Nye regler om beredskab i energisektoren

Omfattede virksomheder og sektorer

Med loven samles tidligere gældende sektorlovgivning om beredskab i én samlet lov. Derudover udvides lovens anvendelsesområde til også at omfatte aktører, der i dag ikke er underlagt beredskabsregulering i energisektoren. Loven kommer til at gælde for virksomheder i el-, gas-, olie-, fjernvarme-, fjernkøling- og brintsektoren.

Som hovedregel gælder loven for alle virksomheder inden for energisektoren, der:

• beskæftiger over 50 personer; eller
• har en årlig omsætning og en samlet årlig balance på over 10 mio. euro.

Loven gælder dog også for virksomheder med under 50 personer, eller som har en årlig omsætning og en samlet årlig balance på under 10 mio. euro, såfremt virksomheden varetager bestemte opgaver, opererer bestemte anlægstyper eller har en bestemt størrelse produktion som nærmere oplistet i lovens § 2, stk. 2, nr. 1 – 13.

Nye kategorier for virksomheder og anlæg

De virksomheder der er omfattet loven niveauinddeles herefter i 5 niveauer, mens deres anlæg klassificeres i 5 klasser baseret på konkrete tærskelværdier, jf. nærmere i bekendtgørelsens §§ 4 og 6. Niveauinddelingen og klassificeringen har betydning for, hvilket niveau virksomhedens beredskab og modstandsdygtighed skal være på og derved hvilke forpligtelser virksomhederne er underlagt. Niveauinddelingen af virksomheder sker ud fra en skala fra 1-5, hvor niveau 1-virksomheder omfatter mindre virksomheder med forsyningssikkerhedsmæssig betydning på lokalt niveau, mens kategori 5-virksomheder omfatter virksomheder af betydning for energiforsyningen på internationalt niveau.

Det er værd at bemærke, at virksomheder, der er omfattet af niveau 1, er undtaget fra størstedelen af forpligtelserne i det nye regelsæt. Niveau 1-virksomheder skal udelukkende have et grundlæggende beredskab i form af en beredskabsplan og et operationelt kontaktpunkt. Niveau 5-virksomheder er omvendt omfattet samtlige forpligtelser i det nye regelsæt, hvilket er en betydelig stramning af de hidtidige gældende regler.

Energistyrelsen foretager niveauinddelingen af virksomhederne og klassificeringen af deres anlæg på baggrund af materiale indsendt af de omfattede virksomheder. Fristen for at indsende materiale til brug for Energistyrelsens vurdering er den 1. april 2025, jf. bekendtgørelsens § 9. De oplysninger, virksomhederne skal indsende til Energistyrelsen fremgår af bekendtgørelsens bilag 3.

Styrelsen vil løbende opdatere niveauinddelingen af virksomhederne og klassificeringen af deres anlæg, hvilket indebærer at virksomhederne skal indsende opdateret materiale hvert tredje år (den 1. oktober). Sker der ændringer af betydning for niveauinddelingen eller klassificeringen, skal virksomhederne uden unødigt ophold indsende de nye oplysninger til Energistyrelsen.

Organisatorisk beredskab og ansvar

Bekendtgørelsen viderefører i væsentligt omfang de eksisterende regler for organisatorisk beredskab, dog med visse ændringer.

Der vil i relations til beredskabsplanlægningen ikke længere blive skelnet mellem alment beredskab og it-beredskab. Hensigten er at fremme et beredskab, der planlægges og udføres på koordineret vis på tværs af organisationen.

Der skal udpege faste personer til at koordinere beredskabsplanlægningen på tværs af det klassiske beredskab, cyberberedskab og fysisk sikring forankret på anlæg.

Risikoaccept og beredskab skal fastlægges af virksomhedens ledelse, som bl.a. skal forholde sig til og godkende risiko- og sårbarhedsvurderinger samt beredskabsplaner og tilsynsrapporter. Ledelsen får pligt til at opbygge og fastholde de nødvendige kompetencer til at træffe sådanne beslutninger, herunder gennem løbende undervisning.

Virksomhederne skal for at fremme medarbejdernes kendskab til såvel beredskabsplaner, fysisk sikkerhed og cybersikkerhed gennemføre årlige awarenesstiltag, samt sikre, at medarbejdere, som udfører opgaver inden for virksomhedens organisatoriske beredskab, fysiske sikring og cybersikkerhed, opretholder de nødvendige kompetencer.

Nye krav til risikostyring

Der indføres nye regler om risikostyring af projekter, der har betydning for forsyningssikkerheden. De nye regler indebærer, at virksomheder ved opstart af projekter skal udarbejde og vedligeholde en risikovurdering med det formål, at virksomheden tidligst muligt og løbende forholder sig til og håndterer sikkerhedsmæssige risici forbundet med projekterne.

Nye krav om forsyningskædesikkerhed

Virksomheder skal fremover have procedurer til at sikre forsyningskædesikkerhed, herunder metoder til at identificere, vurdere og håndtere konkrete risici forbundet med hver enkelt leverandør. Dette indebærer, at der i forbindelse med indgåelse og genforhandling af leverandøraftaler skal stilles relevante krav til leverandørerne om risikostyring, rapportering og dokumentation om efterlevelse af leveringsvilkår.

Formålet med disse regler er, at virksomhederne, kan overholde de krav, som efter bekendtgørelsen er pålagt dem, når virksomhederne benytter sig af (under)leverandører.

Nye krav til klimasikring og fysisk sikring af anlæg

Bekendtgørelsen indfører nye regler for klimasikring og fysisk sikring af forsyningskritiske anlæg i energisektoren, så virksomhederne i højere grad bliver i stand til at forebygge, opdage og reagere på mistænkelig aktivitet eller hændelser i realtid.

Fremover skal der foretages fysisk sikring af alle anlæg i klasse 3-5, hvilket omfatter styret adgangskontrol, sikring til at forsinke og besværliggøre fysisk indtrængen på anlæg samt elektronisk overvågning til at opdage forsøg på indtrængen, herunder forsøg på sabotage, indbrud og tyveri. Virksomheder med anlæg i klasse 4 og 5 skal dertil have elektronisk overvågning til at verificere forsøg på indtrængen.

Virksomhederne skal have implementeret klimasikring af anlæg i klasse 2-5 inden den 1. marts 2026, mens virksomheder skal have implementeret øvrig fysisk sikring inden den 1. marts 2027.

Nye krav til cybersikkerhed

Der indføres nye regler til at understøtte sikkerheden i net- og informationssystemer, som virksomheder anvender i leveringen af deres tjenester. I modsætning til i dag, vil de nye regler gælde alle net- og informationssystemer. Derudover vil der være supplerende krav til at høje cybersikkerheden på forsyningskritiske net- og informationssystemer.

Visse virksomheder skal indføre styring af hardware- og softwareaktiver, som indgår i eller kan tilgå virksomheders net- og informationssystemer. Aktivstyringen skal bl.a. understøtte virksomheders evne til at identificere enheder på netværket og til at identificere sårbarheder.

Virksomheder skal dertil sikre, at aktiverne hærdes og konfigureres på sikker vis, så angrebsfladen for cyberangreb mod energisektoren mindskes til mindst muligt. Samtidig indføres nye regler om anvendelsen af multifaktorautentifikation og kryptering sammen med regler om adgangsstyring til at understøtte grundlæggende cyberhygiejnepraksisser i energisektoren.

Med henblik på at kunne håndtere hændelser indføres regler om etablering af logning og monitorering i virksomheders net- og informationssystemer og netværksinfrastruktur, så virksomheder kan identificere og reagere på eventuelle hændelser.

Virksomheder skal være opmærksom på senest den 1. marts 2027:

• At have ajourførte fortegnelser over følgende software- og hardwareaktiver;
• At have placeret servere og datacentre, der understøtter virksomhedens forsyningskritiske net- og informationssystemer inden for EU/EØS/EFTA-lande (gælder kun virksomheder i niveau 4-5); og
• At foretage netværkssegmentering, så virksomhedens forsyningskritiske net- og informationssystemer isoleres fra andre net- og informationssystemer og udstyr.

Opsamling

Loven og den dertilhørende bekendtgørelse om modstandsdygtighed og beredskab kan generelt siges at være en stramning af de eksisterende regler for beredskab i de forskellige forsyningsformer inden for energisektoren, og indebærer i tillæg hertil en række nye krav. Disse krav indebærer blandt andet krav om implementering af fysiske- og cybersikkerhedsforanstaltninger. Derudover indfører bekendtgørelsen krav om udarbejdelse af en række forskellige dokumenter, herunder beredskabsplaner samt diverse politikker og procedure. I tillæg hertil stiller bekendtgørelsen krav om løbende iagttagelse og varetagelse af bestemte aktiviteter i organisationen, herunder fx krav om løbende revidering og opdatering af diverse dokumenter, løbende risikovurderinger af leverandører og projekter, krav om jævnlig træning samt hurtig indberetning af hændelser.

Vi anbefaler, at de omfattede virksomheder hurtigst muligt får vurderet, hvorvidt deres eksisterende dokumentation og beredskab lever op til de nye regler.

Vi gør for en god ordens skyld opmærksom på, at bekendtgørelsen om modstandsdygtighed og beredskab blot er én af flere bekendtgørelser der er eller bliver udstedt i medfør af loven om styrket beredskab i energisektoren.

Brug for hjælp?

Hulgaard Advokater hjælper virksomheder indenfor energisektoren med at navigere i reguleringen på området. Har du brug for hjælp, er du velkommen til at kontakte:

Kristine Wagner på tlf. +45 40 80 64 20 eller mail kw@hulgaardadvokater.dk; eller

Anna Meldgaard Petersen på tlf. 42 13 42 43 eller mail amp@hulgaardadvokater.dk.