Lov om styrket beredskab i energisektoren

Dette afsnit omhandler særligt Forsyningssektoren

Lov om styrket beredskab i energisektoren (Lovforslag)

NB! Dette notat opdateres løbende og kan derfor ændre form og indhold, når den endelige lov er vedtaget.

Loven omfatter virksomheder i blandt andet el-, gas-, olie-, fjernvarme-, fjernkøling- og brintsektoren. Dermed vil loven omfatte aktører, der i dag ikke er underlagt beredskabsregulering i energisektoren.

Lovens fastsætter en ramme for modstandsdygtighed og beredskab i forhold til naturskabte, menneskeskabte og teknologiske trusler, der kan true eller skade energiforsyningen.

Loven fastsætter på den baggrund regler om:

  • organisatorisk beredskab,
  • fysisk sikring og
  • cybersikkerhed.

Loven definerer modstandsdygtighed som en enheds evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og sikre genopretning efter en hændelse.

Skal man forstå dybden og bredden af loven, er det værd at kigge på definitionen af termen hændelse. En hændelse er efter loven defineret som en begivenhed, herunder en cyberhændelse, der har potentiale til i betydelig grad at forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste, herunder når den påvirker de nationale systemer, der sikrer retsstatsprincippet. En hændelse dækker med andre ord både over forstyrrelser af den enkelte virksomheds energilevering, og hvad man kunne kalde ragnarok, altså den tilstand hvor samfundet grundet hændelsen ikke længere kan opretholde de mest basale funktioner.

Loven indeholder en række foranstaltninger i § 6 vedrørende organisatorisk beredskab), § 7 vedrørende fysisk sikring og i § 8 vedrørende cybersikkerhed.  Klima-, energi- og forsyningsministeren vil i bekendtgørelser og vejledninger udmønte foranstaltningerne.

Kravene vil blandt andet blive centreret omkring: krav til hvorfra net- og informationssystemer med betydning for energiforsyningen (tidl. forsyningskritiske systemer) kan driftes samt tilgås via fjernadgang; udarbejdelse af risiko- og sårbarhedsvurderinger for indkøb, design og etablering af energiinfrastruktur; alarmer hvorved der kan reageres på fx indtrængen; netværkssikkerhed herunder segmentering; overblik og styring af arkitektur og datatrafik; beskyttelse af mobile enheder og servere. Kravene vil desuden gradueres efter virksomhedernes forsyningsmæssige kritikalitet.

ISO27001

Arbejdet med at implementere loven bør ske ved at anvende ISO27001-standarden, eftersom der herved etableres et ledelsessystem, der har risikovurderingen som omdrejningspunkt, og som er egnet til over tid at blive tilpasset i takt med udviklingen i trusselsbilledet. På den måde kommer den ansvarlige ledelse i kontrol med efterlevelsen samt har mulighed for at styre indsatsen i organisationen gennem de politikker, som er kernen i det informationssikkerhedsledelsessystem, som anvendelse af ISO27001 afføder. Som bekendt favner ISO27001 uden problemer såvel organisatorisk beredskab, fysisk sikring som cybersikkerhed.

Ledelsen er ansvarlig, men hvem er ledelsen?

Ledelsen er de personer, som har kompetence til at afsætte midler og godkende processer, som bliver ansvarlige for beredskabet og modstandsdygtigheden i virksomheden. Det vil derfor være en konkret vurdering i den enkelte virksomhed, om hvem der har beslutningskompetence, hvad angår midler, og hvem der dermed anses for at udgøre ledelsen.

Uddannelse af ledelsen

Ledelsen skal desuden løbende være orienteret om de beredskabsmæssige risici, som virksomheden er udsat for. Ledelsen skal desuden være i stand til at identificere risici ved eksempelvis et projekt. Derfor vil ledelsen som udgangspunkt skulle på kursus.

Husk leverandørerne!

Energisektoren skal selv stille kravene i loven videre til sine leverandører, herunder gennem udbud. Det er nemlig virksomhederne, der skal sikre, at deres leverandører lever op til kravene i forhold til den vare eller tjeneste, som virksomheden får leveret.

Kategorisering

Virksomheder inddeles på niveau, mens anlæg inddeles i klasser. Inddelingen vil være en forvaltningsretlig afgørelse, der kan påklages.

Kategoriseringen anvendes til, at der differentieres i, hvilke virksomheder der skal efterleve de krav, således at de mere forsyningskritiske virksomheder skal følge flere elementer af kravene.

Niveauinddelingen af virksomheder vil tage udgangspunkt i, hvilken delsektor virksomheden operer inden for, og den tjeneste, som virksomheden leverer. Hvis en virksomhed leverer tjenester i flere delsektorer, for eksempel hvis den leverer både el og varme, vil virksomheden kun blive inddelt på ét niveau. Virksomheden vil blive inddelt i niveauet for den forsyningsart, hvor tjenesten vil være mest kritisk.

Virksomhedens samlede betydning for forsyningssikkerheden vil have betydning for, hvilket niveau virksomheden vil blive inddelt på. Ligeledes vil det have en betydning, om virksomheden leverer en tjeneste, som påvirker eller kan påvirke andre kritiske sektorer.

Virksomhedernes niveauinddeling vil blive foretaget ud fra en konkret vurdering med udgangspunkt i den samlede energimængde, virksomheden kontrollerer, virksomhedens betydning for energiforsyningen, om virksomheden leverer tjenester til andre kritiske sektorer eller varetager samfundskritiske opgaver.

Kategoriseringen af anlæg og systemer sker ved at inddele disse i klasser. Ved klassificeringen vil der blive taget udgangspunkt i den tjeneste, som anlægget eller systemer vedrører, mængden af energi, som de er med til at understøtte, og deres betydning for forsyningssikkerheden.

Virksomheder, som opererer inden for flere delsektorer, placeres på det højeste niveau, hvortil virksomheden opfylder kravene. Hvis en virksomhed, der har aktiviteter i varmesektoren, svarende til niveau 2 og aktiviteter i elsektoren, svarende til niveau 3, så vil virksomhedens som udgangspunkt blive inddelt på niveau 3.

Som udgangspunkt, vil virksomheder få direkte besked om, hvilket niveau de inddeles i, og hvordan deres anlæg klassificeres. Det skal dog understreges, at virksomheder til enhver tid selv har ansvar for at efterleve den regulering, virksomhederne omfattes af. Er en virksomhed i tvivl om, hvorvidt denne er omfattet af den kommende beredskabsregulering, skal virksomheden tage kontakt til Energistyrelsens beredskabskontor med henblik på afklaring og evt. fastlæggelse af virksomhedens niveau.

Underretningspligt

Loven og de efterfølgende bekendtgørelser omfatter regler om underretning og indrapportering af:

  • hændelser,
  • væsentlige cybertrusler og
  • nærvedhændelser.

Klima-, Energi- og Forsyningsministeriet fastsætter nærmere regler om, til hvem underretning skal ske, herunder eventuelt forbrugerne, hvornår og hvor udførligt underretning skal ske. Desuden kan der fastsættes nærmere regler for, hvilke hændelser der skal indrapporteres.

Endelig foreslås det, at Klima-, Energi- og Forsyningsministeriet under visse betingelser kan informere offentligheden om den væsentlige hændelse eller kræve, at virksomheden gør det.

Sikkerhedsgodkendelser og baggrundskontrol

Personer, der har direkte adgang til at påvirke forsyningen i energisektoren, skal som udgangspunkt sikkerhedsgodkendes. Klima-, energi- og forsyningsministeren fastsætter nærmere regler herom.

Klima-, energi- og forsyningsministeren kan desuden fastsætte nærmere regler om, på hvilke betingelser virksomheder kan få foretaget baggrundskontrol af personer med henblik på at vurdere en potentiel sikkerhedsrisiko for virksomheden.

Energistyrelsen ser desuden gerne, at leverandører også kan sikkerhedsgodkendes. Dette skal endeligt afklares.

 

Du er nu klar til at fortsætte fra start: NIS2 – UNITAS

Tagged ,

Pssst! Vi er lige her...

Vi elsker at høre fra jer! Send os en besked, så vender vi hurtigt tilbage.

Lyshøjen 12, 1. tv. – DK-8520 Lystrup

CVR: 40 97 80 89

Mail: info@unitas.consulting

Beskyttelse af data

Privatlivspolitik
Dataetik

Unitas er D-mærket og har flere godkendte rådgivere, der kan sikre jeres D-mærke.

Unitas er på SKI 02.14 rammeaftale og kan levere konsulentydelser på konkurrencedygtige vilkår til det offentlige.

Unitas er udnævnt af Børsen som Gazelle 2024
(som 10. hurtigst voksende virksomhed i Midtjylland)

Kontakt Unitas – din partner i sikkerhed og compliance​

Unitas leverer pålidelig rådgivning inden for compliance, IT- og informationssikkerhed. Med en pragmatisk tilgang hjælper vi virksomheder i regulerede brancher med at håndtere sikkerhed og driftsansvar effektivt. Kontakt os for en snak om, hvordan vi kan hjælpe dig.

Formular til kontaktside

NIS 2-implementering beregner

Vi kaster om os med viden...

Bestil dit gratis materiale her og modtag det om et par minutter i din indbakke. Tjek for en sikkerheds skyld din SPAM-folder om nødvendigt.

Få tilsendt materiale bestilt på hjemmesiden

Med på en læser? Tilmeld dig Unitas’ nyhedsbrev

Tilmeldingsformular til nyhedsbrev

UNITAS sårbarhedsscanning