L 111 - svar på spm. 14 om, hvordan proportionalitetsprincippet i NIS2- og CER-direktiverne er blevet anvendt i vurderingen af segmenteringskravene
Tilhører sager:
Aktører:
- Besvaret af: klima-, energi- og forsyningsministeren
- Adressat: klima-, energi- og forsyningsministeren
- Stiller: Dina Raabjerg
- Relevant for: Europaudvalget
- Relevant for: Europaudvalget
Svar på L 111 spm. 14.pdf
https://www.ft.dk/samling/20241/lovforslag/l111/spm/14/svar/2108778/2972512.pdf
Side 1/2 Ministeren Dato 31-01-2025 J nr. 2022 - 1944 Akt-id 581535 Klima-, Energi- og Forsyningsministeriet Holmens Kanal 20 1060 København K T: +45 3392 2800 E: kefm@kefm.dk www.kefm.dk Klima-, Energi- og Forsyningsudvalget Christiansborg 1240 København K Svar på L 111 – spm. 14 Klima-, Energi- og Forsyningsudvalget har d. 27. januar 2025 stillet følgende spørgsmål om L 111 Forslag til lov om styrket beredskab i energisektoren, som jeg hermed skal besvare. Spørgsmålet er stillet efter ønske fra Dina Raabjerg (KF). Spørgsmål 14 I svar på L 111 spørgsmål 4 nævner ministeren, at lovforslaget indeholder krav om fysisk og logisk segmentering af netværk for virksomheder i niveau 4 og 5. Flere høringsparter har påpeget, at dette krav medfører betydelige økonomiske og teknologiske byrder, især for mindre aktører, og at det går videre end kravene i NIS2-direktivet og CER-direktivet. Kan ministeren uddybe, hvordan proportiona- litetsprincippet i NIS2- og CER-direktiverne er blevet anvendt i vurderingen af segmenteringskravene, og hvordan byrderne for virksomhederne er blevet afvejet i forhold til de forventede sikkerhedsgevinster? Svar Cybertruslen mod energisektoren er alvorlig, og det er nødvendigt at styrke cy- berforsvaret for at følge med trusselsbilledet og den digitale udvikling. Krav om netværkssegmentering vurderes i den forbindelse både væsentligt og proportio- nalt. Netværkssegmentering er en væsentlig foranstaltning, fordi segmentering bl.a. besværliggør en angribers muligheder for at kortlægge og bevæge sig rundt på virksomhedens netværk, og kan således fx reducere risikoen for, at et cyberan- greb spreder sig og påvirker energiforsyningen. Omvendt kan manglende eller mangelfuld segmentering fx betyde en øget angrebsflade, dårligere grundlag for at inddæmme et cyberangreb og øget risiko for, at et cyberangreb kan påvirke oppetid og driftssikkerhed for de forsyningskritiske net- og informationssystemer. Det er vurderingen, at krav om netværkssegmentering er proportionelt i forhold til de sikkerhedsmæssige gevinster og omkostninger, som kravet vil medføre for Offentligt L 111 - endeligt svar på spørgsmål 14 Klima-, Energi- og Forsyningsudvalget 2024-25 Side 2/2 virksomhederne. Kravet om segmentering er delt op, således at der for de mest forsyningskritiske virksomheder placeret i niveau 4 og 5 lægges op til krav om såkaldt fysisk segmentering, mens der for øvrige omfattede virksomheder er krav om såkaldt logisk segmentering af deres netværk. Niveau 4 og 5 virksomheder er karakteriseret ved, at de har betydning for energiforsyningen på nationalt eller europæisk niveau. Med venlig hilsen Lars Aagaard