L 111 - 2024-25 - Bilag 5: Henvendelse af 13/1-25 fra Green Power Denmark

Klima-, Energi- og Forsyningsudvalget 2024-25
L 111 Bilag 5
Offentligt

Henvendelse vedr. L 111 forslag til lov om styrket beredskab i

energisektoren

Energisektoren tager sikkerhed meget alvorligt og beskytter sig allerede mod både

cyberangreb og fysiske angreb. Forsyningssikkerhed er afgørende for vores samfund

i den nuværende geopolitiske situation. Det aktuelle trusselsbillede kræver handling,

og branchen er klar til at løfte sit ansvar. Green Power Denmark støtter derfor lov-

forslaget om at styrke beredskabet i energisektoren.

Der er tale om en omfattende og kompleks lovgivning. Green Power Denmark vil

indledningsvist anerkende det store og grundige arbejde, der ligger til grund for lov-

forslaget, ligesom vi påskønner Energistyrelsens indsats med at få udmøntet de cen-

trale regler i bekendtgørelsesform. Siden høringsfasen har lovforslaget gennemgået

klare forbedringer både lovteknisk og indholdsmæssigt.

Vi ønsker en lovgivning, der er praktisk anvendelig, og stiller derfor nogle opklarende

spørgsmål til udvalgte dele af lovforslaget. Vi gør også opmærksom på et konkret

ændringsforslag vedrørende penetrationstests.

•

Vi peger på

uklarheder i lovens anvendelsesområde,

især vedrørende defi-

nitionen af "at håndtere"

og ”at levere en tjeneste”.

Vi udtrykker bekymring over, om kravet om

geografisk placering af drift af

net- og informationssystemer

kan medføre ekstraordinære omkostninger

og vanskeliggøre adgangen til den rette talentmasse.

Vi udtrykker bekymring over, at

penetrationstests

er en meget indgribende

tilsynsmulighed, som går videre end EU-direktivernes krav. Vi fremsætter

derfor et ændringsforslag om, at penetrationstests slettes fra lovforslaget.

•

Vi udtrykker bekymring over konsekvenserne af

midlertidigt at suspendere

en virksomheds bevilling eller tilladelse,

og hvordan det sikres, at energi-

forsyningen kan opretholdes

Vi håber, at Klima-, Energi- og Forsyningsudvalget vil tage vores bekymringer,

spørgsmål og forslag i betragtning under den videre behandling af lovforslaget, så vi

sammen kan skabe en fremtidssikret lovgivning, der styrker Danmarks sikkerhed.

13. JANUAR 2025

GREEN POWER DENMARK

LANGEBROGADE 3H

1411 KØBENHAVN K

DOK. ANSVARLIG: ASB

SEKRETÆR:

SAGSNR.: S2024-587

DOKNR: D2025-1082

•

L 111 - 2024-25 - Bilag 5: Henvendelse af 13/1-25 fra Green Power Denmark

Anvendelsesområdet: Niveauinddeling af virksomheder og klassificering

af anlæg

Spørgsmål:

Vil ministeren redegøre for betydningen

af begrebet ”håndtere” i lovforsla-

gets § 2, stk. 2, nr. 1, herunder hvilke typer af energivirksomheder, der er til-

tænkt omfattet af begrebet?

Vil ministeren redegøre for, hvad det vil sige, at ”levere en tjeneste” og der-

med også

ikke

at ”levere en tjeneste”?

Begrundelse

Der mangler klarhed over lovens anvendelsesområde, især vedrørende grænsevær-

dierne for niveauinddeling og klassificering af anlæg. Uklarheden skyldes bl.a. defini-

tionen af

”at

håndtere” en bestemt kapacitet. Begrebet skaber tvivl om, hvem og

hvorvidt en række selskaber er omfattet af loven.

Det giver også anledning til bekymring, at Energistyrelsen har mulighed for at pla-

cere virksomheder på et højere niveau baseret på en konkret vurdering. Grænsevær-

dierne for inddelingen er ikke specificeret i lovforslagets § 4, stk. 3, der i stedet be-

myndiger ministeren til at fastsætte regler om kategorisering via en femtrinskala

(hvor de mest kritiske virksomheder underlægges skærpede krav). Virksomhedens

niveau afhænger ofte af anlæggenes klassificering, men Energistyrelsen kan fravige

dette, hvilket skaber usikkerhed om de gældende krav og dermed forringer virksom-

hedernes retssikkerhed og vanskeliggør forberedelsen på de kommende krav.

Begreberne

”tjeneste” og ”at

levere en tjeneste” er ikke defineret i loven. Disse termer

er også grundlæggende for at forstå lovens krav og den tilhørende bekendtgørelse.

For at undgå at almindelige forsyningsafbrydelser (f.eks. kabelovergravninger) be-

tragtes som manglende levering, skal der fastsættes en realistisk målestok.

For at fastlægge rammerne for beredskab og definitionen af "at levere en tjeneste",

er det nødvendigt at tage udgangspunkt i forskellige aspekter af normaltilstanden.

Disse aspekter omfatter: 1) Omfanget af forstyrrelser i tjenesteleveringen, 2) graden

af beskadigelse eller funktionsnedsættelse af de involverede anlæg og systemer,

og/eller 3) de bagvedliggende årsager til eventuelle forstyrrelser.

Geografisk placering af net- og informationssystemer

Spørgsmål:

Vil ministeren redegøre for, hvordan lovforslagets § 8, stk. 2, nr. 3 om sikker-

hedskrav til geografisk placering af drift af net- og informationssystemer vil

blive implementeret, herunder hvordan man vil sikre, at der tages hensyn til

eksisterende kontrakter og omkostninger, samt hvordan man vil sikre ad-

gang til den nødvendige talentmasse og dækning i døgnet for at udføre

driftsopgaverne?

Vil ministeren redegøre for bemærkningerne til § 8, stk. 2, nr. 3 på side 88,

hvor det fremgår, at ”der vil blive fastsat nærmere regler om hvorfra, der kan

ydes service og vedligehold til virksomheder omfattet af lovforslaget samt

regler om hvorfra, der må kunne opnås fjernadgang til net- og informations-

systemer med betydning for leveringen af tjenesten?

L 111 - 2024-25 - Bilag 5: Henvendelse af 13/1-25 fra Green Power Denmark

Begrundelse

Klima-, energi- og forsyningsministeren kan ifølge lovudkastet fastsætte krav til den

geografiske placering af drift af net- og informationssystemer. Dette vækker bekym-

ring, da der er begrænsede ressourcer med de nødvendige kompetencer til at sup-

portere en række driftssystemer. Det kan blive udfordrende at få adgang til den nød-

vendige talentmasse, som er afgørende for kvaliteten af driftsopgaverne. Derudover

kan der være udfordringer i forhold til eksisterende kontrakter om drift uden for Dan-

marks grænser, og det vil medføre ekstra omkostninger, hvis et sådant krav stilles

bredt. Det bemærkes også, at kravet om geografisk placering af systemer og leve-

randører ikke er afstemt på EU-niveau.

Penetrationstests: En indgribende tilsynsmulighed og overimplemente-

ring

Spørgsmål

Vil ministeren, set i lyset af at penetrationstests ikke er et direktivkrav - hver-

ken for virksomhedernes net- og informationssystemer eller deres fysiske

lokationer - fremsætte et ændringsforslag?

Baggrund

Det følger, at lovforslagets § 19, stk. 2, nr. 4, at Klima- energi- og forsyningsministe-

ren som led i sin tilsynsforpligtelse kan foretage sikkerhedsscanninger og penetrati-

onstests af både virksomhedens net- og informationssystemer og virksomhedens

fysiske lokationer.

Penetrationstests simulerer et reelt indbrud, som kan skade virksomhedens syste-

mer og anlæg samt potentielt eksponere fortrolige oplysninger for tredjeparter. Det

er derfor en risikabel og indgribende proces.

Anvendelsen af penetrationstests er en overimplementering af direktivernes krav,

både hvad angår virksomhedens net- og informationssystemer og dens fysiske lo-

kationer.

For de fysiske lokationer fremgår det af lovbemærkningerne på side 110, at der er

tale om overimplementering. Dette er dog ikke tilsvarende angivet for penetrati-

onstests anvendt på virksomhedens net- og informationssystemer, selvom den pa-

rallelle bestemmelse i NIS 2-direktivets artikel 32, stk. 2, litra d, kun omfatter sikker-

hedsscanninger og ikke penetrationstests.

Ændringsforslag:

Vil ministeren set i lyset af, at penetrationstests ikke er et direktivkrav - hverken i

forhold til virksomhedernes net- og informationssystemer eller i forhold til virksom-

hedernes fysiske lokationer

–

fremsætte et ændringsforslag til lovforslaget som in-

debærer:

at bestemmelsen i § 19, stk. 2, nr. 4,

ændres, således at ”og penetrati-

onstest” slettes.

L 111 - 2024-25 - Bilag 5: Henvendelse af 13/1-25 fra Green Power Denmark

Midlertidig suspension af en certificering eller godkendelse

Spørgsmål:

Vil ministeren redegøre nærmere for adgangen til og konsekvenserne af

midlertidigt at suspendere en virksomheds bevilling eller tilladelse, herun-

der særligt hvordan det sikres, at de bevillingspligtige aktiviteter kan videre-

føres i det tilfælde, at en bevillingshaver midlertidigt får inddraget sin bevil-

ling, således at energiforsyningen kan opretholdes?

Vil ministeren redegøre nærmere for adgangen til midlertidigt at suspen-

dere en certificering eller godkendelse vedrørende dele af eller alle de rele-

vante tjenester, virksomheden leverer, der udføres af virksomheden, herun-

der særligt hvordan det sikres, at de relevante tjenester kan videreføres?

Begrundelse

I konkrete tilfælde, hvor en virksomhed ikke har efterlevet et fastsat påbud og fore-

taget de nødvendige tiltag for at afhjælpe manglerne m.v., indføres der med lov-

forslagets § 23, stk. 1, nr. 1, hjemmel til, at klima-, energi- og forsyningsministeren kan

træffe afgørelse om midlertidigt at suspendere en certificering eller godkendelse

vedrørende dele af eller alle de relevante tjenester, virksomheden leverer eller aktivi-

teter, der udføres af virksomheden. Dette omfatter ifølge bemærkningerne fx bevil-

ling til at drive netvirksomhed efter elforsyningslovens § 19, og bevilling til at drive

gasdistributionsvirksomhed efter gasforsyningsloven § 10. Det fremgår af lovbe-

mærkningerne side 119, at der endda er lagt op til en udvidende fortolkning og over-

implementering af, hvornår en suspension kan ske, sådan at det er tilstrækkeligt, at

der er tale om en overtrædelse af en håndhævelsesforanstaltning, herunder fx hvis

en virksomhed ikke har foretaget en påbudt revision.

Konsekvenserne af en midlertidig suspension af en godkendelse, herunder en bevil-

ling i henhold til elforsyningslovens § 19, kan være ganske vidtrækkende, og det er

nødvendigt at tage stilling til, hvordan konsekvenserne skal håndteres, herunder

hvem, der midlertidigt skal overtage driften af den bevillingspligtige aktivitet, således

at kunderne sikres forsyning af el eller gas mv.

Det ville være paradoksalt, hvis en myndighed, som skal sikre et styrket beredskab

og modstandsdygtighed mod udefrakommende trusler mod energiforsyningen, en-

der med at indføre sanktioner over for virksomhederne, som betyder, at forsyningen

af el- og gasforbrugerne ophører.

I Elforsyningsloven er der eksplicit taget stilling til, hvad der sker, hvis bevillingen mid-

lertidigt inddrages, efter Elforsyningslovens regler, jf. Elforsyningslovens § 54. Dette

hensyn ses ikke at være taget i lovforslaget, ligesom det er uklart, hvordan bestem-

melsen forventes udmøntet i udkastet til bekendtgørelse om modstandsdygtighed

og beredskab i energisektoren. Det bemærkes i den forbindelse, at den pågældende

bestemmelse i udkastet til bekendtgørelsen ikke endnu er færdigudarbejdet.