelsesretsakt med regler for de
proceduremæssige ordninger for anmodninger om tilrettelæggelse af rådgi-
vende missioner, for behandling af sådanne anmodninger, for gennemfø-
relse af og rapporter om rådgivende missioner og for behandling af medde-
lelsen om Kommissionens udtalelse omhandlet i denne artikels stk. 4, tredje
afsnit, og om de foranstaltninger, der er truffet, under behørig hensyntagen
til de pågældende oplysningers fortrolighed og kommercielle følsomhed.
Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf.
artikel 24, stk. 2.
7. Medlemsstaterne sikrer, at kritiske enheder af særlig europæisk betyd-
ning giver rådgivende missioner adgang til oplysninger, systemer og facili-
teter, der vedrører levering af deres væsentlige tjenester, og som er nødven-
dige for at gennemføre den pågældende rådgivende mission.
8. Rådgivende missioner gennemføres i overensstemmelse med gældende
national ret i den medlemsstat, hvor de finder sted, idet den pågældende
medlemsstats ansvar for national sikkerhed og beskyttelse af sine sikker-
hedsmæssige interesser respekteres.
9. Ved tilrettelæggelsen af rådgivende missioner tager Kommissionen hen-
syn til rapporter om eventuelle inspektioner foretaget af Kommissionen i
henhold til forordning (EF) nr. 725/2004 og (EF) nr. 300/2008 og til rappor-
ter om enhver overvågning, som Kommissionen har foretaget i henhold til
direktiv 2005/65/EF vedrørende den berørte kritiske enhed.
43
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
10. Kommissionen orienterer Gruppen for Kritiske Enheders Modstands-
dygtighed omhandlet i artikel 19, når der tilrettelægges en rådgivende mis-
sion. Den medlemsstat, hvor en rådgivende mission har fundet sted, og
Kommissionen orienterer også Gruppen for Kritiske Enheders Modstands-
dygtighed om den rådgivende missions vigtigste resultater og de indhøstede
erfaringer med henblik på at fremme gensidig læring.
KAPITEL V
SAMARBEJDE OG RAPPORTERING
Artikel 19
Gruppen for Kritiske Enheders Modstandsdygtighed
1. Der nedsættes hermed en Gruppe for Kritiske Enheders Modstandsdyg-
tighed. Gruppen for Kritiske Enheders Modstandsdygtighed støtter Kom-
missionen og letter samarbejdet mellem medlemsstaterne og udvekslingen
af oplysninger om spørgsmål vedrørende dette direktiv.
2. Gruppen for Kritiske Enheders Modstandsdygtighed består af repræsen-
tanter for medlemsstaterne og Kommissionen, hvor det er hensigtsmæssigt
med en sikkerhedsgodkendelse. Hvor det er relevant for udførelsen af Grup-
pen for Kritiske Enheders Modstandsdygtigheds opgaver, kan den indbyde
relevante interessenter til at deltage i sit arbejde. Hvis Europa-Parlamentet
anmoder herom, kan Kommissionen indbyde eksperter fra Europa-Parla-
mentet til at deltage i møder i Gruppen for Kritiske Enheders Modstands-
dygtighed.
Kommissionens repræsentant er formand for Gruppen for Kritiske Enheders
Modstandsdygtighed.
3. Gruppen for Kritiske Enheders Modstandsdygtighed har følgende opga-
ver:
a) at støtte Kommissionen med at bistå medlemsstaterne med at styrke deres
kapacitet til at bidrage til at sikre kritiske enheders modstandsdygtighed
i overensstemmelse med dette direktiv
b) at analysere strategierne med henblik på at identificere bedste praksis
med hensyn til strategierne
c) at lette udveksling af bedste praksis med hensyn til medlemsstaternes
identifikation af kritiske enheder i henhold til artikel 6, stk. 1, herunder
vedrørende grænseoverskridende og tværsektoriel afhængighed og med
hensyn til risici og hændelser
d) hvis det er relevant, at bidrage med hensyn til spørgsmål vedrørende dette
direktiv til dokumenter om modstandsdygtighed på EU-plan
44
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
e) at bidrage til udarbejdelsen af de i artikel 7, stk. 3, og artikel 13, stk. 5,
omhandlede retningslinjer og efter anmodning eventuelle delegerede
retsakter eller gennemførelsesretsakter vedtaget i henhold til dette direk-
tiv
f) at analysere de i artikel 9, stk. 3, omhandlede sammenfattende rapporter
med henblik på at fremme udveksling af bedste praksis om de tiltag, der
er taget i overensstemmelse med artikel 15, stk. 3
g) at udveksle bedste praksis vedrørende underretning om hændelser om-
handlet i artikel 15
h) at drøfte de sammenfattende rapporter om rådgivende missioner og de
indhøstede erfaringer i overensstemmelse med artikel 18, stk. 10
i) at udveksle oplysninger og bedste praksis om innovation, forskning og
udvikling vedrørende kritiske enheders modstandsdygtighed i overens-
stemmelse med dette direktiv
j) hvis det er relevant, at udveksle oplysninger om spørgsmål vedrørende
kritiske enheders modstandsdygtighed med relevante EU-institutioner, -
organer, -kontorer og -agenturer.
4. Senest den 17. januar 2025 og derefter hvert andet år udarbejder Grup-
pen for Kritiske Enheders Modstandsdygtighed et arbejdsprogram vedrø-
rende tiltag, der skal iværksættes for at gennemføre dens mål og opgaver.
Dette arbejdsprogram skal være i overensstemmelse med målene i dette di-
rektiv.
5. Gruppen for Kritiske Enheders Modstandsdygtighed mødes regelmæs-
sigt og under alle omstændigheder mindst én gang om året med den samar-
bejdsgruppe, der er nedsat i henhold til direktiv (EU) 2022/2555, for at
fremme og lette samarbejde og udveksling af oplysninger.
6. Kommissionen kan vedtage gennemførelsesretsakter, hvori der fastlæg-
ges proceduremæssige ordninger, som er nødvendige for Gruppen for Kri-
tiske Enheders Modstandsdygtigheds funktion, med respekt af artikel 1,
stk. 4. Disse gennemførelsesretsakter vedtages efter undersøgelsesprocedu-
ren, jf. artikel 24, stk. 2.
7. Kommissionen forelægger Gruppen for Kritiske Enheders Modstands-
dygtighed en sammenfattende rapport om de oplysninger, som medlemssta-
terne har givet i henhold til artikel 4, stk. 3, og artikel 5, stk. 4, senest den
17. januar 2027, når det er nødvendigt efterfølgende, og mindst hvert fjerde
år.
45
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Artikel 20
Støtte fra Kommissionen til kompetente myndigheder og kritiske en-
heder
1. Kommissionen støtter, hvor det er relevant, medlemsstaterne og kritiske
enheder med at opfylde deres forpligtelser i henhold til dette direktiv. Kom-
missionen udarbejder en oversigt på EU-plan over grænseoverskridende og
tværsektorielle risici ved levering af væsentlige tjenester, tilrettelægger de i
artikel 13, stk. 4, og artikel 18 omhandlede rådgivende missioner og letter
udveksling af oplysninger mellem medlemsstaterne og eksperter i hele Uni-
onen.
2. Kommissionen supplerer medlemsstaternes aktiviteter som omhandlet i
artikel 10 ved at udvikle bedste praksis, vejledningsmaterialer og –metoder,
og grænseoverskridende uddannelsesaktiviteter og øvelser for at afprøve
kritiske enheders modstandsdygtighed.
3. Kommissionen orienterer medlemsstaterne om de finansielle midler på
EU-plan, der er til rådighed for medlemsstaterne til at styrke kritiske enhe-
ders modstandsdygtighed.
KAPITEL VI
TILSYN OG HÅNDHÆVELSE
Artikel 21
Tilsyn og håndhævelse
1. Med henblik på at vurdere, om de enheder, som medlemsstaterne har
identificeret som kritiske enheder i henhold til artikel 6, stk. 1, opfylder for-
pligtelserne i dette direktiv, sikrer medlemsstaterne, at de kompetente myn-
digheder har beføjelser og midler til:
a) at foretage inspektioner på stedet af den kritiske infrastruktur og de loka-
ler, som den kritiske enhed anvender til at levere sine væsentlige tjene-
ster, og eksternt tilsyn med de foranstaltninger, som kritiske enheder har
truffet i overensstemmelse med artikel 13
b) at foretage eller kræve revision af kritiske enheder.
2. Medlemsstaterne sikrer, at de kompetente myndigheder har beføjelser
og midler til, hvor det er nødvendigt for udførelsen af deres opgaver i hen-
hold til dette direktiv, at kræve, at enhederne i henhold til direktiv (EU)
2022/2555, som medlemsstaterne har identificeret som kritiske enheder i
henhold til nærværende direktiv, inden for en rimelig tidsfrist, der fastsættes
af disse myndigheder, giver:
46
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
a) de oplysninger, der er nødvendige for at vurdere, hvorvidt de foranstalt-
ninger, der træffes af disse enheder for at sikre deres modstandsdygtig-
hed, opfylder kravene i artikel 13
b) dokumentation for faktisk gennemførelse af disse foranstaltninger, her-
under resultaterne af en revision foretaget af en uafhængig og kvalificeret
revisor udvalgt af denne enhed og foretaget på dennes regning.
Når der anmodes om disse oplysninger, angiver de kompetente myndighe-
der formålet med kravet og anfører, hvilke oplysninger der kræves.
3. Uden at det berører muligheden for at pålægge sanktioner i overensstem-
melse med artikel 22, kan de kompetente myndigheder efter de i denne arti-
kels stk. 1 omhandlede tilsynsforanstaltninger eller vurderingen af de i
denne artikels stk. 2 omhandlede oplysninger pålægge de berørte kritiske
enheder at træffe de nødvendige og forholdsmæssige foranstaltninger for at
afhjælpe enhver konstateret overtrædelse af dette direktiv inden for en rime-
lig frist, der fastsættes af disse myndigheder, og give disse myndigheder op-
lysninger om de trufne foranstaltninger. Disse påbud skal navnlig tage hen-
syn til overtrædelsens grovhed.
4. Medlemsstaterne sikrer, at de i stk. 1, 2 og 3 omhandlede beføjelser kun
kan udøves med forbehold af passende garantier. Disse garantier skal navn-
lig sikre, at en sådan udøvelse finder sted på en objektiv, gennemsigtig og
forholdsmæssig måde, og at de berørte kritiske enheders rettigheder og le-
gitime interesser såsom beskyttelse af forretningshemmeligheder garanteres
behørigt, herunder deres ret til at blive hørt, til et forsvar og til effektive
retsmidler ved en uafhængig domstol.
5. Medlemsstaterne sikrer, at en kompetent myndighed i henhold til dette
direktiv, hvor den vurderer en kritisk enheds overholdelse i henhold til
denne artikel, orienterer denne kompetente myndighed de kompetente myn-
digheder i de berørte medlemsstater i henhold til direktiv (EU) 2022/2555.
Med henblik herpå sikrer medlemsstaterne, at kompetente myndigheder i
henhold til nærværende direktiv kan anmode de kompetente myndigheder i
henhold til direktiv (EU) 2022/2555 om at udøve deres tilsyns- og håndhæ-
velsesbeføjelser over for en enhed i henhold til nævnte direktiv, som er iden-
tificeret som en kritisk enhed i henhold til nærværende direktiv. Med hen-
blik herpå sikrer medlemsstaterne, at kompetente myndigheder i henhold til
nærværende direktiv samarbejder og udveksler oplysninger med de kompe-
tente myndigheder i henhold til direktiv (EU) 2022/2555.
Artikel 22
Sanktioner
Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i til-
fælde af overtrædelser af de nationale foranstaltninger, der er vedtaget i
47
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
medfør af dette direktiv, og træffer alle nødvendige foranstaltninger for at
sikre, at de gennemføres. Sanktionerne skal være effektive, stå i et rimeligt
forhold til overtrædelsen og have afskrækkende virkning. Medlemsstaterne
giver senest den 17. oktober 2024 Kommissionen meddelelse om disse reg-
ler og foranstaltninger, og underretter den straks om alle senere ændringer,
der berører dem.
KAPITEL VII
DELEGEREDE RETSAKTER OG GENNEMFØRELSESRETSAK-
TER
Artikel 23
Udøvelse af de delegerede beføjelser
1. Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen
på de i denne artikel fastlagte betingelser.
2. Beføjelsen til at vedtage delegerede retsakter, jf. artikel 5, stk. 1, tillæg-
ges Kommissionen for en periode på fem år fra den 16. januar 2023.
3. Den i artikel 5, stk. 1, omhandlede delegation af beføjelser kan til enhver
tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilba-
gekaldelse bringer delegationen af de beføjelser, der er angivet i den pågæl-
dende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af
afgørelsen i
Den Europæiske Unions Tidende
eller på et senere tidspunkt,
der angives i afgørelsen. Den berører ikke gyldigheden af delegerede rets-
akter, der allerede er i kraft.
4. Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksper-
ter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med
principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lov-
givning.
5. Så snart Kommissionen vedtager en delegeret retsakt, giver den samti-
digt Europa-Parlamentet og Rådet meddelelse herom.
6. En delegeret retsakt vedtaget i henhold til artikel 5, stk. 1, træder kun i
kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse in-
den for en frist på to måneder fra meddelelsen af den pågældende retsakt til
Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden
udløbet af denne frist begge har underrettet Kommissionen om, at de ikke
agter at gøre indsigelse. Fristen forlænges med to måneder på Europa-Par-
lamentets eller Rådets initiativ.
48
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Artikel 24
Udvalgsprocedure
1. Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som om-
handlet i forordning (EU) nr. 182/2011.
2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU)
nr. 182/2011 anvendelse.
KAPITEL VIII
AFSLUTTENDE BESTEMMELSER
Artikel 25
Rapportering og evaluering
Senest den 17. juli 2027 forelægger Kommissionen en rapport for Europa-
Parlamentet og Rådet, hvori vurderes det omfang, hvori de enkelte med-
lemsstater har truffet de nødvendige foranstaltninger med henblik på at ef-
terleve dette direktiv.
Kommissionen evaluerer regelmæssigt, hvorledes dette direktiv fungerer,
og forelægger en rapport til Europa-Parlamentet og Rådet. Denne rapport
skal navnlig vurdere dette direktivs merværdi, dets indvirkning med hensyn
til at sikre kritiske enheders modstandsdygtighed, og hvorvidt bilaget til di-
rektivet bør ændres. Kommissionen forelægger den første rapport senest den
17. juni 2029. Med henblik på rapportering i henhold til denne artikel tager
Kommissionen hensyn til relevante dokumenter fra Gruppen for Kritiske
Enheders Modstandsdygtighed.
Artikel 26
Gennemførelse
1. Medlemsstaterne vedtager og offentliggør senest den 17. oktober 2024
de love og bestemmelser, der er nødvendige for at efterkomme dette direk-
tiv. De underretter straks Kommissionen herom.
De anvender disse love og bestemmelser fra den 18. oktober 2024.
2. De i stk. 1 omhandlede love og bestemmelser skal ved vedtagelsen in-
deholde en henvisning til dette direktiv eller skal ved offentliggørelsen led-
sages af en sådan henvisning. Medlemsstaterne fastsætter de nærmere regler
for henvisningen.
Artikel 27
Ophævelse af direktiv 2008/114/EF
Direktiv 2008/114/EF ophæves med virkning fra den 18. oktober 2024.
49
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
2891451_0050.png
UDKAST
Henvisninger til det ophævede direktiv gælder som henvisninger til nærvæ-
rende direktiv.
Artikel 28
Ikrafttræden
Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i
Den
Europæiske Unions Tidende.
Artikel 29
Adressater
Dette direktiv er rettet til medlemsstaterne.
Udfærdiget i Strasbourg, den 14. december 2022.
På Europa-Parlamentets vegne
R. METSOLA
Formand
På Rådets vegne
M. BEK
Formand
(
1
) EUT C 286 af 16.7.2021, s. 170.
(
2
) EUT C 440 af 29.10.2021, s. 99.
(
3
) Europa-Parlamentets holdning af 22.11.2022 (endnu ikke offentliggjort i EUT)
og Rådets afgørelse af 8.12.2022.
(
4
) Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpeg-
ning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den
bedre (EUT L 345 af 23.12.2008, s. 75).
(
5
) Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022
om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unio-
nen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og
om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktiv) (se side 80 i denne
EUT).
(
6
) Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om for-
anstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informati-
onssystemer i hele Unionen (EUT L 194 af 19.7.2016, s. 1).
(
7
) Europa-Parlamentets og Rådets forordning (EU) 2019/452 af 19. marts 2019
om et regelsæt for screening af udenlandske direkte investeringer i Unionen
(EUT L 79 I af 21.3.2019, s. 1).
(
8
) Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 af 4. juli 2012
om OTC-derivater, centrale modparter og transaktionsregistre (EUT L 201 af
27.7.2012, s. 1).
50
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
(
9
) Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013
om tilsynsmæssige krav til kreditinstitutter og om ændring af forordning (EU)
nr. 648/2012 (EUT L 176 af 27.6.2013, s. 1).
(
10
) Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014
om markeder for finansielle instrumenter og om ændring af forordning (EU)
nr. 648/2012 (EUT L 173 af 12.6.2014, s. 84).
(
11
) Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om ad-
gang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter
og investeringsselskaber, om ændring af direktiv 2002/87/EF og om ophævelse af
direktiv 2006/48/EF og 2006/49/EF (EUT L 176 af 27.6.2013, s. 338).
(
12
) Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om mar-
keder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direk-
tiv 2011/61/EU (EUT L 173 af 12.6.2014, s. 349).
(
13
) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december
2022 om digital operationel modstandsdygtighed i den finansielle sektor og om
ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014,
(EU) nr. 909/2014 og (EU) 2016/1011 (se side 1 i denne EUT).
(
14
) Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 af 31. marts
2004 om bedre sikring af skibe og havnefaciliteter (EUT L 129 af 29.4.2004, s. 6).
(
15
) Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts
2008 om fælles bestemmelser om sikkerhed inden for civil luftfart og om ophæ-
velse af forordning (EF) nr. 2320/2002 (EUT L 97 af 9.4.2008, s. 72).
(
16
) Europa-Parlamentets og Rådets direktiv 2005/65/EF af 26. oktober 2005 om
bedre havnesikring (EUT L 310 af 25.11.2005, s. 28).
(
17
) Europa-Parlamentets og Rådets direktiv 2008/96/EF af 19. november 2008 om
forvaltning af vejinfrastrukturens sikkerhed (EUT L 319 af 29.11.2008, s. 59).
(
18
) Kommissionens afgørelse af 29. juni 2018 om oprettelse af EU-sikkerhedsplat-
formen for togpassagerer 2018/C 232/03 (EUT C 232 af 3.7.2018, s. 10).
(
19
) Rådets rammeafgørelse 2009/315/RIA af 26. februar 2009 om tilrettelæggel-
sen og indholdet af udvekslinger af oplysninger fra strafferegistre mellem med-
lemsstaterne (EUT L 93 af 7.4.2009, s. 23).
(
20
) Europa-Parlamentets og Rådets forordning (EU) 2019/816 af 17. april 2019
om oprettelse af et centralt system til bestemmelse af, hvilke medlemsstater der
ligger inde med oplysninger om straffedomme afsagt over tredjelandsstatsborgere
og statsløse personer (ECRIS-TCN) for at supplere det europæiske informations-
system vedrørende strafferegistre, og om ændring af forordning (EU) 2018/1726
(EUT L 135 af 22.5.2019, s. 1).
(
21
) Europa-Parlamentets og Rådets forordning (EU) 2018/1862 af 28. november
2018 om oprettelse, drift og brug af Schengeninformationssystemet (SIS) på om-
rådet politisamarbejde og strafferetligt samarbejde, om ændring og ophævelse af
Rådets afgørelse 2007/533/RIA og om ophævelse af Europa-Parlamentets og Rå-
dets forordning (EF) nr. 1986/2006 og Kommissionens afgørelse 2010/261/EU
(EUT L 312 af 7.12.2018, s. 56).
(
22
) Europa-Parlamentets og Rådets afgørelse nr. 1313/2013/EU af 17. december
2013 om en EU-civilbeskyttelsesmekanisme (EUT L 347 af 20.12.2013, s. 924).
51
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
(
23
) Europa-Parlamentets og Rådets forordning (EU) 2021/1149 af 7. juli 2021 om
oprettelse af Fonden for Intern Sikkerhed (EUT L 251 af 15.7.2021, s. 94).
(
24
) Europa-Parlamentets og Rådets forordning (EU) 2021/695 af 28. april 2021
om oprettelse af Horisont Europa — rammeprogrammet for forskning og innova-
tion — og om reglerne for deltagelse og formidling og om ophævelse af forordning
(EU) nr. 1290/2013 og (EU) nr. 1291/2013 (EUT L 170 af 12.5.2021, s. 1).
(
25
) EUT L 123 af 12.5.2016, s. 1.
(
26
) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar
2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kon-
trollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af
28.2.2011, s. 13).
(
27
) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober
2018 om beskyttelse af fysiske personer i forbindelse med behandling af person-
oplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri ud-
veksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001
og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).
(
28
) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016
om beskyttelse af fysiske personer i forbindelse med behandling af personoplys-
ninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv
95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).
(
29
) Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om be-
handling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske
kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommu-
nikation) (EFT L 201 af 31.7.2002, s. 37).
(
30
) Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 af 25. oktober
2012 om europæisk standardisering, om ændring af Rådets direktiv 89/686/EØF
og 93/15/EØF og Europa-Parlamentets og Rådets direktiv 94/9/EF, 94/25/EF,
95/16/EF, 97/23/EF, 98/34/EF, 2004/22/EF, 2007/23/EF, 2009/23/EF
og 2009/105/EF og om ophævelse af Rådets beslutning 87/95/EØF og Europa-Par-
lamentets og Rådets afgørelse nr. 1673/2006/EF (EUT L 316 af 14.11.2012, s. 12).
(
31
) Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af
mikrovirksomheder, små og mellemstore virksomheder (EUT L 124 af 20.5.2003,
s. 36).
(
32
) Europa-Parlamentets og Rådets direktiv (EU) 2017/541 af 15. marts 2017 om
bekæmpelse af terrorisme og om erstatning af Rådets rammeafgørelse
2002/475/RIA og ændring af Rådets afgørelse 2005/671/RIA (EUT L 88 af
31.3.2017, s. 6).
(
33
) Europa-Parlamentets og Rådets forordning (EU) 2017/1938 af 25. oktober
2017 om foranstaltninger til opretholdelse af gasforsyningssikkerheden og ophæ-
velse af forordning (EU) nr. 994/2010 (EUT L 280 af 28.10.2017, s. 1).
(
34
) Europa-Parlamentets og Rådets forordning (EU) 2019/941 af 5. juni 2019 om
risikoberedskab i elsektoren og om ophævelse af direktiv 2005/89/EF (EUT L 158
af 14.6.2019, s. 1).
(
35
) Europa-Parlamentets og Rådets direktiv 2007/60/EF af 23. oktober 2007 om
vurdering og styring af risikoen for oversvømmelser (EUT L 288 af 6.11.2007,
s. 27).
52
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
2891451_0053.png
UDKAST
(
36
) Europa-Parlamentets og Rådets direktiv 2012/18/EU af 4. juli 2012 om kontrol
med risikoen for større uheld med farlige stoffer og om ændring og efterfølgende
ophævelse af Rådets direktiv 96/82/EF (EUT L 197 af 24.7.2012, s. 1).
(
37
) Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med kompetente myndigheders be-
handling af personoplysninger med henblik på at forebygge, efterforske, afsløre
eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og
om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgø-
relse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).
BILAG
SEKTORER, DELSEKTORER OG ENHEDSKATEGORIER
Sektor
Delsektor
Enhedskategori
1. Energi
a) Elektricitet
-
- Elektricitetsvirksomheder som
defineret i artikel 2, nr. 57), i Eu-
ropa-Parlamentets og Rådets di-
rektiv (EU) 2019/944 (
1
), der va-
retager funktionen »levering«
som defineret i nævnte direktivs
artikel 2, nr. 12)
-
- Distributionssystemoperatører
som defineret i artikel 2, nr. 29),
i direktiv (EU) 2019/944
-
- Transmissionssystemoperatører
som defineret i artikel 2, nr. 35),
i direktiv (EU) 2019/944
-
- Producenter som defineret i arti-
kel 2, nr. 38), i direktiv (EU)
2019/944
-
- Udpegede elektricitetsmarkeds-
operatører som defineret i arti-
kel 2, nr. 8), i Europa-Parlamen-
tets og Rådets forordning (EU)
2019/943 (
2
)
-
- Markedsdeltagere som defineret
i artikel 2, nr. 25), i forordning
(EU) 2019/943, der leverer tje-
nester, der vedrører aggregering,
fleksibelt elforbrug eller energi-
lagring som defineret i artikel 2,
nr. 18), 20) og 59), i direktiv
(EU) 2019/944
53
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
2891451_0054.png
UDKAST
b) Fjernvarme
og fjernkø-
ling
c) Olie
d) Gas
e) Brint
2. Transport
a) Luft
-
- Operatører af fjernvarme eller
fjernkøling som defineret i arti-
kel 2, nr. 19), i Europa-Parla-
mentets og Rådets direktiv (EU)
2018/2001 (
3
)
- Olierørledningsoperatører
-
-
- Operatører af olieproduktions-
anlæg, -raffinaderier og -be-
handlingsanlæg, olielagre og
olietransmission
-
- Centrale lagerenheder som defi-
neret i artikel 2, litra f), i Rådets
direktiv 2009/119/EF (
4
)
- Forsyningsvirksomheder som
-
defineret i artikel 2, nr. 8), i Eu-
ropa-Parlamentets og Rådets di-
rektiv 2009/73/EF (
5
)
- Distributionssystemoperatører
-
som defineret i artikel 2, nr. 6), i
direktiv 2009/73/EF
-
- Transmissionssystemoperatører
som defineret i artikel 2, nr. 4), i
direktiv 2009/73/EF
-
- Lagersystemoperatører som de-
fineret i artikel 2 nr. 10), i direk-
tiv 2009/73/EF
-
- LNG-systemoperatører som de-
fineret i artikel 2, nr. 12), i direk-
tiv 2009/73/EF
-
- Naturgasvirksomheder som de-
fineret i artikel 2, nr. 1), i direk-
tiv 2009/73/EF
-
- Operatører inden for naturgas-
raffinaderier og -behandlingsan-
læg
-
- Operatører inden for brintpro-
duktion, -lagring og -transmis-
sion
-
- Luftfartsselskaber som defineret
i artikel 3, nr. 4), i forordning
(EF) nr. 300/2008, der anvendes
til kommercielle formål
54
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
2891451_0055.png
UDKAST
b) Jernbane
c) Vand
-
- Lufthavnsdriftsorganer som de-
fineret i artikel 2, nr. 2), i Eu-
ropa-Parlamentets og Rådets di-
rektiv 2009/12/EF (
6
), lufthavne
som defineret i nævnte direktivs
artikel 2, nr. 1), herunder de ho-
vedlufthavne, der er anført i af-
snit 2 i bilag II, til Europa-Parla-
mentets og Rådets forordning
(EU) nr. 1315/2013 (
7
), og enhe-
der med tilknyttede anlæg i luft-
havne
-
- Trafikledelses- og kontrolopera-
tører, der udøver flyvekontrol-
tjenester som defineret i arti-
kel 2, nr. 1), i Europa-Parlamen-
tets og Rådets forordning (EF)
nr. 549/2004 (
8
)
-
- Infrastrukturforvaltere som defi-
neret i artikel 3, nr. 2), i Europa-
Parlamentets og Rådets direktiv
2012/34/EU (
9
)
-
- Jernbanevirksomheder som de-
fineret i artikel 3, nr. 1), i direk-
tiv 2012/34/EU og operatører af
servicefaciliteter som defineret i
nævnte
direktivs
artikel 3,
nr. 12)
-
- Rederier, som udfører passager-
og godstransport ad indre vand-
veje, i højsøfarvand eller i kyst-
nært farvand som defineret for
søtransport i bilag I til forord-
ning (EF) nr. 725/2004, bortset
fra de enkelte fartøjer, som dri-
ves af disse rederier
- Driftsorganer i havne som defi-
-
neret i artikel 3, nr. 1), i direktiv
2005/65/EF, herunder deres hav-
nefaciliteter som defineret i arti-
kel 2, nr. 11), i forordning (EF)
nr. 725/2004, og enheder, der
driver anlæg og udstyr i havne
55
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
2891451_0056.png
UDKAST
d) Vejtransport
e)Offentlig
transport
3. Bankvirksom-
hed
4. Finansiel mar-
kedsinfrastruk-
tur
-
- Operatører af skibstrafiktjene-
ster som defineret i artikel 3,
litra o), i Europa-Parlamentets
og
Rådets
direktiv
2002/59/EF (
10
)
- Vejmyndigheder som defineret i
-
artikel 2, nr. 12), i Kommissio-
nens delegerede forordning
(EU) 2015/962 (
11
), der er an-
svarlige for trafikledelseskon-
trol, med undtagelse af offent-
lige enheder, for hvilke trafikle-
delse eller drift af intelligente
transportsystemer er en ikkevæ-
sentlig del af deres generelle ak-
tivitet
- Operatører af intelligente trans-
-
portsystemer som defineret i ar-
tikel 4, nr. 1), i Europa-Parla-
mentets og Rådets direktiv
2010/40/EU (
12
)
-
- Operatører af offentlig trafikbe-
tjening som defineret i artikel 2,
litra d), i Europa-Parlamentets
og Rådets forordning (EF)
nr. 1370/2007 (
13
)
-
- Kreditinstitutter som defineret i
artikel 4, nr. 1), i forordning
(EU) nr. 575/2013
-
- Operatører af markedspladser
som defineret i artikel 4, nr. 24),
i direktiv 2014/65/EU
-
- Centrale modparter (CCP'er)
som defineret i artikel 2, nr. 1), i
forordning (EU) nr. 648/2012
- Sundhedstjenesteydere som
defineret i artikel 3, litra g), i
Europa-Parlamentets og Rå-
dets direktiv 2011/24/EU (
14
)
-
- EU-referencelaboratorier som
omhandlet i artikel 15 i Europa-
Parlamentets og Rådets forord-
ning (EU) 2022/2371 (
15
)
5. Sundhed
56
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
2891451_0057.png
UDKAST
6. Drikkevand
7. Spildevand
-
- Enheder, der udfører forsknings-
og udviklingsaktiviteter vedrø-
rende lægemidler som defineret
i artikel 1, nr. 2), i Europa-Parla-
mentets og Rådets direktiv
2001/83/EF (
16
)
- Enheder, der fremstiller farma-
-
ceutiske råvarer og farmaceuti-
ske præparater som omhandlet i
hovedafdeling C, hovedgruppe
21, i NACE rev. 2
- Enheder, som fremstiller medi-
-
cinsk udstyr, der betragtes som
kritisk i en folkesundhedsmæs-
sigkrisesituation (»liste over kri-
tisk medicinsk udstyr til folke-
sundhedsmæssige krisesituatio-
ner«) i den i artikel 22 i Europa-
Parlamentets og Rådets forord-
ning (EU) 2022/123 (
17
) an-
vendte betydning
-
- Enheder, der er indehavere af en
forhandlingstilladelse som om-
handlet i artikel 79 i direktiv
2001/83/EF
- Leverandører og distributører af
-
drikkevand som defineret i arti-
kel 2, nr. 1), litra a), i Europa-
Parlamentets og Rådets direktiv
(EU) 2020/2184 (
18
), bortset fra
distributører, for hvilke distribu-
tion af drikkevand er en ikkevæ-
sentlig del af deres generelle ak-
tivitet med distribution af andre
råvarer og varer
-
- Virksomheder, der indsamler,
bortskaffer eller behandler by-
spildevand, husspildevand eller
industrispildevand som define-
ret i artikel 2, nr. 1), 2) og 3), i
Rådets direktiv 91/271/EØF (
19
),
bortset fra virksomheder, for
hvilke indsamling, bortskaffelse
57
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
2891451_0058.png
UDKAST
8. Digital infra-
struktur
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
eller behandling af byspilde-
vand, husspildevand eller indu-
strispildevand er en ikkevæsent-
lig del af deres generelle aktivi-
tet
Udbydere af internetudveks-
lingspunkter som defineret i arti-
kel 6, nr. 18), i direktiv (EU)
2022/2555
DNS-tjenesteudbydere omhand-
let i artikel 6, nr. 20), i direktiv
(EU) 2022/2555, bortset fra ope-
ratører af rodnavneservere
topdomænenavneadministrato-
rer som defineret i artikel 6,
nr. 21),
i
direktiv
(EU)
2022/2555
Udbydere af cloudcomputingtje-
nester som defineret i artikel 6,
nr. 30),
i
direktiv
(EU)
2022/2555
Udbydere af datacentertjenester
som defineret i artikel 6, nr. 31),
i direktiv (EU) 2022/2555
Udbydere af indholdsleverings-
netværk som defineret i arti-
kel 6, nr. 32), i direktiv (EU)
2022/2555
Tillidstjenesteudbydere som de-
fineret i artikel 3, nr. 19), i Eu-
ropa-Parlamentets og Rådets
forordning
(EU)
nr. 910/2014 (
20
)
Udbydere af offentlige elektro-
niske kommunikationsnet som
defineret i artikel 2, nr. 8), i Eu-
ropa-Parlamentets og Rådets di-
rektiv (EU) 2018/1972 (
21
)
Udbydere af elektroniske kom-
munikationstjenester i den i arti-
kel 2, nr. 4), i direktiv (EU)
2018/1972 anvendte betydning,
for så vidt deres tjenester er of-
fentligt tilgængelige
58
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
2891451_0059.png
UDKAST
9. Offentlig for-
valtning
10. Rummet
11. Produktion, til-
virkning og di-
stribution af
fødevarer
-
- Offentlige forvaltningsenheder
under den centrale forvaltning
som defineret af medlemssta-
terne i overensstemmelse med
national ret
- Operatører af jordbaseret infra-
-
struktur, der ejes, forvaltes og
drives af medlemsstater eller pri-
vate parter, og som understøtter
levering af rumbaserede tjene-
ster, undtagen udbydere af of-
fentlige elektroniske kommuni-
kationsnet som defineret i arti-
kel 2, nr. 8), i direktiv (EU)
2018/1972
- Fødevarevirksomheder som de-
-
fineret i artikel 3, nr. 2), i Eu-
ropa-Parlamentets og Rådets
forordning
(EF)
nr. 178/2002 (
22
), der udeluk-
kende beskæftiger sig med logi-
stik og engrosdistribution samt
industriel produktion og tilvirk-
ning i stor skala
(
1
) Europa-Parlamentets og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fæl-
les regler for det indre marked for elektricitet og om ændring af direktiv
2012/27/EU (EUT L 158 af 14.6.2019, s. 125).
(
2
) Europa-Parlamentets og Rådets forordning (EU) 2019/943 af 5. juni 2019 om
det indre marked for elektricitet (EUT L 158 af 14.6.2019, s. 54).
(
3
) Europa-Parlamentets og Rådets direktiv (EU) 2018/2001 af 11. december 2018
om fremme af anvendelsen af energi fra vedvarende energikilder (EUT L 328 af
21.12.2018, s. 82).
(
4
) Rådets direktiv 2009/119/EF af 14. september 2009 om forpligtelse for med-
lemsstaterne til at holde minimumslagre af råolie og/eller olieprodukter
(EUT L 265 af 9.10.2009, s. 9).
(
5
) Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles
regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF
(EUT L 211 af 14.8.2009, s. 94).
(
6
) Europa-Parlamentets og Rådets direktiv 2009/12/EF af 11. marts 2009 om luft-
havnsafgifter (EUT L 70 af 14.3.2009, s. 11).
59
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
(
7
) Europa-Parlamentets og Rådets forordning (EU) nr. 1315/2013 af 11. decem-
ber 2013 om Unionens retningslinjer for udvikling af det transeuropæiske trans-
portnet og om ophævelse af afgørelse nr. 661/2010/EU (EUT L 348 af 20.12.2013,
s. 1).
(
8
) Europa-Parlamentets og Rådets forordning (EF) nr. 549/2004 af 10. marts 2004
om rammerne for oprettelse af et fælles europæisk luftrum (»rammeforordningen«)
(EUT L 96 af 31.3.2004, s. 1).
(
9
) Europa-Parlamentets og Rådets direktiv 2012/34/EU af 21. november 2012 om
oprettelse af et fælles europæisk jernbaneområde (EUT L 343 af 14.12.2012,
s. 32).
(
10
) Europa-Parlamentets og Rådets direktiv 2002/59/EF af 27. juni 2002 om op-
rettelse af et trafikovervågnings- og trafikinformationssystem for skibsfarten i Fæl-
lesskabet og om ophævelse af Rådets direktiv 93/75/EØF (EFT L 208 af 5.8.2002,
s. 10).
(
11
) Kommissionens delegerede forordning (EU) 2015/962 af 18. december 2014
om supplerende regler til Europa-Parlamentets og Rådets direktiv 2010/40/EU for
så vidt angår tilrådighedsstillelse af EU-dækkende tidstro trafikinformationstjene-
ster (EUT L 157 af 23.6.2015, s. 21).
(
12
) Europa-Parlamentets og Rådets direktiv 2010/40/EU af 7. juli 2010 om ram-
merne for indførelse af intelligente transportsystemer på vejtransportområdet og
for grænsefladerne til andre transportformer (EUT L 207 af 6.8.2010, s. 1).
(
13
) Europa-Parlamentets og Rådets forordning (EF) nr. 1370/2007 af 23. oktober
2007 om offentlig personbefordring med jernbane og ad vej og om ophævelse af
Rådets forordning (EØF) nr. 1191/69 og (EØF) nr. 1107/70 (EUT L 315 af
3.12.2007, s. 1).
(
14
) Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om pa-
tientrettigheder i forbindelse med grænseoverskridende sundhedsydelser
(EUT L 88 af 4.4.2011, s. 45).
(
15
) Europa-Parlamentets og Rådets forordning (EU) 2022/2371 af 23. november
2022 om alvorlige grænseoverskridende sundhedstrusler og om ophævelse af af-
gørelse nr. 1082/2013/EU (EUT L 314 af 6.12.2022, s. 26).
(
16
) Europa-Parlamentets og Rådets direktiv 2001/83/EF af 6. november 2001 om
oprettelse af en fællesskabskodeks for humanmedicinske lægemidler (EFT L 311
af 28.11.2001, s. 67).
(
17
) Europa-Parlamentets og Rådets forordning (EU) 2022/123 af 25. januar 2022
om styrkelse af Det Europæiske Lægemiddelagenturs rolle i forbindelse med kri-
seberedskab og krisestyring med hensyn til lægemidler og medicinsk udstyr
(EUT L 20 af 31.1.2022, s. 1).
(
18
) Europa-Parlamentets og Rådets direktiv (EU) 2020/2184 af 16. december 2020
om kvaliteten af drikkevand (EUT L 435 af 23.12.2020, s. 1).
(
19
) Rådets direktiv 91/271/EØF af 21. maj 1991 om rensning af byspildevand
(EFT L 135 af 30.5.1991, s. 40).
(
20
) Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014
om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktio-
ner på det indre marked og om ophævelse af direktiv 1999/93/EF (EUT L 257 af
28.8.2014, s. 73).
60
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
(
21
) Europa-Parlamentets og Rådets direktiv (EU) 2018/1972 af 11. december 2018
om oprettelse af en europæisk kodeks for elektronisk kommunikation (EUT L 321
af 17.12.2018, s. 36).
(
22
) Europa-Parlamentets og Rådets forordning (EF) nr. 178/2002 af 28. januar
2002 om generelle principper og krav i fødevarelovgivningen, om oprettelse af Den
Europæiske Fødevaresikkerhedsautoritet og om procedurer vedrørende fødevare-
sikkerhed (EFT L 31 af 1.2.2002, s. 1).
61
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
2891451_0062.png
UDKAST
Bilag 2
Sektorer, delsektorer og enhedskategorier
Sektor
1.
Transport
Delsektor
a)
Luft
Enhedskategori
-
Luftfartsselskaber som defineret i artikel 3, nr. 4, i forord-
ning (EF) nr. 300/2008, der anvendes til kommercielle for-
mål.
Lufthavnsdriftsorganer som defineret i artikel 2, nr. 2, i Eu-
ropa-Parlamentets og Rådets direktiv 2009/12/EF, luft-
havne som defineret i nævnte direktivs artikel 2, nr. 1, her-
under de hovedlufthavne, der er anført i afsnit 2 i bilag II
til Europa-Parlamentets og Rådets forordning (EU) nr.
1315/2013, og enheder med tilknyttede anlæg i lufthavne.
Trafikledelses- og kontroloperatører, der udøver flyvekon-
troltjenester som defineret i artikel 2, nr. 1, i Europa-Parla-
mentets og Rådets forordning (EF) nr. 549/2004.
Infrastrukturforvaltere som defineret i artikel 3, nr. 2, i Eu-
ropa-Parlamentets og Rådets direktiv 2012/34/EU.
Jernbanevirksomheder som defineret i artikel 3, nr. 1, i di-
rektiv 2012/34/EU og operatører af servicefaciliteter som
defineret i nævnte direktivs artikel 3, nr. 12.
Rederier, som udfører passager- og godstransport ad indre
vandveje, i højsøfarvand eller kystnært farvand som define-
ret for søtransport i bilag I til Europa-Parlamentets og Rå-
dets forordning (EF) nr. 725/2004, bortset fra de enkelte
fartøjer, som drives af disse rederier.
Driftsorganer i havne som defineret i artikel 3, nr. 1, i Eu-
ropa-Parlamentets og Rådets direktiv 2005/65/EF, herunder
deres havnefaciliteter som defineret i artikel 2, nr. 11, i for-
ordning (EF) nr. 725/2004, og enheder, der opererer anlæg
og udstyr i havne.
Operatører af skibstrafiktjenester som defineret i artikel 3,
litra o, i Europa-Parlamentets og Rådets direktiv
2002/59/EF.
-
-
b)
Jern-
bane
-
-
c)
Vand
-
-
-
62
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
2891451_0063.png
UDKAST
d)
Vej-
trans-
port
-
Vejmyndigheder som defineret i artikel 2, nr. 12, i Kom-
missionens delegerede forordning (EU) 2015/962, der er
ansvarlige for trafikledelseskontrol, med undtagelse af of-
fentlige enheder, for hvilke trafikledelse eller drift af intel-
ligente transportsystemer er en ikke-væsentlig del af deres
generelle aktivitet.
Operatører af intelligente transportsystemer som defineret i
artikel 4, nr. 1, i Europa-Parlamentets og Rådets direktiv
2010/40/EU.
Operatører af offentlig trafikbetjening som defineret i arti-
kel 2, litra d, i Europa-Parlamentets og Rådets forordning
(EF) nr. 1370/2007.
Kreditinstitutter som defineret i artikel 4, nr. 1, i forordning
(EU) nr. 575/2013.
Operatører af markedspladser som defineret i artikel 4, nr.
24, i direktiv 2014/65/EU.
Centrale modparter (CCP'er) som defineret i artikel 2, nr.
1, i forordning (EU) nr. 648/2012.
Sundhedstjenesteydere som defineret i artikel 3, litra g, i
Europa-Parlamentets og Rådets direktiv 2011/24/EU.
EU-referencelaboratorier som omhandlet i artikel 15 i Eu-
ropa-Parlamentets og Rådets forordning (EU) 2022/2371.
Enheder, der udfører forsknings- og udviklingsaktiviteter
vedrørende lægemidler som defineret i artikel 1, nr. 2, i Eu-
ropa-Parlamentets og Rådets direktiv 2001/83/EF.
Enheder, der fremstiller farmaceutiske råvarer og farma-
ceutiske præparater som omhandlet i hovedafdeling C, ho-
vedgruppe 21, i NACE rev. 2.
Enheder, som fremstiller medicinsk udstyr, der betragtes
som kritisk i en folkesundhedsmæssigkrisesituation (»liste
over kritisk medicinsk udstyr til folkesundhedsmæssige
krisesituationer«) i den i artikel 22 i Europa-Parlamentets
og Rådets forordning (EU) 2022/123 anvendte betydning.
-
e)
Offent-
lig
trans-
port
2.
Bankvirk-
somhed
3.
Finansiel
markedsin-
frastruktur
-
-
-
-
4.
Sundhed
-
-
-
-
-
63
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
2891451_0064.png
UDKAST
-
Enheder, der er indehavere af en forhandlingstilladelse som
omhandlet i artikel 79 i direktiv 2001/83/EF.
Leverandører og distributører af drikkevand som defineret i
artikel 2, nr. 1, litra a, i Europa-Parlamentets og Rådets di-
rektiv (EU) 2020/2184, bortset fra distributører, for hvilke
distribution af drikkevand er en ikke-væsentlig del af deres
generelle aktivitet med distribution af andre råvarer og va-
rer.
Virksomheder, der indsamler, bortskaffer eller behandler
byspildevand, husspildevand eller industrispildevand som
defineret i artikel 2, nr. 1-3, i Rådets direktiv 91/271/EØF,
bortset fra virksomheder, for hvilke indsamling, bortskaf-
felse eller behandling af byspildevand, husspildevand eller
industrispildevand er en ikke-væsentlig del af deres gene-
relle aktivitet.
Udbydere af internetudvekslingspunkter som defineret i ar-
tikel 6, nr. 18, i direktiv (EU) 2022/2555.
DNS-tjenesteudbydere omhandlet i artikel 6, nr. 20, i di-
rektiv (EU) 2022/2555, bortset fra operatører af rodnavne-
servere.
Topdomænenavneadministratorer som defineret i artikel 6,
nr. 21, i direktiv (EU) 2022/2555.
Udbydere af cloudcomputingtjenester som defineret i arti-
kel 6, nr. 30, i direktiv (EU) 2022/2555.
Udbydere af datacentertjenester som defineret i artikel 6,
nr. 31, i direktiv (EU) 2022/2555.
Udbydere af indholdsleveringsnetværk som defineret i arti-
kel 6, nr. 32, i direktiv (EU)2022/2555.
Tillidstjenesteudbydere som defineret i artikel 3, nr. 19, i
Europa-Parlamentets og Rådets forordning (EU) nr.
910/2014.
Udbydere af offentlige elektroniske kommunikationsnet
som defineret i artikel 2, nr. 8, i Europa-Parlamentets og
Rådets direktiv (EU) 2018/1972.
5.
Drikke-
vand
-
6.
Spildevand
-
7.
Digital in-
frastruktur
-
-
-
-
-
-
-
-
64
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
2891451_0065.png
UDKAST
-
Udbydere af elektroniske kommunikationstjenester i den i
artikel 2, nr. 4, i direktiv (EU) 2018/1972 anvendte betyd-
ning, for så vidt deres tjenester er offentligt tilgængelige.
Offentlige forvaltningsenheder under den centrale forvalt-
ning som defineret af medlemsstaterne i overensstemmelse
med national ret.
Operatører af jordbaseret infrastruktur, der ejes, forvaltes
og drives af medlemsstater eller private parter, og som un-
derstøtter levering af rumbaserede tjenester, undtagen ud-
bydere af offentlige elektroniske kommunikationsnet som
defineret i artikel 2, nr. 8, i direktiv (EU) 2018/1972.
Fødevarevirksomheder som defineret i artikel 3, nr. 2, i Eu-
ropa-Parlamentets og Rådets forordning (EF) nr. 178/2002,
der udelukkende beskæftiger sig med logistik og engrosdi-
stribution samt industriel produktion og tilvirkning i stor
skala.
8.
Offentlig
forvaltning
-
9.
Rummet
-
10.
Produk-
tion, til-
virkning
og distri-
bution af
fødevarer
-
65
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Indledning
2. Lovforslagets baggrund
2.1. Fra EPCIP-direktivet til CER-direktivet
2.2. Sammenhængen med NIS 2-direktivet
2.3. Nuværende implementering af EPCIP-direktivet
2.4. Model for implementering af CER-direktivet
2.4.1. Lovgivningsmodel
2.4.2. Myndighedsstruktur
2.4.2.1 Nationale myndigheder og myndighedsansvar
2.4.2.2. Samarbejdsforum i EU
3. Lovforslagets hovedpunkter
3.1. Identifikation af kritiske enheder
3.1.1. Gældende ret
3.1.2. Forsvarsministeriets overvejelser
3.1.3. Den foreslåede ordning
3.2. Kritiske enheders risikovurdering og modstandsdygtighedsforanstalt-
ninger
3.2.1. Gældende ret
3.2.2. Forsvarsministeriets overvejelser
3.2.3. Den foreslåede ordning
3.3. Kritiske enheders hændelsesunderretninger
3.3.1. Gældende ret
3.3.2. Forsvarsministeriets overvejelser
3.3.3. Den foreslåede ordning
3.4. Tilsyn og håndhævelse
3.4.1. Gældende ret
3.4.2. Forsvarsministeriets overvejelser
3.4.3. Den foreslåede ordning
4. Økonomiske konsekvenser og implementeringskonsekvenser for det of-
fentlige
4.1. Økonomiske konsekvenser og implementeringskonsekvenser
4.2. De syv principper for digitaliseringsklar lovgivning
5. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
6. Administrative konsekvenser for borgerne
7. Miljømæssige konsekvenser
8. Forholdet til persondataretten
9. Forholdet til EU-retten
10. Hørte myndigheder og organisationer m.v.
11. Sammenfattende skema
66
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
1. Indledning
Virksomheder og myndigheder, der som kritiske enheder er leverandører af
væsentlige tjenester, spiller en afgørende rolle for opretholdelsen af vitale
funktioner i det danske samfund.
Det seneste årti har blandt andet budt på terrorhandlinger, en sundhedskrise
som følge af covid-19-pandemien, og større hybride angreb mod den kriti-
ske infrastruktur. Desuden indebærer klimaforandringerne, at også ekstreme
vejrforhold fremover vil udgøre en øget trussel mod den kritiske infrastruk-
tur.
Udviklingen i trusselsbilledet har tydeliggjort, at vores samfund er sårbart
over for såvel menneskeskabte kriser som naturkatastrofer m.v. Denne sår-
barhed øges yderligere af den voksende indbyrdes afhængighed mellem
samfundets forskellige sektorer.
Det er derfor af afgørende betydning, at kritiske enheder arbejder strukture-
ret med at forebygge, beskytte sig mod, reagere på, håndtere og sikre gen-
opretning efter kriser og katastrofer for at sikre kontinuitet i samfundsvig-
tige tjenester og funktioner.
Behovet for at øge samfundets robusthed gør sig gældende på tværs af EU,
og det er baggrunden for, at der i EU-regi er taget initiativ til at styrke kriti-
ske enheders modstandsdygtighed. Europa-Parlamentet og Rådet har såle-
des vedtaget direktiv (EU) 2022/5557 af 14. december 2022 om kritiske en-
heders modstandsdygtighed og om ophævelse af Rådets direktiv
2008/114/EF (CER-direktivet).
CER-direktivet ophæver og erstatter Rådets direktiv 2008/114/EF af 8. de-
cember 2008 om indkredsning og udpegning af europæisk kritisk infrastruk-
tur (EPCIP-direktivet).
CER-direktivet har til formål at styrke kritiske enheders modstandsdygtig-
hed, så de er bedre i stand til at håndtere risici, som kan føre til forstyrrelse
i leveringen af væsentlige tjenester.
Direktivet omfatter kritiske enheder inden for en lang række samfundsvig-
tige sektorer, som bl.a. omfatter energi, transport, bankvirksomhed, sund-
hed, drikke- og spildevand, digital infrastruktur og den offentlige forvalt-
ning.
CER-direktivet pålægger bl.a. medlemsstaterne at identificere kritiske en-
heder, udarbejde nationale strategier for styrkelse af de kritiske enheders
modstandsdygtighed og udarbejde risikovurderinger på nationalt niveau.
Samtidig stiller CER-direktivet krav om, at medlemsstaterne skal sikre, at
67
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
kritiske enheder træffer foranstaltninger til at sikre modstandsdygtighed, li-
gesom direktivet fastsætter en række pligter til at foretage underretning af
myndighederne om hændelser, der forstyrrer eller har potentiale til at for-
styrre leveringen af væsentlige tjenester. Herudover fastsætter direktivet
krav til tilsynet med de kritiske enheders efterlevelse af reguleringen.
Med dette lovforslag foreslås det, at direktivet implementeres ved en hoved-
lov, som vil skulle finde anvendelse på tværs af de sektorer, der er omfattet
af direktivet. Dermed vil der blive skabt en fælles lovgivningsmæssig
ramme til gavn for de enheder, der omfattes af lovgivningen, og de myndig-
heder, der skal anvende lovgivningen.
Der lægges desuden op til, at loven suppleres af sektorspecifikke bekendt-
gørelser. En sektorvis udmøntning af de centrale krav til bl.a. modstands-
dygtighedsforanstaltninger vil skabe en klarere ramme for de berørte enhe-
der, samtidig med at der vil kunne tages højde for særlige sektorvise forhold.
Anvendelsen af modellen med en tværgående hovedlov, der suppleres af
sektorvise bekendtgørelser vil i øvrigt sikre, at der i nødvendigt omfang kan
ske hurtig ændring af reglerne på baggrund af eksempelvis ændringer i ri-
siko- og trusselsbilledet.
Anvendelsesområdet for den foreslåede hovedlov omfatter alle de sektorer,
der fremgår af CER-direktivets bilag med undtagelse af energisektoren, Det
skyldes, at der i denne sektor allerede er en omfattende sektorspecifik regu-
lering på området. Der er dermed for energisektoren et særligt hensyn til, at
den reguleres sektorvist, således at implementeringen af CER-direktivet in-
tegreres med den eksisterende regulering. Klima-, Energi- og Forsynings-
ministeriet varetager implementeringen i energisektoren.
2. Lovforslagets baggrund
2.1. Fra EPCIP-direktivet til CER-direktivet
CER-direktivet ophæver og erstatter EPCIP-direktivet, der indeholder be-
stemmelser om udpegning af europæisk kritisk infrastruktur i energi- og
transportsektorerne, hvis forstyrrelse eller ødelæggelse vil få betydelig
grænseoverskridende indvirkning på mindst to medlemsstater.
Efter EPCIP-direktivet skal ejeren eller operatøren af infrastruktur på trans-
port- og energiområdet, der udpeges som europæisk kritisk infrastruktur,
sikre, at infrastrukturen er beskyttet. Der stilles bl.a. krav om, at der udar-
bejdes en sikkerhedsplan for infrastrukturen, som skal koordineres med øv-
rige beredskabsplaner efter anden beredskabslovgivning, og der skal ud-
nævnes en sikkerhedsofficer og en beredskabskontakt.
68
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Der er ikke infrastruktur i Danmark, der aktuelt er udpeget som europæisk
kritisk infrastruktur.
Europa-Kommissionen gennemførte i 2019 en evaluering af EPCIP-direkti-
vet, som viste behov for at udvide anvendelsesområdet, således at flere sek-
torer blev omfattet. Derudover viste evalueringen, at der var behov for en
bedre mekanisme til at identificere kritiske enheder, samt at der var behov
for fælles EU-regler for at styrke kritiske enheders modstandsdygtighed.
Formålet med CER-direktivet er på den baggrund at etablere en europæisk
retlig ramme, der skal sikre, at kritiske enheder bliver bedre i stand til at
forebygge, beskytte sig mod, reagere på, modstå, afbøde, absorbere, tilpasse
sig og sikre genopretning efter hændelser, der har potentiale til at forstyrre
leveringen af væsentlige tjenester.
CER-direktivet fastsætter regler om bl.a. identifikation af kritiske enheder,
kritiske enheders risikovurdering og modstandsdygtighedsforanstaltninger,
kritiske enheders mulighed for at anmode om baggrundskontrol af visse per-
soner, kritiske enheders underretning om hændelser samt regler om tilsyn
og håndhævelse. Herudover stiller CER-direktivet visse krav til medlems-
staterne om bl.a. udarbejdelse af nationale strategier og samarbejde.
2.2. Sammenhængen med NIS 2-direktivet
CER-direktivet skal ses i sammenhæng med Europa-Parlamentets og Rådets
direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sik-
ring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af
forordning (EU) nr. 910/2014 og om ophævelse af direktiv (EU) 2016/1148
(NIS 2-direktivet).
NIS 2-direktivet har til formål at skabe et højere og mere ensartet cybersik-
kerhedsniveau på tværs af medlemsstaterne, og direktivet omfatter – ud over
sektorerne omfattet af CER-direktivet – også en række yderligere sektorer.
NIS 2-direktivet stiller bl.a. cybersikkerhedskrav til væsentlige og vigtige
enheder inden for de omfattede sektorer. Samtidig fastsættes en række op-
lysnings- og underretningspligter over for myndighederne, herunder under-
retning ved væsentlige hændelser, samt pligt til at oplyse enhedernes bru-
gere om bl.a. væsentlige hændelser og eventuelle modforholdsregler, som
brugerne kan træffe. Direktivet styrker desuden myndighedernes tilsyns- og
håndhævelsesbeføjelser og indfører bl.a. mulighed for, at myndighederne
midlertidigt kan suspendere personer med ledelsesansvar i enhederne.
Det følger af CER-direktivets artikel 1, stk. 2, at CER-direktivet ikke finder
anvendelse på forhold, der er omfattet af NIS 2-direktivet. Med andre ord er
69
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
cybersikkerhed reguleret særskilt i NIS 2-direktivet og undtages derfor fra
CER-direktivet. Henset til betydningen af cybersikkerhed for kritiske enhe-
ders modstandsdygtighed, er det dog i CER-direktivet forudsat, at der sker
en koordineret gennemførelse af CER- og NIS 2-direktiverne.
Sammenhængen mellem NIS 2-direktivet og CER-direktivet understreges
desuden af, at enheder, der er identificeret som kritiske enheder i henhold til
CER-direktivet, allerede af den grund er omfattet af anvendelsesområdet for
NIS 2-direktivet, jf. NIS 2-direktivets artikel 2, stk. 3.
Forsvarsministeren fremsætter samtidig med nærværende lovforslag et lov-
forslag om implementering af NIS 2-direktivet på tværs af en række sekto-
rer. Der anvendes i vidt omfang samme overordnede tilgang til implemen-
teringen af de to direktiver. Der vil desuden i mange sektorer være sammen-
fald mellem de kompetente myndigheder efter henholdsvis NIS 2-direktivet
og CER-direktivet, og det forudsættes, at myndigheder med opgaver i med-
før af de to direktiver i relevant omfang også i praksis koordinerer på tværs.
2.3. Nuværende implementering af EPCIP -direktivet
I Danmark er EPCIP-direktivet implementeret sektorvist i regulering i hen-
holdsvis energi- og transportsektorerne.
I energisektoren omfatter EPCIP-direktivet el-, gas- og oliesektorerne. I
disse sektorer er EPCIP-direktivet implementeret ved bekendtgørelse nr. 11
af 7. januar 2011 om identifikation og udpegning af europæisk kritisk infra-
struktur på energiområdet og vurdering af behovet for bedre beskyttelse
(EPCIP-direktivet). Bekendtgørelsen er udstedt med hjemmel i lov om el-
forsyning, jf. lovbekendtgørelse nr. 1248 af 24. oktober 2023 med senere
ændringer, lov om gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16. august
2023 med senere ændringer, lov om kontinentalsoklen og visse rørlednings-
anlæg på søterritoriet, jf. lovbekendtgørelser nr. 1189 af 21. september
2018, som ændret ved § 2 i lov nr. 744 af 13. juni 2023, offshoresikkerheds-
loven, jf. lovbekendtgørelse nr. 125 af 6. februar 2018, og olieberedskabs-
loven, lov nr. 354 af 24. april 2012. Bekendtgørelsen fastsætter regler om
procedurer for udpegning af europæisk kritisk infrastruktur i energisektoren
og beskyttelsesbehovet for sådan infrastruktur. Der er ikke i dag udpeget
infrastruktur som europæisk kritisk infrastruktur på energiområdet.
I transportsektorerne omfatter EPCIP-direktivet vej-, jernbane- og havne-
områderne.
På vejområdet er direktivet implementeret ved bekendtgørelse nr. 7 af 6. ja-
nuar 2011 om kritisk europæisk infrastruktur på vejområdet (EPCIP-direk-
tivet). Bekendtgørelsen er udstedt med hjemmel i lov om offentlige veje, jf.
70
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
lovbekendtgørelse nr. 421 af 25. april 2023 med senere ændringer, og lov
om private fællesveje, jf. lovbekendtgørelse nr. 422 af 25. april 2023 med
senere ændringer. Det følger af bekendtgørelsens § 2, at medlemsstaternes
kompetence på vejområdet udøves af Vejdirektoratet. Vejdirektoratet har
ikke i dag udpeget infrastruktur på vejområdet som europæisk kritisk infra-
struktur
På jernbaneområdet er direktivet implementeret ved bekendtgørelse nr.
1461 af 14. december 2010 om europæisk kritisk infrastruktur på jernbane-
området (EPCIP-direktivet). Bekendtgørelsen er udstedt med hjemmel i
jernbaneloven, jf. lovbekendtgørelse nr. 1091 af 11. august 2023. Det følger
af bekendtgørelsens § 2, at medlemsstaternes kompetence på jernbaneom-
rådet udøves af Trafikstyrelsen. Trafikstyrelsen har ikke i dag udpeget in-
frastruktur på jernbaneområdet som europæisk kritisk infrastruktur.
På havneområdet er direktivet implementeret ved bekendtgørelse nr. 1726
af 22. december 2010 om europæisk kritisk infrastruktur på havneområdet
(EPCIP-direktivet). Bekendtgørelsen er udstedt med hjemmel i lov om
havne, jf. lovbekendtgørelse nr. 116 af 24. januar 2024. Det følger af be-
kendtgørelsens § 2, at medlemsstaternes kompetence på havneområdet ud-
øves af Kystdirektoratet. Kystdirektoratet har ikke i dag udpeget infrastruk-
tur på havneområdet som europæisk kritisk infrastruktur.
De nævnte bekendtgørelser i transportsektorerne vil skulle ophæves i for-
bindelse med lovens ikrafttrædelse. Det bemærkes, at energisektoren ikke
er omfattet af nærværende lovforslags anvendelsesområde.
2.4. Model for implementering af CER-direktivet
2.4.1. Lovgivningsmodel
Kravene i CER-direktivet er rettet mod en bred vifte af sektorer, og direkti-
vet har således et meget bredt anvendelsesområde.
Ved implementeringen anser Forsvarsministeriet det på den ene side for væ-
sentligt, at direktivets krav målrettes og tilpasses de enkelte sektorers sær-
lige forhold, således at de omfattede enheder ikke pålægges unødvendige
byrder. Samtidig er det på den anden side væsentligt, at der i videst muligt
omfang skabes ensartethed og koordination på tværs af de omfattede sekto-
rer, således at kritiske enheder som udgangspunkt identificeres på en ensar-
tet måde, og at kritiske enheder, der opererer i flere sektorer, ikke rammes
af modsatrettede krav.
71
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
For at tage højde for disse hensyn vil implementeringen af CER-direktivet
videreføre de enkelte ressortministeriers ansvar for sikring af modstands-
dygtighed og tilsyn i deres respektive sektorer, mens Beredskabsstyrelsen
tillægges en tværgående koordinerende rolle og får til opgave at facilitere et
tæt samarbejde mellem de ressortansvarlige myndigheder.
Implementeringen af CER-direktivet vil ske ved nærværende forslag til ho-
vedlov, som finder anvendelse på tværs af de omfattede sektorer (med und-
tagelse af energisektoren), og som etablerer en fælles grundlæggende
ramme for direktivets implementering i dansk ret. I energisektoren findes
der allerede en omfattende sektorspecifik regulering på området. Der er der-
med for energisektoren et særligt hensyn til, at den reguleres sektorvist, så-
ledes at implementeringen af CER-direktivet integreres med den eksiste-
rende regulering. Klima-, Energi- og Forsyningsministeriet varetager imple-
menteringen i energisektoren.
Med lovforslaget lægges der samtidig op til, at de relevante ressortministre
bemyndiges til på visse områder at fastsætte nærmere regler for deres re-
spektive sektorer i bekendtgørelsesform. Med lovforslaget vil hovedloven
således blive suppleret af bekendtgørelser, hvori visse af direktivets bestem-
melser kan konkretiseres på de respektive ressortområder. Der vil bl.a.
kunne fastsættes nærmere regler om kompetente myndigheders identifika-
tion af kritiske enheder samt om krav til kritiske enheders modstandsdyg-
tighedsforanstaltninger og kritiske enheders hændelsesunderretninger.
Den nærmere udmøntning af kravene, som vil ske i bekendtgørelserne, vil
skabe en klarere ramme for de berørte enheder, samtidig med at der vil
kunne tages højde for særlige sektorvise forhold. Anvendelsen af modellen
med en tværgående hovedlov suppleret af sektorvise bekendtgørelser vil i
øvrigt sikre, at der i nødvendigt omfang kan ske hurtig ændring af reglerne
på baggrund af eksempelvis ændringer i risiko- og trusselsbilledet.
For at skabe den fornødne ensartethed og koordination på tværs af de enkelte
sektorer, vil Beredskabsstyrelsen have en koordinerende rolle i forhold til
de enkelte ressortministerier. Beredskabsstyrelsen vil således skulle sikre
koordination på tværs i forbindelse med de enkelte ressortministeriers ud-
stedelse af de bekendtgørelser, der vil konkretisere lovens krav til bl.a. mod-
standsdygtighedsforanstaltninger. Desuden vil Beredskabsstyrelsen skulle
sikre koordination af myndighedernes tilsynsarbejde.
Ved implementeringen tages der således hensyn til, at det er ressortministe-
rierne og de sektoransvarlige myndigheder, der med deres indgående kend-
skab til forholdene i de enkelte sektorer har de bedste forudsætninger for at
sikre, at direktivet udmøntes på den måde, der er mest hensigtsmæssig for
at styrke de kritiske enheders modstandsdygtighed i de omfattede sektorer.
72
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Herudover lægger Forsvarsministeriet ved implementeringen af CER-direk-
tivet vægt på, at implementeringen sker i overensstemmelse med regerin-
gens principper for implementering af erhvervsrettet EU-regulering, hvor-
efter den nationale regulering som udgangspunkt ikke bør gå videre end mi-
nimumskravene i EU-reguleringen. Dermed pålægges danske virksomheder
ikke flere byrder som følge af implementeringen end andre europæiske virk-
somheder. Samtidig lægger Forsvarsministeriet vægt på i videst muligt om-
fang at foretage en direktivnær implementering.
2.4.2. Myndighedsstruktur
2.4.2.1. Nationale myndigheder og myndighedsansvar
CER-direktivet forpligter medlemsstaterne til at oprette eller udpege en eller
flere nationale kompetente myndigheder samt etablere et nationalt centralt
kontaktpunkt.
Det følger af CER-direktivets artikel 9, stk. 1, at hver medlemsstat udpeger
eller opretter en eller flere kompetente myndigheder, der er ansvarlige for
korrekt anvendelse og, hvor det er nødvendigt, håndhævelse af reglerne fast-
sat i CER-direktivet på nationalt plan.
Som led i implementeringen af direktivet i dansk ret vil det påhvile de rele-
vante ressortministerier at oprette eller udpege en eller flere kompetente
myndigheder for de enkelte sektorer og delsektorer.
De kompetente myndigheder vil bl.a. have til opgave at føre tilsyn med de
kritiske enheders efterlevelse af reglerne, håndhæve reglerne og støtte de
kritiske enheder i at øge deres modstandsdygtighed samt underrette Europa-
Kommissionen om de kritiske enheder, som leverer tjenester til eller i seks
eller flere medlemsstater.
Det forudsættes, at der vil være en tæt koordination mellem de kompetente
myndigheder på tværs af ministerområder i forbindelse med tilrettelæggel-
sen af tilsynsarbejdet, således at der i videst muligt omfang anlægges en
fælles tilgang. Dette vil særligt være relevant for tilsynet med enheder, der
måtte indgå i flere forskellige sektorer, og hvor der potentielt er flere kom-
petente myndigheder, som skal føre tilsyn med samme enhed. Her vil det
eksempelvis kunne være relevant at gennemføre fælles tilsynsbesøg. Der vil
også mere generelt være mulighed for at samarbejde om tilsynsressourcer,
eksempelvis i form af et fælles sekretariat, således at de nødvendige kom-
petencer kan bringes i spil på tværs af ministerområder.
De kompetente myndigheder vil desuden have til opgave at støtte kritiske
enheder med at styrke deres modstandsdygtighed. Det berører dog ikke de
73
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
kritiske enheders eget retlige ansvar for at sikre opfyldelse af forpligtelserne
efter direktivet. Denne støtte kan omfatte udvikling af vejledningsmaterialer
og -metoder, støtte til tilrettelæggelse af øvelser for at afprøve kritiske en-
heders modstandsdygtighed, og rådgivning og uddannelse af personale i kri-
tiske enheder.
Det følger herudover af CER-direktivets artikel 9, stk. 2, at hver medlems-
stat skal udpege eller oprette et centralt kontaktpunkt til at varetage en for-
bindelsesfunktion med henblik på at sikre grænseoverskridende samarbejde
med andre medlemsstaters centrale kontaktpunkter og med Gruppen for Kri-
tiske Enheders Modstandsdygtighed, jf. afsnit 2.4.2.2 nedenfor. Hvis det er
relevant, kan en medlemsstat bestemme, at dens centrale kontaktpunkt også
udøver en forbindelsesfunktion med Europa-Kommissionen og sikrer sam-
arbejde med tredjelande.
Beredskabsstyrelsen vil varetage opgaven som centralt kontaktpunkt og vil
således skulle udøve en forbindelsesfunktion mellem de nationale kompe-
tente myndigheder og andre medlemsstaters kompetente myndigheder og,
hvor det er relevant, Europa-Kommissionen. Beredskabsstyrelsen vil også
kunne bistå de kompetente myndigheder med eventuel dialog med tredje-
lande.
Det bemærkes, at det ikke med den myndighedsstruktur, som er beskrevet i
lovforslaget, har været hensigten at udelukke, at opgaver fremadrettet vil
kunne ressortoverføres mellem ministre, samt overføres mellem myndighe-
der under den enkelte minister.
CER-direktivet forpligter desuden medlemsstaterne til at udarbejde natio-
nale strategier for styrkelse af kritiske enheders modstandsdygtighed og
medlemsstatsrisikovurderinger.
Som led i implementeringen af direktivet vil der derfor inden den 17. januar
2026 blive vedtaget en national strategi for styrkelse af kritiske enheders
modstandsdygtighed.
Det følger af CER-direktivets artikel 4, stk. 1, at den nationale strategi skal
bygge på relevante eksisterende nationale og sektorspecifikke strategier,
planer eller lignende dokumenter, der indeholder strategiske mål og politik-
foranstaltninger. Strategien skal udarbejdes med henblik på at opnå og op-
retholde en høj grad af modstandsdygtighed i kritiske enheder, og den skal
mindst omfatte de af direktivet omfattede sektorer. Strategien vil mindst
skulle indeholde de elementer, der er oplistet i CER-direktivets artikel 4,
stk. 2:
74
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
»a) strategiske mål og prioriteter med henblik på at styrke kritiske en-
heders overordnede modstandsdygtighed under hensyntagen til græn-
seoverskridende og tværsektoriel afhængighed og indbyrdes af-
hængighed.
b) en forvaltningsramme for at nå de strategiske mål og prioriteter,
herunder en beskrivelse af roller og ansvarsområder for de forskellige
myndigheder, kritiske enheder og andre parter, der er involveret i gen-
nemførelsen af strategien.
c) en beskrivelse af de foranstaltninger, der er nødvendige for at styrke
kritiske enheders overordnede modstandsdygtighed, herunder en be-
skrivelse af medlemsstatsrisikovurderingen.
d) en beskrivelse af den proces, hvorved kritiske enheder identificeres.
e) en beskrivelse af processen for støtte til kritiske enheder, herunder
foranstaltninger til styrkelse af samarbejdet mellem den offentlige
sektor på den ene side og den private sektor og offentlige og private
enheder på den anden side.
f) en liste over de vigtigste myndigheder og relevante interessenter,
ud over kritiske enheder, der er involveret i gennemførelsen af strate-
gien.
g) en politikramme for koordinering mellem de kompetente myndig-
heder i henhold til CER-direktivet og de kompetente myndigheder i
henhold til NIS 2-direktivet med henblik på udveksling af oplysninger
om cybersikkerhedsrisici, cybertrusler og cyberhændelser og ikkecy-
berrisici, -trusler og -hændelser samt udøvelse af tilsynsopgaver.
h) en beskrivelse af allerede indførte foranstaltninger, der har til for-
mål at lette opfyldelsen af forpligtelser i henhold til dette direktivs
kapitel III for små og mellemstore virksomheder i den i bilaget til
Kommissionens henstilling 2003/361/EF om definitionen af mikro-
virksomheder, små og mellemstore virksomheder anvendte betyd-
ning, som den pågældende medlemsstat har identificeret som kritiske
enheder.«
Den nationale strategi skal ajourføres mindst hvert fjerde år, og den skal
meddeles til Europa-Kommissionen inden tre måneder efter, at den er ved-
taget.
I Danmark vil der endvidere i overensstemmelse med CER-direktivets arti-
kel 5 inden den 17. januar 2026 blive udarbejdet en national risikovurdering
(medlemsstatsrisikovurdering) med henblik på at kunne identificere kritiske
enheder. Risikovurderingen skal tage højde for de relevante naturlige og
menneskeskabte risici, herunder af tværsektoriel eller grænseoverskridende
75
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
karakter. Risikovurderingen vil således bl.a. skulle tage højde for risikoen
for ulykker, naturkatastrofer, folkesundhedskriser samt hybride trusler eller
andre antagonistiske trusler, herunder terrorhandlinger.
Det følger af CER-direktivets artikel 5, stk. 1, at Europa-Kommissionen er
tillagt beføjelse til senest den 17. november 2023 at vedtage en delegeret
retsakt ved at udarbejde en ikke-udtømmende liste over væsentlige tjenester
i sektorerne og delsektorerne, der er omfattet af direktivet, og at Europa-
Kommissionens liste over væsentlige tjenester skal indgå i medlemsstater-
nes risikovurdering. Europa-Kommissionen har ved sin delegerede forord-
ning (EU) 2023/2450 af 25. juli 2023 til supplering af Europa-Parlamentets
og Rådets direktiv (EU) 2022/2557 opstillet denne ikke-udtømmende liste
over væsentlige tjenester.
Den nationale risikovurdering vil endvidere skulle leve op til de nærmere
krav, der følger af CER-direktivets artikel 5, stk. 2, hvorefter den nationale
risikovurdering mindst skal tage hensyn til:
»a) den generelle risikovurdering, som foretages i henhold til artikel
6, stk. 1, i afgørelse nr. 1313/2013/EU om styrkelse af forebyggelse
af, opbygning af beredskab til og indsats ved katastrofer i EU.
b) andre relevante risikovurderinger, der foretages i overensstem-
melse med kravene i de relevante sektorspecifikke EU-retsakter, her-
under Europa-Parlamentets og Rådets forordning (EU) 2017/1938 af
25. oktober 2017 om foranstaltninger til opretholdelse af gasforsy-
ningssikkerheden og om ophævelse af forordning (EU) nr. 994/2010,
Europa-Parlamentets og Rådets forordning (EU) 2019/941 af 5. juni
2019 om risikoberedskab i elsektoren og om ophævelse af direktiv
2005/89/EF, Europa-Parlamentets og Rådets direktiv 2007/60/EF af
23. oktober 2007 om vurdering og styring af risikoen for oversvøm-
melser og Europa-Parlamentets og Rådets direktiv 2012/18/EU af 4.
juli 2012 om kontrol med risikoen for større uheld med farlige stoffer
og om ændring og efterfølgende ophævelse af Rådets direktiv
96/82/EF.
c) de relevante risici som følge af omfanget af afhængighed mellem
de sektorer, der er anført i bilaget, herunder som følge af omfanget af
afhængighed af enheder beliggende i andre medlemsstater og tredje-
lande, og den indvirkning, som en betydelig forstyrrelse i en sektor
kan have på andre sektorer, herunder eventuelle betydelige risici for
borgerne og det indre marked
d) eventuelle oplysninger om hændelser, der er underrettet om i over-
ensstemmelse med artikel 15.«
76
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Den nationale risikovurdering skal ajourføres mindst hvert fjerde år, og in-
den tre måneder efter, at den er vedtaget, skal Europa-Kommissionen med-
deles relevante oplysninger om risikotyperne identificeret pr. sektor og del-
sektor omfattet af CER-direktivets bilag.
Relevante elementer af den nationale risikovurdering skal desuden stilles til
rådighed for de kritiske enheder, da det påhviler enhederne at tage udgangs-
punkt i risikovurderingen bl.a. i udarbejdelsen af enhedernes egne risiko-
vurderinger.
2.4.2.2. Samarbejdsforum i EU
Med CER-direktivets artikel 19 etableres i EU-regi samarbejdsforummet
Gruppen for Kritiske Enheders Modstandsdygtighed, hvor medlemsstaterne
er repræsenteret sammen med Europa-Kommissionen, der virker som for-
mand.
Gruppen for Kritiske Enheders Modstandsdygtighed har bl.a. til opgave at
bistå Europa-Kommissionen i at understøtte medlemsstaternes implemente-
ring af CER-direktivet, herunder i at styrke kritiske enheders modstands-
dygtighed og at identificere bedste praksis i forhold til udarbejdelsen af na-
tionale strategier m.v.
Beredskabsstyrelsen er Danmarks repræsentant i gruppen. Beredskabssty-
relsen er i forvejen fungerende kontaktpunkt i regi af det gældende EPCIP-
direktiv, som CER-direktivet erstatter. Der er således tale om en viderefø-
relse af eksisterende praksis.
3. Lovforslagets hovedpunkter
3.1. Identifikation af kritiske enheder
3.1.1. Gældende ret
EPCIP-direktivet fastsætter en procedure for indkredsning og udpegning af
europæisk kritisk infrastruktur i energi- og transportsektorerne, hvis forstyr-
relse eller ødelæggelse vil få betydelig grænseoverskridende indvirkning på
mindst to medlemsstater.
EPCIP-direktivet er i dansk ret implementeret sektorvist i energi- og trans-
portsektorerne, jf. nærmere herom i afsnit 2.2 ovenfor. Der er imidlertid ikke
identificeret europæisk kritisk infrastruktur i Danmark.
3.1.2. Forsvarsministeriets overvejelser
Med CER-direktivets artikel 27 ophæves EPCIP-direktivet.
77
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Det følger af CER-direktivets artikel 6, stk. 1, at medlemsstaterne senest den
17. juli 2026 skal identificere kritiske enheder i de sektorer og delsektorer,
som er nævnt i bilaget til direktivet.
Af direktivets bilag fremgår følgende sektorer: 1) Energi med delsektorerne
a) elektricitet, b) fjernvarme og fjernkøling, c) olie, d) gas og e) brint, 2)
transport med delsektorerne a) luft, b) jernbane, c) vand, d) vejtransport og
e) offentlig transport, 3) bankvirksomhed, 4) finansiel markedsinfrastruktur,
5) sundhed, 6) drikkevand, 7) spildevand, 8) digital infrastruktur, 9) offent-
lig forvaltning, 10) rummet og 11) produktion, tilvirkning og distribution af
fødevarer.
Det fremgår videre af artikel 6, stk. 2, at der ved identifikation af kritiske
enheder skal tages hensyn til resultaterne af den nationale risikovurdering
og den nationale strategi, samt at det skal indgå, om enheden leverer en eller
flere væsentlige tjenester, om enheden opererer og har sin kritiske infra-
struktur i den pågældende medlemsstat, samt om en hændelse vil have be-
tydelige forstyrrende virkninger på enhedens levering af en eller flere væ-
sentlige tjenester eller på leveringen af andre væsentlige tjenester i sekto-
rerne omfattet af direktivet, som er afhængige af denne eller disse væsent-
lige tjenester.
Kriteriet i artikel 6, stk. 2, om, hvorvidt en hændelse har væsentlige forstyr-
rende virkninger, er nærmere beskrevet i CER-direktivets artikel 7, stk. 1.
Det følger af bestemmelsen, at der ved stillingtagen til betydningen af en
forstyrrende virkning, skal tages hensyn til følgende kriterier: 1) Antal bru-
gere, der er afhængige af den væsentlige tjeneste, som udbydes af den be-
rørte enhed, 2) omfanget af andre omfattede sektorers og delsektorers af-
hængighed af den pågældende væsentlige tjeneste, 3) den indvirkning, som
hændelser kunne have med hensyn til omfang og varighed på økonomiske
og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed eller be-
folkningens sundhed, 4) enhedens markedsandel på markedet for den be-
rørte væsentlige tjeneste eller de berørte væsentlige tjenester, 5) det geogra-
fiske område, der kunne blive berørt af en hændelse, herunder eventuel
grænseoverskridende indvirkning, under hensyntagen til den sårbarhed, som
er forbundet med den grad af afsondrethed, der kendetegner visse typer af
geografiske områder, såsom ø-regioner, afsidesliggende regioner eller
bjergområder, og 6) enhedens betydning med hensyn til at opretholde et til-
strækkeligt niveau for den væsentlige tjeneste under hensyntagen til tilgæn-
gelighed af alternative måder at levere denne væsentlige tjeneste på.
Det er Forsvarsministeriets opfattelse, at de relevante ministre bør have mu-
lighed for i sektorspecifikke bekendtgørelser at fastsætte nærmere regler om
identifikation af kritiske enheder, som kan målrettes de enkelte sektorer. I
78
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
reglerne vil det eksempelvis kunne være relevant at angive, hvilke sektor-
specifikke forhold, der vil blive inddraget i vurderingen af, om en hændelse
vil kunne have væsentlig forstyrrende virkning på leveringen af en væsentlig
tjeneste, herunder tærskler for antallet af brugere, den kritiske enheds mar-
kedsandel og det relevante geografiske område. Det bemærkes i den forbin-
delse, at det fremgår af CER-direktivets artikel 7, stk. 2, litra c, at Europa-
Kommissionen efter identifikationen af kritiske enheder bl.a. skal oplyses
om eventuelle tærskler, der anvendes til at specificere et eller flere af direk-
tivets kriterier i artikel 7, stk. 1. Det synes således specifikt forudsat i direk-
tivet, at det kan være relevant at specificere tærskelværdier for vurderingen
af betydningen af en forstyrrende virkning. Det følger desuden af CER-di-
rektivets artikel 6, stk. 6, at Europa-Kommissionen i samarbejde med med-
lemsstaterne udarbejder henstillinger og ikke-bindende retningslinjer for at
bistå medlemsstaterne med at identificere kritiske enheder. Disse henstillin-
ger og retningslinjer vil i relevant omfang kunne indgå i fastsættelsen af
nærmere regler om identifikationen af kritiske enheder.
Medlemsstaterne skal efter CER-direktivets artikel 6, stk. 3, udarbejde en
liste over identificerede kritiske enheder.
CER-direktivets artikel 6, stk. 3, fastsætter desuden bl.a., at kritiske enheder
inden for en måned efter, at de er identificeret som sådanne, skal underrettes
herom, og om de forpligtelser identifikationen medfører. De kritiske enhe-
der skal endvidere underrettes om, fra hvilken dato forpligtelserne finder
anvendelse. Efter CER-direktivets artikel 6, stk. 3, finder direktivets kapitel
III om kritiske enheders modstandsdygtighed – der bl.a. omhandler kritiske
enheders risikovurdering og modstandsdygtighedsforanstaltninger, bag-
grundskontrol, og enhedernes underretning om hændelser – anvendelse fra
10 måneder efter datoen for underretningen. Det fremgår dog særskilt af
CER-direktivets artikel 12, stk. 1, at kritiske enheder inden ni måneder efter
datoen for underretningen skal have foretaget deres risikovurdering.
Det følger af CER-direktivets artikel 17, stk. 2, at identificerede kritiske en-
heder skal underrette den kompetente myndighed, såfremt enheden leverer
væsentlige tjenester til eller i seks eller flere EU-medlemsstater. Enhederne
skal i den forbindelse oplyse, hvilke væsentlige tjenester de leverer, samt
hvilke EU-medlemsstater tjenesterne leveres til eller i. Det følger videre af
artikel 17, stk. 3, jf. stk. 2, 2. led, at hvis Europa-Kommissionen på baggrund
af en konsultation med de relevante medlemsstater konstaterer, at den be-
rørte enhed leverer væsentlige tjenester til eller i seks eller flere medlems-
stater, så underretter den kompetente myndighed enheden om, at den anses
for at være en kritisk enhed af særlig europæisk betydning.
Efter CER-direktivets artikel 1, stk. 6, finder direktivet ikke anvendelse på
offentlige forvaltningsenheder, som udfører aktiviteter inden for national
79
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder ef-
terforskning, afsløring og retsforfølgning af strafbare handlinger. Der skal
således ikke identificeres kritiske enheder blandt sådanne offentlige forvalt-
ningsenheder.
3.1.3. Den foreslåede ordning
Det foreslås, at CER-direktivets bestemmelser om identifikation af kritiske
enheder minimumsimplementeres i overensstemmelse med regeringens
principper for implementering af erhvervsrettet EU-regulering, hvorefter
den nationale regulering som udgangspunkt ikke bør gå videre end mini-
mumskravene i EU-reguleringen.
Det foreslås på den baggrund, at der indsættes bestemmelser som gennem-
fører CER-direktivets artikel 6, stk. 1-3, og artikel 7, stk. 1, ved at de rele-
vante ministre inden for deres respektive områder træffer afgørelse om iden-
tifikation og afidentifikation af kritiske enheder, der er omfattet af enheds-
kategorierne i lovens bilag 2. Det bemærkes i den forbindelse, at vedkom-
mende minister i overensstemmelse med de almindelige forvaltningsretlige
principper om delegation kan beslutte at delegere sin kompetence til en un-
derliggende myndighed, herunder en udpeget kompetent myndighed.
Det foreslås, at der ved identifikation af en kritisk enhed skal lægges vægt
på den nationale strategi for styrkelse af kritiske enheders modstandsdygtig-
hed, den nationale risikovurdering med henblik på identifikation af kritiske
enheder, om enheden leverer en eller flere væsentlige tjenester, om enheden
opererer i og har sin kritiske infrastruktur beliggende på dansk territorium
samt om en hændelse vil have betydelig forstyrrende virkning på enhedens
levering af en eller flere væsentlige tjenester eller på leveringen af andre
væsentlige tjenester i de sektorer, der er omfattet af CER-direktivet, jf. lo-
vens bilag 1, som er afhængige af denne eller disse væsentlige tjenester.
Ved fastlæggelse af, om en hændelse vil have betydelig forstyrrende virk-
ning, vil der skulle lægges vægt på en række nærmere oplistede hensyn, her-
under antallet af brugere, der er afhængige af den væsentlige tjeneste, som
udbydes af den berørte enhed, og omfanget af andre sektorers og delsekto-
rers afhængighed af den pågældende væsentlige tjeneste.
Der vil endvidere skulle lægges vægt på den indvirkning, som hændelser
kan have med hensyn til omfang og varighed på økonomiske og samfunds-
mæssige aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens
sundhed, ligesom der vil skulle lægges vægt på enhedens markedsandel på
markedet for den eller de berørte væsentlige tjenester, det geografiske om-
råde, der kan blive berørt af en hændelse, herunder eventuel grænseover-
skridende indvirkning og enhedens betydning med hensyn til at opretholde
80
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
et tilstrækkeligt niveau for den væsentlige tjeneste under hensyntagen til til-
gængelighed af alternative måder at levere denne væsentlige tjeneste på.
Med henblik på at kunne foretage denne vurdering foreslås det, at vedkom-
mende minister kan kræve, at enheder fremlægger materiale og oplysninger,
der er nødvendige for stillingtagen til, om en enhed skal identificeres som
kritisk.
Det foreslås herudover, at vedkommende minister vil kunne træffe afgørelse
om afidentificering, såfremt en enhed ikke længere anses for at være en kri-
tisk enhed, eksempelvis fordi enhedens markedsandel er faldet.
Det foreslås desuden, at vedkommende minister inden for sit område skal
kunne fastsætte nærmere regler om identifikation af kritiske enheder, her-
under bl.a. sektorspecifikke tærskler for de forhold, der kan inddrages i vur-
deringen af, om en hændelse vil kunne have væsentlig forstyrrende virkning
på leveringen af en væsentlig tjeneste herunder antallet af brugere, den kri-
tiske enheds markedsandel og det relevante geografiske område.
Det foreslås endvidere, at vedkommende minister inden for en måned efter
identifikation af en kritisk enhed skal orientere enheden om dens forpligtel-
ser, samt om fra hvilken dato forpligtelserne finder anvendelse. I praksis vil
orienteringen om den kritiske enheds forpligtelser typisk fremgå af den af-
gørelse om identifikation af enheden, som vedkommende minister træffer,
og som vil skulle meddeles enheden for at få retsvirkning.
De almindelige forvaltningsretlige regler og principper vil være gældende,
idet identifikation af en kritisk enhed vil være en afgørelse i forvaltningsret-
lig forstand. Det medfører bl.a., at en enhed vil kunne påklage en afgørelse
om identifikation eller afidentifikation som kritisk enhed til en højere admi-
nistrativ myndighed efter de almindelige forvaltningsretlige principper om
administrativ rekurs.
I overensstemmelse med direktivets artikel 17 foreslås det, at kritiske enhe-
der, som leverer de samme eller lignende væsentlige tjenester til eller i seks
eller flere medlemsstater, betragtes som kritiske enheder af særlig europæisk
betydning. Med henblik på at kunne foretage denne vurdering, vil kritiske
enheder skulle underrette den kompetente myndighed, såfremt de leverer
væsentlige tjenester til eller i seks eller flere EU-medlemsstater. Såfremt en
kritisk enhed på den baggrund identificeres som kritisk enhed af særlig eu-
ropæisk betydning, vil den kompetente myndighed uden unødigt ophold
skulle underrette enheden herom, samt om dens forpligtelser efter den fore-
slåede § 17 og om fra hvilken dato disse forpligtelser finder anvendelse.
Der henvises i øvrigt til bemærkningerne til de foreslåede §§ 1, 3 og 4.
81
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
3.2. Kritiske enheders risikovurdering og modstandsdygtigheds-
foranstaltninger
3.2.1. Gældende ret
EPCIP-direktivets artikel 5 fastsætter krav om, at operatørerne skal udar-
bejde en sikkerhedsplan for deres del af den europæiske kritiske infrastruk-
tur i energi- og transportsektorerne, hvis forstyrrelse eller ødelæggelse vil få
betydelig grænseoverskridende indvirkning på mindst to medlemsstater.
Kravene til sikkerhedsplanen omfatter overordnet en forpligtelse til at iden-
tificere vigtige aktiver, gennemføre en risikoanalyse og etablere relevante
sikkerhedsforanstaltninger til sikring af den kritiske infrastruktur.
Sikkerhedsplanerne skal indsendes til medlemsstaterne, som i medfør af
EPCIP-direktivets artikel 7, stk. 1, udarbejder generelle risiko- og sårbar-
hedsanalyser for hver sektor.
EPCIP-direktivet er i dansk ret implementeret sektorvist i energi- og trans-
portsektorerne, jf. nærmere herom i afsnit 2.3 ovenfor. Der er ikke identifi-
ceret europæisk kritisk infrastruktur i Danmark.
Efter § 24 i beredskabsloven, jf. lovbekendtgørelse nr. 314 af 3. april 2017,
gælder der en forpligtelse for de enkelte ministre til inden for deres område
hver især at planlægge for opretholdelse og videreførelse af samfundets
funktioner i tilfælde af større ulykker og katastrofer.
Bestemmelserne i beredskabsloven om beredskabsplanlægning inden for
den civile sektor er af generel karakter. De forudsættes suppleret med lov-
givning inden for de enkelte ministerområder for at regulere særlige bered-
skabsmæssige forhold m.v. på de pågældende områder. Det påhviler således
efter den nuværende beredskabslovgivning de enkelte ministre i overens-
stemmelse med sektoransvaret at sikre, at lovgivning inden for de respektive
ministerområder indeholder de fornødne bestemmelser til regulering af be-
redskabsmæssige forhold m.v. Heri indgår en pligt til inden for den enkelte
ministers område at vurdere behovet for beredskabsplanlægning for enhe-
der, der er nødvendige for opretholdelse og videreførelse af samfundets
funktion.
Derudover kan vedkommende minister efter beredskabslovens § 28, stk. 1,
pålægge offentlige myndigheder og offentlige og private virksomheder at
yde bistand ved planlægningen eller udførelsen af opgaver inden for bered-
skabet.
82
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
3.2.2. Forsvarsministeriets overvejelser
Med CER-direktivets artikel 27 ophæves EPCIP-direktivet.
CER-direktivets artikel 12 indeholder overordnet en forpligtelse for kritiske
enheder til at foretage en risikovurdering for at vurdere alle relevante risici,
der kan forstyrre leveringen af enhedens væsentlige tjenester. Risikovurde-
ringen skal foretages inden for ni måneder efter enhedens identifikation som
kritisk enhed, når det er nødvendigt efterfølgende, og mindst hvert fjerde år.
Kritiske enheders risikovurderinger skal bl.a. bygge på den nationale risiko-
vurdering og tage højde for alle relevante naturlige og menneskeskabte ri-
sici, der kan føre til en hændelse. Derudover skal risikovurderingen tage
hensyn til den gensidige afhængighed, der kan bestå mellem den pågæl-
dende kritiske enhed og andre kritiske enheder i samme eller andre sektorer
i andre medlemsstater og i tredjelande.
Har en kritisk enhed allerede foretaget andre risikovurderinger eller udar-
bejdet dokumenter i henhold til forpligtelser i andre retsakter, der er rele-
vante for dens risikovurdering, kan den kritiske enhed anvende sådanne vur-
deringer og dokumenter til at opfylde forpligtelsen til at foretage en risiko-
vurdering.
Risikovurderingen skal indgå som grundlag for den kritiske enheds arbejde
med modstandsdygtighedsforanstaltninger.
CER-direktivets artikel 13, stk. 1, indeholder overordnet en forpligtelse til,
at kritiske enheder på grundlag af relevante oplysninger i den nationale risi-
kovurdering og de kritiske enheders egen risikovurdering skal træffe pas-
sende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske
foranstaltninger for at sikre deres modstandsdygtighed.
Modstandsdygtighedsforanstaltningerne skal omfatte foranstaltninger, der
er nødvendige for at a) forhindre hændelser i at indtræffe under behørig hen-
syntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger,
b) sikre tilstrækkelig fysisk beskyttelse af enhedens lokaler og kritiske in-
frastruktur under behørig hensyntagen til f.eks. hegn, barrierer, værktøjer og
rutiner til overvågning af perimetre, detektionsudstyr og adgangskontrol, c)
reagere på, modstå og afbøde følgerne af hændelser under behørig hensyn-
tagen til gennemførelsen af risiko- og krisestyringsprocedurer og -protokol-
ler samt varslingsrutiner, d) sikre genopretning efter hændelser under behø-
rig hensyntagen til forretningskontinuitetsforanstaltninger og identifikation
af alternative forsyningskæder for at genoptage leveringen af væsentlige tje-
nester, e) sikre passende medarbejdersikkerhedsstyring under behørig hen-
syntagen til foranstaltninger såsom fastsættelse af kategorier af personale,
83
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
der udøver kritiske funktioner, fastlæggelse af adgangsrettigheder til loka-
ler, kritisk infrastruktur og følsomme oplysninger, fastlæggelse af procedu-
rer for baggrundskontrol og udpegelse af kategorier af personer, som er for-
pligtet til at gennemgå sådan baggrundskontrol, samt fastlæggelse af pas-
sende uddannelseskrav og kvalifikationer, og f) øge bevidstheden blandt det
relevante personale om de foranstaltninger, der er omhandlet i litra a-e, un-
der behørig hensyntagen til uddannelseskurser, informationsmateriale og
øvelser.
I relation til bestemmelsens litra e om fastsættelse af kategorier af personale,
som udøver kritiske funktioner, følger det af direktivet, at kritiske enheder
skal tage hensyn til eksterne tjenesteudbyderes personale.
CER-direktivets artikel 13, stk. 2, indebærer herudover, at kritiske enheder
skal beskrive de foranstaltninger, som de træffer, i en plan for modstands-
dygtighed eller i et eller flere dokumenter, der svarer til en plan for mod-
standsdygtighed, og anvende denne plan i praksis. Har kritiske enheder ud-
arbejdet dokumenter eller truffet foranstaltninger i henhold til forpligtelser
i andre retsakter, der er relevante for foranstaltningerne omhandlet i stk. 1,
kan de anvende disse dokumenter og foranstaltninger til at opfylde de krav,
der er fastsat heri.
Det følger af direktivets artikel 6, stk. 4, at bl.a. reglerne om modstandsdyg-
tighedsforanstaltninger finder anvendelse fra 10 måneder efter datoen for
enhedens modtagelse af underretning om at være identificeret som kritisk
enhed.
Det følger af direktivets artikel 13, stk. 6, at Europa-Kommissionen vedta-
ger gennemførelsesretsakter med henblik på at fastsætte de nødvendige tek-
niske og metodiske specifikationer vedrørende anvendelsen af de i artikel
13, stk. 1, omhandlende modstandsdygtighedsforanstaltninger.
Det er Forsvarsministeriets opfattelse, at CER-direktivets krav om kritiske
enheders risikovurdering og modstandsdygtighedsforanstaltninger bør kon-
kretiseres nærmere, således at der ved implementeringen fastsættes tydeli-
gere krav til de omfattede enheder. Dermed skabes dels forudsætningerne
for etablering af modstandsdygtighed hos kritiske enheder, dels en større
grad af forudsigelighed for de omfattede enheder.
Der lægges således op til, at loven suppleres af sektorspecifikke bekendtgø-
relser. Dermed kan dele af loven blive nærmere konkretiseret, hvilket vil
skabe en klarere ramme for de berørte enheder samtidig med, at reglerne vil
kunne tage højde for særlige sektorspecifikke forhold.
84
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Det er Forsvarsministeriets opfattelse, at en sådan konkretisering bør ske i
bekendtgørelsesform med henblik på at sikre, at der løbende og smidigt kan
ske en tilpasning af kravene i takt med udviklingen i trusselsbilledet. Reg-
lerne bør udstedes af de enkelte ressortministre for deres respektive ressort-
områder.
3.2.3. Den foreslåede ordning
Det foreslås, at CER-direktivets bestemmelser om kritiske enheders risiko-
vurdering og modstandsdygtighedsforanstaltninger minimumsimplemente-
res i overensstemmelse med regeringens principper for implementering af
erhvervsrettet EU-regulering, hvorefter den nationale regulering som ud-
gangspunkt ikke bør gå videre end minimumskravene i EU-reguleringen.
For så vidt angår enhedernes risikovurdering foreslås det, at kritiske enheder
skal foretage en risikovurdering med henblik på at vurdere alle relevante
risici, der kan forstyrre leveringen af deres væsentlige tjenester.
Det foreslås også, at risikovurderingen skal foretages på grundlag af den
nationale risikovurdering og andre relevante informationskilder, og den skal
tage højde for alle relevante naturlige og menneskeskabte risici, der kan føre
til en hændelse.
Risikovurderingen skal endvidere tage hensyn til det omfang, i hvilket andre
sektorer omfattet af CER-direktivet, jf. lovens bilag 1, afhænger af den kri-
tiske enheds væsentlige tjeneste, og det omfang i hvilket den kritiske enhed
afhænger af væsentlige tjenester, der leveres af andre enheder i andre sekto-
rer omfattet af CER-direktivet, jf. lovens bilag 1, herunder i andre lande.
Risikovurderingen vil skulle være gennemført inden ni måneder efter, at den
kritiske enhed har modtaget underretning om at være identificeret som så-
dan, og den vil skulle opdateres når det er nødvendigt, og mindst hvert fjerde
år.
Ved gennemførelse af en risikovurdering vil kritiske enheder skulle anlægge
en bred vurdering af, hvilke risici der kan være relevante for den pågældende
kritiske enhed. Ud over den nationale risikovurdering vil enheden i relevant
omfang også skulle inddrage andre informationskilder.
Det foreslås i den forbindelse, at vedkommende minister inden for sit om-
råde kan fastsætte nærmere regler om kritiske enheders risikovurdering, så-
ledes at der under hensyntagen til sektorspecifikke forhold kan ske en kon-
kretisering af kravene til enhedernes risikovurdering.
85
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Bekendtgørelser, der konkretiserer lovforslagets regler om enhedernes risi-
kovurdering, vil skulle udarbejdes inden for rammerne af en minimumsim-
plementering af direktivet.
For så vidt angår enhedernes modstandsdygtighedsforanstaltninger, foreslås
det, at kritiske enheder skal træffe passende og forholdsmæssige tekniske,
sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre deres
modstandsdygtighed.
Foranstaltningerne vil skulle træffes på grundlag af den nationale risikovur-
dering og den kritiske enheds egen risikovurdering.
I overvejelserne om, hvilke foranstaltninger det er nødvendigt at træffe, vil
det skulle indgå, hvilke foranstaltninger der er nødvendige for at forhindre
hændelser i at indtræffe, for at sikre tilstrækkelig fysisk beskyttelse af enhe-
dens lokaler og kritiske infrastruktur og for at reagere på, modstå og afbøde
følgerne af eller sikre genopretning efter hændelser.
Det vil endvidere skulle indgå, hvilke foranstaltninger der er nødvendige for
at sikre passende medarbejdersikkerhedsstyring eller for at øge bevidsthe-
den blandt det relevante personale om de modstandsdygtighedsforanstalt-
ninger, der i øvrigt er truffet.
Det foreslås endvidere, at kritiske enheder skal have og anvende en plan
eller lignende for modstandsdygtighed, som beskriver, hvilke foranstaltnin-
ger den kritiske enhed har truffet for at sikre sin modstandsdygtighed.
Modstandsdygtighedsforanstaltningerne og planen for modstandsdygtighed
vil skulle være gennemført inden 10 måneder efter, at den kritiske enhed har
modtaget underretning om at være identificeret som sådan.
Endelig foreslås det, at vedkommende minister inden for sit ressortområde
kan fastsætte nærmere regler om kritiske enheders modstandsdygtigheds-
foranstaltninger. Kravene vil herved løbende kunne tilpasses i forhold til de
sektorspecifikke forhold, som gør sig gældende på de respektive minister-
områder.
Bekendtgørelser, der konkretiserer lovforslagets regler om enhedernes mod-
standsdygtighedsforanstaltninger, vil skulle udarbejdes inden for rammerne
af en minimumsimplementering af direktivet.
Såfremt Europa-Kommissionens gennemførelsesretsakter om anvendelsen
af modstandsdygtighedsforanstaltninger foreligger på tidspunktet for udste-
delsen af bekendtgørelserne, vil bekendtgørelserne skulle tage højde for ind-
86
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
holdet af de tekniske og metodiske specifikationer, der fremgår heraf. Så-
fremt gennemførelsesretsakterne først foreligger på et senere tidspunkt, vil
bekendtgørelserne i relevant omfang skulle justeres på baggrund heraf, så-
ledes at det sikres, at de er i overensstemmelse med de rammer, der måtte
følge af Europa-Kommissionens retsakter. Såfremt gennemførelsesretsak-
terne måtte regulere området fuldt ud, vil allerede udstedte bekendtgørelser
i givet fald skulle ophæves.
Der henvises i øvrigt til bemærkningerne til de foreslåede §§ 5 og 6.
3.3. Kritiske enheders hændelsesunderretninger
3.3.1. Gældende ret
EPCIP-direktivet fastsætter i artikel 6, at ejere og operatører af europæisk
kritisk infrastruktur skal udpege en sikkerhedsforbindelsesofficer, der fun-
gerer som kontaktpunkt i forbindelse med sikkerhedsmæssige spørgsmål
mellem ejeren og operatøren af den europæiske kritiske infrastruktur og
medlemsstatens relevante myndighed.
Endvidere fremgår det bl.a. af EPCIP-direktivet, at hver medlemsstat indfø-
rer en passende kommunikationsmekanisme mellem medlemsstatens rele-
vante myndighed og sikkerhedsforbindelsesofficeren eller tilsvarende med
henblik på at udveksle relevante oplysninger om de identificerede risici og
trusler i forbindelse med den pågældende europæiske kritiske infrastruktur.
Direktivet indeholder derimod ikke en forpligtelse for ejere og operatører til
at underrette myndighederne om hændelser.
EPCIP-direktivet er i dansk ret implementeret sektorvist i energi- og trans-
portsektorerne, jf. nærmere herom i afsnit 2.3 ovenfor. Der er ikke identifi-
ceret europæisk kritisk infrastruktur i Danmark.
3.3.2. Forsvarsministeriets overvejelser
Med CER-direktivets artikel 27 ophæves EPCIP-direktivet.
CER-direktivets artikel 15, stk. 1, fastsætter, at kritiske enheder uden unø-
digt ophold skal underrette den kompetente myndighed om hændelser, der i
betydelig grad forstyrrer eller har potentiale til at forstyrre leveringen af væ-
sentlige tjenester. Direktivet fastsætter nærmere frister for enhedernes un-
derretninger samt visse kriterier, der skal tages i betragtning ved vurderin-
gen af en hændelses forstyrrende virkning, herunder a) antallet og andelen
af brugere, der er berørt af forstyrrelsen, b) forstyrrelsens varighed og c) det
geografiske område, der er berørt af forstyrrelsen, idet der tages hensyn til,
om det er et geografisk isoleret område.
87
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Henset til kriteriernes skønsprægede karakter opfatter Forsvarsministeriet
det som hensigtsmæssigt, at der gives mulighed for at fastsætte nærmere
sektorvise regler om, hvornår en hændelse har eller kan have sådanne for-
styrrende virkninger, som medfører, at der skal foretages en underretning.
Dermed vil der kunne fastsættes nærmere kriterier, som gør det tydeligere
for de omfattede kritiske enheder, hvornår de er forpligtet til at underrette
om en hændelse.
Det følger videre af CER-direktivets artikel 15, stk. 2, at underretninger om
hændelser skal indeholde alle de tilgængelige oplysninger, der er nødven-
dige for, at den kompetente myndighed kan forstå hændelsens art, årsag og
mulige konsekvenser, herunder alle tilgængelige oplysninger, der er nød-
vendige for at fastslå hændelsens eventuelle grænseoverskridende indvirk-
ning.
Da det kan være vanskeligt for enhederne at vurdere, hvilke oplysninger der
er nødvendige at medtage i en underretning, opfatter Forsvarsministeriet det
som hensigtsmæssigt, at der gives mulighed for at fastsætte nærmere sek-
torvise regler om, hvilke kategorier af oplysninger der skal indgå i en un-
derretning.
Det følger af CER-direktivets artikel 15, stk. 4, at så snart som muligt efter
modtagelse af en underretning som omhandlet i artikel 15, stk. 1, giver den
kompetente myndighed den berørte kritiske enhed relevante opfølgende op-
lysninger, herunder oplysninger, som kunne understøtte en effektiv reaktion
fra denne kritiske enhed på den pågældende hændelse.
Det følger endvidere af artiklen, at den kompetente myndighed kan orientere
offentligheden om en hændelse, hvis det vil være i offentlighedens interesse.
Det er Forsvarsministeriets opfattelse, at det vil skulle sikres, at offentlighe-
den i givet fald informeres på en måde, som ikke kompromitterer fortrolige
oplysninger, herunder kommercielt fortrolige oplysninger.
3.3.3. Den foreslåede ordning
Det foreslås, at CER-direktivets bestemmelser om kritiske enheders under-
retning om hændelser minimumsimplementeres i overensstemmelse med re-
geringens principper for implementering af erhvervsrettet EU-regulering,
hvorefter den nationale regulering som udgangspunkt ikke bør gå videre end
minimumskravene i EU-reguleringen.
Det foreslås på den baggrund, at en kritisk enhed skal underrette den rele-
vante kompetente myndighed om hændelser, der i betydelig grad forstyrrer
88
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
eller har potentiale til i betydelig grad at forstyrre leveringen af væsentlige
tjenester.
For at vurdere en forstyrrelses omfang skal en kritisk enhed navnlig tage
følgende kriterier i betragtning: Antallet og andelen af brugere, der er berørt
af forstyrrelsen, forstyrrelsens varighed og det geografiske område, der er
berørt af forstyrrelsen, idet der tages hensyn til, om det er et geografisk iso-
leret område.
Det foreslås i den forbindelse, at vedkommende minister inden for sit res-
sortområde kan fastsætte nærmere regler om de kriterier, der skal tages i
betragtning ved vurderingen af en hændelses (potentielt) forstyrrende virk-
ninger. Formålet med reglerne vil være at præcisere lovens krav med hen-
blik på at skabe en større grad af forudsigelighed for de kritiske enheder,
eksempelvis ved fastsættelse af kvantitative eller i øvrigt objektivt konsta-
terbare kriterier. Det foreslås, at reglerne fastsættes sektorvist for at kunne
tage højde for særlige sektorvise forhold.
Det foreslås, at underretninger om hændelser til den kompetente myndighed
skal indeholde alle tilgængelige oplysninger, der er nødvendige, for at den
kompetente myndighed kan forstå hændelsens art, årsag og mulige konse-
kvenser, herunder alle tilgængelige oplysninger, der er nødvendige for at
fastslå hændelsens eventuelle grænseoverskridende indvirkning.
Det foreslås endvidere, at underretning af de kompetente myndigheder skal
ske senest 24 timer efter, at den kritiske enhed er blevet opmærksom på
hændelsen. Efter anmodning fra den kompetente myndighed skal den kriti-
ske enhed senest en måned efter hændelsen sende en detaljeret rapport til
den kompetente myndighed.
Endelig foreslås det, at den kompetente myndighed snarest muligt efter
modtagelse af en underretning giver den berørte kritiske enhed relevante
opfølgende oplysninger, herunder oplysninger som kan understøtte en ef-
fektiv reaktion fra den kritiske enhed på den pågældende tjeneste, og at den
kompetente myndighed kan orientere offentligheden om en hændelse, hvis
det vil være i offentlighedens interesse.
En kompetent myndighed skal ved overvejelse om orientering af offentlig-
heden om en hændelse sikre, at de hensyn til fortrolighed, der fremgår af
forvaltningslovens § 27 om offentligt ansattes tavshedspligt, iagttages. Dette
omfatter bl.a. hensynet til enkeltpersoners private forhold, forretningshem-
meligheder samt hensynet til forebyggelse, efterforskning og forfølgning af
lovovertrædelser. Skyldes en hændelse strafbare forhold eller mistanke
herom, må en kompetent myndigheds opfølgende oplysninger ikke vanske-
liggøre eller forhindre efterforskningen.
89
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Der henvises i øvrigt til bemærkningerne til de foreslåede §§ 7 og 8.
3.4. Tilsyn og håndhævelse
3.4.1. Gældende ret
EPCIP-direktivet indeholder ikke generelle regler om tilsyn og håndhæ-
velse.
3.4.2. Forsvarsministeriets overvejelser
Med CER-direktivets artikel 27 ophæves EPCIP-direktivet.
Der er i CER-direktivets artikel 21 fastsat bestemmelser om tilsyn og hånd-
hævelse.
Medlemsstaterne forpligtes efter artikel 21, stk. 1, til at sikre, at deres kom-
petente myndigheder har beføjelser og midler til dels at foretage inspektio-
ner på stedet af den kritiske infrastruktur og af de lokaler, som den kritiske
enhed anvender til at levere sine væsentlige tjenester.
Det er Forsvarsministeriets opfattelse, at såfremt en enhed ikke giver adgang
til lokaler eller infrastruktur, vil dette skulle kunne straffes med bøde. Det
er på den baggrund Forsvarsministeriets opfattelse, at en effektiv tilsynsord-
ning dermed ikke vil forudsætte at de kompetente myndigheder gives ad-
gang til lokaler og infrastruktur uden retskendelse.
Det følger endvidere af artikel 21, stk. 1, at de kompetente myndigheder skal
kunne udøve eksternt tilsyn med de modstandsdygtighedsforanstaltninger,
som kritiske enheder har foretaget. De kompetente myndigheder skal også
kunne foretage eller kræve revision af kritiske enheder.
Det er herudover fastsat i artikel 21, stk. 2, at medlemsstaterne skal sikre, at
de kompetente myndigheder, hvor det er nødvendigt, har beføjelser og mid-
ler til at forlange, at enheder, der er omfattet af NIS 2-direktivet, og som er
identificeret som kritiske enheder efter CER-direktivet, inden for en rimelig
tidsfrist giver de oplysninger, der er nødvendige for at vurdere, hvorvidt de
kritiske enheders modstandsdygtighedsforanstaltninger opfylder kravene
hertil, og giver dokumentation for den faktiske gennemførelse af foranstalt-
ningerne, herunder resultaterne af en revision foretaget af en uafhængig og
kvalificeret revisor udvalgt af den kritiske enhed og foretaget på dennes reg-
ning. En kompetent myndighed skal, når der anmodes om oplysninger, an-
give formålet dermed og hvilke oplysninger, der kræves.
90
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
En kompetent myndighed kan efter artikel 21, stk. 3, på baggrund af tilsyns-
foranstaltninger eller vurderingen af de oplysninger, en kritisk enhed har
meddelt, pålægge en kritisk enhed at træffe de nødvendige og forholdsmæs-
sige foranstaltninger for at afhjælpe enhver konstateret overtrædelse inden
for en rimelig frist, der fastsættes af de kompetente myndigheder. Enhederne
kan endvidere pålægges at give de kompetente myndigheder oplysninger
om de trufne foranstaltninger. Påbuddene skal navnlig tage hensyn til over-
trædelsens grovhed.
Direktivet fastsætter i artikel 21, stk. 4, at der skal være passende beskyttel-
sesforanstaltninger for sikring af enhedernes rettigheder og legitime interes-
ser ved de kompetente myndigheders udøvelse af deres beføjelser.
3.4.3. Den foreslåede ordning
Det foreslås, at CER-direktivets bestemmelser om de kompetente myndig-
heders tilsyns- og håndhævelsesbeføjelser minimumsimplementeres i over-
ensstemmelse med regeringens principper for implementering af erhvervs-
rettet EU-regulering, hvorefter den nationale regulering som udgangspunkt
ikke bør gå videre end minimumskravene i EU-reguleringen.
Konkret foreslås det, at den kompetente myndighed med henblik på at vur-
dere, om en kritisk enhed opfylder sine forpligtelser i henhold til denne lov
og regler fastsat i medfør heraf, kan foretage inspektioner på stedet af den
kritiske infrastruktur og af de lokaler, som den kritiske enhed anvender til
at levere sine væsentlige tjenester, og at den kompetente myndighed kan
foretage en audit af en kritisk enhed eller stille krav om, at enheden får et
kvalificeret uafhængigt organ til at foretage denne, og at resultaterne heraf
stilles til rådighed for den kompetente myndighed.
Det foreslås herudover, at den kompetente myndighed kan kræve at få ud-
leveret oplysninger, der er nødvendige for at vurdere, hvorvidt de mod-
standsdygtighedsforanstaltninger, den berørte enhed har indført, opfylder
kravene dertil, og kræve at få adgang til data, dokumenter og oplysninger,
der er nødvendige for udførelsen af tilsynsopgaven, samt kræve at få udle-
veret dokumentation for faktisk gennemførelse af modstandsdygtighedsfor-
anstaltninger, herunder resultaterne af en audit.
Det foreslås i den forbindelse, at den kompetente myndighed skal angive
formålet med de stillede krav og præcisere, hvilke oplysninger der kræves
udleveret, og at den kompetente myndighed kan stille nærmere krav til,
hvordan og i hvilken form en kritisk enhed skal afgive de pågældende op-
lysninger og materiale.
91
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Det bemærkes, at almindelige forvaltningsretlige principper om proportio-
nalitet og fastsættelse af tidsfrister for afgivelse af oplysninger m.v. vil være
normerende for en kompetent myndigheds anmodning om oplysninger m.v.
Derudover foreslås det, at en kompetent myndighed på baggrund af et til-
synsbesøg eller modtagne oplysninger kan påbyde en kritisk enhed at træffe
nødvendige og forholdsmæssige foranstaltninger for at afhjælpe en konsta-
teret overtrædelse af loven eller regler fastsat i medfør af loven.
Det bemærkes i den forbindelse, at der ved udstedelse af et påbud navnlig
skal tages hensyn til overtrædelsens grovhed. Et påbud til en kritisk enhed
vil være en afgørelse i forvaltningsretlig forstand, og en kritisk enhed vil
kunne påklage en afgørelse om påbud til højere administrativ myndighed
efter de almindelige forvaltningsretlige principper om administrativ rekurs.
De almindelige regler om domstolsprøvelse af forvaltningsafgørelser vil
endvidere finde anvendelse, og en kritisk enhed vil dermed have adgang til
at få prøvet afgørelsen ved domstolene.
Der henvises i øvrigt til bemærkningerne til de foreslåede §§ 15 og 16.
4. Økonomiske konsekvenser og implementeringskonsekvenser for det
offentlige
4.1. Økonomiske konsekvenser og implementeringskonsekvenser
for det offentlige
Efter lovforslaget vil statslige myndigheder kunne blive identificeret som
kritiske enheder. Lovforslaget forventes på denne baggrund at medføre mer-
udgifter og negative implementeringskonsekvenser for de statslige myndig-
heder, der måtte blive identificeret som kritiske enheder, da de i lighed med
identificerede kritiske enheder i private virksomheder vil være omfattet af
lovens forpligtelser.
Lovens forpligtelser omfatter bl.a., at kritiske enheder skal udarbejde en ri-
sikovurdering, jf. den foreslåede § 5, og at kritiske enheder skal træffe pas-
sende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske
foranstaltninger for at sikre enhedens modstandsdygtighed, jf. den foreslå-
ede § 6.
Kritiske enheder vil endvidere, såfremt der indtræder hændelser, der i bety-
delig grad forstyrrer eller har potentiale til at forstyrre leveringen af enhe-
dens væsentlige tjenester, jf. den foreslåede § 8, skulle underrette den kom-
petente myndighed.
92
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
De ovenfor nævnte forpligtelser, som kritiske enheder vil skulle opfylde,
forventes nærmere udmøntet i sektorspecifikke bekendtgørelser. Da de nær-
mere økonomiske konsekvenser således vil afhænge af det nærmere indhold
af bekendtgørelserne, vil de økonomiske konsekvenser først kunne opgøres
endeligt i forbindelse med udstedelse af bekendtgørelserne. Samtidig er det
på nuværende tidspunkt uvist, hvor mange statslige myndigheder, der vil
blive omfattet af den foreslåede lov, idet identificering af de kritiske enheder
skal ske på baggrund af en national strategi og risikovurdering, som først
gennemføres frem mod 2026. De økonomiske og administrative konsekven-
ser vil desuden afhænge af de pågældende myndigheders eksisterende mod-
standsdygtighedsniveau og udviklingen i trusselsbilledet i samfundet.
Ud over konsekvenserne forbundet med, at statslige myndigheder kan ud-
peges som kritiske enheder efter lovforslaget, vil der være konsekvenser
forbundet med løsningen af de myndighedsopgaver, der følger af direktivet.
Efter lovforslaget vil Beredskabsstyrelsen varetage opgaven som centralt
kontaktpunkt, ligesom der i de sektorer, som er omfattet af lovens anvendel-
sesområde, vil skulle udpeges kompetente myndigheder, som skal varetage
forskellige myndighedsopgaver.
Blandt myndighedsopgaverne er identifikation af kritiske enheder, ligesom
de kompetente myndigheder skal føre tilsyn med lovens overholdelse og
varetage opgaver i forbindelse med kritiske enheders underretninger om
hændelser. Der vil desuden være tværgående opgaver forbundet med bl.a.
baggrundskontrol af relevant personale hos enhederne.
Der vil herudover skulle udarbejdes en national strategi for kritiske enheders
modstandsdygtighed, udarbejdes en national risikovurdering samt varetages
visse tværgående koordinerende opgaver.
De statsfinansielle konsekvenser som følge af de øgede aktiviteter skønnes
– med betydelig usikkerhed – at udgøre 18-31 mio. kr. årligt. Usikkerheden
skyldes navnlig, at udgifterne afhænger af det nærmere indhold af de kom-
mende bekendtgørelser, samt at det er uvist, hvor mange enheder der vil
blive identificeret som kritiske enheder.
4.2. De syv principper for digitaliseringsklar lovgivning
Det er Forsvarsministeriets opfattelse, at lovforslaget er i overensstemmelse
med principperne for digitaliseringsklar lovgivning.
Det er Forsvarsministeriets opfattelse, at princip nr. 1 om enkle og klare
regler er iagttaget, idet det i lovforslaget – inden for direktivets rammer –
93
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
klart fremgår, hvilke forpligtelser der påhviler identificerede kritiske enhe-
der, og hvilke beføjelser en kompetent myndighed har i sit tilsyn med enhe-
dernes efterlevelse af deres forpligtelser.
Det er desuden Forsvarsministeriets opfattelse, at lovforslaget er udarbejdet
i overensstemmelse med princip nr. 2, da lovforslagets § 13 indfører hjem-
mel til at fastsætte regler om digital kommunikation.
Derudover er det Forsvarsministeriets opfattelse, at lovforslaget er i over-
ensstemmelse med princip nr. 5 om tryg og sikker databehandling, da lov-
forslaget indeholder en grundig beskrivelse af forholdet til databeskyttelses-
retten.
Endelig er det Forsvarsministeriets opfattelse, at princip nr. 6 om anvendelse
af offentlig infrastruktur er iagttaget, idet der i forbindelse med kritiske en-
heders forpligtelse til at underrette om visse hændelser forudsættes anvendt
digitale selvbetjeningsløsninger såsom Virk.dk. Dermed anvendes eksiste-
rende offentlig it-infrastruktur til digital kommunikation mellem kritiske en-
heder og de kompetente myndigheder.
Det er Forsvarsministeriets opfattelse, at de øvrige principper ikke er rele-
vante for lovforslaget.
5. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
Lovforslaget indebærer, at loven vil finde anvendelse på virksomheder, der
er omfattet af enhedskategorierne i lovens bilag 2, og som identificeres som
kritiske enheder. Lovens anvendelsesområde og identifikationen af kritiske
enheder er nærmere beskrevet i henholdsvis lovens §§ 1 og 3 og de specielle
bemærkninger hertil.
Lovforslaget forventes at medføre negative erhvervsøkonomiske konse-
kvenser. Bl.a. vil kritiske enheder skulle overholde oplysnings- og underret-
ningsforpligtelserne i lovforslagets foreslåede § 4, stk. 2, og §§ 7-8. Derud-
over vil kritiske enheder skulle foretage en risikovurdering efter den fore-
slåede § 5 og træffe modstandsdygtighedsforanstaltninger efter den foreslå-
ede § 6. Forpligtelserne er nærmere beskrevet i de nævnte bestemmelser og
de specielle bemærkninger hertil.
Det er ikke muligt på nuværende tidspunkt at estimere de erhvervsøkono-
miske konsekvenser ved lovforslaget, da der er betydelig usikkerhed om
både effekterne af de kommende krav og populationen. Gennemførelsen af
CER-direktivet i dansk ret vurderes dog – samlet set – at få erhvervsøkono-
miske konsekvenser.
94
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Lovforslaget giver i en række bestemmelser hjemmel til udstedelse af be-
kendtgørelser, som indebærer erhvervsøkonomiske konsekvenser for er-
hvervslivet, jf. lovforslagets § 3, stk. 4, § 5, stk. 1, § 6, stk. 1-3, § 8, § 9 og
§ 15. Virksomheder skal bl.a. udarbejde en risikovurdering, træffe foran-
staltninger til at sikre enhedernes modstandsdygtighed, herunder udarbejde
en plan for modstandsdygtighed, indgive underretninger ved hændelser, og
udlevere oplysninger i forbindelse med tilsynsbesøg, hvilket forventes kon-
kretiseret yderligere i sektorspecifikke bekendtgørelser.
Det er på nuværende tidspunkt uvist, hvor mange danske virksomheder, der
vil blive omfattet af den foreslåede lov, idet identificering af de kritiske en-
heder skal ske på baggrund af en national strategi og risikovurdering, som
først gennemføres frem mod 2026. De økonomiske og administrative kon-
sekvenser vil desuden afhænge af de pågældende virksomheders eksiste-
rende modstandsdygtighedsniveau og udviklingen i trusselsbilledet i sam-
fundet.
Lovforslaget forventes ikke at medføre erhvervsøkonomiske konsekvenser
på samfundsniveau.
Det vurderes desuden, at Innovations- og Iværksættertjekket ikke er relevant
for lovforslaget, fordi forslaget ikke påvirker virksomheders eller iværksæt-
teres muligheder for at teste, udvikle og anvende nye teknologier og inno-
vation.
6. Administrative konsekvenser for borgerne
Lovforslaget vurderes ikke at have administrative konsekvenser for bor-
gerne.
7. Miljømæssige konsekvenser
Lovforslaget vurderes ikke at have konsekvenser for klima, miljø eller natur.
8. Forholdet til persondataretten
Behandling af personoplysninger er i almindelighed reguleret i databeskyt-
telsesforordningen og databeskyttelsesloven.
Spørgsmålet om, hvorvidt der må behandles personoplysninger, er i dag som
udgangspunkt reguleret i databeskyttelsesforordningens artikel 6, stk. 1 (om
behandling af almindelige personoplysninger), artikel 9, stk. 2 (om behand-
ling af følsomme personoplysninger), og artikel 10 (om behandling af per-
sonoplysninger vedrørende straffedomme og lovovertrædelser).
Med lovforslaget gennemføres CER-direktivet på tværs af en række sekto-
rer.
95
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Lovforslaget indebærer en række forpligtelser for omfattede enheder samt
myndighedsopgaver for de relevante myndigheder, der i et vist omfang vil
indebære behandling af almindelige personoplysninger og personoplysnin-
ger vedrørende straffedomme og lovovertrædelser.
Der kan bl.a. indgå almindelige personoplysninger i de oplysninger, som
enheder efter lovforslaget skal indgive i medfør af lovforslagets § 3, stk. 4,
hvorefter vedkommende minister kan kræve, at enheder fremlægger mate-
riale og oplysninger, der er nødvendige for stillingtagen til, om en enhed
skal identificeres som kritisk.
Der kan desuden indgå almindelige personoplysninger i de oplysninger, som
enheder efter lovforslaget skal indgive til de kompetente myndigheder i
medfør af lovforslagets § 7, hvorefter kritiske enheder skal udpege en kon-
taktperson og meddele relevante kontaktoplysninger til den relevante kom-
petente myndighed. Dette vil eksempelvis være navne og telefonnumre på
den pågældende medarbejder, der udpeges som kontaktperson.
Derudover kan der indgå almindelige personoplysninger i en kritisk enheds
underretning om hændelser efter lovforslagets § 8, stk. 1, hvorefter kritiske
enheder skal underrette den relevante kompetente myndighed om hændel-
ser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at
forstyrre leveringen af enhedens væsentlige tjenester. Af bestemmelsens stk.
3, fremgår det, at underretninger skal indeholde alle tilgængelige oplysnin-
ger, der er nødvendige for, at den kompetente myndighed kan forstå hæn-
delsens art, årsag og mulige konsekvenser, herunder alle tilgængelige op-
lysninger der er nødvendige for at fastslå hændelsens eventuelle grænse-
overskridende indvirkning. I en kritisk enheds underretning om en hændelse
kan der således f.eks. indgå almindelige personoplysninger, herunder navne
og e-mailadresser, i forbindelse med en redegørelse for hændelsens faktiske
forløb, eller ved at der vedlægges e-mails eller andet materiale, der belyser
hændelsens forløb, karakter eller håndtering.
Efter lovforslagets § 9 kan vedkommende minister inden for sit område efter
forhandling med justitsministeren fastsætte nærmere regler om, på hvilke
betingelser kritiske enheder kan få foretaget baggrundskontrol af personer
med henblik på at vurdere en potentiel sikkerhedsrisiko for enheden. Bag-
grundskontrollen kan angå personer, der 1) varetager følsomme funktioner
i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds
modstandsdygtighed, 2) er bemyndiget til at få direkte adgang eller fjernad-
gang til en kritisk enheds lokaler, oplysninger eller kontrolsystemer, herun-
der i forbindelse med den kritiske enheds sikkerhed, eller 3) overvejes ansat
i stillinger, der indebærer opgavevaretagelse som nævnt ovenfor. Bag-
grundskontrollen vil i medfør af CER-direktivets artikel 14, stk. 2, mindst
96
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
skulle bekræfte identiteten af den person, der er genstand for baggrundskon-
trollen, og omfatte en kontrol af strafferegistre for den pågældende person
for lovovertrædelser, der er relevante for en bestemt stilling. Gennemførelse
af baggrundskontrol vurderes på den baggrund at medføre behandling af al-
mindelige personoplysninger og personoplysninger vedrørende straffe-
domme og lovovertrædelser.
Anvendelse af tilsynsbeføjelserne i medfør af de foreslåede bestemmelser i
§§ 15 og 17 vil kunne medføre behandling af almindelige personoplysnin-
ger. Det er Forsvarsministeriets opfattelse, at de oplysninger, der måtte blive
behandlet i denne forbindelse, vil være oplysninger om den kritiske enheds
medarbejdere, herunder kontaktoplysninger på enhedens kontaktpersoner,
ligesom der eksempelvis kan være tale om oplysninger om, hvilke medar-
bejdere der har adgangsrettigheder til den kritiske enheds lokaler og kritiske
infrastruktur.
Det er Forsvarsministeriets opfattelse, at behandling af almindelige person-
oplysninger i forbindelse med overholdelse af de foreslåede bestemmelser i
lovforslagets § 3, stk. 4, om enheders fremlæggelse af materiale og oplys-
ninger, §§ 7 og 8 om kritiske enheders oplysning om en kontaktperson og
om kritiske enheders underretning om hændelser samt §§ 15 og 17 om ad-
gang til og gennemførelse af tilsyn for private virksomheder vil kunne ske i
medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra c og e. Det
følger således af artikel 6, stk. 1, litra c, at behandling er lovlig, hvis den er
nødvendig for at overholde en retlig forpligtelse, som påhviler den dataan-
svarlige, ligesom det følger af litra e, at behandling er lovlig, hvis den er
nødvendig af hensyn til udførelse af en opgave i samfundets interesse.
Det er endvidere Forsvarsministeriets opfattelse, at enheder omfattet af den
foreslåede lov vil kunne behandle almindelige personoplysninger i medfør
af databeskyttelsesforordningens artikel 6, stk. 1, litra f. Det følger af denne
bestemmelse, at behandling er lovlig, hvis den er nødvendig for, at den da-
taansvarlige eller en tredjemand kan forfølge en legitim interesse, medmin-
dre den registreredes interesser eller grundlæggende rettigheder og friheds-
rettigheder, der kræver beskyttelse af personoplysninger, går forud herfor,
navnlig hvis den registrerede er et barn.
For så vidt angår offentlige myndigheders behandling af almindelige per-
sonoplysninger henvises der til forordningens artikel 6, stk. 1, litra e, hvor-
efter behandlingen er lovlig, hvis den er nødvendig af hensyn til udførelse
af en opgave i samfundets interesse.
Det er Forsvarsministeriets opfattelse, at for så vidt angår behandling af
eventuelle personoplysninger vedrørende straffedomme og lovovertrædel-
ser, jf. den foreslåede § 9 om baggrundskontrol, vil dette alene kunne ske på
97
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
2891451_0098.png
UDKAST
grundlag af samtykke fra den person, der er genstand for kontrollen, jf. da-
tabeskyttelsesforordningens artikel 6, stk. 1, litra a. Det følger af denne be-
stemmelse, at behandling af personoplysninger er lovlig, hvis den registre-
rede har givet samtykke til behandling af sine personoplysninger til et eller
flere specifikke formål.
Det er Forsvarsministeriets opfattelse, at der ikke efter lovforslaget vil ske
behandling af følsomme personoplysninger, som er omfattet af databeskyt-
telsesforordningens artikel 9.
9. Forholdet til EU-retten
Lovforslaget gennemfører Europa-Parlamentets og Rådets direktiv (EU)
2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed
og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet).
10. Hørte myndigheder og organisationer m.v.
Et udkast til lovforslag har i perioden fra den [xx] til den [xx] været sendt i
høring hos følgende myndigheder og organisationer m.v.:
Advokatrådet, ATP, Bestyrelsesforeningen, Danish Care, Danish Cloud,
Community, Danmarks Apotekerforening, Dansk Arbejdsgiverforening,
Danske, Beredskaber, Dansk Erhverv, Dansk Industri, Dansk IT, Dansk
Kollektiv Trafik, Dansk Luftfart, Dansk Selskab for Patientsikkerhed, Dan-
ske Advokater, Danske Havne, Danske Maritime, Danske Rederier, Danske
Regioner, Danske Shipping- og Havnevirksomheder, Danske Vandværker,
DANVA, Dataetisk Råd, Datatilsynet, Den Danske Dommerforening, Dia-
Lab, Dansk Diagnostika- og Laboratorieforening, Domstolsstyrelsen, Er-
hvervsflyvningens Sammenslutning, Finans Danmark, Færøernes Lands-
styre via Rigsombudsmanden på Færøerne, GTS-foreningen, Industrifor-
eningen for Generiske og Biosimilære Lægemidler, Institut for Menneske-
rettigheder, IT-politisk forening, Justitia, Kommunernes Landsforening,
Landbrug og Fødevarer, Lægemiddelindustriforeningen, Medicoindustrien,
Naalakkersuisut via Rigsombudsmanden på Grønland, Pharmadanmark,
Præsidenten for Vestre Landsret, Præsidenten for Østre Landsret, Retspoli-
tisk Forening, Samtlige byretspræsidenter, SMVdanmark, Statsadvokaten i
København, Statsadvokaten i Viborg og Teleindustrien.
11. Sammenfattende skema
Positive konsekvenser/min-
dreudgifter
(hvis ja, angiv omfang/Hvis
nej, anfør »Ingen«)
Negative konsekvenser/mer-
udgifter
(hvis ja, angiv omfang/Hvis
nej, anfør »Ingen«)
98
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
2891451_0099.png
UDKAST
Økonomiske konsekvenser
Ingen
for stat, kommuner og regio-
ner
Lovforslaget forventes at
medføre økonomiske konse-
kvenser for de statslige myn-
digheder, der måtte blive
identificeret som kritiske en-
heder. Løsningen af de myn-
dighedsopgaver, der følger af
loven, forventes endvidere at
medføre økonomiske konse-
kvenser, herunder for de mi-
nisterområder, der har ressort-
ansvar for de sektorer, som er
omfattet af lovens anvendel-
sesområde, jf. lovens bilag 2.
De samlede forventede mer-
udgifter, jf. også nedenfor om
implementeringskonsekven-
ser, skønnes – med betydelig
usikkerhed – at udgøre 18-31
mio. kr. årligt.
Implementeringskonsekven- Ingen
ser for stat, kommuner og re-
gioner
Lovforslaget forventes at
medføre implementerings-
konsekvenser for de statslige
myndigheder, der måtte blive
identificeret som kritiske en-
heder. Løsningen af de myn-
dighedsopgaver, der følger af
loven, forventes endvidere at
medføre implementerings-
konsekvenser, herunder for de
ministerområder, der har res-
sortansvar for de sektorer,
som er omfattet af lovens an-
vendelsesområde, jf. lovens
bilag 2.
De samlede forventede mer-
udgifter, jf. også ovenfor om
økonomiske konsekvenser,
skønnes – med betydelig
usikkerhed – at udgøre 18-31
mio. kr. årligt.
99
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
2891451_0100.png
UDKAST
Økonomiske konsekvenser
for erhvervslivet
Ingen
Det har ikke været muligt på
nuværende tidspunkt at esti-
mere de økonomiske konse-
kvenser for erhvervslivet ved
lovforslaget, da der er betyde-
lig usikkerhed om både effek-
terne af de kommende krav
og populationen.
Det har ikke været muligt på
nuværende tidspunkt at esti-
mere de administrative konse-
kvenser for erhvervslivet ved
lovforslaget, da der er betyde-
lig usikkerhed om både effek-
terne af de kommende krav
og populationen.
Ingen
Ingen
Administrative konsekvenser Ingen
for erhvervslivet
Administrative konsekvenser Ingen
for borgerne
Miljømæssige konsekvenser Ingen
Forholdet til EU-retten
Loven og de bekendtgørelser, der vil blive udstedt i medfør
af loven, gennemfører dele af Europa-Parlamentets og Rå-
dets direktiv (EU) 2022/2557 af 14. december 2022 om kri-
tiske enheders modstandsdygtighed og om ophævelse af Rå-
dets direktiv 2008/114/EF (CER-direktivet). Der henvises til
EU-tidende 2022, nr. L 333, side 164. Direktivet er medta-
get som bilag 1 til loven.
Ja
Nej
X
Er i strid med de principper
for implementering
af erhvervsrettet EU-regule-
ring/Går videre end mini-
mumskrav i EU-regulering
(sæt X)
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og ud-
pegning af europæisk kritisk infrastruktur og vurdering af behovet for at be-
skytte den bedre (EPCIP-direktivet) fastsætter en procedure for indkreds-
ning og udpegning af europæisk kritisk infrastruktur i energi- og transport-
100
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
sektorerne, hvis forstyrrelse eller ødelæggelse vil få betydelig grænseover-
skridende indvirkning på mindst to medlemsstater og en fælles fremgangs-
måde til vurdering af behovet for at beskytte denne type infrastruktur med
henblik på at bidrage til beskyttelsen af mennesker.
EPCIP-direktivet blev i dansk ret implementeret sektorvist i energi- og
transportsektorerne. For en nærmere gennemgang af den sektorvise imple-
mentering af EPCIP-direktivet henvises til afsnit 2.3 i lovforslagets almin-
delige bemærkninger.
Efter § 24 i beredskabsloven, jf. lovbekendtgørelse nr. 314 af 3. april 2017,
gælder der en forpligtelse for de enkelte ministre til, inden for deres område,
hver især at planlægge for opretholdelse og videreførelse af samfundets
funktioner i tilfælde af større ulykker og katastrofer.
I EU-retten om finansielle tjenesteydelser fastsættes omfattende krav til fi-
nansielle enheder om at håndtere alle risici, som de står over for, herunder
operationelle risici, og for at sikre forretningskontinuitet.
Det drejer sig om Europa-Parlamentets og Rådets forordning (EU) nr.
575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og om
ændring af forordning (EU) nr. 648/2012, Europa-Parlamentets og Rådets
direktiv (EU) 2013/36 af 26. juni 2013 om adgang til at udøve virksomhed
som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselska-
ber, om ændring af direktiv 2002/87/EF og om ophævelse af direktiv
2006/48/EF og 2006/49/EF, som er gennemført i dansk ret ved lov om fi-
nansiel virksomhed, jf. lovbekendtgørelse nr. 406 af 29. marts 2022, og Eu-
ropa-Parlamentets og Rådets direktiv (EU) 2014/65 af 15. maj 2014 om
markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF
og direktiv 2011/61/EU, som er gennemført i dansk ret ved lov om kapital-
markeder, jf. lovbekendtgørelse nr. 41 af 13. januar 2023, lov om finansiel
virksomhed, jf. lovbekendtgørelse nr. 406 af 29. marts 2022, og lov om fi-
nansielle rådgivere, investeringsrådgivere og boligkreditformidlere, jf. lov-
bekendtgørelse nr. 2016 af 1. november 2021.
For telesektoren stilles der efter § 5, stk. 1, og § 5 a i lov om sikkerhed i net
og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, som ændret
ved § 18 i lov nr. 1156 af 8. juni 2021, krav om nødvendig planlægning og
nødvendige foranstaltninger med henblik på at sikre, at samfundets elektro-
niske kommunikation i videst muligt omfang kan finde sted i beredskabssi-
tuationer og i andre ekstraordinære situationer. Bestemmelserne gennemfø-
rer dele af artikel 108 i Europa-Parlamentets og Rådets direktiv (EU)
2018/1972 af 11. december 2018 om oprettelse af en europæisk kodeks for
elektronisk kommunikation (EU’s telekodeks).
101
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Det følger af den foreslåede
§ 1, stk. 1,
at loven finder anvendelse på enhe-
der, der er omfattet af enhedskategorierne i lovens bilag 2, jf. dog stk. 2-6.
Bilag 2 til loven omfatter følgende sektorer: 1) Transport med delsektorerne
a) luft, b) jernbane, c) vand, d) vejtransport og e) offentlig transport, 2) bank-
virksomhed, 3) finansiel markedsinfrastruktur, 4) sundhed, 5) drikkevand,
6) spildevand, 7) digital infrastruktur, 8) offentlig forvaltning, 9) rummet og
10) produktion, tilvirkning og distribution af fødevarer.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. De sektorer, der foreslås omfattet, svarer – med und-
tagelse af energisektoren, der reguleres særskilt – til de sektorer, som er om-
fattet af bilaget til Europa-Parlamentets og Rådets direktiv (EU) 2022/2557
af 14. december 2022 om kritiske enheders modstandsdygtighed og om op-
hævelse af Rådets direktiv 2008/114/EF (CER-direktivet).
Det foreslåede anvendelsesområde vil dermed omfatte et betydeligt antal
sektorer, der ikke tidligere har været omfattet af krav til modstandsdygtig-
hedsforanstaltninger.
Det følger af det foreslåede
stk. 2,
at loven ikke finder anvendelse på forhold
omfattet af den nationale gennemførelse af Europa-Parlamentets og Rådets
direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sik-
ring af et højt fælles cybersikkerhedsniveau i hele unionen, om ændring af
forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse
af direktiv (EU) 2016/1148 (NIS 2-direktivet).
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 1, stk. 2,
som fastsætter, at direktivet ikke finder anvendelse på spørgsmål, der er om-
fattet af NIS 2-direktivet, jf. dog CER-direktivets artikel 8. CER-direktivets
artikel 8 fastsætter en særlig ordning for kritiske enheder i sektorerne bank-
virksomhed, finansiel markedsinfrastruktur og digital infrastruktur, jf. den
foreslåede § 1, stk. 5.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 1, stk. 2, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
Formålet med bestemmelsen er at sikre mod dobbeltregulering. En kritisk
enhed, der er omfattet af NIS 2-direktivet, og som har fastsat passende for-
anstaltninger for at styre risici i forhold til net- og informationssystemer, vil
dermed ikke også skulle fastsætte modstandsdygtighedsforanstaltninger for
disse systemer i medfør af CER-direktivet. Derimod vil den kritiske enhed
102
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
skulle opfylde krav og forpligtelser som følger af CER-direktivet, som lig-
ger ud over krav og forpligtelser i NIS 2-direktivet.
Det følger af det foreslåede
stk. 3,
at loven ikke finder anvendelse på offent-
lige forvaltningsenheder, som udfører deres aktiviteter inden for national
sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder ef-
terforskning, afsløring og retsforfølgning af strafbare handlinger.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 1, stk. 6,
hvorefter CER-direktivet ikke finder anvendelse på offentlige forvaltnings-
enheder, som udfører deres aktiviteter inden for national sikkerhed, offentlig
sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring
og retsforfølgning af strafbare handlinger.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 1, stk. 6, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
Den foreslåede bestemmelse skal forstås i overensstemmelse med CER-di-
rektivets præambelbetragtning nr. 11, 1. led, som bl.a. beskriver, at offent-
lige forvaltningsenheder, hvis aktiviteter kun er marginalt relateret til disse
opregnede områder, bør være omfattet af CER-direktivets anvendelsesom-
råde, og at enheder med reguleringsbeføjelser i CER-direktivets forstand
ikke anses for at udføre aktiviteter inden for retshåndhævelse. Sådanne myn-
digheder er derfor ikke på dette grundlag udelukket fra direktivets anven-
delsesområde. Det beskrives endvidere i præambelbetragtningen, at offent-
lige forvaltningsenheder, som er eller måtte blive etableret i fællesskab med
et tredjeland i overensstemmelse med en international aftale, samt medlems-
staternes diplomatiske og konsulære missioner i tredjelande, heller ikke er
omfattet af CER-direktivet. Som en konsekvens heraf vil disse forvaltnings-
enheder ikke være omfattet af nærværende lov.
Det følger af det foreslåede
stk. 4,
at vedkommende minister inden for sit
område kan træffe afgørelse om helt eller delvist at undtage specifikke kri-
tiske enheder, der udfører aktiviteter inden for national sikkerhed, offentlig
sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforsk-
ning, afsløring og retsforfølgning af strafbare handlinger, eller som udeluk-
kende leverer tjenester til offentlige forvaltningsenheder, der er omfattet af
stk. 3, fra bestemmelserne i §§ 4-9 og 15-17.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 1, stk. 7,
hvorefter medlemsstaterne kan beslutte, at artikel 11 (samarbejde mellem
medlemsstaterne) og kapitel III (om kritiske enheders modstandsdygtighed),
IV (om kritiske enheder af særlig europæisk betydning) og VI (om tilsyn og
103
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
håndhævelse) helt eller delvist ikke finder anvendelse på specifikke kritiske
enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sik-
kerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og
retsforfølgning af strafbare handlinger, eller som udelukkende leverer tjene-
ster til de offentlige forvaltningsenheder, der er omhandlet i direktivets arti-
kel 1, stk. 6, som foreslås gennemført i det foreslåede § 1, stk. 3.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 1, stk. 7, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
Bestemmelsen skal forstås i overensstemmelse med CER-direktivets præ-
ambelbetragtning nr. 11, 2. led, hvori det bl.a. anføres, at i betragtning af
medlemsstaternes ansvar for at varetage national sikkerhed og forsvar bør
medlemsstater kunne beslutte, at kritiske enheders forpligtelser fastsat i
CER-direktivet helt eller delvist ikke finder anvendelse på disse kritiske en-
heder, hvis de tjenester, som de leverer, eller de aktiviteter, som de udfører,
hovedsageligt vedrører områderne national sikkerhed, offentlig sikkerhed,
forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsfor-
følgning af strafbare handlinger. Kritiske enheder, hvis tjenester eller akti-
viteter kun er marginalt relaterede til disse områder, bør dog ifølge samme
præambelbetragtning stadig være omfattet af CER-direktivets anvendelses-
område.
Efter den foreslåede bestemmelse vil vedkommende minister inden for sit
område kunne undtage nærmere bestemte kritiske enheder fra de foreslåede
§§ 4-9 om kritiske enheders risikovurdering, modstandsdygtighedsforan-
staltninger, hændelsesunderretninger og baggrundskontrol, samt fra de fo-
reslåede §§ 15-17 om tilsyn og håndhævelse.
Den foreslåede bestemmelse omfatter enheder, der ikke allerede er undtaget
fra lovens anvendelsesområde, jf. den foreslåede § 1, stk. 3, som undtager
offentlige forvaltningsenheder, der udfører aktiviteter inden for national sik-
kerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder fore-
byggelse, efterforskning, afsløring og retsforfølgning af strafbare handlin-
ger. Der vil således typisk være tale om private virksomheder, der selvstæn-
digt udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, for-
svar eller retshåndhævelse. I Danmark er der ikke tradition for, at private
virksomheder selvstændigt udfører aktiviteter inden for national sikkerhed
m.v., og derfor forventes denne del af den foreslåede bestemmelse at have
et begrænset anvendelsesområde.
Bestemmelsen vil også omfatte enheder, der udelukkende leverer tjenester
til offentlige forvaltningsenheder, som udfører aktiviteter inden for national
104
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder fo-
rebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlin-
ger, der derfor vil kunne undtages fra de pågældende foreslåede bestemmel-
ser.
Det er Forsvarsministeriets opfattelse, at det forhold, at en enhed »udeluk-
kende leverer tjenester« til forvaltningsenheder, der udfører de ovenfor
nævnte aktiviteter, indebærer, at de tjenester, som enheden leverer, eksklu-
sivt skal leveres til offentlige forvaltningsenheder, der udfører disse aktivi-
teter. Såfremt en enhed både leverer tjenesten til offentlige forvaltningsen-
heder, der udfører de nævnte aktiviteter, og til andre aktører, eksempelvis
private virksomheder eller offentlige forvaltningsenheder, som ikke udfører
aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller
retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og rets-
forfølgning af strafbare handlinger, vil enheden ikke kunne undtages fra be-
stemmelserne i de foreslåede §§ 4-9 og §§ 15-17.
Det følger af det foreslåede
stk. 5,
at for kritiske enheder i sektorerne bank-
virksomhed, finansiel markedsinfrastruktur og digital infrastruktur, jf. lo-
vens bilag 2, finder bestemmelserne i §§ 4-9 og 15-17 ikke anvendelse.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 8, som
fastsætter, at medlemsstaterne skal sikre, at artikel 11 (om samarbejde mel-
lem medlemsstaterne), kapitel III (om kritiske enheders modstandsdygtig-
hed), kapitel IV (om kritiske enheder af særlig europæisk betydning) og ka-
pitel VI (om tilsyn og håndhævelse) ikke finder anvendelse på kritiske en-
heder, som de har identificeret i sektorerne bankvirksomhed, finansiel mar-
kedsinfrastruktur og digital infrastruktur. Efter artiklen kan medlemssta-
terne vedtage eller opretholde bestemmelser i national ret for at opnå et hø-
jere niveau for disse kritiske enheders modstandsdygtighed, forudsat at disse
bestemmelser er i overensstemmelse med gældende EU-ret.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 8, og skal forstås og anvendes i overensstem-
melse med direktivets forudsætninger.
Baggrunden for artikel 8 beskrives i CER-direktivets præambelbetragtning
nr. 20 og 21.
Præambelbetragtning nr. 20 omhandler sektoren for digital infrastruktur og
beskriver bl.a., at i henhold til Europa-Parlamentets og Rådets direktiv (EU)
2022/2555 om foranstaltninger til sikring af et højt fælles cybersikkerheds-
niveau i hele unionen, om ændring af forordning (EU) nr. 910/2014 og di-
rektiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS
105
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
2-direktivet) skal enheder, der tilhører sektoren for digital infrastruktur, og
som kunne betragtes som kritiske enheder efter CER-direktivet, træffe pas-
sende og forholdsmæssige tekniske, operationelle og organisatoriske foran-
staltninger for at styre risiciene for sikkerheden i net- og informationssyste-
mer samt underrette om væsentlige hændelser og cybertrusler. Det fremgår
videre af denne præambelbetragtning, at eftersom kravene i NIS 2-direktivet
mindst svarer til de tilsvarende forpligtelser i CER-direktivet, bør forplig-
telserne i CER-direktivets artikel 11 og kapitel III, IV og VI ikke finde an-
vendelse på enheder, der tilhører sektoren for digital infrastruktur.
Præambelbetragtning nr. 21 omhandler enheder i den finansielle sektor og
beskriver bl.a., at der i EU-retten om finansielle tjenesteydelser er fastsat
omfattende krav til finansielle enheder om at håndtere alle risici, som de står
over for, herunder operationelle risici, og sikre forretningskontinuitet. Der
henvises i den forbindelse bl.a. til Europa-Parlamentets og Rådets forord-
ning (EU) 2022/2554 af 14. december 2022 om digital operationel mod-
standsdygtighed i den finansielle sektor og om ændring af forordning (EF)
nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og
(EU) 2016/1011 (DORA-forordningen), som fastsætter krav til finansielle
enheder om at styre risici i forbindelse med informations- og kommunikati-
onsteknologi (IKT), herunder vedrørende beskyttelse af fysisk IKT-infra-
struktur.
Det fremgår videre af præambelbetragtningen, at eftersom disse enheders
modstandsdygtighed derfor er fuldt ud dækket, bør artikel 11 og kapitel III,
IV og VI i CER-direktivet ikke finde anvendelse på disse enheder for at
undgå dobbeltarbejde og unødvendige administrative byrder.
Det bemærkes i den forbindelse, at CER-direktivet, NIS 2-direktivet og
DORA-forordningen blev offentliggjort som en samlet pakke, og at de tre
EU-retsakter således har en tæt sammenhæng med hinanden.
Efter den foreslåede bestemmelse vil de pågældende sektorer ikke være om-
fattet af de foreslåede regler om kritiske enheders risikovurdering, mod-
standsdygtighedsforanstaltninger, hændelsesunderretninger og mulighed
for baggrundskontrol samt de foreslåede regler om tilsyn og håndhævelse.
Herudover vil disse sektorer ikke være omfattet af de foreslåede regler om
kritiske enheder af særlig europæisk betydning.
Herved bliver disse sektorer i praksis alene omfattet af reglerne om identi-
fikation af kritiske enheder samt myndighedernes støtte til kritiske enheder,
ligesom også den nationale strategi og risikovurdering vil omfatte disse sek-
torer.
106
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Der henvises i øvrigt til afsnit 2.4.2.1 og 3.1.3 i lovforslagets almindelige
bemærkninger.
Det følger af det foreslåede
stk. 6,
at vedkommende minister inden for sit
område kan bestemme, at loven helt eller delvist ikke finder anvendelse på
kritiske enheder, hvor sektorspecifikke EU-retsakter og eventuel national
gennemførelse heraf har mindst samme virkning som de tilsvarende forplig-
telser efter denne lov og regler udstedt i medfør af denne lov.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 1, stk. 3,
hvoraf det følger, at hvor bestemmelser i sektorspecifikke EU-retsakter kræ-
ver, at kritiske enheder træffer foranstaltninger for at styrke deres mod-
standsdygtighed, og hvor disse krav er anerkendt af medlemsstaterne som
svarende mindst til de tilsvarende forpligtelser, der er fastsat i CER-direkti-
vet, finder de relevante bestemmelser i CER-direktivet, herunder bestem-
melsen om tilsyn og håndhævelse i direktivets kapitel VI, ikke anvendelse.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 1, stk. 3, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
Bestemmelsen indebærer, at det vil være op til vedkommende minister in-
den for sit område at bestemme, om – og i givet fald i hvilket omfang – der
skal gøres undtagelse fra hele eller dele af nærværende lov med henvisning
til sektorspecifikke EU-retsakter og eventuel national implementering heraf.
Det skal ses i lyset af, at undtagelsen fra CER-direktivet forudsætter, at med-
lemsstaterne har anerkendt forpligtelserne i de sektorspecifikke EU-retsak-
ter som havende mindst samme virkning som de tilsvarende forpligtelser,
der følger af CER-direktivet. Den pågældende minister kan eksempelvis be-
stemme, at kritiske enheder fortsat vil skulle foretage hændelsesunderret-
ning efter nærværende lov, men at reglerne om kritiske enheders modstands-
dygtighedsforanstaltninger ikke finder anvendelse.
Til § 2
Den foreslåede bestemmelse i
§ 2
indeholder definitioner af lovens seks cen-
trale begreber.
Definitionerne bygger på de tilsvarende definitioner i artikel 2, nr. 2-7, i
Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december
2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets
direktiv 2008/114/EF (CER-direktivet).
107
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til de relevante dele af CER-direktivets artikel 2 og skal forstås og anvendes
i overensstemmelse med direktivets forudsætninger.
Det følger af det foreslåede stk. 1,
nr. 1,
at der ved »hændelse« forstås en
begivenhed, der har potentiale til i betydelig grad at forstyrre, eller som for-
styrrer, leveringen af en væsentlig tjeneste.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 3, hvorefter der
ved »hændelse« forstås en begivenhed, der har potentiale til i betydelig grad
at forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste, herun-
der når den påvirker de nationale systemer, der sikrer retsstatsprincippet.
Det følger af det foreslåede stk. 1,
nr. 2,
at der ved »kritisk infrastruktur«
forstås et aktiv, en facilitet, udstyr, et netværk eller et system, eller en del af
et aktiv, en facilitet, udstyr, et netværk eller et system, som er nødvendig(t)
for leveringen af en væsentlig tjeneste.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 4, hvorefter der
ved »kritisk infrastruktur« forstås et aktiv, en facilitet, udstyr, et netværk
eller et system, eller en del af et aktiv, en facilitet, udstyr, et netværk eller et
system, som er nødvendig(t) for leveringen af en væsentlig tjeneste.
Det følger af det foreslåede stk. 1,
nr. 3,
at der ved »modstandsdygtighed«
forstås en kritisk enheds evne til at forebygge, beskytte mod, reagere på,
modstå, afbøde, absorbere, tilpasse sig og sikre genopretning efter en hæn-
delse.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 2, hvorefter der
ved »modstandsdygtighed« forstås en kritisk enheds evne til at forebygge,
beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og komme
på fode igen efter en hændelse.
Det følger af det foreslåede stk. 1,
nr. 4,
at der ved »risiko« forstås potenti-
alet for tab eller forstyrrelse som følge af en hændelse, der skal udtrykkes
som en kombination af størrelsen af et sådant tab eller en sådan forstyrrelse
og sandsynligheden for, at hændelsen indtræffer.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 6, hvorefter der
ved »risiko« forstås potentialet for tab eller forstyrrelse som følge af en hæn-
delse, der skal udtrykkes som en kombination af størrelsen af et sådant tab
eller en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræffer.
108
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Det følger af det foreslåede stk. 1,
nr. 5,
at der ved »risikovurdering« forstås
den samlede proces med henblik på at bestemme arten og omfanget af en
risiko ved at identificere og analysere potentielle relevante trusler, sårbarhe-
der og farer, der kunne føre til en hændelse, og ved at evaluere det potenti-
elle tab eller den potentielle forstyrrelse af leveringen af en væsentlig tjene-
ste forårsaget af denne hændelse.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 7, hvorefter der
ved »risikovurdering« forstås den samlede proces med henblik på at be-
stemme arten og omfanget af en risiko ved at identificere og analysere po-
tentielle relevante trusler, sårbarheder og farer, der kunne føre til en hæn-
delse, og ved at evaluere den potentielle tab eller den potentielle forstyrrelse
af leveringen af en væsentlig tjeneste forårsaget af denne hændelse.
Det følger af det foreslåede stk. 1,
nr. 6,
at der ved »væsentlig tjeneste«
forstås en tjeneste, der er afgørende for opretholdelsen af vitale samfunds-
mæssige funktioner, økonomiske aktiviteter, folkesundhed, offentlig sikker-
hed eller miljøet.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 5, hvorefter der
ved »væsentlig tjeneste« forstås en tjeneste, der er afgørende for oprethol-
delsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, fol-
kesundhed og offentlig sikkerhed eller miljøet.
Til § 3
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og ud-
pegning af europæisk kritisk infrastruktur og vurdering af behovet for at be-
skytte den bedre (EPCIP-direktivet) finder anvendelse for energi- og trans-
portsektorerne.
Direktivets artikel 4 fastsætter nærmere regler om udpegning af europæisk
kritisk infrastruktur.
Det følger af den foreslåede
§ 3, stk. 1,
at vedkommende minister inden for
sit område træffer afgørelse om identifikation og afidentifikation af kritiske
enheder, der er omfattet af enhedskategorierne i lovens bilag 2.
Den foreslåede bestemmelse gennemfører artikel 6, stk. 1, i Europa-Parla-
mentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kriti-
ske enheders modstandsdygtighed og om ophævelse af Rådets direktiv
2008/114/EF (CER-direktivet), hvoraf det fremgår, at hver medlemsstat se-
nest den 17. juli 2026 skal have identificeret kritiske enheder for de sektorer
og delsektorer, der er anført i bilaget til CER-direktivet.
109
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 6, stk. 1, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
Om baggrunden for artikel 6, stk. 1, beskrives det i CER-direktivets præam-
belbetragtning nr. 8, at medlemsstaterne for at opnå en høj grad af mod-
standsdygtighed bør identificere kritiske enheder, som vil være underlagt
specifikke krav og specifikt tilsyn, og som vil ydes særlig støtte og vejled-
ning over for alle relevante risici.
Det følger af den foreslåede bestemmelse, at vedkommende minister inden
for sit område træffer afgørelse om identifikation og afidentifikation af kri-
tiske enheder, der er omfattet af enhedskategorierne i lovens bilag 2. Det
bemærkes i den forbindelse, at vedkommende minister i overensstemmelse
med de almindelige forvaltningsretlige principper om delegation kan be-
slutte at delegere sin kompetence til en underliggende myndighed, herunder
en udpeget kompetent myndighed.
Identifikation og afidentifikation af en kritisk enhed vil være en afgørelse i
forvaltningsretlig forstand. Det medfører, at de almindelige forvaltningsret-
lige regler og principper vil være gældende. Det medfører også, at en enhed
inden for de almindelige forvaltningsretlige principper om administrativ re-
kurs vil have adgang til at påklage en afgørelse om identifikation og afiden-
tifikation som kritisk enhed.
Det følger af det foreslåede
stk. 2,
at der ved identifikation af kritiske enhe-
der lægges vægt på følgende: 1) Den nationale strategi for styrkelse af kri-
tiske enheders modstandsdygtighed, 2) den nationale risikovurdering med
henblik på identifikation af kritiske enheder, 3) om enheden leverer en eller
flere væsentlige tjenester, 4) om enheden opererer i og har sin kritiske infra-
struktur beliggende på dansk territorium og 5) om en hændelse vil have be-
tydelig forstyrrende virkning, jf. stk. 3, på enhedens levering af en eller flere
væsentlige tjenester eller på leveringen af andre væsentlige tjenester i sek-
torer omfattet af Europa-Parlamentets og Rådets direktiv (EU) 2022/2557
af 14. december 2022 om kritiske enheders modstandsdygtighed og om op-
hævelse af Rådets direktiv 2008/114/EF (CER-direktivet), jf. lovens bilag
1, som er afhængige af denne eller disse væsentlige tjenester.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 6, stk. 2,
hvoraf det fremgår, at når en medlemsstat identificerer kritiske enheder, ta-
ger den hensyn til resultaterne af dens medlemsstatsrisikovurdering og dens
strategi og anvender alle følgende kriterier: a) Enheden leverer en eller flere
væsentlige tjenester, b) enheden opererer og dens kritiske infrastruktur er
110
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
beliggende på denne medlemsstats område, og c) en hændelse vil have be-
tydelige forstyrrende virkninger som fastslået i overensstemmelse med arti-
kel 7, stk. 1, (om betydelige forstyrrende virkninger) på enhedens levering
af en eller flere væsentlige tjenester eller på leveringen af andre væsentlige
tjenester i sektorerne anført i direktivets bilag, som er afhængige af denne
eller disse væsentlige tjenester.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 6, stk. 2, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
Det bemærkes i den forbindelse, at den danske sprogversions gengivelse af
direktivets kriterier for identificering af kritiske enheder omtaler, hvorvidt
»enheden opererer og dens kritiske infrastruktur er beliggende på denne
medlemsstats område«. Den engelske sprogversion anvender derimod »ter-
ritory«.
Henset til, at der vurderes at være en indholdsmæssig forskel på »område«
og »territory«, har Forsvarsministeriet i nærværende lovforslag lagt sig op
ad den engelske sprogversion. Det indebærer, at der ved identificering af
kritiske enheder bl.a. vil skulle lægges vægt på, om enheden opererer i og
har sin kritiske infrastruktur beliggende
på dansk territorium.
Dette skal i
øvrigt også forstås i lyset af territorialbestemmelsen i den foreslåede § 20,
hvorefter loven ikke gælder for Færøerne og Grønland, men ved kongelig
anordning helt eller delvist kan sættes i kraft for Færøerne og Grønland med
de ændringer, som de henholdsvis færøske og grønlandske forhold tilsiger.
Ved identifikationen af kritiske enheder vil der bl.a. blive lagt vægt på den
nationale strategi for styrkelse af kritiske enheders modstandsdygtighed og
den nationale risikovurdering. For så vidt angår den nationale strategi og
risikovurdering henvises til afsnit 2.4.2.1 i lovforslagets almindelige be-
mærkninger.
I overensstemmelse med direktivets forudsætninger, som udtrykt i præam-
belbetragtning nr. 16, vil en enhed skulle anses for at operere på en med-
lemsstats område (forstået som territorium), hvor den udfører de aktiviteter,
der er nødvendige for den eller de pågældende væsentlige tjenester, og hvor
enhedens kritiske infrastruktur, som anvendes til at levere den eller de på-
gældende tjenester, er beliggende. Hvis der ikke er nogen enhed, der opfyl-
der disse kriterier i en medlemsstat, bør den pågældende medlemsstat ikke
være forpligtet til at identificere en kritisk enhed i den tilsvarende sektor
eller delsektor.
111
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Den foreslåede bestemmelse indebærer, at de opregnede elementer alle skal
inddrages, når vedkommende minister skal træffe afgørelse om, hvorvidt en
enhed skal identificeres som kritisk.
Det følger af det foreslåede
stk. 3,
at ved fastlæggelse af, om en hændelse
vil have betydelig forstyrrende virkning, jf. stk. 2, nr. 5, lægges der vægt på
følgende: 1) Antal brugere, der er afhængige af den væsentlige tjeneste, som
udbydes af den berørte enhed, 2) omfanget af andre sektorers og delsekto-
rers afhængighed af den pågældende væsentlige tjeneste, 3) den indvirk-
ning, som hændelser kan have med hensyn til omfang og varighed på øko-
nomiske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed
eller befolkningens sundhed, 4) enhedens markedsandel på markedet for den
eller de berørte væsentlige tjenester, 5) det geografiske område, der kan
blive berørt af en hændelse, herunder eventuel grænseoverskridende ind-
virkning, og 6) enhedens betydning med hensyn til at opretholde et tilstræk-
keligt niveau for den væsentlige tjeneste under hensyntagen til tilgængelig-
hed af alternative måder at levere denne væsentlige tjeneste på.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 7, stk. 1,
hvoraf det fremgår, at medlemsstaterne ved fastlæggelsen af betydningen af
en forstyrrende virkning, skal tage hensyn til følgende kriterier: 1) Antal
brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den
berørte enhed, 2) omfanget af andre i bilaget anførte sektorers og delsekto-
rers afhængighed af den pågældende væsentlige tjeneste, 3) den indvirkning
som hændelser kunne have med hensyn til omfang og varighed på økono-
miske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed el-
ler befolkningens sundhed, 4) enhedens markedsandel på markedet for den
berørte væsentlige tjeneste eller de berørte væsentlige tjenester, 5) det geo-
grafiske område, der kunne blive berørt af en hændelse, herunder eventuel
grænseoverskridende indvirkning, under hensyntagen til den sårbarhed, som
er forbundet med den grad af afsondrethed, der kendetegner visse typer af
geografiske områder, såsom ø-regioner, afsidesliggende regioner eller
bjergområder, og 6) enhedens betydning med hensyn til at opretholde et til-
strækkeligt niveau for den væsentlige tjeneste under hensyntagen til tilgæn-
gelighed af alternative måder at levere denne væsentlige tjeneste på.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 7, stk. 1, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
Baggrunden for artikel 7, stk. 1, beskrives i CER-direktivets præambelbe-
tragtning nr. 18, hvoraf bl.a. fremgår, at der bør fastlægges kriterier for be-
stemmelse af betydningen af en forstyrrende virkning som følge af en hæn-
112
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
delse, og at disse kriterier bør være baseret på kriterierne i Europa-Parla-
mentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltnin-
ger, der skal sikre et højt fælles sikkerhedsniveau for net- og informations-
systemer i hele Unionen (NIS 1-direktivet). Det fremgår videre, at større
kriser, såsom covid-19-pandemien, har vist, hvor vigtigt det er at sørge for
forsyningskædesikkerhed, og hvordan forstyrrelse heraf kan have negativ
økonomisk og samfundsmæssig indvirkning inden for en lang række sekto-
rer og på tværs af grænserne. Medlemsstaterne bør derfor også i det omfang,
det er muligt, overveje virkningerne på forsyningskæden, når de fastslår i
hvilket omfang andre sektorer og delsektorer afhænger af de væsentlige tje-
nester, der udbydes af en kritisk enhed.
Den foreslåede bestemmelse indebærer, at de opregnede kriterier alle skal
inddrages, når vedkommende minister skal vurdere, om en hændelse vil
have betydelige forstyrrende virkninger på enhedens levering af en eller
flere væsentlige tjenester eller på leveringen af andre væsentlige tjenester i
sektorer omfattet af CER-direktivet, jf. bilag 1, som er afhængige af denne
eller disse væsentlige tjenester. Ud over de sektorer, der omfattes af nærvæ-
rende lovforslag, vil dette også omfatte energisektoren, som reguleres sær-
skilt.
Det følger af det foreslåede
stk. 4,
at vedkommende minister kan kræve, at
enheder fremlægger materiale og oplysninger, der er nødvendige for stil-
lingtagen til, om en enhed skal identificeres som kritisk.
Efter den foreslåede bestemmelse vil vedkommende minister således til
brug for vurderingen af, hvorvidt en enhed skal identificeres som en kritisk
enhed, kunne kræve, at enheder fremlægger materiale og oplysninger, der
er nødvendige for stillingtagen til, om den pågældende enhed skal identifi-
ceres som kritisk.
Dette vil eksempelvis kunne omfatte oplysninger om, hvorvidt enheden le-
verer en eller flere væsentlige tjenester, eller om enheden opererer i og har
sin kritiske infrastruktur beliggende i Danmark.
Det vil også kunne omfatte oplysninger og materiale, der kan belyse antal
brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den
berørte enhed.
Det følger af det foreslåede
stk. 5,
at vedkommende minister inden for en
måned efter identifikation efter stk. 1 orienterer den kritiske enhed om dens
forpligtelser, og om fra hvilken dato forpligtelserne finder anvendelse.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 6, stk. 3
og 5. Af CER-direktivets artikel 6, stk. 3 følger det bl.a., at hver medlemsstat
113
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
sikrer, at identificerede kritiske enheder inden for en måned efter denne
identifikation underrettes om, at de er blevet identificeret som kritiske en-
heder. Det følger videre af bestemmelsen, at medlemsstaterne skal orientere
kritiske enheder om deres forpligtelser i henhold til kapitel III om kritiske
enheders modstandsdygtighed og kapitel IV om kritiske enheder af særlig
europæisk betydning, og om fra hvilken dato disse forpligtelser finder an-
vendelse på dem.
Det bemærkes i den forbindelse, at det følger af CER-direktivets artikel 6,
stk. 3, at direktivets kapitel III om kritiske enheders modstandsdygtighed –
der bl.a. omhandler kritiske enheders risikovurdering og modstandsdygtig-
hedsforanstaltninger, baggrundskontrol, og enhedernes underretning om
hændelser finder anvendelse fra 10 måneder efter datoen for underretningen
om, at enheden er identificeret som kritisk enhed. Det fremgår dog særskilt
af CER-direktivets artikel 12, stk. 1, at kritiske enheder inden ni måneder
efter datoen for underretningen skal have foretaget deres risikovurdering.
For så vidt angår kritiske enheder i sektorerne bankvirksomhed, finansiel
markedsinfrastruktur og digital infrastruktur følger det endvidere af CER-
direktivets artikel 6, stk. 3, at medlemsstaten skal orientere disse enheder
om, at de ikke har forpligtelser i henhold til CER-direktivets kapitel III om
kritiske enheders modstandsdygtighed og kapitel IV om kritiske enheder af
særlig europæisk betydning, medmindre andet er fastsat i national ret.
Det følger af CER-direktivets artikel 6, stk. 3, at medlemsstaterne skal føre
en liste over identificerede kritiske enheder, og efter artikel 6, stk. 5, skal
listen, hvor det er nødvendigt og under alle omstændigheder mindst hvert
fjerde år, gennemgås og i relevant omfang ajourføres. Hvis disse ajourførin-
ger fører til identifikation af yderligere kritiske enheder, finder CER-direk-
tivets artikel 6, stk. 3 og 4, om underretning om identifikation, anvendelse
for de yderligere kritiske enheder.
Det følger desuden af CER-direktivets artikel 6, stk. 5, bl.a., at medlemssta-
terne sikrer, at enheder, der ikke længere identificeres som kritiske enheder
som følge af en ajourføring, rettidigt underrettes herom og om, at de ikke
længere er omfattet af forpligtelserne i henhold til CER-direktivets kapitel
III (om kritiske enheders modstandsdygtighed) fra datoen for modtagelsen
af denne orientering.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 6, stk. 3 og stk. 5, og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
114
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Identifikationen af en kritisk enhed sker ved, at vedkommende minister træf-
fer en afgørelse herom, som vil skulle meddeles enheden for at få retsvirk-
ning. Underretningen af den kritiske enhed vil derfor ske som led i medde-
lelsen af afgørelsen om identifikation. I praksis vil orienteringen om den
kritiske enheds forpligtelser, samt om fra hvilken dato forpligtelserne finder
anvendelse, typisk fremgå af afgørelsen om identifikation.
Der stilles imidlertid ikke særlige krav til orienteringens form. Det er derfor
op til den enkelte minister at tilrettelægge sagsgangen og administrationen,
men under forudsætning af, at orienteringen finder sted inden for en måned
efter, at enheden er identificeret som kritisk enhed.
Det følger af det foreslåede
stk. 6,
at vedkommende minister inden for sit
område kan fastsætte nærmere regler om identifikation af kritiske enheder.
Den foreslåede bestemmelse indebærer, at der i sektorspecifikke bekendt-
gørelser kan fastsættes nærmere regler om identifikation af kritiske enheder.
Ved at bekendtgørelserne udstedes af de relevante ressortministre inden for
deres område, vil reglerne kunne målrettes de enkelte sektorer. Anvendelsen
af modellen med en tværgående hovedlov, der suppleres af sektorvise be-
kendtgørelser, vil i øvrigt sikre, at der i nødvendigt omfang kan ske hurtig
ændring af reglerne på baggrund af eksempelvis ændringer i risiko- og trus-
selsbilledet.
De nærmere regler vil skulle udarbejdes inden for den ramme, som de fore-
slåede stk. 2 og 3 udgør. Der vil i den forbindelse f.eks. kunne fastsættes
bestemmelser om de kompetente myndigheders nærmere tilrettelæggelse af
proceduren med at identificere kritiske enheder. Der vil endvidere kunne
fastsættes bestemmelser, som angiver, hvilke sektorspecifikke forhold, her-
under antallet af brugere, den kritiske enheds markedsandel og det relevante
geografiske område, der kan inddrages i vurderingen af, om en hændelse vil
kunne have væsentlig forstyrrende virkning på leveringen af en væsentlig
tjeneste.
Der henvises i øvrigt til afsnit 3.1 i lovforslagets almindelige bemærkninger.
Til § 4
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og ud-
pegning af europæisk kritisk infrastruktur og vurdering af behovet for at be-
skytte den bedre (EPCIP-direktivet) fastsætter en procedure og nærmere kri-
terier for indkredsning af potentiel europæisk kritisk infrastruktur og even-
tuel efterfølgende udpegning af den europæiske kritiske infrastruktur som
sådan.
115
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Det følger af artikel 3, stk. 1, i EPCIP-direktivet, at hver medlemsstat ind-
kredser den potentielle europæiske kritiske infrastruktur, som opfylder nær-
mere fastsatte tværgående og sektorbaserede kriterier og er i overensstem-
melse med definitionerne for »kritisk infrastruktur« og »europæisk kritisk
infrastruktur« i EPCIP-direktivets artikel 2, litra a og b. I direktivets bilag
III er fastsat en nærmere procedure for medlemsstaternes indkredsning af
europæisk kritisk infrastruktur.
Det følger af EPCIP-direktivets artikel 2, litra b, at der ved »europæisk kri-
tisk infrastruktur« forstås kritisk infrastruktur, der befinder sig i medlems-
staterne, og hvis afbrydelse eller ødelæggelse ville få betydelige konsekven-
ser for to eller flere medlemsstater.
EPCIP-direktivet fastsætter herefter en høringsmekanisme, hvorefter med-
lemsstaterne efter indkredsning af potentiel europæisk kritisk infrastruktur
underretter og indleder drøftelser med de øvrige medlemsstater, som kan
blive berørt i betydelig grad af en potentiel europæisk kritisk infrastruktur.
På baggrund af drøftelsen og nærmere aftale herom, kan den medlemsstat,
på hvis område en potentiel europæisk kritisk infrastruktur er beliggende,
derefter udpege den som europæisk kritisk infrastruktur. Medlemsstaten
skal herefter underrette ejeren eller operatøren af infrastrukturen om dens
udpegning som europæisk kritisk infrastruktur.
EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og
transportsektorerne, som er de to sektorer, der er omfattet af direktivet. For
en nærmere gennemgang af den sektorvise implementering af EPCIP-direk-
tivet henvises til afsnit 2.3 i lovforslagets almindelige bemærkninger.
Det følger af den foreslåede § 4,
stk. 1,
at kritiske enheder betragtes som
kritiske enheder af særlig europæisk betydning, hvis de leverer de samme
eller lignende væsentlige tjenester til eller i seks eller flere EU-medlemssta-
ter.
Den foreslåede bestemmelse gennemfører artikel 17, stk. 1, i Europa-Parla-
mentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kriti-
ske enheders modstandsdygtighed og om ophævelse af Rådets direktiv
2008/114/EF (CER-direktivet), hvorefter en enhed betragtes som en kritisk
enhed af særlig europæisk betydning, hvor den a) er blevet identificeret som
en kritisk enhed i henhold til direktivets artikel 6, stk. 1, b) leverer de samme
eller lignende væsentlige tjenester til eller i seks eller flere medlemsstater,
og c) er blevet underrettet i henhold til direktivets artikel 17, stk. 3.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
116
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
til CER-direktivets artikel 17, stk. 1, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
Baggrunden for CER-direktivets artikel 17, stk. 1, beskrives i præambelbe-
tragtning nr. 35, hvoraf det fremgår, at selv om kritiske enheder generelt
opererer som en del af et stadig mere sammenkoblet net af tjenester og in-
frastruktur og ofte leverer væsentlige tjenester i mere end én medlemsstat,
er nogle kritiske enheder af særlig betydning for Unionen og dens indre mar-
ked, fordi de leverer væsentlige tjenester til eller i seks eller flere medlems-
stater og derfor vil kunne drage fordel af specifik støtte på EU-plan.
Det er således en forudsætning efter den foreslåede bestemmelse, at den på-
gældende enhed leverer de samme eller lignende væsentlige tjenester til el-
ler i seks eller flere EU-medlemsstater. Enheden vil skulle underrette den
kompetente myndighed efter det foreslåede stk. 2, jf. nedenfor, såfremt den
leverer væsentlige tjenester til eller i seks eller flere medlemsstater.
Bl.a. for at vurdere, om der leveres de samme eller lignende væsentlige tje-
nester, vil den konsultationsprocedure, som reguleres i direktivets artikel 17,
stk. 2, og 3, skulle følges. Konsultationsproceduren indebærer overordnet,
at Europa-Kommissionen konsulterer den pågældende kritiske enhed samt
de kompetente myndigheder i de medlemsstater, hvor enheden har oplyst at
levere væsentlige tjenester, med henblik på at undersøge, om den kritiske
enhed leverer de samme eller lignende væsentlige tjenester i eller til seks
eller flere EU-medlemsstater. Europa-Kommissionen vil på den baggrund
konstatere, om den pågældende kritiske enhed er at betragte som en kritisk
enhed af væsentlig europæisk betydning. En enhed vil således først betrag-
tes som en kritisk enhed af særlig europæisk betydning, når Europa-Kom-
missionen har konstateret dette.
Det bemærkes i øvrigt, at det i lovforslagets § 1, stk. 5, i overensstemmelse
med CER-direktivets artikel 8, foreslås, at for kritiske enheder i sektorerne
bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur fin-
der de foreslåede §§ 4-9 og 15-17 ikke anvendelse. Kritiske enheder i disse
sektorer vil således ikke kunne identificeres som kritiske enheder af særlig
europæisk betydning i medfør af den foreslåede bestemmelse. Der henvises
i øvrigt til bemærkningerne til den foreslåede § 1, stk. 5.
Det følger af det foreslåede
stk. 2,
at kritiske enheder skal underrette den
relevante kompetente myndighed, såfremt de leverer væsentlige tjenester til
eller i seks eller flere EU-medlemsstater. Enhederne skal i den forbindelse
oplyse, hvilke væsentlige tjenester de leverer, samt hvilke EU-medlemssta-
ter tjenesterne leveres til eller i.
117
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 17, stk.
2, 1. led, hvorefter medlemsstaterne sikrer, at en kritisk enhed efter den i
direktivets artikel 6, stk. 3, omhandlede underretning oplyser sin kompe-
tente myndighed, hvis den leverer væsentlige tjenester til eller i seks eller
flere medlemsstater. I så fald sikrer medlemsstaterne, at den kritiske enhed
oplyser sin kompetente myndighed om de væsentlige tjenester, den leverer
til eller i disse medlemsstater, og om de medlemsstater, hvortil eller hvori
den leverer sådanne væsentlige tjenester. Medlemsstaterne underretter uden
unødigt ophold Europa-Kommissionen om identiteten af sådanne kritiske
enheder samt om de oplysninger, de leverer i henhold til nærværende stykke.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 17, stk. 2, 1. led, og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
Det vil i første omgang være op til de kritiske enheder at vurdere, om de
leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater og
derfor er omfattet af underretningspligten. En væsentlig tjeneste er defineret
i den foreslåede § 2, nr. 6, som en tjeneste, der er afgørende for opretholdel-
sen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folke-
sundhed, offentlig sikkerhed eller miljøet.
Det indgår i kriterierne for identifikation af kritiske enheder efter den fore-
slåede § 3, stk. 2, om enheden leverer en eller flere væsentlige tjenester.
Kritiske enheder, der er identificeret som sådan, forudsættes således i for-
bindelse med identifikationen at være gjort bekendt med, hvilke af deres
tjenester, der af den relevante kompetente myndighed betragtes som væsent-
lige tjenester. Såfremt kritiske enheder er i tvivl om, hvorvidt de måtte le-
vere væsentlige tjenester til eller i seks eller flere EU-medlemsstater, vil de
kunne søge rådgivning hos den relevante kompetente myndighed.
Det følger af det foreslåede
stk. 3,
at den relevante kompetente myndighed
uden unødigt ophold underretter en kritisk enhed om, at den er identificeret
som en kritisk enhed af særlig europæisk betydning, om dens forpligtelser
efter § 17 og om fra hvilken dato disse forpligtelser finder anvendelse.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 17, stk.
3, som fastslår, at såfremt Europa-Kommissionen på grundlag af de i direk-
tivets artikel 17, stk. 2, omhandlede konsultationer konstaterer, at den på-
gældende kritiske enhed leverer væsentlige tjenester til eller i seks eller flere
medlemsstater, så underretter Europa-Kommissionen gennem den kompe-
tente myndighed den pågældende kritiske enhed om, at den anses for at være
en kritisk enhed af særlig europæisk betydning, og oplyser den kritiske en-
118
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
hed om dens forpligtelser i henhold til direktivets kapitel om kritiske enhe-
der af særlig europæisk betydning og om, fra hvilken dato disse forpligtelser
finder anvendelse. Når Europa-Kommissionen således har oplyst den kom-
petente myndighed om sin beslutning om at betragte en kritisk enhed som
en kritisk enhed af særlig europæisk betydning, videresender den kompe-
tente myndighed uden unødigt ophold denne underretning til den pågæl-
dende kritiske enhed.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 17, stk. 3, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
I overensstemmelse med artikel 17, stk. 3, skal den relevante kritiske enhed
uden unødigt ophold underrettes om, at den betragtes som en kritisk enhed
af særlig europæisk betydning.
Den kompetente myndighed vil endvidere skulle underrette den kritiske en-
hed om dens forpligtelser som kritisk enhed af særlig europæisk betydning.
Det følger således af den foreslåede § 17, at kritiske enheder af særlig euro-
pæisk betydning skal give rådgivende EU-delegationer adgang til oplysnin-
ger, systemer og faciliteter, der vedrører leveringen af deres væsentlige tje-
nester, og som er nødvendige for at gennemføre den pågældende rådgivende
aktivitet. Der henvises til de specielle bemærkninger til den foreslåede § 17.
Den foreslåede bestemmelse i lovforslagets § 4, stk. 3, vil derudover med-
føre, at den kompetente myndighed skal underrette den kritiske enhed om,
fra hvilken dato forpligtelserne finder anvendelse. Det følger af CER-direk-
tivets artikel 17, stk. 4, at forpligtelserne i direktivets kapitel IV om kritiske
enheder af særlig europæisk betydning, som foreslås gennemført i nærvæ-
rende lovforslags §§ 4 og 17, finder anvendelse på den relevante kritiske
enhed fra datoen for modtagelse af underretningen om, at den er identificeret
som en kritisk enhed af særlig europæisk betydning.
Der henvises i øvrigt til afsnit 3.1 i lovforslagets almindelige bemærkninger.
Til § 5
Det følger af artikel 7, stk. 1, i Rådets direktiv 2008/114/EF af 8. december
2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og
vurdering af behovet for at beskytte den bedre (EPCIP-direktivet), at hver
medlemsstat skal foretage en trusselsvurdering i forbindelse med undersek-
torerne af europæisk kritisk infrastruktur senest et år efter, at den kritiske
infrastruktur på dens område er blevet udpeget som europæisk kritisk infra-
struktur inden for de pågældende undersektorer.
119
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Der påhviler ikke ejere eller operatører af europæisk kritisk infrastruktur en
tilsvarende forpligtelse til at foretage en trusselsvurdering.
EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og
transportsektorerne, som er de to sektorer, der er omfattet af direktivet. For
en nærmere gennemgang af den sektorvise implementering af EPCIP-direk-
tivet henvises til afsnit 2.3 i lovforslagets almindelige bemærkninger.
Det følger af den foreslåede
§ 5, stk. 1,
at kritiske enheder skal foretage en
risikovurdering med henblik på at vurdere alle relevante risici, der kan for-
styrre leveringen af deres væsentlige tjenester.
Den foreslåede bestemmelse gennemfører den del af artikel 12, stk. 1, i Eu-
ropa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022
om kritiske enheders modstandsdygtighed og om ophævelse af Rådets di-
rektiv 2008/114/EF (CER-direktivet), hvorefter medlemsstaterne skal sikre,
at kritiske enheder foretager en risikovurdering for at vurdere alle relevante
risici, der kunne forstyrre leveringen af deres væsentlige tjenester (»kritiske
enheders risikovurderinger«).
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til dele af CER-direktivets artikel 12, stk. 1, og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
Baggrunden for CER-direktivets artikel 12, stk. 1, beskrives i præambelbe-
tragtning nr. 28, hvor det anføres, at kritiske enheder bør have en omfattende
forståelse af de relevante risici, som de er eksponeret for, og en pligt til at
analysere disse risici.
Det bemærkes i øvrigt, at det i lovforslagets § 1, stk. 5, i overensstemmelse
med CER-direktivets artikel 8, foreslås, at for kritiske enheder i sektorerne
bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur fin-
der de foreslåede §§ 4-9 og 15-17 ikke anvendelse. Kritiske enheder i disse
sektorer vil således ikke være omfattet af bestemmelsen om kritiske enhe-
ders risikovurdering. Der henvises til de specielle bemærkninger til den fo-
reslåede § 1, stk. 5.
Det følger af det foreslåede
stk. 2,
at risikovurderingen skal foretages på
grundlag af den nationale risikovurdering og andre relevante informations-
kilder, og den skal tage højde for alle relevante naturlige og menneskeskabte
risici, der kan føre til en hændelse. Risikovurderingen skal endvidere tage
hensyn til det omfang i hvilket andre sektorer omfattet af CER-direktivet,
jf. lovens bilag 1, afhænger af den kritiske enheds væsentlige tjeneste, og
120
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
det omfang i hvilket den kritiske enhed afhænger af væsentlige tjenester, der
leveres af andre enheder i andre sektorer omfattet af CER-direktivet, jf. lo-
vens bilag 1, herunder i andre lande.
Den foreslåede bestemmelse gennemfører de dele af CER-direktivets artikel
12, stk. 1, der fastsætter, at kritiske enheder skal foretage en risikovurdering
på grundlag af medlemsstatsrisikovurderinger og andre relevante informati-
onskilder.
Bestemmelsen gennemfører desuden direktivets artikel 12, stk. 2, hvoraf det
følger, at kritiske enheders risikovurderinger skal tage højde for alle rele-
vante naturlige og menneskeskabte risici, der kunne føre til en hændelse,
herunder af tværsektoriel eller grænseoverskridende karakter, ulykker, na-
turkatastrofer, folkesundhedskriser og hybride trusler og andre antagonisti-
ske trusler, herunder terrorhandlinger som fastsat i Europa-Parlamentets og
Rådets direktiv (EU) 2017/541 af 15. marts 2017 om bekæmpelse af terro-
risme m.v. (terrordirektivet). Det fremgår endvidere af bestemmelsen, at en
kritisk enheds risikovurdering skal tage hensyn til det omfang, andre sekto-
rer anført i direktivets bilag afhænger af den væsentlige tjeneste, der leveres
af den kritiske enhed, og det omfang den kritiske enhed afhænger af væsent-
lige tjenester, der leveres af andre enheder i sådanne andre sektorer, herun-
der i nabomedlemsstater og tredjelande, hvor det er relevant.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til relevante dele af CER-direktivets artikel 12, stk. 1 og 2, og skal forstås
og anvendes i overensstemmelse med direktivets forudsætninger.
I overensstemmelse med direktivets artikel 12, stk. 1, vil kritiske enheder
skulle foretage deres risikovurdering på grundlag af den nationale risikovur-
dering, der vil blive udarbejdet af Forsvarsministeriet og Justitsministeriet i
overensstemmelse med CER-direktivets artikel 5, stk. 1. Det forudsættes, at
relevante elementer af den nationale risikovurdering gøres offentligt tilgæn-
gelig eller på anden vis kommunikeres til identificerede kritiske enheder.
Kritiske enheder vil endvidere skulle inddrage andre relevante informati-
onskilder i forbindelse med risikovurderingen. Andre relevante informati-
onskilder vil efter omstændighederne kunne omfatte eksempelvis Politiets
Efterretningstjenestes og Forsvarets Efterretningstjenestes trussels- og risi-
kovurderinger, Beredskabsstyrelsens Nationale Risikobillede samt mere
sektorspecifikke produkter. Der henvises i øvrigt til bemærkningerne til den
foreslåede § 5, stk. 4.
Efter den foreslåede bestemmelse skal de kritiske enheders risikovurdering
tage højde for alle relevante naturlige og menneskeskabte risici. Naturlige
121
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
og menneskeskabte risici vil i overensstemmelse med direktivets præambel-
betragtning nr. 15 bl.a. omfatte tværsektorielle eller grænseoverskridende
risici, som vil kunne påvirke leveringen af væsentlige tjenester. Det kan
f.eks. være ulykker, naturkatastrofer, folkesundhedskriser såsom pandemier
og hybride trusler eller andre antagonistiske trusler, herunder terrorhandlin-
ger, kriminel infiltration og sabotage.
I overensstemmelse med direktivets artikel 12, stk. 2, 2. led, kan en kritisk
enhed, der har foretaget andre risikovurderinger eller udarbejdet dokumen-
ter i henhold til forpligtelser i andre retsakter, der er relevante for dens risi-
kovurdering, anvende disse vurderinger og dokumenter til at opfylde de
krav, der er fastsat i artiklen. Det fremgår videre af direktivets artikel 12,
stk. 2, 2. led, at ved udøvelse af sine tilsynsfunktioner kan den kompetente
myndighed erklære, at en kritisk enheds eksisterende risikovurdering, som
behandler de risici og det omfang af afhængighed, der er omhandlet i artikel
12, helt eller delvist opfylder forpligtelserne efter artiklen.
Baggrunden for artikel 12, stk. 2, 2. led, beskrives i CER-direktivets præ-
ambelbetragtning nr. 28, hvoraf det bl.a. fremgår, at hvor kritiske enheder
har foretaget andre risikovurderinger eller udarbejdet dokumenter i henhold
til forpligtelser i andre retsakter, der er relevante for deres risikovurdering,
bør de kunne anvende disse vurderinger og dokumenter til at opfylde kra-
vene i CER- direktivet vedrørende kritiske enheders risikovurdering. Det
fremgår videre, at en kompetent myndighed bør kunne erklære, at en eksi-
sterende risikovurdering foretaget af en kritisk enhed, der behandler de re-
levante risici og det relevante omfang af afhængighed, helt eller delvist op-
fylder forpligtelserne i dette direktiv.
Det følger af det foreslåede
stk. 3,
at risikovurderingen skal opdateres, når
det er nødvendigt, og mindst hvert fjerde år.
Den foreslåede bestemmelse gennemfører den del af CER-direktivets artikel
12, stk. 1, hvorefter medlemsstaterne skal sikre, at kritiske enheder foretager
en risikovurdering inden for ni måneder efter underretningen om at være
identificeret som kritisk enhed, når det er nødvendigt efterfølgende, og
mindst hvert fjerde år.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til de relevante dele af CER-direktivets artikel 12, stk. 1, og skal forstås og
anvendes i overensstemmelse med direktivets forudsætninger.
Den foreslåede bestemmelse skal ses i sammenhæng med den foreslåede §
4, stk. 5, hvorefter enheden i forbindelse med underretningen om at være
122
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
identificeret som kritisk enhed samtidig skal underrettes om dens forpligtel-
ser, og om fra hvilken dato forpligtelserne finder anvendelse. Det vil således
bl.a. fremgå af denne underretning, at risikovurderingen skal være gennem-
ført inden for ni måneder efter identifikationen som kritisk enhed, og at den
skal opdateres, når det er nødvendigt, og mindst hvert fjerde år.
Det følger af det foreslåede
stk. 4,
at vedkommende minister inden for sit
område kan fastsætte nærmere regler om kritiske enheders risikovurdering.
Bemyndigelsen vil kunne udnyttes til at fastsætte nærmere regler om kriti-
ske enheders risikovurdering inden for de enkelte sektorer, og derved sikre,
at særlige sektorspecifikke forhold indgår i risikovurderingen. Eksempelvis
kan der være sektorer, hvor særlige beredskabsplaner, nationale og interna-
tionale rapporter vil være naturlige at inddrage i forbindelse med en risiko-
vurdering.
Der henvises i øvrigt til afsnit 3.2 i lovforslagets almindelige bemærkninger.
Til § 6
Det følger af Rådets direktiv 2008/114/EF af 8. december 2008 om ind-
kredsning og udpegning af europæisk kritisk infrastruktur og vurdering af
behovet for at beskytte den bedre (EPCIP-direktivet), at operatørerne skal
udarbejde en sikkerhedsplan for deres del af den europæiske kritiske infra-
struktur i energi- og transportsektorerne, hvis forstyrrelse eller ødelæggelse
vil få betydelig grænseoverskridende indvirkning på mindst to medlemssta-
ter. Kravene til sikkerhedsplanen omfatter overordnet en forpligtelse til at
identificere vigtige aktiver, gennemføre en risikoanalyse og etablere rele-
vante sikkerhedsforanstaltninger til sikring af den kritiske infrastruktur.
EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og
transportsektorerne, som er de to sektorer, der er omfattet af direktivet. For
en nærmere gennemgang af den sektorvise implementering af EPCIP-direk-
tivet henvises til afsnit 2.3 i lovforslagets almindelige bemærkninger.
Kritiske enheder i luftfarts- og søtransportsektoren skal i henhold til Europa-
Parlamentets og Rådets forordning (EF) nr. 300/2008 og (EF) nr. 725/2004
og Europa-Parlamentets og Rådets direktiv 2005/65/EF træffe en række for-
anstaltninger med henblik på at forebygge hændelser forårsaget af ulovlige
handlinger og modstå og afbøde følgerne af sådanne hændelser.
Efter § 24 i beredskabsloven, jf. lovbekendtgørelse nr. 314 af 3. april 2017,
gælder der en forpligtelse for de enkelte ministre til, inden for deres område,
hver især at planlægge for opretholdelse og videreførelse af samfundets
funktioner i tilfælde af større ulykker og katastrofer.
123
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Det følger af den foreslåede
§ 6, stk. 1,
at kritiske enheder skal træffe pas-
sende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske
foranstaltninger for at sikre enhedernes modstandsdygtighed på grundlag af
den nationale risikovurdering og den kritiske enheds egen risikovurdering,
herunder foranstaltninger, der er nødvendige for at 1) forhindre hændelser i
at indtræffe under behørig hensyntagen til katastroferisikoreduktions- og
klimatilpasningsforanstaltninger, 2) sikre tilstrækkelig fysisk beskyttelse af
enhedens lokaler og kritiske infrastruktur under behørig hensyntagen til
f.eks. hegn, barrierer, værktøjer og rutiner til overvågning af perimetre, de-
tektionsudstyr og adgangskontrol, 3) reagere på, modstå og afbøde følgerne
af hændelser under behørig hensyntagen til gennemførelsen af risiko- og
krisestyringsprocedurer og -protokoller samt varslingsrutiner, 4) sikre gen-
opretning efter hændelser under behørig hensyntagen til forretningskonti-
nuitetsforanstaltninger og identifikation af alternative forsyningskæder for
at genoptage leveringen af væsentlige tjenester, 5) sikre passende medar-
bejdersikkerhedsstyring under behørig hensyntagen til foranstaltninger så-
som fastsættelse af kategorier af eget og eksternt personale, der udøver kri-
tiske funktioner, fastlæggelse af adgangsrettigheder til lokaler, kritisk infra-
struktur og følsomme oplysninger, fastsættelse af procedurer for baggrunds-
kontrol jf. § 9 og udpegelse af kategorier af personer, som er forpligtet til at
gennemgå en sådan baggrundskontrol, samt fastlæggelse af passende ud-
dannelseskrav og kvalifikationer og 6) øge bevidstheden blandt det rele-
vante personale om de foranstaltninger, der er omhandlet i nr. 1-5, under
behørig hensyntagen til kurser, informationsmateriale og øvelser.
Den foreslåede bestemmelse gennemfører artikel 13, stk. 1, i Europa-Parla-
mentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kriti-
ske enheders modstandsdygtighed og om ophævelse af Rådets direktiv
2008/114/EF (CER-direktivet), hvoraf følger, at medlemsstaterne skal sikre,
at kritiske enheder træffer passende og forholdsmæssige tekniske, sikker-
hedsmæssige og organisatoriske foranstaltninger for at sikre deres mod-
standsdygtighed på grundlag af de relevante oplysninger, som medlemssta-
terne har givet om medlemsstatsrisikovurderingen, og af resultaterne af de
kritiske enheders risikovurderinger.
Modstandsdygtighedsforanstaltninger omfatter efter direktivets artikel 13,
stk. 1, 1. led, foranstaltninger, der er nødvendige for at a) forhindre hændel-
ser i at indtræffe under behørig hensyntagen til katastroferisikoreduktions-
og klimatilpasningsforanstaltninger, b) sikre tilstrækkelig fysisk beskyttelse
af deres lokaler og kritiske infrastruktur under behørig hensyntagen til f.eks.
hegn, barrierer, værktøjer og rutiner til overvågning af perimetre, detekti-
onsudstyr og adgangskontrol, c) reagere på, modstå og afbøde følgerne af
hændelser under behørig hensyntagen til gennemførelsen af risiko- og kri-
124
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
sestyringsprocedurer og -protokoller samt varslingsrutiner, d) sikre genop-
retning efter hændelser under behørig hensyntagen til forretningskontinui-
tetsforanstaltninger og identifikation af alternative forsyningskæder for at
genoptage leveringen af væsentlige tjenester, e) sikre passende medarbej-
dersikkerhedsstyring under behørig hensyntagen til foranstaltninger såsom
fastsættelse af kategorier af personale, der udøver kritiske funktioner, fast-
læggelse af adgangsrettigheder til lokaler, kritisk infrastruktur og følsomme
oplysninger, fastsættelse af procedurer for baggrundskontrol i overensstem-
melse med direktivets artikel 14 og udpegelse af kategorier af personer, som
er forpligtet til at gennemgå sådan baggrundskontrol, samt fastlæggelse af
passende uddannelseskrav og kvalifikationer, og f) øge bevidstheden blandt
det relevante personale om de foranstaltninger, der er omhandlet i litra a)-
e), under behørig hensyntagen til uddannelseskurser, informationsmateriale
og øvelser.
Det følger endvidere af artikel 13, stk. 1, 2. led, at medlemsstaterne i forbin-
delse med medarbejdersikkerhedsstyringen omhandlet i litra e skal sikre, at
kritiske enheder tager hensyn til eksterne tjenesteudbyderes personale, når
der fastsættes kategorier af personale, som udøver kritiske funktioner.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 13, stk. 1, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
I overensstemmelse med forudsætningen i direktivets præambelbetragtning
nr. 29 vil kritiske enheder skulle træffe passende tekniske, sikkerhedsmæs-
sige og organisatoriske foranstaltninger, der står i et rimeligt forhold til de
risici, som de står over for, for at forebygge, beskytte mod, reagere på, mod-
stå, afbøde, absorbere, tilpasse sig til og komme på fode igen efter en hæn-
delse. Mens kritiske enheder bør træffe disse foranstaltninger i overensstem-
melse med direktivet, bør sådanne foranstaltningers nærmere enkeltheder
og omfang afspejle de forskellige risici, som hver kritisk enhed har identifi-
ceret som led i sin risikovurdering, og de særlige forhold, der gør sig gæl-
dende for en sådan enhed, på en passende og forholdsmæssig måde.
Det bemærkes i den forbindelse, at efter det foreslåede stk. 3 vil vedkom-
mende minister inden for sit område kunne fastsætte nærmere regler om kri-
tiske enheders modstandsdygtighedsforanstaltninger.
Der vil således i sektorspecifikke bekendtgørelser kunne stilles konkretise-
rede krav til de foranstaltninger, som kritiske enheder inden for de omfattede
sektorer skal træffe i medfør af den foreslåede bestemmelse i stk. 1. Anven-
delsen af modellen med en tværgående hovedlov, der suppleres af sektorvise
bekendtgørelser vil i øvrigt sikre, at der i nødvendigt omfang kan ske hurtig
125
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
ændring af reglerne på baggrund af eksempelvis ændringer i risiko- og trus-
selsbilledet. Der henvises til bemærkningerne til stk. 3.
I overensstemmelse med CER-direktivets artikel 6, stk. 3, skal den kritiske
enhed efterleve kravene til modstandsdygtighed senest ti måneder efter, at
enheden har modtaget underretning om at være identificeret som kritisk en-
hed.
Det bemærkes i øvrigt, at det i lovforslagets § 1, stk. 5, i overensstemmelse
med CER-direktivets artikel 8, foreslås, at for kritiske enheder i sektorerne
bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur fin-
der de foreslåede §§ 4-9 og 15-17 ikke anvendelse. Kritiske enheder i disse
sektorer vil således ikke være omfattet af bestemmelserne om kritiske enhe-
ders modstandsdygtighed. Der henvises til de specielle bemærkninger til
den foreslåede § 1, stk. 5.
Det følger af det foreslåede
stk. 2,
at kritiske enheder skal have og anvende
en plan for modstandsdygtighed, der beskriver, hvilke foranstaltninger der
er truffet i henhold til stk. 1.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 13, stk.
2, 1. og 2. pkt., hvoraf følger, at medlemsstaterne skal sikre, at kritiske en-
heder har indført og anvender en plan for modstandsdygtighed eller et eller
flere tilsvarende dokumenter, der beskriver de trufne foranstaltninger. Kri-
tiske enheder, der har udarbejdet dokumenter eller truffet foranstaltninger i
henhold til forpligtelser i andre retsakter, som er relevante for foranstaltnin-
gerne efter CER-direktivet, kan anvende disse dokumenter og foranstaltnin-
ger.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 13, stk. 2, 1. og 2. pkt., og skal forstås og anven-
des i overensstemmelse med direktivets forudsætninger.
I overensstemmelse med direktivets forudsætninger, som udtrykt i præam-
belbetragtning nr. 30, 1. pkt., vil kritiske enheder skulle beskrive de foran-
staltninger, som de træffer, med en detaljeringsgrad, der i tilstrækkelig grad
når målene om effektivitet og ansvarlighed, i en plan for modstandsdygtig-
hed eller i et eller flere dokumenter, der svarer til en plan for modstandsdyg-
tighed, og anvende denne plan i praksis.
Som forudsat i direktivets artikel 13, stk. 2, 2. pkt., vil kritiske enheder ikke
nødvendigvis i medfør af den foreslåede bestemmelse skulle udarbejde en
ny plan for modstandsdygtighed, men kan i relevant omfang henvise til al-
lerede foreliggende dokumenter, som måtte være udarbejdet i henhold til
126
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
forpligtelser i anden regulering. I denne forbindelse kan relevante dokumen-
ter eksempelvis omfatte enhedens generelle beredskabsplan, hændelsesspe-
cifikke delplaner, eller indsatsplaner m.v.
I overensstemmelse med CER-direktivets artikel 6, stk. 3, skal den kritiske
enhed efterleve kravene til modstandsdygtighed senest ti måneder efter, at
enheden har modtaget underretning om at være identificeret som kritisk en-
hed.
Det følger af det foreslåede
stk. 3,
at vedkommende minister inden for sit
område kan fastsætte nærmere regler om kritiske enheders modstandsdyg-
tighedsforanstaltninger.
Den foreslåede bestemmelse indebærer, at der i sektorspecifikke bekendt-
gørelser kan fastsættes nærmere regler om de foranstaltninger, som kritiske
enheder inden for de omfattede sektorer skal træffe. Reglerne vil kunne stille
mere konkretiserede krav til de foranstaltninger, som enhederne skal træffe
i medfør af den foreslåede bestemmelse i stk. 1.
De nærmere regler vil skulle udarbejdes inden for den ramme, som det fo-
reslåede stk. 1 udgør, herunder udarbejdes under hensyntagen til de forud-
sætninger, der er indlagt i det foreslåede stk. 1. Det indebærer bl.a., at reg-
lerne vil skulle være i overensstemmelse med regeringens principper for mi-
nimumsimplementering af erhvervsrettet EU-regulering, hvorefter den na-
tionale regulering som udgangspunkt ikke bør gå videre end minimumskra-
vene i EU-reguleringen.
Ved at bekendtgørelserne udstedes af de relevante ressortministre inden for
deres områder, vil der blive skabt en klarere ramme for de berørte enheder,
samtidig med at der vil kunne tages højde for særlige sektorvise forhold.
Anvendelsen af modellen med en tværgående hovedlov, der suppleres af
sektorvise bekendtgørelser vil i øvrigt sikre, at der i nødvendigt omfang kan
ske hurtig ændring af reglerne på baggrund af eksempelvis ændringer i ri-
siko- og trusselsbilledet.
Det bemærkes, at det følger af CER-direktivets artikel 13, stk. 6, at Europa-
Kommissionen vedtager gennemførelsesretsakter med henblik på at fast-
sætte de nødvendige tekniske og metodiske specifikationer vedrørende an-
vendelsen af de i artikel 13, stk. 1, omhandlende modstandsdygtighedsfor-
anstaltninger.
Såfremt Europa-Kommissionens gennemførelsesretsakter om anvendelsen
af modstandsdygtighedsforanstaltninger foreligger på tidspunktet for udste-
delsen af bekendtgørelserne, vil disse skulle tage højde for indholdet af de
127
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
tekniske og metodiske specifikationer, der fremgår heraf. Såfremt gennem-
førelsesretsakterne først foreligger på et senere tidspunkt, vil bekendtgørel-
serne i relevant omfang skulle justeres på baggrund heraf, således at det sik-
res, at de er i overensstemmelse med de rammer, der måtte følge af Europa-
Kommissionens retsakter. Såfremt gennemførelsesretsakterne måtte regu-
lere området fuldt ud, vil allerede udstedte bekendtgørelser i givet fald
skulle ophæves.
Der henvises i øvrigt til afsnit 3.2 i lovforslagets almindelige bemærkninger.
Til § 7
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og ud-
pegning af europæisk kritisk infrastruktur og vurdering af behovet for at be-
skytte den bedre (EPCIP-direktivet) fastsætter i artikel 6, at ejere og opera-
tører af europæisk kritisk infrastruktur skal udpege en sikkerhedsforbindel-
sesofficer, som fungerer som kontaktpunkt i forbindelse med sikkerheds-
mæssige spørgsmål mellem ejeren eller operatøren af den europæiske kriti-
ske infrastruktur og medlemsstatens relevante myndighed.
Endvidere fremgår det af EPCIP-direktivet bl.a., at hver medlemsstat indfø-
rer en passende kommunikationsmekanisme mellem medlemsstatens rele-
vante myndighed og sikkerhedsforbindelsesofficeren eller tilsvarende med
henblik på at udveksle relevante oplysninger om de identificerede risici og
trusler i forbindelse med den pågældende europæiske kritiske infrastruktur.
EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og
transportsektorerne, som er de to sektorer, der er omfattet af direktivet. For
en nærmere gennemgang af den sektorvise implementering af EPCIP-direk-
tivet henvises til afsnit 2.3 i lovforslagets almindelige bemærkninger.
Det følger af den foreslåede
§ 7,
at kritiske enheder skal udpege en kontakt-
person og meddele relevante kontaktoplysninger til den relevante kompe-
tente myndighed. Den kritiske enhed skal underrette den kompetente myn-
dighed om ændringer i kontaktoplysningerne.
Den foreslåede bestemmelse gennemfører artikel 13, stk. 3, i Europa-Parla-
mentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kriti-
ske enheders modstandsdygtighed og om ophævelse af Rådets direktiv
2008/114/EF (CER-direktivet), hvoraf følger, at medlemsstaterne sikrer, at
hver kritisk enhed udpeger en forbindelsesofficer eller tilsvarende som kon-
taktpunkt for de kompetente myndigheder.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
128
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
til CER-direktivets artikel 13, stk. 3, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
Den foreslåede bestemmelse indebærer, at den enkelte kritiske enhed skal
give den relevante kompetente myndighed meddelelse om, hvilken person
der varetager opgaven som kontaktperson. Det skal af meddelelsen til den
kompetente myndighed fremgå, hvilke kontaktoplysninger, herunder f.eks.
navn, e-mail og telefonnummer, den pågældende person har. Eventuelle æn-
dringer i kontaktinformation skal meddeles til den relevante kompetente
myndighed.
I overensstemmelse med CER-direktivets artikel 6, stk. 3, skal den kritiske
enhed efterleve kravet om meddelelse af kontaktperson og kontaktoplysnin-
ger senest ti måneder efter, at enheden har modtaget underretning om at
være identificeret som kritisk enhed.
Til § 8
Der er ikke i Rådets direktiv 2008/114/EF af 8. december 2008 om indkreds-
ning og udpegning af europæisk kritisk infrastruktur og vurdering af beho-
vet for at beskytte den bedre (EPCIP-direktivet) fastsat forpligtelser for ejere
og operatører af europæisk kritisk infrastruktur til at underrette myndighe-
derne om hændelser.
Det følger af den foreslåede
§ 8, stk. 1,
at kritiske enheder skal underrette
den relevante kompetente myndighed om hændelser, der i betydelig grad
forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af
enhedens væsentlige tjenester.
Den foreslåede bestemmelse gennemfører dele af artikel 15, stk. 1, 1. pkt., i
Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december
2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets
direktiv 2008/114/EF (CER-direktivet), hvorefter medlemsstaterne sikrer,
at kritiske enheder uden unødigt ophold underretter den kompetente myn-
dighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i
betydelig grad at forstyrre leveringen af væsentlige tjenester.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til de relevante dele af CER-direktivets artikel 15, stk. 1, 1. pkt., og skal
forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Det er i den foreslåede bestemmelse præciseret, at den kritiske enhed er for-
pligtet til at underrette den kompetente myndighed om hændelser, der i be-
tydelig grad forstyrrer eller har potentiale til at forstyrre leveringen af den
129
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
pågældende kritiske enheds egne væsentlige tjenester. Den foreslåede un-
derretningsforpligtelse omfatter således ikke hændelser, der mere generelt
kan forstyrre eller har potentiale til at forstyrre leveringen af væsentlige tje-
nester.
Underretning vil skulle ske til den kompetente myndighed for den sektor,
som den tjeneste, der i betydelig grad forstyrres eller potentielt kan blive
forstyrret af hændelsen, leveres i. Såfremt enheden leverer tjenester i flere
sektorer, som påvirkes eller potentielt påvirkes af hændelsen, skal enheden
underrette de kompetente myndigheder i alle de pågældende sektorer. Det
forventes, at underretningerne af de forskellige relevante myndigheder vil
skulle foretages via en fælles digital indgang, såsom Virk.dk. Dette vil sikre,
at de berørte enheder alene skal foretage én samlet underretning, som deref-
ter fordeles til de relevante myndigheder. Der henvises i øvrigt til den fore-
slåede § 13 og bemærkningerne hertil.
I overensstemmelse med CER-direktivets artikel 6, stk. 3, skal den kritiske
enhed efterleve underretningsforpligtelserne senest ti måneder efter, at en-
heden har modtaget underretning om at være identificeret som kritisk enhed.
Det følger af det foreslåede
stk. 2,
at ved vurdering af en forstyrrelses om-
fang indgår navnlig 1) antallet og andelen af brugere, der er berørt af for-
styrrelsen, 2) forstyrrelsens varighed og 3) det geografiske område, der er
berørt af forstyrrelsen, idet der tages hensyn til, om det er et geografisk iso-
leret område.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 15, stk.
1, 3. pkt., som fastsætter, at med henblik på at fastslå en forstyrrelses omfang
tages navnlig følgende kriterier i betragtning: a) Antallet og andelen af bru-
gere, der er berørt af forstyrrelsen, b) forstyrrelsens varighed og c) det geo-
grafiske område, der er berørt af forstyrrelsen, idet der tages hensyn til, om
det er et geografisk isoleret område.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 15, stk. 1, 3. pkt., og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
Efter den foreslåede bestemmelse vil den kritiske enhed ud fra de tre opli-
stede kriterier skulle foretage en konkret vurdering af, om en hændelse kan
siges at forstyrre leveringen af tjenester i betydelig grad.
Det bemærkes, at de oplistede kriterier vil kunne uddybes nærmere i sektor-
specifikke bekendtgørelser. Der henvises til bemærkningerne til det foreslå-
ede stk. 7 nedenfor.
130
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Det følger af det foreslåede
stk. 3,
at underretninger efter stk. 1 skal inde-
holde alle tilgængelige oplysninger, der er nødvendige for, at den kompe-
tente myndighed kan forstå hændelsens art, årsag og mulige konsekvenser,
herunder alle tilgængelige oplysninger, der er nødvendige for at fastslå hæn-
delsens eventuelle grænseoverskridende indvirkning.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 15, stk.
2, som fastsætter, at underretninger som omhandlet i artikel 15, stk. 1, 1. led,
skal indeholde alle tilgængelige oplysninger, der er nødvendige for, at den
kompetente myndighed kan forstå hændelsens art, årsag og mulige konse-
kvenser, herunder alle tilgængelige oplysninger, der er nødvendige for at
fastslå hændelsens eventuelle grænseoverskridende indvirkning. Det fast-
sættes endvidere, at sådanne underretninger ikke medfører et øget ansvar for
kritiske enheder.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 15, stk. 2, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
Den kompetente myndighed, der modtager en underretning, vil i overens-
stemmelse med CER-direktivets artikel 15, stk. 3, via det centrale kontakt-
punkt skulle orientere andre berørte medlemsstater om en hændelse, hvis
den pågældende hændelse har eller vil kunne have grænseoverskridende
indvirkning.
Hvor en hændelse har eller kan have betydelig indvirkning på kontinuiteten
i leveringen af væsentlige tjenester til eller i seks eller flere medlemsstater,
vil den kompetente myndighed i overensstemmelse med CER-direktivets
artikel 15, stk. 1, 3. pkt., skulle underrette Europa-Kommissionen herom.
Det følger af det foreslåede
stk. 4,
at underretning skal ske uden unødigt
ophold og, medmindre det operationelt ikke er muligt, senest 24 timer efter,
at den kritiske enhed er blevet opmærksom på hændelsen. Den kritiske en-
hed skal på anmodning fra den kompetente myndighed sende en detaljeret
rapport til den kompetente myndighed senest en måned efter hændelsen.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 15, stk.
1, 1. og 2. pkt., hvoraf det fremgår, at medlemsstaterne sikrer, at kritiske
enheder uden unødigt ophold underretter den kompetente myndighed om
hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig
grad at forstyrre leveringen af væsentlige tjenester. Medlemsstaterne sikrer,
at kritiske enheder, med mindre det operationelt ikke er muligt, indgiver en
første underretning senest 24 timer efter at være blevet opmærksom på en
131
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
hændelse, efterfulgt, hvor det er relevant, af en detaljeret rapport senest en
måned derefter.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 15, stk. 1, 1. og 2. pkt., og skal forstås og anven-
des i overensstemmelse med direktivets forudsætninger.
Baggrunden for artikel 15, stk. 1, 1. pkt., beskrives i CER-direktivets præ-
ambelbetragtning nr. 33, hvoraf det bl.a. fremgår, at der bør oprettes en me-
kanisme til underretning om visse hændelser for at gøre det muligt for de
kompetente myndigheder at reagere hurtigt og hensigtsmæssigt på hændel-
ser og danne sig et samlet overblik over indvirkningen, arten, årsagen og de
mulige konsekvenser af hændelser, som kritiske enheder håndterer. Kritiske
enheder bør uden unødigt ophold underrette de kompetente myndigheder
om hændelser, der i betydelig grad forstyrrer eller har potentiale til i bety-
delig grad at forstyrre leveringen af væsentlige tjenester.
Det beskrives endvidere i præambelbetragtning nr. 33, at den første under-
retning kun bør indeholde de oplysninger, der er strengt nødvendige for at
gøre den kompetente myndighed opmærksom på hændelsen og give den kri-
tiske enhed mulighed for at søge bistand, hvis det er nødvendigt. En sådan
underretning bør, hvor det er muligt, angive den formodede årsag til hæn-
delsen. Den detaljerede rapport, som i relevant omfang sendes senest en må-
ned efter hændelsen, bør supplere den første underretning og give et mere
fuldstændigt overblik over hændelsen.
Det følger af det foreslåede
stk. 5,
at den kompetente myndighed snarest
muligt efter modtagelse af en underretning efter stk. 1 giver den berørte kri-
tiske enhed relevante opfølgende oplysninger, herunder oplysninger, som
kan understøtte en effektiv reaktion fra den kritiske enhed på den pågæl-
dende hændelse.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 15, stk.
4, 1. pkt., som fastsætter, at så snart som muligt efter modtagelse af en un-
derretning som omhandlet i artikel 15, stk. 1, giver den kompetente myn-
dighed den berørte kritiske enhed relevante opfølgende oplysninger, herun-
der oplysninger, som kunne understøtte en effektiv reaktion fra denne kriti-
ske enhed på den pågældende hændelse.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 15, stk. 4, 1. pkt., og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
132
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
De opfølgende oplysninger, som den kompetente myndighed oplyser den
berørte enhed om, vil f.eks. kunne angå mulige afværgeforanstaltninger eller
anden relevant viden, som den kompetente myndighed er i besiddelse af.
Derimod er det ikke et krav, at den kompetente myndighed skal tilvejebringe
oplysninger fra tredjemand.
Efterforskes en hændelse som et strafbart forhold, vil den kompetente myn-
dighed skulle tage højde for, at de opfølgende oplysninger ikke må vanske-
liggøre eller forhindre efterforskningen.
Det følger af det foreslåede
stk. 6,
at den kompetente myndighed kan orien-
tere offentligheden om en hændelse, hvis det vil være i offentlighedens in-
teresse.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 15, stk.
4, 2. pkt., hvoraf det fremgår, at medlemsstaterne orienterer offentligheden
[om en hændelse], hvor de vurderer, at det vil være i offentlighedens inte-
resse at gøre det.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 15, stk. 4, 2. pkt., og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
Den foreslåede bestemmelse indebærer, at den relevante myndighed kan ori-
entere offentligheden om en hændelse, hvis orienteringen er i offentlighe-
dens interesse. Hvorvidt offentliggørelse af den væsentlige hændelse er i
offentlighedens interesse vil afhænge af en konkret vurdering af sagens nær-
mere omstændigheder, herunder om offentliggørelse er nødvendig for at fo-
rebygge eller håndtere den væsentlige hændelse.
Det vil være op til den kompetente myndighed at tage stilling til formen for
orienteringen. Orientering af offentligheden kan således ske på den måde,
som den kompetente myndighed finder bedst egnet under hensyn til den be-
rørte kritiske enhed, hændelsens karakter, den geografiske udstrækning, den
forventede betydning for bestemte dele af offentligheden m.v.
Den kompetente myndighed skal ved overvejelse om orientering af offent-
ligheden om en hændelse sikre, at de hensyn til fortrolighed, der fremgår af
forvaltningslovens § 27 om offentligt ansattes tavshedspligt, iagttages. Dette
omfatter bl.a. hensynet til enkeltpersoners private forhold, forretningshem-
meligheder samt hensynet til forebyggelse, efterforskning og forfølgning af
lovovertrædelser.
133
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Rammer en væsentlig hændelse flere sektorer, eller har en væsentlig hæn-
delse potentiale til at ramme flere sektorer, forudsættes det, at der sker en
koordinering mellem de relevante kompetente myndigheder forud for en
eventuel offentliggørelse.
Det følger af det foreslåede
stk. 7,
at vedkommende minister inden for sit
område kan fastsætte nærmere regler om vurderingen af en forstyrrelses om-
fang efter stk. 2, og de oplysninger, der skal indgå i en underretning efter
stk. 3.
Henset til, at kriterierne for, hvornår en hændelse anses for at være væsentlig
efter det foreslåede stk. 2, har en kvalitativ og skønspræget karakter, er det
efter Forsvarsministeriets opfattelse hensigtsmæssigt, at der kan fastsættes
nærmere sektorvise regler, som præciserer, hvilke elementer der kan indgå
i vurderingen af en forstyrrelses omfang.
Den foreslåede bestemmelse har således til formål at give den relevante res-
sortminister mulighed for efter behov at præcisere, hvilke elementer en kri-
tisk enhed skal inddrage i vurderingen af en forstyrrelses omfang.
Derudover er det Forsvarsministeriets opfattelse, at der er behov for, at det
i bekendtgørelser kan præciseres, hvilke oplysninger en underretning vil
skulle indeholde, jf. det foreslåede stk. 3.
De regler, der kan fastsættes i medfør af det foreslåede stk. 7, vil således
supplere de foreslåede bestemmelser i stk. 2 og 3.
Der henvises i øvrigt til afsnit 3.3 i lovforslagets almindelige bemærkninger.
Til § 9
Der er i Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning
og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for
at beskytte den bedre (EPCIP-direktivet) ikke regler om, at der skal være
mulighed for at få foretaget baggrundskontrol af personer i kritiske enheder.
For at få adgang til klassificeret information stilles der krav om sikkerheds-
godkendelse i medfør af Justitsministeriets cirkulære nr. 10338 af 17. de-
cember 2014 om sikkerhedsbeskyttelse af informationer af fælles interesse
for landene i NATO eller EU, andre klassificerede informationer samt in-
formationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt (sikkerheds-
cirkulæret). Kravet om sikkerhedsgodkendelse efter sikkerhedscirkulæret
gælder for ansatte i offentlige myndigheder, ansatte i private virksomheder,
134
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
der løser opgaver for offentlige myndigheder, og ansatte i private virksom-
heder, hvis der i øvrigt i medfør af særlovgivning stilles krav om sikker-
hedsgodkendelse for at udføre deres funktion.
På luftfartsområdet er der i Europa-Parlamentet og Rådets forordning (EF)
nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden
for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 fastsat
regler om baggrundskontrol af visse personer, der udfører funktioner inden
for luftfartssikkerhed.
Der er ikke anden regulering for de øvrige sektorer, som stiller krav om
baggrundskontrol af personer på dette område.
Det følger af den foreslåede
§ 9,
at vedkommende minister inden for sit om-
råde efter forhandling med justitsministeren kan fastsætte nærmere regler
om, på hvilke betingelser kritiske enheder kan få foretaget baggrundskontrol
af personer med henblik på at vurdere en potentiel sikkerhedsrisiko for en-
heden. Baggrundskontrollen kan angå personer, der 1) varetager følsomme
funktioner i eller til fordel for en kritisk enhed, navnlig vedrørende den kri-
tiske enheds modstandsdygtighed, 2) er bemyndiget til at få direkte adgang
eller fjernadgang til en kritisk enheds lokaler, oplysninger eller kontrolsy-
stemer, herunder i forbindelse med den kritiske enheds sikkerhed og 3) over-
vejes ansat i stillinger, der indebærer opgavevaretagelse efter nr. 1 og 2.
Den foreslåede bestemmelse gennemfører artikel 14, stk. 1, i Europa-Parla-
mentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kriti-
ske enheders modstandsdygtighed og om ophævelse af Rådets direktiv
2008/114/EF (CER-direktivet), hvorefter medlemsstaterne angiver, på
hvilke betingelser en kritisk enhed i behørigt begrundede tilfælde og under
hensyntagen til medlemsstatsrisikovurderingen har tilladelse til at indgive
anmodninger om baggrundskontrol af personer, der a) varetager følsomme
opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske
enheds modstandsdygtighed, b) er bemyndiget til at få direkte adgang eller
fjernadgang til en kritisk enheds lokaler, oplysninger eller kontrolsystemer,
herunder i forbindelse med den kritiske enheds sikkerhed, c) overvejes ansat
i stillinger, der hører under kriterierne i litra a) eller b).
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 14, stk. 1, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
Baggrunden for CER-direktivets artikel 14, stk. 1, beskrives i præambelbe-
tragtning nr. 32, hvoraf det bl.a. fremgår, at risikoen for, at ansatte i kritiske
enheder eller deres kontrahenter misbruger for eksempel deres adgangsret
135
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
inden for den kritiske enheds organisation til at skade og forvolde skade,
giver anledning til stigende bekymring.
Efter den foreslåede bestemmelse vil vedkommende minister inden for sit
område efter forhandling med justitsministeren kunne fastsætte nærmere
regler, der sammen med bestemmelsen vil skulle gennemføre CER-direkti-
vets artikel 14.
Det foreslås, at de enkelte ministre bemyndiges til at fastsætte nærmere reg-
ler om, på hvilke betingelser en kritisk enhed vil kunne anmode om bag-
grundskontrol af en person, således at særlige sektorspecifikke hensyn kan
varetages.
Det bemærkes i den forbindelse, at gennemførelse af baggrundskontrol vil
ske på grundlag af en anmodning fra en kritisk enhed og forudsætter, at den
pågældende person har meddelt samtykke dertil.
Det forudsættes i øvrigt, at udstedelse af nærmere regler og den efterføl-
gende administration af ordningen vil ske i overensstemmelse med kravene
i CER-direktivets artikel 14, stk. 2 og 3.
Det fremgår bl.a. af CER-direktivets artikel 14, stk. 2, at anmodninger om
baggrundskontrol vurderes inden for en rimelig frist og behandles i over-
ensstemmelse med national ret og nationale procedurer samt relevant og
gældende EU-ret, herunder EU-regulering om beskyttelse af personoplys-
ninger. Baggrundskontrollen skal være forholdsmæssig og strengt begræn-
set til, hvad der er nødvendigt, og den skal udelukkende foretages med hen-
blik på at vurdere en potentiel sikkerhedsrisiko for den berørte kritiske en-
hed.
CER-direktivets artikel 14, stk. 3, fastsætter bl.a., at baggrundskontrollen
mindst skal bekræfte identiteten af den person, som er genstand for bag-
grundskontrollen, og at der skal foretages en kontrol af strafferegistre for
den pågældende person for lovovertrædelser, der er relevante for en bestemt
stilling.
I overensstemmelse med CER-direktivets artikel 6, stk. 3, vil kritiske enhe-
der først blive omfattet af reglerne om baggrundskontrol fra ti måneder efter,
at enheden har modtaget underretning om at være identificeret som kritisk
enhed.
Til § 10
Forvaltningslovens §§ 28-32 fastsætter rammerne for forvaltningsmyndig-
heders videregivelse af oplysninger til en anden forvaltningsmyndighed.
136
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Det følger bl.a. af forvaltningslovens § 28, stk. 1, at for videregivelse af
oplysninger om enkeltpersoner (personoplysninger) til en anden forvalt-
ningsmyndighed gælder reglerne i databeskyttelseslovens §§ 6-8, § 10, § 11,
stk. 1, § 38 og § 40. Det følger af § 28, stk. 2, at oplysninger af fortrolig
karakter, som ikke er omfattet af stk. 1, kun må videregives til en anden
forvaltningsmyndighed, når 1) den, oplysningen angår, udtrykkeligt har gi-
vet sit samtykke, 2) det følger af lov eller bestemmelser fastsat i henhold til
lov, at oplysningen skal videregives, eller 3) det må antages, at oplysningen
vil være af væsentlig betydning for myndighedens virksomhed eller for en
afgørelse, myndigheden skal træffe.
Det følger af den foreslåede
§ 10,
at de relevante myndigheder kan videre-
give oplysninger til andre medlemsstaters myndigheder og til institutioner i
Den Europæiske Union for at varetage de opgaver, som følger af denne lov
eller CER-direktivet.
Det er Forsvarsministeriets opfattelse, at der er behov for at indføre særskilt
hjemmel til at kunne videregive oplysninger af fortrolig karakter til andre
medlemsstaters myndigheder og institutioner i Den Europæiske Union.
Dette vil sikre, at de danske myndigheder i alle tilfælde vil kunne leve op til
forpligtelserne i CER-direktivet.
Bestemmelsen indebærer, at de kompetente myndigheder og det centrale
kontaktpunkt som led i den nationale gennemførelse af direktivet, kan vide-
regive oplysninger til andre medlemsstater eller EU-institutioner, hvis det
er nødvendigt for at sikre overholdelsen af forpligtelserne i CER-direktivet.
Det følger af CER-direktivets artikel 15, stk. 3, at på grundlag af oplysninger
leveret af en kritisk enhed i en underretning om en hændelse, orienterer den
relevante kompetente myndighed via det centrale kontaktpunkt andre be-
rørte medlemsstaters centrale kontaktpunkter, hvis hændelsen har eller
kunne have betydelig indvirkning på kritiske enheder og kontinuiteten i le-
veringen af væsentlige tjenester til eller i en eller flere andre medlemsstater.
Det følger af samme bestemmelse, at centrale kontaktpunkter, der fremsen-
der og modtager sådanne oplysninger, i overensstemmelse med EU-retten
eller national ret skal behandle disse oplysninger på en måde, der respekterer
deres fortrolighed og beskytter den berørte kritiske enheds sikkerhed og
kommercielle interesser.
Efter bestemmelsen i CER-direktivets artikel 15, stk. 3, vil det centrale kon-
taktpunkt således i relevant omfang skulle videregive oplysninger, som er
modtaget i hændelsesunderretninger, til øvrige berørte medlemsstater.
På baggrund af CER-direktivets artikel 17, stk. 2, skal myndighederne end-
videre videregive oplysninger til Europa-Kommissionen om identiteten af
137
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
kritiske enheder, som leverer væsentlige tjenester til eller i seks eller flere
medlemsstater, samt om de oplysninger, som enhederne leverer i henhold til
den foreslåede bestemmelse i § 4, stk. 2.
Efter bestemmelsen i CER-direktivets artikel 18, stk. 3, skal Kommissionen
endvidere efter anmodning modtage en række oplysninger fra en medlems-
stat, der har identificeret en kritisk enhed af særlig europæisk betydning,
herunder de relevante dele af den kritiske enheds risikovurdering, en over-
sigt over relevante modstandsdygtighedsforanstaltninger, der er truffet,
samt tilsyns- og håndhævelsestiltag.
Til § 11
I dag reguleres videregivelse af oplysninger, der ville stride mod væsentlige
interesser af hensyn til den nationale sikkerhed, offentlige orden eller for-
svar, bl.a. i forvaltningslovens regler om tavshedspligt og videregivelse af
oplysninger, straffelovens regler om tavshedspligt, samt Justitsministeriets
cirkulære nr. 10338 af 17. december 2014 om sikkerhedsbeskyttelse af in-
formation af fælles interesse for landene i NATO eller EU, andre klassifice-
rede informationer samt informationer af sikkerhedsmæssig beskyttelsesin-
teresse i øvrigt (sikkerhedscirkulæret).
Det følger af den foreslåede
§ 11, stk. 1,
at de forpligtelser, der er fastsat i
denne lov eller i regler udstedt i medfør af loven, ikke omfatter meddelelse
af oplysninger, hvis videregivelse ville stride mod væsentlige interesser af
hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar.
Den foreslåede bestemmelse gennemfører artikel 1, stk. 8, i Europa-Parla-
mentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kriti-
ske enheders modstandsdygtighed og om ophævelse af Rådets direktiv
2008/114/EF (CER-direktivet), som fastsætter, at de forpligtelser, der er
fastsat i CER-direktivet, ikke omfatter meddelelse af oplysninger, hvis vi-
deregivelse ville stride mod væsentlige interesser med hensyn til medlems-
staternes nationale sikkerhed, offentlig sikkerhed eller forsvar.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 1, stk. 8, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
Baggrunden for artikel 1, stk. 8, beskrives i CER-direktivets præambelbe-
tragtning nr. 11, in fine, hvoraf det fremgår, at ingen medlemsstat bør være
forpligtet til at meddele oplysninger, hvis videregivelse vil stride mod væ-
sentlige interesser med hensyn til dens nationale sikkerhed, og at EU-regler
138
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
eller nationale regler om beskyttelse af klassificerede informationer og hem-
meligholdelsesaftaler er relevante.
Der er en vis usikkerhed om fortolkningen af bestemmelsens udstrækning.
Det er Forsvarsministeriets opfattelse, at bestemmelsen primært vil være re-
levant for oplysninger, der udveksles mellem medlemsstaterne og instituti-
oner i Den Europæiske Union. Bestemmelsen vil på denne baggrund hoved-
sageligt være relevant i forhold til den foreslåede § 10, der udgør de danske
myndigheders videregivelseshjemmel hertil.
Under hensyn til bestemmelsen i CER-direktivets artikel 1, stk. 6 (om at
direktivet ikke finder anvendelse på offentlige forvaltningsenheder, der ud-
fører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar
eller retshåndhævelse), og den foreslåede bestemmelse i § 1, stk. 4 (om und-
tagelse af specifikke enheder, der udfører aktiviteter inden for national sik-
kerhed, offentlig sikkerhed, forsvar eller retshåndhævelse m.v.), er det For-
svarsministeriets opfattelse, at den foreslåede bestemmelse i § 11, stk. 1, for
enheders vedkommende vil have et yderst begrænset anvendelsesområde.
Bestemmelsen vil desuden alene vedrøre meddelelse af oplysninger, som
efter en konkret vurdering vil stride mod væsentlige interesser med hensyn
til den nationale sikkerhed, offentlige sikkerhed eller forsvar. Bestemmelsen
vil således eksempelvis ikke medføre, at en enhed mere generelt kan und-
lade at efterkomme oplysningsforpligtelserne over for de kompetente myn-
digheder, herunder som led i myndighedernes tilsyn. Det er Forsvarsmini-
steriets opfattelse, at det kun vil være i yderst sjældne tilfælde, at videregi-
velse af en enheds oplysninger til den relevante kompetente myndighed vil
stride mod væsentlige interesser af hensyn til den nationale sikkerhed, of-
fentlige sikkerhed eller forsvar.
I tilfælde af tvivl om, hvorvidt der i en konkret situation måtte være tale om
oplysninger, hvis videregivelse vil stride mod væsentlige interesser med
hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar vil den
pågældende enhed eller kompetente myndighed kunne rette henvendelse til
Politiets Efterretningstjeneste, som er national sikkerhedsmyndighed, eller
til Forsvarets Efterretningstjeneste, som er national sikkerhedsmyndighed
på Forsvarsministeriets område.
Det følger af det foreslåede
stk. 2,
at oplysninger, der modtages eller hidrø-
rer fra myndigheder i andre EU-medlemsstater, behandles som fortrolige,
såfremt den afgivende myndighed betragter oplysningerne som fortrolige i
henhold til EU-regler eller nationale regler.
139
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Den foreslåede bestemmelse vil bl.a. sikre, at oplysninger, som de danske
myndigheder modtager i medfør af CER-direktivets artikel 15, stk. 3, vil
blive behandlet med den fornødne fortrolighed.
Det følger således af CER-direktivets artikel 15, stk. 3, at på grundlag af
oplysninger leveret af en kritisk enhed i en underretning om en hændelse,
orienterer den relevante kompetente myndighed via det centrale kontakt-
punkt andre berørte medlemsstaters centrale kontaktpunkter, hvis hændel-
sen har eller kunne have betydelig indvirkning på kritiske enheder og kon-
tinuiteten i leveringen af væsentlige tjenester til eller i en eller flere andre
medlemsstater. Det følger videre, at centrale kontaktpunkter, der fremsender
og modtager sådanne oplysninger, i overensstemmelse med EU-retten eller
national ret skal behandle sådanne på en måde, der respekterer deres fortro-
lighed og beskytter den berørte kritiske enheds sikkerhed og kommercielle
interesser.
Det følger desuden af CER-direktivets artikel 1, stk. 4, at oplysninger, der
er fortrolige i henhold til EU-regler eller nationale regler, såsom regler om
forretningshemmeligheder, kun udveksles med Europa-Kommissionen og
andre relevante myndigheder i overensstemmelse med CER-direktivet, hvor
denne udveksling er nødvendig for anvendelsen af direktivet. De udvekslede
oplysninger begrænses til, hvad der er relevant og forholdsmæssigt under
hensyntagen til formålet med udvekslingen. Udvekslingen af oplysninger
skal bevare de pågældende oplysningers fortrolighed og beskytte de kritiske
enheders sikkerhed og kommercielle interesser, samtidig med at medlems-
staternes sikkerhed respekteres.
Den foreslåede bestemmelse vil finde anvendelse, uanset om oplysningerne
modtages direkte fra den pågældende nationale myndighed eller via andre,
herunder Europa-Kommissionen.
Til § 12
Det følger af den foreslåede
§ 12,
at vedkommende minister inden for sit
område kan fastsætte regler, som er nødvendige for at gennemføre retsakter
udstedt af Europa-Kommissionen i medfør af CER-direktivet.
Europa-Kommissionen er flere steder i CER-direktivet tillagt kompetence
til at vedtage retsakter, der nærmere udmønter bestemte dele af direktivet.
Det følger bl.a. af CER-direktivets artikel 5, stk. 1, at Europa-Kommissio-
nen tillægges beføjelse til at vedtage en delegeret retsakt i overensstemmelse
med artikel 23 senest den 17. november 2023 for at supplere CER-direktivet
ved at udarbejde en ikke-udtømmende liste over væsentlige tjenester i sek-
torerne og delsektorerne anført i direktivets bilag. Europa-Kommissionen
140
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
har ved sin delegerede forordning (EU) 2023/2450 af 25. juli 2023 til sup-
plering af Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 opstillet
en sådan ikke-udtømmende liste over væsentlige tjenester.
Desuden følger det af CER-direktivets artikel 13, stk. 6, bl.a., at Europa-
Kommissionen vedtager gennemførelsesretsakter med henblik på at fast-
sætte de nødvendige tekniske og metodiske specifikationer vedrørende an-
vendelsen af modstandsdygtighedsforanstaltninger efter artikel 13, stk. 1.
Det følger endvidere af artikel 18, stk. 6, bl.a., at Europa-Kommissionen
vedtager en gennemførelsesretsakt med regler for de proceduremæssige ord-
ninger for tilrettelæggelse af rådgivende EU-delegationer.
Det fremgår derudover af artikel 19, stk. 6, bl.a., at Europa-Kommissionen
kan vedtage gennemførelsesretsakter, hvori der fastlægges proceduremæs-
sige ordninger, som er nødvendige for Gruppen for Kritiske Enheders Mod-
standsdygtigheds funktion.
Vedkommende minister får efter bestemmelsen hjemmel til at fastsætte reg-
ler inden for sit område, som er nødvendige for at gennemføre retsakter ud-
stedt af Europa-Kommissionen.
Til § 13
Det følger af den foreslåede
§ 13,
at vedkommende minister inden for sit
område kan fastsætte regler om digital kommunikation, herunder om anven-
delsen af bestemte it-systemer og særlige digitale formater samt digital sig-
natur eller lignende.
Den foreslåede bestemmelse indebærer, at det kan gøres obligatorisk for en-
heder at anvende bestemte internetløsninger, herunder selvbetjeningsløsnin-
ger.
Der kan endvidere med hjemmel i bestemmelsen fastsættes regler om, hvem
der omfattes af pligten til at kommunikere digitalt, om hvilke forhold, og på
hvilken måde.
Bestemmelsen forventes navnlig anvendt til at fastsætte regler om, hvordan
kritiske enheder skal foretage underretninger om hændelser i medfør af den
foreslåede § 8. Det kan også være relevant at fastsætte regler om, hvordan
kritiske enheder af særlig europæisk betydning skal underrette og oplyse om
væsentlige tjenester i medfør af den foreslåede § 4, stk. 2. Der vil eksempel-
vis kunne fastsættes regler om anvendelse af bestemte digitale internetløs-
ninger såsom Virk.dk.
141
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Der kan med hjemmel i bestemmelsen fastsættes regler om, at skriftlige hen-
vendelser til myndighederne, herunder de kompetente myndigheder m.v.,
om forhold, som er omfattet af et krav om digital kommunikation, ikke anses
for behørigt modtaget af myndighederne, hvis de indsendes på anden vis end
den foreskrevne digitale måde.
Hvis en enhed retter henvendelse til en myndighed på anden måde end den
foreskrevne digitale måde, eksempelvis ved brev, følger det af den almin-
delige vejledningspligt, jf. forvaltningslovens § 7, stk. 2, at myndigheden
skal vejlede om reglerne på området, herunder om pligten til at kommuni-
kere digitalt.
Der kan desuden fastsættes regler om fritagelse for pligten til digital kom-
munikation. Fritagelsesmuligheden tænkes navnlig anvendt, hvor det er på-
krævet at anvende en dansk digital signatur, men der er tale om en virksom-
hed med hjemsted i udlandet, og som dermed ikke kan få udstedt en dansk
digital signatur. Det bemærkes i den forbindelse, at fritagelsesmuligheden
er stærkt begrænset, idet der er tale om kommunikation om erhvervsforhold,
og idet virksomheder med hjemsted i udlandet kun i begrænset omfang vil
høre under dansk jurisdiktion.
Det forhold, at en enheds computere ikke fungerer, at enheden har mistet
koden til sin digitale signatur, eller at der opstår lignende hindringer, som
det er op til virksomheden at overvinde, vil ikke kunne føre til fritagelse for
pligten til digital kommunikation. I så fald må den pågældende enhed ek-
sempelvis anmode en rådgiver om at varetage kommunikationen på virk-
somhedens vegne.
Der kan efter bestemmelsen også fastsættes regler om, at en digital medde-
lelse anses for at være kommet frem til adressaten for meddelelsen på det
tidspunkt, hvor meddelelsen er tilgængelig digitalt for adressaten. Dermed
er der tale om samme retsvirkning som ved fysisk post, der anses for at være
kommet frem, når den pågældende meddelelse m.v. er lagt i adressatens fy-
siske postkasse. En meddelelse vil normalt anses for at være kommet frem,
når meddelelsen er tilgængelig digitalt for adressaten, således at vedkom-
mende har mulighed for at behandle meddelelsen. Dette tidspunkt vil nor-
malt blive registreret automatisk i adressatens it-system.
Til § 14
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og ud-
pegning af europæisk kritisk infrastruktur og vurdering af behovet for at be-
skytte den bedre (EPCIP-direktivet) stiller ikke krav om, at der udpeges en
kompetent myndighed.
142
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Det følger af den foreslåede
§ 14,
at vedkommende minister inden for sit
område fastsætter regler om, hvilken myndighed der skal varetage funktio-
nen som kompetent myndighed inden for en given sektor eller delsektor, jf.
lovens bilag 2.
Som led i implementeringen af direktivet vil det påhvile de relevante res-
sortministerier at oprette eller udpege kompetente myndigheder for de en-
kelte sektorer i lovens bilag 2.
Efter CER-direktivets artikel 9, stk. 1, 1. led, skal hver medlemsstat udpege
eller oprette en eller flere kompetente myndigheder, der er ansvarlige for
korrekt anvendelse og, hvor det er nødvendigt, håndhævelse af reglerne fast-
sat i CER-direktivet på nationalt plan.
De kompetente myndigheder vil bl.a. have til opgave at føre tilsyn med de
kritiske enheders efterlevelse af reglerne, håndhæve reglerne og støtte de
kritiske enheder i at øge deres modstandsdygtighed samt underrette Europa-
Kommissionen om kritiske enheder, som leverer tjenester til eller i seks eller
flere medlemsstater.
Den foreslåede bestemmelse indebærer, at vedkommende minister inden for
sit område ved bekendtgørelse kan fastsætte regler om, hvilken myndighed
eller hvilke myndigheder der skal varetage funktionen som kompetent myn-
dighed. Dermed vil der hurtigt og smidigt kunne ske justeringer, såfremt der
måtte ske ændringer i arbejdsfordelingen mellem myndigheder, samtidig
med at det vil være tydeligt for enhederne, hvilken myndigheds tilsyn de er
underlagt. Der vil kunne blive udpeget en eller flere kompetente myndighe-
der inden for en given sektor eller delsektor. For at give enhederne et samlet
overblik, vil en liste over de udpegede kompetente myndigheder være of-
fentligt tilgængelig.
Der henvises i øvrigt til afsnit 2.4.2.1 i lovforslagets almindelige bemærk-
ninger.
Til § 15
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og ud-
pegning af europæisk kritisk infrastruktur og vurdering af behovet for at be-
skytte den bedre (EPCIP-direktivet) indeholder ikke generelle regler om til-
syn og håndhævelse.
Det følger imidlertid af EPCIP-direktivets artikel 5, stk. 2, at hver enkelt
medlemsstat kontrollerer, at alle udpegede europæiske kritiske infrastruktu-
rer, der er beliggende på dens område, har en sikkerhedsplan for operatører
143
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
eller har iværksat tilsvarende foranstaltninger, der dækker de punkter, der er
opstillet i direktivets bilag II.
Af EPCIP-direktivets artikel 5, stk. 3, 1. pkt., fremgår yderligere, at hvis en
medlemsstat konstaterer, at der ikke er udarbejdet en sådan sikkerhedsplan
for operatører eller tilsvarende, sikrer den ved hjælp af hensigtsmæssige for-
anstaltninger, at sikkerhedsplanen for operatører eller tilsvarende udarbej-
des og dækker de punkter, der er opstillet i direktivets bilag II.
EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og
transportsektorerne, som er de to sektorer, der er omfattet af direktivet. For
en nærmere gennemgang af den sektorvise implementering af EPCIP-direk-
tivet henvises til afsnit 2.3 i lovforslagets almindelige bemærkninger.
Det følger af den foreslåede
§ 15, stk. 1,
at den kompetente myndighed på
sit område fører tilsyn med overholdelsen af den foreslåede lov og regler
udstedt i medfør af loven. Den kompetente myndighed kan som led i dette
tilsyn 1) foretage inspektioner på stedet af den kritiske infrastruktur og de
lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjene-
ster, 2) foretage en audit af en kritisk enhed eller stille krav om, at enheden
får et kvalificeret, uafhængigt organ til at foretage denne, og at resultaterne
heraf stilles til rådighed for den kompetente myndighed, 3) kræve at få ud-
leveret oplysninger, der er nødvendige for at vurdere, hvorvidt de mod-
standsdygtighedsforanstaltninger, som den berørte enhed har indført, opfyl-
der kravene i § 6, 4) kræve at få adgang til data, dokumenter og oplysninger,
der er nødvendige for udførelsen af tilsynsopgaven og 5) kræve at få udle-
veret dokumentation for faktisk gennemførelse af modstandsdygtighedsfor-
anstaltninger, herunder resultaterne af en audit.
Det følger af CER-direktivets artikel 21, stk. 1, at medlemsstaterne med hen-
blik på at vurdere, om de enheder, som medlemsstaterne har identificeret
som kritiske enheder i henhold til artikel 6, stk. 1, opfylder forpligtelserne i
CER-direktivet, sikrer, at de kompetente myndigheder har beføjelser og
midler til a) at foretage inspektioner på stedet af den kritiske infrastruktur
og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige
tjenester, og eksternt tilsyn med de modstandsdygtighedsforanstaltninger,
som kritiske enheder har truffet, og b) at foretage eller kræve revision af
kritiske enheder.
Det følger videre af CER-direktivets artikel 21, stk. 2, 1. pkt., at medlems-
staterne sikrer, at de kompetente myndigheder har beføjelser og midler til,
hvor det er nødvendigt for udførelsen af deres opgaver i henhold til CER-
direktivet, at kræve, at enhederne i henhold til Europa-Parlamentets og Rå-
dets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til
sikring af et højt fælles sikkerhedsniveau i hele Unionen, om ændring af
144
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
forordning (EU) 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af
direktiv (EU) 2016/1148 (NIS 2-direktivet), som medlemsstaterne har iden-
tificeret som kritiske enheder i henhold til CER-direktivet, inden for en ri-
melig tidsfrist, der fastsættes af disse myndigheder, giver a) de oplysninger,
der er nødvendige for at vurdere, hvorvidt de foranstaltninger, der træffes af
disse enheder for at sikre deres modstandsdygtighed, opfylder kravene i ar-
tikel 13, og b) dokumentation for faktisk gennemførelse af disse foranstalt-
ninger, herunder resultaterne af en revision foretaget af en uafhængig og
kvalificeret revisor udvalgt af denne enhed og foretaget på dennes regning.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til de relevante dele af CER-direktivets artikel 21, stk. 1, og stk. 2, 1. pkt.,
og skal forstås og anvendes i overensstemmelse med direktivets forudsæt-
ninger.
Baggrunden for artikel 21, stk. 1, og stk. 2, 1. pkt., er beskrevet i CER-di-
rektivets præambelbetragtning nr. 40, hvoraf det bl.a. fremgår, at medlems-
staterne bør sikre, at deres kompetente myndigheder har visse specifikke
beføjelser til at sikre en korrekt anvendelse og håndhævelse af direktivet i
forbindelse med kritiske enheder, når disse enheder hører under deres juris-
diktion som fastsat i direktivet.
Såfremt en enhed ikke giver adgang til lokaler eller infrastruktur, vil det
kunne straffes med bøde i medfør af den foreslåede § 18. Den foreslåede
bestemmelse indebærer således ikke, at der gives adgang til lokaler og in-
frastruktur uden retskendelse.
Det bemærkes, at de dele af direktivets bestemmelser, der angår rent myn-
dighedsinterne forhold, eller som allerede følger af almindelige forvalt-
ningsretlige principper eller den almindelige adgang til domstolsprøvelse,
ikke er afspejlet i lovteksten. Den foreslåede bestemmelse er således udfor-
met med fokus på, hvilke konkrete tilsynsforanstaltninger de kompetente
myndigheder kan anvende over for enhederne.
Eksempelvis er CER-direktivets artikel 21, stk. 4, ikke afspejlet direkte i
lovteksten. Det følger af den nævnte artikel, at medlemsstaterne skal sikre,
at de tillagte beføjelser kun kan udøves med forbehold af passende beskyt-
telsesforanstaltninger, og at disse beskyttelsesforanstaltninger navnlig skal
sikre, at en sådan udøvelse finder sted på en objektiv, gennemsigtig og for-
holdsmæssig måde, og at de berørte kritiske enheders rettigheder og legi-
time interesser såsom beskyttelse af forretningshemmeligheder garanteres
behørigt, herunder deres ret til at blive hørt, til et forsvar og til effektive
retsmidler ved en uafhængig domstol. Det skyldes, at de principper, der er
145
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
omtalt i bestemmelsen, allerede følger af almindelige forvaltningsretlige
principper og den almindelige adgang til domstolsprøvelse.
Det bemærkes, at det af CER-direktivets artikel 21, stk.1, litra a, fremgår, at
der kan foretages »eksternt tilsyn«, hvilket er en formulering, der efter For-
svarsministeriets opfattelse kan give anledning til fortolkningstvivl. I den
engelske sprogversion af CER-direktivet anvendes formuleringen »off-site
supervision«. Efter Forsvarsministeriets opfattelse udgør eksternt tilsyn,
forstået som off-site supervision, et tilsyn fra en kompetent myndighed uden
fysisk tilstedeværelse
på stedet,
men eksempelvis udført på skriftligt grund-
lag. Det bemærkes, at de kompetente myndigheder i medfør af den foreslå-
ede bestemmelse kan kræve relevante oplysninger fra enhederne.
Et administrativt tilsyn på skriftligt grundlag vil således kunne baseres på
de dele af den foreslåede bestemmelse, hvorefter de kompetente myndighe-
der kan kræve at få relevante oplysninger fra enhederne.
Det følger af det foreslåede
stk. 2,
at den kompetente myndighed ved anven-
delsen af tiltagene i det foreslåede stk. 1, nr. 3-5, skal angive formålet med
kravet og præcisere, hvilke oplysninger der kræves udleveret.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 21, stk.
2, 2. pkt., hvoraf det fremgår, at når der anmodes om disse oplysninger, an-
giver de kompetente myndigheder formålet med kravet og anfører, hvilke
oplysninger der kræves.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 21, stk. 2, 2. pkt., og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
Det følger af det foreslåede
stk. 3,
at den kompetente myndighed kan stille
nærmere krav til, hvordan og i hvilken form oplysningerne og materialet
nævnt i stk. 1, nr. 3-5, skal afgives.
Den foreslåede bestemmelse indebærer, at den kompetente myndighed i for-
bindelse med, at der stilles krav om udlevering af oplysninger, adgang til
data og dokumentation for faktisk gennemførelse af modstandsdygtigheds-
foranstaltninger efter de foreslåede bestemmelser i stk. 1, nr. 3-5, samtidig
kan forlange, at oplysningerne m.v. udleveres på en bestemt måde og i en
bestemt form.
Der vil eksempelvis kunne stilles krav om anvendelse af bestemte skemaer,
eller at der skal foretages indtastninger på en hjemmeside.
146
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Der henvises i øvrigt til afsnit 3.4 i lovforslagets almindelige bemærkninger.
Til § 16
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og ud-
pegning af europæisk kritisk infrastruktur og vurdering af behovet for at be-
skytte den bedre (EPCIP-direktivet) indeholder ikke generelle regler om til-
syn og håndhævelse.
Det følger imidlertid af EPCIP-direktivets artikel 5, stk. 2, at hver enkelt
medlemsstat kontrollerer, at alle udpegede europæiske kritiske infrastruktu-
rer, der er beliggende på dens område, har en sikkerhedsplan for operatører
eller har iværksat tilsvarende foranstaltninger, der dækker de punkter, der er
opstillet i direktivets bilag II.
Af EPCIP-direktivets artikel 5, stk. 3, 1. pkt., fremgår yderligere, at hvis en
medlemsstat konstaterer, at der ikke er udarbejdet en sådan sikkerhedsplan
for operatører eller tilsvarende, sikrer den ved hjælp af hensigtsmæssige for-
anstaltninger, at sikkerhedsplanen for operatører eller tilsvarende udarbej-
des og dækker de punkter, der er opstillet i direktivets bilag II.
EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og
transportsektorerne, som er de to sektorer, der er omfattet af direktivet. For
en nærmere gennemgang af den sektorvise implementering af EPCIP-direk-
tivet henvises til afsnit 2.3 i lovforslagets almindelige bemærkninger.
Det følger af den foreslåede
§ 16,
at den kompetente myndighed kan påbyde
en kritisk enhed at træffe nødvendige og forholdsmæssige foranstaltninger
for at afhjælpe en konstateret overtrædelse af loven eller regler fastsat i med-
før af loven.
Den foreslåede bestemmelse gennemfører artikel 21, stk. 3, i Europa-Parla-
mentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kriti-
ske enheders modstandsdygtighed og om ophævelse af Rådets direktiv
2008/114/EF, (CER-direktivet), hvoraf det fremgår, at uden at det berører
muligheden for at pålægge sanktioner i overensstemmelse med CER-direk-
tivets artikel 22, kan de kompetente myndigheder efter de i CER-direktivets
artikel 21, stk. 1, omhandlede tilsynsforanstaltninger eller vurderingen af de
i CER-direktivets artikel 21, stk. 2, omhandlede oplysninger pålægge de be-
rørte kritiske enheder at træffe de nødvendige og forholdsmæssige foran-
staltninger for at afhjælpe enhver konstateret overtrædelse af dette direktiv
inden for en rimelig frist, der fastsættes af disse myndigheder, og give disse
myndigheder oplysninger om de trufne foranstaltninger. Disse påbud skal
navnlig tage hensyn til overtrædelsens grovhed.
147
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til de relevante dele af CER-direktivets artikel 21, stk. 3, og skal forstås og
anvendes i overensstemmelse med direktivets forudsætninger.
Den foreslåede bestemmelse indebærer, at den kompetente myndighed vil
kunne angive, hvilke nærmere foranstaltninger enheden skal træffe i tilfælde
af, at en kritisk enhed eksempelvis ikke lever op til de krav, der er fastsat i
loven om udarbejdelse af risikovurderinger eller om modstandsdygtigheds-
foranstaltninger.
Det følger bl.a. af CER-direktivets artikel 21, stk. 4, at medlemsstaterne skal
sikre, at håndhævelsesbeføjelser kun kan udøves med forbehold af passende
beskyttelsesforanstaltninger. Disse beskyttelsesforanstaltninger skal navn-
lig sikre, at en sådan udøvelse finder sted på en objektiv, gennemsigtig og
forholdsmæssig måde, og at de berørte kritiske enheders rettigheder og le-
gitime interesser såsom beskyttelse af forretningshemmeligheder garanteres
behørigt, herunder deres ret til at blive hørt, til et forsvar og til effektive
retsmidler ved en uafhængig domstol.
CER-direktivets artikel 21, stk. 4, skal læses i lyset af præambelbetragtning
nr. 40, hvorefter medlemsstaterne, når de udsteder påbud, ikke bør kræve
foranstaltninger, der går ud over, hvad der er nødvendigt og rimeligt for at
sikre, at den pågældende kritiske enhed opfylder forpligtelserne, navnlig un-
der hensyntagen til overtrædelsens alvor og den pågældende kritiske enheds
økonomiske formåen. Mere generelt bør disse beføjelser ledsages af pas-
sende og effektive beskyttelsesforanstaltninger, der fastsættes i national ret
i overensstemmelse med Den Europæiske Unions charter om grundlæg-
gende rettigheder.
Disse beskyttelsesforanstaltninger sikres ved, at et påbud efter den foreslå-
ede § 16 vil være omfattet af forvaltningslovens almindelige regler, herun-
der bestemmelserne i kapitel 3 (om vejledning og repræsentation m.v.), ka-
pitel 5 (om partshøring), kapitel 6 (om begrundelse m.v.) og kapitel 7 (om
klagevejledning). Derudover vil der være mulighed for at påklage afgørel-
sen i medfør af det almindelige ulovbestemte princip om administrativ re-
kurs, ligesom afgørelsen vil kunne indbringes for domstolene.
Det forudsættes endvidere, at de kompetente myndigheder efter henholdsvis
CER-direktivet og Europa-Parlamentets og Rådets direktiv (EU) 2022/2555
af 14. december 2022 om foranstaltninger til sikring af et højt fælles sikker-
hedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og
direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS
2-direktivet) samarbejder i overensstemmelse med forudsætningerne i CER-
direktivets artikel 21, stk. 5, som uddybet i præambelbetragtning nr. 40, in
148
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
fine. Det beskrives heri, at de kompetente myndigheder ved vurderingen af,
om en kritisk enhed opfylder sine forpligtelser som fastsat i CER-direktivet,
bør kunne anmode de kompetente myndigheder i henhold til NIS 2-direkti-
vet, om at udøve deres tilsyns- og håndhævelsesbeføjelser over for en enhed
i henhold til nævnte direktiv, som er identificeret som kritisk enhed i hen-
hold til CER-direktivet. De kompetente myndigheder i henhold til CER-di-
rektivet og de kompetente myndigheder i henhold til NIS 2-direktivet bør
samarbejde og udveksle oplysninger med henblik herpå.
Der henvises i øvrigt til afsnit 3.4 i lovforslagets almindelige bemærkninger.
Til § 17
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og ud-
pegning af europæisk kritisk infrastruktur og vurdering af behovet for at be-
skytte den bedre (EPCIP-direktivet) indeholder ikke bestemmelser om råd-
givende EU-delegationer.
Det følger af den foreslåede
§ 17,
at kritiske enheder af særlig europæisk
betydning, jf. § 4, skal give rådgivende EU-delegationer adgang til oplys-
ninger, systemer og faciliteter, der vedrører levering af deres væsentlige tje-
nester, og som er nødvendige for at gennemføre den pågældende rådgivende
aktivitet.
Den foreslåede bestemmelse gennemfører artikel 18, stk. 7, i Europa-Parla-
mentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kriti-
ske enheders modstandsdygtighed og om ophævelse af Rådets direktiv
2008/114/EF (CER-direktivet), hvoraf det fremgår, at medlemsstaterne sik-
rer, at kritiske enheder af særlig europæisk betydning giver rådgivende mis-
sioner adgang til oplysninger, systemer og faciliteter, der vedrører levering
af deres væsentlige tjenester, og som er nødvendige for at gennemføre den
pågældende rådgivende mission.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
til CER-direktivets artikel 18, stk. 7, og skal forstås og anvendes i overens-
stemmelse med direktivets forudsætninger.
CER-direktivets artikel 18, stk. 7, skal ses i lyset af CER-direktivets artikel
18, stk. 1 og 2, hvoraf det følger, at efter anmodning fra en medlemsstat,
som har identificeret en kritisk enhed af særlig europæisk betydning, tilret-
telægger Europa-Kommissionen en rådgivende mission for at vurdere de
foranstaltninger, som denne kritiske enhed har truffet for at opfylde sine for-
pligtelser om modstandsdygtighedsforanstaltninger. Under forudsætning af
at den medlemsstat, som har identificeret den pågældende kritiske enhed,
149
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
samtykker, kan en rådgivende mission endvidere tilrettelægges på Europa-
Kommissionens initiativ eller efter anmodning fra en eller flere medlems-
stater.
Det følger af CER-direktivets artikel 18, stk. 5, bl.a., at en rådgivende mis-
sion består af eksperter fra den medlemsstat, hvor den kritiske enhed af sær-
lig europæisk betydning er beliggende, eksperter fra de medlemsstater,
hvortil eller hvori den væsentlige tjeneste leveres, og repræsentanter fra Eu-
ropa-Kommissionen.
Såfremt en enhed ikke giver adgang til lokaler eller infrastruktur, vil det
kunne straffes med bøde i medfør af den foreslåede § 18. Den foreslåede
bestemmelse indebærer således ikke, at der gives adgang til lokaler og in-
frastruktur uden retskendelse.
Der henvises i øvrigt til bemærkningerne til den foreslåede § 4.
Til § 18
Det er i Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning
og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for
at beskytte den bedre (EPCIP-direktivet) ikke reguleret, hvordan overtræ-
delser af nationale regler, der er udstedt i medfør af EPCIP-direktivet, skal
sanktioneres.
Det følger af den foreslåede
§ 18, stk. 1,
at med bøde straffes den, der; 1)
overtræder § 4, stk. 2, § 5, stk. 1, 2 eller 3, § 6, stk. 1 eller 2, § 7, § 8, stk. 1,
3 eller 4 eller § 17, 2) undlader at efterkomme krav efter § 3, stk. 4, eller §
15, stk. 1, nr. 2-5, eller stk. 3, 3) undlader at efterkomme påbud efter § 16
og 4) hindrer den kompetente myndighed i at føre tilsyn efter § 15, stk. 1,
nr. 1 og 2.
Den foreslåede bestemmelse gennemfører artikel 22, 1. og 2. pkt., i Europa-
Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om
kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv
2008/114/EF (CER-direktivet), hvoraf følger, at medlemsstaterne fastsætter
regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de na-
tionale foranstaltninger, der er vedtaget i medfør af dette direktiv, og træffer
alle nødvendige foranstaltninger for at sikre, at de gennemføres. Sanktio-
nerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have
afskrækkende virkning.
Forsvarsministeriet har lagt vægt på, at der foretages en direktivnær mini-
mumsimplementering. Den foreslåede bestemmelse svarer indholdsmæssigt
150
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
til CER-direktivets artikel 22, 1. og 2. pkt., og skal forstås og anvendes i
overensstemmelse med direktivets forudsætninger.
Den fastsatte bøde skal i overensstemmelse med CER-direktivets artikel 22,
2. pkt., være effektiv, stå i et rimeligt forhold til overtrædelsen og have af-
skrækkende virkning.
Det bemærkes, at manglende efterlevelse af bestemmelsen i § 15, stk. 1, nr.
2, vil kunne straffes efter både § 18, stk. 1, nr. 2 og 4. Baggrunden er, at de
kompetente myndigheder efter den pågældende bestemmelse enten kan
stille krav om, at enhederne foretager en audit, eller selv kan foretage en
audit hos de berørte enheder. En enhed vil således efter omstændighederne
kunne straffes for at undlade at efterkomme et krav fra en kompetent myn-
dighed efter nr. 2 eller for at hindre de kompetente myndigheder i at føre
tilsyn efter nr. 4.
Det følger af det foreslåede
stk. 2,
at der kan pålægges selskaber m.v. (juri-
diske personer) strafansvar efter reglerne i straffelovens 5. kapitel.
Den foreslåede bestemmelse indebærer, at selskaber m.v. (juridiske perso-
ner) kan pålægges strafansvar for overtrædelse af denne lov eller regler ud-
stedt i medfør af loven efter reglerne i straffelovens kapitel 5.
Det følger af det foreslåede
stk. 3,
at der i regler udstedt i medfør af loven
kan fastsættes straf i form af bøde for overtrædelse af regler udstedt i medfør
af loven.
Med bestemmelsen bemyndiges vedkommende minister til at fastsætte straf
i form af bøde for overtrædelse af bestemmelser i regler, som udfærdiges i
medfør af § 3, stk. 6, § 5, stk. 4, § 6, stk. 3, § 8, stk. 7, § 12 og § 13.
Til § 19
Bestemmelsen fastsætter tidspunktet for lovens ikrafttræden.
Det foreslås, at loven træder i kraft den 1. marts 2025.
Det følger af artikel 26, stk. 1, i Europa-Parlamentets og Rådets direktiv
(EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdyg-
tighed og om ophævelse af Rådets direktiv 2008/114/EF, (CER-direktivet),
at direktivet skal være implementeret i dansk ret senest den 17. oktober 2024
og træde i kraft senest den 18. oktober 2024. Med den foreslåede bestem-
melse vil loven træde i kraft lidt over 4 måneder efter direktivets implemen-
teringsfrist.
151
FOU, Alm.del - 2023-24 - Bilag 208: Udkast til lovforslag om kritiske enheders modstandsdygtighed, fra forsvarsministeren
UDKAST
Til § 20
Bestemmelsen vedrører lovens territoriale gyldighed og indebærer, at loven
ikke gælder for Færøerne og Grønland, men at loven ved kongelig anord-
ning helt eller delvist kan sættes i kraft for Færøerne og Grønland med de
ændringer, som de henholdsvis færøske og grønlandske forhold tilsiger.
Loven vil alene kunne sættes helt eller delvist i kraft for Færøerne og Grøn-
land for så vidt angår sektorer eller delsektorer inden for retsområder, som
ikke er overtagne af de grønlandske og færøske myndigheder. Det vil ek-
sempelvis være tilfældet for luftfartsområdet.
152