KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Klima-, Energi- og Forsyningsudvalget 2024-25
KEF Alm.del Bilag 171
Offentligt

Høringsnotat vedr. udkast til bekendtgørelse om

modstandsdygtighed og beredskab i energisektoren

Udkast til bekendtgørelse om modstandsdygtighed og beredskab i energisektoren

blev den 16. december 2024 sendt i høring hos en bred kreds af organisationer og

myndigheder med frist for at afgive høringssvar den 23. januar 2025.

Der er modtaget i alt 29 høringssvar i hørringsperioden.

Følgende 26 høringsparter har fremsendt bemærkninger til bekendtgørelsen:

Biogas Danmark, Brintbranchen, Cerius A/S og Radius Elnet A/S (Cerius-Radius),

Centralkommunernes Transmissionsselskab (CTR), Crossbridge Energy, Dansk e-

Mobilitet, Dansk Erhverv, Dansk Industri, Danske Olieberedskabslagre (FDO),

Danske Rederier, Dansk Vand- og Spildevandsforening (DANVA), Drivkraft

Danmark, Energinet, Energi Fyn, Evida, EWII (TREFOR), Forsikring og Pension,

Fjernvarme Fyn, Green Power Denmark, HOFOR, INEOS Energy Danmark,

Landbrug & Fødevarer, N1, Norlys, SamAqua, Total Energies og Vores Elnet.

Erhvervsflyvningens Sammenslutning og Københavns Kommune har oplyst, at de

ingen bemærkninger har til lovforslaget.

Dansk Arbejdsgiverforening (DA) har oplyst, at lovforslaget falder uden for deres

virkefelt, og at de ikke ønsker at afgive bemærkninger.

Nedenfor gengives i hovedtræk de væsentligste punkter i høringssvarene efterfulgt

af Energistyrelsens bemærkninger for hvert emne. Bemærkninger til

høringssvarene er markeret med kursiv.

For detaljerede oplysninger om svarenes indhold henvises der til de fremsendte

høringssvar, som kan ses på høringsportalen

Kontor/afdeling

Beredskab

Dato

27-02-2025

J nr.

2024 - 6493

/HLHSM /IGZJB /MMO

/MTHGN /SIHR

Energistyrelsen

Carsten Niebuhrs Gade 43

1577 København V

https://hoeringsportalen.dk/Hearing/Details/69526

T: +45 3392 6700

E: [email protected]

www.ens.dk

Side 1/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Indhold

Høringsnotat vedr. udkast til bekendtgørelse om modstandsdygtighed og

beredskab i energisektoren ....................................................................................... 1

10.

11.

12.

13.

14.

15.

16.

17.

Generelle bemærkninger .............................................................................. 2

Anvendelsesområde og definitioner ............................................................. 5

Niveauinddeling af virksomheder og klassificering af anlæg ........................ 7

Roller – personsammenfald og ledelsesansvar .......................................... 15

Beredskabsplanlægning ............................................................................. 16

Uddannelse ................................................................................................. 21

Risikovurdering af projekter ........................................................................ 22

Leverandørstyring og forsyningskædesikkerhed ........................................ 23

It-sikkerhedstjeneste ................................................................................... 26

Anlægs modstandsdygtighed (fysisk sikring) ............................................. 28

Sikkerhed i net- og informationssystemer .................................................. 42

Håndtering af hændelser ............................................................................ 50

Fortrolighed, udveksling af oplysninger og digital kommunikation ............. 50

Samordnet beredskab ................................................................................ 54

Identificering af særlige virksomheder ........................................................ 55

Håndhævelse og klageadgang ................................................................... 57

Implementeringsfrist og overgangsregler ................................................... 59

Generelle bemærkninger

Energistyrelsen vil først og fremmest takke for den konstruktive dialog, der har

været i forbindelse med høringen af bekendtgørelsen både i forbindelse med

sektormøderne i starten af januar og i høringssvarene.

Det er en generel bemærkning i høringssvarene herunder fra Dansk Erhverv,

Dansk Industri og Drivkraft Danmark, at det er positivt, at Energistyrelsen i

bekendtgørelsen samler de fire nuværende bekendtgørelser i én bekendtgørelse,

implementerer NIS 2- og CER-direktivet samt opdaterer lovgivningen til det aktuelle

trusselsbillede. Herved samles krav til organisatoriske forhold, cybersikkerhed og

fysisk sikring hos selskaber i energisektoren i én bekendtgørelse for alle

energiarterne. Dette afviger fra den eksisterende praksis, hvor kravene er delt op

både ift. energiart og krav.

Side 2/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Ved samlingen stiger kompleksiteten i kravsammensætningen, hvilket også er en

generel bemærkning i høringssvarene fra bl.a. Drivkraft Danmark.

Energistyrelsens bemærkninger:

Energistyrelsen finder det nødvendigt med en holistisk tilgang til beredskabet,

hvilket EU Kommissionen i direktiverne også lægger op til. Energistyrelsen ønsker

endvidere, at kravene til beredskabet er ensartet på tværs af energisektorer. Derfor

har Energistyrelsen vurderet det hensigtsmæssigt, at samle kravene i én

bekendtgørelse. Der vil for energisektoren være en omstillingsperiode, hvor de nye

krav implementeres og arbejdsgangene tilpasses hos selskaberne og

Energistyrelsen.

Bemærkningerne har således ikke givet anledning til ændringer i bekendtgørelsen.

Økonomiske konsekvenser ved anvendelsesområdet

Bekendtgørelsen viderefører modellen for anvendelsesområdet i den nuværende

regulering. Herved er det forsyningsstørrelsen og deraf effekterne af en hændelse,

der er afgørende for, om virksomheden omfattes af beredskabsregulering.

Dansk Industri og Landbrug og Fødevarer rejser i deres høringssvar en bekymring

for, hvorvidt omkostningerne til bekendtgørelsen vil få indflydelse på selskabernes

konkurrenceevne.

Brintbranchen, Crossbridge Energy, Dansk Industri, Nordlys og Landbrug og

Fødevare redegør i deres høringssvar for en bekymring for, at bekendtgørelsen

potentielt vil kunne resultere i højere energipriser.

Energistyrelsens bemærkninger:

Det er Energistyrelsens vurdering, at opdateringen af bekendtgørelsen ikke vil

påvirke virksomhedernes konkurrenceevne betydeligt. Der er på nuværende

tidspunkt ikke et klart billede af den konkrete udmøntning af direktiverne i andre

EU-landes energisektor, men der er generelt på tværs af EU et fokus på at øge

sikkerhedsniveauet i kritiske sektorer, hvorfor der ikke forventes at være markant

forskel på tværs af landegrænser i EU. Bekendtgørelsen baserer sig desuden i høj

grad på

best practice

for sikkerheden i industrielle miljøer og energisektoren.

Energistyrelsen pointerer i den forbindelse, at omkostningerne til at efterleve

kravene i reguleringen vil skulle opvejes af de økonomiske konsekvenser, afbrud af

energiforsyningen kan resultere i. Det har været en prioritet for Energistyrelsen, at

kravene til energiselskaberne skal være proportionelle ift. den påvirkning en

hændelse vil have for samfundet og i høj grad bygge på en risikobaseret tilgang.

Bemærkningerne har således ikke givet anledning til ændringer i bekendtgørelsen.

Side 3/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Proportionalitet i forhold til anvendelsesområde og krav

Det understreges af bl.a. Crossbridge Energy, Dansk Industri, Danske Rederier,

Energinet, Green Power Denmark, N1, INEOS Energy og Nordlys, at det er vigtigt

de supplerende krav er proportionelle ift. trusselsbilledet, og at der derved ikke

implementeres krav, som ikke står på mål med truslen mod energisektoren. Det

bliver også fremhævet som positivt, at de strengeste krav primært er rettet mod de

mest forsyningskritiske virksomheder.

Energistyrelsens bemærkninger:

Overordnet set er det Energistyrelsens vurdering, at NIS 2- og CER-direktivet og

den eksisterende beredskabslovgivning ikke i sig selv i tilstrækkelig grad vil

robustgøre energisektoren. Der er derfor behov for at stille supplerende krav til

energisektoren. Direktiverne er blevet forhandlet inden Ruslands invasion af

Ukraine, og har derfor ikke i tilstrækkelig høj grad kunnet tage højde for det

ændrede trusselsbillede. Som del af vurderingen indgår også erfaringer fra

Energistyrelsens beredskabstilsyn, seneste trusselsvurdering for energisektoren fra

Center for Cybersikkerhed, Energistyrelsens samarbejde med Politiets

Efterretningstjeneste vedr. spionage og sabotagetruslen samt håndtering af

hændelser såsom COVID-19, energikrisen og Nord Stream-sprængningerne.

Behovet for supplerende krav skal desuden holdes op imod, at energisektoren er

en særlig kritisk sektor, hvor sikkerheds- og beredskabsmæssige hændelser kan

skabe kaskadeeffekter i andre kritiske sektorer, som er afhængige af en stabil

energiforsyning. Energistyrelsen har for at sikre en passende proportionalitet og for

kun at omfatte virksomheder i energisektoren, som er kritiske for

forsyningssikkerheden, inddelt virksomhederne i forskellige niveauer, hvor de mest

kritiske virksomheder er i de øverste niveauer og underlægges de strengeste krav.

Ud over nogle minimumskrav, som virksomhederne skal opfylde, implementeres

der en risikobaseret tilgang, hvor virksomhederne skal foretage en risikovurdering

og har metodefrihed i forhold til, hvordan kravene opfyldes.

Bemærkningerne har således ikke givet anledning til ændringer i bekendtgørelsen.

Foranstaltninger baseret på en risikovurdering

Det er en generel bemærkning i høringssvarene, herunder fra Green Power

Denmark, Dansk Industri, Landbrug og Fødevarer, N1 og Nordlys, at der er behov

for at foranstaltninger implementeres på baggrund af en risikovurdering.

Energistyrelsens bemærkninger:

Der lægges i bekendtgørelsen op til at fortsætte nuværende praksis, hvor

foranstaltninger baseres på en risikovurdering. Herved skal selskaber udarbejde

risiko- og sårbarhedsvurderinger og på baggrund heraf tage stilling til, hvad der er

de rigtige lokale foranstaltninger, og at disse implementeres under hensyntagen til

især kravet, men også konkrete omkostningsniveau og risicienes alvor. Der er i

Side 4/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

nogle af kravene et mindre manøvrerum end andre. Der lægges dog ikke op til at

fastsætte krav om fx højden på hegnet ved energianlægget, hvilke type låse

virksomheden anvender ved indgange eller præcis hvilke krypteringsalgoritmer,

som virksomhederne benytter til at kryptere følsomme data. Bekendtgørelsen stiller

dog på nogle områder konkrete krav for bl.a. at sikre et højt minimumsniveau og

undgå for stort fortolkningsrum. Dette er under hensyntagen til den økonomiske

regulering, de fleste selskaber i energisektoren er underlagt, samt baseret på

erfaringerne fra den tidligere regulering, hvor for stort fortolkningsrum i nogle

tilfælde gjorde det svært at sikre overholdelsen af lovens intentioner.

Energistyrelsen har nogle steder tilføjet, at kravene skal implementeres ud fra en

risikovurdering. Bemærkningerne har således givet anledning til ændringer i

bekendtgørelsen.

Anvendelsesområde og definitioner

Flere høringsparter Cerius-Radius, Dansk Erhverv, Danske Rederier, Evida, Ewii,

Green Power Denmark, N1 og Norlys efterlyser, at en række definitioner og

begreber præciseres yderligere. Det drejer sig navnlig om ”anlæg”, ”levering af en

tjeneste”, ”håndtere”, ”hændelse”, ”væsentlig hændelse” og ”net og

informationssystemer”.

Endvidere har Cerius-Radius, Dansk Erhverv, Energinet, Evida, Green Power

Denmark, HOFOR og Norlys i vidt omfang samstemmende bemærkninger til

ledelsesbegrebet. De finder, at ledelse bør defineres i bekendtgørelsen eller i en

vejledning. Flere af disse høringsparter understreger endvidere vigtigheden af, at

definitionen afstemmes på tværs af sektorer, der omfattes af NIS2- og CER-

direktiverne.

Energistyrelsens bemærkninger:

Energistyrelsen bemærker til høringskommentarerne vedr. præcisering af

definitioner og begreber, at flere af begreberne er defineret på lovniveau, og i

udgangspunktet ikke behøves gentaget i den underliggende bekendtgørelse.

Andre begreber kan ikke indskrænkes yderligere ved legal definition, idet det

risikerer at indskrænke lovens og bekendtgørelsens rækkevidde på en måde, der

vil betyde at Energistyrelsen har fejlimplementeret NIS 2 og CER-direktiverne.

Dette gør sig særligt gældende for ”levering af en tjeneste”, hvor tjenesten, der

refereres til, er den ”tjeneste”, der gør, at man som virksomhed er omfattet af

lovens anvendelsesområde. Tjenesten afhænger derfor af, hvilken virksomhed, der

er tale om, og en virksomhed vil i udgangspunktet kunne levere flere forskellige

tjenester, der gør, at de er omfattet af loven. Det kan således ikke defineres

yderligere end ved at se tilbage på definitionerne af de forskellige

Side 5/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

virksomhedstyper, der er omfattet af lov om styrket af beredskab i energisektoren.

Nogle af virksomhedstyperne er ikke defineret, såsom ”olierørledningsoperatør”.

Her skal tjenesten forstås ud fra en almindelig ordlydsfortolkning og i bredest mulig

forstand.

Endvidere er der visse begreber i lov og bekendtgørelse, som ikke er forsøgt

nærmere defineret, da begreberne må forstås i overensstemmelse med ordets

almindelige brug. Fx er begrebet ”anlæg”, grundet det brede anvendelsesområde

for lov og bekendtgørelse, et begreb, der vil omfatte mange forskellige typer af

konstruktioner. Dette kan bl.a. afhænge af hvilken delsektor, der er tale om, og

hvilken virksomhedstype begrebet anvendes i forbindelse med. I sådanne tilfælde

vil det ikke være givtigt at opliste alle typer af anlæg, som alle de forskellige

virksomhedstyper anvender, kan anvende eller vil anvende i fremtiden til at levere

deres tjenester.

Energistyrelsen vil i forbindelse med bekendtgørelsens ikrafttræden udarbejde en

række Q&A, hvor flere af de centrale begreber vil blive belyst og eksemplificeret.

De vil blive publiceret på Energistyrelsens hjemmeside i forlængelse af

bekendtgørelsens ikrafttræden.

For så vidt angår høringskommentarerne vedrørende ledelsesbegrebet, er

Energistyrelsen enig i kommentarerne, herunder at definitionen bør være afstemt

på tværs af sektorer, der omfattes af NIS 2. Energistyrelsen har derfor i lov om

styrket beredskab og høringsversionen af bekendtgørelsen afstemt formuleringer

om ledelse med det på tidspunktet tilgængelige forslag til Lov om foranstaltninger til

sikring af et højt cybersikkerhedsniveau (NIS 2-lovforslag), som Forsvarsministeriet

sendte i høring den 7. juli 2024. Ministeriet for Samfundssikkerhed og Beredskab

(MSSB) har i lovforslag nr. L 141 fremsat den 6. februar 2025 præciseret, hvordan

”ledelse” skal forstås.

MSSB redegør i forslaget til NIS 2-loven for, at der i dansk ret ikke findes en

entydig definition af et ledelsesorgan. Visse virksomhedstyper er ikke omfattet af

materielle regler om ledelsens organisering, hvorfor disse har en vis frihed til at

organisere sig, efter egen vilje. Lov om aktie- og anpartsselskaber, jf.

lovbekendtgørelse nr. 1168 af 1. september 2023 (selskabsloven) definerer i

§ 5, nr. 4 dog bl.a. ”det centrale ledelsesorgan” som a) bestyrelsen i selskaber, der

har en direktion og en bestyrelse, b) direktionen i selskaber, der alene har en

direktion og c) direktionen i selskaber, der både har en direktion og et tilsynsråd.

Selskabsloven finder dog alene anvendelse for aktie- og anpartsselskaber, jf.

lovens § 1, stk. 1.

Lov om visse erhvervsdrivende virksomheder, jf. lovbekendtgørelse nr. 249 af 1.

februar 2021 (LEV-loven), definerer i lovens § 4 a, nr. 2 en ledelse, som

”medlemmer af bestyrelse, direktion eller et tilsvarende ledelsesorgan”.

Side 6/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Det er på den baggrund MSSB’s vurdering, at begrebet ”ledelsesorgan” i NIS 2-

direktivet skal forstås i overensstemmelse med definitionerne af henholdsvis det

centrale ledelsesorgan i selskabslovens § 5, nr. 4, og ledelsen i LEV-lovens § 4 a,

nr. 2, afhængigt af enhedens selskabsform.

Energistyrelsen har tilføjet en definition af ”ledelsesorgan” i § 3, som følger

forståelsen i MSSB’s NIS 2-lovforslag (s. 29 og s. 66).

Bemærkningerne giver således anledning til ændringer i bekendtgørelsen.

Niveauinddeling af virksomheder og klassificering af

anlæg

Gennemgående bemærkninger

Green Power Denmark, Cerius-Radius, Dansk e-Mobilitet, Dansk Erhverv, Drivkraft

Danmark, N1 og Norlys efterspørger klarhed og vejledning i niveauinddelingen af

virksomheder og klassificeringen af anlæg samt tærskelværdierne for disse. En

række høringsparter opfordrer Energistyrelsen til at udarbejde vejledninger i

tærskelværdierne samt en oversigt over hvilke dele af bekendtgørelsen, som

virksomhederne er omfattet af i henhold til deres virksomhedsniveau og

anlægsklasser.

Høringsparterne fremhæver desuden, at det bør fremgå mere tydeligt, at

virksomheder, der opererer inden for flere delsektorer eller på anden vis er

koncernforbundne, niveauinddeles på baggrund af det enkelte CVR-nummer,

således at den enkelte virksomhed kun kan tildeles et højere niveau, hvis der

søges samordnet beredskab. En sådan metodik vil ifølge en række høringsparter

kunne sikre, at der ikke indføres disproportionale krav.

Der er en række høringsparter, der efterspørger, at koblingen mellem

klassificeringen af anlæg og virksomhedens niveau tydeliggøres i bekendtgørelsen.

Som høringsparterne gør opmærksom på, er det er et princip jf. den eksisterende

og den kommende regulering, at en virksomhed med fx et klasse 3-anlæg

automatisk bliver indplaceret som niveau 3-virksomhed eller højere.

Høringssvarene giver udtryk for, at der er tvivl om hvad, der henhører under klasse

1-anlæg. I bekendtgørelsen og navnlig i bilag 1 og 2 er der ikke udpenslet nogen

kriterier for, hvad et klasse 1-anlæg er.

Side 7/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Høringsparternes svar

Biogas Danmark fremfører, at tærskelværdierne for, hvornår virksomheder

omfattes af reguleringen, er uhensigtsmæssig. De henviser til, at kriterierne for,

hvornår virksomheder i gassektoren er omfattet, er for vidtgående set i forhold til, at

der med de danske gaslagre er en sikkerhed for forsyningen. Biogas Danmark

tilslutter sig den af Energistyrelsen fastsatte produktionsstørrelse på 26 mio. Nm3

gas pr. år som nedre tærskelværdi for anvendelsesområdet. De gør samtidig

opmærksom på, at de direktivfastsatte grænseværdier for omsætning og balance

på 10 mio. euro er for lavt, da dette vil betyde at biogasanlæg og -virksomheder,

der har en årlig produktion på ned til 10 mio. Nm3 gas, også omfattes.

På den baggrund opfordrer Biogas Danmark til, at opgørelsen i forhold til

virksomhedernes omsætning sker som gennemsnit over en årrække, da der

alternativt vil være anlæg, som risikerer at svinge mellem at være omfattede og

ikke-omfattede som følge af svingende markedspriser for gas og

oprindelsesgarantier.

Biogas Danmark påpeger desuden, at definitionerne af tærskelværdier for gas bør

defineres i energienheder, således at der ikke opstår fortolkningsproblemer ift., om

der er tale om rå biogas eller opgraderet biometan.

Brintbranchen gør opmærksom på, at de ikke mener, det er hensigtsmæssigt at

foretage niveauinddelingen af virksomheder på baggrund af installeret kapacitet,

idet forskellige typer anlæg har forskellige driftsmønstre og driftstimer.

Brintbranchen opfordrer derfor til, at niveauinddelingen opgøres efter producerede

energimængder frem for installeret kapacitet.

Cerius-Radius påpeger, at der for klassificeringen af eldistributionsselskabernes

anlæg bør tages udgangspunkt i den reelle målte mængde elektricitet og dermed

ikke den installerede kapacitet. Dette vil, ifølge Cerius-Radius, harmonere bedre

med tærskelniveauerne for antal slutbrugere og ift. påvirkningsgraden af anlægget

samt sikre proportionalitet. Det bør derudover tydeliggøres, mener Cerius-Radius,

at eldistributionsselskabernes anlæg kan blive omfattet af anlægsklasse 2 ved fx at

have både en kapacitetsgrænse og en slutbrugergrænse i klassificeringskriterierne.

Hertil foreslår Cerius-Radius, at tærskelværdierne for klasse 3-anlæg ændres fra

grænsen på betydning for elforsyningen til 30.000 slutbrugere til 50.000

slutbrugere, da dette, ifølge Cerius-Radius, vil være proportionelt ift.

hovedstationernes betydning for elforsyningen. Cerius-Radius fremhæver samtidig,

at anlæg med betydning for færre end 50.000 slutbrugere primært vil have lokal

betydning og derfor bør omfattes af mindre omfattende krav.

Dansk e-Mobilitet fremhæver, at det er uklart, hvordan tærskelværdierne for

operatører af ladepunkter skal forstås og hvordan ”samlet kapacitet” bør

Side 8/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

operationaliseres. De efterspørger derfor en vejledning for tærskelværdiernes

anvendelse specifikt for ladeinfrastrukturen, som kan sikre ensartet

implementering. Dansk e-Mobilitet efterspørger, at en sådan operationalisering af

tærskelværdierne tager udgangspunkt i sektorspecifikke forhold, der kan

understøtte proportionalitet mellem reguleringstrykket og operatørernes kritikalitet.

Dansk Erhverv finder, at forbrugssiden ikke bør inkluderes i anvendelsesområdet.

Idet andre store enkeltpunktforbrugere af energi ikke omfattes, bør PtX, ifølge

Dansk Erhverv, klassificeres ud fra anlæggenes produktion frem for deres

elforbrug.

Dansk Erhverv gør opmærksom på, at man bør holde fast i kriteriet vedrørende

håndteret energimængde for niveauinddeling af eldistributionsselskaber, som det

kendes fra den nuværende beredskabsregulering, idet slutkunder ikke fungerer

som en passende måleenhed for kritikalitet. De opfordrer Energistyrelsen til at

genbesøge tærskelværdier for virksomheder i elsektoren, således at håndteret

energimængde (MWh) fremgår.

Dansk Erhverv mener desuden, at Energistyrelsens beføjelser til i særlige tilfælde

at tildele et andet niveau end det, der fremgår af bilag 1, kan have store

økonomiske konsekvenser. Dansk Erhverv fremfører samtidig, at de vurderer, at

der ikke er hjemmelsgrundlag for en sådan afgørelse.

Drivkraft Danmark er uforstående over for, at reguleringen går videre end NIS2- og

CER-direktiverne ved at omfatte operatører af tankstationer. De henviser samtidig

til overlappet mellem virksomheder, der er operatører af ladepunkter og operatører

af tankstationer, hvilket sandsynligvis vil bevirke, at de økonomiske byrder, der

følger af denne udvidelse, vil være mindre betydelige.

Drivkraft Danmark bemærker desuden, at den enkelte tankstation og ladestander

ikke er defineret som anlæg i bilag 2. Det betyder, at for virksomheder, der har

tankstationer eller ladestandere over de angivne tærskelniveauer i bilag 1, vil deres

risiko- og sårbarhedsvurdering og beredskabsplanlægning primært være rettet mod

sikkerhed i deres net- og informationssystemer.

Drivkraft Danmark gør opmærksom på, ladeoperatørers kapacitet ikke er entydigt

defineret i bekendtgørelsen, og at definitionen i bilag 1 inkluderer ladestandere i det

offentlige rum såvel som hos private, samt at der med kapacitet menes den

samlede effekt fra en given lokation.

Energinet anbefaler, at tærskelværdierne for niveauinddeling af virksomheder og

klassificering af anlæg fjernes fra bekendtgørelsen. Energinet fremhæver desuden,

at der ikke er forskel på reglerne for hhv. niveau 4- og 5-virksomheder og anbefaler

derfor, at der kun bør være inddeling på fire niveauer. Ligeledes mener Energinet,

Side 9/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

at det er uklart, hvorfor anlæg opdeles i fem forskellige klasser, når reglerne er ens

for begge typer anlæg. Energinet foreslår dog, at der differentieres i kravene til

anlæg i klasse 4 og 5, da der er et særligt beskyttelsesbehov for klasse 5-anlæg.

EWII fremhæver, at begrebet ”håndtere”, som benyttes i bekendtgørelsens bilag 1

bør præciseres. Derudover gør EWII opmærksom på, at begreberne ”elproduktion”

og ”elforbrug” ikke er de mest retvisende termer, idet batterier og HVDC-

forbindelser ikke producerer eller forbruger. Alternativt påpeger EWII, at man kan

bruge ”udveksling med det kollektive net”.

Foreningen Danske Olieberedskabslagre (FDO) stiller spørgsmål til, hvorfor de

vurderes at være en niveau 5-virksomhed, da beskrivelsen af niveau 4, ifølge FDO,

er mere retvisende. FDO spørger desuden ind til, hvorvidt der er en sammenhæng

mellem niveau 5-virksomheder og de kritiske enheder af særlig europæisk

betydning, som skal identificeres jf. § 116.

Desuden spørger FDO, om det er korrekt antaget, at deres operationelle teknologi

(OT) er klassificeret som klasse 4-anlæg, ligesom FDO spørger, om inaktive lagre

klassificeres og derfor skal omfattes af fx månedlig anlægskontrol.

Go’on Gruppen A/S foreslår, at tærskelværdierne for operatører af tankstationer

ændres således, at antallet af tankstationer slettes som parameter, mens

tærskelværdien for volumen nedsættes til 5 % af det samlede marked, hvilket

svarer til 200.000 m3. Baggrunden for forslaget er, at der med ca. 2.000

tankstationer i et lille land som Danmark ifølge Go’on Gruppen aldrig vil være langt

til den nærmeste tankstation.

Go’on anfører, at det er den samlede volumen, den enkelte virksomhed bringer på

markedet, der er afgørende for den samlede forsyningssikkerhed. I den

sammenhæng giver det, ifølge Go’on, mening at nedsætte volumen betydeligt, så

man sikrer, at de virksomheder, der leverer betydelige mængder, er omfattet,

uagtet om leveringen sker fra få store eller mange små lokationer.

Green Power Denmark fremhæver, at de forstår, at ejerforholdet ift. konkrete anlæg

har betydning for niveauinddelingen. Green Power Denmark gør opmærksom på,

at de dermed forstår det således, at virksomheder, der fx udfører drift og

vedligeholdelse (O&M) for andre selskaber, ikke er direkte omfattet af

bekendtgørelsen, men i stedet vil være underlagt forpligtelser gennem ejerens

forpligtelser til leverandørstyring. Green Power Denmark efterspørger klarhed om

hvilke elementer, der indgår i den samlede klassificering af en virksomheds anlæg.

Green Power Denmark opfordrer desuden til, at nye produktionsteknologier som

PtX bør niveauinddeles proportionelt med andre energiformer, så de ikke placeres i

en højere klasse end anlæg i andre forsyningssektorer.

Side 10/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Angående muligheden for, at Energistyrelsen kan træffe afgørelse om, at

virksomheders anlæg skal klassificeres i en anden klasse, end hvad der fremgår af

bilag 2, efterlyser Green Power Denmark eksempler på hvilke særlige

omstændigheder, der skal være til stede for, at Energistyrelsen klassificerer anlæg i

en anden klasse end det, der fremgår af tærskelværdierne.

N1 bemærker, at det er problematisk, at kriteriet om ”håndtering af energimængder

(MWh)”, som kendes fra den eksisterende regulering for it-beredskab for el- og

naturgassektorerne, bortfalder. N1 påpeger, at slutkunder ikke er den bedste

målestok for eldistributionsselskabernes kritikalitet, idet der kan være

eldistributionsselskaber, der har samme antal slutkunder, men hvor den leverede

mængde er forskellig med en faktor 10. På den baggrund anbefaler N1, at man

viderefører håndteret energimængde (MWh) som et centralt kriterie for indplacering

af eldistributionsselskaberne.

N1 gør desuden opmærksom på, at størstedelen af deres 60 kV-stationer vil blive

indplaceret som klasse 2-anlæg i medfør af tærskelværdierne i bilag 2. Henset til

60 kV-stationernes betydning for elforsyningen samt for andre samfundskritiske

sektorer foreslår N1, at 60 kV-stationer klassificeres som klasse 3-anlæg ved at

udvide anvendelsesområdet i bilag 2.

Norlys bemærker, at tærskelværdierne i bilag 1 er vanskelige at operationalisere på

tværs af delsektorer, og de anmoder om, at operationaliseringen af kapaciteten

målt i MW afklares i en vejledning med eksempler.

Vores Elnet A/S gør opmærksom på sikkerhedsbehovet for

eldistributionsselskabernes 60 kV-stationer, herunder at der bør indføres krav om

nødstrøm for en del af disse. Vores Elnet A/S foreslår, at der stilles krav til

nødstrømsforsyning af enkelte typer klasse 2-anlæg, herunder 60 kV-stationerne.

Energistyrelsens bemærkninger:

På baggrund af en række af høringssvarenes efterspørgsel om mere klarhed og

vejledning i niveauinddelingen af virksomheder og klassificeringen af anlæg samt

tærskelværdierne for disse, har Energistyrelsen lavet en gennemskrivning af bilag

1, 2 og 3. Dette har været med henblik på at sikre overensstemmelse mellem

anvendelsesområdet jf. lov om styrket beredskab i energisektoren, virksomheds-

og anlægstyper i bilag 1 og 2, samt de typer af oplysninger og data, som

Energistyrelsen kan bede virksomhederne om at indsende jf. bilag 3.

Således bør uklarheder ift. tærskelværdierne og operationaliseringen af disse være

udbedret væsentligt. Derudover har det også været hensigten med

gennemskrivningen af bilagene, at koblingen mellem anlægsklasser og

virksomhedens niveau fremgår tydeligere.

Side 11/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Angående høringsparternes spørgsmål vedrørende klasse 1-anlæg bemærker

Energistyrelsen, at det med denne bekendtgørelse er hensigten, at der ikke skal

udpeges nogen klasse 1-anlæg. Der vil være en række virksomheder inden for

fjernvarmesektoren, der inddeles som niveau 1-virksomheder. Det skyldes, at

fjernvarmevirksomhederne er naturlige monopoler, hvorfor slutbrugerne ikke kan få

varme på anden vis. Samtidig er både forsyningsområderne og virksomhederne så

små, at det vurderes mest proportionelt, at stille relativt simple beredskabskrav til

disse virksomheder. Derfor stilles der udelukkende krav om, at niveau 1-

virksomhederne skal have en beredskabsplan og et operationelt kontaktpunkt, men

virksomhedernes anlæg klassificeres som udgangspunkt ikke, idet der heller ikke

stilles krav til anlæggenes modstandsdygtighed.

For så vidt angår yderligere spørgsmål til forståelsen af niveauinddelingen af

virksomheder og klassificeringen af anlæg, vil Energistyrelsen i løbet af de

kommende måneder offentliggøre en Q&A på Energistyrelsens hjemmeside, som

kan hjælpe med at forstå tærskelværdierne samt operationalisere disse med brug

af eksempler på, hvordan de forskellige tærskelværdier skal forstås. I forbindelse

med ikrafttrædelsen af reguleringen vil Energistyrelsen desuden offentliggøre en

oversigt over, hvilke dele af bekendtgørelsen, som virksomhederne er omfattet af i

henhold til deres niveau.

Energistyrelsen er enige med en række høringsparter i, at tærskelværdierne og

niveauinddelingen af virksomheder jf. bilag 1 i bekendtgørelsen skal ske på

baggrund af det enkelte CVR-nummer. Det er siden høringen blevet præciseret i §

4, stk. 3.

Energistyrelsen anerkender Biogas Danmarks bemærkning om, at gaslagrene har

større betydning for gasforsyningssikkerheden end de enkelte biogasanlæg.

Energistyrelsen mener dog, at de foreslåede grænseværdier skal fastholdes, da

biogasanlæg får en tiltagende betydning for gasforsyningen i Danmark, og idet det

er et centralt sigte med reguleringen at sikre modstandsdygtighed i hele

værdikæden.

Energistyrelsen er enige i Biogas Danmarks betragtning om, at grænseværdien på

26 mio. Nm3 gas for gasproducerende enheder er en proportionel grænseværdi.

Energistyrelsen gør dog samtidig opmærksom på, at grænseværdierne, der tager

udgangspunkt i omsætning, balance og antal medarbejdere er fastsat af

anvendelsesområdet for NIS 2-direktivet og derfor ikke kan fraviges i national

lovgivning.

I afgørelsen vedrørende hvorvidt virksomhederne er omfattet, tager Energistyrelsen

udgangspunkt i EU-Kommissionens henstilling af 6. maj 2003 (2003/361/EF) om

definitionen af mikrovirksomheder, små og mellemstore virksomheder. Heraf

Side 12/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

fremgår det i artikel 4, stk. 1-2, at der anvendes data for det senest afsluttede

regnskabsår, og at en man som virksomhed kun mister status som enten

mellemstor, lille eller mikrovirksomhed, såfremt der sker under- eller overskridelse

af tærsklerne i to på hinanden følgende regnskabsår. Derfor er bilag 3 også

opdateret, således at der bedes om oplysninger vedr. omsætning, balance og antal

ansatte for de to seneste år.

Energistyrelsen tager Biogas Danmarks forespørgsel om opgørelsen af

tærskelværdierne i energienheder til efterretning, og vil bestræbe sig på, at gøre

dette til en del af Energistyrelsens vejledningsindsats. Det bemærkes samtidig, at

biogasselskaberne omfattes på baggrund af mængden af opgraderet biometan

leveret til gasnettet, og at derfor er tale om m

med brændværdi svarende til

naturgas.

Energistyrelsen anerkender, at der, som Brintbranchen gør rede for, er forskel på et

produktionsanlægs kapacitet og de reelt producerede energimængder. Det er dog

et væsentligt hensyn i beredskabsreguleringen, at kritikalitetsvurderingen af anlæg

og virksomheder tager udgangspunkt i den konsekvens fx et elproducerende eller

et brintproducerende anlæg kan have for balancen i elnettet. Derfor anvendes

kapaciteten for en række typer anlæg i klassificeringen af disse.

Til Dansk Erhvervs bemærkning vedrørende klassificering af PtX-anlæg på

baggrund af forbruget af el, gør Energistyrelsen opmærksom på, at PtX-anlæg for

nuværende især er kritiske for forsyningssikkerheden på baggrund af de udsving i

elnettet, som disse har kapacitet til at forårsage. Derfor omfattes PtX-anlæg på

baggrund af elforbrug fra det kollektive net.

På baggrund af høringssvarene fra en række eldistributionsselskaber er

tærskelværdierne for niveauinddelingen af disse samt klassificeringen af anlæg på

distributionsnettet opdateret i bilag 1 og 2. På den baggrund er den håndterede

energimængde i MWh blevet et kriterie for indplaceringen af både anlæg og

eldistributionsselskaber, som supplerer indplaceringen på baggrund af antal

slutbrugere.

Energistyrelsen sætter pris på Cerius-Radius’ tekstnære kommentarer til

niveauinddelingen og klassificeringen af anlæg og til bilagene til bekendtgørelsen

og har på den baggrund lavet en række ændringer i, hvordan anlæg klassificeres.

Dog har Energistyrelsen fastholdt tærskelværdien for klasse 3-anlæg på

distributionsnettet, så der fortsat er tale om anlæg med betydning for distributionen

af el til 30.000 slutbrugere.

På baggrund af høringssvarene fra en række høringsparter, vil Energistyrelsen

gerne præcisere, at ladestandere, herunder ladenetværk, ikke anses som værende

et anlæg, da det ikke er ladestanderen i sig selv, der er kritisk. Således sker der

Side 13/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

ikke nogen klassificering af ladestanderparker, da det ikke vurderes

hensigtsmæssigt at skulle etablere bl.a. fysisk sikring ved ladestandere. Dermed

niveauinddeles operatører af ladepunkter jf. bilag 1 på baggrund af den kapacitet,

som virksomheden har kapacitet til at forbruge fra det kollektive net, hvilket som

udgangspunkt både bør indbefatte offentlige ladestandere og ladestandere hos

private, såfremt disse udgør en del af de samme net- og informationssystemer.

Energistyrelsen anerkender, at der kan være forskel på den teoretiske kapacitet på

ladestationerne og den reelt tilgængelige kapacitet fra den tilknyttede transformer.

Såfremt der reelt kun er mulighed for at forbruge en mindre kapacitet end den

teoretiske kapacitet for en samling af ladestandere, er Energistyrelsen positive over

for muligheden for, at niveauinddelingen følger den reelt mulige kapacitet.

Energistyrelsen sætter pris på høringsparternes bemærkninger vedrørende

udfordringerne med at operationalisere ladeoperatørernes kapacitet. Dette vil

Energistyrelsen gerne uddybe yderligere i en Q&A samt operationalisere yderligere

i samarbejde med branchen, således at niveauinddelingen afspejler

ladeoperatørernes kritikalitet.

Energistyrelsen fastholder, at tærskelværdierne skal fremgå af bekendtgørelsen af

hensyn til gennemsigtighed i reguleringen og for at understøtte virksomhedernes

arbejde med modstandsdygtighed og beredskab bedst muligt.

Til Energinets bemærkning vedrørende den manglende forskel i kravene til niveau

4- og 5-virksomheder og til klasse 4- og 5-anlæg, anerkender Energistyrelsen, at

der ikke er nogen forskel på de materielle krav til disse. Samtidig er Energistyrelsen

enig med Energinet i, at det er relevant at bevare differentieringen.

Differentieringen kan bl.a. understøtte, at der fx i forbindelse med en eskalerende

trussel og ændringer i sektorberedskabsniveauet kan iværksættes særlige

sektorberedskabsforanstaltninger for hhv. niveau 4- og 5-virksomheder og klasse

4- og 5-anlæg.

Derudover skal differentieringen mellem niveau 4- og 5-virksomheder understøtte,

at Energistyrelsen kan føre længere tilsyn med særligt kritiske virksomheder,

hvilket tillige kræver en opdeling i gebyrkategorier jf. bekendtgørelse om gebyrer

efter lov om styrket beredskab i energisektoren.

Energistyrelsen bemærker til spørgsmålet vedr. FDO’s niveauinddeling, at FDO

som central lagerenhed har stor betydning for olielagerberedskabet. En hændelse

hos FDO vurderes at have stor betydning for det samlede olielagerberedskab. Det

er således på virksomhedsniveau, at FDO er kritisk, mens der kan være variation i,

hvordan FDO’s rørledninger og lagre klassificeres. Til bemærkningen vedrørende

kritiske enheder af særlig europæisk betydning, gør Energistyrelsen opmærksom

Side 14/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

på, at disse enheder udpeges som led i EU-samarbejde under Kommissionen, og

således ikke er det samme som niveau 5-virksomheder.

Energistyrelsen bemærker desuden, at operationel teknologi (OT) ikke i sig selv

klassificeres som anlæg. Placeringen af OT på anlæg kan dog betyde, at anlægget

skal sikres yderligere. Hvis OT-systemerne fx kan give adgang til klassificerede

anlæg, bør systemerne sikres.

Hvorvidt inaktive lagre eller andre inaktive anlæg skal klassificeres kommer an på,

om anlæggene forventes anvendt på et tidspunkt. Hvis anlæggene er permanent

taget ud af drift, skal de ikke omfattes.

Energistyrelsen bemærker, at tærskelværdierne for tankstationer er fastsat på

baggrund af et ønske om at sikre modstandsdygtigheden hos de virksomheder, der

leverer en stor mængde olieprodukter til markedet. Ved samtidig at omfatte

virksomhederne med flest tankstationer, sikres det, at de tankstationsvirksomheder,

der primært har tankstationsaktivitet i yderområderne af Danmark reguleres. Det er

væsentligt, at også disse operatører af tankstationer har en høj

modstandsdygtighed, da de er væsentlige for forsyningen af olieprodukter i

yderområder, hvor der ikke nødvendigvis er andre tankstationer i nærheden.

Energistyrelsen vil gerne bekræfte Green Power Denmarks formodning om, at

ejerskabet af anlæg er afgørende for hvem, der har ansvaret for beredskabet og

dermed niveauinddeles. Derudover bekræfter Energistyrelsen, at virksomheder, der

fx udfører drift og vedligeholdelse som udgangspunkt er at betragte som

leverandører.

Energistyrelsen bemærker, at der ikke på forhånd kan gives eksempler på, hvilke

omstændigheder, der skal være til stede for, at Energistyrelsen placerer anlæg i en

anden klasse end, der fremgår af tærskelværdierne, idet der til hver en tid vil være

tale om en konkret vurdering, og idet samtlige mulige forhold, der kunne lede til en

sådan afgørelse, ikke på forhånd kan redegøres for.

Roller – personsammenfald og ledelsesansvar

Cerius-Radius, Crossbridge Energy, Green Power Denmark og HOFOR og Total

Energies ønsker en præcisering af forbuddet mod personsammenfald mellem

beredskabskoordinatoren, cyberkoordinatoren og virksomhedens ledelse i § 11,

stk. 6. Flere af de nævnte høringsparter foreslår i den sammenhæng, at forbuddet

kan afgrænses, således at der ikke må være personsammenfald med den ledelse,

som godkender risikovurderinger og beredskabsplaner efter § 10.

Side 15/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Energistyrelsens bemærkninger:

Energistyrelsen skal bekræfte, at der med virksomhedens ledelse i forbuddet mod

personsammenfald i § 11, stk. 6 menes ledelse på et overordnet niveau, i form af

direktion eller bestyrelse. Dette er tydeliggjort med definitionen af ledelsesorgan i §

3, nr. 7.

Energistyrelsen kvitterer for den foreslåede præcisering og har rettet § 11, stk. 6,

så det fremgår, at virksomheder i niveau 4 og 5 ikke må have personsammenfald

mellem beredskabskoordinatoren, cyberkoordinatoren og virksomhedens

ledelsesorgan, der godkender risikovurderinger og beredskabsplaner efter § 10.

Bemærkningerne giver således anledning til ændringer i bekendtgørelsen.

Beredskabsplanlægning

Fortegnelser

Cerius-Radius bemærker til §§ 14-16, at bestemmelserne fastsætter brede krav til

fortegnelser, som de allerede er forpligtiget til at udarbejde af øvrig regulering.

Bestemmelserne er også knyttet til virksomhedens tjeneste, som ikke er defineret.

Cerius-Radius mener, at forpligtigelsen til at udarbejde fortegnelser efter §§ 14-16

er omfattende og stiller detaljerede krav, som bør baseres på en risikobaseret

tilgang. Forpligtigelsen bør dertil kun gælder det forsyningskritiske.

Energinet bemærker til § 14, stk. 2, at det bedes uddybet hvad fortegnelserne skal

indeholde.

Cerius-Radius bemærker til §§ 14-16, at bestemmelserne fastsætter brede krav til

fortegnelser, som virksomheden allerede er forpligtiget til at udarbejde som følge af

øvrig regulering. Bestemmelserne er også knyttet til virksomhedens tjeneste, som

ikke er defineret. Forpligtigelsen til at udarbejde fortegnelser efter §§ 14-16, er

omfattende og stiller detaljerede krav, og kravene bør ifølge Cerius-Radius baseres

på en risikobaseret tilgang, hvor forpligtigelsen kun gælder det forsyningskritiske.

Cerius-Radius undrer sig også over, hvorfor indholdet af § 48, der vedrører

fortegnelser over software- og hardwareaktiver, ikke indgår sammen med

nærværende bestemmelser om virksomhedens fortegnelser. I forhold til § 16, har

Cerius-Radius svært ved at forstå betydningen af formuleringen i bestemmelsens

stk. 1, ”fysiske og digitale informationsstrømme, som indgår i styringskritiske

funktioner og beslutningsprocesser.”, og de imødeser dermed en præcisering af,

hvad dette omfatter. Bestemmelsen bør ifølge Cerius-Radius også afgrænses til at

gælde koncerneksternt i stedet for at omfatte alle eksterne informationsstrømme.

Side 16/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Green Power Denmark bemærker i sit høringssvar, at

§§ 14-15 fastsætter en

forpligtelse til at udarbejde fortegnelser over virksomhedens aktiver, herunder de af

deres anlæg og net- og informationstjenester, som er nødvendige for at

virksomheden kan levere sine tjenester. Green Power Denmark er enig i, at det er

vigtigt at have et overblik over de centrale anlæg og net- og informationssystemer

og de eventuelle kritiske afhængigheder mellem disse og eventuelle

samarbejdspartnere. Bestemmelsernes formulering giver dog anledning til en

overvejelse om, hvorvidt det er tiltænkt, at denne forholdsvis omfattende

dokumentationspligt (og ajourføringspligt) skal gælde samtlige anlæg og net- og

informationssystemer. Green Power Denmark antager, ud fra en

proportionalitetsbetragtning, at dette ikke er hensigten, og opfordrer de til, at dette

præciseres enten i bekendtgørelsen eller i den kommende vejledning, så det er

klart, at pligten til at føre fortegnelser alene gælder de forsyningskritiske net- og

informationssystemer.

Der henvises i den forbindelse til Green Power Denmarks anbefaling om, at det

præciseres, hvordan de forskellige net- og informationssystemer adskiller sig fra

hinanden og hvilke krav, der hører til de forskellige systemkategorier. Pligten til at

føre fortegnelser omfatter tillige ”fysiske og digitale informationsstrømme, som

indgår i styringskritiske funktioner og beslutningsprocesser”, jf. § 16, stk. 1. Det er

ifølge Green Power Denmark uklart, hvad der menes med bestemmelsen, og de

foreslår en præcisering. Det bemærkes, at det fx ikke er klart for Green Power

Denmark, hvorvidt ”ekstern” også omfatter andre virksomheder i selvsamme

koncern.

N1 bemærker til § 14, at N1 finder det uklart, hvad der menes med ”anlæg” i

paragraffen, herunder om det er klassificerede anlæg, alle tekniske anlæg eller om

det omfatter anlæg, som ikke er tekniske. N1 anmoder om, at f.eks. kabelskabe

ikke skal betegnes som anlæg og at Energistyrelsen præciserer dette og/eller gør

gældende, at vurderingen af, hvilke anlæg, der er omfattet, sker på baggrund af en

risikovurdering hos virksomhederne.

N1 bemærker endvidere at det forekommer, at § 15 og § 48 stiller overlappende

krav. Begge omhandler ”fortegnelser over net- og informationssystemer, som

virksomheden anvender i leveringen af sine tjenester”. Energistyrelsen bør ifølge

N1 genbesøge paragrafferne og sikre, at de samme krav ikke stilles to gange. N1

mener også, at der virker til at være et indholdsmæssigt overlap mellem stk. 2 og 3

i § 15, som bør håndteres. Endeligt bemærker N1 til § 16, at det er uklart, hvad der

menes med ”styringskritiske funktioner og beslutningsprocesser”. Af hensyn til

implementeringen hos virksomhederne, bør Energistyrelsen ifølge N1 præcisere

dette i den endelige bekendtgørelse.

Cerius-Radius, Green Power Denmark og N1 bemærker til § 16, stk. 1, at det er

uklart, hvad der menes med ”styringskritiske funktioner og beslutningsprocesser”

Side 17/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

og ønsker en præcisering af dette. Green Power Denmark skriver,

at det fx ikke er

klart, hvorvidt ”ekstern” også omfatter andre virksomheder i selvsamme koncern.

Cerius-Radius mener, at bestemmelsen

bør afgrænses til at gælde koncernekstern

i stedet for at omfatte alle eksterne informationsstrømme.

Energinet bemærker til § 16, at Energinet gerne ser, at det uddybes, hvad der

menes med fysiske informationsstrømme.

Cerius-Radius og N1 bemærker i deres høringsvar, at de ser overlap mellem

indholdet i §§ 14-16 og § 48. Cerius-Radius spørger, hvorfor indholdet af § 48, der

vedrører fortegnelser over software- og hardwareaktiver, ikke indgår sammen med

bestemmelser om virksomhedens fortegnelser (§§ 14-16). N1 bemærker, at 15 og

§ 48 forekommer at stille overlappende krav, da begge fokuserer på ”fortegnelser

over net- og informationssystemer, som virksomheden anvender i leveringen af

sine tjenester”. N1 skriver, at Energistyrelsen bør genbesøge paragrafferne og

sikre, at de samme krav ikke stilles to gange. N1 bemærker også, at der virker til at

være et indholdsmæssigt overlap mellem stk. 2 og 3 i § 15, som bør håndteres.

Energistyrelsens bemærkninger:

Energistyrelsen bemærker til Cerius-Radius og Green Power Denmarks

bemærkninger til §§ 14-16, at det er korrekt, at der er tale om ganske omfattende

krav, når man er en stor og kompleks virksomhed. Energistyrelsen fastholder, at

kravene i §§ 14-16 er helt essentielle for resten af bekendtgørelsens krav til

beredskabsplanlægning. Fortegnelserne udgør grundlaget for virksomhedernes

risiko- og sårbarhedsvurderinger, som desuden danner grundlag for udarbejdelse

af beredskabsplaner og foranstaltninger for anlægs modstandsdygtighed og

sikkerhed i net- og informationssystemer samt en lang række andre krav.

Det forventes ikke, at virksomhederne kan have fyldestgørende risiko- og

sårbarhedsvurderinger, beredskabsplaner, foranstaltninger til modstandsdygtighed

og cybersikkerhed for net- og informationssystemer, hvis ikke virksomhederne har

et komplet og ajourført overblik over de anlæg, net- og informationssystemer og de

fysiske og digitale informationsstrømme, der benyttes til at levere virksomhedens

tjenester. Energistyrelsen finder derfor ikke, at det er muligt at efterkomme Cerius-

Radius’ og Green Power Denmarks ønsker om at indskrænke bestemmelsernes

anvendelse til at være baseret på en risikovurdering eller kun gælde for

forsyningskritiske net- og informationssystemer.

Energistyrelsen bemærker til Energinets ønske om yderligere præcisering af § 14,

stk. 2, at stk. 2 allerede præciserer, hvad fortegnelserne skal indeholde.

Energistyrelsen ser således ikke behov for yderligere præcisering af kravet.

Side 18/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

For så vidt angår Cerius-Radius’ og N1’s bemærkninger til, hvad der skal forstås

ved ”leveringen af sin tjeneste” og ”anlæg”, henvises til Energistyrelsens svar under

overskriften ”Anvendelsesområde og definitioner”.

Energistyrelsen bemærker til Cerius-Radius’, Energinets og N1’s ønske om

præcisering af ”fysiske og digitale informationsstrømme” og ”styringskritiske

funktioner”, at dette vil blive håndteret som led i vejledningsindsatsen for

virksomhederne. Det bemærkes dog, at ”og beslutningsprocesser” er udgået af §

16. Energistyrelsen vil endvidere også gøre det klart for Cerius-Radius og Green

Power Denmark, at ”eksterne” i § 16 også er koncernforbundne virksomheder.

Udgangspunktet er, at alt uden for det CVR-nummer, der omfattet af loven og

bekendtgørelsen, er ”eksternt”.

Endelig bemærker Energistyrelsen til Cerius-Radius’ og N1’s høringssvar

vedrørende placeringen af § 48, at §§ 14-16 og § 48 differentierer i henhold deres

intention. § 15 stiller eksempelvis krav om, at virksomheder i deres

beredskabsgrundlag har overblik over net- og informationssystemer, som anvendes

i leveringen i af deres tjenester. § 48 stiller derimod krav om, at virksomheder har et

overblik over de hardware- og softwareaktiver, som optræder i disse net- og

informationssystemer med henblik på, at virksomhederne bl.a. foretager den

nødvendige hærdning af og sårbarhedsstyring for disse aktiver. § 15 er derfor

placeret som del af virksomheders beredskabsplanlægning, mens § 48 betragtes

som en foranstaltning til at understøtte sikkerheden i net- og informationssystemer.

For så vidt angår N1’s bemærkning om, at der tilsyneladende sker

dobbeltregulering ved kravene i § 15, stk. 2 og 3, sammenholdt med § 48, så

bemærker Energistyrelsen hertil, at dette ikke er Energistyrelsens vurdering. § 15

angår således net- og informationssystemerne på et overordnet systemniveau,

mens § 48 handler om fortegnelser over de mange underliggende aktiver, der

samlet set udgør et eller flere net- og informationssystemer. N1’s bemærkning

afstedkommer derfor ikke ændringer til hverken § 15 eller § 48.

Bemærkningerne giver således ikke anledning til ændringer i bekendtgørelsen.

Øvelser

Cerius-Radius, Green Power Denmark og N1 har i forbindelse med

høringskommentarer til § 20 efterspurgt en bekræftelse af, at øvelseselementet pkt.

20 i bilag 4 om penetrationstest udgår.

Cerius-Radius, Green Power Denmark og N1 påpeger, at kravet i § 21, stk. 3, om,

at virksomheder i niveau 4 og 5 skal øve genopretning af net- og

informationssystemer én gang om året, er omfattende. De anbefaler således, at

kravet kun omfatter forsyningskritiske net- og informationssystemer, samt at det bør

ske på baggrund af en risikobaseret tilgang og dermed kun i relevant omfang.

Side 19/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Cerius-Radius, Green Power Denmark og N1 bemærker endvidere, at bilag 4, nr.

18, angiver, at genopretning af kildekode er ét af de elementer, der skal øves. De

finder, at kravet er meget vidtgående og ressourcetungt og bør udgå.

Crossbridge Energy og HOFOR finder det uklart, i hvilket omfang plankomplekset

skal øves efter § 21. De bemærker, at formuleringen lægger op til, at det er alt efter

planen jf. §19, men samtidigt gives mulighed for, at øvelseselementerne bliver

spredt over en 5-årig periode.

Energinet savner i § 21 en præcisering af, at virksomhederne i delsektorerne som

minimum deltager hver anden gang i sektorberedskabsøvelserne, som afholdes af

henholdsvis Energinet og Energistyrelsen, dvs. minimum én gang pr. 5-årig

øvelsesperiode.

Green Power Denmark ønsker endelig en præcisering af, at oplysningerne

anonymiseres i forbindelse med deling af læringspunkter efter § 24, stk. 4, så det

ikke er muligt at identificere sårbarheder eller andre kompromitterende forhold om

berørte virksomheder.

Green Power Denmark anbefaler endvidere, at virksomheder ligesom hidtil praksis

kan få godskrevet gennemførte øvelseselementer hos Energistyrelsen, hvis de

eksempelvis deltager i tværsektorielle eller nationale øvelser. Tilsvarende bør

hændelser kunne indrapporteres som øvelser og ligeledes godskrives.

Energistyrelsens bemærkninger:

Energistyrelsen skal bekræfte, at øvelseselementet pkt. 20 i bilag 4 om

penetrationstest udgår.

Energistyrelsen er enig i præciseringen af § 21, stk. 3 om, at det alene er

genopretningen af virksomhedens forsyningskritiske net- og informationssystemer,

der skal øves en gang om året. Energistyrelsen kan dog ikke imødekomme

forslaget fra Green Power Denmark m.fl. om at øvelse af genopretning af

forsyningskritiske

net- og informationssystemer bør ske på baggrund af en

risikobaseret tilgang.

Energistyrelsen er enig i præciseringen af § 21, hvorefter virksomheder efter

anmodning fra henholdsvis Energinet eller Energistyrelsen skal deltage i

sektorberedskabsøvelser, jf. § 89 og § 101.

Energistyrelsen er endvidere enig i præciseringen af § 24, stk. 4, om at deling af

læringspunkter skal ske i anonymiseret form, så det ikke er muligt at identificere

sårbarheder eller andre kompromitterende forhold om de berørte virksomheder.

Side 20/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Til Crossbridge Energys og HOFOR’s kommentar vedr. øvelseskadence, kan

Energistyrelsen bekræfte, at det følger af § 20 jf. § 21, at alle virksomheder over en

5-årig periode skal træne alle væsentlige elementer i deres beredskab. Det er som

minimum de elementer, der fremgår af bilag 4, og som vedrører ens egen

virksomhed. Har man fx ikke forbrugere eller indgår i samordnet beredskab, skal I

naturligvis ikke træne dette. Virksomhederne kan desuden vælge at inkludere

elementer i den 5-årige øvelsesplan, som de selv vurderer, har betydning for deres

beredskab. Det kan fx være evakuering, håndtering af ammoniakudslip mv.

Virksomhederne i niveau 3-4 skal minimum holde en øvelse hvert år med

udgangspunkt i egne beredskabsplaner. Den enkelte øvelse kan godt træne flere

elementer på en gang. Men den enkelte øvelse hverken kan eller skal træne alle

øvelseselementerne i bilag 4. De årlige øvelser skal tilsammen over den 5-årige

periode dække alle væsentlige elementer. Hvis virksomhederne kan nå at træne

alle elementerne ved at holde en øvelse hvert år, har de levet op til

bekendtgørelsens krav. Hvis ikke, det er muligt, vil det være nødvendigt for

virksomhederne at holde flere øvelser om året; naturligvis varierende i omfang,

scope og skalering.

Bemærkningerne giver således anledning til ændringer i bekendtgørelsen.

Uddannelse

Cerius-Radius og Green Power Danmark foreslår, at begrebet ”uddannelse”

erstattes af ”kurser, undervisning eller lignende aktiviteter” for at tydeliggøre, at der

med bestemmelserne ikke stilles krav om en formel eller kompetencegivende

uddannelse på en uddannelsesinstitution.

Evida finder, at det er uklart, hvad der nærmere menes med ”nødvendige

kompetencer” i § 24 og opfordrer derfor til, at kravene til uddannelsesniveau

uddybes.

Fjernvarme Fyn foreslår en ændring til § 26, stk. 2, således at virksomheder årligt

skal genbesøge deres awareness-tiltag med henblik på at gennemføre passende

indsatser, der kan fremme og fastholde virksomhedens evne til at genkende og

håndtere relevante cybertrusler, men ikke årligt gennemføre awareness-tiltag.

Energistyrelsens bemærkninger:

Energistyrelsen bemærker, at det netop har været intentionen med

bestemmelserne i kap. 6, at virksomhederne gives metodefrihed til, hvordan de

relevante kompetencer tilegnes, hvorfor bestemmelser er bredere end NIS 2-

direktivets krav til kurser.

Side 21/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Energistyrelsen tager høringskommentarerne vedr. uddannelse til efterretning og

har tilrettet bestemmelse i § 24 som foreslået. Energistyrelsen har endvidere

tilpasset ordlyden med den lignende bestemmelse i MSSB’s NIS 2-lovforslag L 141

(§ 7, stk. 2).

Energistyrelsen kan ikke efterkomme ønsket om ændring af § 26, stk. 2, da

bestemmelsen delvist implementerer NIS 2, art. 21, stk. 2, litra g om cyberhygiejne,

og da Energistyrelsen i den forbindelse finder det påkrævet, at awareness-tiltag

gennemføres. Det bemærkes endeligt, at bestemmelsen er en delvis videreførelse

af gældende krav om awareness i IT-beredskabsbekendtgørelsens § 20.

Bemærkningerne giver således anledning til ændringer i bekendtgørelsen.

Risikovurdering af projekter

Cerius-Radius fremfører, at det bør være tilstrækkeligt, at Energistyrelsen

modtager risikovurderingen til orientering og dermed ikke til godkendelse. Cerius-

Radius henviser til, at Energistyrelsens godkendelse kan blive et forsinkende led,

som kan have betydning for hastigheden i elektrificeringen og den grønne

omstilling. Som alternativ foreslår Cerius-Radius, at der bør gives en frist for,

hvornår Energistyrelsen senest kan vende tilbage med en godkendelse af

risikovurderingen.

Dansk e-Mobilitet fremhæver, at der bør lægges vægt på, at det er

risikovurderingen og ikke projektet, som Energistyrelsen skal godkende, samt at

godkendelsen af risikovurderingen ikke må stoppe et projekt, men alene give

anledning til, at Energistyrelsen kan afkræve svar fra virksomheden vedrørende

vurderingen. Dansk e-Mobilitet fremhæver desuden, at man bør genoverveje

brugen af ordet ”godkendelse” i bekendtgørelsen.

Crossbridge Energy udtrykker skepsis vedrørende Energistyrelsens kapaciteter til

at vurdere tekniske, komplekse anlægsprojekter og finder det derudover

problematisk, at det ikke tydeligt fremgår hvilken behandlingstid, der kan forventes

fra Energistyrelsen, hvilket er problematisk, da Energistyrelsen i så fald vil skulle

give grønt lys for, at private virksomheder kan gennemføre anlægsprojekter.

Dansk Erhverv finder det positivt, at Energistyrelsen har øget fokus på

risikovurderinger af projekter.

Energinet efterspørger, at Energistyrelsen oplyser eller fastlægger

sagsbehandlingstiden for godkendelser af risikovurderinger af projekter, samt at

Energistyrelsen oplyser, om et projekt kan fortsætte mens sagsbehandlingen

pågår.

Side 22/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Green Power Denmark foreslår, at formuleringen om Energistyrelsens godkendelse

af risikovurderingerne fx erstattes med, at risikovurderingerne skal indberettes, idet

det er vigtigt, at projekter ikke går i stå mens, der afventes tilbagemelding fra

myndighederne.

Energistyrelsens bemærkninger:

Energistyrelsen bemærker, at det ikke er muligt blot at få en risikovurdering til

orientering eller som indberetning, idet Energistyrelsen som myndighed har ansvar

for at vurdere og godkende modtaget materiale samt tage stilling til, om risici for

forsyningssikkerheden er tilstrækkeligt belyst. Det skal dog fremhæves, at

Energistyrelsen udelukkende skal godkende risikovurderinger af de mest

forsyningskritiske projekter.

Angående Crossbridge Energys skepsis vedrørende Energistyrelsens kapacitet til

at vurdere komplekse anlægsprojekter, bemærker Energistyrelsen, at

Energistyrelsens sagsbehandling af den pågældende risikovurdering udelukkende

vurderer, hvorvidt der er foretaget en tilstrækkelig vurdering af sikkerhedsrisici ved

projektet. Dette kan fx være, om virksomheden har taget tilstrækkelig stilling til

adgangsstyringen ved et anlægsprojekt, samt hvordan virksomhederne sikrer sig,

at netværksudstyr opbevares på en sikkerhedsmæssigt forsvarlig måde.

Energistyrelsen vil bestræbe sig på, at sagsbehandlingen af risikovurderingerne

kommer til at minde om den praksis man i dag har i Energistyrelsen for høringer

som følge af investeringsscreeningsloven. Der er ikke fastlagt en konkret

sagsbehandlingstid for Energistyrelsens sagsbehandling af risikovurderingerne.

Dette skyldes primært, at Energistyrelsen forventer, at der er stor forskel i den tid,

der skal anvendes til sagsbehandlingen af de enkelte risikovurderinger.

Energistyrelsen tager ikke stilling til virksomhedernes risikovillighed i

sagsbehandlingen og forholder sig dermed udelukkende til, om risikovurderingen

har været gennemført på korrekt vis efter kravene i § 27. Dermed kan

Energistyrelsen heller ikke modsige sig, at et projekt kan fortsætte, men kan

udelukkende påbyde virksomhederne at gennemføre yderligere risikovurderinger

eller eventuelt indføre mitigerende foranstaltninger. Dette er desuden blevet

præciseret i bekendtgørelsen.

Bemærkningerne har således givet anledning til ændringer i bekendtgørelsen.

Side 23/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Leverandørstyring og forsyningskædesikkerhed

Cerius-Radius finder § 29 problematisk, idet denne går videre end direktivet ved at

koble krav til en generel metode til styring af risici i leverandørforhold til specifikke

risici for de enkelte leverandører.

Dansk Erhverv gør opmærksom på, at det er uklart, hvorvidt virksomhederne

udelukkende skal sikre sine direkte leverandører, eller om bestemmelsen også

indeholder et ansvar for den omfattede virksomheds direkte leverandørs

underleverandører.

Danske Rederier efterspørger en angivelse af, hvad der anses som en nedre

grænse for, hvad der opfattes som kritisk for forsyningssikkerheden, og de

fremfører, at en sådan afgrænsning kan være nødvendig for at sikre proportionalitet

ift. kravene til leverandørstyring, samt for at sikre at omkostninger ikke øges

uforholdsmæssigt.

Energinet bemærker, at de forventer at øgede krav til leverandørstyring og

forsyningskædesikkerhed vil medføre øget kompleksitet i sikring af konkurrence

ved valg af leverandører og øge risikoen for, at leverandører falder fra. Kravene vil

desuden medføre øgede priser grundet de ekstra foranstaltninger, som skal

opfyldes i forbindelse med leverandøraftaler.

Energinet fremhæver desuden, at bestemmelsen i § 29 er meget bred og potentielt

kan omfatte alle IT-leverandører. Energinet fremfører, at virksomhederne selv bør

kunne vurdere, hvilke leverandører, procedurerne skal dække, og at dette fx kan

være på baggrund af en risikovurdering.

Til § 30, stk. 1, bemærker Energinet desuden, at der findes eksempler på, at de

relevante leverandører ikke betragter system- og procesdokumentation som

virksomhedens ejerskab. I tilfælde af en organisatorisk hændelse hos leverandøren

– såsom konkurs, fjendtligt opkøb eller krise eller krig i leverandørens hjemland –

er det imidlertid vigtigt, at virksomheden har adgang til system- og

procesdokumentation for de forsyningskritiske processer, som leverandørens

produkter og tjenester understøtter. Energinet foreslår på den baggrund, at der

tilføjes en præcisering af kravene til leverandøraftaler, således at virksomheder

skal sikre sig, at de har adgang til system- og procesdokumentation i tilfælde af

leverancesvigt.

EWII fremfører en generel betragtning om, at man som enkeltvirksomhed kan have

vanskeligt ved at stille krav til større leverandører efter § 30. EWII fremhæver, at

det kunne være interessant at samarbejde på tværs af energisektoren i

vurderingerne af væsentlige leverandører.

Side 24/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Forsikring og Pension gør opmærksom på, at de mangler detaljer om, hvordan

virksomheder praktisk kan sikre, at deres leverandører overholder disse krav. De

efterspørger, at der gives klare retningslinjer for, hvad den efterspurgte

dokumentation skal indeholde, herunder standardiserede kravspecifikationer, der

skal indgå i leverandøraftaler, eksempler på metoder til risikovurdering af

leverandøraftaler samt anbefalinger til, hvordan virksomheder kan overvåge og

kontrollere leverandørers adgang til kritiske systemer.

Forsikring og Pension efterspørger, at der udvikles en skabelon for leverandørers

deltagelse i beredskabsøvelser efter § 30, stk. 1, nr. 5. Desuden opfordrer de til, at

Energistyrelsen opretter en fælles platform for deling af bedste praksis og

erfaringer inden for leverandørstyring til at støtte virksomhederne.

Green Power Denmark bemærker, at der er uklarhed om, hvorvidt forpligtelsen i §

29 kun gælder den direkte leverandør eller også omfatter virksomhedens øvrige

forretning. Derfor foreslår Green Power Denmark, at bestemmelsen afgrænses til

forsyningskritiske net- og informationssystemer, og at de nævnte procedurer

baseres på en risikobaseret tilgang. Ligeledes foreslår Green Power Denmark, at

forpligtelserne i § 30 tager udgangspunkt i en risikovurdering, idet det ikke for alle

virksomhedens ydelser vil være relevant at pålægge disse krav.

INEOS Energy gør opmærksom på, at der i udkastet til bekendtgørelsen ikke er

angivet nogen nedre grænse for, hvad der kan opfattes som værende af betydning

for forsyningssikkerheden. Dette kan betyde, at der for olie- og gasproduktion vil

være behov for at indkøbe reservedele i stort omfang eller laves aftaler med

leverandører med høje udgifter til følge.

Energistyrelsens bemærkninger:

Energistyrelsen gør opmærksom på, at det er hensigten med kravene til

leverandørstyring og forsyningskædesikkerhed, at virksomhederne har procedurer,

således at indgåelse af leverandøraftaler baseres på en risikovurdering.

Bestemmelserne opremser således de forhold, virksomhederne skal forholde sig til

i dette arbejde.

Energistyrelsen bemærker, at bestemmelserne vedrørende leverandørstyring og

forsyningskædesikkerhed er en præcisering af kravene i NIS 2-direktivet, og at der i

vidt omfang er tilstræbt overensstemmelse af disse bestemmelser med kravene i

MSSB’s NIS 2-lovforlag.

Energistyrelsen gør opmærksom på, at bestemmelserne retter sig mod styring af

forholdet til direkte leverandører.

Energistyrelsen anerkender, at kravene til leverandørstyring kan være komplekse

og byrdefulde for virksomhederne. Imidlertid kan virksomhedernes

Side 25/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

leverandørkæder ofte udgøre væsentlige sårbarheder i forbindelse med fx

forsyningssvigt og geopolitiske forhold, ligesom cyberangreb ofte sker med en

leverandør som angrebsvektor. Derfor vurderer Energistyrelsen, at kravene til

leverandørstyring og forsyningskædesikkerhed er proportionelle.

Til Forsikring og Pensions efterspørgsel på mere klare retningslinjer for arbejdet

med leverandørstyring bemærker Energistyrelsen, at bestemmelser bevidst er

formuleret således, at der er metodefrihed og mulighed for, at virksomhederne kan

tage udgangspunkt i egne risikovurderinger samt viden om hvilke leverandører, der

er kritiske for leveringen af deres tjeneste.

Energistyrelsen gør derudover opmærksom på, at virksomheder, der omfattes af

beredskabsreguleringen, får adgang til Energistyrelsens lukkede beredskabsside,

hvor der bl.a. løbende vil blive lagt vejledningsmateriale op. Desuden har Center for

Cybersikkerhed publiceret en række vejledninger i bl.a. leverandørstyring, som kan

benyttes til inspiration.

Til Green Power Denmarks bemærkning vedrørende behovet for en risikobaseret

tilgang til leverandørstyring, gør Energistyrelsen opmærksom på, at den

risikobaserede tilgang er indarbejdet i en række af de øvrige krav i

bekendtgørelsen. Dette gælder bl.a. kravene til fortegnelser (§ 14-17), efter hvilke

virksomhederne skal føre fortegnelser over leverandører, som virksomhederne

anvender i leveringen af tjenesten.

Til virksomhedernes efterspørgsel efter en nedre grænse for de leverancer, der kan

påvirke leveringen af tjenesten, bemærker Energistyrelsen, at der i vurderingen af

virksomhedernes efterlevelse af kravene kun tages stilling til, om der er foretaget

en gennemarbejdet kortlægning og risikovurdering af relevante leverandøraftaler.

Således tager Energistyrelsen i sagsbehandlingen ikke stilling til virksomhedernes

risikoappetit.

Bemærkningerne har således ikke givet anledning til ændringer i bekendtgørelsen.

It-sikkerhedstjeneste

Cerius-Radius finder, at det bør fremgå af bekendtgørelsen, at it-

sikkerhedstjenesten også kan placeres internt i virksomheden.

Dansk Erhverv mener, at virksomheden bør forpligtes til uden ophold at dele

varsler fra IT-sikkerhedstjenester med relevante direkte leverandører. Dette bør

også afspejles i § 35.

Side 26/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Energinet understreger derudover, at alle virksomheder omfattet af loven (niveau 2-

5) bør være omfattet af § 34.

Energistyrelsens bemærkninger:

Energistyrelsen bemærker, at kravet er skrevet med en generel formodning om, at

virksomheder i energisektoren ikke selv har en it-sikkerhedstjeneste inden for egen

virksomhed eller andre steder i koncernen, som virksomheden evt. måtte være en

del af. Da kravene i bekendtgørelsen generelt set skal ramme rigtigt i en bred

sektor, vil der være situationer, hvor alle krav i sin ordlyd ikke tager højde for de

særlige, specielle eller enkeltstående tilfælde, hvor en eller et lille fåtal af

virksomheder har indrettet sig på en særlig måde. Energistyrelsen finder det derfor

ikke nødvendigt at tydeliggøre, at it-sikkerhedstjenesten kan placeres

koncerninternt.

Udgangspunktet er også, at it-sikkerhedstjenesten ikke kan placeres i

virksomheden selv, da hensynet er, at man skal kunne få objektiv og professionel

vejledning om mitigerende tiltag mod konkrete varsler og sårbarheder, ligesom it-

sikkerhedstjenesten kan fungere som en ekstra ressource til at bistå virksomheden

med håndteringen af en hændelse. Dette sikres bedst ved, at it-

sikkerhedstjenesten ikke ligger i virksomheden selv. Der er dog ikke noget i

ordlyden af bestemmelserne i kapitel 9, der er til hinder for it-

sikkerhedstjenesteydelsen købes af en koncernforbunden virksomhed. Dette vil

blive fastholdt i forbindelse med vejledningsindsatsen for bekendtgørelsen.

Energistyrelsen mener ikke, at det er nødvendigt at fastsætte krav om, at

virksomheder omfattet af loven skal dele varsler fra it-sikkerhedstjenesten til deres

leverandører. Selvom Energistyrelsen medgiver, at det kan være relevant at dele

sådanne varsler med sine leverandører, overlades dette til at blive reguleret af

kontraktforholdet mellem virksomheden og disses leverandører. Dansk Erhvervs

høringssvar afstedkommer derfor ikke ændringer til § 35.

Energistyrelsen bemærker til Energinets høringssvar, at der ikke under gældende

ret er krav til, at virksomheder i kategori 3 skal være tilmeldt en reaktiv it-

sikkerhedstjeneste. Der har ikke været grundlag for yderligere at øge kravet til de

mindste virksomheders it-sikkerhedstjenester, da kravet i den foreslåede

bekendtgørelse kun er blevet udvidet i bredden, således at kravet finder

anvendelse på virksomheder på tilsvarende niveau i olie-, brint-, fjernvarme- og

fjernkølingssektorerne. Energinets høringssvar til § 35, afstedkommer derfor ikke

ændringer til § 35.

Bemærkningerne har således ikke givet anledning til ændringer i bekendtgørelsen.

Side 27/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

10.

Anlægs modstandsdygtighed (fysisk sikring)

Nødstrøm

Flere høringsparter, herunder Cerius-Radius, Energinet, Green Power Denmark,

N1 og Vores Elnet gør opmærksom på, at formuleringen vedr. krav til klasse 3-5-

anlægs nødstrømsforsyning, der skal sikre anlæggets funktionalitet i perioden frem

til strømforsyningens genopretning jf. § 36, stk. 4, er uhensigtsmæssig.

Høringsparterne foreslår, at bestemmelsen bør præciseres både for så vidt angår

kravene og de omfattede anlægstyper, således at det afgrænses til, at

virksomheder kun skal udbedre funktionstab og skader på anlæg i det omfang, at

der ikke er mulighed for redundans eller anden back-up, som sikrer forsyningen.

Dertil kan der for eldistributionsselskabernes anlæg, ifølge høringsparterne, stille

særskilte krav til nødstrømsforsyning for anlæg på eldistributionsnettet.

Høringsparterne gør endvidere opmærksom på sikkerhedsbehovet for

eldistributionsselskabernes 60 kV-stationer, herunder at der bør indføres krav om

nødstrøm for en del af disse. Cerius-Radius og Green Power Denmark foreslår

desuden, at fastlæggelsen af varighed for nødstrømsforsyning bør ske på

baggrund af en risikovurdering.

Energinet bemærker til § 36, stk. 4, at bør præciseres, hvad nødstrømsforsyningen

skal opretholde og at dette i øvrigt skal samtænkes med kravene i

KOMMISSIONENS FORORDNING (EU) 2017/2196 af 24. november 2017 om

fastsættelse af en netregel for nødsituationer og systemgenoprettelse.

Energinet bemærker i øvrigt, at det ikke er tilstrækkeligt at afprøve et

nødstrømanlæg i parallel drift med den primære strømforsyningskilde. Ifølge

Energinet viser erfaringer, at mange antager, at opstart af nødstrømsanlæg, enten

isoleret eller i parallel drift med primær kilde, er tilstrækkeligt til at afprøve

nødstrømsanlæggets funktion. For at afprøve et nødstrømsanlæg effektivt, skal

handlingen initieres ved at afkoble den primære strømforsyningskilde. Energinet

foreslår derfor, at bestemmelsen præciseres.

N1 bemærker til § 36, stk. 6, at der vil være et betydeligt ressourcetræk forbundet

med at gennemføre kontrol med foranstaltningerne efter stk. 2-4 på et højt antal

anlæg, og at man derfor overveje om kontrolindsatsen kan ske i form af stikprøver.

Evida bemærker til § 36, stk. 4, at det er uklart, hvad der menes med ”anlæggets

funktionalitet”, herunder om det er et krav, at anlægget fungerer, eller om det tillige

er et krav, at Evida har kontakt til anlægget og dermed kan overvåge anlægget.

Fjernvarme Fyn bemærker til § 36, stk. 3, nr. 1, at det bør præciseres, herunder i

en vejledning, hvad der menes med alarmering. Fjernvarme Fyn beder om, at det

Side 28/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

uddybes, hvorvidt der er tale om intern alarmering eller også ekstern alarmering. I

forhold til § 36, stk. 4, bør det ifølge Fjernvarme Fyn præciseres, at der alene skal

være nødstrømsanlæg på anlæg i klasse 3-5. Det samme gør sig gældende ved

sammenbyggede/flere anlæg, hvor det bør præciseres, om det gælder alle anlæg,

eller at der er et minimum, der skal dækkes.

Dansk e-Mobilitet bemærker til § 36, at det ikke vil være realistisk, hvis

ladestationer, ladeparker eller net af ladestandere, som potentielt kan klassificeres

som klasse 3-5 anlæg, skal have nødstrømsforsyning, der kan sikre anlæggets

funktionalitet, indtil strømforsyningen er genoprettet, da der i tilfælde af et egentligt

”blackout” kan være tale om flere dages afbrydelse af strømforsyningen.

Drivkraft Danmark bemærker til § 36, stk. 4, at funktionalitet ikke umiddelbart er

defineret i bekendtgørelsen på trods af, at kravet har afgørende betydning. Anlæg

omfatter i denne sammenhæng blandt andet raffinaderierne og oliedepoter/-

terminaler. Drivkraft Danmark bemærker fsva. raffinaderier, at der er behov for en

præcisering/definition af ”funktionalitet”.

En umiddelbar sproglig forståelse af ”sikrer anlæggets funktionalitet” kan være, at

raffinaderiet skal være fuldt opperationsdygtigt frem til genoprettet strømforsyning,

og så kræver det mere end ”nødstrømsforsyning”. Begge raffinaderier har i dag

nødstrømsforsyning. Men den kan alene sikre, at raffinaderiet kan lukke ned

planmæssigt og ikke tager skade i den forbindelse. Raffinaderiernes nuværende

foranstaltninger til nødstrømsforsyning vil således sikre at anlæggene er

funktionsdygtige, når strømforsyningen er genetableret, og anlægget er oppe i drift

igen. Den samme udfordring gør sig ifølge Drivkraft Danmark gældende for

depoterne/terminalerne.

Energistyrelsens bemærkninger:

Angående bemærkninger til nødstrøm for ladestationer, skal Energistyrelsen

præcisere, at ladestandere ikke klassificeres som anlæg. Derfor stilles der ikke krav

om nødstrømsforsyning til disse. Se desuden Energistyrelsens bemærkninger til

afsnit 3 om niveauinddeling og klassificering.

Energistyrelsen skal bekræfte høringskommentarer vedrørende forståelsen af

kravene til nødstrøm (funktionalitet) skal sikre, at anlæggene vil være

funktionsdygtige, når strømmen vender tilbage.

Energistyrelsen har tilrettet bestemmelsen (ny § 36, stk. 5) for nødstrøm så det

præciseres, at ”virksomheder skal for anlæg i klasse 3-5 have nødstrømsforsyning,

som i tilfælde af strømafbrydelse sikrer, at anlægget ikke tager skade under

nedlukning og er funktionsdygtigt, når strømforsyningen genoprettes[…].

Side 29/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

For så vidt angår transmissionssystemoperatører og distributionssystemoperatører

inden for elsektoren, har Energistyrelsen, på baggrund af forståelsen af kravene

nødstrømsforsyning i § 36, opdateret bestemmelserne, således at det for

eldistributionsselskabernes klasse 2-anlæg gælder, at disse også skal have

nødstrømsforsyning. Dette imødekommer behovet for højere sikkerhed ved 60 kV-

stationerne.

På baggrund af høringskommentarerne stilles der nu mere præcise krav til

anlæggene i eltransmissions- og eldistributionsnettet i tråd med ENTSO-Es

network codes. Dette er indarbejdet generelt i § 36.

Desuden er der i § 36, stk. 9, indarbejdet et krav om, at virksomhederne som

minimum hvert år skal foretage afprøvning af et anlægs nødstrøm.

Bemærkningerne har således givet anledning til ændringer i bekendtgørelsen.

Styret adgangskontrol

Cerius-Radius bemærker til § 37, at bestemmelsen med det nuværende indhold er

unødigt omfattende. Bestemmelsen bør ændres, så det fremgår, at konkrete

foranstaltninger vedrørende adgangskontrol kan fastlægges ud fra en risikobaseret

vurdering. Ift. kravet i stk. 3, om styret adgangskontrol på virksomhedens anlæg,

bør dette kunne rummes af ledsaget adgang, da virksomheden ellers skal tildele

omfattende adgang, hvilket vil sænke deres sikkerhedsniveau markant, og dermed

være kontraproduktivt i forhold til formålet. Bestemmelsens stk. 4, vedrørende

adgange bør desuden afgrænses til anlægsklasse 3-5, og fastlægges på baggrund

af en risikovurdering, da der bør gives en vis metodefrihed til hvordan adgange ud

fra de konkrete forhold samlet set kan dokumenteres bedst ud fra enkelthed,

effektivitet og sikkerhed.

Energinet bemærker, at bestemmelsens stk. 1 og 3, er selvmodsigende. Stk. 3 om

gæsters og andre personers adgang til virksomhedens anlæg bør indarbejdes i stk.

2, medmindre der med bestemmelsen lægges op til, at gæster og andre personer

ikke kan have et arbejdsbetinget behov og dermed ikke få adgang til

virksomhedens anlæg. Hvad er omfattet af virksomhedens anlæg - er byggepladser

tillige omfattet af den styrede adgangskontrol? Og i så fald, hvornår bliver

byggepladser omfattet? Bestemmelsen omfatter foranstaltninger på alle anlæg,

både onshore og offshore – dette kunne med fordel fremgå lidt mere klart, da den

meget adresserer onshore anlæg. Energinet vurderer, at det kan være meget

vanskeligt, og muligvis umuligt, at implementere foranstaltningerne på et

offshoreanlæg (ligeså § 38).

Green Power Denmark bemærker til § 37, at § 37 stiller krav om styret

adgangskontrol for virksomhedens anlæg. Kan Energistyrelsen bekræfte, at

virksomheden kan anlægge en risikobaseret vurdering? På baggrund af

Side 30/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Energistyrelsens bemærkninger på informationsmøderne om adgangskontrol går

Green Power Denmark ud fra, at dette er tilfældet – i hvert fald for klasse 2 anlæg,

herunder kontorfaciliteter. § 37, stk. 4: Kravet om logning af adgang er meget

byrdefuldt og omkostningstungt for virksomhederne. Det bidrager ikke til at styrke

den præventive sikkerhed, men hjælper kun med efterfølgende efterforskning og

hændelsesopklaring. For mindre energivirksomheder kan dette krav betyde

investering i nye og dyre it-systemer til logning. Green Power Denmark mener

derfor, at bestemmelsen ikke i tilstrækkelig grad tillader metodefrihed

baseret på en risikobaseret tilgang. Green Power Denmark foreslår derfor, at

formuleringen af § 37, stk. 4, ændres således, at det fremgår, at ”adgange skal

logges

på baggrund af en risikovurdering

[…]”.

Der bemærkes endvidere til § 37 og § 38, at hvis disse paragraffer også gælder

offshore (hvilket Green Power Denmark antager), vil det være meget byrdefuldt for

operatørerne. Det vil kræve installation af låsesystemer og elektronisk

overvågning/management på offshore substations (OSS) og wind turbine

generators (WTG). Installationerne skal kunne fjernkontrolleres fra land, da de skal

tjekkes månedligt/kvartalsvist. Dette vil være en væsentlig belastning, hvis fysisk

(lokal) kontrol kræves, da en sådan kontrol må antages at skulle omfatte samtlige

OSS’er og WTG’er, hvor der er SCADA-systemer eller anden kritisk infrastruktur.

Kravet vil derfor kræve investeringer i installation af låsesystemer og elektronisk

overvågning samt kontrol. I dag er der fysisk tilstedeværelse 1-2 gange årligt på de

forskellige WTG’er for service/fejlafhjælpning. Fysisk tilstedeværelse til kontrol vil

kræve en øgning i besøgene med 2-12 gange per WTG i forhold til den nuværende

besøgsfrekvens.

N1 bemærker til § 37, at N1 lægger til grund, at der med virksomhedens ”anlæg”

menes anlæg i klasse 2-5 i bilag 2, samt ”almindelige kontorfaciliteter”. N1 spørger

til, om dette er korrekt. I så fald mener N1, at stk. 5 med fordel kan gøres

stikprøvebaseret for bedre at balancere ressourcetræk og forventet værdi.

Energistyrelsens bemærkninger:

Energistyrelsen bemærker til Energinets høringssvar, at Energinets observation var

korrekt. Energistyrelsen har derfor i stk. 1, slettet ”med et arbejdsbetinget behov”.

Både Energinet, Green Power Denmark og N1, har i deres høringssvar indikeret, at

det er uklart hvilke anlæg, der omfattet af kravene i § 37. Energistyrelsen

bemærker hertil, at det er nødvendigt for forståelsen af kravene i § 37 at huske

bekendtgørelsens § 6, om at virksomheders anlæg opdeles i 5 klasser, jf.

tærskelværdierne i bilag 2. Efter denne paragraf er det således forståelsen at alle

virksomhedernes anlæg opdeles i de 5 klasser. Når der ikke er angivet specifikke

klasser for anlæg i de efterfølgende paragraffer i bekendtgørelsen, er det således

forståelsen at kravet gælder alle virksomhedens anlæg uanset anlægsklasse. Dog

er der en undtagelse i § 8, stk. 2, hvor det er fastsat, at kravene i kapitel 10 ikke

Side 31/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

finder anvendelse på anlæg i klasse 1. Derfor finder kravene i § 37, anvendelse på

klasse 2-5 anlæg. § 37, finder ligeledes anvendelse på kontorfaciliteter, selvom

disse ikke er klassificeret efter § 6. Dette følger af § 7, som fastsætter at § 38, stk.

1, og § 38 stk. 2, nr. 1-2, finder anvendelse på almindelige kontorfaciliteter, som

anvendes til leveringen af virksomhedens tjenester, og i § 38, stk. 2, nr. 1, står der,

at virksomheden som minimum skal have styret adgangskontrol jf. § 37.

Energistyrelsen bemærker til Cerius-Radius’ høringssvar om, at fastsættelsen af

adgangskontrollen bør være baseret på en risikobaseret tilgang, at dette ønske

ikke kan imødekommes. Det er Energistyrelsens vurdering grundet det generelle

trusselsbillede, at virksomhederne for selv klasse 2 anlæg skal have kontrol med

hvem, der bevæger sig på anlæggene. Hvordan denne kontrol opnås er dog op til

virksomhederne selv, som ud fra en risikovurdering kan beslutte, om dette skal ske

via elektronisk adgangsstyring eller med mere simple metoder.

Energistyrelsen bemærker til Green Power Denmarks og N1’s høringssvar

angående intervallet af kontrollen med at foranstaltninger efter stk. 1-4 i § 37,

fungerer efter hensigten, at det er korrekt at kontrollen også gælder for anlæg off-

shore. Det er grundet det generelle trusselsbillede nødvendigt at have kontrol med,

hvem der bevæger sig på anlæggene, særligt når de står off-shore og kun besøges

fysisk 1-2 gange om året. Ligeledes kan Energistyrelsen ikke imødekomme N1’s

ønske om at ændre kontrolforanstaltningen til kun at gøre den stikprøvebaseret.

Energistyrelsen vurderer på baggrund af erfaringer fra tilsyn efter de gældende

regler om beredskab for el- og naturgassektorerne, ikke at dette vil være

tilstrækkeligt, idet der ofte ved virksomhedernes egne kontroller og ved

Energistyrelsens tilsyn findes problemer med den styrede adgangskontrol på

anlæggene. Sådanne sikkerhedshuller kan ikke efterlades, indtil virksomheden en

dag selv udvælger det relevante anlæg til kontrol.

Energistyrelsen bemærker endeligt til Green Power Denmarks høringssvar til § 37,

stk. 4, om at bestemmelsen ikke efterlader tilstrækkelig metodefrihed, at

Energistyrelsen har ændret formuleringen af bestemmelsen for at imødekomme

ønsket i Green Power Denmarks høringssvar. Således skal adgange ikke ”trækkes”

men ”dokumenteres”, med henblik på at tydeliggøre at de personhenførbare logs

ikke skal være elektroniske, men kan være fysiske dokumenter.

Perimetersikring og kontroller

Cerius-Radius bemærker til § 38, at bestemmelsen bør afgrænses til kun at gælde

for anlægsklasser 3-5, da kravet ikke vil være proportionelt for anlæg i klasse 2. I

forhold til stk. 3, bør det præciseres, at perimetersikring kan udgøres af en

skalsikring i forhold til bygninger. Der bør ifølge Cerius-Radius desuden

præciseres, at efterlevelsen af kravene i både stk. 5 og 6, konkret vil kunne ske på

baggrund af en risikobaseret tilgang. I forhold til stk. 5, svarer det ifølge Cerius-

Radius til den drøftelse, der har været på et af informationsmøderne, hvor det blev

Side 32/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

anført, at bestemmelsen særligt skulle forstås i forhold til situationer, der indebar

alvorlige risici, eksempelvis ved frit indsyn til en netvirksomheds kontrolcenter. Men

da § 26 i loven er meget omfattende vil bestemmelsen i bekendtgørelsens § 38,

stk. 5, læst ud fra sin ordlyd også kunne indebære et deskriptivt krav til visuel

afskærmning af en lang række kontorfaciliteter, såsom mødelokaler og pc’er.

Indholdet af stk. 6 forstærker den i forvejen omfattende rækkevidde af stk. 2-5.

Uanset at rækkevidden af stk. 2-5 afgrænses, bør stk. 6 ændres så der bliver tale

om en risikobaseret tilgang, da indholdet mere er et udtryk for ”checkbox

compliance” end en indsats, der er effektiv og målrettet et velfungerende

beredskab.

Energinet bemærker til § 38 at det kunne være gavnligt, hvis Energistyrelsen mere

konkret definerede sikringsniveauer og/eller krav til forsinkelsestider for de enkelte

anlægsklasser. Det ville gøre det lettere at vurdere, om foranstaltninger til fysisk

sikring var compliant. Energinet mener ikke, at det er hensigtsmæssigt, at dette

alene overlades til de enkelte virksomheds risikovurdering. Energinet imødeser

desuden vejledning fra Energistyrelsen om, hvordan den elektroniske overvågning

kan gøres tilstrækkelig og lovmedholdelig. Energinet bemærker til § 38, stk. 4 at

bestemmelsen er formuleret, så der alene stilles krav om to lag af sikring (celle-

eller objektsikring samt perimetersikring, jf. stk. 2). Energinet mener således, at der

mangler et lag sikring; nemlig skalsikring af kritiske rum. Det foreslås, at der mindst

skal være tre lag sikring inden for følgende: sikring af perimeter, skal, celle og

objekt. Energinet foreslår, at der udarbejdes en vejledning, som forholder sig til

kravene til de forskellige anlægstyper. Energinet bemærker til § 38, stk. 5, at det

bør specificeres, hvad formålet med visuel afskærmning er. Energinet vurderer, at

det potentielt er et meget vidtgående krav, hvis dette omfatter afskærmning i

traditionelle kontormiljøer. Energinet bemærker til § 40, at det kan overvejes at

kræve, at planen ændres hvert år, så testhandlingerne ikke altid udføres på samme

tid. Dette vil gøre det sværere for ondsindede parter at forsøge at bryde

sikkerheden, da de ikke vil vide, hvornår kontrollerne gennemføres. Planen bør

desuden holdes fortrolig. Energinet bemærker til § 40, stk. 3 at Energinet finder, at

kravet om at føre log over gennemførte kontroller er utilstrækkeligt. En

gennemgang af loggen ved tilsyn eller revision vil kun vise, at en kontrol er udført,

men ikke hvordan den er udført (procedure), om der blev fundet fejl eller afvigelser,

og om eventuelle fejl er blevet udbedret. Hvis fejl ikke er blevet udbedret, bør der,

ifølge Energinet, gives en forklaring på hvorfor og en tidsplan for, hvornår de

forventes udbedret. Den første aktivitet ved efterfølgende kontrol bør, ifølge

Energinet, være en gennemgang af fejl fra foregående kontrol og status på disse.

Der bør, ifølge Energinet, stilles krav om, at der føres en kontroljournal, hvor alle

disse oplysninger registreres. En sådan journal vil give et klart og detaljeret billede

af kontrollernes udførelse og opfølgning, hvilket vil sikre en højere kvalitet og

troværdighed i kontrolprocedurerne. Energinet bemærker til § 41 at, der til

bestemmelsen ønskes en definition på sammenbyggede anlæg, da ”[…] uanset

sammenbygningen” kan fortolkes.

Side 33/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Dansk e-Mobilitet bemærker til § 38, at der i stk. 3 og 4 kræves elektronisk

overvågning af anlæg. Dansk e-Mobilitet har forstået – jf. sektormødet den 10.

januar 2025- at virksomhederne har metodefrihed mht. at vælge en passende form

for overvågning, og at det ikke er et krav, at der opsættes videoovervågning ved

anlæg; samt at Klima-, Energi- og Forsyningsministeren vil fastsætte nærmere

regler om brug af videoovervågning. Virksomheden noterer derfor med tilfredshed,

at ministeren med det foreliggende bekendtgørelsesudkast ikke har valgt at

fastsætte regler om videoovervågning.

Danske Rederier bemærker til § 38, at § 38 stiller krav til foranstaltninger til

hvordan uautoriseret adgang forhindres. Kravet om elektronisk styret

adgangskontrol, synes dog ikke at give mening for adgangen til offshore olie- og

gasinstallationer. Disse anlæg er placeret til havs, hvor der kun er adgang med

enten fly eller skib, og hvor operatøren har fuld kontrol over hvilke personer, der

gives adgang til disse. Derfor foreslås det, at bekendtgørelsen tager hensyn til de

særlige forhold der gælder for offshore installationer.

Evida bemærker til § 38, stk. 6, at Evida læser denne bestemmelse sådan, at § 38

ikke gælder for anlæg i klasse 1. Dette fremgår dog ikke af bestemmelsen.

Green Power Denmark bemærker til § 38, at § 38, stk. 2, nr. 3 og 4 kræver

elektronisk overvågning af anlæg. Energistyrelsen oplyste på sektormødet den 10.

januar 2025, at virksomhederne har metodefrihed til at vælge den passende form

for overvågning, og at det derfor ikke er et krav at opsætte videoovervågning ved

anlæg. Ifølge bemærkningerne til lov om styrket beredskab i energisektoren

forventes det, at klima-, energi- og forsyningsministeren vil fastsætte nærmere

regler om brug af videoovervågning. Green Power Denmark noterer derfor, at

ministeren med det nuværende bekendtgørelsesudkast ikke har valgt at fastsætte

regler om videoovervågning. I § 38, stk. 4, bør det præciseres, at pligten til at

foretage celle- eller objektsikring gælder for virksomheder ”der ejer” anlæg i klasse

4 og 5.

Green Power Denmark bemærker desuden til § 38, stk. 3, at paragraffen omtaler

perimetersikring, hvilket ifølge Green Power Denmark ikke er muligt til havs. Det

bør præciseres, at en form for elektronisk områdeovervågning kan erstatte

traditionel perimetersikring på land (fysisk markering/hegning). Bekendtgørelsen

bør specificere omfanget af en sådan overvågning, og om den skal være

tredimensionel (3D), så den dækker havoverfladen, luftrummet og

vandsøjlen/havbunden. 3D-overvågning vil være kostbar og kræve betydelige

investeringer i fx kameraer/termiske kameraer, radarer, akustiske

undervandssystemer (sonarer), samt monitorerings- og responskapacitet. Kravet

om perimetersikring bør inkludere muligheden for at udstede

Side 34/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

sejladsforbud/flyforbud omkring offshore-installationer, eventuelt med beskrivelse af

afstande (diameter/højde/dybde/detektionskvalitet). Respons på

mistænkelige forhold skal ifølge Green Power Denmark inkludere ressourcer fra

myndigheder (politi/forsvar). Green Power Denmark mener, at det bør præciseres i

§ 38, stk. 3, at for bygninger kan perimetersikring udgøres af en skalsikring.

Green Power Denmark bemærker endvidere til § 38, stk. 5, at det angives, at

virksomheder i niveau 4 og 5 skal foretage visuel afskærmning af områder og

udstyr, der opbevarer og behandler fortrolig information. Begrebet ”foretage visuel

afskærmning” er umiddelbart et bredt begreb, der ikke er nærmere præciseret i

bekendtgørelsen. Green Power Denmark lægger vægt på, at intentionen er at sikre

mod en utilsigtet deling og/eller offentliggørelse af fortrolige informationer, som fx

kan ske, hvis en medarbejder arbejder på sin pc i det offentlige rum, eller at der er

frit indsyn til et kontrolrum som følge af store vinduer. På sektormøderne har

Energistyrelsen givet udtryk for en pragmatisk fortolkning af bestemmelsen i

relation til, hvordan forpligtelsen skal håndteres i det daglige arbejde, herunder

i kontorlandskaber og mødefaciliteter. Green Power Denmark noterer sig også, at

Energistyrelsen tillader metodefrihed i forhold til perimetersikring og visuel

afskærmning, så længe virksomhederne kan beskytte deres fortrolige

informationer. Green Power Denmark anmoder Energistyrelsen om at bekræfte

denne forståelse af bestemmelsen i høringsnotatet, herunder at det ikke vedrører

fysisk afskærmning af anlæg generelt. Green Power Denmark finder derudover, at

begrebet ”informationer” i lovforslagets § 26 er meget bred og indebærer, at flere

afdelinger i en virksomhed behandler fortrolige informationer. Dette bør, ifølge

Green Power Denmark, spille ind i kravene til visuel afskærmning, således at

denne baseres på en risikobaseret tilgang.

Endelig bemærker Green Power Denmark til § 38, stk. 6, at der kræves kontrol

med foranstaltninger. Der er ifølge Green Power Denmark omfattende tidskrav,

nemlig kvartalsvis kontrol for klasse 2 og 3 anlæg og månedlig kontrol for klasse 4

og 5 anlæg. Green Power Denmark foreslår, at kontrollen ud fra et

proportionalitetshensyn i stedet baseres på en risikovurdering.

Det bør ifølge Green Power Denmark vurderes, om de øvrige bestemmelser, som

fastsætter tidskrav til kontroller, også skal ændres til, at kontrollen baseres på en

risikovurdering.

HOFOR bemærker til § 38, stk. 3, at § 38, stk. 3 vil give nogle udfordringer da visse

lokationer så skal kunne have videoovervågning af offentligt uindhegnet rum, med

mindre lovgivning i relation til overvågning i offentligt rum vil blive ændret i henhold

til L111.

INEOS Energy bemærker til § 38, at det af udkastets § 38 fremgår, at

virksomhederne skal have foranstaltninger til at sikre, at forsøg på uautoriseret

adgang på virksomhedens anlæg forebygges, opdages og reageres på. I forhold til

Side 35/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

fysisk adgang til de danske offshore olie- og gasproduktionsanlæg er dette

kendetegnet ved, at adgang til anlæggene grundet den geografiske placering alene

kan ske ved brug af helikopter eller skib. Da operatørerne er i kontrol over, hvilke

personer, der gives adgang til helikoptere og skibe anvendt i forbindelse med

produktionen offshore, mener INEOS Energy ikke, at et krav om etablering af

elektronisk adgangskontrol på disse anlæg giver mening i praksis, da

adgangskontrollen reelt allerede i dag foretages i lufthavnen eller på havnen.

INEOS Energy opfordrer derfor til, at det i bekendtgørelsen præciseres, at kravet

ikke gælder for offshore olie- og gasproduktionsanlæg.

Total Energies bemærker til § 38, stk. 2 nr. 4, at dette krav ikke er relevant for

offshore-anlæg, da adgang hertil sker via skib/helikopter, hvor der er styring over,

hvem der har adgang.

Energistyrelsens bemærkninger:

Energistyrelsen bemærker til Cerius-Radius, Energinet, Danske Rederiers, INEOS

Energy’s og Total Energies mere generelle bemærkninger til § 38, at paragraffen

også gælder for off-shore anlæg, der er på havoverfladen. Energistyrelsen forstår,

at der ligger en vis beskyttelse mod uautoriseret adgang for off-shore anlæg i og

med, at anlæggene ofte ligger fjernt fra land og derfor er svære at tilgå for en

almindelig person. Dette er dog ikke ensbetydende med, at den styrede

adgangskontrol efter § 37 kan tilsidesættes for sådanne anlæg. Energistyrelsen

kan derfor ikke mødekomme ønsket om at undtage off-shore anlæg fra kravet i §

38 (og § 37). Ligeledes kan Energistyrelsen ikke imødekomme ønsket om at gøre

kravets overholdelse til genstand for virksomhedens egen risikovurdering.

Endelig kan Energistyrelsen ikke imødekomme Energinets ønske om at fastsætte

mere præcise sikringsniveauer eller forsinkelsestider, som de forskellige krav skal

måles efter, for at virksomhederne skal være i overensstemmelse med § 38.

Energistyrelsen har ønsket at holde kravene brede med henblik på at sikre

metodefrihed til at opnå målene og derved samtidig sikre, at kravene kan anvendes

på en meningsfuld måde af både små og store virksomheder.

Energistyrelsen bemærker endvidere til Green Power Denmarks høringssvar, at det

ikke er et krav som følge af § 38, at virksomheder skal sikre deres perimeter i tre

dimensioner, hverken på land eller til vands. Dette er også indikeret ved

formuleringen af § 38, stk. 2, der taler om personer og køretøjer. Energistyrelsen

har tilføjet ”eller fartøjer på vandet”, for at tydeliggøre, at kravet også gælder for off-

shore anlæg, og samtidig tydeliggøre at kravet ikke gælder for personer, køretøjer

eller faretøjer, der forsøger at tilgå anlæggene ved at tunnelere sig ind til anlæg

eller ved at dykke under vandoverfladen til et anlæg. Der er metodefrihed til,

hvordan perimetersikringen efter stk. § 38, stk. 2, opnås, det står derfor off-shore

anlæggene frit for at perimetersikringen for sådanne anlæg etableres som

elektronisk områdeovervågning, som Green Power Denmark foreslår.

Side 36/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Energistyrelsen bemærker til Cerius-Radius’ og Energinets høringssvar om brug af

skalsikring, at Energistyrelsen har indsat en undtagelse til § 38, stk. 3, således at

der kan anvendes skalsikring i stedet for perimetersikring for anlæg, der er en del

af en kontorbygning, fx kontrolrum, samt almindelige kontorfaciliteter, som

anvendes i leveringen af virksomhedens tjeneste.

Energistyrelsen bemærker til Energinets, Dansk e-Mobilitets, Green Power

Denmark og HOFORs høringssvar angående krav om videoovervågning eller

mangel herpå, at det ikke er helt korrekt, at der ikke er et krav herom i

bekendtgørelsen. Energistyrelsen skal beklage hvis udsagn på de tre sektormøder,

Energistyrelsen har holdt om bekendtgørelsen i forbindelse med høringen, er blevet

opfattet som en fuldkommen fritagelse fra brugen af videoovervågning. Noget

kunne tyde herpå ud fra Green Power Denmarks og Dansk e-Mobilitets

høringssvar.

For selvom der ikke er et direkte krav om videoovervågning, så fastsætter

bekendtgørelsen i § 38, stk. 2, nr. 4, et krav om, at virksomheder for anlæg i klasse

4 og 5, som en del af deres perimeter/skalsikring jf. stk. 3, skal have elektronisk

overvågning til at verificere forsøg på indtrængen på sådanne anlæg. Heri er der

således et krav om verifikation, hvilket betyder at virksomhederne positivt skal

kunne bekræfte, om den alarm der er kommet på den elektroniske overvågning til

at opdage forsøg på indtrængen efter § 38, stk. 2, nr. 3, rent faktisk er en person,

eller blot et dyr, der er kommet i kontakt med hegnet og har udløst en sensor, og at

den person forsøger/er kommet ind på anlægget og ikke blot har rørt ved hegnet og

derefter er gået videre. For de fleste virksomheder vil videoovervågning være den

mest oplagte måde at verificere dette elektronisk. Energistyrelsen forudsætter dog

samtidig, at der kan være andre teknologier til rådighed, der på anden vis vil kunne

verificere, om der faktisk er forsøg på indtrængen fra en person, herunder forsøg

på sabotage, indbrud og tyveri. Fsva. Energinets og HOFORs høringssvar om

problemer med lovligheden af en sådan elektronisk overvågning til verificering,

herunder videoovervågning, vil Energistyrelsen i samarbejde med de relevante

myndigheder snarest muligt yde vejledning om, hvordan en sådan kan opføres og

anmeldes for ikke at være i strid med fx lov om tv-overvågning (lovbekendtgørelse

nr. 182 af 24. februar 2023 om lov om tv-overvågning).

Energistyrelsens bemærker til høringssvarene fra Cerius-Radius, Energinet og

Green Power Denmark til § 38, stk. 5, at bestemmelsen er blevet omskrevet med

henblik på at imødekomme høringssvarenes betragtninger. Således er

bestemmelsen udformet, så kravet skal gennemføres på baggrund af en

risikovurdering. Endvidere er referencen til § 26 i lov om styrket beredskab i

energisektoren slettet og erstattet af sætningen ” der kan give indsigt i

forsyningskritisk energiinfrastruktur herunder visuel afskærmning af kontrolrum”.

Side 37/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Hensigten hermed er at indsnævre omfanget af kravet, som ønsket af

virksomhederne.

Energistyrelsen bemærker til høringssvarene fra Cerius-Radius og Green Power

Denmark til § 38, stk. 6, at Energistyrelsen er indforstået med at det er et potentielt

tidskrævende krav. Men Energistyrelsen finder, at kravet er nødvendigt henset til

det aktuelle trusselsbillede, sammenholdt med Energistyrelsens erfaringer fra tilsyn

efter de gældende regler om beredskab for el- og naturgassektorerne, der ofte ved

virksomhedernes egne kontroller og ved Energistyrelsens tilsyn findes problemer

med den fysiske sikring på anlæggene. Og sådanne sikkerhedshuller kan ikke

efterlades indtil virksomheden en dag selv udvælger det relevante anlæg til kontrol.

Ønsket om at gøre kontrollen risikobaseret kan derfor ikke efterkommes.

Energistyrelsen bemærker desuden til Evidas høringssvar, at det er korrekt at

kravet i § 38, stk. 6, ligesom resten af § 38, ikke gælder for anlæg i klasse 1. Dette

følger af bekendtgørelsens § 8, stk. 2.

Energistyrelsen bemærker til Energinets ønske om at stille krav om at planen efter

§ 40, stk. 1, skal ændres fra år til år ikke imødekommes. Energistyrelsen vil i stedet

opfordre hertil i vejledningsmaterialet. Energistyrelsen bemærker desuden, at

planerne efter § 40, stk. 1, vil være omfattet af § 26, stk. 1, nr. 3, i lov om styrket

beredskab i energisektoren, da planerne må anses som værende væsentlige af

hensyn til driften for virksomheden, og planen efter § 40 stk. 1 i bekendtgørelsen er

således fortrolig.

Energistyrelsen bemærker til Energinets høringssvar til § 40, stk. 3, at

Energistyrelsen ikke har været tydelige nok ved kun at stille krav om ”log over

gennemførte kontroller”. Energistyrelsen har derfor efter ønske fra Energinet

ændret ordet ”log” til ”kontroljournaler” og oplistet fem numre med oplysninger der

som minimum skal indgå i disse kontroljournaler. Således skal kontroljournalerne

indeholde oplysninger om, hvor kontrollen er foretaget, hvornår kontrollen er

foretaget, hvordan kontrollen er foretaget, fejl og afvigelser der måtte konstateres

og hvordan og hvornår fejl og afvigelser er afhjulpet. Endvidere er der efter ønske

fra Energinet indsat nyt stk. 4, der stiller krav om, at virksomhederne skal have en

plan for hvordan og hvornår fejl og afvigelser skal være afhjulpet i tilfælde, hvor fejl

og afvigelser ikke kan afhjælpes inden for kort tid. Endelig er der også indsat et nyt

stk. 5, for at imødekomme Energinets ønske om at tidligere konstaterede fejl og

afvigelser kontrolleres igen ved den næstfølgende kontrol.

Endelig finder Energistyrelsen det ikke muligt eller nødvendigt at specificere hvad

der forstås ved ”sammenbygget med andre anlæg” i § 41, som ønsket af Energinet.

Dette vil blive håndteret igennem vejledning.

Side 38/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Overvågning af ophængte eller nedgravet rørledning og kabler

Cerius-Radius bemærker, at bestemmelsen henviser til foranstaltninger efter § 38,

stk. 2, nr. 3, som omhandler elektronisk overvågning til at opdage forsøg på

indtrængen, hvilket ikke er meningsgivende i forhold til nedgravede rørledninger og

kabler. Bestemmelsen bør ifølge Cerius-Radius derfor ændres, så kravet bliver

relevant og meningsgivende. Cerius-Radius bemærker til § 43, at der tale om et

omfattende krav, som bør fastsættes ud fra en risikobaseret tilgang. Det bør

således være muligt at operere med en netværkssegmentering, som vil tjene til

mere effektiv og proportionel målretning af indsatsen, sådan at egentlig

overvågning kan undlades for de dele, der vedrører de ikke kritiske net- og

informationssystemer. Cerius-Radius mener, det vil være hæmmende for

udviklingen, hvis en netvirksomhed ikke kan have kritiske netværkssegmenter uden

denne overvågning. Med det nuværende indhold vil bestemmelsen derfor samlet

set være kontraproduktiv i forhold til et velfungerende beredskab.

Energinet bemærker til § 42 at, bestemmelsen bør konkretiseres, henset til de

økonomiske aspekter samt de lovgivningsmæssige udfordringer, der er ved at

foretage elektronisk overvågning af offentlige arealer og arealer, der ejes af

lodsejere m.v. (fx lov om TV-overvågning). Det er afgørende at opnå en passende

balance mellem behovet for at understøtte det nationale trusselsbillede og sikre et

effektivt samarbejde mellem relevante myndigheder mod sabotage og de

økonomiske og samfundsøkonomiske konsekvenser ved implementering. Desuden

bør de samfundsøkonomiske aspekter ved forebyggelse kontra genopretning også

tages i betragtning. Energinet ser positivt på en samlet løsning til beskyttelse af

kritisk infrastruktur, men løsningens realiserbarhed skal vejes op imod de

samfundsøkonomiske konsekvenser.

Danske Rederier bemærker til § 42, at det af § 42 fremgår, med henvisning til § 38,

stk. 2, nr. 3, at der stilles krav til elektronisk overvågning af bl.a. rørledninger, der

ligger på eller er nedgravet i havbunden. Dette virker dog som et urealistisk krav at

stille både med henvisning til udstrækningen af disse rørledninger og deres

placering med skibstrafik omkring dem. Overvågning af farvande må forventes

at være en myndighedsopgave. Hvis der i stedet tænkes på elektronisk

overvågning monteret på selve rørene, så virker dette heller ikke

gennemførligt ved eftermontering.

Fjernvarme Fyn bemærker til § 42, som omhandler blandt andet rørledninger og

kabler, som er nedgravet, at det bør præciseres, om kravet gælder fjernvarmerør

og højtrykslinjer, jf. § 38 stk. 2 nr. 3, der stiller krav

om elektronisk overvågning.

Green Power Denmark bemærker til § 42 at Energistyrelsen på sektormøderne har

oplyst, at § 42 skal forstås således, at der skal etableres en form for elektronisk

overvågning for at opdage forsøg på eksempelvis hærværk eller sabotage. Dette

Side 39/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

betyder, at virksomhederne skal modtage en alarm, hvis der konstateres trykfald

eller brud på kabler. Bestemmelsen henviser til foranstaltninger efter § 38, stk. 2,

nr. 3, som omhandler elektronisk overvågning til at opdage forsøg på indtrængen,

hvilket ikke er meningsgivende, når der er tale om nedgravede rørledninger og

kabler. Green Power Denmark foreslår derfor, at bestemmelsen ændres til:

”§ 42. Virksomheder skal for rørledninger og kabler, som er nedgravet, suspenderet

i luften, ligger på eller er nedgravet i havbunden sikrer, at de ud fra en risiko- og

kritikalitetsvurdering er overvåget således, at funktionssvigt opdages”. I relation til §

43 savner Green Power Denmark den risikobaserede tilgang. Der er tale om et

omfattende krav, som ifølge Green Power Denmark bør afgrænses til kun at

omfatte forsyningskritiske net- og informationssystemer. I den forbindelse bør det

ifølge Green Power Denmark være muligt at anvende netværkssegmentering, og

derved afgrænse kravet yderligere.

N1 bemærker til § 42, at det fremgår af paragraffen, at virksomheder for

rørledninger og kabler, som er nedgravet eller suspenderet i luften, kun skal

implementere foranstaltninger efter § 36 og § 38, stk. 2, nr. 3. Sidstnævnte gør

gældende, at foranstaltningerne skal omfatte ”elektronisk overvågning til at opdage

forsøg på indtrængen, herunder forsøg på sabotage, indbrud og tyveri”.

Distributionsselskabernes 60kV-kabler falder i kategori 2 og vil således være

omfattet af dette krav, som vil være ekstremt omkostningsfuldt at leve op til, fordi

det vil kræve udskiftning af kabler. N1 ser det som en kerneopgave at kunne

detektere tryk- eller spændingsdyk i deres aktiver, hvilket de allerede kan i dag. N1

finder det derfor uhensigtsmæssigt at skærpe kravet i retning af præventive tiltag,

som vil være ekstremt svære at gennemføre i praksis, når det kommer til

nedgravede kabler. I forlængelse af det håber N1, at Energistyrelsen vil bekræfte,

at kabler giver kun anledning til de specifikt angivne foranstaltninger i denne

paragraf og at alle de andre bestemmelser om anlæg i forskellige klasser ikke

gælder for kabler (også uden for kapitel 10).

INEOS Energy bemærker i relation til § 42, at udkastets § 38, stk. 2, nr. 3 opstiller

krav om elektronisk overvågning til at opdage forsøg på indtrængen, herunder

forsøg på sabotage, indbrud og tyveri. INEOS Energy skal hertil bemærke, at en

elektronisk overvågning af rørledninger og kabler nedgravet i havbunden, der

anvendes i forbindelse med den danske olie og gasproduktion, efter INEOS

Energys opfattelse ikke er mulig i praksis. Operatørerne vil allerede i dag kunne

konstatere, hvis trykket i en rørledning falder eller forbindelsen i et kabel forstyrres.

Ligeledes føres der fra installationernes kontrolrum et vist tilsyn med skibes

tilnærmelse af primært 500-meter zonen omkring installationerne ved brug af radar

og hvis skibenes positioneringssystemer i øvrigt anvendes. Det bemærkes i den

forbindelse, at de internationale skibsruter ligger meget tæt på de danske olie- og

gasinstallationer og at der derfor meget ofte er skibe i farvandet omkring

installationerne og den tilhørende infrastruktur. En overvågning af skibstrafikken i

dansk farvand må efter INEOS Energys opfattelse karakterises som værende en

Side 40/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

myndighedsopgave og en opgave, som de danske olie- og gasoperatører hverken

har ressourcer eller kompetencer til at udføre. I det omfang, at INEOS Energy bliver

opmærksom på situationer, der kunne anledning til bekymring, vil de relevante

danske myndigheder altid blive underrettet straks. En præventiv foranstaltning i

form af elektronisk overvågning på havbunden af nedgravede rørledninger, der

anvendes i forbindelse med olie- og gasproduktion og som for nogens

vedkommende strækker sig over meget lange afstande, vurderes ikke at være

gennemførlig i praksis. En olie- og gasoperatør vil således hverken have

ressourcer eller kompetencer til at overvåge, om der eksempelvis planlægges eller

forberedes undervandssabotage, ligesom der efter INEOS Energys opfattelse ikke

findes elektroniske systemer, der understøtter en sådan præventiv observation.

INEOS Energy skal derfor henstille til, at der ikke stilles krav herom for de danske

offshore olie- og gasanlæg.

Total Energies bemærker til § 42, at rørledninger og kabler er overvåget ved hjælp

af trykovervågning samt ved forstyrrelse af kabler. Hertil kan anføres, at det ikke er

praktisk mulighed at etablere yderligere overvågning, som også nævnt på

Sektormøde d. 15. januar 2025.

Energistyrelsens bemærkninger:

Energistyrelsen bemærker generelt set til høringssvarene, der er modtaget

angående § 42, at Energistyrelsen har foretaget flere justeringer som

imødekommer de ønsker, der fremgår af høringssvarene. Således er ordet

”suspenderet” ændret til ”hænger”, da dette er mere forståeligt ord for de fleste

lovanvendere.

Endvidere er henvisningen til § 36, blevet præciseret til kun at henvise til § 36, stk.

1 og 2. Ændringen er foretaget fordi kravene i § 36, stk. 1 og 2, forsat skal være

gældende for de i § 42, nævnte anlæg, da dette er minimumskrav efter CER-

direktivet og derfor ikke kan fraviges.

Endelig er henvisningen til § 38, stk. 2, nr. 3, blevet slettet og erstattet af sætningen

”samt sikre, at anlægget overvåges, så funktionssvigt opdages og reageres på

uden unødigt ophold”. Ændringen er foretaget fordi, som flere af høringssvarene

også pointerede, at kravet i § 38, stk. 2, nr. 3, ikke præcist nok ramte intentionen i

undtagelsen i § 42. Det er således formålet med § 42, og intentionen med den nye

formulering af bestemmelsen, at gøre det klart at virksomhederne for de nævnte

anlægstyper kun skal monitorere trykfald og spændingsfald, og at funktionssvigt,

som målt ved spændings- eller trykfald opdages og reageres på med det samme.

Energistyrelsen bemærker til Fjernvarme Fyns høringssvar, at § 42 gælder alle

former for rørledninger og kabler uanset forsyningsarten. Således gælder

bestemmelsen også for fjernvarmerør og højtrykslinjer, der er gravet ned i jorden

eller er suspenderet i luften.

Side 41/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Energistyrelsen bemærker til Danske Rederiers og INEOS Energy’s høringssvar, at

det er korrekt, at det er en myndighedsopgave at overvåge de danske farvande og

at det således heller ikke er det, der fastsættes krav om i § 38 eller § 42.

Energistyrelsen og andre myndigheder ønsker dog, at private aktører melder

skibstrafik, droner og andre aktiviteter, der er mistænkelige, ude på havet (eller på

land) i nærheden af eller i forbindelse med deres infrastruktur, til politiet eller

Forsvaret i henhold til § 80 i bekendtgørelsen.

Energistyrelsen bemærker til Cerius-Radius’ og Green Power Denmarks

høringssvar til § 43, at deres ønske om at kravet baseres på en risikobaseret

tilgang imødekommes. Energistyrelsen har således indsat ordene ”passende og

forholdsmæssige” foran ordet foranstaltninger.

11.

Sikkerhed i net- og informationssystemer

Forvaltning af software- og hardwareaktiver

Cerius-Radius skriver, at § 48, stk. stk. 4, bør afgrænses til kun at gælde for

forsyningskritiske net- og informationssystemer, så stk. 4 hænger bedre sammen

med afgrænsningen i stk. 1, nr. 3.

Energinet, EWII, Fjernvarme Fyn og Green Power Denmark opfordrer i deres

høringssvar til, at Energistyrelsen i § 50 sletter: ”eller i andre lande med en

tilstrækkelighedsafgørelse fra EU-Kommissionen”, da denne type af

tilstrækkelighedsafgørelse kun forholder sig til persondatabeskyttelse og ikke

cybersikkerheden i og omkring selve systemet, som opbevares i et tredjeland.

Energinet begrunder deres ønske til § 50 med, at en tilstrækkelighedsafgørelse fra

EU-Kommissionen kun er et udtryk for, at EU-kommissionen har vurderet, at

beskyttelsesniveauet for personoplysninger i et tredjeland i det væsentlige svarer til

beskyttelsesniveauet i EU/EØS. EU-kommissionen tager i vurderingen ikke højde

for cybersikkerhed, resiliens eller sikkerhedspolitiske faktorer.

EWII bemærker i forlængelse af Energinets høringssvar, at databeskyttelsesretlige

tilstrækkelighedsafgørelser, ud over sikringen af ret til domstolsprøvelse, kan være

afgrænset til kun at vedrøre dele af det pågældende tredjeland, som eksempelvis

enkelte sektorer eller tilsluttede virksomheder. Derfor bør det overvejes, om det er

tilstrækkeligt - til sikring af netop modstandsdygtighed og beredskab – at henvise til

en databeskyttelsesretlig tilstrækkelighedsvurdering som belæg for understøttelse

af virksomheders net- og informationssystemer i andre lande.

Side 42/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Energistyrelsens bemærkninger:

Energistyrelsen har på baggrund af Cerius-Radius’ høringssvar tilpasset § 48, stk.

4, så det præciseres, at virksomheder skal mitigere risici i de software- og

hardwareaktiver, som nævnes i stk. 1.

Energistyrelsen finder det ikke hensigtsmæssigt at afgrænse stk. 4 til kun software-

og hardwareaktiver i forsyningskritiske net- og informationssystemer, som ønsket af

Cerius-Radius, da dette ikke følger hensigten med bestemmelsen. Virksomheder

skal være i stand til at modstå cyberangreb, hvor en trusselsaktør udnytter

sårbarheder i det administrative netværk, som følger af en evt. manglende

hærdning af software og hardware i netværket, til at skaffe sig adgang til netværk

med industrielle kontrolsystemer og operationelle teknologier.

Energistyrelsen er enig i betragtningerne til § 50 fra Energinet, EWII, Fjernvarme

Fyn og Green Power Denmark, ift. muligheden for, at virksomheder i niveau 4 og 5

må placere servere og datacentre, der understøtter virksomhedens

forsyningskritiske net- og informationssystemer, i lande med en

tilstrækkelighedsafgørelse fra EU-Kommissionen. Energistyrelsen har derfor slettet

det sidste led af § 50, således at kravet nu lyder: ”Virksomheder i niveau 4 og 5

skal placere servere og datacentre, der understøtter virksomhedens

forsyningskritiske net- og informationssystemer, inden for EU/EØS-lande.”.

Adgangsstyring

Dansk Erhverv opfordrer til, at der til § 53, som omhandler multifaktorautentificering

(MFA) eller kontinuerlig autentificering, tilføjes ordlyden ”where appropriate” fra den

engelske udgave af NIS-direktivets artikel 21, litra j. Dansk Erhverv påpeger hertil,

at man i § 60 har anvendt formuleringen ”hvor relevant” og opfordrer til, at

formuleringen anvendes konsekvent.

N1 bemærker i sit høringssvar, at § 53 bør begrænses til ekstern adgang for

fjernadgange. N1 opfordrer også Energistyrelsen til at forberede sig på scenarier,

hvor man ikke kan bruge specifikke MFA-løsninger, fordi telenetværket er nede, og

ønsker, at der til § 53 tilføjes et stk. 2, som gør gældende, at myndighederne skal

aftale en løsning til krisesituationer med energisektoren. N1 skriver også, at § 54,

som bl.a. stiller krav til passwordsikkerhed, bør henvise til Center for

Cybersikkerheds

best practice

på området.

Cerius-Radius, Energinet og Green Power Denmark giver i deres høringssvar

udtryk for, at § 54 bør omformuleres, så bestemmelsen gøres neutral i forhold til

valg af adgangsgivende beskyttelse og dermed også kan indbefatte brug af

biometri og multifaktorautentificering. Dertil ønskes, at krav til passwordsikkerhed

ændres, så fokus ikke er på kompleksitet eller hyppighed for opdatering af

passwords.

Side 43/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Cerius-Radius mener, at § 55, der omhandler adgangsstyring af fjernadgange, er

unødigt vidtgående ud fra en proportionalitetsbetragtning og ønsker bestemmelsen

afgrænset til forsyningskritiske net- og informationssystemer.

Evida opfordrer til, at § 55, stk. 2, præciseres og afgrænses, så det ikke er et krav

at registrere hver enkelt medarbejders generelle fjernadgang i forbindelse med

hjemmearbejde eller arbejde på eksterne lokationer.

Fjernvarme Fyn opfordrer til, at § 56 udvides, således at mobile enheder, der kan

tilgå virksomhedens industrielle kontrolsystemer og operationelle kontrolsystemer,

udover privat brug heller ikke må bruges til administrativ IT.

Green Power Denmark mener, at § 53 bør konkretisere foranstaltninger til at

mitigere risici forbundet med privat brug af mobile, herunder spærring af

uautoriserede programmer og centraliseret enhedsstyring. Desuden mener Green

Power Denmark, at private telefonsamtaler via mobile enheder, der kan tilgå

industrielle kontrolsystemer og operationelle kontrolsystemer, næppe udgør en

sikkerhedsrisiko og foreslår, at § 56 omskrives, således at mobile enheder skal

være spærret for installation af uautoriserede programmer og administreres af

virksomhedens sikkerhedstjeneste eller lignende.

Energinet mener, at § 56 ikke kun bør gælde for mobile enheder og skriver i sit

høringssvar, at bestemmelsen bør udvides til at gælde alle enheder, der kan tilgå

virksomhedens industrielle kontrolsystemer og operationelle kontrolsystemer.

Energinet ønsker endvidere, at der i § 57 tilføjes til sidst i sætningen: ”og erfaringer

inddrages i forbedringer”.

Energistyrelsens bemærkninger:

Energistyrelsen har på baggrund af Dansk Erhvervs høringssvar tilpasset § 53,

således at multifaktorautentificering (MFA) skal implementeres så vidt muligt og i

relevant omfang. Valg af MFA-løsning og placering af MFA vil dermed afhænge af

virksomhedens egen risikovurdering, dog med undtagelse af fjernadgange, hvor

MFA altid skal anvendes.

Energistyrelsen bemærker til N1s høringssvar vedrørende § 53, at scenarier

vedrørende MFA tages med videre i Energistyrelsens øvrige

sektorberedskabsarbejde med risiko- og sårbarhedsscenarier. Energistyrelsen

vurderer dog ikke, at der bør indføres et stk. 2 til § 53, som ønsket af N1, da

virksomheders valg af MFA-løsning altid vil afhænge af virksomhedens egen

risikovurdering. Energistyrelsen finder det heller ikke muligt at afgrænse § 53 til kun

at gælde for eksterne fjernadgange, da bestemmelsen implementerer NIS2-

direktivets artikel 21, litra j, som skal gælde for alle net- og informationssystemer,

der anvendes i leveringen af virksomhedens tjenester.

Side 44/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Energistyrelsen har på baggrund af bemærkninger Cerius-Radius, Energinet og

Green Power Denmark omskrevet § 54, således at bestemmelsen tager

udgangspunkt i ”adgangsgivende elementer”. Energistyrelsen har endvidere

tilpasset kravene til passwordsikkerhed, så fokus er på passwords’ styrke og ikke

deres kompleksitet. Energistyrelsen finder det nødvendigt at tilføje yderligere krav

om, at virksomheders passwords skal følge Center for Cybersikkerheds

anbefalinger for passwordsikkerhed, som ønsket af N1.

Energistyrelsen har på baggrund af Cerius-Radius’ høringssvar afgrænset § 55,

stk. 2, som omhandler krav til tidsbegrænsning af fjernadgange, til kun af omfatte

forsyningskritiske net- og informationssystemer. Energistyrelsen bemærker til

Cerius-Radius’ høringssvar, at bestemmelsens stk. 1 er en udpensling af, at de

generelle bestemmelser vedrørende adgangsstyring efter §§ 52-54 også gælder for

fjernadgange, hvorfor bestemmelsen ikke afgrænses yderligere.

Energistyrelsen bemærker til Evidas høringsvar om § 55, at den ønskede

afgrænsning af bestemmelsens stk. 2 vil afvige fra ambitionen om at højne

energisektorens modstandsdygtighed og beredskab. Kompromittering af

fjernadgange udgør en alvorlig trussel mod energisektoren, og manglende overblik

over ens fjernadgange udgør en væsentlig sårbarhed, som kan udnyttes i et

cyberangreb mod dansk energiinfrastruktur.

Energistyrelsen bemærker endvidere, at der på tværs af høringssvarene til § 56,

som omhandler privat brug af mobile enheder, er forskellige indstillinger til, hvordan

der bedst stilles krav til privat brug af mobile enheder, som kan tilgå operationelle

teknologier og industrielle kontrolsystemer, for at imødekomme ambitionen at højne

cybersikkerheden i energisektoren.

Mobile enheder anvendes inden for energisektoren i stigende grad til alt fra

adgangsløsninger til udførelsen af styringskritiske funktioner, hvorfor

kompromittering af disse enheder udgør en væsentlig trussel mod en sikker og

stabil energiforsyning. Energisektoren udgør et attraktivt mål for især

cyberkriminalitet, og en hullet sikkerhedsbevidsthed i udførelsen af private gøremål

via såvel mobile som stationære enheder, der kan tilgå systemer i virksomheders

produktionsmiljø, som eksempelvis brug af private mailkonti, online shopping og

sociale medier, udnyttes i høj grad i forbindelse med et cyberangreb.

Energistyrelsen vurderer derfor forsat, at der er behov for at fastholde krav om, at

mobile enheder, som kan tilgå operationelle teknologier og industrielle

kontrolsystemer, ikke må anvendes til privat brug.

Energistyrelsen har på baggrund af Energinets høringssvar endvidere udvidet § 53

til også at omfatte stationære enheder. Med udgangspunkt i Green Power

Denmarks høringssvar præciseres det også, at enhederne skal konfigureres på

sikker vis, så der kun kan installeres programmer, der skal anvendes i leveringen af

Side 45/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

tjenesten. Energistyrelsen finder det dog ikke nødvendigt at indføre yderligere krav

om, at de mobile enheder skal administreres på central vis, som ønsket af Green

Power Denmark, eller at de mobile enheder ikke må anvendes til administrativ it,

som ønsket af Fjernvarme Fyn.

Energistyrelsen bemærker til Energinets høringssvar vedrørende § 57, at det følger

af bekendtgørelsens § 71, at virksomheder skal foretage vurderinger af

foranstaltningernes effektivitet. Energistyrelsen finder det derfor ikke nødvendigt at

tilføje til § 57, at erfaringer skal inddrages i forbedringer, men har på baggrund af

Energinets høringssvar tilpasset ordlyden i § 71.

Backup-styring

Forsikring og Pension skriver, at der er behov for yderligere konkretisering af

kravene til backup-styring og opbevaring i § 59, herunder at backup-data skal

opbevares på en geografisk adskilt lokation fra live-data for at minimere risikoen

ved fysiske hændelser, samt at der bør tilstræbes opbevaring af mindst én offline

backup, som ikke er tilgængelig via netværket, for at beskytte mod ransomware-

angreb eller andre typer af cybertrusler.

Energinet ønsker en omskrivning af § 59, stk. 2, så bestemmelsen ændres fra, at

backups skal beskyttes med foranstaltninger, der sikrer samme beskyttelsesniveau

som det system, der tages backup af, til at virksomheder har procedurer til at sikre

dette.

Evida bemærker, at kravet om offline kopier af backups efter § 59, stk. 3, vil

medføre et forbud mod anvendelse af cloud-services til forsyningskritiske net- og

informationssystemer.

N1 påpeger, at stk. 2 og 3 i § 59 forekommer at modsige sig selv, fordi backups af

forsyningskritiske net- og informationssystemer kun kan opnå det samme

beskyttelsesniveau (stk. 2), hvis backups opbevares i det OT-miljø, der

understøtter systemet, hvilket de ikke må, eftersom backups skal opbevares

særskilt (stk. 3). Dette efterlader kun muligheden for offline kopier.

Energistyrelsen bemærkninger:

Energistyrelsen har på baggrund af høringssvar fra N1 og Evida præciseret

hensigten med § 59, stk. 2 og 3, herunder at backups, som skal opbevares særskilt

fra det forsyningskritiske net- og informationssystem, eksempelvis kan opbevares

som offline kopier. Energistyrelsen finder det ikke nødvendigt at foretage yderligere

konkretisering af kravene til backup-styring og opbevaring af backups, som ønsket

af Forsikring og Pension.

Energistyrelsen bemærker, at § 59, stk. 2, præciserer, hvordan backups for

forsyningskritiske systemer som minimum skal beskyttes, mens § 58 stiller krav

Side 46/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

om, at virksomheder skal have procedurer for backup-styring for net- og

informationssystemer. Energistyrelsen finder det ikke nødvendigt at ændre § 59,

stk. 2 til at være et procedurekrav, som ønsket af Energinet, da dette vil ændre

hensigten med bestemmelsen.

Kryptografi

EWII, Fjernvarme Fyn og Green Power Denmark giver i sine høringssvar udtryk for,

at § 61 generelt er meget bred.

EWII skriver, at det med nuværende formulering bliver er vanskeligt for

virksomheder at udlede den præcise forpligtelse, som virksomheden skal efterleve.

EWII fremhæver, at ordet "sikret" muligvis bør erstattes med "krypteret", ligesom

bestemmelsen kan henvise til, at virksomheder skal følge udviklingen i kryptering

eller angive mindstekrav til længde.

Green Power Denmark bemærker, at det er uklart, om kravet også omfatter sikre

forbindelser i mødelokaler, hvor fortrolige emner drøftes, og foreslår derfor, at dette

krav bør baseres på en risikovurdering.

Fjernvarme Fyn skriver, at § 61 i hvert fald bør uddybes i en vejledning.

Energinet opfordrer til, at der indføres et nyt stk. 2 til § 61, hvor der fastsættes et

krav om, at virksomhederne i energisektorerne skal have adgang til en dedikeret

del af frekvensbåndet til krisesituationer for at sikre kommunikationsveje til

relevante myndigheder, herunder Energistyrelsen, i tilfælde af svigt i offentligt

udbudte elektroniske kommunikationsnet eller tjeneste.

Energistyrelsens bemærkninger:

Energistyrelsen bemærker til høringssvarene vedrørende kryptering, at § 60 og §

61 følger ordlyden i NIS2-direktivets, artikel 21, stk. 2, litra h, hvorfor

Energistyrelsen ikke finder det nødvendigt at omskrive eller indføre nye krav til §

61, som ønsket af EWII, Green Power Denmark og Energinet.

Energistyrelsen anerkender, at bestemmelserne generelt er meget brede, og tager

derfor Fjernvarme Fyns ønske om, at kravene til kryptering uddybes i en vejledning,

til efterretning.

Netværkssegmentering

Energinet og Dansk Erhverv mener, at der generelt udestår definitioner af ordvalg

som ”netværkssegmentering”, ”fysisk adskillelse” og ”demilitariseret zone (DMZ)” i

§ 62, stk. 2.

Side 47/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Cerius-Radius bemærker, at fysisk adskillelse af netværk efter § 62, stk. 3, bør

håndteres på netværkskomponentniveau og afgrænses til aktive

netværkskomponenter.

Energinet ønsker, at implementeringsfristen for § 62, stk. 4, som omhandler fysisk

segmentering på tværs af forsyningsarter, revurderes, hvis bestemmelsen

bibeholder sin nuværende formulering. Energinet anbefaler også en uddybende

vejledning til § 62, hvis den nuværende ordlyd fastholdes.

N1 skriver, at man støtter formålet om at isolere forsyningskritiske net- og

informationssystemer, som angivet i § 62, stk. 1, men mener ikke, at bestemmelsen

bør pege på brug af en DMZ som den eneste mulige løsning. N1 fremhæver hertil,

at det i § 62 bør omskrives således, at en DMZ ikke er den eneste mulige løsning

ved fx at indskrive ”eller lignende”, da det ellers vil begrænse virksomhedernes

handlefrihed uhensigtsmæssigt.

Energistyrelsens bemærkninger:

Energistyrelsen har på baggrund af høringssvar fra N1 tilføjet til § 62, stk. 3, at

netværkssegmentering skal ske ved brug af en DMZ eller tilsvarende, så kravet kan

indbefatte løsninger, der garanterer samme sikkerhedsniveau som en DMZ.

Energistyrelsen har på baggrund af høringssvar fra Energinet endvidere tilpasset §

62, stk. 4, så netværkssegmentering for multiforsyningsvirksomheder i niveau 4 og

5 ikke nødvendigvis skal omfatte fysisk adskillelse på tværs af forsyningsarter.

Energistyrelsen bemærker til høringssvarene fra Energinet og Dansk Erhverv, at

beskrivelser af ”fysisk adskillelse” og ”DMZ” implicit fremgår af § 62, hvorfor det

ikke vurderes nødvendigt at definere disse yderligere. Energistyrelsen anerkender,

at der er behov for vejledning til § 62, herunder også yderligere ordforklaringer til

eksempelvis DMZ, og tager Energinets opfordring herom til efterretning.

Energistyrelsen pointerer, at intentionen med § 62, stk. 3, er, at der ikke må deles

netværkskomponenter og enheder, som er tilkoblet netværket, mellem henholdsvis

netværket med forsyningskritiske net- og informationssystemer og øvrige netværk.

Energistyrelsen bemærker hertil, at en afgrænsning af stk. 3 til kun at omfatte

aktive netværkskomponenter, som ønsket af Cerius-Radius, kan medføre, at

virksomheder i praksis foretager fysisk segmentering, som ikke opnår den ønskede

effekt.

For det første, så kan netværkskomponenter alene forstås som enheder i form af

switches og hubs, hvilket ekskluderer systemer, der er tilsluttet netværket, som

eksempelvis en server. For det andet, så kan aktive netværksenheder tolkes som

enheder, der tilføres strøm, som eksempelvis en almindelig switch. Derved kan

man ved at erstatte ’netværk’ med ’aktiv netværkskomponent’ potentielt tillade, at

Side 48/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

netværksenheder uden strømforsyning, som fx gamle hubs, i princippet kan befinde

sig i netværk med de forsyningskritiske systemer og dermed skade systemerne,

hvis enheden kompromitteres.

Energistyrelsen finder derfor ikke grundlag for at tilpasse § 62, stk. 3, som ønsket

af Cerius-Radius, da den nuværende formulering indebærer, at krav om fysisk

segmentering både gælder for netværkskomponenter og de enheder, som er

tilkoblet det segmenterede netværk, samt at enheder ikke må deles på tværs af

netværksmiljøerne, ej heller gennem virtualisering.

Logning og monitorering

Dansk Erhverv mener ikke, at tidskravet på 13 måneder i § 67, stk. 3, er

underbygget med en risikobaseret argumentation, der modvirker direktivets

intention om, at foranstaltninger skal være risikobaserede, relevante og

proportionale.

Energinet foreslår at § 67, stk. 3 omformuleres til; ”Logs skal opbevares særskilt fra

det netværksudstyr, hvorfra der opsamles logs, og skal sikres mod manipulation og

beskyttes mod uautoriseret adgang”, da det ellers vil kræve et særskilt (fysisk

adskilt?) netværk til at opbevare logs.

N1 mener at det i § 67, stk. 1, er uklart hvad der menes med ”samme

beskyttelsesniveau”. N1 fremhæver, at der forskel i beskyttelsesbehovet for kritiske

net- og informationssystemer og deres logs.

Energistyrelsens bemærkninger:

Energistyrelsen har på baggrund af høringssvar fra Energinet og N1 foretaget

enkelte omskrivninger til § 67, stk. 1, så ordlyden angående beskyttelsesniveauet

for logs i højere grad minder om lignende formuleringer for backup i § 59.

Energistyrelsen bemærker til Dansk Erhvervs høringssvar, at cyberangreb ikke altid

opdages, mens angrebet står på, ligesom der i efterforskningen af komplekse

cyberangreb kan være behov for at kunne tilgå logs af ældre dato. Tidsintervallet

på 13 måneder for virksomheder i niveau 4 og 5 følger anbefalinger fra

sikkerhedsmyndigheder og standardorganisationer på området. Energistyrelsen har

endvidere taget højde for sektorinputs i bekendtgørelsens forarbejde med henblik

på at sikre proportionalitet.

Bemærkningerne har således givet anledning til ændringer i bekendtgørelsen.

Side 49/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

12.

Håndtering af hændelser

Green Power Denmark, Cerius-Radius, E-mobility og N1 giver på flere måder

udtryk for at bekendtgørelsens §§ 75 og 76 giver indtryk af, at bekendtgørelsen

stiller krav som går længere end, hvad direktiverne kræver. Det er herunder uklart,

hvor meget, der skal til for, at en underretningsforpligtelse materialiseres.

Energinet, EWII, FDO og SamAqua efterspørger en uddybning af økonomisk tab.

Energistyrelsens bemærkninger:

Energistyrelsen har på flere områder præciseret §§ 75 og 76. Hvad angår § 75, er

dette gjort, således at det kun er eventuelle modtagere af tjenesten, som skal

informeres i tilfælde af en eller flere driftsforstyrrelser. Der skal således ikke

informeres om selve hændelsen eller om en evt. trussel. §§ 75 og 76 er desuden

ensrettet efter MSSBs NIS2-lovforslag.

Hvad angår uddybningen af hvad økonomisk tab kan være, vil dette blive behandlet

i den Q&A som udkommer parallelt med bekendtgørelsen.

Bemærkningerne har således givet anledning til ændringer i bekendtgørelsen.

13.

Fortrolighed, udveksling af oplysninger og digital

kommunikation

Aktindsigt

CTR skriver til § 104, stk. 4, om ”Bortskaffelse af it-udstyr” kan

uddybes/konkretiseres yderligere. Til il § 104, stk. 5, spørges der indtil om udtrykket

“uden unødigt ophold” kan kvalificeres yderligere, evt. med en tidsangivelse som i

fx §77 stk. 2 “uden unødigt ophold og senest inden for 24 timer”.

EWII spørger om, hvad der menes med ”forsyningssikkerheden” i § 104 – og om

hvorvidt det er på landsplan regionalt, lokalt eller andet.

Dansk e-Mobilitet bemærker til § 104, at det bør specificeres hvordan

Energistyrelsen skal/vil opbevare fortrolig information fra virksomhederne, og

styrelsen bør altid høre involverede virksomheder før eventuel udlevering af

oplysninger via aktindsigt. Dette skal sikre, at den påkrævede fortrolighed

opretholdes.

Dansk Erhverv skriver, at der i § 104 forudsættes fortrolighed om oplysninger. Der

henvises til lovforslagets § 27 om at frivillige underretninger er undtaget fra

aktindsigt, men at der er mange andre oplysninger, der vil være følsomme og have

betydning for virksomhedens modstandsdygtighed, hvis de bliver udleveret. Der

Side 50/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

spørges ind til, hvordan vil Energistyrelsen sikre fortrolighed omkring

oplysningerne. Derudover opfordres der til, at Energistyrelsen altid vil høre

involverede virksomheder før eventuel udlevering af oplysninger ved aktindsigt for

at sikre den påkrævede fortrolighed.

Green Power Denmark bemærker, at de noterede sig, at Energistyrelsen på

sektormødet den 10. januar 2025 fortalte, at styrelsen finder, at de har hjemmel til

at afvise aktindsigt i beskyttelsesværdigt information, som Energistyrelsen har

modtaget i forbindelse med sin rolle som kompetent myndighed for energisektoren.

Energistyrelsen påpegede til gengæld, at aktindsigt i oplysninger, som måtte være

underlagt en anden myndigheds kompetence, kan kræve yderligere afklaring,

herunder konkret høring. Green Power Denmark er enige i, at det er yderst vigtigt

at opretholde fortroligheden af følsomme oplysninger, navnlig henset til at

offentligheden med bekendtgørelsen skal informeres om hændelser, jf. § 19, stk.,

nr. 7. Green Power Denmark anmoder derfor Energistyrelsen om at fastholde

denne praksis også i koordinationen med andre myndigheder.

HOFOR bemærker til § 104, at der savnes henvisning til sikkerhedscirkulæret, fx i

forhold til stk. 3. Fortrolig information i fysisk og digital dokumentform skal bære

tydelig mærkning af materialets fortrolighed. Det skal ligeledes angives, hvor man

finder reglerne for dette. Der er både krav om versionsstyring, fordeling,

bortskaffelse, transport mm. Generelt kommer man i et dilemma, fordi kun få

kommunikationsmidler er godkendt til Fortroligt efter Statens regler/ FE CFCS.

Norlys bemærker at, det følger af bekendtgørelsens §104 stk. 2, at der kan gives

indsigt i fortrolige informationer jf. § 26 i lov om styrket beredskab i energisektoren

til personer, for hvem det er en tjenestelig nødvendighed, eller personer som har

lovkrav herpå. Det bemærkes, at der i telesektoren gælder bestemmelser, der i

videre omfang undtager oplysninger af særlig følsom karakter fra aktindsigt, end

hvad der lægges op til for energisektoren. Da fortrolige oplysninger i sin natur kan

være væsentlige for en virksomheds modstandsdygtighed, opfordre Norlys til, at

den berørte virksomhed altid inddrages i vurderingen af oplysningernes karakter,

før der træffes beslutning om aktindsigt.

Energistyrelsens bemærkninger:

Energistyrelsen har på baggrund af CTR’s høringssvar ændret ”it-udstyr” til

”elektroniske lagringsmedier” i § 104, stk. 4.

Energistyrelsen har på baggrund af EWII’s høringssvar ændret

”forsyningssikkerheden” i § 104, stk. 5, til ”driften af virksomheden eller

energiforsyningen lokalt, regionalt, nationalt eller på europæisk niveau”, således at

ordlyden stemmer overens med ordlyden af § 26, stk. 1, nr. 3 og 5 i lov om styrket

beredskab for energisektoren.

Side 51/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Energistyrelsen bemærker til Dansk e-Mobilitets høringssvar, at Energistyrelsen

ligesom virksomhederne selv har behov for metodefrihed i valget af, hvordan de

fortrolige informationer skal beskyttes. Energistyrelsen fastsætter således ikke

nærmere regler herom i bekendtgørelsen.

Energistyrelsen bemærker til Dansk e-Mobilitets, Dansk Erhvervs, Green Power

Denmarks og Norlys høringssvar, at det er Energistyrelsens vurdering, at de

gældende regler i forvaltningsloven, offentlighedsloven og arkivloven er

tilstrækkelige til at beskytte virksomhedernes informationer fra at blive udleveret til

personer og virksomheder, der måtte søge om aktindsigt eller indsigt i arkivalier

ved Rigsarkivet. Således giver alle tre love mulighed for at afvise aktindsigt og

fastsætte en længere udleveringsfrist i/for oplysninger og arkivalier, der omhandler

oplysninger om private forhold og drifts- eller forretningsforhold m.v., oplysninger

om statens sikkerhed eller rigets forsvar, oplysninger om til rigets udenrigspolitiske

interesser m.v. og oplysninger om private og offentlige interesser, hvor

hemmeligholdelse efter forholdets særlige karakter er påkrævet.

Selvom offentlighedsloven og forvaltningsloven ikke har et eksplicit krav om, at

myndigheden skal høre virksomheder, som oplysningerne, der søges aktindsigt i,

angår, så har Energistyrelsens Center for Beredskab en fast praksis om at høre

virksomhederne, såfremt der søges om aktindsigt i oplysninger, der hidrører fra

disse virksomheder eller på anden direkte måde angår denne virksomhed.

Energistyrelsen vurderer, at brugen af undtagelsesreglerne i offentlighedsloven,

forvaltningsloven og arkivloven kombineret med en praksis om at høre de relevante

virksomheder, inden afgørelse om aktindsigt træffes, kan beskytte oplysninger om

virksomhedernes og energisektorens beredskab, fysiske sikring og cybersikkerhed,

i tilstrækkeligt omfang uden at have en decideret undtagelsesregel, som Norlys

bemærker, at der findes for telesektoren.

Endeligt bemærker Energistyrelsen til HOFOR’s høringssvar, at der bevidst ikke er

indsat en henvisning til Sikkerhedscirkulæret, idet § 26 i lov om styrket beredskab

for energisektoren og § 104 i indeværende bekendtgørelse ikke har til hensigt at

anvende Sikkerhedscirkulærets regime for informationssikkerhed. Når der i

bekendtgørelsen står, at virksomheder skal beskytte ”fortrolig information”, er der

således ikke tale om information, som er klassificeret til ”FORTROLIGT” i henhold

til Sikkerhedscirkulærets bestemmelser.

Bemærkningerne har således givet anledning til ændringer i bekendtgørelsen.

Udveksling af oplysninger og digital kommunikation

Cerius-Radius spørger i sit høringssvar, om § 104, stk. 4, i bekendtgørelsen

sammen med § 26 i lov om styrket beredskab i energisektoren, udelukker brugen af

Side 52/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

cloud-løsninger, da brugen af cloud-løsninger indebærer, at Cerius-Radius ikke har

komplet styring over bortskaffelsen af informationer.

Energinet skriver til § 105 og § 106, at Energinet har vanskeligt ved at se, hvordan

kommunikationsudvekslingen, som beskrevet i bestemmelserne, skal finde sted i

praksis. Der foregår i det daglige meget kommunikation mellem Energinet og

Energistyrelsen om forhold relateret til lov om styrket beredskab i energisektoren,

som Energinet har svært ved at se kan ske effektivt via den selvbetjeningsløsning,

som Energistyrelsen påtænker at anvise. Det bør overvejes at præcisere, hvilke

typer af information, der tænkes på.

Forsikring og Pension spørger ind til om stk. 5 i § 106 ikke er overflødig. Den

fremgår af stk. 3, som der også refereres til.

N1 og Brintbranchen skriver til § 105, at det bør forklares, hvordan virksomhederne

skal kommunikere til Energistyrelsen, hvis virk.dk er nede pga. en nødsituation, og

at en anmeldelse ikke vil anses som modtaget, hvis virksomhederne bruger en

anden kommunikationskanal.

Energistyrelsens bemærkninger:

Energistyrelsen bemærker til Cerius-Radius høringssvar, at det ikke har været

intentionen med § 104, stk. 4, at udelukke brugen af cloud-løsninger til opbevaring

af materiale designeret som fortroligt i henhold til § 26 i lov om styrket beredskab.

Energistyrelsen har som følge heraf indsat ordet ”bærbare digitale lagringsmedier”,

i stedet for ”it-udstyr”. Hensigten med det nye ord er at indsnævre, at der tale om

USB-stik, bærbare harddiske, hukommelseskort, cd’er herunder laserdiscs, blu-ray

og dvd, disketter samt lignende digitale medier, der eksisterer, har eksisteret eller

vil eksistere i fremtiden. Mobiltelefoner, tablets og bærbare computere vil ligeledes

være omfattet, såfremt det ikke er muligt at adskille harddisken fra udstyret.

Energistyrelsen bemærker til Energinets høringssvar, at intentionen med § 105 ikke

har været, at enhver kommunikation mellem virksomhederne og Energistyrelsen

eller Energinet angående beredskab, fysisk sikring, cybersikkerhed og

modstandsdygtighed skulle foretages gennem selvbetjeningsløsningen.

Energistyrelsen mener forsat ikke, at dette er tilfældet, idet § 105, stk. 2,

indskrænker, hvilken kommunikation, der er omfattet af § 105. Bestemmelsen i §

105 har sigte på, at beredskabsmateriale, såsom beredskabsplaner, ROS-

konklusioner, risiko- og sårbarhedsvurderinger af projekter, informationer til niveau

inddeling af virksomhederne og klassificering af anlæg, kontaktoplysninger på

beredskabspersoner ved virksomhederne og alt materiale og information, der skal

indsendes af virksomhederne i forbindelse med tilsyn, skal tilgå Energistyrelsen

gennem denne selvbetjeningsløsning, således at disse materiale og informationer

kan beskyttes ved overførslen, opbevaringen og behandlingen til/i/af

Energistyrelsen. Det er forsat frit for virksomhederne at søge råd og vejledning hos

Side 53/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Energistyrelsen via e-mail og telefon. Energistyrelsen foretager således ikke nogen

ændringer som følge af Energinets høringssvar, dog er der indsat en henvisning til

stk. 1 i § 105, stk. 2, så der ikke er tvivl om, hvad der henvises til.

Energistyrelsen bemærker til Forsikring og Pensions høringssvar, at § 106, stk. 5

ikke er overflødig. Energistyrelsen forudsætter, at Forsikring og Pension har ment,

at det skulle fremgå af § 106, stk. 4 og ikke stk. 3, som skrevet, idet stk. 3, handler

om hvornår skriftlig kommunikation anses for modtaget, mens både stk. 4 og 5,

handler om undtagelser til hovedreglen i § 105. Energistyrelsen mener, at stk. 4 og

5 er undtagelser til hver sin situation. Stk. 4 giver således mulighed for at behandle

skriftlig kommunikation, der er modtaget fysisk, fx et brev eller håndleveret skriftlig

besked, mens stk. 5 handler om muligheden for at behandle kommunikation, der er

modtaget digitalt i henhold til § 105, men uden den digitale signatur.

Energistyrelsen ændrer således ikke i bestemmelserne.

I forlængelse af ovenstående bemærker Energistyrelsen til N1’s og Brintbranchens

bekymring om, hvordan Energistyrelsen ønsker, at det skal specificeres, hvordan

der skal kommunikeres med Energistyrelsen i tilfælde af, at den anviste

selvbetjeningsløsning ikke virker. I så tilfælde vil Energistyrelsen melde ud til

virksomhedernes operationelle kontaktpunkt jf. § 73 i bekendtgørelsen, hvordan

virksomhederne i stedet kan kommunikere med Energistyrelsen. Energistyrelsen vil

jf. § 106, stk. 4, have hjemmel til at modtage enhver form for skriftlig

kommunikation, i sådanne særlige tilfælde, indtil den anviste selvbetjeningsløsning

fungerer igen.

14.

Samordnet beredskab

DANVA finder det uhensigtsmæssigt, at samordnet beredskab ”kun” er en

mulighed for delsektorer i energisektoren. DANVA påpeger, at dermed mister

multiforsyninger muligheden for at samordne beredskab inden for fx el og vand og

spildevand eller fjernvarme og vand og spildevand, hvilket komplicerer

beredskabsaktiviteterne for multiforsyninger. DANVA henstiller til, at det gøres

muligt at samordne beredskabet på tværs af alle forsyningssektorer, da en grundig

koordinering og afstemning af regelsættene er fundamentet for, at der kan skabes

et styrket og effektivt beredskab.

Energistyrelsens bemærkninger:

Beredskab i vand- og spildevandsektoren hører under Miljø- og

Ligestillingsministeriet og er ikke en del af Klima-, Energi- og Forsyningsministeriets

ressort. Ansvar for udstedelse af regler og gennemførsel af tilsyn på

beredskabsområdet i vand- og spildevandssektoren påhviler således miljø- og

ligestillingsministeren, og derfor kan Klima-, Energi- og Forsyningsministeriet ikke

Side 54/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

udstede regler for, at virksomheder i vand- og spildevandssektoren indgår i et

samordnet beredskab omfattet af lov om styrket beredskab i energisektoren.

Den nye beredskabsregulering går på nogle områder længere, end hvad der følger

af NIS 2- og CER-direktivet. Det er allerede sådan i dag, at der er omfangsrige

beredskabskrav på el-, gas- og olieområdet, som går længere, end hvad der er af

krav i andre sektorer.

For at sikre en passende ensretning i forhold til implementeringen af direktiverne på

tværs af sektorer deltager Energistyrelsen i tværministerielle samarbejdsfora for at

koordinere tilsynsgrundlaget med de respektive kompetente myndigheder, hvor der

er fokus på bl.a. at nedbringe de administrative byrder for virksomhederne i

forbindelse med tilsyn.

15.

Identificering af særlige virksomheder

Brintbranchen skriver til § 114, stk. 3, at tærskelværdien under paragraf 1b for den

årlige omsætning gerne må stå i DKK (det står i EUR nu).

Cerius-Radius bemærker til § 114 og § 115, at konsekvenserne af, at en

virksomhed identificeres som en kritisk virksomhed eller væsentlig enhed ikke

fremgår af bestemmelserne, selvom mange virksomheder vil blive identificeret efter

bestemmelserne. Det bemærkes endvidere, at der i § 114, stk. 1 sondres mellem

væsentlige og vigtige enheder, mens det ikke fremgår af bestemmelsen, hvornår

virksomheder identificeres som en vigtig enhed. Endelig spørges der til om, det er

en fejl, at begrebet ”enhed” anvendes i § 114, stk. 1, i stedet for ”virksomhed”, da

bekendtgørelsen ellers har anvendt ordet virksomhed(er) i stedet for ordet enhed.

EWII spørger til § 115, at hvis virksomhederne først d. 1. juli 2026 ved hvilket

niveau virksomheden bliver indplaceret på - hvordan de så skal kunne leve op til

bekendtgørelsen det næste års tid.

FDO skriver til § 115, at det er en snørklet formulering, og at hvis det skal være +6

Europæiske lande, så kan det vel ikke være grundlag for, at FDO er placeret i

niveau 5.

Green Power Denmark mener, at Kapitel 18 om Identificering af særlige

virksomheder er svær at forstå (§§ 114 og 115). Kapitel 18 hænger sammen krav i

NIS2- og CER-direktiverne. § 114 fastsætter, at Energistyrelsen identificerer og

udarbejder lister over væsentlige og vigtige enheder. Der spørges til hvorvidt det er

korrekt forstået, at alle niveau 2-5 virksomheder bliver "væsentlige enheder", jf. §

114, stk. 3, sammenholdt med § 115, stk. 3, med de konsekvenser det vil få i

relation til sanktioner, herunder max bødestørrelser, m.m. Det er uklart, om

kategorien "vigtige enheder" bliver relevant, fx for niveau 1-virksomheder. Dette bør

Side 55/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

tydeliggøres. § 115, stk. 5, er en forholdsvis tekstnær gengivelse af CER-direktivets

artikel 6, stk. 2, om, hvad medlemsstaterne skal lægge til grund ved deres

identificering af "kritiske enheder". § 115, stk. 3, fastsætter, at alle virksomheder på

niveau 2-5 er kritiske virksomheder. Green Power Denmark beder Energistyrelsen

oplyse, om det bygger på en vurdering af, at de i praksis vil opfylde kriterierne i §

115, stk. 5, / CER-direktivets artikel 6, stk. 2, eller om der er tale om

overimplementering, med de konsekvenser det får i relation til sanktioner, herunder

max bøde-størrelser, m.m. Green Power Denmark bemærker desuden, at det bør

tydeliggøres, i hvilket omfang, der er en sammenhæng mellem niveau 2-5

virksomhederne og hhv. ”vigtige enheder” og ”væsentlige enheder” jf. NIS 2-

direktivet og ”kritiske enheder” jf. CER-direktivet.

HOFOR skriver til § 116, at Energistyrelsen vel retteligt kun kan identificere danske

virksomheder af særlig europæisk betydning.

SamAqua gør til § 114, stk. 3, nr. 1, opmærksom på, at myndighedernes ikke har

samme fortolkning af direktivets størrelseskrav. Nedenstående er udklip fra

Forsvarsministeriet lovudkast - Bemærkninger til lovforslagets enkelte

bestemmelser til § 1. Placeringen af og/eller er ikke ens, hvilket har en væsentlig

indholdsmæssig betydning, da Energistyrelsens formulering medfører, at flere

enheder omfattes af NIS2-kravene. Der er gjort opmærksom på dette ifm. høringen

af implementeringsloven.

Energistyrelsens bemærkninger:

Energistyrelsen har på baggrund Cerius-Radius, SamAqua og Green Power

Denmarks høringssvar tilrettet §§ 114-116, således at ordlyden af bestemmelserne

i højere grad ligger sig op af ordlyden i NIS 2- og CER-direktiverne, såvel som NIS

2- og CER-lovforslagene fremsat af MSSB. Således fastsætter bestemmelserne, at

virksomheder udpeges som væsentlige, vigtige og kritiske enheder, samt som

kritiske enheder af særlig europæisk betydning. Endvidere er størrelseskravene ift.

væsentlige og vigtige enheder blevet tilrettet, så det stemmer overens med kravene

i NIS 2.

Energistyrelsen har ikke fundet det nødvendigt at specificere, at § 115 kun finder

anvendelse på danske virksomheder, som ønsket af HOFOR. Det følger af

anvendelsesområdet for lov om styrket beredskab i energisektoren og derfor

anvendelsesområdet for indeværende bekendtgørelse.

Energistyrelsen har ikke fundet det muligt at rette EUR til DKK som ønsket af

Brintbranchen, da det potentielt vil betyde, at NIS 2 direktivet bliver

fejlimplementeret, ligesom det også unødigt vil afvige fra ordlyden til MSSB’s NIS

2-lovforslag.

Side 56/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Energistyrelsen bemærker til Green Power Denmarks høringssvar, at kategorien

”vigtige enheder” aldrig vil blive relevant for virksomheder inddelt på niveau 1, da

der i bilag 1 om tærskelværdierne for virksomhedernes niveauinddeling er

specificeret, at virksomheder, der beskæftiger mere end 50 personer eller har en

årlig omsætning på over 10 mio. EUR og en årlig samlet balance på over 10 mio.

EUR., altid som minimum vil være en niveau 2-virksomhed. Fsva. Green Power

Denmarks spørgsmål til § 115, stk. 3, så er det Energistyrelsens opfattelse, at

bestemmelsen ikke er udtryk for overimplementering, da alle virksomheder i niveau

2-5, reelt vil leve op til de kriterier, der skal lægges vægt på efter § 115, stk. 5, nr.

1-4, idet disse virksomheder leverer en eller flere væsentlige tjenester, opererer i

og har sin kritiske infrastruktur beliggende på dansk territorium, samt at en

hændelse hos virksomheden vil have betydelig forstyrrende virkning, jf. stk. 6 i

§115, på virksomhedens levering af en eller flere væsentlige tjenester eller på

leveringen af andre væsentlige tjenester i sektorerne anført i bilag 5, som er

afhængige af denne eller disse væsentlige tjenester.

Endeligt bemærker Energistyrelsen, at der i udgangspunktet ikke er nogen

sammenhæng mellem udpegelsen som ”væsentlige, vigtige eller kritiske enheder”

og den niveauinddeling og klassificering, der er af virksomhederne i henhold til § 4

og § 6 i bekendtgørelsen. Det er to forskellige måder at indikere hvor kritisk en

virksomhed er. Men der er ikke som sådan noget lighedstegn mellem tingene.

Bemærkningerne har således givet anledning til ændringer i bekendtgørelsen.

16.

Håndhævelse og klageadgang

Cerius-Radius, EWII og Green Power Denmark bemærker til § 118, at

udgangspunktet i lov om styrket beredskabs § 31 er, at afgørelser kan påklages til

Energiklagenævnet, og at § 32 i loven, hvor ministeren kan bestemme at visse

afgørelser ikke skal kunne indbringes til Energiklagenævnet, er en undtagelse til §

31. Alligevel har § 118 i bekendtgørelsen vendt udgangspunktet fra loven på

hovedet, så afgørelser kun undtagelsesvis kan påklages til Energiklagenævnet. Det

bemærkes endvidere af det er uklart, hvad der forstås ved retlige spørgsmål.

Cerius-Radius ønsker, at bestemmelsen formuleres svarende til loven og det

herefter klart defineres hvad der ikke kan klages over. EWII tilføjer, at der grundet

bekendtgørelsens vidtgående forpligtigelser bør indføres en administrativ

klageadgang for andet end retlige spørgsmål, og som minimum til visse konkrete

afgørelser efter bekendtgørelsens § 4 og § 6.

EWII bemærker til kapitel 20, om det er korrekt forstået, at omfattede virksomheder

kan ifalde straf for at undlade af efterkomme påbud og afgørelser, men at

manglende overholdelse af bekendtgørelsens bestemmelser ikke i sig selv er

strafbart? Fx: Det er først strafbart ikke at have en informationssikkerhedspolitik,

Side 57/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

efter, at en virksomhed har fået et påbud eller afgørelse herom og ikke efterlever

samme. I forslag til lov om beredskab i energisektoren er der hjemmel til straf til

virksomheder i forslagets § 37, og jf. § 37, stk. 4 kan der fastsættes straf i

forskrifter, der følger af loven, men overtrædelse af den foreslåede bekendtgørelse

er øjensynligt ikke strafbelagt.

Energistyrelsens bemærkninger:

Energistyrelsen medgiver ikke, at der med § 118 i bekendtgørelsen vendes rundt

på udgangspunktet for lovens bestemmelser om klageadgang. § 31 fastsætter

således kun, at Energiklagenævnet er rette klagemyndighed for afgørelser truffet

efter loven eller regler udstedt i medfør af loven. Det har således været gjort meget

tydeligt i forarbejderne til § 32, at der gives bemyndigelse til at afskære

klageadgangen for afgørelser truffet efter loven eller efter regler udstedt i medfør af

loven, i hvordan § 32 forventes at blive udmøntet. Således har udgangspunktet for

muligheden for klageadgangen altid været en kombination af § 31 og § 32, og det

fremgår i forarbejderne til § 32, at ”det forventes på baggrund af den foreslåede

bestemmelse i § 32, stk. 1, at der fastsættes nærmere regler om, at afgørelser

truffet efter lovens kapitel 5 om baggrundskontrol og sikkerhedsgodkendelser eller

regler udstedt i medfør af kapitel 5 ikke kan påklages til Energiklagenævnet” og

”Det forventes endvidere, at bestemmelsen i stk. 1 vil blive brugt til at fastsætte

nærmere regler om, at afgørelser der vedrører virksomhedernes overholdelse af

reglerne i loven eller udstedt i medfør af loven for så vidt angår myndighedernes

faglige vurderinger angående organisatorisk beredskab, fysisk sikring og

cybersikkerhed, ikke kan påklages til Energiklagenævnet. Afgørelser vedrørende

faglige vurderinger om organisatorisk beredskab, fysisk sikring og cybersikkerhed

er ikke noget, der knytter sig særligt til Energiklagenævnets kendskab til juridiske

eller tekniske spørgsmål på energiområdet. Det forventes dog, at bestemmelsen i

stk. 1 vil blive brugt til at fastsætte nærmere regler om, at virksomheder dog forsat

vil kunne påklage retlige spørgsmål til Energiklagenævnet. Med retlige spørgsmål

menes der bl.a. overholdelse af forvaltningslovens regler til afgørelser, herunder

partshøring, begrundelse og klagevejledning samt andre relevante dele af dansk

forvaltningsret, som myndigheder er forpligtet til at overholde i afgørelsessager”.

Energistyrelsen finder således ikke grundlag for at rette i § 118 i bekendtgørelsen,

hverken i bestemmelsens opbygning eller i specificeringen af hvad der menes med

”retlige spørgsmål”.

Energistyrelsen bemærker til EWII’s høringssvar angående den tilsyneladende

manglende strafbelægning af manglende overholdelse af bekendtgørelsen, at det

er korrekt, at det en fejl, at bemyndigelsesbestemmelsen i § 37, stk. 4, i lov om

styrket beredskab i energisektorerne ikke er blevet udnyttet i bekendtgørelsen.

Energistyrelsen har rettet op på denne fejl ved at indsætte en ny § 122, der

fastsætter, at virksomheder kan straffes med bøde for overtrædelse af

bekendtgørelsens bestemmelser, og at bøder udstedt i medfør af § 122 skal

Side 58/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

overholde de rammer, der er for fastsættelsen af bødens størrelse i § 37, stk. 1 i lov

om styrket beredskab for energisektoren.

Energistyrelsen har ladet § 122 og 123 i høringsversionen af

bekendtgørelsesudkastet udgå.

Bemærkningerne ovenfor har således givet anledning til ændringer i

bekendtgørelsen.

17.

Implementeringsfrist og overgangsregler

Dansk Erhverv, Green Power Denmark og N1 finder det problematisk at

omkostninger til beredskab, som er afholdt fra implementeringsfristen for NIS 2- og

CER-direktiverne den 17. oktober 2024 og frem til ikrafttræden den 7. marts ikke

kan indregnes i netvirksomheds omkostningsramme og det samlede

forrentningsgrundlag i reguleringsåret 2024 og 2025 efter

indtægtsrammebekendtgørelsen. Dansk Erhverv, Green Power Denmark og N1

finder det, således at den foreslåede overgangsordning i § 124, stk. 3, straffer

virksomheder for blandt andet at planlægge tiltag på baggrund af den annoncerede

ikrafttrædelse og for at udvise rettidig omhu i lyset af det kritiske trusselsbillede. Det

anbefales på den baggrund, at omkostninger kan afholdes fra den annoncerede

ikrafttrædelse af direktivet i medlemsstaterne (18. oktober 2024) og i

overensstemmelse med de vedtagne regler i indtægtsrammebekendtgørelsen.

Dansk Industri bemærker, at implementeringsfristen er ualmindelig kort, og at da

virksomhederne endnu ikke kender den endelige udformning af bekendtgørelserne,

har de ikke kunne igangsætte arbejdet med overholdelsen af bekendtgørelsen.

Dansk Industri opfordrer til, at virksomhederne ikke bliver sanktioneret for

mangelfuld implementering af reglerne inden for det første år fra bekendtgørelsens

ikrafttræden.

Energistyrelsens bemærkninger:

Energistyrelsen anerkender Dansk Erhverv, Green Power Denmark og N1s

betragtninger om, at virksomheder har indrettet sig på og iværksat

beredskabsforanstaltninger efter direktiverne i berettiget forventning om, at de nye

krav ville været trådt i kraft ved implementeringsfristen den 17. oktober 2024.

Energistyrelsen vurderer på den baggrund, at der i dette tilfælde, konkret er

grundlag for at regulere med tilbagevirkende kraft, da der er tale om en begrænset

periode og ændringen af indtægtsrammebekendtgørelsen alene begunstigende

retsvirkninger for virksomhederne.

Side 59/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Energistyrelsen vil ændre indtægtsrammebekendtgørelsen, således at

omkostninger til beredskab fra og med fristen for implementering af NIS 2- og CER-

direktiverne, den 17. oktober 2024, også indregnes i netvirksomheders

omkostningsramme og det samlede forrentningsgrundlag i reguleringsåret 2025.

Overgangsbestemmelsen i § 124, stk. 3 i høringsversionen af bekendtgørelsen

udgår.

Energistyrelsen pointerer fsva. sanktioneringsmulighederne i 2025, at størstedelen

af kravene i bekendtgørelsen følger af NIS 2- og CER-direktivet. De nationale

regler, der skulle implementere disse direktiver, skulle have fundet anvendelse

allerede fra d. 17. oktober 2024, hvorfor der for denne gruppe af krav ikke kan

fastsættes en anden ikrafttrædelsesdato, og sanktionsbestemmelserne kan heller

ikke for 2025 suspenderes, idet Danmark for energiområdet vil have

fejlimplementeret NIS 2- og CER-direktiverne. Energistyrelsen har dog gentagne

gange over de seneste år, hvor der er blevet arbejdet på den nye lovgivning,

tilkendegivet over for virksomhederne og deres brancheforeninger, at 2025 bliver et

læringsår for både virksomhederne og Energistyrelsen. Energistyrelsen forestiller

sig ikke, at det vil blive nødvendigt at benytte de strengeste sanktionsmuligheder,

særligt set i lyset af, at der efter de gældende regler ikke er blevet udstedt bøder for

overtrædelser af reglerne, selvom det også her har været en sanktionsmulighed.

Endvidere vil valget af sanktioner for overtrædelse af lov- og

bekendtgørelsesregler, både i 2025 og alle år derefter være baseret på en

proportionalitetsvurdering, idet sanktionerne skal være effektive, stå i et rimeligt

forhold til overtrædelsen og have afskrækkende virkning. Dette fremgår klart af

forarbejderne til lov om styrket beredskab i energisektoren.

Endelig bemærker Energistyrelsen, at der er fastsat længere implementeringsfrister

for de tungeste krav, der går videre end NIS 2- og CER-direktivernes krav. Der er

ikke kommet nogle høringssvar, der foreslår andre konkrete implementeringsfrister

end dem, der er foreslået i høringsudkastet, hvorfor Energistyrelsen også

fastholder disse.

Bemærkningerne har således givet anledning til ændringer i bekendtgørelsen.

Tidsfrist for indlevering af materiale – OKT 25

Cerius-Radius mener, at tidsfristen for tilsyn den 1. august 2025 er urealistisk.

Energistyrelsens bemærkninger:

Energistyrelsen er enig med virksomhederne i, at der ikke er overensstemmelse

mellem tidsfristen d. 1. august 2025 i § 107, stk. 2, og § 107, stk. 5. Energistyrelsen

har derfor ændret tidsfristen for indsendelse i 2025 i § 107, stk. 2 til den 7.

september 2025, hvilket er 6 mdr. efter ikrafttrædelsen af bekendtgørelsen, så der

er overensstemmelse mellem stk. 2 og stk. 5.

Side 60/61

KEF, Alm.del - 2024-25 - Bilag 171: Orientering om udstedelse og ikrafttræden af bekendtgørelser, fra klima-, energi- og forsyningsministeren

Bemærkningerne har således givet anledning til ændringer i bekendtgørelsen.

Side 61/61