Vælg en side
EN

Menu

Navigation

Hulgaard Advokater P/S
mail@hulgaardadvokater.dk
+45 3840 4200
© 2024

Styrket beredskab på agendaen i energisektoren: Ny bekendtgørelse om sikkerhedsgodkendelse i høring

Af Anna Meldgaard Petersen og Lisa Ewers

28. marts 2025 —
5 min læsetid
Styrket beredskab på agendaen i energisektoren: Ny bekendtgørelse om sikkerhedsgodkendelse i høring

Anna Meldgaard Petersen
Advokat
E: amp@hulgaardadvokater.dk

Styrket beredskab på agendaen i energisektoren: Ny bekendtgørelse om sikkerhedsgodkendelse i høring

Lisa Ewers
Advokatfuldmægtig
E: le@hulgaardadvokater.dk

Beredskab i energisektoren står højt på den politiske agenda. Den geopolitiske situation har øget trusselsniveau i Europa, hvorfor energisektoren skal være bedre gearet til at modstå f.eks. cyberangreb og spionage. Derfor er der behov for nye foranstaltninger for at styrke energisektorens modstandsdygtighed.

Med vedtagelsen af lov om styrket beredskab i energisektoren har energisektoren nu fået en sam-let og ensrettet beredskabslovgivning, som har til formål at styrke beredskabsniveauet med henblik på at kunne forebygge og modstå hændelser, som kan påvirke energiforsyningen. Et centralt element i loven er desuden implementeringen af NIS2- og CER-direktivet, der skærper kravene til cy-bersikkerhed og fysisk sikkerhed i energisektoren. Herudover indføres en række supplerende krav om blandt andet styrket organisatorisk beredskab.

Lov om styrket beredskab i energisektoren er i høj grad en hjemmelslov, som giver Klima-, Energi- og Forsyningsministeren bemyndigelse til at fastsætte nærmere regler på beredskabsområdet i bekendtgørelsesform. Indtil videre er der udstedt to bekendtgørelser; Bekendtgørelse om modstands-dygtighed og beredskab i energisektoren og Bekendtgørelse om Energistyrelsens gebyrer efter lov om styrket beredskab. Derudover er der udgivet et udkast til en tredje bekendtgørelse om sikkerhedsgodkendelse i energisektoren, hvor høringsfristen netop er udløbet (den 24. marts 2025). Ifølge ministeriet forventes det, at en fjerde bekendtgørelse om baggrundskontrol udmøntes senere i 2025. Fælles for dem alle er, at de bidrager til formålet om at styrke robustheden i energisektoren.

Hos Hulgaard Advokater monitorerer vi energisektorens beredskabslovgivning nøje. I denne nyhedsartikel stiller vi skarpt på udkastet til den tredje bekendtgørelse nemlig Bekendtgørelse om sikkerhedsgodkendelse i energisektoren.

Høringsudkastet til bekendtgørelsen kan findes her. Bekendtgørelsen forventes at træde i kraft den 14. april 2025.

Tom
Den nye regulering på området

Lov om styrket beredskab i energisektoren, som trådte i kraft den 7. marts. Link her

Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren, som trådte i kraft den 7. marts. Link her

Bekendtgørelse om Energistyrelsens gebyrer efter lov om styrket beredskab, som trådte i kraft den 7. marts. Link her

Udkast til bekendtgørelse om sikkerhedsgodkendelse i energisektoren. Link her

 

 

 

 

Bekendtgørelsens baggrund

I § 16 i lov om styrket beredskab i energisektoren bemyndiges Klima-, Energi- og Forsyningsministeren til, efter forhandling med justitsministeren at fastsætte regler om baggrundskontrol (stk. 1) og sikkerhedsgodkendelse (stk. 2). Bemyndigelsen til at udstede regler om sikkerhedsgodkendelse efter § 16, stk. 2, har ministeren benyttet til at fremsætte udkast til Bekendtgørelse om sikkerhedsgodkendelse i energisektoren, som nærværende artikel omhandler. Bekendtgørelsesudkastet har til formål at fastsætte nærmere regler om krav om sikkerhedsgodkendelse, herunder hvilke personer der er omfattet kravet. Ifølge høringsbrevet til udkastet til bekendtgørelsen har ministeren vurderet, at personelsikkerhed er et væsentligt element i beskyttelsen af anlæg og systemer i energisektoren.

Krav om sikkerhedsgodkendelse af visse personer i energisektoren

Udkastet til den nye Bekendtgørelse om sikkerhedsgodkendelse i energisektoren indeholder i § 3 et krav om sikkerhedsgodkendelse af visse ansatte og personer i kontraktforhold, som varetager, udfører eller uddannes i visse funktioner i de omfattede virksomheder.

Kravet gælder for ansatte og personer i kontraktforhold med de virksomheder, som er omfattet af § 2 i Lov om styrket beredskab i energisektoren, og som i § 4 i Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren er blevet inddelt på niveau 3-5. I bekendtgørelsen niveauinddeler virksomhederne i energisektoren i fem niveauer (1-5), hvor niveau 1 er det laveste niveau, og niveau 5 er det højeste niveau. De virksomheder, der omfattes af kravet om at sikkerhedsgodkende visse personer i bekendtgørelsen om sikkerhedsgodkendelse, er således de virksomheder med de 3 højeste sikkerhedsniveauer i energisektoren.

Bekendtgørelsen om sikkerhedsgodkendelse i energisektoren oplister i § 3, stk. 1, hvilke funktioner de omfattede personer skal udføre for at blive omfattet kravet om sikkerhedsgodkendelse. Bestemmelsen lyder således:

”Personer, der er ansat eller har et kontraktforhold til at varetage følgende funktioner i virksomheder i niveau 3, 4 og 5, skal sikkerhedsgodkendes til klassifikationsgraden FORTROLIGT:

  1. Personer, som i kraft af deres funktion i virksomheden, har mulighed for at afbryde forsyningen til store grupper af forbrugere, herunder
    • adgang til virksomhedens SCADA-systemer, eller
    • adgang til virksomhedens kontrolrum.
  2. Personer med ansvar for virksomhedens forsyningskritiske net- og informationssystemer.
  3. Personer med udvidede rettigheder i virksomhedens forsyningskritiske net- og informationssystemer.
  4. Virksomhedens beredskabskoordinator, cyberkoordinator og sikringskoordinator (red udpeget iht. § 11 i bekendtgørelse om modstandsdygtighed og beredskab i energisektoren).
  5. Personer, der i øvrigt har væsentlige fysiske eller logiske adgange og rettigheder, der giver direkte adgang til at påvirke energiforsyningen.
  6. Personer i virksomheden, som er ansvarlige for at behandle ansøgninger om sikkerhedsgodkendelser.
  7. Personer, der overvejes ansat i stillinger, der indebærer opgavevaretagelse efter nr. 1 – 6.”

I tillæg hertil skal personer, der skal have indsigt i klassificerede informationer, sikkerhedsgodkendes svarende til klassifikationsgraden af den klassificerede informationen de får indsigt i, uanset om ovenfornævnte funktioner udføres, jf. bekendtgørelsens § 3, stk. 2.

Behov for præcisering og afgræsning af den omfattede personkreds

Krav om sikkerhedsgodkendelse er en ganske vidtgående foranstaltning, som efter vores opfattelse bør begrænses til, hvad der er strengt nødvendigt i forhold til formålet. En så vidtgående foranstaltning bør formuleres så klart og præcist som muligt. Det er imidlertid vores opfattelse, at funktionsbeskrivelserne i bekendtgørelsens § 3 er meget bredt formuleret, hvilket medfører uklarhed og desuden indebærer, at ekstremt mange personer vil blive omfattet bestemmelsen. Det er ekstremt uhensigtsmæssigt, og vi opfordrer derfor Klima-, Energi- og Forsyningsministeriet til at præcisere funktionsbeskrivelserne og den omfattede personkreds.

Det er blandt andet vores opfattelse, at der er behov for en præcisering af, hvad der i bekendtgørelsens § 3, stk. 1 forstås ved ”personer, (…) der har et kontraktforhold” til at varetage funktionerne oplistet i nr. 1-7 i bekendtgørelsens § 3, stk. 1. Formuleringen indebærer, at enhver form for kontrakt uanset type, størrelse eller o.l. omfattes af bestemmelsen. Den nuværende formulering indebærer, at også personer, som de omfattede virksomheder har indgået kontrakter af mere indledende karakter med som f.eks. fortrolighedsaftaler, hensigtserklæringer, term sheets osv., også omfattes af sikkerhedsgodkendelseskravet, hvis blot de pågældende medkontrahenter har adgang til virksomhedens site.

Bestemmelsen sondrer heller ikke mellem væsentligheden af en konkret kontrakt, dvs. enhver leverandør, der udfører de pågældende funktioner, omfattes uanset deres arbejdes kritikalitet, arbejdes omfang eller kontraktværdien.

For at undgå at enhver medkontrakthent (stor som lille, betydningsfuld eller ubetydelig) omfattes af kravet om sikkerhedsgodkendelse, anbefaler vi, at der i bekendtgørelsen indsættes en bagatelgrænse for, hvilke kontraktforhold som omfattes. På den måde vil kravet om sikkerhedsgodkendelse begrænses til at omfatte de personer, som reelt varetager forsyningskritiske funktioner i de omfattede virksomheder.

Behov for præcisering af de konkrete funktioner de omfattede personer udfører

Derudover er det vores opfattelse, at flere af formuleringerne i bekendtgørelsens § 3, stk. 1 er så bredt og upræcist formuleret, at det er uklart, præcis hvilke konkrete funktioner, opgaver og adgange der begrunder, at virksomhederne skal få sikkerhedsgodkendt konkrete personer.

Et eksempel herpå er bekendtgørelsens § 3, stk. 1, nr. 3, hvorefter ’’personer med udvidede rettigheder i virksomhedens forsyningskritiske net- og informationssystemer’’ er omfattet af kravet om sikkerhedsgodkendelse. Det er bl.a. uklart, hvad der menes med begreberne ’’udvidede rettigheder’’ og ”forsyningskritiske (net- og informationssystemer)”.

Den nuværende formulering af bestemmelse omfatter et ubestemt antal personer hos virksomhedernes OT leverandører, eksterne IT-supporterer, IT-sikkerhedstjenester m.v., herunder eksterne supportere med fjernadgang til virksomhedens IT-systemer. Selv en ekstern IT-supporter, der kun lejlighedsvist assisterer virksomheden, vil være omfattet af bestemmelsen, alene fordi de potentielt har adgang til virksomhedens forsyningskritiske net- og informationssystemer.

Bekendtgørelsens § 3, stk. 1, nr. 5, kan også fremhæves, som et eksempel på en vidtgående bestemmelse grundet dens uklare formulering. Bestemmelsen anfører, at ’’personer, der i øvrigt har væsentlige fysiske eller logiske adgange og rettigheder, der giver direkte adgang til at påvirke energiforsyningen’’ skal sikkerhedsgodkendes. Det er bl.a. uklart, hvad der forstås ved begreberne personer ’’der i øvrigt’’ og ’’har væsentlige (…) adgange og rettigheder’’ og ’’giver direkte adgang til at påvirke energiforsyningen’’.

Den foreslåede formulering indebærer, at en lang række medarbejdere, leverandører m.m. vil blive omfattet af kravet om sikkerhedsgodkendelse blot som følge af, at de potentielt kan have adgang til at påvirke energiforsyningen, hvis de har adgang til bestemte dele af virksomhedens faciliteter uanset om det blot er kortvarigt.

Formulering medfører dermed, at samtlige personer på virksomhedens site fremadrettet vil skulle sikkerhedsgodkendes, herunder f.eks. konsulenter, håndværkere, teknikere m.v., såfremt de har adgang til forskellige dele af produktionen for at udføre vedligeholdelsesarbejde, reparationsarbejde, inspektion osv. Dette forekommer uhensigtsmæssigt, særligt fordi alle personer slås over en kam uden hensyntagen til de konkrete opgaver de relevante personer varetager.

Tom
Virksomhedernes forpligtelser

I medfør af bekendtgørelsen bliver de omfattede virksomheder forpligtede til:

  • Indhentning af sikkerhedsgodkendelse: de relevante personer skal sikkerhedsgodkendes til klassifikationsniveauet FORTROLIGT.
  • ID-og CV-kontrol: virksomheden skal gennemføre kontrol af personernes identitet, herunder beskæftigelse, uddannelse og eventuelle afbrydelser i mindst de fem foregående år.
  • Udpegning af kontaktperson: virksomheden skal udpege en kontaktperson for sikkerhedsgodkendelser og meddele dette til Energistyrelsen.
  • Løbende overvågning: det er virksomhedens ansvar at sikre, at godkendte personer fortsat opfylder kravene til sikkerhedsgodkendelse, samt at ansøgninger vedligeholdes hvis nødvendigt.
  • Opdateringer til Energistyrelsen: virksomheden skal informere Energistyrelsen, hvis sikkerhedsgodkendte personer ophører i deres funktion eller ikke længere har behov for klassificerede informationer.

For at sikre compliance med ovenstående anbefaler vi, at der udarbejdes interne procedurer, som understøtter forpligtelserne, herunder en klar proces for ansøgning og den løbende overvågning. Dette kan eventuelt suppleres af interne audits for at sikre, at relevante personer lever op til kravene. Manglende overholdelse af ovenstående forpligtelser er bødestraf.

Overimplementering af CER-direktivet

I tillæg til betragtningerne ovenfor er det vores opfattelse, at der kan sættes spørgsmålstegn ved nødvendigheden og proportionaliteten af bekendtgørelsens ufravigelige krav om sikkerhedsgodkendelse af ”enhver”, der omfattes af bekendtgørelsens § 3.

Som nævnt indledningsvist er udkastet til bekendtgørelsen udstedt med hjemmel i § 16, stk. 2 i Lov om styrket beredskab i energisektoren. Det fremgår af forarbejderne til lovens § 16, at bestemmelsen har til formål at implementere . Det er vores opfattelse, at bekendtgørelsens § 3 udgør en overimplementering af CER-direktivets artikel 14, og derved går væsentligt udover, hvad der er proportionelt og nødvendigt i forhold til det ønskede formål.

CER-direktivets artikel 14 ligger alene op til, at medlemsstaterne implementerer en mindre omfattende og indgribende foranstaltning, nemlig i form af baggrundskontrol, som i øvrigt ifølge bestemmelsen skal være forholdsmæssig og strengt begrænset til, hvad der er nødvendig i behørigt begrundede tilfælde. Det følger af artikel 14, stk. 1, at medlemsstaterne angiver på hvilke betingelser en kritisk enhed (dvs. en omfattet virksomhed) i ”behørigt begrundede tilfælde” og under hensyntagen til medlemsstatsrisikovurderingen ”har tilladelse til at indgive anmodninger om baggrundskontrol af personer, som varetager visse funktioner”.

Ved den foreslåede indførelse af krav om sikkerhedsgodkendelse af visse personer i energisektoren, er Klima-, Energi- og Forsyningsministeriet således gået skridtet videre end blot en begrundet baggrundskontrol. Dette skyldes, ifølge forarbejderne til lovens § 16, at Klima-, Energi- og Forsyningsministeriet har vurderet, at CER-direktivets minimumskrav om baggrundskontrol ikke er tilstrækkeligt til at sikre den fornødne personelsikkerhed i energisektoren. Vi savner dog en begrundelse for, hvorfor ministeriet har fundet det nødvendigt at lave en så markant overimplementering af direktivbestemmelsen.

Skal man endelig indføre et krav om sikkerhedsgodkendelse, er det vores opfattelse, at kravet burde være baseret på en risikobaseret tilgang, hvor virksomheden efter en konkret vurdering fandt det nødvendigt at få sikkerhedsgodkendt en konkret person for at begrænse risikoen for misbrug af adgange eller rettigheder, eller skadeforvoldelse på forsyningskritisk infrastruktur. En sådan tilgang ville begrænse antallet af omfattede personer, men denne tilgang har ministeriet tilsyneladende ikke fundet tilstrækkelig. Bekendtgørelsen giver ikke blot mulighed for at få sikkerhedsgodkendt konkrete personer i energisektoren, men stiller derimod et ufravigeligt krav om sikkerhedsgodkendelse af personer, der er ansat i eller kontraherer med energisektoren. Dette mener vi, er for vidtgående og uproportionelt.

 

Risiko for flaskehalse i myndighedsbehandlingen og usikker retstilling for de omfattede personer

Bekendtgørelsens § 6 fastlægger reglerne for Energistyrelsens sagsbehandling på området. Det fremgår af bestemmelsen, at afgørelse om sikkerhedsgodkendelse træffes af Energistyrelsen på baggrund af en sikkerhedsundersøgelse foretaget af Politiets Efterretningstjeneste (PET).

Energistyrelsens afgørelse træffes på baggrund af en vurdering af de omfattede personers pålidelighed, hvor Energistyrelsen bl.a. kan lægge vægt på den pågældendes loyalitet, adfærd, karakter og forbindelser og tilsvarende ved den pågældendes ægtefælle, samlever, partner m.v.

Vi er bekymrede for, hvorvidt de berørte myndigheder har tilstrækkelige ressourcer til at håndtere sagsbehandlingen af de mange sikkerhedsgodkendelser fremadrettet. Navnlig er vi bekymrede for risikoen for flaskehalse og uforholdsmæssigt lange sagsbehandlingstider, særligt i forbindelse med sikkerhedsgodkendelse af nøglepersoner, som varetager forsyningskritiske funktioner i de omfattede virksomheder. Risikoen for flaskehalse reduceres ikke just, når flere myndigheder er involveret i sagsbehandlingen, som beskrevet ovenfor. Derudover forudser vi en risiko for forlænget sagsbehandlingstid ved myndighedernes sagsbehandling af sikkerhedsgodkendelse af udenlandsk arbejdskraft, hvor tilgængeligheden af informationer måske er begrænset og koordinering med udenlandske myndigheder derfor er påkrævet.

For at undgå en utilfredsstillende retsstilling for de omfattede virksomheder, anbefaler vi, at der i bekendtgørelsen indsættes en garanti for den maksimale sagsbehandlingstid på sikkerhedsgodkendelser. Derved begrænses påvirkningen af virksomhedernes agilitet, idet virksomhederne i et vist omfang kan planlægge derefter, herunder i ansættelses- og indkøbsprocesser.

Virksomhederne må ikke stå i en situation, hvor de i krisesituationer eller lignende ikke kan agere med fornøden hurtighed, fordi de ikke kan få sikkerhedsgodkendt nøglepersoner til at udføre forsyningskritisk arbejde. Derfor anbefaler vi, at der i tillæg til sagsbehandlingsgarantien i bekendtgørelsen indsættes en bestemmelse om en ’’fast-track ordning’’, hvorunder virksomheder, med akut behov for at få sikkerhedsgodkendt en konkret person, kan komme foran i køen og få en hurtigere sagsbehandling.

Bekendtgørelsens § 7 fastslår, at Energistyrelsens afgørelser om afslag på sikkerhedsgodkendelse af en person eller tilbagekaldelse af en sikkerhedsgodkendelse af en person ikke kan påklages til anden administrativ myndighed. En sådan afskæring af klageadgangen går imod vores sædvanlige toinstansprincip for administrativ efterprøvelse i en højere instans. Dette skaber en enorm usikker retsstilling for berørte personer og virksomheder, hvilket er dybt kritisabelt, når der er tale om en så indgribende afgørelse, som reelt kan indebære en risiko for, at konkrete personer forhindres i at udføre de funktioner, de er ansat til eller påtænkes ansat til.

Vi anbefaler derfor, at i hvert fald de berørte personers klageadgang ikke begrænses. Samtidig anbefaler vi de omfattede virksomheder, at der udarbejdes interne procedurer for håndteringen af situationer, hvor relevante personer ikke opnår sikkerhedsgodkendelse eller deres godkendelse inddrages, så virksomhedens drift ikke påvirkes unødigt.

Vores holdning

Vi mener, at bekendtgørelsen i sin nuværende form er ganske vidtgående. Vi vurderer, at bekendtgørelsen vil få betydelige konsekvenser for de omfattede virksomheder og personer i energisektoren, som beskrevet nærmere nedenfor.

Konsekvenser for virksomheders operationelle agilitet

På grund af bekendtgørelsens brede formuleringer vil et ikke ubetydeligt antal personer skulle sikkerhedsgodkendes. Hertil gælder en række tilhørende forpligtelser, som virksomhederne skal varetage, f.eks. den løbende overvågning af at godkendte personer fortsat opfylder kravene til sikkerhedsgodkendelse, samt at ansøgninger vedligeholdes hvis nødvendigt. Dette vil udgøre en enorm administrativ byrde for virksomhederne samt for de involverede myndigheder. Dette kræver yderligere ressourcer, hvilket får økonomiske konsekvenser for de omfattede virksomheder. Vi er betænkelige ved, hvorvidt de omfattede virksomheder eller myndigheder er tilstrækkeligt rustede til at håndtere denne byrde.

Manglende ressourcer hos de berørte myndigheder til at håndtere de mange ansøgninger om sikkerhedsgodkendelse vil påvirke sagsbehandlingstiden.

Vi har naturligvis forståelse for, at sagsbehandlingstiden vil variere afhængig af flere forskellige forhold, herunder den krævede klassifikationsgrad, tilgængeligheden af oplysninger, m.v. Det er dog værd at bemærke, at en uhensigtsmæssig lang sagsbehandlingstid i sidste ende kan have betydning for virksomhedens operationelle agilitet og dermed potentielt forsyningssikkerheden. En sådan situation kan opstå, hvor nøglepersoner, som varetager forsyningskritiske funktioner, ikke kan opnå rettidig sikkerhedsgodkendelse.

Derudover bemærkes det, at udenlandsk arbejdskraft oftest benyttes i energibranchen grundet mangel på dansk arbejdskraft. Vi er bekymrede for i hvilket omfang det er muligt at få sikkerhedsgodkendt udenlandsk arbejdskraft og derved om de danske regler kan udgøre en hindring for arbejdskraftens frie bevægelighed, herunder hvorvidt det bliver vanskeligere eller mere tidskrævende at udenlandsk arbejdskraft sikkerhedsgodkendt. En sådan situation kan resultere i en favorisering af danske arbejdstagere, hvilket også have betydning for den operationelle agilitet.

Mangel på sikkerhedsgodkendte leverandører kan desuden påvirke virksomhedernes agilitet, særligt hvor hurtig handling er påkrævet af hensyn til forsyningssikkerheden.

    Konsekvenser for konkurrenceevne

    Derudover ser vi en risiko for, at implementeringen kan have negative konsekvenser for danske virksomheders konkurrenceevne.

    Lang myndighedsbehandling af sikkerhedsgodkendelser kan medføre en utilsigtet favorisering af faste, sikkerhedsgodkendte, leverandører, hvilket kan indebære stigende priser hos disse, da deres ydelser ikke i samme grad konkurrenceudsættes, hvilket i sidste ende er med til at påvirke konkurrencevilkårene på markedet.

    Den danske overimplementering af CER-direktivets artikel 14 kan desuden medføre en konkurrenceforvridning i forhold til virksomheder i andre medlemsstater, som har lempeligere regler, eftersom danske virksomheder endnu engang pålægges ekstraomkostninger (både omstillingsomkostninger og løbende administrationsomkostninger) i forhold til deres udenlandske konkurrenter.

    Vi har gjort Energistyrelsen opmærksom på de uheldige konsekvenser ved de brede formuleringer anvendt i bekendtgørelsen i et høringssvar, som vi har udarbejdet på vegne af en kunde i energisektoren. Vi forudser, at også andre virksomheder i energisektoren vil kræve klarhed over deres retsstilling, og noterer os desuden, at også Green Power Denmark har afgivet høringssvar om bekendtgørelsen. Vi forventer derfor, at der i et vist omfang vil ske tilpasning i bekendtgørelsen. Vi er spændte på at se høringssvarene fra de øvrige aktører i energisektoren samt Energistyrelsens høringsnotat hertil. Vi følger naturligvis udviklingen på området.

    Brug for hjælp?

    Hulgaard Advokater hjælper virksomheder indenfor energisektoren med at navigere i reguleringen på området. Har du brug for hjælp, er du velkommen til at kontakte Anna Meldgaard Petersen på tlf. 42 13 42 43 eller pr. mail amp@hulgaardadvokater.dk eller Lisa Ewers på tlf. 42 13 42 45 eller pr. mail le@hulgaardadvokater.dk.

    Kontakt en medarbejder

    Se alle

    Relaterede artikler