Klima-, Energi- og Forsyningsudvalget 2024-25
L 111
Offentligt
2969114_0001.png
Klima-, Energi- og Forsyningsudvalget
Christiansborg
1240 København K
Ministeren
Dato
23-01-2025
J nr.
2022 - 1944
Akt-id
581535
Svar på L 111 – spm. 10
Klima-, Energi- og Forsyningsudvalget har i brev af d. 14. januar 2025 stillet mig
følgende spørgsmål om L 111 Forslag til lov om styrket beredskab i energisekto-
ren, som jeg hermed skal besvare.
Spørgsmål 10
Vil ministeren kommentere på henvendelsen fra Green Power Denmark af 13.
januar 2025, jf. L 111 – bilag 5? I besvarelsen bedes ministeren konkret forholde
sig til de 7 spørgsmål Green Power Denmark rejser, herunder det foreslåede æn-
dringsforslag vedrørende penetrationstests
Svar
Jeg vil gerne takke for de bidrag til høringen af lovforslaget, som Green Power
Denmark er kommet med.
I henvendelse fra Green Power Denmark spørges der til følgende:
1)
Vil ministeren redegøre for betydningen af begrebet ”håndtere” i lovforsla-
gets § 2, stk. 2, nr. 1, herunder hvilke typer af energivirksomheder, der er
tiltænkt omfattet af begrebet?
Vil ministeren redegøre for, hvad det vil sige, at ”levere en tjeneste” og der-
med også ikke at ”levere en tjeneste”?
Vil ministeren redegøre for, hvordan lovforslagets § 8, stk. 2, nr. 3 om sik-
kerhedskrav til geografisk placering af drift af net- og informationssystemer
vil blive implementeret, herunder hvordan man vil sikre, at der tages hen-
syn til eksisterende kontrakter og omkostninger, samt hvordan man vil
sikre adgang til den nødvendige talentmasse og dækning i døgnet for at
udføre driftsopgaverne?
Vil ministeren redegøre for bemærkningerne til § 8, stk. 2, nr. 3 på side 88,
hvor det fremgår, at ”der vil blive fastsat nærmere regler om hvorfra, der
kan ydes service og vedligehold til virksomheder omfattet af lovforslaget
samt regler om hvorfra, der må kunne opnås fjernadgang til net- og infor-
mationssystemer med betydning for leveringen af tjeneste?
2)
3)
4)
Klima-, Energi- og
Forsyningsministeriet
Holmens Kanal 20
1060 København K
T: +45 3392 2800
E: [email protected]
www.kefm.dk
Side 1/5
 L 111 - 2024-25 - Endeligt svar på spørgsmål 10: Spm. om kommentar til henvendelsen fra Green Power Denmark
2969114_0002.png
5)
6)
7)
Vil ministeren, set i lyset af at penetrationstests ikke er et direktivkrav -
hverken for virksomhedernes net- og informationssystemer eller deres fysi-
ske lokationer - fremsætte et ændringsforslag?
Vil ministeren redegøre nærmere for adgangen til og konsekvenserne af
midlertidigt at suspendere en virksomheds bevilling eller tilladelse, herun-
der særligt hvordan det sikres, at de bevillingspligtige aktiviteter kan videre-
føres i det tilfælde, at en bevillingshaver midlertidigt får inddraget sin bevil-
ling, således at energiforsyningen kan opretholdes?
Vil ministeren redegøre nærmere for adgangen til midlertidigt at suspen-
dere en certificering eller godkendelse vedrørende dele af eller alle de rele-
vante tjenester, virksomheden leverer, der udføres af virksomheden, her-
under særligt hvordan det sikres, at de relevante tjenester kan videreføres?
Nedenfor gives svar på Green Power Denmarks henvendelse:
Ad. 1:
Det er lovens hensigt, at alle netvirksomheder, også kaldet distributionsoperatør,
i elsektoren skal omfattes af reguleringen, uagtet om disse er omfattet af NIS2-
direktivets tærskelværdier, som er fastsat i lovforslaget § 2, stk. 2. Dette er en
videreførelse af gældende ret og herved fastholdelse af anvendelsesområdet for
de eksisterende bestemmelser om beredskab og cybersikkerhed fra lov om elfor-
syning. Med henblik på at tydeliggøre anvendelsesområdet yderligere forventes
der ved ændringsforslag præciseret, at alle netvirksomheder i elsektoren ligesom
alle distributionssystemoperatører i gassektoren også omfattes. Energistyrelsen
er tillige i dialog med branchen ift. at tydeliggøre det yderligere på bekendtgørel-
sesniveau.
Ad. 2:
Når der i lovforslaget refereres til, at ”levere en tjeneste”, ”leveringen af deres
tjenester” og ”tjenester” henvises der til enhver forsyningsaktivitet som pågæl-
dende virksomhed varetager, fx produktion af elektricitet og varme eller raffinering
af olie. Når der refereres til ikke at levere en tjeneste henvises der omvendt til at
manglende varetagelse af pågældende forsyningsaktivitet.
Ad. 3:
Krav om geografisk placering af drift af net- og informationssystemer udmøntes
på bekendtgørelsesniveau og gælder kun virksomheder i niveau 4 og 5. Kravet
betyder i praksis, at virksomheder i niveau 4 og 5 skal placere fx servere og da-
tacentre, som understøtter virksomhedens forsyningskritiske net- og informati-
onssystemer, inden for EU/EØS/EFTA-lande eller i andre lande med en tilstræk-
kelighedsafgørelse fra EU.
Side 2/5
 L 111 - 2024-25 - Endeligt svar på spørgsmål 10: Spm. om kommentar til henvendelsen fra Green Power Denmark
2969114_0003.png
Det forventes, at kravet vil have en begrænset anvendelse. Kravet indebærer ikke
et generelt forbud mod fx outsourcing eller brug af eksterne serviceaftaler til drift
af forsyningskritiske systemer. Virksomheder kan fx fortsat benytte forskellige
cloud-produkter. Kravet skal være implementeret fra 1. marts 2027. Virksomhe-
derne har derfor to år til at gennemgå, evt. revidere eller indgå nye kontrakter.
Formålet med kravet til er, at kritiske systemer af betydning af energiforsyningen
er underlagt jurisdiktion inden for EU/EØS/EFTA-lande eller jurisdiktion inden for
lande med en tilstrækkelighedsafgørelse fra EU, og at der er ikke for de mest
forsyningskritiske virksomheders systemer skabes afhængigheder, som kan
sætte energiforsyningen under pres, fx i tilfælde af ændret geopolitisk situation.
Det er vurderes ikke, at kravet vil have negativ betydning i forhold til at sikre ad-
gang til den nødvendige talentmasse, da talentmassen inden for EU/EØS/EFTA
lande eller i andre lande med en tilstrækkelighedsafgørelse fra EU, vurderes til-
strækkelig. Det vurderes desuden ikke at være en udfordring at sikre dækning
døgnet rundt, da man også inden for EU/EØS/EFTA lande eller i andre lande med
en tilstrækkelighedsafgørelse fra EU, kan indgås kontrakter der sikrer support
døgnet rundt.
Ad. 4
Bemærkningerne i lovforslaget henviser til, at det ikke kun er fysisk placering af
fx servere og datacenter, som er omfattet af kravet om geografisk placering af
drift af net- og informationssystemer, men at der også kan fastsættes nærmere
regler om, hvorfra der kan ydes fx services og vedligehold via virtuel fjernadgang.
Ad. 5
Ja, der vil efter en nærmere gennemgang af NIS2-direktivet blive fremsat æn-
dringsforslag om at fjerne penetrationstest, således at ramme for Energistyrel-
sens tilsyn følger NIS 2-direktivet.
Ad. 6
Der henvises til de specielle bemærkninger i den foreslåede § 23, stk. 1, nr. 1
og 2. Her fremgår det således, at ministeren har valgt at bruge kriteriet ”over-
trådt” i stedet for kriteriet ”virkningsløs”, fordi at dette i en dansk juridisk sam-
menhæng vurderes at svare til ”ineffektive” fra den engelske sprogversion af
NIS 2-direktivet og afspejler et indbygget proportionalitetsprincip.
Det fremgår endvidere i de specielle bemærkninger, at ”der vil efter bestemmel-
sen skulle fastsættes en nærmere angivet frist, inden for hvilken enheden skal
have truffet de nødvendige tiltag for at afhjælpe manglerne eller opfylde den
kompetente myndigheds krav. Varigheden af fristen vil afhænge af en konkret
Side 3/5
 L 111 - 2024-25 - Endeligt svar på spørgsmål 10: Spm. om kommentar til henvendelsen fra Green Power Denmark
2969114_0004.png
vurdering, som foretages af den kompetente myndighed. Fastsættelsen af en
nærmere angivet frist vil være en selvstændig forvaltningsretlig afgørelse, der
træffes i tillæg til en afgørelse efter § 21, nr. 1-4, og § 22, stk. 1 og 2, hvorfor for-
valtningslovens regler, herunder bl.a. bestemmelserne i kapitel 3 (om vejledning
og repræsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse
mv.) og kapitel 7 (om klagevejledning) i udgangspunktet vil finde anvendelse.”.
Endvidere fremgår det, at ”bestemmelsen vil skulle anvendes i overensstem-
melse med NIS 2-direktivets forudsætninger som udtrykt i præambelbetragtning
nr. 133, hvorefter bestemmelsen kun bør anvendes som en sidste udvej, dvs.
først efter at de øvrige, relevante håndhævelsesforanstaltninger er udtømt. Det
fremgår videre af samme præambelbetragtning, at i betragtning af deres alvor
og indvirkning på virksomhedens aktiviteter og i sidste ende brugerne, bør så-
danne midlertidige suspensioner eller forbud kun anvendes proportionalt med
overtrædelsens alvor og under hensyntagen til omstændighederne i hvert enkelt
tilfælde, herunder i lyset af, om overtrædelsen var forsætlig eller uagtsom, og et-
hvert tiltag, der er iværksat for at forebygge eller afbøde den materielle eller im-
materielle skade.”
Det fremgår desuden, at ”det foreslås, at afgørelse om suspension eller forbud
træffes af klima-, energi- og forsyningsministeren. Det skal ses i lyset af, at mu-
ligheden for suspension og forbud ligger i forlængelse af anvendelsen af de øv-
rige håndhævelsesmuligheder, og at der i en afgørelse om suspension eller for-
bud forudsættes at skulle indgå en begrundelse for, hvorfor allerede pålagte
håndhævelsesforanstaltninger er utilstrækkelige. Det følger af NIS 2-direktivets
artikel 32, stk. 7, at klima-, energi- og forsyningsministeren ved anvendelsen af
håndhævelsesforanstaltninger, såsom suspension eller forbud efter den foreslå-
ede bestemmelse, skal inddrage de oplistede hensyn i litra a-h.”
Endelig fremgår det, at ”en afgørelse efter nr. 1 vil være af midlertidig karakter.
Der henvises i øvrigt til det foreslåede stk. 2, hvorefter afgørelsen kun kan opret-
holdes, så længe virksomheden ikke har truffet de nødvendige tiltag for at af-
hjælpe de mangler eller efterleve de krav fra klima-, energi- og forsyningsmini-
steren, som gav anledning til, at foranstaltningerne blev anvendt.”
Der er således en række restriktioner på anvendelse af sanktionsmulighederne.
For at understrege ovenstående betragtninger fra forarbejderne, om at bestem-
melsen om midlertidig suspension kun bør anvendes som en sidste udvej, dvs.
først efter at de øvrige, relevante håndhævelsesforanstaltninger er udtømt, samt
at sådanne midlertidige suspensioner eller forbud kun anvendes, når det vurde-
res proportionalt med overtrædelsens alvor, vil der blive fremsat ændringsfor-
slag om, at bestemmelsen om midlertidig suspension alene finder anvendelse
på en virksomhed, som er udpeget som en væsentlig enhed, jf. § 5. Således vil
bestemmelsen være i overensstemmelse med NIS 2-direktivets art. 32, stk. 5,
Side 4/5
 L 111 - 2024-25 - Endeligt svar på spørgsmål 10: Spm. om kommentar til henvendelsen fra Green Power Denmark
2969114_0005.png
litra a og b, om midlertidig suspension af certificeringer og godkendelser eller
midlertidigt forbud om at udøve ledelsesfunktioner for visse personer.
Med hensyn til ønsket om at beskrive konsekvenserne ved midlertidig at su-
spendere en certificering eller godkendelse, så henvises der til regler, hvorefter
certificeringen eller godkendelsen er udstedt. Disse regler indeholder i nogen til-
fælde regler for, hvad der sker hvis en bevilling fratages eller en virksomhed
med en bevilling går konkurs.
På de områder, hvor der ikke måtte være regler herfor, lægges der til grund, at
det praktisk vil betyde, at virksomheder, hvor certificeringen eller godkendelsen
er forudsætning for at måtte drive virksomheden, vil betyde et ophør af leverin-
gen af tjenesten, indtil påbuddet er overholdt. Ministeren er også bevist om at
en sådan konsekvens på energiområdet i nogen tilfælde, når virksomheden har
et naturligt monopol, som ved fjernvarmevirksomheder eller el- og gasdistributi-
onsvirksomheder kan betyde at energiforsyningen ikke leveres. Derfor vil sankti-
onen også kun blive brugt i tilfælde hvor de potentielle og faktiske konsekven-
serne ved at virksomheden bryder loven og de efterfølgende påbud, der er gi-
vet, er større end konsekvensen ved at forbrugerne måtte mangle deres energi-
forsyning.
Det kan fx være i tilfælde af det vurderes, at virksomhedens manglende cyber-
sikkerhedsforanstaltninger kan udnyttes til også at kompromittere andre virk-
somheder eller hvor et destruktivt cyberangreb og de konsekvenser det vil med-
føre i den fysiske verden vil kunne have større samfundskonsekvenser pga. at
afbrydelser forplanter sig til omkringliggende distributionsnet eller transmissions-
nettet i Danmark og udlandet.
Ad. 7
Der henvises til svar på spørgsmål 6.
Med venlig hilsen
Lars Aagaard
Side 5/5