Fremsat den 6. februar 2025 af ministeren for samfundssikkerhed og beredskab (Torsten Schack Pedersen)

Fremsat den 6. februar 2025 af ministeren for samfundssikkerhed og beredskab (Torsten Schack Pedersen)
Forslag
til
Lov om kritiske enheders modstandsdygtighed (CER-loven)
Kapitel 1
Anvendelsesområde og definitioner
§ 1. Loven finder anvendelse på enheder, der er omfattet
af enhedskategorierne i lovens bilag jf. dog stk. 2-7.
Stk. 2. Loven finder ikke anvendelse på forhold omfattet
af lov om foranstaltninger til sikring af et højt cybersikker-
hedsniveau (NIS 2-loven).
Stk. 3. Loven finder ikke anvendelse på offentlige forvalt-
ningsenheder, som udfører deres aktiviteter inden for natio-
nal sikkerhed, offentlig sikkerhed, forsvar eller retshåndhæ-
velse, herunder efterforskning, afsløring og retsforfølgning
af strafbare handlinger.
Stk. 4. Vedkommende minister kan træffe afgørelse om
helt eller delvist at undtage specifikke kritiske enheder, der
udfører aktiviteter inden for national sikkerhed, offentlig
sikkerhed, forsvar eller retshåndhævelse, herunder forebyg-
gelse, efterforskning, afsløring og retsforfølgning af strafba-
re handlinger, eller som udelukkende leverer tjenester til
offentlige forvaltningsenheder, der er omfattet af stk. 3, fra
bestemmelserne i §§ 4-9 og 14-16.
Stk. 5. Loven finder ikke anvendelse på enheder i det
omfang, de er omfattet af lov om styrket beredskab i energi-
sektoren.
Stk. 6. §§ 4-9 og 14-16 finder ikke anvendelse på kritiske
enheder i sektorerne bankvirksomhed, finansiel markedsin-
frastruktur og digital infrastruktur i lovens bilag, 3., 4. og 8.
pkt.
Stk. 7. Vedkommende minister træffer afgørelse om, at
loven helt eller delvist ikke finder anvendelse på kritiske
enheder, hvor sektorspecifikke EU-retsakter og eventuel na-
tional gennemførelse heraf har mindst samme virkning som
de tilsvarende forpligtelser efter denne lov og regler udstedt
i medfør af denne lov.
§ 2. I denne lov forstås ved:
1) Centralt kontaktpunkt: Den myndighed, der udøver for-
bindelsesfunktionen for at sikre grænseoverskridende
samarbejde mellem de danske myndigheder, myndighe-
der i andre medlemsstater i Den Europæiske Union og
Den Europæiske Unions institutioner, samt for at sikre
tværsektorielt samarbejde mellem de nationale kompe-
tente myndigheder.
2) Hændelse: En begivenhed, der har potentiale til i bety-
delig grad at forstyrre, eller som forstyrrer, leveringen
af en væsentlig tjeneste.
3) Kritisk enhed: En offentlig eller privat enhed, som er
blevet identificeret efter § 3.
4) Kritisk infrastruktur: Et aktiv, en facilitet, udstyr, et
netværk eller et system, eller en del af et aktiv, en
facilitet, udstyr, et netværk eller et system, som er nød-
vendigt for leveringen af en væsentlig tjeneste.
5) Modstandsdygtighed: En kritisk enheds evne til at fo-
rebygge, beskytte mod, reagere på, modstå, afbøde,
absorbere, tilpasse sig og sikre genopretning efter en
hændelse.
6) Risiko: Potentialet for tab eller forstyrrelse som følge
af en hændelse, der skal udtrykkes som en kombination
af størrelsen af et sådant tab eller en sådan forstyrrelse
og sandsynligheden for, at hændelsen indtræffer.
7) Risikovurdering: Den samlede proces med henblik på
at bestemme arten og omfanget af en risiko ved at
identificere og analysere potentielle relevante trusler,
sårbarheder og farer, der kunne føre til en hændelse, og
ved at evaluere det potentielle tab eller den potentielle
forstyrrelse af leveringen af en væsentlig tjeneste forår-
saget af denne hændelse.
8) Væsentlig tjeneste: En tjeneste, der er afgørende for
opretholdelsen af vitale samfundsmæssige funktioner,
økonomiske aktiviteter, folkesundhed, offentlig sikker-
hed eller miljøet.
Lovforslag nr. L 140 Folketinget 2024-25
Min. for Samfundssikkerhed og Beredskab, j.nr. 2025-78
DL000007
Kapitel 2
Kritiske enheder
Identifikation af kritiske enheder
§ 3. Vedkommende minister træffer afgørelse om identi-
fikation og afidentifikation af kritiske enheder, der er om-
fattet af enhedskategorierne i lovens bilag, og opstiller en
liste over de kritiske enheder, der er blevet identificeret. Li-
sten over identificerede kritiske enheder skal gennemgås og
ajourføres, hvor det er nødvendigt, dog mindst hvert fjerde
år.
Stk. 2. Ved identifikation af kritiske enheder lægges der
vægt på følgende:
1) Den nationale strategi for styrkelse af kritiske enheders
modstandsdygtighed.
2) Den nationale risikovurdering med henblik på identifi-
kation af kritiske enheder.
3) Om enheden leverer en eller flere væsentlige tjenester.
4) Om enheden opererer i og har sin kritiske infrastruktur
beliggende på dansk territorium.
5) Om en hændelse vil have betydelig forstyrrende virk-
ning, jf. stk. 3, på enhedens levering af en eller flere
væsentlige tjenester eller på leveringen af andre væ-
sentlige tjenester i sektorer omfattet af CER-direktivet,
som er afhængige af denne eller disse væsentlige tjene-
ster.
Stk. 3. Ved fastlæggelse af, om en hændelse vil have
betydelig forstyrrende virkning, jf. stk. 2, nr. 5, lægges der
vægt på følgende:
1) Antal brugere, der er afhængige af den væsentlige tje-
neste, som udbydes af den berørte enhed.
2) Omfanget af andre sektorers og delsektorers afhængig-
hed af den pågældende væsentlige tjeneste.
3) Den indvirkning, som hændelser kan have med hensyn
til omfang og varighed på økonomiske og samfunds-
mæssige aktiviteter, miljøet, den offentlige sikkerhed
eller befolkningens sundhed.
4) Enhedens markedsandel på markedet for den eller de
berørte væsentlige tjenester.
5) Det geografiske område, der kan blive berørt af en
hændelse, herunder eventuel grænseoverskridende ind-
virkning.
6) Enhedens betydning med hensyn til at opretholde et
tilstrækkeligt niveau for den væsentlige tjeneste under
hensyntagen til tilgængelighed af alternative måder at
levere denne væsentlige tjeneste på.
Stk. 4. Vedkommende minister kan kræve, at en enhed
fremlægger materiale og oplysninger, der er nødvendige
for stillingtagen til, hvorvidt denne skal identificeres som
kritisk.
Stk. 5. Vedkommende minister orienterer inden for én
måned efter identifikation efter stk. 1 den kritiske enhed om
dennes forpligtelser, og om fra hvilken dato forpligtelserne
finder anvendelse. Lovens §§ 6-9 finder herefter anvendelse
ti måneder efter, at den kritiske enhed har modtaget en sådan
orientering.
Stk. 6. Ministeren for samfundssikkerhed og beredskab
kan fastsætte nærmere regler om identifikation af kritiske
enheder efter stk. 1, og hvad der forstås ved en hændelses
betydelige forstyrrende virkning efter stk. 3 i en given sek-
tor.
Kritiske enheder af særlig europæisk betydning
§ 4. Enheder betragtes som kritiske enheder af særlig
europæisk betydning, hvis
1) enheden er identificeret som kritisk enhed efter § 3,
2) enheden leverer de samme eller lignende væsentlige
tjenester til eller i seks eller flere EU-medlemsstater, og
3) enheden gennem den relevante, kompetente myndighed
har modtaget en underretning fra Kommissionen om,
at den anses som kritisk enhed af særlig europæisk
betydning.
Stk. 2. Kritiske enheder skal underrette den relevante
kompetente myndighed, såfremt de leverer væsentlige tjene-
ster til eller i seks eller flere EU-medlemsstater. Enhederne
skal i den forbindelse oplyse, hvilke væsentlige tjenester de
leverer, samt hvilke EU-medlemsstater tjenesterne leveres til
eller i.
Stk. 3. Den relevante kompetente myndighed underretter
uden unødigt ophold en kritisk enhed om, at den anses som
en kritisk enhed af særlig europæisk betydning og om dens
forpligtelser efter § 16, herunder fra hvilken dato disse fin-
der anvendelse.
Kritiske enheders risikovurdering
§ 5. Kritiske enheder skal foretage en risikovurdering
med henblik på at vurdere alle relevante risici, der kan for-
styrre leveringen af deres væsentlige tjenester.
Stk. 2. Risikovurderingen skal foretages på grundlag af
den nationale risikovurdering og andre relevante informati-
onskilder, og den skal tage højde for alle relevante naturlige
og menneskeskabte risici, der kan føre til en hændelse. Risi-
kovurderingen skal tage hensyn til, i hvilket omfang andre
sektorer nævnt i lovens bilag afhænger af den kritiske en-
heds væsentlige tjeneste. Risikovurderingen skal endvidere
tage hensyn til, i hvilket omfang den kritiske enhed afhæn-
ger af væsentlige tjenester, der leveres af enheder i andre
sektorer omfattet af lovens bilag, herunder i andre lande.
Stk. 3. Risikovurderingen nævnt i stk. 1, skal være foreta-
get ni måneder efter, at den kritiske enhed har modtaget en
orientering i medfør af § 3, stk. 5, 1. pkt. Risikovurderingen
skal opdateres, når det er nødvendigt, og mindst hvert fjerde
år.
Stk. 4. Vedkommende minister kan efter forhandling med
ministeren for samfundssikkerhed og beredskab fastsætte
nærmere regler om kritiske enheders risikovurdering.
Kritiske enheders modstandsdygtighedsforanstaltninger
§ 6. Kritiske enheder skal træffe passende og forholds-
mæssige tekniske, sikkerhedsmæssige og organisatoriske
foranstaltninger for at sikre enhedernes modstandsdygtighed
på grundlag af den nationale risikovurdering og den kritiske
2
enheds egen risikovurdering, herunder foranstaltninger, der
er nødvendige for at
1) forhindre hændelser i at indtræffe under behørig hen-
syntagen til katastroferisikoreduktions- og klimatilpas-
ningsforanstaltninger,
2) sikre tilstrækkelig fysisk beskyttelse af enhedens loka-
ler og kritiske infrastruktur under behørig hensyntagen
til f.eks. hegn, barrierer, værktøjer og rutiner til over-
vågning af perimetre, detektionsudstyr og adgangskon-
trol,
3) reagere på, modstå og afbøde følgerne af hændelser
under behørig hensyntagen til gennemførelsen af risi-
ko- og krisestyringsprocedurer, risiko- og krisestyrings-
protokoller samt varslingsrutiner,
4) sikre genopretning efter hændelser under behørig hen-
syntagen til foranstaltninger vedrørende forretnings-
kontinuitet og identifikation af alternative forsynings-
kæder for at genoptage leveringen af væsentlige tjene-
ster,
5) sikre passende medarbejdersikkerhedsstyring under be-
hørig hensyntagen til foranstaltninger såsom fastsættel-
se af kategorier af eget og eksternt personale, der udø-
ver kritiske funktioner, fastlæggelse af adgangsrettighe-
der til lokaler, kritisk infrastruktur og følsomme oplys-
ninger, fastsættelse af procedurer for baggrundskontrol,
jf. § 9, og udpegelse af kategorier af personer, som er
forpligtet til at gennemgå en sådan baggrundskontrol,
samt fastlæggelse af passende uddannelseskrav og kva-
lifikationer og
6) øge bevidstheden blandt det relevante personale om de
foranstaltninger og hensyn, der er beskrevet i nr. 1-5,
under behørig hensyntagen til kurser, informationsma-
teriale og øvelser.
Stk. 2. Kritiske enheder skal have og anvende en plan for
modstandsdygtighed, der beskriver, hvilke foranstaltninger
der er truffet i henhold til stk. 1.
Stk. 3. Vedkommende minister kan efter forhandling med
ministeren for samfundssikkerhed og beredskab fastsætte
nærmere regler om kritiske enheders modstandsdygtigheds-
foranstaltninger.
Kritiske enheders oplysnings- og underretningspligter
§ 7. Kritiske enheder skal udpege en kontaktperson og
meddele dennes relevante kontaktoplysninger til den rele-
vante kompetente myndighed. Den kritiske enhed skal un-
derrette den kompetente myndighed om ændringer i kon-
taktoplysningerne.
§ 8. Kritiske enheder skal underrette den relevante kom-
petente myndighed om hændelser, der i betydelig grad for-
styrrer eller har potentiale til i betydelig grad at forstyrre
leveringen af enhedens væsentlige tjenester.
Stk. 2. Ved vurdering af en forstyrrelses omfang indgår
navnlig
1) antallet og andelen af brugere, der er berørt af forstyr-
relsen,
2) forstyrrelsens varighed og
3) det geografiske område, der er berørt af forstyrrelsen,
idet der tages hensyn til, om det er et geografisk isole-
ret område.
Stk. 3. Underretninger efter stk. 1 skal indeholde alle til-
gængelige oplysninger, der er nødvendige for, at den kom-
petente myndighed kan forstå hændelsens art, årsag og muli-
ge konsekvenser, herunder alle tilgængelige oplysninger, der
er nødvendige for at fastslå hændelsens eventuelle grænseo-
verskridende indvirkning.
Stk. 4. Underretningen skal ske uden unødigt ophold
og, medmindre det operationelt ikke er muligt, senest 24
timer efter, at den kritiske enhed er blevet opmærksom på
hændelsen. Den kritiske enhed skal på anmodning fra den
kompetente myndighed sende en detaljeret rapport til den
kompetente myndighed senest én måned efter hændelsen.
Stk. 5. Den kompetente myndighed giver snarest muligt
efter modtagelse af en underretning efter stk. 1 den berørte
kritiske enhed relevante opfølgende oplysninger, herunder
oplysninger, som kan understøtte en effektiv reaktion fra den
kritiske enhed på den pågældende hændelse.
Stk. 6. Den kompetente myndighed kan orientere offent-
ligheden om en hændelse, hvis det vil være i offentlighedens
interesse.
Stk. 7. Vedkommende minister kan efter forhandling med
ministeren for samfundssikkerhed og beredskab fastsætte
nærmere regler om vurderingen af en forstyrrelses omfang
efter stk. 2 og de oplysninger, der skal indgå i en underret-
ning efter stk. 3.
Baggrundskontrol af personer
§ 9. Vedkommende minister fastsætter efter forhandling
med justitsministeren nærmere regler om, på hvilke betin-
gelser kritiske enheder i behørigt begrundede tilfælde og
under hensyn til den nationale risikovurdering hos den kom-
petente myndighed kan få foretaget baggrundskontrol af
personer, der opfylder én af følgende betingelser:
1) Personen varetager følsomme opgaver i eller til fordel
for en kritisk enhed, navnlig vedrørende den kritiske
enheds modstandsdygtighed.
2) Personen er bemyndiget til at få direkte adgang eller
fjernadgang til den kritiske enheds lokaler, oplysninger
eller kontrolsystemer, herunder i forbindelse med den
kritiske enheds sikkerhed.
3) Personen overvejes ansat i stillinger, der indebærer op-
gavevaretagelse efter nr. 1 eller bemyndigelse efter nr.
2.
Kapitel 3
Videregivelse af oplysninger og digital kommunikation
§ 10. De relevante myndigheder kan videregive oplysnin-
ger til andre medlemsstaters myndigheder og til institutioner
i Den Europæiske Union for at varetage de opgaver, som
følger af denne lov eller regler udstedt i medfør af loven.
§ 11. De forpligtelser, der er fastsat i denne lov eller i
regler udstedt i medfør af loven, omfatter ikke meddelelse af
oplysninger, hvis videregivelse ville stride mod væsentlige
3
interesser af hensyn til den nationale sikkerhed, offentlige
sikkerhed eller forsvar.
Stk. 2. Oplysninger, der modtages eller hidrører fra myn-
digheder i andre EU-medlemsstater, behandles som fortroli-
ge, såfremt den relevante myndighed er blevet oplyst om,
at den afgivende myndighed betragter oplysningerne som
fortrolige i henhold til EU-regler eller nationale regler.
§ 12. Ministeren for samfundssikkerhed og beredskab kan
fastsætte regler om digital kommunikation, herunder om an-
vendelsen af bestemte it-systemer, særlige digitale formater
og digital signatur samt fritagelse fra digital kommunikation
eller lignende.
Kapitel 4
Tilsyn og håndhævelse mv.
§ 13. Ministeren for samfundssikkerhed og beredskab
fastsætter efter forhandling med vedkommende minister reg-
ler om hvilken myndighed, der skal varetage funktionen
som kompetent myndighed inden for en given sektor eller
delsektor som nævnt i lovens bilag.
Stk. 2. Ministeren for samfundssikkerhed og beredskab
kan fastsætte nærmere regler om koordinering, ansvar og
udveksling af oplysninger mellem de kompetente myndig-
heder og Ministeriet for Samfundssikkerhed og Beredskab,
herunder i forhold til hændelsesunderretning efter § 8, vi-
deregivelse af oplysninger efter §§ 10 og 11 og tilsyn og
håndhævelse efter dette kapitel.
§ 14. Den kompetente myndighed fører på sit område
tilsyn med kritiske enheders overholdelse af denne lov og
regler udstedt i medfør af loven. Den kompetente myndig-
hed kan som led i dette tilsyn
1) uden retskendelse og mod behørig legitimation foreta-
ge inspektioner på stedet af den kritiske infrastruktur
og de lokaler, som den kritiske enhed anvender til at
levere sine væsentlige tjenester, og eksternt tilsyn med
de foranstaltninger, som kritiske enheder har truffet i
overensstemmelse med § 6,
2) foretage en audit af en kritisk enhed eller stille krav
om, at enheden får et kvalificeret, uafhængigt organ
til at foretage denne, og at resultaterne heraf stilles til
rådighed for den kompetente myndighed,
3) kræve at få udleveret oplysninger, der er nødvendige
for at vurdere, hvorvidt de modstandsdygtighedsforan-
staltninger, som den berørte enhed har indført, opfylder
kravene i § 6,
4) kræve at få adgang til data, dokumenter og oplysninger,
der er nødvendige for udførelsen af tilsynsopgaven, og
5) kræve at få udleveret dokumentation for faktisk gen-
nemførelse af modstandsdygtighedsforanstaltninger,
herunder resultaterne af en audit.
Stk. 2. Ved anvendelsen af tiltagene i stk. 1, nr. 3-5, skal
den kompetente myndighed angive formålet med tiltaget og
præcisere hvilke oplysninger, der kræves udleveret.
Stk. 3. Den kompetente myndighed kan stille krav til,
hvordan og i hvilken form oplysningerne og materialet
nævnt i stk. 1, nr. 3-5, skal afgives.
§ 15. Den kompetente myndighed kan påbyde en kritisk
enhed at træffe nødvendige og forholdsmæssige foranstalt-
ninger for at afhjælpe en konstateret overtrædelse af loven
eller regler fastsat i medfør af loven.
§ 16. Kritiske enheder af særlig europæisk betydning,
jf. § 4, skal give rådgivende EU-delegationer adgang til
oplysninger, systemer og faciliteter, der vedrører levering
af deres væsentlige tjenester, og som er nødvendige for at
gennemføre den pågældende rådgivende aktivitet.
Kapitel 5
Straf
§ 17. Med bøde straffes den, der
1) overtræder § 4, stk. 2, § 5, stk. 1, 2 eller 3, 2. pkt., § 6,
stk. 1 eller 2, § 7, § 8, stk. 1, 3 eller 4, eller § 16,
2) undlader at efterkomme krav efter § 3, stk. 4, eller §
14, stk. 1, nr. 2-5, eller stk. 3,
3) undlader at efterkomme påbud efter § 15, eller
4) hindrer den kompetente myndighed i at føre tilsyn efter
§ 14, stk. 1, nr. 1 eller 2.
Stk. 2. Der kan pålægges selskaber m.v. (juridiske person-
er) strafansvar efter reglerne i straffelovens 5. kapitel.
Stk. 3. I forskrifterne udstedt i medfør af loven kan der
fastsættes straf af bøde for overtrædelse af bestemmelser i
forskrifterne.
Kapitel 6
Ikrafttræden
§ 18. Loven træder i kraft den 1. juli 2025.
Kapitel 7
Territorialbestemmelse
§ 19. Loven gælder ikke for Færøerne og Grønland, men
kan ved kongelig anordning helt eller delvist sættes i kraft
for Færøerne og Grønland med de ændringer, som de hen-
holdsvis færøske og grønlandske forhold tilsiger. Lovens
bestemmelser kan sættes i kraft på forskellige tidspunkter.
4
Bilag 1
Sektorer, delsektorer og enhedskategorier
Sektor Delsektor Enhedskategori
1. Energi a) Elektricitet – Elektricitetsvirksomheder som define-
ret i artikel 2, nr. 57), i Europa-Par-
lamentets og Rådets direktiv (EU)
2019/944, der varetager funktionen
»levering« som defineret i nævnte di-
rektivs artikel 2, nr. 12)
– Distributionssystemoperatører som de-
fineret i artikel 2, nr. 29), i direktiv
(EU) 2019/944
– Transmissionssystemoperatører som
defineret i artikel 2, nr. 35), i direktiv
(EU) 2019/944
– Producenter som defineret i artikel 2,
nr. 38), i direktiv (EU) 2019/944
– Udpegede elektricitetsmarkedsoperatø-
rer som defineret i artikel 2, nr. 8), i
Europa-Parlamentets og Rådets forord-
ning (EU) 2019/943
– Markedsdeltagere som defineret i ar-
tikel 2, nr. 25), i forordning (EU)
2019/943, der leverer tjenester, der ve-
drører aggregering, fleksibelt elforbrug
eller energilagring som defineret i arti-
kel 2, nr. 18), 20) og 59), i direktiv
(EU) 2019/944
b) Fjernvarme og fjern-
køling
– Operatører af fjernvarme eller fjernkø-
ling som defineret i artikel 2, nr. 19), i
Europa-Parlamentets og Rådets direk-
tiv (EU) 2018/2001
c) Olie – Olierørledningsoperatører
– Operatører af olieproduktionsanlæg,
-raffinaderier og -behandlingsanlæg,
olielagre og olietransmission
– Centrale lagerenheder som defineret
i artikel 2, litra f), i Rådets direktiv
2009/119/EF
d) Gas – Forsyningsvirksomheder som defineret
i artikel 2, nr. 8), i Europa-Parlamen-
tets og Rådets direktiv 2009/73/EF
– Distributionssystemoperatører som de-
fineret i artikel 2, nr. 6), i direktiv
2009/73/EF
5
– Transmissionssystemoperatører som
defineret i artikel 2, nr. 4), i direktiv
2009/73/EF
– Lagersystemoperatører som defineret i
artikel 2 nr. 10), i direktiv 2009/73/EF
– LNG-systemoperatører som defineret i
artikel 2, nr. 12), i direktiv 2009/73/EF
– Naturgasvirksomheder som defineret i
artikel 2, nr. 1), i direktiv 2009/73/EF
– Operatører inden for naturgasraffina-
derier og -behandlingsanlæg
e) Brint – Operatører inden for brintproduktion,
-lagring og -transmission
2. Transport a) Luft – Luftfartsselskaber som defineret i ar-
tikel 3, nr. 4), i forordning (EF) nr.
300/2008, der anvendes til kommerci-
elle formål
– Lufthavnsdriftsorganer som defineret i
artikel 2, nr. 2), i Europa-Parlamentets
og Rådets direktiv 2009/12/EF, luft-
havne som defineret i nævnte direktivs
artikel 2, nr. 1), herunder de hovedluft-
havne, der er anført i afsnit 2 i bilag II,
til Europa-Parlamentets og Rådets for-
ordning (EU) nr. 1315/2013, og enhe-
der med tilknyttede anlæg i lufthavne
– Trafikledelses- og kontroloperatører,
der udøver flyvekontroltjenester som
defineret i artikel 2, nr. 1), i Euro-
pa-Parlamentets og Rådets forordning
(EF) nr. 549/2004
b) Jernbane – Infrastrukturforvaltere som defineret i
artikel 3, nr. 2), i Europa-Parlamentets
og Rådets direktiv 2012/34/EU
– Jernbanevirksomheder som defineret i
artikel 3, nr. 1), i direktiv 2012/34/EU
og operatører af servicefaciliteter som
defineret i nævnte direktivs artikel 3,
nr. 12)
c) Vand – Rederier, som udfører passager- og
godstransport ad indre vandveje, i høj-
søfarvand eller i kystnært farvand som
defineret for søtransport i bilag I til
forordning (EF) nr. 725/2004, bortset
fra de enkelte fartøjer, som drives af
disse rederier
6
– Driftsorganer i havne som defineret i
artikel 3, nr. 1), i direktiv 2005/65/EF,
herunder deres havnefaciliteter som
defineret i artikel 2, nr. 11), i forord-
ning (EF) nr. 725/2004, og enheder,
der driver anlæg og udstyr i havne
– Operatører af skibstrafiktjenester som
defineret i artikel 3, litra o), i Eu-
ropa-Parlamentets og Rådets direktiv
2002/59/EF
d) Vejtransport – Vejmyndigheder som defineret i artikel
2, nr. 12), i Kommissionens delegerede
forordning (EU) 2015/962, der er an-
svarlige for trafikledelseskontrol, med
undtagelse af offentlige enheder, for
hvilke trafikledelse eller drift af intelli-
gente transportsystemer er en ikkevæs-
entlig del af deres generelle aktivitet
– Operatører af intelligente transportsy-
stemer som defineret i artikel 4, nr.
1), i Europa-Parlamentets og Rådets
direktiv 2010/40/EU
e) Offentlig transport – Operatører af offentlig trafikbetjening
som defineret i artikel 2, litra d), i
Europa-Parlamentets og Rådets forord-
ning (EF) nr. 1370/2007
3. Bankvirksomhed – Kreditinstitutter som defineret i arti-
kel 4, nr. 1), i forordning (EU) nr.
575/2013
4. Finansiel markedsin-
frastruktur
– Operatører af markedspladser som de-
fineret i artikel 4, nr. 24), i direktiv
2014/65/EU
– Centrale modparter (CCP᾽er) som defi-
neret i artikel 2, nr. 1), i forordning
(EU) nr. 648/2012
5. Sundhed – Sundhedstjenesteydere som defineret i
artikel 3, litra g), i Europa-Parlamen-
tets og Rådets direktiv 2011/24/EU
– EU-referencelaboratorier som om-
handlet i artikel 15 i Europa-Parla-
mentets og Rådets forordning (EU)
2022/2371
– Enheder, der udfører forsknings- og
udviklingsaktiviteter vedrørende læge-
midler som defineret i artikel 1, nr.
2), i Europa-Parlamentets og Rådets
direktiv 2001/83/EF
7
6. Drikkevand – Leverandører og distributører af drik-
kevand som defineret i artikel 2, nr. 1),
litra a), i Europa-Parlamentets og Rå-
dets direktiv (EU) 2020/2184, bortset
fra distributører, for hvilke distribution
af drikkevand er en ikkevæsentlig del
af deres generelle aktivitet med distri-
bution af andre råvarer og varer
7. Spildevand – Virksomheder, der indsamler, bortskaf-
fer eller behandler byspildevand, hus-
spildevand eller industrispildevand
som defineret i artikel 2, nr. 1), 2) og
3), i Rådets direktiv 91/271/EØF, bort-
set fra virksomheder, for hvilke ind-
samling, bortskaffelse eller behandling
af byspildevand, husspildevand eller
industrispildevand er en ikkevæsentlig
del af deres generelle aktivitet
8. Digital infrastruktur – Udbydere af internetudvekslingspunk-
ter som defineret i artikel 6, nr. 18), i
direktiv (EU) 2022/2555
– DNS-tjenesteudbydere omhandlet i ar-
tikel 6, nr. 20), i direktiv (EU)
2022/2555, bortset fra operatører af
rodnavneservere
– topdomænenavneadministratorer som
defineret i artikel 6, nr. 21), i direktiv
(EU) 2022/2555
– Udbydere af cloudcomputingtjenester
som defineret i artikel 6, nr. 30), i di-
rektiv (EU) 2022/2555
– Udbydere af datacentertjenester som
defineret i artikel 6, nr. 31), i direktiv
(EU) 2022/2555
– Udbydere af indholdsleveringsnetværk
som defineret i artikel 6, nr. 32), i di-
rektiv (EU) 2022/2555
– Tillidstjenesteudbydere som defineret
i artikel 3, nr. 19), i Europa-Parlamen-
tets og Rådets forordning (EU) nr.
910/2014
– Udbydere af offentlige elektroniske
kommunikationsnet som defineret i ar-
tikel 2, nr. 8), i Europa-Parlamentets
og Rådets direktiv (EU) 2018/1972
– Udbydere af elektroniske kommunika-
tionstjenester i den i artikel 2, nr. 4), i
8
direktiv (EU) 2018/1972 anvendte be-
tydning, for så vidt deres tjenester er
offentligt tilgængelige
9. Offentlig forvaltning – Offentlige forvaltningsenheder under
den centrale forvaltning som defineret
af medlemsstaterne i overensstemmel-
se med national ret
10. Rummet – Operatører af jordbaseret infrastruktur,
der ejes, forvaltes og drives af med-
lemsstater eller private parter, og som
understøtter levering af rumbaserede
tjenester, undtagen udbydere af offent-
lige elektroniske kommunikationsnet
som defineret i artikel 2, nr. 8), i direk-
tiv (EU) 2018/1972
11. Produktion, tilvirk-
ning og distribution af
fødevarer
– Fødevarevirksomheder som defineret
i artikel 3, nr. 2), i Europa-Parlamen-
tets og Rådets forordning (EF) nr.
178/2002, der udelukkende beskæfti-
ger sig med logistik og engrosdistribu-
tion samt industriel produktion og til-
virkning i stor skala
9
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Indledning
2. Lovforslagets baggrund
2.1. Fra EPCIP-direktivet til CER-direktivet
2.2. Model for implementering af CER-direktivet
2.2.1. Lovgivningsmodel
2.2.2. Myndighedsstruktur
2.3. Sammenhængen med NIS 2-direktivet
2.4. EPCIP-direktivet
3. Lovforslagets hovedpunkter
3.1. Identifikation af kritiske enheder
3.1.1. Gældende ret
3.1.2. CER-direktivet
3.1.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser
3.1.4. Den foreslåede ordning
3.2. Kritiske enheders risikovurdering og modstandsdygtighedsforanstaltninger
3.2.1. Gældende ret
3.2.2. CER-direktivet
3.2.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser
3.2.4. Den foreslåede ordning
3.3. Kritiske enheders hændelsesunderretninger
3.3.1. Gældende ret
3.3.2. CER-direktivet
3.3.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser
3.3.4. Den foreslåede ordning
3.4. Baggrundskontrol
3.4.1. Gældende ret
3.4.2. CER-direktivet
3.4.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser
3.4.4. Den foreslåede ordning
3.5. Tilsyn og håndhævelse
3.5.1. Gældende ret
3.5.2. CER-direktivet
3.5.3. Ministeriet for Samfundssikkerhed og Beredskabs overvejelser
3.5.4. Den foreslåede ordning
10
4. Forholdet til databeskyttelsesforordningen og databeskyttelsesloven
5. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige
6. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
7. Administrative konsekvenser for borgerne
8. Klimamæssige konsekvenser
9. Miljø- og naturmæssige konsekvenser
10. Forholdet til EU-retten
11. Hørte myndigheder og organisationer m.v.
12. Sammenfattende skema
1. Indledning
Virksomheder og myndigheder, der som kritiske enheder
er leverandører af væsentlige tjenester, spiller en afgørende
rolle for opretholdelsen af vitale funktioner i det danske
samfund.
Det seneste årti har blandt andet budt på terrorhandlinger, en
sundhedskrise som følge af covid-19-pandemien og større
hybride angreb mod den kritiske infrastruktur. Desuden in-
debærer klimaforandringerne, at også ekstreme vejrforhold
fremover vil udgøre en øget trussel mod den kritiske infra-
struktur.
Endelig har Ruslands krig i Ukraine medvirket til at sæt-
te fokus på truslen fra spionage og sabotage mod europæ-
isk kritisk infrastruktur. Politiets Efterretningstjeneste (PET)
vurderer, at Rusland udviser en højere risikovillighed i for-
hold til at gøre brug af hybride virkemidler mod og i Euro-
pa, og at der derfor er en skærpet trussel fra fysisk sabotage
i Danmark. De russiske efterretningstjenester indhenter lø-
bende oplysninger om kritisk infrastruktur i vestlige lande,
herunder Danmark, og det er sandsynligt, at Rusland også
har planer for sabotage af kritisk infrastruktur i bl.a. Dan-
mark, som kan aktiveres i tilfælde af en eskalerende kon-
flikt. Af FE’s UDSYN 2024 fremgår det, at konsekvenserne
af krigen i Ukraine er kommet tættere på Danmark. Det
kommer til udtryk ved, at truslen fra russisk sabotage er
øget, ikke mindst mod mål med forbindelse til dansk støtte
til Ukraine. Rusland har i løbet af Ukraine-krigen udvist en
stigende risikovillighed og parathed til at anvende offensive
hybride virkemidler i vestlige lande. Dette er f.eks. kommet
til udtryk i forbindelse med russisk sabotage mod mål i Ves-
ten. Det er sandsynligt, at Rusland løbende planlægger og
forbereder sabotageaktioner mod udvalgte mål i Danmark
og i andre europæiske lande.
Udviklingen i trusselsbilledet understreger, at vores samfund
er sårbart over for såvel menneskeskabte kriser som naturka-
tastrofer m.v. Denne sårbarhed øges yderligere af den vok-
sende indbyrdes afhængighed mellem samfundets forskelli-
ge sektorer.
Det er derfor af afgørende betydning, at kritiske enheder
arbejder struktureret med at forebygge, beskytte sig mod,
reagere på, håndtere og sikre genopretning efter kriser og
katastrofer for at sikre kontinuitet i samfundsvigtige tjene-
ster og funktioner.
Behovet for at øge samfundets robusthed gør sig gældende
på tværs af EU, og det er baggrunden for, at der i EU-regi er
taget initiativ til at styrke kritiske enheders modstandsdyg-
tighed. Europa-Parlamentet og Rådet har således vedtaget
direktiv (EU) 2022/5557 af 14. december 2022 om kritiske
enheders modstandsdygtighed og om ophævelse af Rådets
direktiv 2008/114/EF (CER-direktivet).
CER-direktivet ophæver og erstatter Rådets direktiv
2008/114/EF af 8. december 2008 om indkredsning og ud-
pegning af europæisk kritisk infrastruktur i energi- og trans-
portsektoren (EPCIP-direktivet). CER-direktivet har til for-
mål at styrke kritiske enheders modstandsdygtighed, så de
er bedre i stand til at håndtere risici, som kan føre til forstyr-
relse i leveringen af væsentlige tjenester. Direktivet omfatter
kritiske enheder inden for en række samfundsvigtige sekto-
rer, som bl.a. omfatter energi, transport, bankvirksomhed,
sundhed, drikke- og spildevand, digital infrastruktur og den
offentlige forvaltning.
CER-direktivet pålægger bl.a. medlemsstaterne at identifi-
cere kritiske enheder, udarbejde nationale strategier for
styrkelse af de kritiske enheders modstandsdygtighed og
udarbejde risikovurderinger på nationalt niveau. Samtidig
stiller CER-direktivet krav om, at medlemsstaterne skal sik-
re, at kritiske enheder træffer foranstaltninger til at sikre
modstandsdygtighed, ligesom direktivet fastsætter en række
pligter til at foretage underretning af myndighederne om
hændelser, der forstyrrer eller har potentiale til at forstyrre
leveringen af væsentlige tjenester. Herudover fastsætter di-
rektivet krav til tilsynet med de kritiske enheders efterlevel-
se af reguleringen.
Med dette lovforslag foreslås, at direktivet implementeres
gennem en hovedlov, som vil skulle finde anvendelse på
tværs af de sektorer, der er omfattet af direktivet. Dermed
vil der blive skabt en fælles lovgivningsmæssig ramme til
gavn for de enheder, der omfattes af lovgivningen, og de
myndigheder, der skal anvende lovgivningen.
11
Der lægges desuden op til, at loven suppleres af bekendt-
gørelser og i nogle tilfælde sektorspecifikke bekendtgørel-
ser. Der vil således være mulighed for en sektorvis udmønt-
ning af de centrale krav til bl.a. modstandsdygtighedsforan-
staltninger, som kan skabe en klarere ramme for de berørte
enheder, samtidig med, at der vil kunne tages højde for
særlige sektorvise forhold. Anvendelsen af modellen med en
tværgående hovedlov, der kan suppleres af bekendtgørelser
og sektorvise bekendtgørelser, vil i øvrigt sikre, at der i
nødvendigt omfang kan ske hurtig ændring af reglerne på
baggrund af eksempelvis ændringer i risiko- og trusselsbille-
det for den pågældende sektor.
Anvendelsesområdet for den foreslåede hovedlov omfatter
alle de sektorer, der fremgår af lovens bilag med undtagelse
af energisektoren. Implementeringen af CER-direktivet for
energisektoren sker gennem forslag til lov om styrket bered-
skab i energisektoren, som blev fremsat af Klima-, Energi-
og Forsyningsministeriet den 4. december 2024.
2. Lovforslagets baggrund
2.1. Fra EPCIP-direktivet til CER-direktivet
CER-direktivet ophæver og erstatter EPCIP-direktivet, der
indeholdt en procedure for udpegning af europæisk kritisk
infrastruktur i energi- og transportsektorerne, hvis forstyrrel-
se eller ødelæggelse ville få betydelig grænseoverskridende
indvirkning på mindst to medlemsstater.
Efter EPCIP-direktivet skulle ejeren eller operatøren af in-
frastruktur på transport- og energiområdet, der blev udpeget
som europæisk kritisk infrastruktur, sikre, at infrastrukturen
var beskyttet. Der blev bl.a. stillet krav om, at der skulle
udarbejdes en sikkerhedsplan for infrastrukturen, som skulle
koordineres med øvrige beredskabsplaner efter anden bered-
skabslovgivning, og der skulle udnævnes en sikkerhedsoffi-
cer og en beredskabskontakt.
Der var ikke udpeget kritisk infrastruktur af europæisk be-
tydning i Danmark efter EPCIP-direktivet.
Europa-Kommissionen gennemførte i 2019 en evaluering af
EPCIP-direktivet, som viste, at på grund af den stadig mere
indbyrdes forbundne og grænseoverskridende karakter af
operationer, der anvender kritisk infrastruktur, er beskyttel-
sesforanstaltninger vedrørende individuelle aktiver i sig selv
utilstrækkelige til at forhindre alle forstyrrelser. Evaluerin-
gen viste endvidere, at det var nødvendigt at ændre tilgan-
gen til sikring af, at der tages bedre hensyn til risici, at kriti-
ske enheders rolle og opgaver som leverandører af tjenester,
der er væsentlige for det indre markeds funktion, defineres
bedre og er sammenhængende, og at der vedtages EU-regler
for at styrke kritiske enheders modstandsdygtighed. Det blev
i den forbindelse konstateret, at kritiske enheder bør være
i stand til at styrke deres evne til at forebygge, beskytte
mod, reagere på, modstå, afbøde, absorbere, tilpasse sig til
og komme på fode igen efter hændelser, der har potentiale
til at forstyrre leveringen af væsentlige tjenester.
Formålet med CER-direktivet er på den baggrund at fastsæt-
te harmoniserede minimumsregler for at sikre leveringen
af væsentlige tjenester på det indre marked, styrke kritiske
enheders modstandsdygtighed og forberede det grænseover-
skridende samarbejde mellem kompetente myndigheder. Det
fremgår af CER-direktivets præambelbetragtning nr. 7, at
det er vigtigt, at disse regler er fremtidssikrede med hensyn
til udformning og gennemførelse, samtidig med at der gives
mulighed for den nødvendige fleksibilitet. Det er også afgø-
rende at forbedre kritiske enheders kapacitet til at levere
væsentlige tjenester i lyset af en række forskellige risici.
CER-direktivet fastsætter regler om bl.a. identifikation af
kritiske enheder, kritiske enheders risikovurdering og mod-
standsdygtighedsforanstaltninger, kritiske enheders mulig-
hed for at anmode om baggrundskontrol af visse personer,
kritiske enheders underretning om hændelser samt regler
om tilsyn og håndhævelse. Herudover stiller CER-direktivet
visse krav til medlemsstaterne om bl.a. udarbejdelse af nati-
onale strategier og risikovurderinger.
Det følger af artikel 26, stk. 1, i CER-direktivet, at direktivet
skulle være gennemført i dansk ret senest den 17. oktober
2024 og træde i kraft senest den 18. oktober 2024. Med
den foreslåede bestemmelse i § 18 vil loven dermed træde i
kraft den 1. juli 2025, og således lidt over ni måneder efter
direktivets implementeringsfrist. Den 28. november 2024
indledte EU-Kommissionen traktatbrudssager mod 23 med-
lemsstater, herunder Danmark, for ikke at have gennemført
CER-direktivet.
2.2. Model for implementering af CER-direktivet
2.2.1. Lovgivningsmodel
Kravene i CER-direktivet finder anvendelse for de 11 sekto-
rer, der er oplistet i direktivets bilag.
Ved implementeringen anser Ministeriet for Samfundssik-
kerhed og Beredskab det for væsentligt, at direktivets krav
målrettes og tilpasses de enkelte sektorers særlige forhold,
således at de omfattede enheder ikke pålægges unødvendige
byrder. Samtidig er det væsentligt, at der i videst muligt
omfang skabes ensartethed og koordination på tværs af de
omfattede sektorer, således at kritiske enheder som udgangs-
punkt identificeres på en ensartet måde, og at kritiske enhe-
der, der opererer i flere sektorer, ikke rammes af modsatret-
tede krav.
For at tage højde for disse hensyn vil implementeringen
af CER-direktivet tage udgangspunkt i sektoransvarsprincip-
pet, således at de enkelte ressortministerier bevarer deres
ansvar for sikring af modstandsdygtighed og tilsyn inden for
deres respektive sektorer, mens Ministeriet for Samfundssik-
kerhed og Beredskab tillægges en tværgående koordineren-
de rolle og får til opgave at facilitere et tæt samarbejde mel-
lem de ressortansvarlige myndigheder. Sektoransvaret vide-
reføres også for så vidt angår forsyningssikkerhed, herunder
myndighedernes ansvar for at sikre robuste forsyningskæder
til samfundsvigtige funktioner. Ministeriet for Samfundssik-
12
kerhed og Beredskab rådgiver og understøtter ressortmyn-
dighedernes arbejde med dette.
Implementeringen af CER-direktivet vil ske ved nærværen-
de forslag til hovedlov, som finder anvendelse på tværs af
10 ud af de 11 sektorer, der er omfattet af direktivets an-
vendelsesområde. Implementeringen af CER-direktivet for
energisektoren sker særskilt gennem forslag til lov om styr-
ket beredskab i energisektoren, som blev fremsat af Klima-,
Energi- og Forsyningsministeriet den 4. december 2024, idet
der for energisektoren allerede gælder en omfattende sektor-
specifik regulering af sikkerhed og beredskab.
Med lovforslaget bemyndiges de relevante ressortministre
på visse områder til at fastsætte nærmere regler i bekendt-
gørelsesform. Muligheden for nærmere udmøntning af vis-
se specifikke krav i bekendtgørelsesform har til formål at
give de relevante ressortministre mulighed for at udmønte
lovens krav i bekendtgørelser, såfremt særlige sektorspeci-
fikke forhold tilsiger det. Muligheden for at udstede sektor-
specifikke bekendtgørelser vil bl.a. sikre, at der i nødvendigt
omfang hurtigere kan gennemføres ændringer på baggrund
af eksempelvis den teknologiske udvikling eller ændringer i
trusselsbilledet inden for en given sektor.
For i videst muligt omfang at sikre ensartethed og koordina-
tion på tværs af de enkelte sektorer, vil bl.a. de nærmere reg-
ler om krav til kritiske enheders modstandsdygtighedsfor-
anstaltninger og kritiske enheders hændelsesunderretninger
skulle fastsættes af vedkommende minister efter forhandling
med ministeren for samfundssikkerhed og beredskab.
Ved gennemførelsen tages der således hensyn til, at det
er ressortministerierne og de sektoransvarlige myndigheder,
der med deres indgående kendskab til forholdene i de enkel-
te sektorer har de bedste forudsætninger for at vurdere, om
der konkret er behov for nærmere udmøntning af lovens
krav, således at implementeringen af direktivet udmøntes
på den måde, der er mest hensigtsmæssig for at styrke de
kritiske enheders modstandsdygtighed i de omfattede sekto-
rer. Samtidig tages der gennem kravet om forhandling med
Ministeriet for Samfundssikkerhed og Beredskab hensyn til,
at der i videst muligt omfang sikres ensartethed og koordi-
nation på tværs af de enkelte sektorer
Herudover lægger Ministeriet for Samfundssikkerhed og
Beredskab ved implementeringen af CER-direktivet vægt
på, at implementeringen sker i overensstemmelse med re-
geringens principper for implementering af erhvervsrettet
EU-regulering, hvorefter den nationale regulering som ud-
gangspunkt ikke bør gå videre end minimumskravene i
EU-reguleringen. Dermed pålægges danske virksomheder
ikke flere byrder som følge af implementeringen end andre
europæiske virksomheder. Samtidig lægger Ministeriet for
Samfundssikkerhed og Beredskab vægt på i videst muligt
omfang at foretage en direktivnær implementering.
2.2.2. Myndighedsstruktur
2.2.2.1. Nationale myndigheder og myndighedsansvar
Det følger af CER-direktivets artikel 9, stk. 1, at hver med-
lemsstat udpeger eller opretter en eller flere kompetente
myndigheder, der er ansvarlige for korrekt anvendelse, og
hvor det er nødvendigt, håndhævelse af reglerne fastsat i
CER-direktivet på nationalt plan.
Som led i implementeringen af direktivet i dansk ret vil
ministeren for samfundssikkerhed og beredskab efter for-
handling med de relevante ressortministre udpege en eller
flere kompetente myndigheder for de enkelte sektorer og
delsektorer. Disse vil fremgå af en bekendtgørelse udstedt af
Ministeriet for Samfundssikkerhed og Beredskab.
De kompetente myndigheder vil bl.a. have til opgave at
føre tilsyn med de kritiske enheders efterlevelse af reglerne,
håndhæve reglerne og støtte de kritiske enheder i at øge
deres modstandsdygtighed samt underrette Europa-Kommis-
sionen om kritiske enheder, som leverer tjenester til eller i
seks eller flere medlemsstater.
Det forudsættes, at der vil være en tæt koordination mellem
de kompetente myndigheder på tværs af ministerområder
i forbindelse med tilrettelæggelsen af tilsynsarbejdet, såle-
des at der i videst muligt omfang anlægges en fælles til-
gang. Dette vil særligt være relevant for tilsynet med enhe-
der, der måtte indgå i flere forskellige sektorer, og hvor der
potentielt er flere kompetente myndigheder, som skal føre
tilsyn med samme enhed. Det er på denne baggrund Mini-
steriet for Samfundssikkerhed og Beredskabs opfattelse, at
det i visse tilfælde vil være relevant og hensigtsmæssigt at
gennemføre fælles tilsynsbesøg. Det er endvidere Ministeri-
et for Samfundssikkerhed og Beredskabs vurdering, at der
i sådanne tilfælde bør være mulighed for at samarbejde om
tilsynsressourcer, eksempelvis i form af et fælles sekretariat,
således at de nødvendige kompetencer kan bringes i spil
på tværs af ministerområder. Det er samtidig Ministeriet
for Samfundssikkerhed og Beredskabs opfattelse, at der bør
være mulighed for at fastsætte nærmere regler om koordine-
ring, ansvar og udveksling af oplysninger mellem de kom-
petente myndigheder.
De kompetente myndigheder vil desuden have til opgave
at støtte kritiske enheder med at styrke deres modstands-
dygtighed. Det berører dog ikke de kritiske enheders eget
retlige ansvar for at sikre opfyldelse af forpligtelserne efter
direktivet. De kompetente myndigheders støtte til kritiske
enheder kan bl.a. omfatte udvikling af metoder, støtte til
tilrettelæggelse af øvelser for at afprøve kritiske enheders
modstandsdygtighed, og rådgivning og uddannelse af perso-
nale i kritiske enheder.
Det følger herudover af CER-direktivets artikel 9, stk. 2, at
hver medlemsstat skal udpege eller oprette et centralt kon-
taktpunkt til at varetage en forbindelsesfunktion med hen-
blik på at sikre grænseoverskridende samarbejde med andre
medlemsstaters centrale kontaktpunkter og med Gruppen for
Kritiske Enheders Modstandsdygtighed, jf. pkt. 2.2.2.2 ne-
denfor. Hvis det er relevant, kan en medlemsstat bestemme,
at dens centrale kontaktpunkt også udøver en forbindelses-
13
funktion med Europa-Kommissionen og sikrer samarbejde
med tredjelande.
Det forventes, at Styrelsen for Samfundssikkerhed vil vare-
tage opgaven som centralt kontaktpunkt og vil således skul-
le udøve en forbindelsesfunktion mellem de nationale kom-
petente myndigheder og andre medlemsstaters kompetente
myndigheder, og hvor det er relevant, Europa-Kommissio-
nen. Styrelsen for Samfundssikkerhed vil også kunne bistå
de kompetente myndigheder med eventuel dialog med tred-
jelande.
CER-direktivet forpligter desuden medlemsstaterne til at ud-
arbejde nationale strategier for styrkelse af kritiske enheders
modstandsdygtighed og medlemsstatsrisikovurderinger.
Som led i implementeringen af direktivet vil der derfor se-
nest den 17. januar 2026 blive vedtaget en national strategi
for styrkelse af kritiske enheders modstandsdygtighed, jf.
CER-direktivets artikel 4.
Det følger af CER-direktivets artikel 4, stk. 1, at den na-
tionale strategi skal bygge på relevante eksisterende nati-
onale og sektorspecifikke strategier, planer eller lignende
dokumenter, der indeholder strategiske mål og politikforan-
staltninger. Strategien skal udarbejdes med henblik på at
opnå og opretholde en høj grad af modstandsdygtighed i
kritiske enheder, og den skal mindst omfatte de af direktivet
omfattede sektorer. Strategien vil mindst skulle indeholde de
elementer, der er oplistet i CER-direktivets artikel 4, stk. 2:
»a) strategiske mål og prioriteter med henblik på at styrke
kritiske enheders overordnede modstandsdygtighed under
hensyntagen til grænseoverskridende og tværsektoriel af-
hængighed og indbyrdes afhængighed.
b) en forvaltningsramme for at nå de strategiske mål og pri-
oriteter, herunder en beskrivelse af roller og ansvarsområder
for de forskellige myndigheder, kritiske enheder og andre
parter, der er involveret i gennemførelsen af strategien.
c) en beskrivelse af de foranstaltninger, der er nødvendige
for at styrke kritiske enheders overordnede modstandsdyg-
tighed, herunder en beskrivelse af medlemsstatsrisikovurde-
ringen.
d) en beskrivelse af den proces, hvorved kritiske enheder
identificeres.
e) en beskrivelse af processen for støtte til kritiske enheder,
herunder foranstaltninger til styrkelse af samarbejdet mel-
lem den offentlige sektor på den ene side og den private
sektor og offentlige og private enheder på den anden side.
f) en liste over de vigtigste myndigheder og relevante inte-
ressenter, ud over kritiske enheder, der er involveret i gen-
nemførelsen af strategien.
g) en politikramme for koordinering mellem de kompetente
myndigheder i henhold til CER-direktivet og de kompetente
myndigheder i henhold til NIS 2-direktivet med henblik
på udveksling af oplysninger om cybersikkerhedsrisici, cy-
bertrusler og cyberhændelser og ikkecyberrisici, -trusler og
-hændelser samt udøvelse af tilsynsopgaver.
h) en beskrivelse af allerede indførte foranstaltninger, der
har til formål at lette opfyldelsen af forpligtelser i henhold
til dette direktivs kapitel III for små og mellemstore virk-
somheder i den i bilaget til Kommissionens henstilling
2003/361/EF om definitionen af mikrovirksomheder, små
og mellemstore virksomheder anvendte betydning, som den
pågældende medlemsstat har identificeret som kritiske enhe-
der.«
Den nationale strategi skal ajourføres mindst hvert fjerde år,
og den skal meddeles til Europa-Kommissionen inden tre
måneder efter, at den er vedtaget.
I Danmark vil der endvidere i overensstemmelse med CER-
direktivets artikel 5, senest den 17. januar 2026 være ud-
arbejdet en national risikovurdering (medlemsstatsrisikovur-
dering) med henblik på at kunne identificere kritiske enhe-
der. Risikovurderingen skal tage højde for de relevante na-
turlige og menneskeskabte risici, herunder af tværsektoriel
eller grænseoverskridende karakter. Risikovurderingen vil
således bl.a. skulle tage højde for risikoen for ulykker, na-
turkatastrofer, folkesundhedskriser samt hybride trusler eller
andre antagonistiske trusler, herunder terrorhandlinger.
Det følger af CER-direktivets artikel 5, stk. 1, at Europa-
Kommissionen er tillagt beføjelse til senest den 17. novem-
ber 2023 at vedtage en delegeret retsakt ved at udarbejde en
ikke-udtømmende liste over væsentlige tjenester i sektorerne
og delsektorerne, der er omfattet af direktivet, og at Euro-
pa-Kommissionens liste over væsentlige tjenester skal indgå
i medlemsstaternes risikovurdering. Europa-Kommissionen
har ved sin delegerede forordning (EU) 2023/2450 af 25.
juli 2023 til supplering af Europa-Parlamentets og Rådets
direktiv (EU) 2022/2557 opstillet en sådan ikke-udtømmen-
de liste over væsentlige tjenester.
Den nationale risikovurdering vil endvidere skulle leve op
til de nærmere krav, der følger af CER-direktivets artikel 5,
stk. 2, hvorefter den nationale risikovurdering mindst skal
tage hensyn til:
»a) den generelle risikovurdering, som foretages i henhold
til artikel 6, stk. 1, i afgørelse nr. 1313/2013/EU om styrkel-
se af forebyggelse af, opbygning af beredskab til og indsats
ved katastrofer i EU.
b) andre relevante risikovurderinger, der foretages i over-
ensstemmelse med kravene i de relevante sektorspecifikke
EU-retsakter, herunder Europa-Parlamentets og Rådets for-
ordning (EU) 2017/1938 af 25. oktober 2017 om foranstalt-
ninger til opretholdelse af gasforsyningssikkerheden og om
ophævelse af forordning (EU) nr. 994/2010, Europa-Parla-
mentets og Rådets forordning (EU) 2019/941 af 5. juni
2019 om risikoberedskab i elsektoren og om ophævelse af
direktiv 2005/89/EF, Europa-Parlamentets og Rådets direk-
tiv 2007/60/EF af 23. oktober 2007 om vurdering og styring
14
af risikoen for oversvømmelser og Europa-Parlamentets og
Rådets direktiv 2012/18/EU af 4. juli 2012 om kontrol med
risikoen for større uheld med farlige stoffer og om ændring
og efterfølgende ophævelse af Rådets direktiv 96/82/EF.
c) de relevante risici som følge af omfanget af afhængighed
mellem de sektorer, der er anført i bilaget, herunder som
følge af omfanget af afhængighed af enheder beliggende
i andre medlemsstater og tredjelande, og den indvirkning,
som en betydelig forstyrrelse i en sektor kan have på andre
sektorer, herunder eventuelle betydelige risici for borgerne
og det indre marked
d) eventuelle oplysninger om hændelser, der er underrettet
om i overensstemmelse med artikel 15.«
Den nationale risikovurdering skal ajourføres mindst hvert
fjerde år, og inden tre måneder efter, at den er vedtaget, skal
Europa-Kommissionen meddeles relevante oplysninger om
risikotyperne identificeret pr. sektor og delsektor omfattet af
lovens bilag.
Relevante elementer af den nationale risikovurdering skal
desuden stilles til rådighed for de kritiske enheder, da det
påhviler enhederne at tage udgangspunkt i risikovurderin-
gen, bl.a. i udarbejdelsen af enhedernes egne risikovurderin-
ger.
2.2.2.2. Samarbejdsforum i EU
Med CER-direktivets artikel 19 etableres i EU-regi samar-
bejdsforummet Gruppen for Kritiske Enheders Modstands-
dygtighed, hvor medlemsstaterne er repræsenteret sammen
med Europa-Kommissionen, der virker som formand.
Gruppen for Kritiske Enheders Modstandsdygtighed har
bl.a. til opgave at bistå Europa-Kommissionen i at under-
støtte medlemsstaternes implementering af CER-direktivet,
herunder i at styrke kritiske enheders modstandsdygtighed
og at identificere bedste praksis i forhold til udarbejdelsen af
nationale strategier m.v.
Ministeriet for Samfundssikkerhed og Beredskab er Dan-
marks repræsentanter i gruppen.
2.3. Sammenhængen med NIS 2-direktivet
CER-direktivet skal ses i sammenhæng med Europa-Parla-
mentets og Rådets direktiv (EU) 2022/2555 af 14. decem-
ber 2022 om foranstaltninger til sikring af et højt fælles
cybersikkerhedsniveau i hele Unionen, om ændring af for-
ordning (EU) nr. 910/2014 og om ophævelse af direktiv
(EU) 2016/1148 (NIS 2-direktivet).
NIS 2-direktivet har til formål at skabe et højere og mere
ensartet cybersikkerhedsniveau på tværs af medlemsstater-
ne, og direktivet omfatter – ud over sektorerne omfattet af
CER-direktivet – også en række yderligere sektorer.
NIS 2-direktivet stiller bl.a. cybersikkerhedskrav til væ-
sentlige og vigtige enheder inden for de omfattede sekto-
rer. Samtidig fastsættes en række oplysnings- og underret-
ningspligter over for myndighederne, herunder underretning
ved væsentlige hændelser, samt pligt til at oplyse enheder-
nes brugere om bl.a. væsentlige hændelser og eventuelle
modforholdsregler, som brugerne kan træffe. Direktivet styr-
ker desuden myndighedernes tilsyns- og håndhævelsesbe-
føjelser og indfører bl.a. mulighed for, at myndighederne
midlertidigt kan suspendere personer med ledelsesansvar i
enhederne.
Det følger af CER-direktivets artikel 1, stk. 2, at CER-direk-
tivet ikke finder anvendelse på spørgsmål, der er omfattet af
NIS 2-direktivet. Med andre ord er cybersikkerhed reguleret
særskilt i NIS 2-direktivet og undtages derfor fra CER-di-
rektivets anvendelsesområde. Henset til betydningen af cy-
bersikkerhed for kritiske enheders modstandsdygtighed, er
det dog i CER-direktivet forudsat, at der sker en koordineret
gennemførelse af CER- og NIS 2-direktiverne.
Sammenhængen mellem NIS 2-direktivet og CER-direktivet
understreges desuden af, at enheder, der er identificeret som
kritiske enheder i henhold til CER-direktivet, allerede af den
grund er omfattet af anvendelsesområdet for NIS 2-direkti-
vet, jf. NIS 2-direktivets artikel 2, stk. 3.
Ministeriet for Samfundssikkerhed og Beredskab fremsætter
samtidig med nærværende lovforslag et forslag til lov foran-
staltninger til sikring af et højt cybersikkerhedsniveau, som
har til formål at gennemføre NIS 2-direktivet på tværs af
en række sektorer. Ved implementeringen af henholdsvis
NIS 2- og CER-direktiverne anvendes der i vidt omfang
samme lovgivningsmodel i form af en hovedlov med til-
hørende bekendtgørelser og eventuelle sektorspecifikke be-
kendtgørelser. Det er Ministeriet for Samfundssikkerhed og
Beredskabs opfattelse, at der i mange sektorer vil være sam-
menfald mellem de udpegede kompetente myndigheder efter
henholdsvis NIS 2-direktivet og CER-direktivet. Det forud-
sættes derfor, at myndigheder med opgaver i medfør af de to
direktiver også i praksis vil koordinere på tværs.
2.4. EPCIP-direktivet
I Danmark var EPCIP-direktivet implementeret sektorvist i
regulering i henholdsvis energi- og transportsektorerne.
I energisektoren omfattede EPCIP-direktivet el-, gas- og
oliesektorerne. I disse sektorer var EPCIP-direktivet imple-
menteret ved bekendtgørelse nr. 11 af 7. januar 2011 om
identifikation og udpegning af europæisk kritisk infrastruk-
tur på energiområdet og vurdering af behovet for bedre
beskyttelse (EPCIP-direktivet). Bekendtgørelsen er udstedt
med hjemmel i lov om elforsyning, jf. lovbekendtgørelse nr.
1248 af 24. oktober 2023 med senere ændringer, lov om
gasforsyning, jf. lovbekendtgørelse nr. 1100 af 16. august
2023 med senere ændringer, lov om kontinentalsoklen og
visse rørledningsanlæg på søterritoriet, jf. lovbekendtgørel-
ser nr. 1189 af 21. september 2018, som ændret ved § 2
i lov nr. 744 af 13. juni 2023, offshoresikkerhedsloven, jf.
lovbekendtgørelse nr. 125 af 6. februar 2018, og oliebered-
15
skabsloven, lov nr. 354 af 24. april 2012. Bekendtgørelsen
fastsætter regler om procedurer for udpegning af europæisk
kritisk infrastruktur i energisektoren og beskyttelsesbehovet
for sådan infrastruktur. Der er ikke i dag udpeget infrastruk-
tur som europæisk kritisk infrastruktur på energiområdet.
Det bemærkes, at energisektoren ikke er omfattet af nærvæ-
rende lovforslags anvendelsesområde.
I transportsektorerne omfatter EPCIP-direktivet vej-, jernba-
ne- og havneområderne.
På vejområdet er direktivet implementeret ved bekendtgø-
relse nr. 7 af 6. januar 2011 om kritisk europæisk infrastruk-
tur på vejområdet (EPCIP-direktivet). Bekendtgørelsen er
udstedt med hjemmel i lov om offentlige veje, jf. lovbe-
kendtgørelse nr. 421 af 25. april 2023 med senere ændrin-
ger, og lov om private fællesveje, jf. lovbekendtgørelse nr.
422 af 25. april 2023 med senere ændringer. Det følger af
bekendtgørelsens § 2, at medlemsstaternes kompetence på
vejområdet udøves af Vejdirektoratet. Vejdirektoratet har ik-
ke i dag udpeget infrastruktur på vejområdet som europæisk
kritisk infrastruktur
På jernbaneområdet er direktivet implementeret ved be-
kendtgørelse nr. 1461 af 14. december 2010 om europæ-
isk kritisk infrastruktur på jernbaneområdet (EPCIP-direkti-
vet). Bekendtgørelsen er udstedt med hjemmel i jernbanelo-
ven, jf. lovbekendtgørelse nr. 1091 af 11. august 2023. Det
følger af bekendtgørelsens § 2, at medlemsstaternes kompe-
tence på jernbaneområdet udøves af Trafikstyrelsen. Trafik-
styrelsen har ikke i dag udpeget infrastruktur på jernbane-
området som europæisk kritisk infrastruktur.
På havneområdet er direktivet implementeret ved bekendt-
gørelse nr. 1726 af 22. december 2010 om europæisk kritisk
infrastruktur på havneområdet (EPCIP-direktivet). Bekendt-
gørelsen er udstedt med hjemmel i lov om havne, jf. lov-
bekendtgørelse nr. 116 af 24. januar 2024. Det følger af
bekendtgørelsens § 2, at medlemsstaternes kompetence på
havneområdet udøves af Kystdirektoratet. Kystdirektoratet
har ikke i dag udpeget infrastruktur på havneområdet som
europæisk kritisk infrastruktur.
Det bemærkes, at Transportministeriet særskilt vil forholde
sig til eventuel ophævelse af relevante lovbestemmelser
samt bekendtgørelser som følge af implementeringen af
CER-direktivet.
3. Lovforslagets hovedpunkter
3.1. Identifikation af kritiske enheder
3.1.1. Gældende ret
EPCIP-direktivet fastsatte en procedure for indkredsning og
udpegning af europæisk kritisk infrastruktur i energi- og
transportsektorerne, hvis forstyrrelse eller ødelæggelse ville
få betydelig grænseoverskridende indvirkning på mindst to
medlemsstater.
EPCIP-direktivet er i dansk ret implementeret sektorvist i
energi- og transportsektorerne, jf. nærmere herom i pkt. 2.4
ovenfor.
Der er ikke udpeget europæisk kritisk infrastruktur i Dan-
mark.
3.1.2 CER-direktivet
Med CER-direktivets artikel 27 ophæves EPCIP-direktivet.
Det følger af CER-direktivets artikel 6, stk. 1, at medlems-
staterne senest den 17. juli 2026 skal identificere kritiske
enheder i de sektorer og delsektorer, som er nævnt i bilaget
til direktivet.
Af direktivets bilag fremgår følgende sektorer: 1) energi
med delsektorerne a) elektricitet, b) fjernvarme og fjernkø-
ling, c) olie, d) gas og e) brint, 2) transport med delsektorer-
ne a) luft, b) jernbane, c) vand, d) vejtransport og e) offent-
lig transport, 3) bankvirksomhed, 4) finansiel markedsinfra-
struktur, 5) sundhed, 6) drikkevand, 7) spildevand, 8) digital
infrastruktur, 9) offentlig forvaltning, 10) rummet og 11)
produktion, tilvirkning og distribution af fødevarer.
Det fremgår videre af artikel 6, stk. 2, at der ved identifika-
tion af kritiske enheder skal tages hensyn til resultaterne
af den nationale risikovurdering og den nationale strategi,
samt at det skal indgå, om enheden leverer en eller flere
væsentlige tjenester, om enheden opererer og har sin kriti-
ske infrastruktur i den pågældende medlemsstat, samt om
en hændelse vil have betydelige forstyrrende virkninger på
enhedens levering af en eller flere væsentlige tjenester eller
på leveringen af andre væsentlige tjenester i sektorerne om-
fattet af direktivet, som er afhængige af denne eller disse
væsentlige tjenester.
Kriteriet i artikel 6, stk. 2, om, hvorvidt en hændelse har
væsentlige forstyrrende virkninger, er nærmere beskrevet i
CER-direktivets artikel 7, stk. 1. Det følger af bestemmel-
sen, at der ved stillingtagen til betydningen af en forstyrren-
de virkning, skal tages hensyn til følgende kriterier: 1) antal
brugere, der er afhængige af den væsentlige tjeneste, som
udbydes af den berørte enhed, 2) omfanget af andre omfatte-
de sektorers og delsektorers afhængighed af den pågældende
væsentlige tjeneste, 3) den indvirkning, som hændelser kun-
ne have med hensyn til omfang og varighed på økonomiske
og samfundsmæssige aktiviteter, miljøet, den offentlige sik-
kerhed eller befolkningens sundhed, 4) enhedens markeds-
andel på markedet for den berørte væsentlige tjeneste eller
de berørte væsentlige tjenester, 5) det geografiske område,
der kunne blive berørt af en hændelse, herunder eventuel
grænseoverskridende indvirkning, under hensyntagen til den
sårbarhed, som er forbundet med den grad af afsondrethed,
der kendetegner visse typer af geografiske områder, såsom
ø-regioner, afsidesliggende regioner eller bjergområder, og
6) enhedens betydning med hensyn til at opretholde et til-
strækkeligt niveau for den væsentlige tjeneste under hensyn-
tagen til tilgængelighed af alternative måder at levere denne
væsentlige tjeneste på.
16
Medlemsstaterne skal efter CER-direktivets artikel 6, stk. 3,
udarbejde en liste over identificerede kritiske enheder.
CER-direktivets artikel 6, stk. 3, fastsætter desuden bl.a.,
at kritiske enheder inden for én måned efter, at de er iden-
tificeret som kritiske, skal underrettes herom, og om de
forpligtelser identifikationen medfører. De kritiske enheder
skal endvidere underrettes om, fra hvilken dato forpligtelser-
ne finder anvendelse. Efter CER-direktivets artikel 6, stk.
3, finder direktivets kapitel III om kritiske enheders mod-
standsdygtighed – der bl.a. omhandler kritiske enheders ri-
sikovurdering og modstandsdygtighedsforanstaltninger, bag-
grundskontrol, og enhedernes underretning om hændelser
– anvendelse fra 10 måneder efter datoen for underretnin-
gen. Det fremgår dog særskilt af CER-direktivets artikel 12,
stk. 1, at kritiske enheder inden ni måneder efter datoen for
underretningen skal have foretaget deres risikovurdering.
Det følger af CER-direktivets artikel 17, stk. 2, at identifice-
rede kritiske enheder skal underrette den kompetente myn-
dighed, såfremt enheden leverer væsentlige tjenester til eller
i seks eller flere EU-medlemsstater. Enhederne skal i den
forbindelse oplyse, hvilke væsentlige tjenester de leverer,
samt hvilke EU-medlemsstater tjenesterne leveres til eller
i. Det følger videre af artikel 17, stk. 3, jf. stk. 2, 2. led, at
hvis Europa-Kommissionen på baggrund af en konsultation
med de relevante medlemsstater konstaterer, at den berørte
enhed leverer væsentlige tjenester til eller i seks eller flere
medlemsstater, så underretter den kompetente myndighed
enheden om, at den anses for at være en kritisk enhed af
særlig europæisk betydning.
Efter CER-direktivets artikel 1, stk. 6, finder direktivet ikke
anvendelse på offentlige forvaltningsenheder, som udfører
aktiviteter inden for national sikkerhed, offentlig sikkerhed,
forsvar eller retshåndhævelse, herunder efterforskning, af-
sløring og retsforfølgning af strafbare handlinger. Der skal
således ikke identificeres kritiske enheder blandt sådanne
offentlige forvaltningsenheder. Endvidere følger det af CER-
direktivets artikel 1, stk. 7, at medlemsstaterne kan beslutte,
at artikel 11 og kapitel III, IV og VI helt eller delvist ikke
finder anvendelse på specifikke kritiske enheder, der udfører
aktiviteter inden for national sikkerhed, offentlig sikkerhed,
forsvar eller retshåndhævelse, herunder efterforskning, af-
sløring og retsforfølgning af strafbare handlinger, eller som
udelukkende leverer tjenester til de offentlige forvaltnings-
enheder, der er omhandlet i nærværende artikels stk. 6.
3.1.3. Ministeriet for Samfundssikkerhed og Beredskabs
overvejelser
Ministeriet for Samfundssikkerhed og Beredskab har lagt
vægt på, at der foretages en direktivnær minimumsimple-
mentering. De sektorer, der foreslås omfattet, jf. lovens bi-
lag, svarer til de sektorer, som er omfattet af bilaget til CER-
direktivet. Det bemærkes dog, at energisektoren er undtaget
fra lovens anvendelsesområde, da disse er omfattet af lov
om styrket beredskab i energisektoren.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at CER-direktivets artikel 6, bør implementeres
ved, at de ressortansvarlige ministre inden for deres respek-
tive områder skal træffe afgørelse om, hvilke enheder, der
skal identificeres som kritiske.
Da de i direktivets artikel 6 nævnte kriterier har forholdsvis
kvalitativ og skønspræget karakter, er det ministeriets opfat-
telse, at ministeren for samfundssikkerhed og beredskab bør
have mulighed for i en bekendtgørelse at fastsætte nærmere
regler om identifikation af kritiske enheder samt om en væ-
sentlig enheds væsentlige virkning.
I reglerne vil det eksempelvis kunne være relevant at angive,
hvilke nærmere forhold, der vil blive inddraget i vurderin-
gen af, om en enhed skal identificeres som kritisk enhed,
herunder i lyset af den nationale strategi og -risikovurde-
ring. Endvidere vil det kunne være relevant at angive, hvilke
specifikke forhold, der vil blive inddraget i vurderingen af,
om en hændelse vil kunne have væsentlig forstyrrende virk-
ning på leveringen af en væsentlig tjeneste, herunder tærsk-
ler for antallet af brugere, den kritiske enheds markedsandel
og det relevante geografiske område.
Det bemærkes i den forbindelse, at det fremgår af CER-di-
rektivets artikel 7, stk. 2, litra c, at Europa-Kommissionen
efter identifikationen af kritiske enheder bl.a. skal oplyses
om eventuelle tærskler, der anvendes til at specificere et
eller flere af direktivets kriterier i artikel 7, stk. 1. Det sy-
nes således specifikt forudsat i direktivet, at det kan være
relevant at specificere tærskelværdier for vurderingen af be-
tydningen af en forstyrrende virkning.
Det følger desuden af CER-direktivets artikel 6, stk. 6, at
Europa-Kommissionen i samarbejde med medlemsstaterne
udarbejder henstillinger og ikke-bindende retningslinjer for
at bistå medlemsstaterne med at identificere kritiske enhe-
der. Disse henstillinger og retningslinjer vil i relevant om-
fang kunne indgå i fastsættelsen af nærmere regler om iden-
tifikationen af kritiske enheder.
3.1.4. Den foreslåede ordning
Det foreslås, at loven finder anvendelse på enheder, der er
omfattet af enhedskategorierne i lovens bilag, jf. dog den
foreslåede § 1, stk. 2-7.
Det foreslås endvidere, at vedkommende minister inden for
sit område træffer afgørelse om identifikation af kritiske en-
heder, der er omfattet af enhedskategorierne i lovens bilag,
og opstiller en liste over de kritiske enheder, der er blevet
identificeret.
Det foreslås desuden, at vedkommende minister vil kunne
træffe afgørelse om afidentificering, såfremt en enhed ikke
længere anses for at være en kritisk enhed, eksempelvis
fordi enhedens markedsandel er faldet.
Det bemærkes i den forbindelse, at vedkommende minister
i overensstemmelse med de almindelige forvaltningsretlige
17
principper om delegation vil kunne beslutte at delegere sin
kompetence til en underliggende myndighed, herunder en
udpeget kompetent myndighed.
Det foreslås, at der ved identifikation af en kritisk enhed
skal lægges vægt på 1) den nationale strategi for styrkelse
af kritiske enheders modstandsdygtighed, 2) den nationale
risikovurdering med henblik på identifikation af kritiske
enheder, 3) om enheden leverer en eller flere væsentlige
tjenester, 4) om enheden opererer i og har sin kritiske in-
frastruktur beliggende på dansk territorium og 5) om en
hændelse vil have betydelig forstyrrende virkning på enhe-
dens levering af en eller flere væsentlige tjenester eller på
leveringen af andre væsentlige tjenester i de sektorer, der
er omfattet af CER-direktivets bilag , som er afhængige af
denne eller disse væsentlige tjenester.
Ved fastlæggelse af, om en hændelse vil have betydelig for-
styrrende virkning, vil der skulle lægges vægt på en række
nærmere oplistede hensyn, herunder antallet af brugere, der
er afhængige af den væsentlige tjeneste, som udbydes af den
berørte enhed, og omfanget af andre sektorers og delsekto-
rers afhængighed af den pågældende væsentlige tjeneste.
Der vil endvidere skulle lægges vægt på den indvirkning,
som hændelser kan have med hensyn til omfang og varighed
på økonomiske og samfundsmæssige aktiviteter, miljøet,
den offentlige sikkerhed eller befolkningens sundhed, lige-
som der vil skulle lægges vægt på enhedens markedsandel
på markedet for den eller de berørte væsentlige tjenester,
det geografiske område, der kan blive berørt af en hændel-
se, herunder eventuel grænseoverskridende indvirkning og
enhedens betydning med hensyn til at opretholde et tilstræk-
keligt niveau for den væsentlige tjeneste under hensyntagen
til tilgængelighed af alternative måder at levere denne væ-
sentlige tjeneste på.
Med henblik på at kunne foretage denne vurdering foreslås
det, at vedkommende minister kan kræve, at enheder frem-
lægger materiale og oplysninger, der er nødvendige for stil-
lingtagen til, om en enhed skal identificeres som kritisk.
Det foreslås herudover, at vedkommende minister inden for
én måned efter identifikation af en kritisk enhed skal orien-
tere enheden om dens forpligtelser, samt om fra hvilken dato
forpligtelserne finder anvendelse. I praksis vil orienteringen
om den kritiske enheds forpligtelser typisk fremgå af den
afgørelse om identifikation af enheden, som vedkommende
minister træffer, og som vil skulle meddeles enheden for at
få retsvirkning.
Det foreslås desuden, at ministeren for samfundssikkerhed
og beredskab skal kunne fastsætte nærmere regler om identi-
fikation af kritiske enheder, herunder i lyset af den nationale
strategi og –risikovurdering samt om hvad der forstås ved
en hændelses betydelige forstyrrende virkning i en given
sektor. Ministeren for samfundssikkerhed og beredskab vil i
den forbindelse bl.a. kunne fastsætte regler for de forhold,
der kan inddrages i vurderingen af, om en hændelse vil kun-
ne have væsentlig forstyrrende virkning på leveringen af en
væsentlig tjeneste herunder antallet af brugere, den kritiske
enheds markedsandel og det relevante geografiske område.
De almindelige forvaltningsretlige regler og principper vil
være gældende, idet identifikation af en kritisk enhed vil
være en afgørelse i forvaltningsretlig forstand. Det medfører
bl.a., at en enhed vil kunne påklage en afgørelse om identifi-
kation eller afidentifikation som kritisk enhed til en højere
administrativ myndighed efter de almindelige forvaltnings-
retlige principper om administrativ rekurs.
I overensstemmelse med direktivets artikel 17 foreslås det,
at kritiske enheder, som leverer de samme eller lignende
væsentlige tjenester til eller i seks eller flere medlemsstater,
betragtes som kritiske enheder af særlig europæisk betyd-
ning. Med henblik på at kunne foretage denne vurdering,
vil kritiske enheder skulle underrette den kompetente myn-
dighed, såfremt de leverer væsentlige tjenester til eller i
seks eller flere EU-medlemsstater. Såfremt en kritisk enhed
på den baggrund identificeres som kritisk enhed af særlig
europæisk betydning, vil den kompetente myndighed uden
unødigt ophold skulle underrette enheden herom, samt om
dens forpligtelser efter den foreslåede § 17 og om fra hvil-
ken dato disse forpligtelser finder anvendelse.
Det bemærkes, at der vil være tale om en oplysningspligt
omfattet af lov om retssikkerhed ved forvaltningens anven-
delse af tvangsindgreb og oplysningspligter for så vidt angår
enhedens pligt til at fremlægge oplysninger og materiale,
der er nødvendig for stillingtagen til, om enheden identifice-
res som kritisk, og den kritiske enheds pligt til underrette
den kompetente myndighed, såfremt den leverer væsentlige
tjenester til eller i seks eller flere EU-medlemsstater. Dette
indebærer, at retten til ikke at inkriminere sig selv, jf. kapitel
4 i nævnte lov, skal overholdes. Det bemærkes dog, at det af
bemærkningerne til § 10 i lov om retssikkerhed ved forvalt-
ningernes anvendelse af tvangsindgreb og oplysningspligter
fremgår, at bestemmelsen om forbud mod selvinkriminering
ikke er til hindre for, at den mistænkte kan pålægges at give
(faktuelle) oplysninger, som er uden betydning for bedøm-
melsen af, hvorvidt den pågældende har begået en lovover-
trædelse, der kan medføre straf. Bestemmelserne vil således
ikke være til hinder for at anvende en oplysningspligt til at
kræve oplysninger om navn, adresse mv., jf. herved også
retsplejelovens § 750, hvorefter enhver på forlangende er
forpligtet til over for politiet at opgive navn, adresse og
fødselsdato. Der henvises til Folketingstidende 2003-04, til-
læg A, side 3097. Der vil med de foreslåede bestemmelser
være tale om oplysningspligter, som beskrevet ovenfor. Det
er derfor Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at kapitel 4 i lov om retssikkerhed ved forvaltnin-
gens anvendelse af tvangsindgreb og oplysningspligter alene
vil være relevant i praksis i yderst sjældne tilfælde.
Der henvises i øvrigt til bemærkningerne til de foreslåede §§
1, 3 og 4.
18
3.2. Kritiske enheders risikovurdering og modstandsdygtig-
hedsforanstaltninger
3.2.1. Gældende ret
EPCIP-direktivets artikel 5 fastsatte krav om, at operatører-
ne skulle udarbejde en sikkerhedsplan for deres del af den
europæiske kritiske infrastruktur i energi- og transportsekto-
rerne, hvis forstyrrelse eller ødelæggelse ville få betydelig
grænseoverskridende indvirkning på mindst to medlemssta-
ter.
Kravene til sikkerhedsplanen omfattede overordnet en for-
pligtelse til at identificere vigtige aktiver, gennemføre en ri-
sikoanalyse og etablere relevante sikkerhedsforanstaltninger
til sikring af den kritiske infrastruktur.
Sikkerhedsplanerne skulle indsendes til medlemsstaterne,
som i medfør af EPCIP-direktivets artikel 7, stk. 1, udarbej-
dede generelle risiko- og sårbarhedsanalyser for hver sektor.
EPCIP-direktivet var i dansk ret implementeret sektorvist i
energi- og transportsektorerne, jf. nærmere herom i pkt. 2.4
ovenfor.
Efter § 24 i beredskabsloven, jf. lovbekendtgørelse nr. 314
af 3. april 2017, gælder der en forpligtelse for de enkelte
ministre til inden for deres område hver især at planlægge
for opretholdelse og videreførelse af samfundets funktioner i
tilfælde af større ulykker og katastrofer.
Bestemmelserne i beredskabsloven om beredskabsplanlæg-
ning inden for den civile sektor er af generel karakter. De
forudsættes suppleret med lovgivning inden for de enkelte
ministerområder for at regulere særlige beredskabsmæssige
forhold m.v. på de pågældende områder. Det påhviler såle-
des efter den nuværende beredskabslovgivning de enkelte
ministre i overensstemmelse med sektoransvaret at sikre, at
lovgivning inden for de respektive ministerområder indehol-
der de fornødne bestemmelser til regulering af beredskabs-
mæssige forhold m.v. Heri indgår en pligt til inden for den
enkelte ministers område at vurdere behovet for beredskabs-
planlægning for enheder, der er nødvendige for opretholdel-
se og videreførelse af samfundets funktion.
Derudover kan vedkommende minister efter beredskabslo-
vens § 28, stk. 1, pålægge offentlige myndigheder og offent-
lige og private virksomheder at yde bistand ved planlægnin-
gen eller udførelsen af opgaver inden for beredskabet.
3.2.2 CER-direktivet
CER-direktivets artikel 12 indeholder overordnet en forplig-
telse for kritiske enheder til at foretage en risikovurdering
for at vurdere alle relevante risici, der kan forstyrre leve-
ringen af enhedens væsentlige tjenester. Risikovurderingen
skal foretages inden for ni måneder efter enhedens identifi-
kation som kritisk enhed, når det er nødvendigt efterfølgen-
de, og mindst hvert fjerde år.
Det følger af CER-direktivets artikel 12, stk. 2, at kritiske
enheders risikovurderinger bl.a. skal bygge på den nationale
risikovurdering og tage højde for alle relevante naturlige og
menneskeskabte risici, der kan føre til en hændelse. Derud-
over skal risikovurderingen tage hensyn til den gensidige
afhængighed, der kan bestå mellem den pågældende kritiske
enhed og andre kritiske enheder i samme eller andre sekto-
rer i andre medlemsstater og i tredjelande.
Har en kritisk enhed allerede foretaget andre risikovurderin-
ger eller udarbejdet dokumenter i henhold til forpligtelser
i andre retsakter, der er relevante for dens risikovurdering,
følger det af CER-direktivets artikel 2, stk. 2, kan den kriti-
ske enhed anvende sådanne vurderinger og dokumenter til at
opfylde forpligtelsen til at foretage en risikovurdering.
Kritiske enheders risikovurderinger skal sammen med den
nationale risikovurdering efter CER-direktivets artikel 13,
stk. 1, danne grundlaget for kritiske enheders passende og
forholdsmæssige tekniske, sikkerhedsmæssige og organisa-
toriske foranstaltninger for at sikre deres modstandsdygtig-
hed.
Modstandsdygtighedsforanstaltningerne skal efter direkti-
vets artikel 13, stk. 1, litra a - f omfatte foranstaltninger,
der er nødvendige for at a) forhindre hændelser i at indtræf-
fe under behørig hensyntagen til katastroferisikoreduktions-
og klimatilpasningsforanstaltninger, b) sikre tilstrækkelig fy-
sisk beskyttelse af enhedens lokaler og kritiske infrastruktur
under behørig hensyntagen til f.eks. hegn, barrierer, værktø-
jer og rutiner til overvågning af perimetre, detektionsudstyr
og adgangskontrol, c) reagere på, modstå og afbøde følgerne
af hændelser under behørig hensyntagen til gennemførelsen
af risiko- og krisestyringsprocedurer og -protokoller samt
varslingsrutiner, d) sikre genopretning efter hændelser under
behørig hensyntagen til forretningskontinuitetsforanstaltnin-
ger og identifikation af alternative forsyningskæder for at
genoptage leveringen af væsentlige tjenester, e) sikre pas-
sende medarbejdersikkerhedsstyring under behørig hensyn-
tagen til foranstaltninger såsom fastsættelse af kategorier
af personale, der udøver kritiske funktioner, fastlæggelse
af adgangsrettigheder til lokaler, kritisk infrastruktur og
følsomme oplysninger, fastlæggelse af procedurer for bag-
grundskontrol og udpegelse af kategorier af personer, som
er forpligtet til at gennemgå sådan baggrundskontrol, samt
fastlæggelse af passende uddannelseskrav og kvalifikationer,
og f) øge bevidstheden blandt det relevante personale om de
foranstaltninger, der er omhandlet i litra a - e, under behørig
hensyntagen til uddannelseskurser, informationsmateriale og
øvelser.
I relation til bestemmelsens litra e om fastsættelse af katego-
rier af personale, som udøver kritiske funktioner, følger det
af direktivet, at kritiske enheder skal tage hensyn til eksterne
tjenesteudbyderes personale.
CER-direktivets artikel 13, stk. 2, indebærer herudover, at
kritiske enheder skal beskrive de foranstaltninger, som de
træffer, i en plan for modstandsdygtighed eller i et eller flere
dokumenter, der svarer til en plan for modstandsdygtighed,
19
og anvende denne plan i praksis. Har kritiske enheder udar-
bejdet dokumenter eller truffet foranstaltninger i henhold til
forpligtelser i andre retsakter, der er relevante for foranstalt-
ningerne omhandlet i stk. 1, kan de anvende disse dokumen-
ter og foranstaltninger til at opfylde de krav, der er fastsat
heri.
Det følger af direktivets artikel 6, stk. 4, at bl.a. reglerne
om modstandsdygtighedsforanstaltninger finder anvendelse
fra ti måneder efter datoen for enhedens modtagelse af un-
derretning om at være identificeret som kritisk enhed.
Det følger af direktivets artikel 13, stk. 6, at Europa-Kom-
missionen vedtager gennemførelsesretsakter med henblik på
at fastsætte de nødvendige tekniske og metodiske specifika-
tioner vedrørende anvendelsen af de i artikel 13, stk. 1,
omhandlende modstandsdygtighedsforanstaltninger.
3.2.3. Ministeriet for Samfundssikkerhed og Beredskabs
overvejelser
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at CER-direktivets krav om kritiske enheders ri-
sikovurdering og modstandsdygtighedsforanstaltninger bør
implementeres således, at direktivets krav skrives ind i lo-
ven, således at der skabes en fælles ramme for kritiske
enheders risikovurdering og modstandsdygtighedsforanstalt-
ninger på tværs af de sektorer, der er omfattet af lovens
anvendelsesområde.
Det er endvidere Ministeriet for Samfundssikkerhed og
Beredskabs opfattelse, at de ansvarlige ressortministre bør
bemyndiges til efter forhandling med ministeren for sam-
fundssikkerhed og beredskab at konkretisere lovens generel-
le krav om risikovurderinger og modstandsdygtighedsforan-
staltninger, såfremt særlige sektorspecifikke hensyn tilsiger
dette. En sådan konkretisering bør ske i bekendtgørelses-
form med henblik på at sikre, at der løbende og smidigt
kan ske en tilpasning af kravene i takt med udviklingen
i trusselsbilledet eller eventuelle delegerede retsakter, som
Europa-Kommissionen måtte vedtage.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
vurdering, at den nærmere konkretisering i bekendtgørelser
skal ske efter forhandling med ministeren for samfundssik-
kerhed og beredskab, navnlig for i videst muligt omfang
at sikre ensartethed under hensyn til de sektorspecifikke
forhold.
3.2.4. Den foreslåede ordning
Det foreslås for det første, at kritiske enheder skal foretage
en risikovurdering med henblik på at vurdere alle relevante
risici, der kan forstyrre leveringen af deres væsentlige tjene-
ster.
Det foreslås, at risikovurderingen i overensstemmelse med
CER-direktivet skal foretages på grundlag af den nationale
risikovurdering og andre relevante informationskilder, og
den skal tage højde for alle relevante naturlige og menne-
skeskabte risici, der kan føre til en hændelse.
Risikovurderingen skal endvidere tage hensyn til det om-
fang, hvorvidt andre sektorer, anført i direktivets bilag, af-
hænger af den væsentlige tjeneste, der leveres af den kritiske
enhed. Derudover skal den kritiske enheds risikovurdering
tage hensyn til, hvorvidt den kritiske enhed er afhængig af
væsentlige tjenester, der leveres af enheder i sådanne andre
sektorer, herunder i nabomedlemsstater eller tredjelande.
Risikovurderingen skal efter den foreslåede § 5, stk. 3, 1.
pkt. være foretaget ni måneder efter, den kritiske enhed har
modtaget en orientering i medfør af § 3, stk. 5, 1. pkt.
Risikovurderingen skal opdateres, når det er nødvendigt, og
mindst hvert fjerde år.
Ved gennemførelse af en risikovurdering vil kritiske enheder
skulle anlægge en bred vurdering af, hvilke risici der kan
være relevante for den pågældende kritiske enhed. Ud over
den nationale risikovurdering vil enheden i relevant omfang
også skulle inddrage andre informationskilder.
Det foreslås i den forbindelse, at vedkommende minister
efter forhandling med ministeren for samfundssikkerhed og
beredskab inden for sit område kan fastsætte nærmere regler
om kritiske enheders risikovurdering, således at der under
hensyntagen til sektorspecifikke forhold kan ske en konkre-
tisering af kravene til enhedernes risikovurdering.
Med henblik på at sikre, at der ikke fastsættes indbyrdes
modsatrettede regler, vil en ressortministers eventuelle fast-
sættelse af regler om risikovurderinger inden for sektoren
skulle ske efter forhandling med ministeren for samfunds-
sikkerhed og beredskab. Dette skal også ses som led i Mini-
steriet for Samfundssikkerhed og Beredskabs koordinerende
rolle, hvor ministeriet skal sikre en tæt koordination og sam-
arbejde mellem tilsynsmyndighederne, herunder i forhold til
tilsyn og håndhævelse. Der henvises herom til afsnit 2.2.1
samt bemærkningerne til det foreslåede § 13, stk. 2.
Det foreslås for det andet, at kritiske enheder skal træffe
passende og forholdsmæssige tekniske, sikkerhedsmæssige
og organisatoriske foranstaltninger for at sikre deres mod-
standsdygtighed.
Foranstaltningerne vil skulle træffes på grundlag af den nati-
onale risikovurdering og den kritiske enheds egen risikovur-
dering.
I overvejelserne om, hvilke foranstaltninger det er nødven-
digt at træffe, vil det skulle indgå, hvilke foranstaltninger
der er nødvendige for at forhindre hændelser i at indtræffe,
for at sikre tilstrækkelig fysisk beskyttelse af enhedens loka-
ler og kritiske infrastruktur og for at reagere på, modstå og
afbøde følgerne af eller sikre genopretning efter hændelser.
Det vil endvidere skulle indgå hvilke foranstaltninger, der
er nødvendige for at sikre passende medarbejdersikkerheds-
styring eller for at øge bevidstheden blandt det relevante
20
personale om de modstandsdygtighedsforanstaltninger, der
i øvrigt er truffet. Det bemærkes, at den kompetente myn-
dighed som led i sin generelle vejledningsforpligtelse over
for enheder, vil kunne yde vejledning til omfattede enheder
vedrørende foranstaltninger.
Det foreslås endvidere, at kritiske enheder skal have og
anvende en plan eller lignende for modstandsdygtighed,
som beskriver, hvilke foranstaltninger den kritiske enhed har
truffet for at sikre sin modstandsdygtighed.
Modstandsdygtighedsforanstaltningerne og planen for mod-
standsdygtighed vil efter den foreslåede § 3, stk. 5, 2. pkt.,
skulle være gennemført ti måneder efter, at den kritiske
enhed har modtaget en orientering om at være identificeret
som en kritisk enhed.
Endelig foreslås det, at vedkommende minister efter for-
handling med ministeren for samfundssikkerhed og bered-
skab kan fastsætte nærmere regler om kritiske enheders
modstandsdygtighedsforanstaltninger, hvis sektorspecifikke
forhold tilsiger dette. Kravene vil herved løbende kunne til-
passes i forhold til de sektorspecifikke forhold, som gør sig
gældende på de respektive ministerområder. Sektoransvaret
er således også fortsat gældende.
Med henblik på at sikre, at der ikke fastsættes indbyrdes
modsatrettede regler, vil en ressortministers eventuelle fast-
sættelse af regler om modstandsdygtighedsforanstaltninger
inden for sektoren skulle ske efter forhandling med ministe-
ren for samfundssikkerhed og beredskab. Dette skal også
ses som led i Ministeriet for Samfundssikkerhed og Bered-
skabs koordinerende rolle, hvor ministeriet skal sikre en tæt
koordination og samarbejde mellem tilsynsmyndighederne,
herunder i forhold til tilsyn og håndhævelse. Der henvises
herom til afsnit 2.2.1 samt bemærkningerne til det foreslåe-
de § 13, stk. 2.
Såfremt Europa-Kommissionens gennemførelsesretsakter
om anvendelsen af modstandsdygtighedsforanstaltninger
foreligger på tidspunktet for udstedelsen af bekendtgørelser-
ne, vil bekendtgørelserne skulle tage højde for indholdet
af de tekniske og metodiske specifikationer, der fremgår
heraf. Såfremt gennemførelsesretsakterne først foreligger på
et senere tidspunkt, vil bekendtgørelserne i relevant omfang
skulle justeres på baggrund heraf, således at det sikres, at
de er i overensstemmelse med de rammer, der måtte følge
af Europa-Kommissionens retsakter. Såfremt gennemførel-
sesretsakterne måtte regulere området fuldt ud, vil allerede
udstedte bekendtgørelser i givet fald skulle ophæves.
Der henvises i øvrigt til bemærkningerne til de foreslåede §§
5 og 6.
3.3. Kritiske enheders hændelsesunderretninger
3.3.1. Gældende ret
EPCIP-direktivet fastsatte i artikel 6, at ejere og operatører
af europæisk kritisk infrastruktur skulle udpege en sikker-
hedsforbindelsesofficer, der fungerede som kontaktpunkt i
forbindelse med sikkerhedsmæssige spørgsmål mellem eje-
ren og operatøren af den europæiske kritiske infrastruktur og
medlemsstatens relevante myndighed.
Endvidere fremgik det bl.a. af EPCIP-direktivet, at hver
medlemsstat indførte en passende kommunikationsmekanis-
me mellem medlemsstatens relevante myndighed og sikker-
hedsforbindelsesofficeren eller tilsvarende med henblik på
at udveksle relevante oplysninger om de identificerede risici
og trusler i forbindelse med den pågældende europæiske
kritiske infrastruktur.
Direktivet indeholdt derimod ikke en forpligtelse for ejere
og operatører til at underrette myndighederne om hændelser.
EPCIP-direktivet er i dansk ret implementeret sektorvist i
energi- og transportsektorerne, jf. nærmere herom i pkt. 2.4
ovenfor.
3.3.2. CER-direktivet
Det følger af CER-direktivets artikel 15, stk. 1, at medlems-
staterne skal sikre, at kritiske enheder uden unødigt ophold
underretter den kompetente myndighed om hændelser, der
i betydelig grad forstyrrer eller har potentiale til i betyde-
lig grad at forstyrre leveringen af væsentlige tjenester. Det
fremgår endvidere af bestemmelsen, at medlemsstaterne sik-
rer, at kritiske enheder, med mindre det operationelt ikke
er muligt, indgiver en første underretning senest 24 timer,
efter at være blevet opmærksom på en hændelse, efterfulgt,
hvor det er relevant, af en detaljeret rapport senest en måned
derefter.
For at fastslå en forstyrrelses omfang skal der ifølge direkti-
vets artikel 15, stk. 1, lægges vægt på a) antallet og andelen
af brugere, der er berørt af forstyrrelsen, b) forstyrrelsens
varighed og c) det geografiske område, der er berørt af for-
styrrelsen, idet der tages hensyn til, om det er et geografisk
isoleret område.
Det følger videre af CER-direktivets artikel 15, stk. 2, at
underretninger om hændelser skal indeholde alle de tilgæn-
gelige oplysninger, der er nødvendige for, at den kompeten-
te myndighed kan forstå hændelsens art, årsag og mulige
konsekvenser, herunder alle tilgængelige oplysninger, der er
nødvendige for at fastslå hændelsens eventuelle grænseover-
skridende indvirkning.
Det følger desuden af CER-direktivets artikel 15, stk. 4,
at så snart som muligt efter modtagelse af en underretning
som omhandlet i artikel 15, stk. 1, giver den kompetente
myndighed den berørte kritiske enhed relevante opfølgende
oplysninger, herunder oplysninger, som kunne understøtte
en effektiv reaktion fra denne kritiske enhed på den pågæl-
dende hændelse.
Det følger endvidere af artiklen, at den kompetente myndig-
hed kan orientere offentligheden om en hændelse, hvis det
vil være i offentlighedens interesse.
21
3.3.3. Ministeriet for Samfundssikkerhed og Beredskabs
overvejelser
For så vidt angår vurderingen af, hvilke oplysninger der skal
indgå i en underretning, opfatter Ministeriet for Samfunds-
sikkerhed og Beredskab det som hensigtsmæssigt, at der
gives mulighed for at fastsætte nærmere sektorvise regler
om, hvilke oplysninger der skal indgå i en underretning, da
det kan være vanskeligt for de kritiske enheder at vurdere,
hvilke oplysninger der er nødvendige at medtage i en under-
retning.
Det er således Ministeriet for Samfundssikkerhed og Bered-
skabs vurdering, at de ressortansvarlige ministre bør bemyn-
diges til at fastsætte nærmere regler om vurderingen af
en forstyrrelses omfang. Dermed vil der kunne fastsættes
nærmere sektorspecifikke kriterier, som gør det muligt at
præcisere over for de omfattede kritiske enheder, hvornår de
er forpligtet til at underrette om en hændelse.
Det er endvidere Ministeriet for Samfundssikkerhed og
Beredskabs vurdering, at den nærmere konkretisering i be-
kendtgørelser skal ske efter forhandling med ministeren for
samfundssikkerhed og beredskab, navnlig for i videst muligt
omfang at sikre ensartethed under hensyn til de sektorspeci-
fikke forhold.
I overensstemmelse med CER-direktivet, er det Ministeriet
for Samfundssikkerhed og Beredskabs opfattelse, at den
kompetente myndighed bør kunne orientere offentligheden
om en hændelse, hvis offentliggørelse vil være i offentlighe-
dens interesse.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at det vil skulle sikres, at offentligheden i givet
fald informeres på en måde, som ikke kompromitterer for-
trolige oplysninger, herunder kommercielt fortrolige oplys-
ninger.
Det bemærkes, at loven ikke ændrer på de dataansvarliges
forpligtelser til anmeldelse af overtrædelser af brud på per-
sondatasikkerheden efter de databeskyttelsesretlige regler.
Ministeriet for Samfundssikkerhed og Beredskab bemærker
i forlængelse heraf, at det af databeskyttelsesforordningens
artikel 4, nr. 12, følger, at »brud på persondatasikkerheden«
er defineret som et brud på sikkerheden, der fører til hæn-
delig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret
videregivelse af eller adgang til personoplysninger, der er
transmitteret, opbevaret eller på anden måde behandlet. Det
forudsættes således fortsat, at væsentlige hændelser, som
tillige udgør et brud på persondatasikkerheden, anmeldes
af den dataansvarlige for behandlingen af de pågældende
personoplysninger, der er omfattet af bruddet på persondata-
sikkerheden, til Datatilsynet uden unødig forsinkelse og om
muligt senest 72 timer efter, at denne er blevet bekendt med
bruddet på persondatasikkerheden, »medmindre at det er
usandsynligt, at bruddet på persondatasikkerheden indebæ-
rer en risiko for fysiske personers rettigheder eller friheds-
rettigheder«
3.3.4. Den foreslåede ordning
Det foreslås, at en kritisk enhed skal underrette den relevan-
te kompetente myndighed om hændelser, der i betydelig
grad forstyrrer eller har potentiale til i betydelig grad at
forstyrre leveringen af væsentlige tjenester.
For at vurdere en forstyrrelses omfang skal en kritisk enhed
navnlig lægge vægt på 1) antallet og andelen af brugere, der
er berørt af forstyrrelsen, 2) forstyrrelsens varighed, 3) og
det geografiske område, der er berørt af forstyrrelsen, idet
der tages hensyn til, om det er et geografisk isoleret område.
Det foreslås i den forbindelse, at vedkommende minister
efter forhandling med ministeren for samfundssikkerhed og
beredskab kan fastsætte nærmere regler om de kriterier, der
skal tages i betragtning ved vurderingen af en hændelses
potentielt forstyrrende virkninger.
Formålet med reglerne vil være at kunne præcisere lovens
krav, eksempelvis ved fastsættelse af kvantitative eller i øv-
rigt objektivt konstaterbare kriterier. Det foreslås, at reglerne
fastsættes sektorvist, hvis der måtte vise sig behov herfor,
for at kunne tage højde for særlige sektorvise forhold. Det
forudsættes i alle tilfælde, at de kompetente myndigheder
i relevant omfang vil skulle yde vejledning til enheder om
vurderingen af en hændelses potentielt forstyrrende virknin-
ger.
Det foreslås, at underretninger om hændelser til den kompe-
tente myndighed skal indeholde alle tilgængelige oplysnin-
ger, der er nødvendige for, at den kompetente myndighed
kan forstå hændelsens art, årsag og mulige konsekvenser,
herunder alle tilgængelige oplysninger, der er nødvendige
for at fastslå hændelsens eventuelle grænseoverskridende
indvirkning.
Det foreslås endvidere, at underretning af de kompetente
myndigheder skal ske senest 24 timer efter, at den kritiske
enhed er blevet opmærksom på hændelsen. Efter anmodning
fra den kompetente myndighed skal den kritiske enhed se-
nest en måned efter hændelsen sende en detaljeret rapport til
den kompetente myndighed.
Endelig foreslås det, at den kompetente myndighed snarest
muligt efter modtagelse af en underretning giver den berørte
kritiske enhed relevante opfølgende oplysninger, herunder
oplysninger som kan understøtte en effektiv reaktion fra
den kritiske enhed på den pågældende tjeneste, og at den
kompetente myndighed kan orientere offentligheden om en
hændelse, hvis det vil være i offentlighedens interesse.
Det vil være op til den kompetente myndighed at tage stil-
ling til formen for orientering til offentligheden. Orienterin-
gen kan således ske på den måde, som den kompetente
myndighed finder bedst egnet under hensyn til den berør-
te kritiske enhed, hændelsens karakter, den geografiske ud-
strækning, den forventede betydning for bestemte dele af
offentligheden m.v.
22
En kompetent myndighed skal ved overvejelse om oriente-
ring af offentligheden om en hændelse sikre, at de hensyn til
fortrolighed, der fremgår af forvaltningslovens § 27 om of-
fentligt ansattes tavshedspligt, iagttages. Dette omfatter bl.a.
hensynet til enkeltpersoners private forhold, forretningshem-
meligheder samt hensynet til forebyggelse, efterforskning
og forfølgning af lovovertrædelser. Skyldes en hændelse
strafbare forhold eller mistanke herom, må en kompetent
myndigheds opfølgende oplysninger ikke vanskeliggøre el-
ler forhindre efterforskningen.
Det bemærkes, at der vil være tale om en oplysningspligt
omfattet af lov om retssikkerhed ved forvaltningens anven-
delse af tvangsindgreb og oplysningspligter. Dette indebæ-
rer, at retten til ikke at inkriminere sig selv, jf. kapitel 4 i
nævnte lov, skal overholdes. Det bemærkes dog, at det af
bemærkningerne til § 10 i lov om retssikkerhed ved forvalt-
ningernes anvendelse af tvangsindgreb og oplysningspligter
fremgår, at bestemmelsen om forbud mod selvinkriminering
ikke er til hindre for, at den mistænkte kan pålægges at give
(faktuelle) oplysninger, som er uden betydning for bedøm-
melsen af, hvorvidt den pågældende har begået en lovover-
trædelse, der kan medføre straf. Bestemmelsen vil således
ikke være til hinder for at anvende en oplysningspligt til at
kræve oplysninger om navn, adresse mv., jf. herved også
retsplejelovens § 750, hvorefter enhver på forlangende er
forpligtet til over for politiet at opgive navn, adresse og fød-
selsdato. Der henvises til Folketingstidende 2003-04, tillæg
A, side 3097. Der vil med den foreslåede bestemmelse være
tale om oplysningspligt, hvorved den kritiske enhed skal un-
derrette den kompetente myndighed om hændelser, der i be-
tydelig grad forstyrrer eller har potentiale til i betydelig grad
at forstyrre leveringen af enhedens væsentlige tjenester. Det
er derfor Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at kapitel 4 i lov om retssikkerhed ved forvaltnin-
gens anvendelse af tvangsindgreb og oplysningspligter alene
vil være relevant i praksis i yderst sjældne tilfælde.
Der henvises i øvrigt til bemærkningerne til de foreslåede §§
7 og 8.
3.4 Baggrundskontrol
3.4.1 Gældende ret
EPCIP-direktivet indeholdt ikke regler, der gav mulighed for
at foretage baggrundskontrol af personer i kritiske enheder.
På luftfartsområdet er der i Europa-Parlamentet og Rådets
forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles
bestemmelser om sikkerhed inden for civil luftfart og om
ophævelse af forordning (EF) nr. 2320/2002 fastsat regler
om baggrundskontrol af visse personer, der udfører funktio-
ner inden for luftfartssikkerhed.
Lov om luftfart, jf. lovbekendtgørelse nr. 118 af 31. janu-
ar 2024 (luftfartsloven) fastsætter regler for luftfartssikker-
hed. Loven gennemfører dele af forordning nr. 300/2008,
herunder reglerne om baggrundskontrol.
Det fremgår af luftfartslovens § 1 a, at transportministeren
kan fastsætte sådanne forskrifter, som er nødvendige for at
gennemføre de af Den Europæiske Union udstedte direkti-
ver om luftfart, eller som er nødvendige for at anvende de
af Den Europæiske Union udstedte forordninger på luftfart-
sområdet, herunder droneområdet. Det følger endvidere af
luftfartslovens § 70, stk. 1, 2. pkt., at transportministeren
kan fastsætte regler om, at der kun til personer, der er god-
kendt af politiet, kan udstedes en generel adgangshjemmel
til lufthavnens afspærrede område.
Det følger endvidere af luftfartslovens § 70 a, stk. 2,
at transportministeren efter forhandling med justitsministe-
ren kan fastsætte regler om, at personer, som udfører sik-
kerhedskontrol eller har adgang til klassificerede regler
eller sikkerhedsplaner i virksomheder, som er sikkerheds-
godkendt efter de forordninger om sikkerhed inden for ci-
vil luftfart, der er udstedt af Den Europæiske Union, skal
sikkerhedsgodkendes af Trafikstyrelsen. Bemyndigelserne i
luftfartslovens §§ 1 a, 70, stk.1, 2. pkt., 32 og 70 a, stk.
2, er bl.a. udmøntet ved bekendtgørelse nr. 2567 af 14.
december 2021 om udvidet baggrundskontrol og sikkerheds-
godkendelse af personer, som har funktioner inden for luft-
fartssikkerhed (security)
Bekendtgørelsen stiller krav om, at nogle ansatte i luftfarts-
sektoren enten skal gennemgå udvidet baggrundskontrol el-
ler sikkerhedsgodkendes, afhængigt af deres ansættelse. Be-
kendtgørelsen finder anvendelse på personer, der udfører
funktioner, har adgange eller rettigheder inden for luftfarts-
sikkerhed (security), jf. bekendtgørelsens § 1. Det følger af
bestemmelsens § 3, at en udvidet baggrundskontrol skal 1)
fastslå en persons identitet på grundlag af dokumentation,
2) omfatte strafferegistre i alle personens bopælslande for
mindste de foregående fem år, 3) omfatte personens beskæf-
tigelse, uddannelse og eventuelle afbrydelser i mindst de
foregående fem år og 4) omfatte efterretninger og andre re-
levante oplysninger, som de kompetente nationale myndig-
heder råder over, og som efter deres vurdering kan være
relevante for en persons egnethed til at arbejde i en funktion,
som kræver en udvidet baggrundskontrol.
Ansøgninger om udvidet baggrundskontrol inden for luft-
fartssikkerhed indgives i dag til politiet ved hjælp af elek-
tronisk ansøgningsblanket, jf. bekendtgørelsens § 8. Før
ansøgningen indgives, skal arbejdsgiveren, lufthavnen eller
luftfartsselskabet have gennemført ID- og CV-kontrol med
et tilfredsstillende resultat, jf. bekendtgørelsens § 8, stk. 3.
Politiet har ansvaret for sagsbehandlingen af ansøgninger
om udvidet baggrundskontrol, herunder at indhente og kon-
trollere strafferegisteroplysninger, kontrollere efterretninger
og alle andre relevante oplysninger, som politiet råder over,
samt at foretage en vurdering af alle de lovovertrædelser og
terrorhandlinger, der henvises til i forordningens bilag, jf.
bekendtgørelsens §§ 10-12. Det følger af bekendtgørelsens
§ 14, at politidirektøren for Midt- og Vestjyllands Politi på
baggrund af oplysningerne træffer afgørelser om, hvorvidt
en person har gennemgået en udvidet baggrundskontrol med
23
et tilfredsstillende resultat og om tilbagekaldelse af en afgø-
relse om udvidet baggrundskontrol.
3.4.2 CER-direktivet
CER-direktivets artikel 14 indeholder krav om baggrund-
skontrol for visse personer. Det fremgår af således af CER-
direktivets artikel 14, at medlemsstaterne angiver på hvilke
betingelser en kritisk enhed i behørigt begrundede tilfælde
og under hensyntagen til medlemsstatsrisikovurderingen har
tilladelse til at indgive anmodning om baggrundskontrol af
personer, der: a) varetager følsomme opgaver i eller til for-
del for en kritisk enhed, navnlig vedrørende den kritiske en-
heds modstandsdygtighed, b) er bemyndiget til at få direkte
adgang eller fjernadgang til en kritisk enheds lokaler, oplys-
ninger eller kontrolsystemer, herunder i forbindelse med den
kritiske enheds sikkerhed, c) overvejes ansat i stillinger, der
hører under kriterierne i litra a eller b.
Baggrunden for kravet om baggrundskontrol fremgår af
CER-direktivets præambelbetragtning nr. 32. Det følger så-
ledes af direktivets præambel betragtning nr. 32, at risikoen
for, at ansatte i kritiske enheder eller deres kontrahenter mis-
bruger for eksempel deres adgangsret inden for den kritiske
enheds organisation til at skade eller forvolde skade, giver
anledning til stigende bekymring.
Det følger desuden af artikel 14, stk. 2, at anmodninger om
baggrundskontrol skal vurderes inden for en rimelig frist og
behandles i overensstemmelse med national ret og nationale
procedurer samt relevant og gældende EU-ret, herunder da-
tabeskyttelsesforordningen (forordning (EU) 2016/679) og
retshåndhævelsesdirektivet (Europa-Parlamentets og Rådets
direktiv (EU) 2016/680). Baggrundskontrol skal ifølge ar-
tikel 14, stk. 2, 2. pkt., være forholdsmæssig og strengt
begrænset til, hvad der er nødvendig, og må udelukkende
foretages med henblik på at vurdere en potentiel sikkerheds-
risiko for den berørte kritiske enhed. Det følger af artikel
14, stk. 3, at en baggrundskontrol, som minimum skal a)
bekræfte identiteten af den person, der er genstand for bag-
grundskontrollen, og b) kontrollere strafferegistrene for den
pågældende person for så vidt angår lovovertrædelser, der
ville være relevant for en bestemt stilling.
Det følger ligeledes af artikel 14, stk. 3, at når medlems-
stater foretager baggrundskontrol, skal de anvende det
europæiske informationssystem vedrørende strafferegistre
i overensstemmelse med procedurerne i rammeafgørelse
2009/315/RIA og, hvor det er relevant og finder anvendel-
se, forordning (EU) 2019/816 med henblik på indhentning
af oplysninger fra andre medlemsstaters strafferegistre. De
centrale myndigheder omhandlet i artikel 3, stk. 1, i ramme-
afgørelse 2009/315/RIA og i art. 3, nr. 5), i forordning (EU)
2019/816, besvarer anmodninger om sådanne oplysninger
inden for ti arbejdsdage efter datoen for modtagelsen af
anmodningen i overensstemmelse med artikel 8, stk. 1, i
rammeafgørelse 2009/315/RIA.
3.4.3. Ministeriet for Samfundssikkerhed og Beredskabs
overvejelser
Det er Ministeriet for Samfundssikkerhed og Beredskabs
vurdering, at der bør foretages en direktivnær implemente-
ring af CER-direktivets regler om baggrundskontrol.
Det er endvidere Ministeriet for Samfundssikkerhed og Be-
redskabs vurdering, at denne lov alene bør fastsætte den
overordnede ramme for regler om baggrundskontrol, således
at den nærmere udmøntning sker i sektorspecifikke bekendt-
gørelser.
Dette skal navnlig ses i lyset af, at CER-direktivets artikel
14, stk. 1, angiver, at der ved fastsættelse af betingelser for
indgivelse af ansøgninger om baggrundskontrol skal tages
hensyn til den nationale risikovurdering. Det er på denne
baggrund Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at den nærmere fastsættelse af betingelser for
indgivelse af ansøgninger om baggrundskontrol bør ske i
sektorspecifikke bekendtgørelser, således at der ved fastsæt-
telse af de nærmere betingelser kan tages hensyn til sektor-
specifikke forhold.
Det er samtidig vigtigt, at der i vidst muligt omfang sikres
ensartethed og koordination på tværs af de enkelte sekto-
rer. Det er på den baggrund Ministeriet for Samfundssik-
kerhed og Beredskabs vurdering, at der ved fastsættelse af
betingelse for baggrundskontrol bør tages udgangspunkt i
samme overordnede model for baggrundskontrol, herunder
navnlig samme grundbetingelser, som kan tilpasses de en-
kelte sektorer. På den måde sikres, at der fastsættes et ens-
artet minimumsniveau for baggrundskontrol på tværs af de
sektorer, der er omfattet af denne lovs anvendelsesområde.
Det er på den baggrund Ministeriet for Samfundssikkerhed
og Beredskabs vurdering, at de nærmere regler om krav til
baggrundskontrol fastsættes af vedkommende minister efter
forhandling med justitsministeren.
Ved gennemførelsen tages der således hensyn til, at det
er ressortministerierne og de sektoransvarlige myndigheder,
der med deres indgående kendskab til forholdene i de enkel-
te sektorer har de bedste forudsætninger for at vurdere, om
der konkret er behov for nærmere udmøntning af lovens
krav, således at implementeringen af direktivet udmøntes på
den måde, der er mest hensigtsmæssig for sektoren.
Hertil kommer, at brugen af bekendtgørelser sikrer, at der i
nødvendigt omfang hurtigere kan gennemføres ændringer på
baggrund af eksempelvis ændringer i trusselsbilledet inden
for en givne sektor.
3.4.4 Den foreslåede ordning
Det foreslås, at der foretages en direktivnær implementering
af CER-direktivets artikel 9.
Med den foreslåede § 9 lægges der således op til, at
vedkommende minister efter forhandling med justitsministe-
24
ren fastsætter regler om, på hvilke betingelser virksomheder
kan få foretaget baggrundskontrol af personer inden for eget
ressortområde.
Den foreslåede ordning medfører, at vedkommende minister
efter forhandling med justitsministeren fastsætter nærmere
regler, der sammen med bestemmelsen vil skulle udmønte
den nærmere ordning for gennemførelse af CER-direktivet
artikel 14 om baggrundskontrol inden for eget ressortområ-
de.
Kravet om forhandling skal navnlig ses i lyset af behovet for
i videst muligt omfang at sikre en ensartet udmøntning af
reglerne om baggrundskontrol på tværs af de sektorer, der er
omfattet af dennes lovs anvendelsesområde. Kravet om, at
forhandlingen skal ske med justitsministeren skal ses i lyset
af, at det efter gældende ret på luftfartsområdet er politiet,
der bidrager til udførelsen af baggrundskontrol.
Det er udgangspunktet for implementeringen af CER-direk-
tivets bestemmelse om baggrundskontrol, at baggrundskon-
trollen 1) skal bekræfte identiteten af den person, der er gen-
stand for baggrundskontrollen og 2) kontrollere strafferegi-
strene for den pågældende person for så vidt angår lovover-
trædelser, der ville være relevante for en bestemt stilling, jf.
direktivets artikel 14, stk. 3. Det er desuden udgangspunk-
tet, at baggrundskontrollen skal være forholdsmæssig og
strengt begrænset til, hvad der er nødvendigt. Den nærmere
fastlæggelse af en model for baggrundskontrol vil ske ved
bekendtgørelse efter forhandling med justitsministeren.
Afgørelser om, hvorvidt en person har gennemgået en bag-
grundskontrol med et tilfredsstillende resultat og om tilba-
gekaldelse af en afgørelse om baggrundskontrol, vil skul-
le træffes af den kompetente myndighed. Den kompetente
myndigheds afgørelser træffes på baggrund af oplysninger
om den pågældende person, som politiet tilvejebringer.
Der henvises i øvrigt til bemærkningerne til den foreslåede §
9.
3.5. Tilsyn og håndhævelse
3.5.1. Gældende ret
EPCIP-direktivet indeholdt ikke generelle regler om tilsyn
og håndhævelse.
3.5.2. CER-direktivet
Der er i CER-direktivets artikel 21 fastsat bestemmelser om
tilsyn og håndhævelse.
Medlemsstaterne forpligtes efter artikel 21, stk. 1, til at
sikre, at deres kompetente myndigheder har beføjelser og
midler til at foretage inspektioner på stedet af den kritiske
infrastruktur og af de lokaler, som den kritiske enhed anven-
der til at levere sine væsentlige tjenester.
Det følger endvidere af artikel 21, stk. 1, at de kompeten-
te myndigheder skal kunne udøve eksternt tilsyn med de
modstandsdygtighedsforanstaltninger, som kritiske enheder
har foretaget. De kompetente myndigheder skal også kunne
foretage eller kræve revision af kritiske enheder.
Det er herudover fastsat i artikel 21, stk. 2, at medlemssta-
terne skal sikre, at de kompetente myndigheder, hvor det
er nødvendigt, har beføjelser og midler til at forlange, at
enheder, der er omfattet af NIS 2-direktivet, og som er iden-
tificeret som kritiske enheder efter CER-direktivet, inden
for en rimelig tidsfrist giver de oplysninger, der er nødvendi-
ge for at vurdere, hvorvidt de kritiske enheders modstands-
dygtighedsforanstaltninger opfylder kravene hertil, og giver
dokumentation for den faktiske gennemførelse af foranstalt-
ningerne, herunder resultaterne af en revision foretaget af en
uafhængig og kvalificeret revisor udvalgt af den kritiske en-
hed og foretaget på dennes regning. En kompetent myndig-
hed skal, når der anmodes om oplysninger, angive formålet
dermed og hvilke oplysninger, der kræves.
En kompetent myndighed kan efter artikel 21, stk. 3, på
baggrund af tilsynsforanstaltninger eller vurderingen af de
oplysninger, en kritisk enhed har meddelt, pålægge en kri-
tisk enhed at træffe de nødvendige og forholdsmæssige for-
anstaltninger for at afhjælpe enhver konstateret overtrædelse
inden for en rimelig frist, der fastsættes af de kompetente
myndigheder. Enhederne kan endvidere pålægges at give
de kompetente myndigheder oplysninger om de trufne for-
anstaltninger. Påbuddene skal navnlig tage hensyn til over-
trædelsens grovhed.
Direktivet fastsætter i artikel 21, stk. 4, at der skal være
passende beskyttelsesforanstaltninger for sikring af enheder-
nes rettigheder og legitime interesser ved de kompetente
myndigheders udøvelse af deres beføjelser.
3.5.3. Ministeriet for Samfundssikkerhed og Beredskabs
overvejelser
Det foreslås, at der fastsættes regler om de kompetente myn-
digheders tilsyns- og håndhævelsesforanstaltninger som i
deres indhold svarer til CER-direktivets artikel 21.
Som nærmere beskrevet ovenfor oplister CER-direktivet de
beføjelser, de kompetente myndigheder har til rådighed med
henblik på at vurdere, om de kritiske enheder opfylder for-
pligtelserne i direktivet. Endvidere angives også, at de kom-
petente myndigheder har mulighed for at pålægge enhederne
at afhjælpe konstaterede overtrædelser af direktivet. Et så-
dant påbud skal tage hensyn til overtrædelsens grovhed.
I overensstemmelse med CER-direktivets præambel nr. 40,
bør de kompetente myndigheder under udstedelsen af et
påbud ikke kræve foranstaltninger, der går ud over, hvad der
er nødvendigt og rimeligt for at sikre, at den kritiske enhed
opfylder forpligtelserne. Der skal navnlig tages hensyn til
overtrædelsens alvor og den kritiske enheds økonomiske
formåen.
For effektivt at kunne konstatere, om kritiske enheder i
praksis f.eks. har gennemført passende modstandsdygtig-
25
hedsforanstaltninger, er det efter Ministeriet for Samfunds-
sikkerhed og Beredskabs opfattelse nødvendigt, at de kom-
petente myndigheder som led i et tilsyn har adgang til den
kritiske infrastruktur og lokaler uden retskendelse.
3.5.4. Den foreslåede ordning
Det foreslås, at den kompetente myndighed med henblik på
at vurdere, om en kritisk enhed opfylder sine forpligtelser
i henhold til denne lov og regler fastsat i medfør heraf,
uden retskendelse og mod behørig legitimation kan foretage
inspektioner på stedet af den kritiske infrastruktur og af de
lokaler, som den kritiske enhed anvender til at levere sine
væsentlige tjenester, og at den kompetente myndighed kan
foretage en audit af en kritisk enhed eller stille krav om, at
enheden får et kvalificeret uafhængigt organ til at foretage
denne, og at resultaterne heraf stilles til rådighed for den
kompetente myndighed.
Den foreslåede bestemmelse indebærer, at der skal være ad-
gang til kontrol på stedet uden retskendelse og mod behørig
legitimation. For effektivt at kunne konstatere, om kritiske
enheder i praksis f.eks. har gennemført passende modstands-
dygtighedsforanstaltninger, er det således nødvendigt, at de
kompetente myndigheder som led i et tilsyn har adgang til
den kritiske infrastruktur og de lokaler, som den kritiske
enhed anvender til at levere sine væsentlige tjenester. Det vil
i den forbindelse f.eks. kunne indgå, hvilken type af kritisk
enhed, der føres tilsyn med, tilsynets karakter og omfang.
Den foreslåede bestemmelse vil betyde, at de kompetente
myndigheder som led i et tilsyn kan foretage kontrol på
stedet til enhver tid. Det forudsættes dog almindeligvis, at
den kompetente myndighed forinden et evt. besøg vil varsle
den kritiske enhed herom.
Det foreslås herudover, at den kompetente myndighed kan
kræve at få udleveret oplysninger, der er nødvendige for at
vurdere, hvorvidt de modstandsdygtighedsforanstaltninger,
den berørte enhed har indført, opfylder kravene dertil, og
kræve at få adgang til data, dokumenter og oplysninger, der
er nødvendige for udførelsen af tilsynsopgaven, samt kræve
at få udleveret dokumentation for faktisk gennemførelse af
modstandsdygtighedsforanstaltninger, herunder resultaterne
af en audit.
Det foreslås i den forbindelse, at den kompetente myndig-
hed skal angive formålet med de stillede krav og præcisere,
hvilke oplysninger der kræves udleveret, og at den kompe-
tente myndighed kan stille nærmere krav til, hvordan og i
hvilken form en kritisk enhed skal afgive de pågældende
oplysninger og materiale.
Derudover foreslås det, at en kompetent myndighed på bag-
grund af et tilsynsbesøg eller modtagne oplysninger kan
påbyde en kritisk enhed at træffe nødvendige og forholds-
mæssige foranstaltninger for at afhjælpe en konstateret over-
trædelse af loven eller regler fastsat i medfør af loven.
Det bemærkes i den forbindelse, at der ved udstedelse af
et påbud navnlig skal tages hensyn til overtrædelsens grov-
hed. Et påbud til en kritisk enhed vil være en afgørelse i
forvaltningsretlig forstand, og en kritisk enhed vil kunne
påklage en afgørelse om påbud til højere administrativ myn-
dighed efter de almindelige forvaltningsretlige principper
om administrativ rekurs.
De almindelige regler om domstolsprøvelse af forvaltnings-
afgørelser vil endvidere finde anvendelse, og en kritisk en-
hed vil dermed have adgang til at få prøvet afgørelsen ved
domstolene.
Der henvises til lovforslagets §§ 14 og 15 og bemærkninger-
ne hertil.
4. Forholdet til databeskyttelsesforordningen og databe-
skyttelsesloven
Efter den foreslåede bestemmelse i § 3, stk. 1, skal
vedkommende minister føre en liste over udpegede enhe-
der. Bestemmelsen indebærer, at vedkommende minister fø-
rer en liste med bl.a. navne på de udpegede enheder. Det
vil ikke kunne udelukkes, at en enkeltmandsvirksomhed vil
kunne udpeges som kritisk enhed. Der vil derfor kunne blive
behandlet almindelige personoplysninger i form af navn på
virksomheden.
Den foreslåede bestemmelse i § 3, stk. 4, indeholder bemyn-
digelse til, at vedkommende minister kan kræve, at enheder
fremlægger materiale og oplysninger, der er nødvendige for
stillingtagen til, hvorvidt en enhed skal identificeres som
kritisk. Bestemmelsen indebærer bl.a., at enheder, som er
omfattet af bestemmelsen vil være forpligtet til at indsende
oplysninger til vedkommende minister. Oplysningerne kan
indeholde almindelige personoplysninger om f.eks. navne på
den kritiske enhed eller medarbejderes navne. Det bemærkes
i den forbindelse, at det ikke kan udelukkes, at en enkelt-
mandsvirksomhed udpeges som kritisk enhed.
Der kan desuden indgå almindelige personoplysninger i de
oplysninger, som enheder efter lovforslaget skal indgive til
de kompetente myndigheder i medfør af lovforslagets § 7,
hvorefter kritiske enheder skal udpege en kontaktperson og
meddele relevante kontaktoplysninger til den relevante kom-
petente myndighed. Dette vil eksempelvis være navne og
telefonnumre på den pågældende medarbejder, der udpeges
som kontaktperson.
Derudover kan der indgå almindelige personoplysninger i en
kritisk enheds underretning om hændelser efter lovforslagets
§ 8, stk. 1, hvorefter kritiske enheder skal underrette den
relevante kompetente myndighed om hændelser, der i bety-
delig grad forstyrrer eller har potentiale til i betydelig grad
at forstyrre leveringen af enhedens væsentlige tjenester. Af
bestemmelsens stk. 3, fremgår det, at underretninger skal
indeholde alle tilgængelige oplysninger, der er nødvendige
for, at den kompetente myndighed kan forstå hændelsens
art, årsag og mulige konsekvenser, herunder alle tilgængeli-
ge oplysninger der er nødvendige for at fastslå hændelsens
eventuelle grænseoverskridende indvirkning. I en kritisk en-
26
heds underretning om en hændelse kan der således f.eks.
indgå almindelige personoplysninger, herunder navne og e-
mailadresser, i forbindelse med en redegørelse for hændel-
sens faktiske forløb, eller ved at der vedlægges e-mails eller
andet materiale, der belyser hændelsens forløb, karakter el-
ler håndtering.
Efter lovforslagets § 9 kan vedkommende minister inden
for sit område efter forhandling med justitsministeren fast-
sætte nærmere regler om, på hvilke betingelser kritiske en-
heder kan få foretaget baggrundskontrol af personer med
henblik på at vurdere en potentiel sikkerhedsrisiko for enhe-
den. Baggrundskontrollen kan angå personer, der 1) vareta-
ger følsomme opgaver i eller til fordel for en kritisk enhed,
navnlig vedrørende den kritiske enheds modstandsdygtig-
hed, 2) er bemyndiget til at få direkte adgang eller fjernad-
gang til en kritisk enheds lokaler, oplysninger eller kontrol-
systemer, herunder i forbindelse med den kritiske enheds
sikkerhed, eller 3) overvejes ansat i stillinger, der indebærer
opgavevaretagelse som nævnt ovenfor. Baggrundskontrollen
vil i medfør af CER-direktivets artikel 14, stk. 2, mindst
skulle bekræfte identiteten af den person, der er genstand for
baggrundskontrollen, og omfatte en kontrol af strafferegistre
for den pågældende person for lovovertrædelser, der er re-
levante for en bestemt stilling. Gennemførelse af baggrund-
skontrol vurderes på den baggrund at medføre behandling af
almindelige personoplysninger og personoplysninger vedrø-
rende straffedomme og lovovertrædelser. Gennemførelsen af
baggrundskontrol vil ikke medføre behandling af følsomme
personoplysninger.
Efter den foreslåede § 10, kan de relevante myndigheder vi-
deregive oplysninger til andre myndigheder og institutioner
i Den Europæiske Union for at varetage de opgaver, som
følger af loven eller regler udstedt i medfør af loven. Myn-
dighederne vil i den forbindelse kunne videregive oplysnin-
ger om f.eks. navn på den kritiske enhed. Det kan i den for-
bindelse ikke udelukkes, at enkeltmandsvirksomheder udpe-
ges som kritiske enheder. Der vil endvidere kunne videregi-
ves navn på medarbejder mv. i forbindelse med forberedelse
af rådgivende besøg.
Anvendelse af tilsynsbeføjelserne i medfør af de foreslåede
bestemmelser i §§ 14 og 16 vil kunne medføre behandling af
almindelige personoplysninger. Det er Ministeriet for Sam-
fundssikkerhed og Beredskabs opfattelse, at de oplysninger,
der måtte blive behandlet i denne forbindelse, vil være op-
lysninger om den kritiske enheds medarbejdere, herunder
kontaktoplysninger på enhedens kontaktpersoner, ligesom
der eksempelvis kan være tale om oplysninger om, hvilke
medarbejdere der har adgangsrettigheder til den kritiske en-
heds lokaler og kritiske infrastruktur.
Det er vurderingen, at behandling af almindelige personop-
lysninger i forbindelse med overholdelse af de foreslåede
bestemmelser i lovforslagets § 3, stk. 4, om enheders frem-
læggelse af materiale og oplysninger, §§ 7-9 om kritiske
enheders oplysning om en kontaktperson, om kritiske enhe-
ders underretning om hændelser og om baggrundskontrol, §
10 om videregivelse af oplysninger til udenlandske myndig-
heder samt §§ 14 og 16 om adgang til og gennemførelse af
tilsyn for private virksomheder vil kunne ske i medfør af
databeskyttelsesforordningens artikel 6, stk. 1, litra c og e,
jf. stk. 2 og 3.
Det følger således af artikel 6, stk. 1, litra c, at behandling
er lovlig, hvis den er nødvendig for at overholde en retlig
forpligtelse, som påhviler den dataansvarlige. Danmark har
en EU-retlig forpligtelse til at gennemføre CER-direktivets
regler i dansk ret.
Herudover følger det af litra e, at behandling er lovlig, hvis
den er nødvendig af hensyn til udførelse af en opgave i sam-
fundets interesse eller som henhører under offentlig myndig-
hedsudøvelse, som den dataansvarlige har fået pålagt.
For så vidt angår offentlige myndigheders behandling af
personoplysninger, følger det af CER-direktivet, at myndig-
hederne pålægges en række nye myndighedsopgaver. Det
skyldes, at lovforslaget har til formål at understøtte den kri-
tiske infrastruktur og dermed opretholdelse af vitale funktio-
ner i det danske samfund. Det er Ministeriet for Samfunds-
sikkerhed og Beredskabs vurdering, at der dermed er tale
om myndighedsudøvelse omfattet af databeskyttelsesforord-
ningens artikel 6, stk. 1, litra e, jf. stk. 2 og 3.
For så vidt angår private virksomheders behandling af per-
sonoplysninger sker dette idet CER-direktivet medfører for-
pligtelser for udpegede kritiske enheder med henblik på at
forebygge, beskytte sig mod, reagere på, håndtere og sikre
genopretning efter kriser og katestrofer for at sikre kontinui-
tet i samfundsvigtige tjenester og funktioner. Behandlingen
af personoplysninger vurderes på den bagrund af være en
opgave i samfundets interesse, jf. databeskyttelsesforordnin-
gens artikel 6, stk. 1, litra e, jf. stk. 2, og 3.
Det er vurderingen, at behandlingen af personoplysninger
om strafbare forhold efter den foreslåede § 9 kan ske in-
den for rammerne af databeskyttelsesforordningens artikel
10. Det er således vurderingen, at den foreslåede bestem-
melser giver passende garantier for registreredes rettigheder
og friheder. Der lægges i den forbindelse vægt på, at bag-
grundskontrollen alene vil blive udført i behørigt begrun-
dende tilfælde og alene på baggrund af samtykke fra den
registrerede. Der vil endvidere ikke blive indhentet flere op-
lysninger end nødvendigt for at udføre baggrundskontrollen.
Det er endelig vurderingen, at den foreslåede bestemmelse
kan rummes inden for rammerne af databeskyttelsesforord-
ningens artikel 10, 1. pkt., jf. artikel 6, stk. 1, litra c og
e. For en nærmere gennemgang af artikel 6, stk. 1, litra c og
e, som hjemmelsgrundlag, henvises til ovenfor.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
vurdering, at behandlingen af personoplysninger i medfør
af de foreslåede bestemmelser i lovforslaget er proportional
og ikke går videre, end hvad der er nødvendigt for at opfyl-
de Danmarks EU-retlige forpligtelser til implementering af
CER-direktivet.
27
Ministeriet for Samfundssikkerhed og Beredskab skal afslut-
ningsvis bemærke, at det forudsættes, at de øvrige bestem-
melser i databeskyttelsesforordningen og databeskyttelseslo-
ven, herunder de grundlæggende principper i databeskyttel-
sesforordning artikel 5 også iagttages, når der behandles
personoplysninger i medfør af de foreslåede bestemmel-
ser. Det betyder, at personoplysninger skal være tilstrækkeli-
ge, relevante og begrænset til, hvad der nødvendigt i forhold
til de formål, hvortil de behandles.
5. Økonomiske konsekvenser og implementeringskonse-
kvenser for det offentlige
Efter lovforslaget vil statslige myndigheder kunne blive
identificeret som kritiske enheder. Lovforslaget forventes på
denne baggrund at medføre merudgifter og negative imple-
menteringskonsekvenser for de statslige myndigheder, der
måtte blive identificeret som kritiske enheder, da de i lighed
med identificerede kritiske enheder i private virksomheder
vil være omfattet af lovens forpligtelser.
Lovens forpligtelser omfatter bl.a., at kritiske enheder skal
udarbejde en risikovurdering, jf. den foreslåede § 5, og at
kritiske enheder skal træffe passende og forholdsmæssige
tekniske, sikkerhedsmæssige og organisatoriske foranstalt-
ninger for at sikre enhedens modstandsdygtighed, jf. den
foreslåede § 6.
Kritiske enheder vil endvidere, såfremt der indtræder hæn-
delser, der i betydelig grad forstyrrer eller har potentiale
til at forstyrre leveringen af enhedens væsentlige tjenester,
jf. den foreslåede § 8, skulle underrette den kompetente
myndighed.
De ovenfor nævnte forpligtelser, som kritiske enheder vil
skulle opfylde, kan ved behov nærmere udmøntet i sek-
torspecifikke bekendtgørelser. Da de nærmere økonomiske
konsekvenser således vil afhænge af det nærmere indhold
af bekendtgørelserne, vil de økonomiske konsekvenser først
kunne opgøres endeligt i forbindelse med udstedelse af be-
kendtgørelserne. Samtidig er det på nuværende tidspunkt
uvist, hvor mange statslige myndigheder, der vil blive om-
fattet af den foreslåede lov, idet identificering af de kritiske
enheder skal ske på baggrund af en national strategi og
risikovurdering, som først gennemføres frem mod 2026. De
økonomiske og administrative konsekvenser vil desuden af-
hænge af de pågældende myndigheders eksisterende mod-
standsdygtighedsniveau og udviklingen i trusselsbilledet i
samfundet.
Ud over konsekvenserne forbundet med, at statslige myn-
digheder kan udpeges som kritiske enheder efter lovforsla-
get, vil der være konsekvenser forbundet med løsningen af
de myndighedsopgaver, der følger af direktivet.
Det forventes, at Styrelsen for Samfundssikkerhed vil vare-
tage opgaven som centralt kontaktpunkt, ligesom der i de
sektorer, som er omfattet af lovens anvendelsesområde, vil
skulle udpeges kompetente myndigheder, som skal varetage
forskellige myndighedsopgaver.
Blandt myndighedsopgaverne er identifikation af kritiske
enheder, ligesom de kompetente myndigheder skal føre
tilsyn med lovens overholdelse og varetage opgaver i for-
bindelse med kritiske enheders underretninger om hændel-
ser. Der vil desuden være tværgående opgaver forbundet
med bl.a. baggrundskontrol af relevant personale hos enhe-
derne.
Der vil herudover skulle udarbejdes en national strategi for
kritiske enheders modstandsdygtighed, udarbejdes en natio-
nal risikovurdering samt varetages visse tværgående koordi-
nerende opgaver. Den nationale strategi og -risikovurdering
vil blive udarbejdet af Ministeriet for Samfundssikkerhed og
Beredskab på styrelsesniveau og Justitsministeriet, herunder
Rigspolitiet og Politiets Efterretningstjeneste (PET).
Hertil kommer, at Rigspolitiet forventes at skulle tilvejebrin-
ge oplysninger om den pågældende person i forbindelse med
behandlingen af ansøgninger om baggrundskontrol.
De statsfinansielle konsekvenser som følge af de øgede ak-
tiviteter skønnes – med betydelig usikkerhed – at udgøre
18-31 mio. kr. årligt. Usikkerheden skyldes navnlig, at ud-
gifterne afhænger af det nærmere indhold af de kommende
bekendtgørelser, samt at det er uvist, hvor mange enheder
der vil blive identificeret som kritiske enheder.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at lovforslaget er i overensstemmelse med prin-
cipperne for digitaliseringsklar lovgivning.
Det er endvidere Ministeriet for Samfundssikkerhed og Be-
redskabs opfattelse, at princip nr. 1 om enkle og klare regler
er iagttaget, idet det i lovforslaget – inden for direktivets
rammer – klart fremgår, hvilke forpligtelser der påhviler
identificerede kritiske enheder, og hvilke beføjelser en kom-
petent myndighed har i sit tilsyn med enhedernes efterlevel-
se af deres forpligtelser.
Det er desuden Ministeriet for Samfundssikkerhed og Be-
redskabs opfattelse, at lovforslaget er udarbejdet i overens-
stemmelse med princip nr. 2, da lovforslagets § 12 indfører
hjemmel til at fastsætte regler om digital kommunikation.
Derudover er det Ministeriet for Samfundssikkerhed og Be-
redskabs opfattelse, at lovforslaget er i overensstemmelse
med princip nr. 5 om tryg og sikker databehandling, da
lovforslaget indeholder en grundig beskrivelse af forholdet
til databeskyttelsesretten.
Endelig er det Ministeriet for Samfundssikkerhed og Bered-
skabs opfattelse, at princip nr. 6 om anvendelse af offentlig
infrastruktur er iagttaget, idet der i forbindelse med kritiske
enheders forpligtelse til at underrette om visse hændelser
forudsættes anvendt digitale selvbetjeningsløsninger såsom
Virk.dk. Dermed anvendes eksisterende offentlig it-infra-
struktur til digital kommunikation mellem kritiske enheder
og de kompetente myndigheder.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
28
opfattelse, at de øvrige principper ikke er relevante for lov-
forslaget.
6. Økonomiske og administrative konsekvenser for er-
hvervslivet m.v.
Lovforslaget indebærer, at loven vil finde anvendelse på
virksomheder, der er omfattet af enhedskategorierne i CER-
direktivets bilag, og som identificeres som kritiske enhe-
der. Lovens anvendelsesområde og identifikationen af kriti-
ske enheder er nærmere beskrevet i henholdsvis lovens §§ 1
og 3 og de specielle bemærkninger hertil.
Lovforslaget forventes at medføre negative erhvervsøkono-
miske konsekvenser. Bl.a. vil kritiske enheder skulle over-
holde oplysnings- og underretningsforpligtelserne i lovfor-
slagets foreslåede § 4, stk. 2, og §§ 7-8. Derudover vil
kritiske enheder skulle foretage en risikovurdering efter den
foreslåede § 5 og træffe modstandsdygtighedsforanstaltnin-
ger efter den foreslåede § 6. Forpligtelserne er nærmere
beskrevet i de nævnte bestemmelser og bemærkninger hertil.
Det er ikke muligt på nuværende tidspunkt at estimere de
erhvervsøkonomiske konsekvenser ved lovforslaget, da der
er betydelig usikkerhed om både effekterne af de kommende
krav og populationen. Gennemførelsen af CER-direktivet i
dansk ret vurderes dog – samlet set – at medføre væsentlige
erhvervsøkonomiske konsekvenser.
Lovforslaget giver i en række bestemmelser hjemmel til
udstedelse af bekendtgørelser, som indebærer erhvervsøko-
nomiske konsekvenser for erhvervslivet, jf. lovforslagets §
3, stk. 4, § 5, stk. 1, § 6, stk. 1-3, § 8, § 9 og § 14. Virk-
somheder skal bl.a. udarbejde en risikovurdering, træffe for-
anstaltninger til at sikre enhedernes modstandsdygtighed,
herunder udarbejde en plan for modstandsdygtighed, indgi-
ve underretninger ved hændelser, og udlevere oplysninger
i forbindelse med tilsynsbesøg, hvilket forventes konkretise-
ret yderligere i sektorspecifikke bekendtgørelser.
Det er på nuværende tidspunkt uvist, hvor mange danske
virksomheder, der vil blive omfattet af den foreslåede lov,
idet identificering af de kritiske enheder skal ske på bag-
grund af en national strategi og risikovurdering, som først
gennemføres frem mod 2026. De økonomiske og admini-
strative konsekvenser vil desuden afhænge af de pågælden-
de virksomheders eksisterende modstandsdygtighedsniveau
og udviklingen i trusselsbilledet i samfundet. Der vil blive
foretaget en egentlig kvantificering af de erhvervsøkonomi-
ske konsekvenser i 2026.
7. Administrative konsekvenser for borgerne
Lovforslaget vurderes ikke at have administrative konse-
kvenser for borgerne.
8. Klimamæssige konsekvenser
Lovforslaget forventes ikke at have klimamæssige konse-
kvenser.
9. Miljø- og naturmæssige konsekvenser
Lovforslaget vurderes ikke at have miljø eller naturmæssige
konsekvenser.
10. Forholdet til EU-retten
Lovforslaget og de bekendtgørelser, der vil blive udstedt i
medfør af loven, gennemfører Europa-Parlamentets og Rå-
dets direktiv (EU) 2022/2557 af 14. december 2022 om
kritiske enheders modstandsdygtighed og om ophævelse af
Rådets direktiv 2008/114/EF (CER-direktivet).
Det følger af artikel 26, stk. 1, i CER-direktivet, at direktivet
skulle være gennemført i dansk ret senest den 17. oktober
2024 og træde i kraft senest den 18. oktober 2024. Med
den foreslåede bestemmelse i § 18 vil loven dermed træde i
kraft den 1. juli 2025, og således lidt over ni måneder efter
direktivets implementeringsfrist. Den 28. november 2024
indledte EU-Kommissionen traktatbrudssager mod 23 med-
lemsstater, derunder Danmark for ikke at have gennemført
CER-direktivet.
11. Hørte myndigheder og organisationer m.v.
Et udkast til lovforslag har i perioden fra den 5. juli 2024
til den 22. august 2024 (48 dage) været sendt i høring hos
følgende myndigheder og organisationer mv.:
Advokatrådet, ATP, Bestyrelsesforeningen, Danish Care,
Danish Cloud, Community, Danmarks Apotekerforening,
Dansk Arbejdsgiverforening, Danske, Beredskaber, Dansk
Erhverv, Dansk Industri, Dansk IT, Dansk Kollektiv Trafik,
Dansk Luftfart, Dansk Selskab for Patientsikkerhed, Danske
Advokater, Danske Havne, Danske Maritime, Danske Re-
derier, Danske Regioner, Danske Shipping- og Havnevirk-
somheder, Danske Vandværker, DANVA, Dataetisk Råd,
Datatilsynet, Den Danske Dommerforening, DiaLab, Dansk
Diagnostika- og Laboratorieforening, Domstolsstyrelsen,
Erhvervsflyvningens Sammenslutning, Finans Danmark,
Færøernes Landsstyre via Rigsombudsmanden på Færøerne,
GTS-foreningen, Industriforeningen for Generiske og Biosi-
milære Lægemidler, Institut for Menneskerettigheder, IT-po-
litisk forening, Justitia, Kommunernes Landsforening, Land-
brug og Fødevarer, Lægemiddelindustriforeningen, Medi-
coindustrien, Naalakkersuisut via Rigsombudsmanden på
Grønland, Pharmadanmark, Præsidenten for Vestre Lands-
ret, Præsidenten for Østre Landsret, Retspolitisk Forening,
Samtlige byretspræsidenter, SMVdanmark, Statsadvokaten i
København, Statsadvokaten i Viborg og Teleindustrien.
29
12. Sammenfattende skema
Positive konsekvenser/mindreudgif-
ter
(hvis ja, angiv omfang/Hvis nej, an-
før »Ingen«)
Negative konsekvenser/merudgifter
(hvis ja, angiv omfang/Hvis nej, anfør
»Ingen«)
Økonomiske konsekvenser for stat,
kommuner og regioner
Ingen Lovforslaget forventes at medføre
økonomiske konsekvenser for de
statslige myndigheder, der måtte bli-
ve identificeret som kritiske enhe-
der. Løsningen af de myndighedsop-
gaver, der følger af loven, forven-
tes endvidere at medføre økonomiske
konsekvenser, herunder for de mini-
sterområder, der har ressortansvar for
de sektorer, som er omfattet af lo-
vens anvendelsesområde, jf. CER-di-
rektivets bilag.
De statsfinansielle konsekvenser, jf.
også nedenfor om implementerings-
konsekvenser, skønnes – med betyde-
lig usikkerhed – at udgøre 18-31 mio.
kr. årligt.
Implementeringskonsekvenser for
stat, kommuner og regioner
Ingen Lovforslaget forventes at medføre
implementeringskonsekvenser for de
statslige myndigheder, der måtte bli-
ve identificeret som kritiske enhe-
der. Løsningen af de myndighedsop-
gaver, der følger af loven, forven-
tes endvidere at medføre implemen-
teringskonsekvenser, herunder for de
ministerområder, der har ressortan-
svar for de sektorer, som er omfat-
tet af lovens anvendelsesområde, jf.
CER-direktivets bilag.
De statsfinansielle konsekvenser, jf.
også ovenfor om økonomiske konse-
kvenser, skønnes – med betydelig
usikkerhed – at udgøre 18-31 mio. kr.
årligt.
Økonomiske konsekvenser for er-
hvervslivet
Ingen Det har ikke været muligt på nuvæ-
rende tidspunkt at estimere de økono-
miske konsekvenser for erhvervslivet
ved lovforslaget, da der er betydelig
usikkerhed om både effekterne af de
kommende krav og populationen.
Administrative konsekvenser for er-
hvervslivet
Ingen Det har ikke været muligt på nuvæ-
rende tidspunkt at estimere de admi-
nistrative konsekvenser for erhvervs-
livet ved lovforslaget, da der er bety-
delig usikkerhed om både effekterne
30
af de kommende krav og populatio-
nen.
Administrative konsekvenser for bor-
gerne
Ingen Ingen
Klimamæssige konsekvenser Ingen Ingen
Miljø- og naturmæssige konsekven-
ser
Ingen Ingen
Forholdet til EU-retten Loven og de bekendtgørelser, der vil blive udstedt i medfør af loven, gen-
nemfører dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2557
af 14. december 2022 om kritiske enheders modstandsdygtighed og om
ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet). Der henvises
til EU-tidende 2022, nr. L 333, side 164.
Er i strid med de fem principper for
implementering
af erhvervsrettet EU-regulering (der
i relevant omfang, også gælder ved
implementering af ikke-erhvervsret-
tet EU-regulering)
(sæt X)
Ja Nej
X
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Rådets direktiv 2008/114/EF af 8. december 2008 om ind-
kredsning og udpegning af europæisk kritisk infrastruktur
og vurdering af behovet for at beskytte den bedre (EP-
CIP-direktivet) fastsatte en procedure for indkredsning og
udpegning af europæisk kritisk infrastruktur i energi- og
transportsektorerne, hvis forstyrrelse eller ødelæggelse ville
få betydelig grænseoverskridende indvirkning på mindst to
medlemsstater og en fælles fremgangsmåde til vurdering af
behovet for at beskytte denne type infrastruktur med henblik
på at bidrage til beskyttelsen af mennesker.
EPCIP-direktivet er i dansk ret implementeret sektorvist i
energi- og transportsektorerne. For en nærmere gennemgang
af den sektorvise implementering af EPCIP-direktivet henvi-
ses til pkt. 2.4 i lovforslagets bemærkninger.
Efter § 24 i beredskabsloven, jf. lovbekendtgørelse nr. 314
af 3. april 2017, gælder der en forpligtelse for de enkelte
ministre til, inden for deres område, hver især at planlægge
for opretholdelse og videreførelse af samfundets funktioner i
tilfælde af større ulykker og katastrofer.
I EU-retten om finansielle tjenesteydelser fastsættes omfat-
tende krav til finansielle enheder om at håndtere alle risici,
som de står over for, herunder operationelle risici, og for at
sikre forretningskontinuitet.
Det drejer sig om Europa-Parlamentets og Rådets forord-
ning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige
krav til kreditinstitutter og om ændring af forordning (EU)
nr. 648/2012, Europa-Parlamentets og Rådets direktiv (EU)
2013/36 af 26. juni 2013 om adgang til at udøve virksomhed
som kreditinstitut og om tilsyn med kreditinstitutter og inve-
steringsselskaber, om ændring af direktiv 2002/87/EF og om
ophævelse af direktiv 2006/48/EF og 2006/49/EF, som er
gennemført i dansk ret ved lov om finansiel virksomhed,
jf. lovbekendtgørelse nr. 406 af 29. marts 2022, og Europa-
Parlamentets og Rådets direktiv (EU) 2014/65 af 15. maj
2014 om markeder for finansielle instrumenter og om æn-
dring af direktiv 2002/92/EF og direktiv 2011/61/EU, som
er gennemført i dansk ret ved lov om kapitalmarkeder, jf.
lovbekendtgørelse nr. 41 af 13. januar 2023, lov om finan-
siel virksomhed, jf. lovbekendtgørelse nr. 406 af 29. marts
2022, og lov om finansielle rådgivere, investeringsrådgivere
og boligkreditformidlere, jf. lovbekendtgørelse nr. 2016 af
1. november 2021.
Det følger af den foreslåede § 1, stk. 1, at loven finder an-
vendelse på enheder, der er omfattet af enhedskategorierne i
lovens bilag, jf. dog stk. 2-7.
Det foreslåede vil indebære, at lovens anvendelsesområde,
med undtagelse af energisektoren, jf. den foreslåede § 1, stk.
5, vil følge af lovens bilag. Det vil derved være følgende
sektorer: 2) transport med delsektorerne a) luft, b) jernbane,
c) vand, d) vejtransport og e) offentlig transport, 3) bank-
virksomhed, 4) finansiel markedsinfrastruktur, 5) sundhed,
6) drikkevand, 7) spildevand, 8) digital infrastruktur, 9)
offentlig forvaltning, 10) rummet og 11) produktion, tilvirk-
ning og distribution af fødevarer, der er omfattet af lovens
anvendelsesområde.
Det foreslåede anvendelsesområde vil dermed omfatte 10
ud af 11 af de sektorer, der er omfattet af CER-direktivets
anvendelsesområde.
Vedrørende afgrænsningen af offentlig forvaltningsenhed
under den centrale forvaltning som defineret af en medlems-
stat i overensstemmelse med national ret, bemærkes, at det
31
følger af, CER-direktivets artikel 2, nr. 10, litra a - d, at
en offentlig forvaltningsenhed er en enhed, der er anerkendt
som sådan i en medlemsstat i overensstemmelse med na-
tional ret, med undtagelse af retsvæsenet, parlamenter og
centralbanker, som a) er oprettet med henblik på at opfylde
almennyttige formål og ikke har industriel eller kommerciel
karakter, b) har status som juridisk person, eller ved lov
er berettiget til at handle på vegne af en anden enheden
med status som juridisk person, c) overvejende finansieret af
staten, regionale myndigheder eller af andre offentligretlige
organer, er underlagt ledelsesmæssig kontrol af disse myn-
digheder eller organer, eller har et administrations-, ledelses-
eller tilsynsorgan, hvor mere end halvdelen af medlemmerne
udpeges af staten, regionale myndigheder eller andre offent-
ligretlige organer, og d) har beføjelse til at rette administrati-
ve eller lovgivningsmæssige afgørelser til fysiske eller juri-
diske personer, der påvirker deres rettigheder i forbindelse
med grænseoverskridende bevægelighed for personer, varer,
tjenester eller kapital.
De fire kriterier i litra a - d er kumulative, mens kriterie c
indeholder tre alternative betingelser, hvoraf mindst én skal
være opfyldt.
Det følger af CER-direktivets bilag vedrørende sektor, del-
sektorer og enhedskategorier, nr. 9, at omfattet af direktivet
er enheder, som er en offentlig forvaltningsenhed under den
centrale forvaltning som defineret i overensstemmelse med
national ret.
Offentlige forvaltningsmyndigheder under den centrale for-
valtning er ikke et fast defineret begreb i dansk forvaltnings-
ret. Det bemærkes dog, at forvaltningsloven, offentligheds-
loven, retssikkerhedsloven og ombudsmandsloven anvender
begrebet ”den offentlige forvaltning”.
Efter disse fire tværgående forvaltningslove er det afgørende
for, om lovene finder anvendelse på det pågældende organ,
om organet kan karakteriseres som en forvaltningsmyndig-
hed i organisatorisk og formel forstand. Væsentlige kriterier
vil i denne forbindelse være, jf. Niels Fenger, Forvaltnings-
ret (2018), 1. udgave, s. 113: 1) om organet er oprettet
ved lov eller på privat initiativ, 2) om organet er placeret i
et over/underordnelsesforhold til en forvaltningsmyndighed,
3) om organets drift finansieres ved offentlig bevillig eller
private midler og 4) om der ved lov er fastsat regler med
hensyn til anvendelse af bevilgede midler.
I særlige tilfælde, hvor anvendelse af ovenstående organisa-
toriske kriterier giver anledning til tvivl om organets karak-
ter som en forvaltningsmyndighed, kan der desuden tages
hensyn til, om organet udøver offentlige funktioner. Orga-
nets eventuelle benævnelse som ”råd”, ”institut” eller lig-
nende vil derimod ikke være afgørende for, om det omfattes
af begrebet den offentlige forvaltning og de fire love, jf.
Niels Fenger, Forvaltningsret (2018), 1. udgave, s. 113.
Uden for den forvaltningsretslige definition af ”den offent-
lige forvaltning” falder bl.a. Folketinget og visse organer
med organisatorisk tilknytning til Folketinget, Rigsrevisio-
nen, Folketingets Ombudsmand, domstolene, udenlandske
myndigheder og internationale organisationer. Institutioner,
foreninger og selskaber mv. oprettet på privatretligt grund-
lag vil ligeledes som det klare udgangspunkt ikke være om-
fattet af begrebet ”den offentlige forvaltning”. Statslige (og
kommunale) institutioner, der er organiseret i selskabsform,
vil heller ikke umiddelbart være en del af den offentlige for-
valtning, jf. Niels Fenger, Forvaltningsret (2018), 1. udgave,
s. 113 f.
Ved den centrale forvaltning forstås herefter organer på
statsligt niveau, der opfylder ovenstående afgrænsning.
Omfattet af lovens anvendelsesområde vil være enheder,
som er statslige myndigheder, og som opfylder betingelserne
for at blive anset som offentlige forvaltningsenheder. Dette
betyder, at f.eks. departementer, styrelser og institutioner
som f.eks. Udbetaling Danmark må anses som omfattet af
loven.
Derimod vil en række uddannelses- og kulturinstitutioner
næppe være tilstrækkeligt myndighedsudøvende til at udgø-
re offentlige forvaltningsenheder, jf. afgrænsningen ovenfor,
idet de ikke vil opfylde kravet i NIS 2-direktivets artikel 6,
nr. 35, litra c, eller er uden statslig organisatorisk placering.
Det følger af det foreslåede stk. 2, at loven ikke finder
anvendelse på forhold omfattet af lov om foranstaltninger til
sikring af et højt cybersikkerhedsniveau (NIS 2-loven).
Den foreslåede bestemmelse medfører, at forhold, der om-
fattes af NIS 2-loven, ikke omfattes af loven.
Den foreslåede bestemmelse vil gennemføre CER-direkti-
vets artikel 1, stk. 2, som fastsætter, at direktivet ikke finder
anvendelse på spørgsmål, der er omfattet af NIS 2-direkti-
vet, jf. dog CER-direktivets artikel 8. CER-direktivets arti-
kel 8 fastsætter en særlig ordning for kritiske enheder i
sektorerne bankvirksomhed, finansiel markedsinfrastruktur
og digital infrastruktur, jf. den foreslåede § 1, stk. 6.
Formålet med bestemmelsen er at sikre mod dobbeltregule-
ring. En kritisk enhed, der er omfattet af NIS 2-loven, og
som har fastsat passende foranstaltninger for at styre risici
i forhold til net- og informationssystemer, vil dermed ikke
også skulle fastsætte modstandsdygtighedsforanstaltninger
for disse systemer i medfør af CER-loven. Derimod vil den
kritiske enhed skulle opfylde krav og forpligtelser, som føl-
ger af CER-loven, som ligger ud over krav og forpligtelser i
NIS 2-loven.
Det følger af det foreslåede stk. 3, at loven ikke finder an-
vendelse på offentlige forvaltningsenheder, som udfører de-
res aktiviteter inden for national sikkerhed, offentlig sikker-
hed, forsvar eller retshåndhævelse, herunder efterforskning,
afsløring og retsforfølgning af strafbare handlinger.
Den foreslåede bestemmelse indebærer, at offentlige forvalt-
ningsenheder, som udfører deres aktiviteter inden for natio-
32
nal sikkerhed, offentlig sikkerhed, forsvar eller retshåndhæ-
velse, herunder efterforskning, afsløring og retsforfølgning
af strafbare handlinger, ikke vil være omfattet af loven.
Den foreslåede bestemmelse vil således indebære, at loven
ikke finder anvendelse for bl.a. Politiets Efterretningstjene-
ste og Forsvarets Efterretningstjeneste samt retshåndhæven-
de myndigheder, herunder politiet, anklagemyndighed og
domstolene.
Den foreslåede bestemmelse vil gennemføre CER-direkti-
vets artikel 1, stk. 6, hvorefter CER-direktivet ikke finder
anvendelse på offentlige forvaltningsenheder, som udfører
deres aktiviteter inden for national sikkerhed, offentlig sik-
kerhed, forsvar eller retshåndhævelse, herunder efterforsk-
ning, afsløring og retsforfølgning af strafbare handlinger.
Den foreslåede bestemmelse skal forstås i overensstemmelse
med CER-direktivets præambelbetragtning nr. 11, 1. led,
som bl.a. beskriver, at offentlige forvaltningsenheder, hvis
aktiviteter kun er marginalt relateret til disse opregnede
områder, bør være omfattet af CER-direktivets anvendelses-
område, og at enheder med reguleringsbeføjelser i CER-di-
rektivets forstand ikke anses for at udføre aktiviteter inden
for retshåndhævelse. Sådanne myndigheder er derfor ikke
på dette grundlag udelukket fra direktivets anvendelsesom-
råde. Det beskrives endvidere i præambelbetragtningen, at
offentlige forvaltningsenheder, som er eller måtte blive etab-
leret i fællesskab med et tredjeland i overensstemmelse med
en international aftale, samt medlemsstaternes diplomatiske
og konsulære missioner i tredjelande, heller ikke er omfat-
tet af CER-direktivet. Som en konsekvens heraf vil disse
forvaltningsenheder ikke være omfattet af nærværende lov.
Det følger af det foreslåede stk. 4, at vedkommende minister
kan træffe afgørelse om helt eller delvist at undtage specifik-
ke kritiske enheder, der udfører aktiviteter inden for national
sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævel-
se, herunder forebyggelse, efterforskning, afsløring og rets-
forfølgning af strafbare handlinger, eller som udelukkende
leverer tjenester til offentlige forvaltningsenheder, der er
omfattet af stk. 3, fra bestemmelserne i §§ 4-9 og 14-16.
Den foreslåede bestemmelse vil indebære, at vedkommende
minister vil kunne undtage nærmere bestemte kritiske en-
heder fra de foreslåede §§ 4-9 om kritiske enheders risiko-
vurdering, modstandsdygtighedsforanstaltninger, hændelses-
underretninger og baggrundskontrol, samt fra de foreslåede
§§ 14-16 om tilsyn og håndhævelse.
Den foreslåede bestemmelse vil gennemføre CER-direkti-
vets artikel 1, stk. 7, hvorefter medlemsstaterne kan beslutte,
at artikel 11 (samarbejde mellem medlemsstaterne) og kapi-
tel III (om kritiske enheders modstandsdygtighed), IV (om
kritiske enheder af særlig europæisk betydning) og VI (om
tilsyn og håndhævelse) helt eller delvist ikke finder anven-
delse på specifikke kritiske enheder, der udfører aktiviteter
inden for national sikkerhed, offentlig sikkerhed, forsvar
eller retshåndhævelse, herunder efterforskning, afsløring og
retsforfølgning af strafbare handlinger, eller som udelukken-
de leverer tjenester til de offentlige forvaltningsenheder, der
er omhandlet i direktivets artikel 1, stk. 6, som foreslås
gennemført i det foreslåede § 1, stk. 4.
Bestemmelsen skal forstås i overensstemmelse med CER-di-
rektivets præambelbetragtning nr. 11, 2. led, hvori det bl.a.
anføres, at i betragtning af medlemsstaternes ansvar for at
varetage national sikkerhed og forsvar bør medlemsstater
kunne beslutte, at kritiske enheders forpligtelser fastsat i
CER-direktivet helt eller delvist ikke finder anvendelse på
disse kritiske enheder, hvis de tjenester, som de leverer, eller
de aktiviteter, som de udfører, hovedsageligt vedrører områ-
derne national sikkerhed, offentlig sikkerhed, forsvar eller
retshåndhævelse, herunder efterforskning, afsløring og rets-
forfølgning af strafbare handlinger. Kritiske enheder, hvis
tjenester eller aktiviteter kun er marginalt relaterede til disse
områder, bør dog ifølge samme præambelbetragtning stadig
være omfattet af CER-direktivets anvendelsesområde.
Den foreslåede bestemmelse vil omfatte enheder, der ikke
allerede er undtaget fra lovens anvendelsesområde, jf. den
foreslåede § 1, stk. 3, som undtager offentlige forvaltnings-
enheder, der udfører aktiviteter inden for national sikkerhed,
offentlig sikkerhed, forsvar eller retshåndhævelse, herunder
forebyggelse, efterforskning, afsløring og retsforfølgning af
strafbare handlinger. Der vil således typisk være tale om
private virksomheder, der selvstændigt udfører aktiviteter
inden for national sikkerhed, offentlig sikkerhed, forsvar
eller retshåndhævelse. I Danmark er der ikke tradition for, at
private virksomheder selvstændigt udfører aktiviteter inden
for national sikkerhed m.v., og derfor forventes denne del af
den foreslåede bestemmelse at have et begrænset anvendel-
sesområde.
Bestemmelsen vil også omfatte enheder, der udelukkende
leverer tjenester til offentlige forvaltningsenheder, som ud-
fører aktiviteter inden for national sikkerhed, offentlig sik-
kerhed, forsvar eller retshåndhævelse, herunder forebyggel-
se, efterforskning, afsløring og retsforfølgning af strafbare
handlinger, der derfor vil kunne undtages fra de pågældende
foreslåede bestemmelser.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at det forhold, at en enhed »udelukkende leverer
tjenester« til forvaltningsenheder, der udfører de ovenfor
nævnte aktiviteter, indebærer, at de tjenester, som enheden
leverer, eksklusivt skal leveres til offentlige forvaltningsen-
heder, der udfører disse aktiviteter. Såfremt en enhed både
leverer tjenesten til offentlige forvaltningsenheder, der udfø-
rer de nævnte aktiviteter, og til andre aktører, eksempelvis
private virksomheder eller offentlige forvaltningsenheder,
som ikke udfører aktiviteter inden for national sikkerhed,
offentlig sikkerhed, forsvar eller retshåndhævelse, herunder
forebyggelse, efterforskning, afsløring og retsforfølgning af
strafbare handlinger, vil enheden ikke kunne undtages fra
bestemmelserne i de foreslåede §§ 4-9 og §§ 14-16.
Det følger af det foreslåede stk. 5, at loven ikke finder
33
anvendelse på enheder i det omfang, de er omfattet af lov
om styrket beredskab i energisektoren.
Den foreslåede bestemmelse medfører, at enheder i det om-
fang, de er omfattet af lov om styrket beredskab i energisek-
toren, ikke vil være omfattet af loven.
Baggrunden for bestemmelsen er, at CER-direktivet gen-
nemføres ved særskilt regulering for energisektoren.
I tilfælde, hvor en enhed både indgår i energisektoren og
andre sektorer, som er oplistet i lovens bilag, vil enheden
fortsat være omfattet af denne lovs anvendelsesområde for
så vidt angår enhedens aktiviteter i disse sektorer.
Det følger af det foreslåede stk. 6, at §§ 4-9 og 14-16 ikke
finder anvendelse på kritiske enheder i sektorerne bankvirk-
somhed, finansiel markedsinfrastruktur og digital infrastruk-
tur i lovens bilag 3., 4. og 8.pkt.
Efter den foreslåede bestemmelse vil de pågældende sek-
torer ikke være omfattet af de foreslåede regler om kri-
tiske enheders risikovurdering, modstandsdygtighedsforan-
staltninger, hændelsesunderretninger og mulighed for bag-
grundskontrol samt de foreslåede regler om tilsyn og hånd-
hævelse. Herudover vil disse sektorer ikke være omfattet af
de foreslåede regler om kritiske enheder af særlig europæisk
betydning.
Herved bliver disse sektorer i praksis alene omfattet af
reglerne om identifikation af kritiske enheder samt myndig-
hedernes støtte til kritiske enheder, ligesom den nationale
strategi og risikovurdering vil omfatte disse sektorer.
Den foreslåede bestemmelse vil gennemføre CER-direkti-
vets artikel 8, som fastsætter, at medlemsstaterne skal sikre,
at artikel 11 (om samarbejde mellem medlemsstaterne), ka-
pitel III (om kritiske enheders modstandsdygtighed), kapitel
IV (om kritiske enheder af særlig europæisk betydning) og
kapitel VI (om tilsyn og håndhævelse) ikke finder anvendel-
se på kritiske enheder, som de har identificeret i sektorerne
bankvirksomhed, finansiel markedsinfrastruktur og digital
infrastruktur. Efter artiklen kan medlemsstaterne vedtage el-
ler opretholde bestemmelser i national ret for at opnå et hø-
jere niveau for disse kritiske enheders modstandsdygtighed,
forudsat at disse bestemmelser er i overensstemmelse med
gældende EU-ret.
Baggrunden for artikel 8 beskrives i CER-direktivets præ-
ambelbetragtning nr. 20 og 21.
Præambelbetragtning nr. 20 omhandler sektoren for digital
infrastruktur og beskriver bl.a., at i henhold til NIS 2-di-
rektivet skal enheder, der tilhører sektoren for digital infra-
struktur, og som kunne betragtes som kritiske enheder efter
CER-direktivet, træffe passende og forholdsmæssige tekni-
ske, operationelle og organisatoriske foranstaltninger for at
styre risiciene for sikkerheden i net- og informationssyste-
mer samt underrette om væsentlige hændelser og cybertru-
sler. Det fremgår videre af denne præambelbetragtning, at
eftersom kravene i NIS 2-direktivet mindst svarer til de
tilsvarende forpligtelser i CER-direktivet, bør forpligtelserne
i CER-direktivets artikel 11 og kapitel III, IV og VI ikke
finde anvendelse på enheder, der tilhører sektoren for digital
infrastruktur.
Præambelbetragtning nr. 21 omhandler enheder i den fi-
nansielle sektor og beskriver bl.a., at der i EU-retten om
finansielle tjenesteydelser er fastsat omfattende krav til fi-
nansielle enheder om at håndtere alle risici, som de står
over for, herunder operationelle risici, og sikre forretnings-
kontinuitet. Der henvises i den forbindelse bl.a. til Europa-
Parlamentets og Rådets forordning (EU) 2022/2554 af 14.
december 2022 om digital operationel modstandsdygtighed i
den finansielle sektor og om ændring af forordning (EF) nr.
1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr.
909/2014 og (EU) 2016/1011 (DORA-forordningen), som
fastsætter krav til finansielle enheder om at styre risici i
forbindelse med informations- og kommunikationsteknologi
(IKT), herunder vedrørende beskyttelse af fysisk IKT-infra-
struktur.
Det fremgår videre af præambelbetragtningen, at eftersom
disse enheders modstandsdygtighed derfor er fuldt ud dæk-
ket, bør artikel 11 og kapitel III, IV og VI i CER-direktivet
ikke finde anvendelse på disse enheder for at undgå dobbelt-
arbejde og unødvendige administrative byrder.
Det bemærkes i den forbindelse, at CER-direktivet, NIS
2-direktivet og DORA-forordningen blev offentliggjort som
en samlet pakke, og at de tre EU-retsakter således har en tæt
sammenhæng med hinanden.
Det følger af det foreslåede stk. 7, at vedkommende minister
kan træffe afgørelse om, at loven helt eller delvist ikke
finder anvendelse på kritiske enheder, hvor sektorspecifikke
EU-retsakter og eventuel national gennemførelse heraf har
mindst samme virkning som de tilsvarende forpligtelser ef-
ter denne lov og regler udstedt i medfør af denne lov.
Bestemmelsen vil indebære, at det vil være op til
vedkommende minister at bestemme, om – og i givet fald
i hvilket omfang – der skal gøres undtagelse fra hele eller
dele af nærværende lov med henvisning til sektorspecifikke
EU-retsakter og eventuel national implementering heraf. Det
skal ses i lyset af, at undtagelsen fra CER-direktivet forud-
sætter, at medlemsstaterne har anerkendt forpligtelserne i de
sektorspecifikke EU-retsakter som havende mindst samme
virkning som de tilsvarende forpligtelser, der følger af CER-
direktivet. Den pågældende minister kan eksempelvis be-
stemme, at kritiske enheder fortsat vil skulle foretage hæn-
delsesunderretning efter nærværende lov, men at reglerne
om kritiske enheders modstandsdygtighedsforanstaltninger
ikke finder anvendelse.
Den foreslåede bestemmelse vil gennemføre CER-direkti-
vets artikel 1, stk. 3, hvoraf det følger, at hvor bestemmelser
i sektorspecifikke EU-retsakter kræver, at kritiske enheder
træffer foranstaltninger for at styrke deres modstandsdygtig-
34
hed, og hvor disse krav er anerkendt af medlemsstaterne
som svarende mindst til de tilsvarende forpligtelser, der er
fastsat i CER-direktivet, finder de relevante bestemmelser i
CER-direktivet, herunder bestemmelsen om tilsyn og hånd-
hævelse i direktivets kapitel VI, ikke anvendelse.
Der henvises i øvrigt til pkt. 2.2.2.1 og 3.1.3 i lovforslagets
bemærkninger.
Til § 2
Den foreslåede bestemmelse i § 2 indeholder definitioner af
lovens otte centrale begreber.
Definitionerne bygger på de tilsvarende definitioner i artikel
2, nr. 2-7, i CER-direktivet.
Den foreslåede bestemmelse svarer indholdsmæssigt til de
relevante dele af CER-direktivets artikel 2 og skal forstås
og anvendes i overensstemmelse med direktivets forudsæt-
ninger.
Det følger af det foreslåede nr. 1, at der ved »centralt kon-
taktpunkter« forstås den myndighed, der udøver forbindel-
sesfunktionen for at sikre grænseoverskridende samarbejde
mellem de danske myndigheder, myndigheder i andre med-
lemsstater i Den Europæiske Union og Den Europæiske
Unions institutioner, samt for at sikre tværsektorielt samar-
bejde mellem de nationale kompetente myndigheder.
Bestemmelsen er baseret på CER-direktivets artikel 9, stk.
2, hvorefter hver medlemsstat udpeger eller opretter et
centralt kontaktpunkt til at varetage en forbindelsesfunkti-
on med henblik på at sikre grænseoverskridende samarbej-
de med de andre medlemsstaters centrale kontaktpunkter
og Gruppen for Kritiske Enheders Modstandsdygtighed om-
handlet i artikel 19 (»centralt kontaktpunkter«). Bestemmel-
sen er endvidere baseret på præambel nr. 23, hvoraf det bl.a.
fremgår, at det centrale kontaktpunkt har ansvar for at ko-
ordinere spørgsmål vedrørende kritiske enheders modstands-
dygtighed og grænseoverskridende samarbejde på EU-plan
samt at det centrale kontaktpunkt bør holde kontakt med
og koordinere kommunikationen, hvor det er relevant, med
sin medlemsstats kompetente myndigheder, med andre med-
lemsstaters centrale kontaktpunkter og med Gruppen for
Kritiske Enheders Modstandsdygtighed.
Det forventes, at Styrelsen for Samfundssikkerhed vil vare-
tage opgaven som centralt kontaktpunkt.
Det følger af det foreslåede nr. 2, at der ved »hændelse«
forstås en begivenhed, der har potentiale til i betydelig grad
at forstyrre, eller som forstyrrer, leveringen af en væsentlig
tjeneste.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr.
3, hvorefter der ved »hændelse« forstås en begivenhed, der
har potentiale til i betydelig grad at forstyrre, eller som for-
styrrer, leveringen af en væsentlig tjeneste, herunder når den
påvirker de nationale systemer, der sikrer retsstatsprincippet.
Det følger af det foreslåede nr. 3, at der ved »kritisk enhed«
forstås en offentlig eller privat enhed, som er blevet identifi-
ceret efter § 3.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 1,
hvorefter en »kritisk enhed« skal forstås som en offentlig el-
ler privat enhed, som er blevet identificeret af en medlems-
stat i overensstemmelse med artikel 6 som tilhørende en af
kategorierne anført i tredje kolonne i tabellen i bilaget.
Det følger af det foreslåede nr. 4, at der ved »kritisk infra-
struktur« forstås et aktiv, en facilitet, udstyr, et netværk eller
et system, eller en del af et aktiv, en facilitet, udstyr, et
netværk eller et system, som er nødvendig(t) for leveringen
af en væsentlig tjeneste.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 4,
hvorefter der ved »kritisk infrastruktur« forstås et aktiv, en
facilitet, udstyr, et netværk eller et system, eller en del af et
aktiv, en facilitet, udstyr, et netværk eller et system, som er
nødvendig(t) for leveringen af en væsentlig tjeneste.
Det følger af det foreslåede, nr. 5, at der ved »modstands-
dygtighed« forstås en kritisk enheds evne til at forebygge,
beskytte mod, reagere på, modstå, afbøde, absorbere, tilpas-
se sig og sikre genopretning efter en hændelse.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 2,
hvorefter der ved »modstandsdygtighed« forstås en kritisk
enheds evne til at forebygge, beskytte mod, reagere på,
modstå, afbøde, absorbere, tilpasse sig og komme på fode
igen efter en hændelse.
Det følger af det foreslåede, nr. 6, at der ved »risiko« forstås
potentialet for tab eller forstyrrelse som følge af en hændel-
se, der skal udtrykkes som en kombination af størrelsen af
et sådant tab eller en sådan forstyrrelse og sandsynligheden
for, at hændelsen indtræffer.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr.
6, hvorefter der ved »risiko« forstås potentialet for tab eller
forstyrrelse som følge af en hændelse, der skal udtrykkes
som en kombination af størrelsen af et sådant tab eller en
sådan forstyrrelse og sandsynligheden for, at hændelsen ind-
træffer.
Det følger af det foreslåede, nr. 7, at der ved »risikovurde-
ring« forstås den samlede proces med henblik på at bestem-
me arten og omfanget af en risiko ved at identificere og
analysere potentielle relevante trusler, sårbarheder og farer,
der kunne føre til en hændelse, og ved at evaluere det poten-
tielle tab eller den potentielle forstyrrelse af leveringen af en
væsentlig tjeneste forårsaget af denne hændelse.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr.
7, hvorefter der ved »risikovurdering« forstås den samlede
proces med henblik på at bestemme arten og omfanget af en
risiko ved at identificere og analysere potentielle relevante
trusler, sårbarheder og farer, der kunne føre til en hændelse,
og ved at evaluere den potentielle tab eller den potentielle
35
forstyrrelse af leveringen af en væsentlig tjeneste forårsaget
af denne hændelse.
Det følger af det foreslåede nr. 8, at der ved »væsentlig
tjeneste« forstås en tjeneste, der er afgørende for oprethol-
delsen af vitale samfundsmæssige funktioner, økonomiske
aktiviteter, folkesundhed, offentlig sikkerhed eller miljøet.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr.
5, hvorefter der ved »væsentlig tjeneste« forstås en tjeneste,
der er afgørende for opretholdelsen af vitale samfundsmæs-
sige funktioner, økonomiske aktiviteter, folkesundhed og of-
fentlig sikkerhed eller miljøet.
Til § 3
EPCIP-direktivet fandt anvendelse for energi- og transport-
sektorerne.
Direktivets artikel 4 fastsatte nærmere regler om udpegning
af europæisk kritisk infrastruktur.
Dette er gennemført i bekendtgørelse nr. 7 af 6. januar 2011
om kritisk europæisk infrastruktur på vejområdet (EPCIP-
direktivet), bekendtgørelse nr. 1461 af 14. december 2010
om europæisk kritisk infrastruktur på jernbaneområdet (EP-
CIP-direktivet) og bekendtgørelse nr. 1726 af 22. december
2010 om europæisk kritisk infrastruktur på havneområdet
(EPCIP-direktivet) for så vidt angår transportsektoren. For
en nærmere gennemgang heraf henvises til pkt. 2.4.
Det følger af den foreslåede § 3, stk. 1, at vedkommende mi-
nister træffer afgørelse om identifikation og afidentifikation
af kritiske enheder, der er omfattet af enhedskategorierne i
lovens bilag, og opstiller en liste over de kritiske enheder,
der er blevet identificeret. Listen over identificerede kritiske
enheder skal gennemgås og ajourføres, hvor det er nødven-
digt, dog mindst hvert fjerde år.
Den foreslåede bestemmelse vil indebære, at vedkommende
minister træffer afgørelse om identifikation og afidentifikati-
on af kritiske enheder, der er omfattet af enhedskategorierne
i lovens bilag, ligesom vedkommende minister vil skulle op-
stille en liste over de identificerede kritiske enheder. Listen
over identificerede kritiske enheder vil skulle gennemgås og
ajourføres, hvor det er nødvendigt, dog mindst hvert fjerde
år.
Den foreslåede bestemmelse vil gennemføre artikel 6, stk.
1, i CER-direktivet, hvoraf det fremgår, at hver medlemsstat
senest den 17. juli 2026 skal have identificeret kritiske enhe-
der for de sektorer og delsektorer, der er anført i bilaget til
CER-direktivet.
Om baggrunden for artikel 6, stk. 1, beskrives det i CER-di-
rektivets præambelbetragtning nr. 8, at medlemsstaterne for
at opnå en høj grad af modstandsdygtighed bør identificere
kritiske enheder, som vil være underlagt specifikke krav og
specifikt tilsyn, og som vil ydes særlig støtte og vejledning
over for alle relevante risici.
Det følger af CER-direktivets artikel 6, stk. 3, at medlems-
staterne skal føre en liste over identificerede kritiske enhe-
der, og efter artikel 6, stk. 5, skal listen, hvor det er nødven-
digt og under alle omstændigheder mindst hvert fjerde år,
gennemgås og i relevant omfang ajourføres. Vedkommende
minister er derfor forpligtet til at revidere oversigten over
udpegede enheder, når det er nødvendigt og mindst én gang
hvert fjerde år.
Hvis disse ajourføringer fører til identifikation af yderligere
kritiske enheder, finder CER-direktivets artikel 6, stk. 3 og
4, om underretning om identifikation, anvendelse for de
yderligere kritiske enheder.
Det følger desuden af CER-direktivets artikel 6, stk. 5, at
medlemsstaterne sikrer, at enheder, der ikke længere identi-
ficeres som kritiske enheder som følge af en ajourføring,
rettidigt underrettes herom og om, at de ikke længere er om-
fattet af forpligtelserne i henhold til CER-direktivets kapitel
III (om kritiske enheders modstandsdygtighed) fra datoen
for modtagelsen af denne orientering.
Det bemærkes, at vedkommende minister i overensstemmel-
se med de almindelige forvaltningsretlige principper om
delegation kan beslutte at delegere sin kompetence til en
underliggende myndighed, herunder en udpeget kompetent
myndighed.
Identifikation og afidentifikation af en kritisk enhed vil være
en afgørelse i forvaltningsretlig forstand. Det medfører, at
de almindelige forvaltningsretlige regler og principper vil
være gældende. Det medfører også, at en enhed inden for de
almindelige forvaltningsretlige principper om administrativ
rekurs vil have adgang til at påklage en afgørelse om identi-
fikation og afidentifikation som kritisk enhed.
Identifikationen af en kritisk enhed vil ske ved, at
vedkommende minister træffer en afgørelse herom, som
vil skulle meddeles enheden for at få retsvirkning. Under-
retningen af den kritiske enhed vil derfor ske som led i
meddelelsen af afgørelsen om identifikation. I praksis vil
orienteringen om den kritiske enheds forpligtelser, samt om
fra hvilken dato forpligtelserne finder anvendelse, typisk
fremgå af afgørelsen om identifikation.
Det følger af det foreslåede stk. 2, at der ved identifikation
af kritiske enheder lægges vægt på følgende: 1) den nati-
onale strategi for styrkelse af kritiske enheders modstands-
dygtighed, 2) den nationale risikovurdering med henblik på
identifikation af kritiske enheder, 3) om enheden leverer en
eller flere væsentlige tjenester, 4) om enheden opererer i
og har sin kritiske infrastruktur beliggende på dansk territo-
rium og 5) om en hændelse vil have betydelig forstyrrende
virkning, jf. stk. 3, på enhedens levering af en eller flere
væsentlige tjenester eller på leveringen af andre væsentlige
tjenester i sektorer omfattet af CER-direktivet, som er af-
hængige af denne eller disse væsentlige tjenester.
Det foreslåede i nr. 1, vil indebære, at der ved identifikation
36
af kritiske enheder vil blive lagt vægt på den nationale stra-
tegi for styrkelse af kritiske enheders modstandsdygtighed.
Det fremgår af CER-direktivets artikel 4, stk. 1, at hver
medlemsstat senest den 17. januar 2026 vedtager en strategi
for styrkelse af kritiske enheders modstandsdygtighed. For
så vidt angår den nationale strategi og -risikovurdering hen-
vises til pkt. 2.2.2.1 i lovforslagets bemærkninger.
Det foreslåede i nr. 2, vil medføre, at der ved identifikation
af kritiske enheder vil blive lagt vægt på den nationale risi-
kovurdering med henblik på identifikation af kritiske enhe-
der.
Det følger af CER-direktivets artikel 5, stk. 1, den nationale
risikovurdering skal være foretaget senest den 17. januar
2026. For så vidt angår den nationale strategi og -risikovur-
dering henvises til pkt. 2.2.2.1 i lovforslagets bemærkninger.
Det foreslåede i nr. 3, vil indebære, at der ved identifikation
af kritiske enheder vil blive lagt vægt på enheden leverer en
eller flere væsentlige tjenester.
Der henvises i den forbindelse til den foreslåede § 2, nr.
8, hvoraf det fremgår, at en væsentlig tjeneste er en tjenes-
te, der er afgørende for opretholdelsen af vitale samfunds-
mæssige funktioner, økonomiske aktiviteter, folkesundhed,
offentlig sikkerhed eller miljøet.
Det foreslåede i nr. 4, vil medføre, at der ved identifikation
af kritiske enheder vil blive lagt vægt på om enheden opere-
rer i og har sin kritiske infrastruktur beliggende på dansk
territorium.
Det bemærkes i den forbindelse, at den danske sprogversi-
ons gengivelse af direktivets kriterier for identificering af
kritiske enheder omtaler, hvorvidt »enheden opererer og
dens kritiske infrastruktur er beliggende på denne medlems-
stats område«. Den engelske sprogversion anvender deri-
mod »territory«.
Henset til, at der vurderes at være en indholdsmæssig for-
skel på »område« og »territory«, har Ministeriet for Sam-
fundssikkerhed og Beredskab i nærværende lovforslag lagt
sig op ad den engelske sprogversion. Det indebærer, at der
ved identificering af kritiske enheder bl.a. vil skulle lægges
vægt på, om enheden opererer i og har sin kritiske infra-
struktur beliggende på dansk territorium.
Dette skal i øvrigt også forstås i lyset af territorialbestem-
melsen i den foreslåede § 19, hvorefter loven ikke gælder
for Færøerne og Grønland, men ved kongelig anordning helt
eller delvist kan sættes i kraft for Færøerne og Grønland
med de ændringer, som de henholdsvis færøske og grøn-
landske forhold tilsiger.
I overensstemmelse med direktivets forudsætninger, som
udtrykt i præambelbetragtning nr. 16, vil en enhed skulle
anses for at operere på en medlemsstats område (forstået
som territorium), hvor den udfører de aktiviteter, der er nød-
vendige for den eller de pågældende væsentlige tjenester,
og hvor enhedens kritiske infrastruktur, som anvendes til at
levere den eller de pågældende tjenester, er beliggende. Hvis
der ikke er nogen enhed, der opfylder disse kriterier i en
medlemsstat, bør den pågældende medlemsstat ikke være
forpligtet til at identificere en kritisk enhed i den tilsvarende
sektor eller delsektor.
Det foreslåede i nr. 5, vil indebære, at der ved identifikation
af kritiske enheder vil blive lagt vægt på om en hændelse
vil have betydelig forstyrrende virkning, jf. stk. 3, på enhe-
dens levering af en eller flere væsentlige tjenester eller på
leveringen af andre væsentlige tjenester i sektorer omfattet
af CER-direktivet, som er afhængige af denne eller disse
væsentlige tjenester.
For vurderingen af, om en hændelse vil have betydelig for-
styrrende virkning, henvises til bemærkningerne til § 3, stk.
3.
Den foreslåede bestemmelse gennemfører CER-direktivets
artikel 6, stk. 2, hvoraf det fremgår, at når en medlemsstat
identificerer kritiske enheder, tager den hensyn til resulta-
terne af dens medlemsstatsrisikovurdering og dens strategi
og anvender alle følgende kriterier: a) enheden leverer en
eller flere væsentlige tjenester, b) enheden opererer og dens
kritiske infrastruktur er beliggende på denne medlemsstats
område, og c) en hændelse vil have betydelige forstyrrende
virkninger som fastslået i overensstemmelse med artikel 7,
stk. 1, (om betydelige forstyrrende virkninger) på enhedens
levering af en eller flere væsentlige tjenester eller på leve-
ringen af andre væsentlige tjenester i sektorerne anført i
direktivets bilag, som er afhængige af denne eller disse væ-
sentlige tjenester.
Den foreslåede bestemmelse vil indebære, at de opregnede
elementer alle skal inddrages, når vedkommende minister
skal træffe afgørelse om, hvorvidt en enhed skal identifice-
res som kritisk.
Det følger af det foreslåede stk. 3, at ved fastlæggelse af,
om en hændelse vil have betydelig forstyrrende virkning, jf.
stk. 2, nr. 5, lægges der vægt på følgende: 1) antal brugere,
der er afhængige af den væsentlige tjeneste, som udbydes af
den berørte enhed, 2) omfanget af andre sektorers og delsek-
torers afhængighed af den pågældende væsentlige tjeneste,
3) den indvirkning, som hændelser kan have med hensyn til
omfang og varighed på økonomiske og samfundsmæssige
aktiviteter, miljøet, den offentlige sikkerhed eller befolknin-
gens sundhed, 4) enhedens markedsandel på markedet for
den eller de berørte væsentlige tjenester, 5) det geografiske
område, der kan blive berørt af en hændelse, herunder even-
tuel grænseoverskridende indvirkning, 6) enhedens betyd-
ning med hensyn til at opretholde et tilstrækkeligt niveau for
den væsentlige tjeneste under hensyntagen til tilgængelighed
af alternative måder at levere denne væsentlige tjeneste på.
Den foreslåede bestemmelse vil indebære, at der ved vurde-
37
ringen af, om en hændelse vil have betydelig forstyrrende
virkning, vil blive lagt vægt på kriterierne opstillet i nr. 1-6.
Den foreslåede bestemmelse vil gennemføre CER-direkti-
vets artikel 7, stk. 1, hvoraf det fremgår, at medlemsstaterne
ved fastlæggelsen af betydningen af en forstyrrende virk-
ning, skal tage hensyn til følgende kriterier: 1) Antal bruge-
re, der er afhængige af den væsentlige tjeneste, som udbydes
af den berørte enhed, 2) omfanget af andre i bilaget anførte
sektorers og delsektorers afhængighed af den pågældende
væsentlige tjeneste, 3) den indvirkning som hændelser kun-
ne have med hensyn til omfang og varighed på økonomiske
og samfundsmæssige aktiviteter, miljøet, den offentlige sik-
kerhed eller befolkningens sundhed, 4) enhedens markeds-
andel på markedet for den berørte væsentlige tjeneste eller
de berørte væsentlige tjenester, 5) det geografiske område,
der kunne blive berørt af en hændelse, herunder eventuel
grænseoverskridende indvirkning, under hensyntagen til den
sårbarhed, som er forbundet med den grad af afsondrethed,
der kendetegner visse typer af geografiske områder, såsom
ø-regioner, afsidesliggende regioner eller bjergområder, 6)
enhedens betydning med hensyn til at opretholde et tilstræk-
keligt niveau for den væsentlige tjeneste under hensyntagen
til tilgængelighed af alternative måder at levere denne væ-
sentlige tjeneste på.
Baggrunden for artikel 7, stk. 1, beskrives i CER-direktivets
præambelbetragtning nr. 18, hvoraf bl.a. fremgår, at der bør
fastlægges kriterier for bestemmelse af betydningen af en
forstyrrende virkning som følge af en hændelse, og at disse
kriterier bør være baseret på kriterierne i Europa-Parlamen-
tets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om
foranstaltninger, der skal sikre et højt fælles sikkerhedsni-
veau for net- og informationssystemer i hele Unionen (NIS
1-direktivet). Det fremgår videre, at større kriser, såsom co-
vid-19-pandemien, har vist, hvor vigtigt det er at sørge for
forsyningskædesikkerhed, og hvordan forstyrrelse heraf kan
have negativ økonomisk og samfundsmæssig indvirkning
inden for en lang række sektorer og på tværs af grænse-
rne. Medlemsstaterne bør derfor også i det omfang, det er
muligt, overveje virkningerne på forsyningskæden, når de
fastslår i hvilket omfang andre sektorer og delsektorer af-
hænger af de væsentlige tjenester, der udbydes af en kritisk
enhed.
Den foreslåede bestemmelse vil indebære, at de opregnede
kriterier alle skal inddrages, når vedkommende minister skal
vurdere, om en hændelse vil have betydelige forstyrrende
virkninger på enhedens levering af en eller flere væsentlige
tjenester eller på leveringen af andre væsentlige tjenester i
sektorer omfattet af CER-direktivet, som er afhængige af
denne eller disse væsentlige tjenester. Ud over de sektorer,
der omfattes af nærværende lovforslag, vil dette også omfat-
te energisektoren, som reguleres særskilt.
Det følger af det foreslåede stk. 4, at vedkommende minister
kan kræve, at en enhed fremlægger materiale og oplysnin-
ger, der er nødvendige for stillingtagen til, om denne skal
identificeres som kritisk.
Den foreslåede bestemmelse vil medføre, at vedkommende
minister til brug for vurderingen af, hvorvidt en enhed skal
identificeres som en kritisk enhed, vil kunne kræve, at enhe-
der fremlægger materiale og oplysninger, der er nødvendige
for stillingtagen til, om den pågældende enhed skal identifi-
ceres som kritisk.
Dette vil eksempelvis kunne omfatte oplysninger om, hvor-
vidt enheden leverer en eller flere væsentlige tjenester, eller
om enheden opererer i og har sin kritiske infrastruktur belig-
gende i Danmark.
Det vil også kunne omfatte oplysninger og materiale, der
kan belyse antal brugere, der er afhængige af den væsentlige
tjeneste, som udbydes af den berørte enhed.
Det bemærkes, at der vil være tale om en oplysningspligt
omfattet af lov om retssikkerhed ved forvaltningens anven-
delse af tvangsindgreb og oplysningspligter for så vidt angår
enhedens pligt til at fremlægge oplysninger og materiale,
der er nødvendig for stillingtagen til, om enheden identifice-
res som kritisk. Dette indebærer, at retten til ikke at inkrimi-
nere sig selv, jf. kapitel 4 i nævnte lov, skal overholdes. Det
bemærkes dog, at det af bemærkningerne til § 10 i lov
om retssikkerhed ved forvaltningernes anvendelse af tvangs-
indgreb og oplysningspligter fremgår, at bestemmelsen om
forbud mod selvinkriminering ikke er til hindre for, at den
mistænkte kan pålægges at give (faktuelle) oplysninger,
som er uden betydning for bedømmelsen af, hvorvidt den
pågældende har begået en lovovertrædelse, der kan medfø-
re straf. Bestemmelsen vil således ikke være til hinder for
at anvende en oplysningspligt til at kræve oplysninger om
navn, adresse mv., jf. herved også retsplejelovens § 750,
hvorefter enhver på forlangende er forpligtet til over for
politiet at opgive navn, adresse og fødselsdato. Der henvises
til Folketingstidende 2003-04, tillæg A, side 3097. Der vil
med den foreslåede bestemmelse være tale om oplysnings-
pligt, som beskrevet ovenfor. Det er derfor Ministeriet for
Samfundssikkerhed og Beredskabs opfattelse, at kapitel 4
i lov om retssikkerhed ved forvaltningens anvendelse af
tvangsindgreb og oplysningspligter alene vil være relevant i
praksis i yderst sjældne tilfælde.
Det følger af det foreslåede stk. 5, at vedkommende minister
inden for én måned efter identifikation efter stk. 1, oriente-
rer den kritiske enhed om dennes forpligtelser, og om fra
hvilken dato forpligtelserne finder anvendelse. Lovens §§
6-9 finder herefter anvendelse ti måneder efter, at den kriti-
ske enhed har modtaget en sådan orientering.
Den foreslåede bestemmelse vil for det første indebære, at
ministeren inden én måned efter identifikation skal orientere
den kritiske enhed om lovens forpligtelser, og om fra hvil-
ken dato forpligtelserne finder anvendelse.
Der stilles ikke særlige krav til orienteringens form. Det er
derfor op til den enkelte minister at tilrettelægge sagsgangen
og administrationen, men under forudsætning af, at oriente-
38
ringen finder sted inden for en måned efter, at enheden er
identificeret som kritisk enhed.
Den foreslåede bestemmelse vil gennemføre CER-direkti-
vets artikel 6, stk. 3 og 5. Af CER-direktivets artikel 6,
stk. 3 følger det bl.a., at hver medlemsstat sikrer, at identi-
ficerede kritiske enheder inden for en måned efter denne
identifikation underrettes om, at de er blevet identificeret
som kritiske enheder.
Den foreslåede bestemmelse vil for det andet indebære, at
lovens §§ 6-9 finder anvendelse ti måneder efter, at den
kritiske enhed har modtaget en sådan orientering.
Det bemærkes i den forbindelse, at det følger af CER-direk-
tivets artikel 6, stk. 3, at direktivets kapitel III om kritiske
enheders modstandsdygtighed – der bl.a. omhandler kritiske
enheders risikovurdering og modstandsdygtighedsforanstalt-
ninger, baggrundskontrol, og enhedernes underretning om
hændelser finder anvendelse fra ti måneder efter datoen for
underretningen om, at enheden er identificeret som kritisk
enhed. Det fremgår dog særskilt af CER-direktivets artikel
12, stk. 1, at kritiske enheder inden ni måneder efter datoen
for underretningen skal have foretaget deres risikovurdering.
For så vidt angår kritiske enheder i sektorerne bankvirksom-
hed, finansiel markedsinfrastruktur og digital infrastruktur
følger det endvidere af CER-direktivets artikel 6, stk. 3, at
medlemsstaten skal orientere disse enheder om, at de ikke
har forpligtelser i henhold til CER-direktivets kapitel III
om kritiske enheders modstandsdygtighed og kapitel IV om
kritiske enheder af særlig europæisk betydning, medmindre
andet er fastsat i national ret.
Det følger af det foreslåede stk. 6, at ministeren for sam-
fundssikkerhed og beredskab kan fastsætte nærmere regler
om identifikation af kritiske enheder efter stk. 1, og hvad der
forstås ved en hændelses betydelige forstyrrende virkninger
efter stk. 3 i en given sektor.
Den foreslåede bestemmelse vil indebære, at der kan fast-
sættes nærmere regler om identifikation af kritiske enhe-
der. Anvendelsen af modellen med en tværgående hovedlov,
der suppleres af bekendtgørelser, vil i øvrigt sikre, at der i
nødvendigt omfang kan ske hurtig ændring af reglerne på
baggrund af eksempelvis ændringer i risiko- og trusselsbille-
det.
De nærmere regler vil skulle udarbejdes inden for den
ramme, som de foreslåede stk. 2 og 3 udgør. Der vil i
den forbindelse f.eks. kunne fastsættes bestemmelser om
de kompetente myndigheders nærmere tilrettelæggelse af
proceduren med at identificere kritiske enheder. Der vil end-
videre kunne fastsættes bestemmelser, som angiver, hvilke
specifikke forhold, herunder antallet af brugere, den kritiske
enheds markedsandel og det relevante geografiske område,
der kan inddrages i vurderingen af, om en hændelse vil
kunne have væsentlig forstyrrende virkning på leveringen af
en væsentlig tjeneste.
Der henvises i øvrigt til pkt. 3.1 i lovforslagets bemærknin-
ger.
Til § 4
EPCIP-direktivet fastsatte en procedure og nærmere kriterier
for indkredsning af potentiel europæisk kritisk infrastruktur
og eventuel efterfølgende udpegning af den europæiske kri-
tiske infrastruktur som sådan.
Det fulgte af artikel 3, stk. 1, i EPCIP-direktivet, at hver
medlemsstat indkredser den potentielle europæiske kritiske
infrastruktur, som opfyldte nærmere fastsatte tværgående og
sektorbaserede kriterier og var i overensstemmelse med de-
finitionerne for »kritisk infrastruktur« og »europæisk kritisk
infrastruktur« i EPCIP-direktivets artikel 2, litra a og b. I
direktivets bilag III var fastsat en nærmere procedure for
medlemsstaternes indkredsning af europæisk kritisk infra-
struktur.
Det fulgte af EPCIP-direktivets artikel 2, litra b, at der ved
»europæisk kritisk infrastruktur« forstås kritisk infrastruktur,
der befandt sig i medlemsstaterne, og hvis afbrydelse eller
ødelæggelse ville få betydelige konsekvenser for to eller
flere medlemsstater.
EPCIP-direktivet fastsatte herefter en høringsmekanisme,
hvorefter medlemsstaterne efter indkredsning af potentiel
europæisk kritisk infrastruktur underrettede og indledte
drøftelser med de øvrige medlemsstater, som kunne blive
berørt i betydelig grad af en potentiel europæisk kritisk
infrastruktur. På baggrund af drøftelsen og nærmere aftale
herom, kunne den medlemsstat, på hvis område en potentiel
europæisk kritisk infrastruktur var beliggende, derefter ud-
pege den som europæisk kritisk infrastruktur. Medlemssta-
ten skulle herefter underrette ejeren eller operatøren af infra-
strukturen om dens udpegning som europæisk kritisk infra-
struktur.
EPCIP-direktivet er i dansk ret implementeret sektorvist for
energi- og transportsektorerne, som var de to sektorer, der er
omfattet af direktivet. For en nærmere gennemgang af den
sektorvise implementering af EPCIP-direktivet henvises til
pkt. 2.4 i lovforslagets bemærkninger.
Det følger af den foreslåede § 4, stk. 1, at enheder betragtes
som kritiske enheder af særlig europæisk betydning, hvis 1)
enheden er identificeret som kritisk enhed efter § 3, 2) en-
heden leverer de samme eller lignende væsentlige tjenester
til eller i seks eller flere EU-medlemsstater, og 3) enheden
gennem den relevante kompetente myndighed har modtaget
en underretning fra Kommissionen om at den anses som en
kritisk enhed af særlig europæisk betydning.
Det foreslåede vil indebære, at en enhed vil blive betragtet
som en kritisk enhed af europæisk karakter, hvis enheden
er identificeret som en kritisk enhed efter § 3, hvis enheden
leverer de samme eller lignende tjenester til eller i seks eller
flere EU-medlemsstater og hvis enheden gennem den rele-
vante kompetente myndighed har modtaget en underretning
39
fra Kommissionen om at den anses som en kritisk enhed af
særlig europæisk betydning.
Betingelserne er således kumulative.
Den foreslåede bestemmelse i § 4, stk. 1, vil gennemføre
artikel 17, stk. 1 i CER-direktivet, hvorefter en enhed be-
tragtes som en kritisk enhed af særlig europæisk betydning,
hvor den a) er blevet identificeret som en kritisk enhed i
henhold til direktivets artikel 6, stk. 1, b) leverer de samme
eller lignende væsentlige tjenester til eller i seks eller flere
medlemsstater, og c) er blevet underrettet i henhold til direk-
tivets artikel 17, stk. 3.
Baggrunden for CER-direktivets artikel 17, stk. 1, beskrives
i præambelbetragtning nr. 35, hvoraf det fremgår, at selv om
kritiske enheder generelt opererer som en del af et stadig
mere sammenkoblet net af tjenester og infrastruktur og ofte
leverer væsentlige tjenester i mere end én medlemsstat, er
nogle kritiske enheder af særlig betydning for Unionen og
dens indre marked, fordi de leverer væsentlige tjenester til
eller i seks eller flere medlemsstater og derfor vil kunne
drage fordel af specifik støtte på EU-plan.
Det er således en forudsætning efter den foreslåede bestem-
melse, at den pågældende enhed leverer de samme eller lig-
nende væsentlige tjenester til eller i seks eller flere EU-med-
lemsstater. Enheden vil skulle underrette den kompetente
myndighed efter det foreslåede stk. 2, jf. nedenfor, såfremt
den leverer væsentlige tjenester til eller i seks eller flere
medlemsstater.
For at vurdere, om der leveres de samme eller lignende væ-
sentlige tjenester, vil den konsultationsprocedure, som regu-
leres i direktivets artikel 17, stk. 2, og 3, skulle følges. Kon-
sultationsproceduren indebærer overordnet, at Europa-Kom-
missionen konsulterer den pågældende kritiske enhed samt
de kompetente myndigheder i de medlemsstater, hvor enhe-
den har oplyst at levere væsentlige tjenester, med henblik på
at undersøge, om den kritiske enhed leverer de samme eller
lignende væsentlige tjenester i eller til seks eller flere EU-
medlemsstater. Europa-Kommissionen vil på den baggrund
konstatere, om den pågældende kritiske enhed er at betragte
som en kritisk enhed af væsentlig europæisk betydning. En
enhed vil således først betragtes som en kritisk enhed af
særlig europæisk betydning, når Europa-Kommissionen har
konstateret dette.
Det bemærkes i øvrigt, at det i lovforslagets § 1, stk. 6, i
overensstemmelse med CER-direktivets artikel 8, foreslås,
at for kritiske enheder i sektorerne bankvirksomhed, finan-
siel markedsinfrastruktur og digital infrastruktur finder de
foreslåede §§ 4-9 og 14-16 ikke anvendelse. Kritiske enhe-
der i disse sektorer vil således ikke kunne identificeres som
kritiske enheder af særlig europæisk betydning i medfør
af den foreslåede bestemmelse. Der henvises i øvrigt til
bemærkningerne til den foreslåede § 1, stk. 6.
Det følger af den foreslåede nr. 1, at enheder betragtes som
kritiske enheder af særlig europæisk betydning, hvis enhe-
den er udpeget som kritisk efter den foreslåede § 3.
Den foreslåede bestemmelse vil gennemføre artikel 17, stk.
1, litra a i CER-direktivet og skal fortolkes i overensstem-
melse med direktivet.
For så vidt angår de nærmere regler for udpegning af kriti-
ske enheder henvises der til bemærkningerne til den foreslå-
ede § 3.
Det følger af den foreslåede nr. 2, at enheder betragtes som
kritiske enheder af særlig europæisk betydning, hvis de le-
verer de samme eller lignende væsentlige tjenester til eller i
seks eller flere EU-medlemsstater.
Den foreslåede bestemmelse gennemfører artikel 17, stk. 1,
litra b i CER-direktivet, og skal fortolkes i overensstemmel-
se med direktivet.
Det følger af den foreslåede nr. 3, at enheder betragtes som
kritiske enheder af særlig europæisk betydning, hvis enhe-
den gennem sin kompetente myndighed har modtaget en
underretning fra Kommissionen om udpegning som kritisk
enhed af særlig europæisk betydning.
Den foreslåede bestemmelse gennemfører artikel 17, stk. 1,
litra c i CER-direktivet, og skal fortolkes i overensstemmel-
se med direktivet.
Det følger af det foreslåede stk. 2, at kritiske enheder skal
underrette den relevante kompetente myndighed, såfremt
de leverer væsentlige tjenester til eller i seks eller flere
EU-medlemsstater. Enhederne skal i den forbindelse oplyse,
hvilke væsentlige tjenester de leverer, samt hvilke EU-med-
lemsstater tjenesterne leveres til eller i.
Den foreslåede bestemmelse vil indebære, at enheder skal
underrette den relevante kompetente myndighed, hvis enhe-
den leverer væsentlige tjenester til eller i seks eller flere
EU-medlemsstater. Enheden vil i den forbindelse skulle op-
lyse, hvilke væsentlige tjenester den leverer, samt hvilke
EU-medlemsstater tjenesterne leveres til eller i.
Den foreslåede bestemmelse vil gennemføre CER-direkti-
vets artikel 17, stk. 2, 1. led, hvorefter medlemsstaterne
sikrer, at en kritisk enhed efter den i direktivets artikel 6, stk.
3, omhandlede underretning oplyser sin kompetente myn-
dighed, hvis den leverer væsentlige tjenester til eller i seks
eller flere medlemsstater. I så fald sikrer medlemsstaterne, at
den kritiske enhed oplyser sin kompetente myndighed om de
væsentlige tjenester, den leverer til eller i disse medlemssta-
ter, og om de medlemsstater, hvortil eller hvori den leverer
sådanne væsentlige tjenester. Medlemsstaterne underretter
uden unødigt ophold Europa-Kommissionen om identiteten
af sådanne kritiske enheder samt om de oplysninger, de
leverer i henhold til nærværende stykke.
Det vil indledningsvist være op til de kritiske enheder at
vurdere, om de leverer væsentlige tjenester til eller i seks
40
eller flere EU-medlemsstater og derfor er omfattet af un-
derretningspligten. En væsentlig tjeneste er defineret i den
foreslåede § 2, nr. 8, som en tjeneste, der er afgørende for
opretholdelsen af vitale samfundsmæssige funktioner, øko-
nomiske aktiviteter, folkesundhed, offentlig sikkerhed eller
miljøet.
Det indgår i kriterierne for identifikation af kritiske enhe-
der efter den foreslåede § 3, stk. 2, om enheden leverer
en eller flere væsentlige tjenester. Kritiske enheder, der er
identificeret som sådan, forudsættes således i forbindelse
med identifikationen at være gjort bekendt med, hvilke af
deres tjenester, der af den relevante kompetente myndighed
betragtes som væsentlige tjenester. Såfremt kritiske enheder
er i tvivl om, hvorvidt de måtte levere væsentlige tjenester
til eller i seks eller flere EU-medlemsstater, vil de kunne
søge rådgivning hos den relevante kompetente myndighed.
Det bemærkes, at der vil være tale om en oplysningspligt
omfattet af lov om retssikkerhed ved forvaltningens anven-
delse af tvangsindgreb og oplysningspligter for så vidt angår
den kritiske enheds pligt til underrette den kompetente myn-
dighed, såfremt den leverer væsentlige tjenester til eller i
seks eller flere EU-medlemsstater. Dette indebærer, at retten
til ikke at inkriminere sig selv, jf. kapitel 4 i nævnte lov,
skal overholdes. Det bemærkes dog, at det af bemærkninger-
ne til § 10 i lov om retssikkerhed ved forvaltningernes an-
vendelse af tvangsindgreb og oplysningspligter fremgår, at
bestemmelsen om forbud mod selvinkriminering ikke er til
hindre for, at den mistænkte kan pålægges at give (faktuelle)
oplysninger, som er uden betydning for bedømmelsen af,
hvorvidt den pågældende har begået en lovovertrædelse, der
kan medføre straf. Bestemmelsen vil således ikke være til
hinder for at anvende en oplysningspligt til at kræve oplys-
ninger om navn, adresse mv., jf. herved også retsplejelovens
§ 750, hvorefter enhver på forlangende er forpligtet til over
for politiet at opgive navn, adresse og fødselsdato. Der hen-
vises til Folketingstidende 2003-04, tillæg A, side 3097. Der
vil med den foreslåede bestemmelse være tale om oplys-
ningspligt, som beskrevet ovenfor. Det er derfor Ministeriet
for Samfundssikkerhed og Beredskabs opfattelse, at kapitel
4 i lov om retssikkerhed ved forvaltningens anvendelse af
tvangsindgreb og oplysningspligter alene vil være relevant i
praksis i yderst sjældne tilfælde.
Det følger af det foreslåede stk. 3, at den relevante kompe-
tente myndighed uden unødigt ophold underretter en kritisk
enhed om, at den anses som en kritisk enhed af særlig euro-
pæisk betydning, om dens forpligtelser efter § 16, herunder
fra hvilken dato disse finder anvendelse.
Den foreslåede bestemmelse vil medføre, at den kompetente
myndighed uden unødig ophold skal underrettet en kritisk
enhed om, at den er identificeret som en kritisk enhed af
særlig europæisk betydning og om den kritiske enheds for-
pligtelser efter § 16, herunder fra hvilken dato forpligtelser-
ne finder anvendelse.
Den foreslåede bestemmelse vil gennemføre CER-direkti-
vets artikel 17, stk. 3, som fastslår, at såfremt Europa-Kom-
missionen på grundlag af de i direktivets artikel 17, stk. 2,
omhandlede konsultationer konstaterer, at den pågældende
kritiske enhed leverer væsentlige tjenester til eller i seks
eller flere medlemsstater, så underretter Europa-Kommissi-
onen gennem den kompetente myndighed den pågældende
kritiske enhed om, at den anses for at være en kritisk enhed
af særlig europæisk betydning, og oplyser den kritiske en-
hed om dens forpligtelser i henhold til direktivets kapitel
om kritiske enheder af særlig europæisk betydning og om,
fra hvilken dato disse forpligtelser finder anvendelse. Når
Europa-Kommissionen således har oplyst den kompetente
myndighed om sin beslutning om at betragte en kritisk en-
hed som en kritisk enhed af særlig europæisk betydning, vi-
deresender den kompetente myndighed uden unødigt ophold
denne underretning til den pågældende kritiske enhed.
I overensstemmelse med artikel 17, stk. 3, skal den relevante
kritiske enhed uden unødigt ophold underrettes om, at den
betragtes som en kritisk enhed af særlig europæisk betyd-
ning.
Den kompetente myndighed vil endvidere skulle underrette
den kritiske enhed om dens forpligtelser som kritisk enhed
af særlig europæisk betydning. Det følger således af den
foreslåede § 16, at kritiske enheder af særlig europæisk
betydning skal give rådgivende EU-delegationer adgang til
oplysninger, systemer og faciliteter, der vedrører leveringen
af deres væsentlige tjenester, og som er nødvendige for at
gennemføre den pågældende rådgivende aktivitet. Der hen-
vises til de specielle bemærkninger til den foreslåede § 16.
Den foreslåede bestemmelse i lovforslagets § 4, stk. 3,
vil derudover medføre, at den kompetente myndighed skal
underrette den kritiske enhed om, fra hvilken dato forplig-
telserne finder anvendelse. Det følger af CER-direktivets
artikel 17, stk. 4, at forpligtelserne i direktivets kapitel IV
om kritiske enheder af særlig europæisk betydning, som
foreslås gennemført i nærværende lovforslags §§ 4 og 16,
finder anvendelse på den relevante kritiske enhed fra datoen
for modtagelse af underretningen om, at den er identificeret
som en kritisk enhed af særlig europæisk betydning.
Der henvises i øvrigt til pkt. 3.1 i lovforslagets bemærknin-
ger.
Til § 5
Det fulgte af artikel 7, stk. 1, i Rådets direktiv 2008/114/EF
af 8. december 2008 om indkredsning og udpegning af eu-
ropæisk kritisk infrastruktur og vurdering af behovet for
at beskytte den bedre (EPCIP-direktivet), at hver medlems-
stat skulle foretage en trusselsvurdering i forbindelse med
undersektorerne af europæisk kritisk infrastruktur senest et
år efter, at den kritiske infrastruktur på dens område var
blevet udpeget som europæisk kritisk infrastruktur inden for
de pågældende undersektorer.
Der påhvilede ikke ejere eller operatører af europæisk kri-
41
tisk infrastruktur en tilsvarende forpligtelse til at foretage en
trusselsvurdering.
EPCIP-direktivet er i dansk ret implementeret sektorvist for
energi- og transportsektorerne, som var de to sektorer, der
var omfattet af direktivet. For en nærmere gennemgang af
den sektorvise implementering af EPCIP-direktivet henvises
til pkt. 2.4 i lovforslagets bemærkninger.
Det følger af den foreslåede § 5, stk. 1, at kritiske enheder
skal foretage en risikovurdering med henblik på at vurdere
alle relevante risici, der kan forstyrre leveringen af deres
væsentlige tjenester.
Den foreslåede bestemmelse vil indebære, at den kritiske
enhed skal foretage en risikovurdering med henblik på at
vurdere alle relevante risici, der kan forstyrre leveringen af
deres væsentlige tjenester.
Den foreslåede bestemmelse vil gennemføre den del af arti-
kel 12, stk. 1, i CER-direktivet, hvorefter medlemsstaterne
skal sikre, at kritiske enheder foretager en risikovurdering
for at vurdere alle relevante risici, der kunne forstyrre le-
veringen af deres væsentlige tjenester (»kritiske enheders
risikovurderinger«).
Ved risikovurdering forstås den samlede proces med henblik
på at bestemme arten og omfanget af en risiko ved at identi-
ficere og analysere potentielle relevante trusler, sårbarheder
og farer, der kunne føre til en hændelse, og ved at evaluere
det potentielle tab eller den potentielle forstyrrelse af leve-
ringen af en væsentlig tjeneste forårsaget af denne hændelse
jf. lovforslagets § 2, nr. 7.
Baggrunden for CER-direktivets artikel 12, stk. 1, beskrives
i præambelbetragtning nr. 28, hvor det anføres, at kritiske
enheder bør have en omfattende forståelse af de relevante
risici, som de er eksponeret for, og en pligt til at analysere
disse risici.
Det bemærkes i øvrigt, at det i lovforslagets § 1, stk. 6, i
overensstemmelse med CER-direktivets artikel 8, foreslås,
at for kritiske enheder i sektorerne bankvirksomhed, finan-
siel markedsinfrastruktur og digital infrastruktur finder de
foreslåede §§ 4-9 og 14-16 ikke anvendelse. Kritiske enhe-
der i disse sektorer vil således ikke være omfattet af bestem-
melsen om kritiske enheders risikovurdering. Der henvises
til de specielle bemærkninger til den foreslåede § 1, stk. 6.
Det følger af det foreslåede stk. 2, at risikovurderingen skal
foretages på grundlag af den nationale risikovurdering og
andre relevante informationskilder, og den skal tage højde
for alle relevante naturlige og menneskeskabte risici, der
kan føre til en hændelse. Risikovurderingen skal tage hen-
syn til, i hvilket omfang andre sektorer nævnt i lovens bilag
afhænger af den kritiske enheds væsentlige tjeneste. Risiko-
vurderingen skal endvidere tage hensyn til, i hvilket omfang
den kritiske enhed afhænger af væsentlige tjenester, der le-
veres af enheder i lovens bilag, herunder i andre lande.
Den foreslåede bestemmelse vil gennemføre de dele af
CER-direktivets artikel 12, stk. 1, der fastsætter, at kritiske
enheder skal foretage en risikovurdering på grundlag af
medlemsstatsrisikovurderinger og andre relevante informati-
onskilder.
Bestemmelsen vil desuden gennemføre direktivets artikel
12, stk. 2, hvoraf det følger, at kritiske enheders risikovurde-
ringer skal tage højde for alle relevante naturlige og menne-
skeskabte risici, der kunne føre til en hændelse, herunder
af tværsektoriel eller grænseoverskridende karakter, ulyk-
ker, naturkatastrofer, folkesundhedskriser og hybride trusler
og andre antagonistiske trusler, herunder terrorhandlinger
som fastsat i Europa-Parlamentets og Rådets direktiv (EU)
2017/541 af 15. marts 2017 om bekæmpelse af terrorisme
m.v. (terrordirektivet). Det fremgår endvidere af bestemmel-
sen, at en kritisk enheds risikovurdering skal tage hensyn til
det omfang, andre sektorer anført i direktivets bilag afhæn-
ger af den væsentlige tjeneste, der leveres af den kritiske
enhed, og det omfang den kritiske enhed afhænger af væ-
sentlige tjenester, der leveres af andre enheder i sådanne an-
dre sektorer, herunder i nabomedlemsstater og tredjelande,
hvor det er relevant.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
vurdering, at direktivets opremsning af nabomedlemsstater
og tredjelande svarer til andre lande.
I overensstemmelse med direktivets artikel 12, stk. 1, vil
kritiske enheder skulle foretage deres risikovurdering på
grundlag af den nationale risikovurdering, der vil blive udar-
bejdet af Ministeriet for Samfundssikkerhed og Beredskab
på styrelsesniveau og Justitsministeriet i overensstemmelse
med CER-direktivets artikel 5, stk. 1. Det forudsættes, at
relevante elementer af den nationale risikovurdering gøres
offentligt tilgængelig eller på anden vis kommunikeres til
identificerede kritiske enheder.
Kritiske enheder vil endvidere skulle inddrage andre rele-
vante informationskilder i forbindelse med risikovurderin-
gen. Andre relevante informationskilder vil efter omstæn-
dighederne kunne omfatte eksempelvis Politiets Efterret-
ningstjenestes og Forsvarets Efterretningstjenestes trussels-
og risikovurderinger, Beredskabsstyrelsens Nationale Risi-
kobillede samt mere sektorspecifikke produkter. Der henvi-
ses i øvrigt til bemærkningerne til den foreslåede stk. 4.
Efter den foreslåede bestemmelse skal de kritiske enheders
risikovurdering tage højde for alle relevante naturlige og
menneskeskabte risici. Naturlige og menneskeskabte risici
vil i overensstemmelse med direktivets præambelbetragt-
ning nr. 15 bl.a. omfatte tværsektorielle eller grænseover-
skridende risici, som vil kunne påvirke leveringen af væ-
sentlige tjenester. Det kan f.eks. være ulykker, naturkatastro-
fer, folkesundhedskriser såsom pandemier, forsyningskriser
og hybride trusler eller andre antagonistiske trusler, herun-
der terrorhandlinger, kriminel infiltration og sabotage.
I overensstemmelse med direktivets artikel 12, stk. 2, 2. led,
42
kan en kritisk enhed, der har foretaget andre risikovurderin-
ger eller udarbejdet dokumenter i henhold til forpligtelser
i andre retsakter, der er relevante for dens risikovurdering,
anvende disse vurderinger og dokumenter til at opfylde de
krav, der er fastsat i artiklen. Det fremgår videre af direkti-
vets artikel 12, stk. 2, 2. led, at ved udøvelse af sine tilsyns-
funktioner kan den kompetente myndighed erklære, at en
kritisk enheds eksisterende risikovurdering, som behandler
de risici og det omfang af afhængighed, der er omhandlet
i artikel 12, helt eller delvist opfylder forpligtelserne efter
artiklen.
Baggrunden for artikel 12, stk. 2, 2. led, beskrives i CER-di-
rektivets præambelbetragtning nr. 28, hvoraf det bl.a. frem-
går, at hvor kritiske enheder har foretaget andre risikovurde-
ringer eller udarbejdet dokumenter i henhold til forpligtelser
i andre retsakter, der er relevante for deres risikovurdering,
bør de kunne anvende disse vurderinger og dokumenter til
at opfylde kravene i CER-direktivet vedrørende kritiske en-
heders risikovurdering. Det fremgår videre, at en kompetent
myndighed bør kunne erklære, at en eksisterende risikovur-
dering foretaget af en kritisk enhed, der behandler de rele-
vante risici og det relevante omfang af afhængighed, helt
eller delvist opfylder forpligtelserne i dette direktiv.
Det følger af det foreslåede stk. 3, at risikovurderingen
nævnt i stk. 1 skal være foretaget ni måneder efter, at den
kritiske enhed har modtaget en underretning i medfør af §
3, stk. 5, 1. pkt. Risikovurderingen skal opdateres, når det er
nødvendigt, og mindst hvert fjerde år.
Den foreslåede bestemmelse vil indebære, at den kritiske
enhed er forpligtet til at have foretaget en risikovurdering
ni måneder efter at have modtaget underretning om at være
blevet identificeret som en kritisk enhed, ligesom den kriti-
ske enhed er forpligtet til, når det er nødvendigt, og mindst
hvert fjerde år, at opdatere risikovurderingen.
Den foreslåede bestemmelse vil gennemføre den del af
CER-direktivets artikel 12, stk. 1, hvorefter medlemsstater-
ne skal sikre, at kritiske enheder foretager en risikovurde-
ring inden for ni måneder efter underretningen om at være
identificeret som kritisk enhed, når det er nødvendigt efter-
følgende, og mindst hvert fjerde år.
Den foreslåede bestemmelse skal ses i sammenhæng med
den foreslåede § 3, stk. 5, 1. pkt. hvorefter enheden i for-
bindelse med underretningen om at være identificeret som
kritisk enhed samtidig skal underrettes om dens forpligtel-
ser, og om fra hvilken dato forpligtelserne finder anvendel-
se. Det vil således bl.a. fremgå af denne underretning, at
risikovurderingen skal være gennemført ni måneder efter
identifikationen som kritisk enhed, og at den skal opdateres,
når det er nødvendigt, og mindst hvert fjerde år.
Det følger af det foreslåede stk. 4, at vedkommende minister
efter forhandling med ministeren for samfundssikkerhed og
beredskab kan fastsætte nærmere regler om kritiske enhe-
ders risikovurdering.
Den foreslåede bestemmelse vil medføre, at vedkommende
minister efter forhandling med ministeren for samfundssik-
kerhed og beredskab vil kunne fastsætte nærmere regler om
kritiske enheders risikovurdering.
Bemyndigelsen vil kunne benyttes til at fastsætte nærmere
regler om kritiske enheders risikovurdering inden for de
enkelte sektorer, og derved sikre, at særlige sektorspecifik-
ke forhold indgår i risikovurderingen. Eksempelvis kan der
være sektorer, hvor særlige beredskabsplaner, nationale og
internationale rapporter vil være naturlige at inddrage i for-
bindelse med en risikovurdering. Bemyndigelsen forventes
kun anvendt i de tilfælde sektorspecifikke forhold gør dette
påkrævet.
Der henvises i øvrigt til pkt. 3.2 i lovforslagets bemærknin-
ger.
Til § 6
Det fulgte af Rådets direktiv 2008/114/EF af 8. december
2008 om indkredsning og udpegning af europæisk kritisk
infrastruktur og vurdering af behovet for at beskytte den
bedre (EPCIP-direktivet), at operatørerne skulle udarbejde
en sikkerhedsplan for deres del af den europæiske kritiske
infrastruktur i energi- og transportsektorerne, hvis forstyrrel-
se eller ødelæggelse ville få betydelig grænseoverskridende
indvirkning på mindst to medlemsstater. Kravene til sikker-
hedsplanen omfattede overordnet en forpligtelse til at iden-
tificere vigtige aktiver, gennemføre en risikoanalyse og eta-
blere relevante sikkerhedsforanstaltninger til sikring af den
kritiske infrastruktur.
EPCIP-direktivet var i dansk ret implementeret sektorvist
for energi- og transportsektorerne, som var de to sektorer,
der var omfattet af direktivet.
For en nærmere gennemgang af den sektorvise implemente-
ring af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets
bemærkninger.
Kritiske enheder i luftfarts- og søtransportsektoren skal i
henhold til Europa-Parlamentets og Rådets forordning (EF)
nr. 300/2008 og (EF) nr. 725/2004 og Europa-Parlamentets
og Rådets direktiv 2005/65/EF træffe en række foranstalt-
ninger med henblik på at forebygge hændelser forårsaget af
ulovlige handlinger og modstå og afbøde følgerne af sådan-
ne hændelser.
Efter § 24 i beredskabsloven, jf. lovbekendtgørelse nr. 314
af 3. april 2017, gælder der en forpligtelse for de enkelte
ministre til, inden for deres område, hver især at planlægge
for opretholdelse og videreførelse af samfundets funktioner i
tilfælde af større ulykker og katastrofer.
Det følger af den foreslåede § 6, stk. 1, at kritiske enhe-
der skal træffe passende og forholdsmæssige tekniske, sik-
kerhedsmæssige og organisatoriske foranstaltninger for at
sikre enhedernes modstandsdygtighed på grundlag af den
nationale risikovurdering og den kritiske enheds egen risiko-
43
vurdering, herunder foranstaltninger, der er nødvendige for
at 1) forhindre hændelser i at indtræffe under behørig hen-
syntagen til katastroferisikoreduktions- og klimatilpasnings-
foranstaltninger, 2) sikre tilstrækkelig fysisk beskyttelse af
enhedens lokaler og kritiske infrastruktur under behørig
hensyntagen til f.eks. hegn, barrierer, værktøjer og rutiner til
overvågning af perimetre, detektionsudstyr og adgangskon-
trol, 3) reagere på, modstå og afbøde følgerne af hændelser
under behørig hensyntagen til gennemførelsen af risiko- og
krisestyringsprocedurer, risiko- og krisestyringsprotokoller
samt varslingsrutiner, 4) sikre genopretning efter hændelser
under behørig hensyntagen til foranstaltninger vedrørende
forretningskontinuitet og identifikation af alternative forsy-
ningskæder for at genoptage leveringen af væsentlige tjene-
ster, 5) sikre passende medarbejdersikkerhedsstyring under
behørig hensyntagen til foranstaltninger såsom fastsættelse
af kategorier af eget og eksternt personale, der udøver kri-
tiske funktioner, fastlæggelse af adgangsrettigheder til loka-
ler, kritisk infrastruktur og følsomme oplysninger, fastsæt-
telse af procedurer for baggrundskontrol jf. § 9 og udpegelse
af kategorier af personer, som er forpligtet til at gennemgå
en sådan baggrundskontrol, samt fastlæggelse af passende
uddannelseskrav og kvalifikationer og 6) øge bevidstheden
blandt det relevante personale om de foranstaltninger og
hensyn, der er beskrevet i nr. 1-5, under behørig hensynta-
gen til kurser, informationsmateriale og øvelser.
Den foreslåede bestemmelse gennemfører artikel 13, stk. 1,
i CER-direktivet, hvoraf følger, at medlemsstaterne skal sik-
re, at kritiske enheder træffer passende og forholdsmæssige
tekniske, sikkerhedsmæssige og organisatoriske foranstalt-
ninger for at sikre deres modstandsdygtighed på grundlag
af de relevante oplysninger, som medlemsstaterne har givet
om medlemsstatsrisikovurderingen, og af resultaterne af de
kritiske enheders risikovurderinger.
Modstandsdygtighedsforanstaltninger omfatter efter direkti-
vets artikel 13, stk. 1, 1. led, foranstaltninger, der er nød-
vendige for at a) forhindre hændelser i at indtræffe under
behørig hensyntagen til katastroferisikoreduktions- og kli-
matilpasningsforanstaltninger, b) sikre tilstrækkelig fysisk
beskyttelse af deres lokaler og kritiske infrastruktur under
behørig hensyntagen til f.eks. hegn, barrierer, værktøjer og
rutiner til overvågning af perimetre, detektionsudstyr og
adgangskontrol, c) reagere på, modstå og afbøde følgerne
af hændelser under behørig hensyntagen til gennemførelsen
af risiko- og krisestyringsprocedurer og -protokoller samt
varslingsrutiner, d) sikre genopretning efter hændelser under
behørig hensyntagen til forretningskontinuitetsforanstaltnin-
ger og identifikation af alternative forsyningskæder for at
genoptage leveringen af væsentlige tjenester, e) sikre pas-
sende medarbejdersikkerhedsstyring under behørig hensyn-
tagen til foranstaltninger såsom fastsættelse af kategorier
af personale, der udøver kritiske funktioner, fastlæggelse
af adgangsrettigheder til lokaler, kritisk infrastruktur og føl-
somme oplysninger, fastsættelse af procedurer for baggrund-
skontrol i overensstemmelse med direktivets artikel 14 og
udpegelse af kategorier af personer, som er forpligtet til
at gennemgå sådan baggrundskontrol, samt fastlæggelse af
passende uddannelseskrav og kvalifikationer, og f) øge be-
vidstheden blandt det relevante personale om de foranstalt-
ninger, der er omhandlet i litra a -e, under behørig hensynta-
gen til uddannelseskurser, informationsmateriale og øvelser.
Det følger endvidere af artikel 13, stk. 1, 2. led, at medlems-
staterne i forbindelse med medarbejdersikkerhedsstyringen
omhandlet i litra e skal sikre, at kritiske enheder tager hen-
syn til eksterne tjenesteudbyderes personale, når der fastsæt-
tes kategorier af personale, som udøver kritiske funktioner.
I overensstemmelse med forudsætningen i direktivets præ-
ambelbetragtning nr. 29 vil kritiske enheder skulle træffe
passende tekniske, sikkerhedsmæssige og organisatoriske
foranstaltninger, der står i et rimeligt forhold til de risici,
som de står over for, for at forebygge, beskytte mod, reagere
på, modstå, afbøde, absorbere, tilpasse sig til og komme
på fode igen efter en hændelse. Mens kritiske enheder bør
træffe disse foranstaltninger i overensstemmelse med direk-
tivet, bør sådanne foranstaltningers nærmere enkeltheder og
omfang afspejle de forskellige risici, som hver kritisk enhed
har identificeret som led i sin risikovurdering, og de særlige
forhold, der gør sig gældende for en sådan enhed, på en
passende og forholdsmæssig måde.
Det følger af artikel 13, stk. 2, 2. led, at hvis kritiske enhe-
der har truffet foranstaltninger i henhold til forpligtelser i
andre retsakter, der er relevante for foranstaltningerne om-
handlet i direktivets artikel 13, stk. 1, kan de anvende dis-
se foranstaltninger til at opfylde kravene. Den kompetente
myndighed vil under udøvelsen af sine tilsynsforpligtelser
kunne vurdere, om eksisterende modstandsdygtighedsforan-
staltninger er i overensstemmelse med stk. 1.
I overensstemmelse med den foreslåede § 3, stk. 5, vil bl.a.
krav om modstandsdygtighedsforanstaltninger finde anven-
delse ti måneder efter, at den kritiske enhed har modtaget en
orientering efter den foreslåede § 3, stk. 1.
Det foreslås i stk. 2, at kritiske enheder skal have og anven-
de en plan for modstandsdygtighed, der beskriver, hvilke
foranstaltninger der er truffet i henhold til stk. 1.
Det foreslåede vil indebære, at den kritiske enhed skal have
og anvende en plan for modstandsdygtighed, der beskriver,
hvilke foranstaltninger der er truffet i henhold til stk. 1.
Den foreslåede bestemmelse gennemfører CER-direktivets
artikel 13, stk. 2, 1. og 2. pkt., hvoraf følger, at medlemssta-
terne skal sikre, at kritiske enheder har indført og anvender
en plan for modstandsdygtighed eller et eller flere tilsvaren-
de dokumenter, der beskriver de trufne foranstaltninger. Kri-
tiske enheder, der har udarbejdet dokumenter eller truffet
foranstaltninger i henhold til forpligtelser i andre retsakter,
som er relevante for foranstaltningerne efter CER-direktivet,
kan anvende disse dokumenter og foranstaltninger.
I overensstemmelse med direktivets forudsætninger, som
udtrykt i præambelbetragtning nr. 30, 1. pkt., vil kritiske
44
enheder skulle beskrive de foranstaltninger, som de træffer,
med en detaljeringsgrad, der i tilstrækkelig grad når målene
om effektivitet og ansvarlighed, i en plan for modstandsdyg-
tighed eller i et eller flere dokumenter, der svarer til en plan
for modstandsdygtighed, og anvende denne plan i praksis.
Som forudsat i direktivets artikel 13, stk. 2, 2. pkt., vil kriti-
ske enheder ikke nødvendigvis i medfør af den foreslåede
bestemmelse skulle udarbejde en ny plan for modstandsdyg-
tighed, men kan i relevant omfang henvise til allerede fore-
liggende dokumenter, som måtte være udarbejdet i henhold
til forpligtelser i anden regulering. I denne forbindelse kan
relevante dokumenter eksempelvis omfatte enhedens gene-
relle beredskabsplan, hændelsesspecifikke delplaner, eller
indsatsplaner m.v.
Det foreslås i stk. 3, at vedkommende minister efter for-
handling med ministeren for samfundssikkerhed og bered-
skab kan fastsætte nærmere regler om kritiske enheders
modstandsdygtighedsforanstaltninger.
Den foreslåede bestemmelse indebærer, at der i sektorspeci-
fikke bekendtgørelser kan fastsættes nærmere regler om de
foranstaltninger, som kritiske enheder inden for de omfatte-
de sektorer skal træffe. Reglerne vil kunne stille sektorspe-
cificerede krav til de foranstaltninger, som enhederne skal
træffe i medfør af den foreslåede bestemmelse i stk. 1.
Denne bemyndigelsesbestemmelse forudsættes alene an-
vendt i de tilfælde, hvor sektorspecifikke hensyn gør sig
gældende.
Der vil således i sektorspecifikke bekendtgørelser kunne
stilles konkretiserede krav til de foranstaltninger, som kriti-
ske enheder inden for de omfattede sektorer skal træffe i
medfør af den foreslåede bestemmelse i stk. 1. Anvendelsen
af modellen med en tværgående hovedlov, der suppleres af
sektorvise bekendtgørelser vil i øvrigt sikre, at der i nødven-
digt omfang kan ske hurtig ændring af reglerne på baggrund
af eksempelvis ændringer i risiko- og trusselsbilledet. Der
henvises i øvrigt til pkt. 3.2.3 og 3.2.4 i lovforslagets be-
mærkninger.
Ved gennemførelsen tages der således hensyn til, at det
er ressortministerierne og de sektoransvarlige myndigheder,
der med deres indgående kendskab til forholdene i de enkel-
te sektorer har de bedste forudsætninger for at vurdere, om
der konkret er behov for nærmere udmøntning af lovens
krav, således at implementeringen af direktivet udmøntes på
den måde, der er mest hensigtsmæssig for sektoren.
Det bemærkes, at det følger af CER-direktivets artikel 13,
stk. 6, at Europa-Kommissionen vedtager gennemførelses-
retsakter med henblik på at fastsætte de nødvendige tekniske
og metodiske specifikationer vedrørende anvendelsen af de
i artikel 13, stk. 1, omhandlende modstandsdygtighedsforan-
staltninger.
Såfremt Europa-Kommissionens gennemførelsesretsakter
om anvendelsen af modstandsdygtighedsforanstaltninger
foreligger på tidspunktet for udstedelsen af bekendtgørelser-
ne, vil disse skulle tage højde for indholdet af de tekniske
og metodiske specifikationer, der fremgår heraf. Såfremt
gennemførelsesretsakterne først foreligger på et senere tids-
punkt, vil bekendtgørelserne i relevant omfang skulle juste-
res på baggrund heraf, således at det sikres, at de er i
overensstemmelse med de rammer, der måtte følge af Euro-
pa-Kommissionens retsakter. Såfremt gennemførelsesretsak-
terne måtte regulere området fuldt ud, vil allerede udstedte
bekendtgørelser i givet fald skulle ophæves.
Det bemærkes i øvrigt, at det i lovforslagets § 1, stk. 6, i
overensstemmelse med CER-direktivets artikel 8, foreslås,
at for kritiske enheder i sektorerne bankvirksomhed, finan-
siel markedsinfrastruktur og digital infrastruktur finder de
foreslåede §§ 4-9 og 14-16 ikke anvendelse. Kritiske enhe-
der i disse sektorer vil således ikke være omfattet af bestem-
melserne om kritiske enheders modstandsdygtighed. Der
henvises til de specielle bemærkninger til den foreslåede §
1, stk. 6.
Der henvises i øvrigt til pkt. 3.2 i lovforslagets bemærknin-
ger.
Til § 7
Rådets direktiv 2008/114/EF af 8. december 2008 om ind-
kredsning og udpegning af europæisk kritisk infrastruktur
og vurdering af behovet for at beskytte den bedre (EPCIP-
direktivet) fastsatte i artikel 6, at ejere og operatører af
europæisk kritisk infrastruktur skulle udpege en sikkerheds-
forbindelsesofficer, som fungerede som kontaktpunkt i for-
bindelse med sikkerhedsmæssige spørgsmål mellem ejeren
eller operatøren af den europæiske kritiske infrastruktur og
medlemsstatens relevante myndighed.
Endvidere fremgik det af EPCIP-direktivet bl.a., at hver
medlemsstat indførte en passende kommunikationsmekanis-
me mellem medlemsstatens relevante myndighed og sikker-
hedsforbindelsesofficeren eller tilsvarende med henblik på
at udveksle relevante oplysninger om de identificerede risici
og trusler i forbindelse med den pågældende europæiske
kritiske infrastruktur.
EPCIP-direktivet er i dansk ret implementeret sektorvist for
energi- og transportsektorerne, som var de to sektorer, der er
omfattet af direktivet.
For en nærmere gennemgang af den sektorvise implemente-
ring af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets
bemærkninger.
Det følger af den foreslåede § 7, at kritiske enheder skal
udpege en kontaktperson og meddele dennes relevante
kontaktoplysninger til den relevante kompetente myndig-
hed. Den kritiske enhed skal underrette den kompetente
myndighed om ændringer i kontaktoplysningerne.
Den foreslåede bestemmelse indebærer, at den enkelte kriti-
ske enhed skal give den relevante kompetente myndighed
45
meddelelse om, hvilken person der varetager opgaven som
kontaktperson. Det skal af meddelelsen til den kompeten-
te myndighed fremgå, hvilke kontaktoplysninger, herunder
f.eks. navn, e-mail og telefonnummer, den pågældende per-
son har. Eventuelle ændringer i kontaktinformation skal
meddeles til den relevante kompetente myndighed.
Den foreslåede bestemmelse vil gennemføre artikel 13, stk.
3, i CER-direktivet, hvoraf følger, at medlemsstaterne sikrer,
at hver kritisk enhed udpeger en forbindelsesofficer eller til-
svarende som kontaktpunkt for de kompetente myndigheder.
I overensstemmelse med den foreslåede § 3, stk. 5, vil bl.a.
kravet om meddelelse af kontaktperson og kontaktoplysnin-
ger finde anvendelse ti måneder efter, at den kritiske enhed
har modtaget en orientering efter den foreslåede § 3, stk. 1.
Til § 8
Der var ikke i Rådets direktiv 2008/114/EF af 8. december
2008 om indkredsning og udpegning af europæisk kritisk
infrastruktur og vurdering af behovet for at beskytte den
bedre (EPCIP-direktivet) fastsat forpligtelser for ejere og
operatører af europæisk kritisk infrastruktur til at underrette
myndighederne om hændelser.
Det følger af den foreslåede § 8, stk. 1, at kritiske enheder
skal underrette den relevante kompetente myndighed om
hændelser, der i betydelig grad forstyrrer eller har potentiale
til i betydelig grad at forstyrre leveringen af enhedens væ-
sentlige tjenester.
Den foreslåede bestemmelse vil indebære, at den kritiske
enhed er forpligtet til at underrette den kompetente myndig-
hed om hændelser, der i betydelig grad forstyrrer eller har
potentiale til i betydelig grad at forstyrre leveringen af den
pågældende kritiske enheds egne væsentlige tjenester.
Den foreslåede underretningsforpligtelse omfatter således
ikke hændelser, der mere generelt kan forstyrre eller har
potentiale til at forstyrre leveringen af væsentlige tjenester.
Underretning vil skulle ske til den kompetente myndighed
for den sektor, som den tjeneste, der i betydelig grad forstyr-
res eller potentielt kan blive forstyrret af hændelsen, leveres
i. Såfremt enheden leverer tjenester i flere sektorer, som
påvirkes eller potentielt påvirkes af hændelsen, skal enheden
underrette de kompetente myndigheder i alle de pågældende
sektorer. Det forventes, at underretningerne af de forskellige
relevante myndigheder vil skulle foretages via en fælles
digital indgang, såsom Virk.dk. Dette vil sikre, at de berørte
enheder alene skal foretage én samlet underretning, som
derefter fordeles til de relevante myndigheder. Der henvises
i øvrigt til den foreslåede § 12 og bemærkningerne hertil.
I overensstemmelse med den foreslåede § 3, stk. 5, vil un-
derretningsforpligtelserne finde anvendelse ti måneder efter,
at den kritiske enhed har modtaget en orientering efter den
foreslåede § 3, stk. 1.
Den foreslåede bestemmelse vil gennemføre dele af CER-
direktivets artikel 15, stk. 1, 1. pkt., hvorefter medlemssta-
terne sikrer, at kritiske enheder uden unødigt ophold under-
retter den kompetente myndighed om hændelser, der i bety-
delig grad forstyrrer eller har potentiale til i betydelig grad
at forstyrre leveringen af væsentlige tjenester.
Det følger af det foreslåede stk. 2, at ved vurdering af en
forstyrrelses omfang indgår navnlig 1) antallet og andelen
af brugere, der er berørt af forstyrrelsen, 2) forstyrrelsens
varighed og 3) det geografiske område, der er berørt af for-
styrrelsen, idet der tages hensyn til, om det er et geografisk
isoleret område
Den foreslåede bestemmelse indebærer, at den kritiske en-
hed ud fra de tre oplistede kriterier vil skulle foretage en
konkret vurdering af, om en hændelse kan siges at forstyrre
leveringen af tjenester i betydelig grad.
Det bemærkes, at de oplistede kriterier vil kunne uddybes
nærmere i sektorspecifikke bekendtgørelser. Der henvises til
bemærkningerne til det foreslåede stk. 7 nedenfor.
Den foreslåede bestemmelse gennemfører CER-direktivets
artikel 15, stk. 1, 3. pkt., som fastsætter, at med henblik
på at fastslå en forstyrrelses omfang tages navnlig følgende
kriterier i betragtning: a) antallet og andelen af brugere, der
er berørt af forstyrrelsen, b) forstyrrelsens varighed og c) det
geografiske område, der er berørt af forstyrrelsen, idet der
tages hensyn til, om det er et geografisk isoleret område.
Det bemærkes, at der vil være tale om en oplysningspligt
omfattet af lov om retssikkerhed ved forvaltningens anven-
delse af tvangsindgreb og oplysningspligter. Dette indebæ-
rer, at retten til ikke at inkriminere sig selv, jf. kapitel 4 i
nævnte lov, skal overholdes. Det bemærkes dog, at det af
bemærkningerne til § 10 i lov om retssikkerhed ved forvalt-
ningernes anvendelse af tvangsindgreb og oplysningspligter
fremgår, at bestemmelsen om forbud mod selvinkriminering
ikke er til hindre for, at den mistænkte kan pålægges at give
(faktuelle) oplysninger, som er uden betydning for bedøm-
melsen af, hvorvidt den pågældende har begået en lovover-
trædelse, der kan medføre straf. Bestemmelsen vil således
ikke være til hinder for at anvende en oplysningspligt til at
kræve oplysninger om navn, adresse mv., jf. herved også
retsplejelovens § 750, hvorefter enhver på forlangende er
forpligtet til over for politiet at opgive navn, adresse og fød-
selsdato. Der henvises til Folketingstidende 2003-04, tillæg
A, side 3097. Der vil med den foreslåede bestemmelse være
tale om oplysningspligt, hvorved den kritiske enhed skal un-
derrette den kompetente myndighed om hændelser, der i be-
tydelig grad forstyrrer eller har potentiale til i betydelig grad
at forstyrre leveringen af enhedens væsentlige tjenester. Det
er derfor Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at kapitel 4 i lov om retssikkerhed ved forvaltnin-
gens anvendelse af tvangsindgreb og oplysningspligter alene
vil være relevant i praksis i yderst sjældne tilfælde.
Det følger af det foreslåede stk. 3, at underretninger efter
46
stk. 1, skal indeholde alle tilgængelige oplysninger, der er
nødvendige for, at den kompetente myndighed kan forstå
hændelsens art, årsag og mulige konsekvenser, herunder alle
tilgængelige oplysninger, der er nødvendige for at fastslå
hændelsens eventuelle grænseoverskridende indvirkning.
Den foreslåede bestemmelse gennemfører CER-direktivets
artikel 15, stk. 2, som fastsætter, at underretninger som om-
handlet i artikel 15, stk. 1, 1. led, skal indeholde alle tilgæn-
gelige oplysninger, der er nødvendige for, at den kompeten-
te myndighed kan forstå hændelsens art, årsag og mulige
konsekvenser, herunder alle tilgængelige oplysninger, der er
nødvendige for at fastslå hændelsens eventuelle grænseover-
skridende indvirkning. Det fastsættes endvidere, at sådanne
underretninger ikke medfører et øget ansvar for kritiske en-
heder.
Den kompetente myndighed, der modtager en underretning,
vil i overensstemmelse med CER-direktivets artikel 15, stk.
3, via det centrale kontaktpunkt skulle orientere andre be-
rørte medlemsstater om en hændelse, hvis den pågældende
hændelse har eller vil kunne have grænseoverskridende ind-
virkning.
Hvor en hændelse har eller kan have betydelig indvirkning
på kontinuiteten i leveringen af væsentlige tjenester til eller
i seks eller flere medlemsstater, vil den kompetente myndig-
hed i overensstemmelse med CER-direktivets artikel 15, stk.
1, 3. pkt., skulle underrette Europa-Kommissionen herom.
Det følger af det foreslåede stk. 4, at underretning skal ske
uden unødigt ophold og, medmindre det operationelt ikke er
muligt, senest 24 timer efter, at den kritiske enhed er blevet
opmærksom på hændelsen. Den kritiske enhed skal på an-
modning fra den kompetente myndighed sende en detaljeret
rapport til den kompetente myndighed senest en måned efter
hændelsen.
Den foreslåede bestemmelse vil gennemføre CER-direkti-
vets artikel 15, stk. 1, 1. og 2. pkt., hvoraf det fremgår,
at medlemsstaterne sikrer, at kritiske enheder uden unødigt
ophold underretter den kompetente myndighed om hændel-
ser, der i betydelig grad forstyrrer eller har potentiale til
i betydelig grad at forstyrre leveringen af væsentlige tjene-
ster. Medlemsstaterne sikrer, at kritiske enheder, med min-
dre det operationelt ikke er muligt, indgiver en første under-
retning senest 24 timer efter at være blevet opmærksom på
en hændelse, efterfulgt, hvor det er relevant, af en detaljeret
rapport senest en måned derefter.
Baggrunden for artikel 15, stk. 1, 1. pkt., beskrives i CER-
direktivets præambelbetragtning nr. 33, hvoraf det bl.a.
fremgår, at der bør oprettes en mekanisme til underretning
om visse hændelser for at gøre det muligt for de kompetente
myndigheder at reagere hurtigt og hensigtsmæssigt på hæn-
delser og danne sig et samlet overblik over indvirkningen,
arten, årsagen og de mulige konsekvenser af hændelser, som
kritiske enheder håndterer. Kritiske enheder bør uden unø-
digt ophold underrette de kompetente myndigheder om hæn-
delser, der i betydelig grad forstyrrer eller har potentiale til i
betydelig grad at forstyrre leveringen af væsentlige tjenester.
Det beskrives endvidere i præambelbetragtning nr. 33, at
den første underretning kun bør indeholde de oplysninger,
der er strengt nødvendige for at gøre den kompetente myn-
dighed opmærksom på hændelsen og give den kritiske en-
hed mulighed for at søge bistand, hvis det er nødvendigt. En
sådan underretning bør, hvor det er muligt, angive den for-
modede årsag til hændelsen. Den detaljerede rapport, som
i relevant omfang sendes senest en måned efter hændelsen,
bør supplere den første underretning og give et mere fuld-
stændigt overblik over hændelsen.
Det følger af det foreslåede stk. 5, at den kompetente myn-
dighed snarest muligt efter modtagelse af en underretning
efter stk. 1, giver den berørte kritiske enhed relevante op-
følgende oplysninger, herunder oplysninger, som kan under-
støtte en effektiv reaktion fra den kritiske enhed på den
pågældende hændelse.
Den foreslåede bestemmelse vil gennemføre CER-direkti-
vets artikel 15, stk. 4, 1. pkt., som fastsætter, at så snart som
muligt efter modtagelse af en underretning som omhandlet
i artikel 15, stk. 1, giver den kompetente myndighed den be-
rørte kritiske enhed relevante opfølgende oplysninger, her-
under oplysninger, som kunne understøtte en effektiv reak-
tion fra denne kritiske enhed på den pågældende hændelse.
De opfølgende oplysninger, som den kompetente myndig-
hed oplyser den berørte enhed om, vil f.eks. kunne angå
mulige afværgeforanstaltninger eller anden relevant viden,
som den kompetente myndighed er i besiddelse af. Derimod
er det ikke et krav, at den kompetente myndighed skal tilve-
jebringe oplysninger fra tredjemand.
Efterforskes en hændelse som et strafbart forhold, vil den
kompetente myndighed skulle tage højde for, at de opføl-
gende oplysninger ikke må vanskeliggøre eller forhindre
efterforskningen.
Det følger af det foreslåede stk. 6, at den kompetente myn-
dighed kan orientere offentligheden om en hændelse, hvis
det vil være i offentlighedens interesse.
Den foreslåede bestemmelse vil gennemføre CER-direkti-
vets artikel 15, stk. 4, 2. pkt., hvoraf det fremgår, at med-
lemsstaterne orienterer offentligheden om en hændelse, hvor
de vurderer, at det vil være i offentlighedens interesse at
gøre det.
Den foreslåede bestemmelse indebærer, at den kompetente
myndighed kan orientere offentligheden om en væsentlig
hændelse, hvis orienteringen er i offentlighedens interes-
se. Hvorvidt offentliggørelse af den væsentlige hændelse
er i offentlighedens interesse vil afhænge af en konkret
vurdering af sagens nærmere omstændigheder, herunder om
offentliggørelse er nødvendig for at forebygge eller håndtere
den væsentlige hændelse.
47
Det vil være op til den kompetente myndighed at tage stil-
ling til formen for orienteringen. Orientering af offentlighe-
den kan således ske på den måde, som den kompetente
myndighed finder bedst egnet under hensyn til den berør-
te kritiske enhed, hændelsens karakter, den geografiske ud-
strækning, den forventede betydning for bestemte dele af
offentligheden m.v.
Den kompetente myndighed skal ved overvejelse om ori-
entering af offentligheden om en hændelse sikre, at de
hensyn til fortrolighed, der fremgår af forvaltningslovens
§ 27 om offentligt ansattes tavshedspligt, iagttages. Dette
omfatter bl.a. hensynet til enkeltpersoners private forhold,
forretningshemmeligheder samt hensynet til forebyggelse,
efterforskning og forfølgning af lovovertrædelser.
Rammer en væsentlig hændelse flere sektorer, eller har en
væsentlig hændelse potentiale til at ramme flere sektorer,
forudsættes det, at der sker en koordinering mellem de rele-
vante kompetente myndigheder forud for en eventuel offent-
liggørelse.
Det følger af det foreslåede stk. 7, at vedkommende minister
efter forhandling med ministeren for samfundssikkerhed og
beredskab kan fastsætte nærmere regler om vurderingen af
en forstyrrelses omfang efter stk. 2, og de oplysninger, der
skal indgå i en underretning efter stk. 3.
Den foreslåede bestemmelse vil medføre, at vedkommende
minister ved behov har mulighed for at præcisere, hvilke
elementer en kritisk enhed skal inddrage i vurderingen af en
forstyrrelses omfang.
Henset til, at kriterierne for, hvornår en hændelse anses
for at være væsentlig efter det foreslåede stk. 2, vil have
forholdsvis kvalitativ og skønspræget karakter, er det efter
Ministeriet for Samfundssikkerhed og Beredskabs opfattelse
hensigtsmæssigt, at der kan fastsættes nærmere sektorspe-
cifikke regler, som præciserer, herunder eventuelt kvantifi-
cerer, hvilke elementer der kan indgå i vurderingen af en
forstyrrelses omfang.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at der er behov for, at det i bekendtgørelser kan
præciseres, hvilke oplysninger en underretning vil skulle
indeholde, jf. det foreslåede stk. 3.
De regler, der kan fastsættes i medfør af det foreslåede stk.
7, vil således supplere de foreslåede bestemmelser i stk. 2 og
3.
Der henvises i øvrigt til pkt. 3.3 i lovforslagets bemærknin-
ger.
Til § 9
På luftfartsområdet er der i Europa-Parlamentet og Rådets
forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles
bestemmelser om sikkerhed inden for civil luftfart og om
ophævelse af forordning (EF) nr. 2320/2002 bl.a. fastsat reg-
ler om udvidet baggrundskontrol og sikkerhedsgodkendelse
af visse personer, der udfører funktioner inden for luftfarts-
sikkerhed.
Det følger af den foreslåede § 9, at vedkommende minister
efter forhandling med justitsministeren fastsætter nærmere
regler om, på hvilke betingelser kritiske enheder i behørigt
begrundede tilfælde og under hensyn til den nationale risi-
kovurdering hos den kompetente myndighed kan få foreta-
get baggrundskontrol af personer, der opfylder én af følgen-
de betingelser 1) Personen varetager følsomme opgaver i
eller til fordel for en kritisk enhed, navnlig vedrørende den
kritiske enheds modstandsdygtighed, 2) Personen er bemyn-
diget til at få direkte adgang eller fjernadgang til en kritisk
enheds lokaler, oplysninger eller kontrolsystemer herunder
i forbindelse med den kritiske enheds sikkerhed eller 3)
Personen overvejes ansat i stillinger, der indebærer opgave-
varetagelse efter nr. 1 eller bemyndigelse efter nr. 2.
Den foreslåede bestemmelse indebærer, at vedkommende
minister efter forhandling med justitsministeren vil skulle
fastsætte nærmere regler om, på hvilke betingelser kritiske
enheder kan få foretaget baggrundskontrol af personer, der
opfylder én af de tre oplistede betingelser.
Den foreslåede bestemmelse vil gennemføre CER-direkti-
vets artikel 14, stk. 1.
Det fremgår af CER-direktivets præambelbetragtning nr. 32,
at risikoen for, at ansatte i kritiske enheder eller deres kon-
trahenter misbruger for eksempel deres adgangsret inden for
den kritiske enheds organisation til at skade og forvolde
skade, giver anledning til stigende bekymring. Derfor bør
medlemsstaterne angive de betingelser, på hvilke kritiske
enheder i behørigt begrundende tilfælde og under hensyn-
tagen til medlemsstatsrisikovurderinger har tilladelse til at
indgive anmodninger om baggrundskontrol af personer, der
tilhører specifikke kategorier af deres personale.
Den foreslåede bemyndigelsesbestemmelse skal ses i lyset
af, at CER-direktivet lægger op til, at anmodninger om bag-
grundskontrol alene kan indgives i behørigt begrundede til-
fælde og under hensyn til den nationale risikovurdering. Be-
hovet for baggrundkontrol for personer ansat i den enkelte
kritiske enhed, vil således afhænge af den nationale risiko-
vurdering og vil på den baggrund være divergerende for
kritiske enheder.
Det er på den baggrund Ministeriet for Samfundssikkerhed
og Beredskabs vurdering, at de nærmere betingelser for bag-
grundskontrol bør fastsættes af vedkommende minister efter
forhandling med justitsministeren.
Det bemærkes i den forbindelse, at gennemførelse af bag-
grundskontrol vil ske på grundlag af en anmodning fra en
kritisk enhed og forudsætter, at den pågældende person har
meddelt samtykke dertil.
Det forudsættes i øvrigt, at udstedelse af nærmere regler
og den efterfølgende administration af ordningen vil ske i
48
overensstemmelse med kravene i CER-direktivets artikel 14,
stk. 2 og 3.
Det fremgår bl.a. af CER-direktivets artikel 14, stk. 2, at
anmodninger om baggrundskontrol skal vurderes inden for
en rimelig frist og behandles i overensstemmelse med natio-
nal ret og nationale procedurer samt relevant og gældende
EU-ret, herunder EU-regulering om beskyttelse af personop-
lysninger. Baggrundskontrollen skal være forholdsmæssig
og strengt begrænset til, hvad der er nødvendigt, og den
skal udelukkende foretages med henblik på at vurdere en
potentiel sikkerhedsrisiko for den berørte kritiske enhed.
CER-direktivets artikel 14, stk. 3, fastsætter bl.a., at bag-
grundskontrollen mindst skal bekræfte identiteten af den
person, som er genstand for baggrundskontrollen, og at der
skal foretages en kontrol af strafferegistre for den pågæl-
dende person for lovovertrædelser, der er relevante for en
bestemt stilling.
I overensstemmelse med den foreslåede § 3, stk. 5, vil
reglerne om baggrundskontrol finde anvendelse ti måneder
efter, at den kritiske enhed har modtaget en orientering efter
den foreslåede § 3, stk. 1.
Afgørelser om, hvorvidt en person har gennemgået en bag-
grundskontrol med et tilfredsstillende resultat og om tilba-
gekaldelse af en afgørelse om baggrundskontrol, vil skulle
træffes af den kompetente myndighed på baggrund af oplys-
ninger om den pågældende person, som politiet tilvejebrin-
ger. De almindelige forvaltningsretlige regler og principper
vil være gældende, idet afgørelse om baggrundskontrol vil
være en afgørelse i forvaltningsretslig forstand. Det med-
fører bl.a. at en afgørelse om baggrundskontrol vil kunne
påklages til en højere administrativ myndighed efter de
almindelige forvaltningsretlige principper om administrativ
rekurs.
Til § 10
Det følger af den foreslåede § 10, at de relevante myndig-
heder kan videregive oplysninger til andre medlemsstaters
myndigheder og til institutioner i Den Europæiske Union for
at varetage de opgaver, som følger af denne lov eller regler
udstedt i medfør af loven.
Den foreslåede bestemmelse indebærer, at de kompetente
myndigheder og det centrale kontaktpunkt som led i den
nationale gennemførelse af direktivet, kan videregive oplys-
ninger til andre medlemsstater eller EU-institutioner, hvis
det er nødvendigt for at sikre overholdelsen af forpligtel-
serne i CER-loven. Bestemmelsen vil således sikre, at de
danske myndigheder i alle tilfælde vil kunne leve op til
forpligtelserne i CER-loven.
Det følger af CER-direktivets artikel 15, stk. 3, at på grund-
lag af oplysninger leveret af en kritisk enhed i en underret-
ning om en hændelse, orienterer den relevante kompetente
myndighed via det centrale kontaktpunkt andre berørte med-
lemsstaters centrale kontaktpunkter, hvis hændelsen har eller
kunne have betydelig indvirkning på kritiske enheder og
kontinuiteten i leveringen af væsentlige tjenester til eller
i en eller flere andre medlemsstater. Det følger af samme
bestemmelse, at centrale kontaktpunkter, der fremsender
og modtager sådanne oplysninger, i overensstemmelse med
EU-retten eller national ret skal behandle disse oplysninger
på en måde, der respekterer deres fortrolighed og beskytter
den berørte kritiske enheds sikkerhed og kommercielle inte-
resser.
Efter bestemmelsen i CER-direktivets artikel 15, stk. 3, vil
det centrale kontaktpunkt således i relevant omfang skulle
videregive oplysninger, som er modtaget i hændelsesunder-
retninger, til øvrige berørte medlemsstater.
På baggrund af CER-direktivets artikel 17, stk. 2, skal
myndighederne endvidere videregive oplysninger til Euro-
pa-Kommissionen om identiteten af kritiske enheder, som
leverer væsentlige tjenester til eller i seks eller flere med-
lemsstater, samt om de oplysninger, som enhederne leverer i
henhold til den foreslåede bestemmelse i § 4, stk. 2.
Efter bestemmelsen i CER-direktivets artikel 18, stk. 3,
skal Kommissionen endvidere efter anmodning modtage en
række oplysninger fra en medlemsstat, der har identificeret
en kritisk enhed af særlig europæisk betydning, herunder
de relevante dele af den kritiske enheds risikovurdering,
en oversigt over relevante modstandsdygtighedsforanstalt-
ninger, der er truffet, samt tilsyns- og håndhævelsestiltag.
Til § 11
Videregivelse af oplysninger, der ville stride mod væsentlige
interesser af hensyn til den nationale sikkerhed, offentlige
orden eller forsvar reguleres, bl.a. i forvaltningslovens regler
om tavshedspligt og videregivelse af oplysninger, straffelo-
vens regler om tavshedspligt, samt cirkulære nr. 10338 af
17. december 2014 om sikkerhedsbeskyttelse af information
af fælles interesse for landene i NATO eller EU, andre klas-
sificerede informationer samt informationer af sikkerheds-
mæssig beskyttelsesinteresse i øvrigt (sikkerhedscirkulæret).
Det følger af den foreslåede § 11, stk. 1, at de forpligtelser,
der er fastsat i denne lov eller i regler udstedt i medfør af
loven, ikke omfatter meddelelse af oplysninger, hvis videre-
givelse ville stride mod væsentlige interesser af hensyn til
den nationale sikkerhed, offentlige sikkerhed eller forsvar.
Den foreslåede bestemmelse vil gennemføre artikel 1, stk. 8,
i CER-direktivet, som fastsætter, at de forpligtelser, der er
fastsat i CER-direktivet, ikke omfatter meddelelse af oplys-
ninger, hvis videregivelse ville stride mod væsentlige inte-
resser med hensyn til medlemsstaternes nationale sikkerhed,
offentlig sikkerhed eller forsvar.
Baggrunden for artikel 1, stk. 8, beskrives i CER-direktivets
præambelbetragtning nr. 11, in fine, hvoraf det fremgår, at
ingen medlemsstat bør være forpligtet til at meddele oplys-
ninger, hvis videregivelse vil stride mod væsentlige interes-
ser med hensyn til dens nationale sikkerhed, og at EU-regler
49
eller nationale regler om beskyttelse af klassificerede infor-
mationer og hemmeligholdelsesaftaler er relevante.
Under hensyn til bestemmelsen i CER-direktivets artikel 1,
stk. 6 (om at direktivet ikke finder anvendelse på offentlige
forvaltningsenheder, der udfører aktiviteter inden for natio-
nal sikkerhed, offentlig sikkerhed, forsvar eller retshåndhæ-
velse), og den foreslåede bestemmelse i § 1, stk. 4 (om
undtagelse af specifikke enheder, der udfører aktiviteter in-
den for national sikkerhed, offentlig sikkerhed, forsvar eller
retshåndhævelse m.v.), er det Ministeriet for Samfundssik-
kerhed og Beredskabs opfattelse, at den foreslåede bestem-
melse i § 11, stk. 1, for enheders vedkommende vil have et
yderst begrænset anvendelsesområde.
Bestemmelsen vil desuden alene vedrøre meddelelse af op-
lysninger, som efter en konkret vurdering vil stride mod væ-
sentlige interesser med hensyn til den nationale sikkerhed,
offentlige sikkerhed eller forsvar. Bestemmelsen vil således
eksempelvis ikke medføre, at en enhed mere generelt kan
undlade at efterkomme oplysningsforpligtelserne over for
de kompetente myndigheder, herunder som led i myndighe-
dernes tilsyn. Det er Ministeriet for Samfundssikkerhed og
Beredskabs opfattelse, at det kun vil være i yderst sjældne
tilfælde, at videregivelse af en enheds oplysninger til den
relevante kompetente myndighed vil stride mod væsentlige
interesser af hensyn til den nationale sikkerhed, offentlige
sikkerhed eller forsvar.
Bestemmelsen vil desuden alene vedrøre meddelelsen af op-
lysninger, som efter en konkret vurdering vil stride mod væ-
sentlige interesser med hensyn til den nationale sikkerhed,
offentlige sikkerhed eller forsvar. Bestemmelsen vil således
eksempelvis ikke medføre, at en virksomhed mere generelt
kan undlade at efterkomme oplysningsforpligtelserne over
for de kompetente myndigheder, herunder som et led i myn-
dighedernes tilsyn.
Det følger af det foreslåede stk. 2, at oplysninger, der mod-
tages eller hidrører fra myndigheder i andre EU-medlems-
stater, behandles som fortrolige, såfremt de relevante myn-
digheder er blevet oplyst om at den afgivende myndighed
betragter oplysningerne som fortrolige i henhold til EU-reg-
ler eller nationale regler.
Den foreslåede bestemmelse vil bl.a. medføre, at oplysnin-
ger, som de danske myndigheder modtager i medfør af
CER-direktivets artikel 15, stk. 3, vil blive behandlet med
den fornødne fortrolighed.
Den foreslåede bestemmelse vil finde anvendelse, uanset om
oplysningerne modtages direkte fra den pågældende natio-
nale myndighed eller via andre, herunder Europa-Kommis-
sionen.
Det følger således af CER-direktivets artikel 15, stk. 3, at på
grundlag af oplysninger leveret af en kritisk enhed i en un-
derretning om en hændelse, orienterer den relevante kompe-
tente myndighed via det centrale kontaktpunkt andre berørte
medlemsstaters centrale kontaktpunkter, hvis hændelsen har
eller kunne have betydelig indvirkning på kritiske enheder
og kontinuiteten i leveringen af væsentlige tjenester til eller
i en eller flere andre medlemsstater. Det følger videre, at
centrale kontaktpunkter, der fremsender og modtager sådan-
ne oplysninger, i overensstemmelse med EU-retten eller na-
tional ret skal behandle sådanne på en måde, der respekterer
deres fortrolighed og beskytter den berørte kritiske enheds
sikkerhed og kommercielle interesser.
Det følger desuden af CER-direktivets artikel 1, stk. 4, at
oplysninger, der er fortrolige i henhold til EU-regler eller
nationale regler, såsom regler om forretningshemmelighe-
der, kun udveksles med Europa-Kommissionen og andre
relevante myndigheder i overensstemmelse med CER-direk-
tivet, hvor denne udveksling er nødvendig for anvendelsen
af direktivet. De udvekslede oplysninger begrænses til, hvad
der er relevant og forholdsmæssigt under hensyntagen til
formålet med udvekslingen. Udvekslingen af oplysninger
skal bevare de pågældende oplysningers fortrolighed og
beskytte de kritiske enheders sikkerhed og kommercielle
interesser, samtidig med at medlemsstaternes sikkerhed re-
spekteres.
Til § 12
Det følger af den foreslåede § 12, at ministeren for sam-
fundssikkerhed og beredskab kan fastsætte regler om digital
kommunikation, herunder om anvendelsen af bestemte it-sy-
stemer, særlige digitale formater og digital signatur samt
fritagelse fra digital kommunikation eller lignende.
Den foreslåede bestemmelse indebærer, at det kan gøres
obligatorisk for enheder at anvende bestemte it-systemer,
herunder selvbetjeningsløsninger.
Den foreslåede bestemmelse skal ses i lyset af forvaltnings-
lovens § 32 a, hvoraf det følger, at vedkommende minister
kan fastsætte regler om ret til at anvende digital kommuni-
kation ved henvendelser til den offentlige forvaltning og om
nærmere vilkår herfor, herunder fravige formkrav i lovgiv-
ningen, der hindrer anvendelsen af digital kommunikation.
Der vil med hjemmel i bestemmelsen kunne fastsættes reg-
ler om, hvem der omfattes af pligten til at kommunikere
digitalt, om hvilke forhold, og på hvilken måde.
Bestemmelsen forventes navnlig anvendt til at fastsætte reg-
ler om, hvordan kritiske enheder skal foretage underretnin-
ger om hændelser i medfør af den foreslåede § 8. Det kan
også være relevant at fastsætte regler om, hvordan kritiske
enheder af særlig europæisk betydning skal underrette og
oplyse om væsentlige tjenester i medfør af den foreslåede
§ 4, stk. 2. Der vil eksempelvis kunne fastsættes regler
om anvendelse af bestemte digitale internetløsninger, såsom
Virk.dk.
Der kan med hjemmel i bestemmelsen fastsættes regler om,
at skriftlige henvendelser til myndighederne, herunder de
kompetente myndigheder m.v., om forhold, som er omfattet
50
af et krav om digital kommunikation, ikke anses for behørigt
modtaget af myndighederne, hvis de indsendes på anden vis
end den foreskrevne digitale måde.
Hvis en enhed retter henvendelse til en myndighed på an-
den måde end den foreskrevne digitale måde, eksempelvis
ved brev, følger det af den almindelige vejledningspligt, jf.
forvaltningslovens § 7, at myndigheden skal vejlede om reg-
lerne på området, herunder om pligten til at kommunikere
digitalt.
Der kan desuden fastsættes regler om fritagelse for plig-
ten til digital kommunikation. Fritagelsesmuligheden tænkes
navnlig anvendt, hvor det er påkrævet at anvende en dansk
digital signatur, men der er tale om en virksomhed med
hjemsted i udlandet, og som dermed ikke kan få udstedt en
dansk digital signatur. Det bemærkes i den forbindelse, at
fritagelsesmuligheden er stærkt begrænset, idet der er tale
om kommunikation om erhvervsforhold, og idet virksomhe-
der med hjemsted i udlandet kun i begrænset omfang vil
høre under dansk jurisdiktion.
Det forhold, at en enheds computere ikke fungerer, at enhe-
den har mistet koden til sin digitale signatur, eller at der
opstår lignende hindringer, som det er op til virksomheden
at overvinde, vil ikke kunne føre til fritagelse for pligten til
digital kommunikation. I så fald må den pågældende enhed
eksempelvis anmode en rådgiver om at varetage kommuni-
kationen på virksomhedens vegne.
Der kan efter bestemmelsen også fastsættes regler om, at en
digital meddelelse anses for at være kommet frem til adres-
saten for meddelelsen på det tidspunkt, hvor meddelelsen er
tilgængelig digitalt for adressaten. Dermed er der tale om
samme retsvirkning som ved fysisk post, der anses for at
være kommet frem, når den pågældende meddelelse m.v.
er lagt i adressatens fysiske postkasse. En meddelelse vil
normalt anses for at være kommet frem, når meddelelsen er
tilgængelig digitalt for adressaten, således at vedkommende
har mulighed for at behandle meddelelsen. Dette tidspunkt
vil normalt blive registreret automatisk i adressatens it-sy-
stem.
Til § 13
Rådets direktiv 2008/114/EF af 8. december 2008 om ind-
kredsning og udpegning af europæisk kritisk infrastruktur
og vurdering af behovet for at beskytte den bedre (EPCIP-
direktivet) stillede ikke krav om, at der udpeges en kompe-
tent myndighed.
Det følger af den foreslåede stk. 1, at ministeren for sam-
fundssikkerhed og beredskab fastsætter efter forhandling
med vedkommende minister regler om, hvilken myndighed
der skal varetage funktionen som kompetent myndighed in-
den for en given sektor eller delsektor som nævnt i lovens
bilag.
Den foreslåede bestemmelse indebærer, at ministeren for
samfundssikkerhed og beredskab efter forhandling med
vedkommende minister ved bekendtgørelse kan fastsætte
regler om, hvilken myndighed eller hvilke myndigheder, der
skal varetage funktionen som kompetent myndighed inden
for de enkelte sektorer.
Dermed vil der hurtigt og smidigt kunne ske justeringer, så-
fremt der måtte ske ændringer i arbejdsfordelingen mellem
myndigheder, samtidig med, at det vil være tydeligt for en-
hederne, hvilken myndigheds tilsyn, de er underlagt. Der vil
kunne blive udpeget en eller flere kompetente myndigheder
inden for en given sektor eller delsektor.
Som led i implementeringen af direktivet vil det påhvile
ministeren for samfundssikkerhed og beredskab efter for-
handling med de relevante ressortministerier at oprette eller
udpege kompetente myndigheder for de enkelte sektorer i
lovens bilag.
Efter CER-direktivets artikel 9, stk. 1, 1. led, skal hver
medlemsstat udpege eller oprette en eller flere kompetente
myndigheder, der er ansvarlige for korrekt anvendelse og,
hvor det er nødvendigt, håndhævelse af reglerne fastsat i
CER-direktivet på nationalt plan.
De kompetente myndigheder vil bl.a. have til opgave at
føre tilsyn med de kritiske enheders efterlevelse af reglerne,
håndhæve reglerne og støtte de kritiske enheder i at øge
deres modstandsdygtighed samt underrette Europa-Kommis-
sionen om kritiske enheder, som leverer tjenester til eller i
seks eller flere medlemsstater.
Der henvises i øvrigt til pkt. 2.2.2.1 i lovforslagets bemærk-
ninger.
Det foreslås i stk. 2, at ministeren for samfundssikkerhed
og beredskab kan fastsætte nærmere regler om koordinering,
ansvar, fordeling af opgaver og udveksling af oplysninger
mellem de kompetente myndigheder og Ministeriet for Sam-
fundssikkerhed og Beredskab, herunder i forhold til hændel-
sesunderretning efter § 8, videregivelse af oplysninger efter
§§ 10 og 11, digital kommunikation og gennemførelsesrets-
akter efter kapitel 3 og tilsyn og håndhævelse efter dette
kapitel.
Den foreslåede bestemmelse medfører, at ministeren for
samfundssikkerhed og beredskab har mulighed for at fast-
sætte nærmere regler om ansvarsfordelingen og samarbejdet
mellem de kompetente myndigheder.
Bemyndigelsesbestemmelsen skal ses i lyset af, at Ministe-
riet for Samfundssikkerhed og Beredskab har en koordine-
rende rolle i forbindelse med implementeringen af CER-di-
rektivet. Heri ligger bl.a., at ministeriet og Styrelsen for
Samfundssikkerhed har ansvaret for at varetage en række
tværgående, rådgivende og koordinerende funktioner, herun-
der i forhold til at sikre vejledning om udmøntningen af
direktivets krav og forpligtelser på tværs af ressortministeri-
erne.
Bemyndigelsesbestemmelsen skal endvidere give Ministeri-
51
et for Samfundssikkerhed og Beredskab mulighed for at
fastsætte nærmere regler med henblik på at modtage op-
lysninger fra de kompetente myndigheder vedrørende bl.a.
hændelsesunderretninger med henblik på at kunne oriente-
re Kommissionen og Gruppen for Kritiske Enheders Mod-
standsdygtighed herom. Denne orienteringsforpligtelse føl-
ger af CER-direktivets artikel 9, stk. 3.
Til § 14
Rådets direktiv 2008/114/EF af 8. december 2008 om ind-
kredsning og udpegning af europæisk kritisk infrastruktur
og vurdering af behovet for at beskytte den bedre (EPCIP-
direktivet) indeholdt ikke generelle regler om tilsyn og
håndhævelse.
Det fulgte imidlertid af EPCIP-direktivets artikel 5, stk. 2,
at hver enkelt medlemsstat kontrollerer, at alle udpegede
europæiske kritiske infrastrukturer, der var beliggende på
dens område, havde en sikkerhedsplan for operatører eller
havde iværksat tilsvarende foranstaltninger, der dækkede de
punkter, der var opstillet i direktivets bilag II.
Af EPCIP-direktivets artikel 5, stk. 3, 1. pkt., fremgik yder-
ligere, at hvis en medlemsstat konstaterede, at der ikke
var udarbejdet en sådan sikkerhedsplan for operatører eller
tilsvarende, sikrer den ved hjælp af hensigtsmæssige foran-
staltninger, at sikkerhedsplanen for operatører eller tilsva-
rende udarbejdes og dækkede de punkter, der var opstillet i
direktivets bilag II.
EPCIP-direktivet er i dansk ret implementeret sektorvist for
energi- og transportsektorerne, som er de to sektorer, der er
omfattet af direktivet.
For en nærmere gennemgang af den sektorvise implemente-
ring af EPCIP-direktivet henvises til lovforslagets pkt. 2.4.
Det følger af det foreslåede stk. 1, at den kompetente myn-
dighed på sit område fører tilsyn med kritiske enheders
overholdelse af denne lov og regler udstedt i medfør af
loven. Den kompetente myndighed kan som led i dette tilsyn
1) uden retskendelse og mod behørig legitimation foretage
inspektioner på stedet af den kritiske infrastruktur og de
lokaler, som den kritiske enhed anvender til at levere sine
væsentlige tjenester, 2) foretage en audit af en kritisk enhed
eller stille krav om, at enheden får et kvalificeret, uafhæn-
gigt organ til at foretage denne, og at resultaterne heraf
stilles til rådighed for den kompetente myndighed, 3) kræve
at få udleveret oplysninger, der er nødvendige for at vurdere,
hvorvidt de modstandsdygtighedsforanstaltninger, som den
berørte enhed har indført, opfylder kravene i § 6, 4) kræve
at få adgang til data, dokumenter og oplysninger, der er
nødvendige for udførelsen af tilsynsopgaven og 5) kræve
at få udleveret dokumentation for faktisk gennemførelse af
modstandsdygtighedsforanstaltninger, herunder resultaterne
af en audit.
Det følger af CER-direktivets artikel 21, stk. 1, at medlems-
staterne med henblik på at vurdere, om de enheder, som
medlemsstaterne har identificeret som kritiske enheder i
henhold til artikel 6, stk. 1, opfylder forpligtelserne i CER-
direktivet, sikrer, at de kompetente myndigheder har befø-
jelser og midler til a) at foretage inspektioner på stedet af
den kritiske infrastruktur og de lokaler, som den kritiske
enhed anvender til at levere sine væsentlige tjenester, og
eksternt tilsyn med de modstandsdygtighedsforanstaltninger,
som kritiske enheder har truffet, og b) at foretage eller kræ-
ve revision af kritiske enheder.
Det følger videre af CER-direktivets artikel 21, stk. 2, 1.
pkt., at medlemsstaterne sikrer, at de kompetente myndighe-
der har beføjelser og midler til, hvor det er nødvendigt for
udførelsen af deres opgaver i henhold til CER-direktivet,
at kræve, at enhederne i henhold til NIS 2-direktivet, som
medlemsstaterne har identificeret som kritiske enheder i
henhold til CER-direktivet, inden for en rimelig tidsfrist, der
fastsættes af disse myndigheder, giver a) de oplysninger, der
er nødvendige for at vurdere, hvorvidt de foranstaltninger,
der træffes af disse enheder for at sikre deres modstandsdyg-
tighed, opfylder kravene i artikel 13, og b) dokumentation
for faktisk gennemførelse af disse foranstaltninger, herunder
resultaterne af en revision foretaget af en uafhængig og
kvalificeret revisor udvalgt af denne enhed og foretaget på
dennes regning.
Baggrunden for artikel 21, stk. 1, og stk. 2, 1. pkt., er be-
skrevet i CER-direktivets præambelbetragtning nr. 40, hvor-
af det bl.a. fremgår, at medlemsstaterne bør sikre, at deres
kompetente myndigheder har visse specifikke beføjelser til
at sikre en korrekt anvendelse og håndhævelse af direktivet
i forbindelse med kritiske enheder, når disse enheder hører
under deres jurisdiktion som fastsat i direktivet.
Det bemærkes, at anvendelsen af de forskellige tilsynsfor-
anstaltninger, som opregnes i den foreslåede § 14, stk. 1,
vil ske efter en konkret vurdering af omstændighederne i
hver enkelt sag. Valget af tilsynsforanstaltninger skal ske i
overensstemmelse med det forvaltningsretlige proportionali-
tetsprincip.
Det foreslås i nr. 1, at den kompetente myndighed som led i
sit tilsyn uden retskendelse og mod behørig legitimation kan
foretage inspektioner på stedet af den kritiske infrastruktur
og de lokaler, som den kritiske enhed anvender til at levere
sine væsentlige tjenester, og eksternt tilsyn med de foran-
staltninger, som kritiske enheder har truffet i overensstem-
melse med § 6.
Efter den foreslåede bestemmelse vil den kompetente myn-
dighed som led i sit tilsyn uden retskendelse og mod behørig
legitimation kunne foretage inspektioner på stedet af den
kritiske infrastruktur og de lokaler, som den kritiske enhed
anvender til at levere sine væsentlige tjenester.
Den foreslåede bestemmelse indebærer, at der skal være ad-
gang til kontrol på stedet uden retskendelse og mod behørig
legitimation. For effektivt at kunne konstatere om kritiske
enheder i praksis har gennemført de passende modstands-
52
dygtighedsforanstaltninger, er det således nødvendigt, at de
kompetente myndigheder som led i et tilsyn har adgang til
den kritiske infrastruktur og de lokaler som den kritiske
enhed anvender til at levere sine væsentlige tjenester. Det vil
i den forbindelse f.eks. kunne indgå, hvilken type kritiske
enhed, der føres tilsyn med, tilsynets karakter og omfang.
Den foreslåede bestemmelse vil betyde, at de kompetente
myndigheder som led i et tilsyn kan foretage kontrol på
stedet til enhver tid. Det forudsættes dog almindeligvis, at
den kompetente myndighed forinden et evt. besøg vil varsle
den kritiske enhed herom.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at der ved CER-direktivets anvendelse af »på
stedet« forstås en enheds lokaler, hvorfra enheden driver
sine aktiviteter, samt arbejdssteder uden for enhedens loka-
ler. Det vil således efter bestemmelsen være muligt for de
kompetente myndigheder at foretage tilsyn på enhedens for-
retningssteder.
Det bemærkes, at det af CER-direktivets artikel 21, stk.1,
litra a, fremgår, at der kan foretages »eksternt tilsyn«. Dette
er en formulering, der efter Ministeriet for Samfundssikker-
hed og Beredskabs opfattelse kan give anledning til fortolk-
ningstvivl. I den engelske sprogversion af CER-direktivet
anvendes formuleringen »off-site supervision«. Efter Mini-
steriet for Samfundssikkerhed og Beredskabs opfattelse ud-
gør eksternt tilsyn, forstået som off-site supervision, et tilsyn
fra en kompetent myndighed uden fysisk tilstedeværelse på
stedet, men eksempelvis udført på skriftligt grundlag.
Den kompetente myndigheds tilsyn vil efter den foreslåede
bestemmelse kunne gennemføres ved fysiske tilsynsbesøg
eller på administrativt grundlag.
Et administrativt tilsyn på skriftligt grundlag vil således
kunne baseres på de dele af den foreslåede bestemmelse,
hvorefter de kompetente myndigheder kan kræve at få rele-
vante oplysninger fra enhederne.
Det foreslås i nr. 2, at den kompetente myndighed som led i
sit tilsyn kan foretage en audit af en kritisk enhed eller stille
krav om, at enheden får et kvalificeret, uafhængigt organ til
at foretage denne, og at resultaterne heraf stilles til rådighed
for den kompetente myndighed.
Den foreslåede bestemmelse implementerer CER-direktivets
artikel 21, stk. 1, litra b, hvorefter den kompetente myndig-
hed bør have beføjelse til at foretage eller kræve revision af
kritiske enheder.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at CER-direktivet skal forstås således, at den
kompetente myndighed bør have beføjelse til at foretage
en audit af den kritiske enhed, eller kræve, at enheden får
et kvalificeret organ til at foretage denne. Det forudsættes,
at resultaterne af det kvalificerede, uafhængige organs audit
stilles til rådighed for den kompetente myndighed.
Det foreslås i nr. 3, at den kompetente myndighed som led
i sit tilsyn kan kræve at få udleveret oplysninger, der er nød-
vendige for at vurdere, hvorvidt de modstandsdygtigheds-
foranstaltninger, som den berørte enhed har indført, opfylder
kravene i § 6.
Efter den foreslåede bestemmelse vil den kompetente myn-
dighed som led i sit tilsyn kunne kræve at få udleveret
oplysninger, der er nødvendige for at vurdere, hvorvidt de
modstandsdygtighedsforanstaltninger, som den berørte en-
hed har indført, opfylder kravene i § 6.
Bestemmelsen implementerer CER-direktivets artikel 21,
stk. 2, litra a, hvorefter den kompetente myndighed bør have
beføjelse til de oplysninger, der er nødvendige for at vurde-
re, hvorvidt de foranstaltninger, der træffes af disse enheder
for at sikre deres modstandsdygtighed.
Det foreslås i nr. 4, at den kompetente myndighed som led
i sit tilsyn kan kræve at få adgang til data, dokumenter og
oplysninger, der er nødvendige for udførelsen af tilsynsop-
gaven.
Efter den foreslåede bestemmelse vil de kompetente myn-
digheder som led i deres tilsyn kunne kræve at få adgang
til data, dokumenter og oplysninger, der er nødvendige for
udførelsen af tilsynsopgaven.
Den foreslåede bestemmelse implementerer CER-direktivets
artikel 21, stk. 2, litra a, hvorefter den kompetente myndig-
hed kan kræve, at enhederne i henhold til NIS 2-direktivet,
som medlemsstaterne har identificeret som kritiske enheder,
skal udlevere de oplysninger, der er nødvendige for at vur-
dere, hvorvidt de foranstaltninger, der træffes af disse enhe-
der for at sikre deres modstandsdygtighed, opfylder kravene
i artikel 13.
Det bemærkes, at de kompetente myndigheder i medfør af
den foreslåede bestemmelse kan kræve relevante oplysnin-
ger fra enhederne. Det indebærer også, at en kompetent
myndighed kan kræve at få udleveret nødvendige oplysnin-
ger til afgørelse af, om et forhold er omfattet af loven eller
regler udstedt i medfør af loven.
Det foreslås i nr. 5, at den kompetente myndighed som led
i sit tilsyn kan kræve at få udleveret dokumentation for fak-
tisk gennemførelse af modstandsdygtighedsforanstaltninger,
herunder resultaterne af en audit.
Efter den foreslåede bestemmelse vil den kompetente myn-
dighed kunne kræve at få udleveret dokumentation for fak-
tisk gennemførelse af modstandsdygtighedsforanstaltninger,
herunder resultaterne af en audit.
Den foreslåede bestemmelse implementerer CER-direktivets
artikel 21, stk. 2, litra b, hvorefter den kompetente myndig-
hed kan kræve, at enhederne i henhold til NIS 2-direktivet,
som medlemsstaterne har identificeret som kritiske enheder,
skal udlevere dokumentation for faktisk gennemførelse af
disse foranstaltninger, herunder resultaterne af en revision
53
foretaget af en uafhængig og kvalificeret revisor udvalgt af
denne enhed og foretaget på dennes regning.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at for så vidt angår de foreslåede bestemmelser i
nr. 3, 4 og 5 og den del af bestemmelsen i nr. 2, der vedrører,
at der kan stilles krav om, at enheden får et kvalificeret,
uafhængigt organ til at foretage audit, og at resultaterne
heraf stilles til rådighed for den kompetente myndighed, vil
være tale om oplysningspligter omfattet af lov om retssik-
kerhed ved forvaltningens anvendelse af tvangsindgreb og
oplysningspligter. Dette indebærer bl.a., at kapitel 4 (om ret-
ten til ikke at inkriminere sig selv mv.) vil gælde i tilfælde,
hvor der måtte være en konkret mistanke om, at en enhed
har begået en overtrædelse af lovgivningen, der kan medføre
straf. Der henvises i øvrigt til kapitel 4 i lov om retssik-
kerhed ved forvaltningens anvendelse af tvangsindgreb og
oplysningspligter og bemærkningerne hertil. Der henvises til
Folketingstidende 2003-04, tillæg A, s. 3075-3078 og side
3096-3099.
Det følger af det foreslåede stk. 2, at ved anvendelsen af
tiltagene i stk. 1, nr. 3-5, skal den kompetente myndighed
angive formålet med tiltaget og præcisere, hvilke oplysnin-
ger der kræves udleveret.
Den foreslåede bestemmelse indebærer, at den kompetente
myndighed ved udøvelsen af sin tilsynsmyndighed skal kun-
ne redegøre nærmere for formålet med det valgte tiltag.
Den foreslåede bestemmelse vil gennemføre CER-direkti-
vets artikel 21, stk. 2, 2. pkt., hvoraf det fremgår, at når der
anmodes om disse oplysninger, angiver de kompetente myn-
digheder formålet med kravet og anfører, hvilke oplysninger
der kræves.
Det følger af det foreslåede stk. 3, at den kompetente myn-
dighed kan stille krav til, hvordan og i hvilken form oplys-
ningerne og materialet nævnt i stk. 1, nr. 3-5, skal afgives.
Den foreslåede bestemmelse indebærer, at den kompetente
myndighed i forbindelse med, at der stilles krav om udle-
vering af oplysninger, adgang til data og dokumentation
for faktisk gennemførelse af modstandsdygtighedsforanstalt-
ninger efter de foreslåede bestemmelser i stk. 1, nr. 3-5,
samtidig kan forlange, at oplysningerne m.v. udleveres på en
bestemt måde og i en bestemt form.
Der vil eksempelvis kunne stilles krav om anvendelse af
bestemte skemaer, eller at der skal foretages indtastninger på
en hjemmeside.
Det bemærkes, at almindelige forvaltningsretlige principper
om proportionalitet og fastsættelse af tidsfrister for afgivelse
af oplysninger m.v. vil være normerende for en kompetent
myndigheds anmodning om oplysninger m.v.
Der henvises i øvrigt til pkt. 3.4 i lovforslagets bemærknin-
ger.
Til § 15
Rådets direktiv 2008/114/EF af 8. december 2008 om ind-
kredsning og udpegning af europæisk kritisk infrastruktur
og vurdering af behovet for at beskytte den bedre (EPCIP-
direktivet) indeholdt ikke generelle regler om tilsyn og
håndhævelse.
Det fulgte imidlertid af EPCIP-direktivets artikel 5, stk. 2,
at hver enkelt medlemsstat kontrollerede, at alle udpegede
europæiske kritiske infrastrukturer, der var beliggende på
dens område, havde en sikkerhedsplan for operatører eller
havde iværksat tilsvarende foranstaltninger, der dækkede de
punkter, der var opstillet i direktivets bilag II.
Af EPCIP-direktivets artikel 5, stk. 3, 1. pkt., fremgik yder-
ligere, at hvis en medlemsstat konstaterede, at der ikke
var udarbejdet en sådan sikkerhedsplan for operatører eller
tilsvarende, sikrer den ved hjælp af hensigtsmæssige foran-
staltninger, at sikkerhedsplanen for operatører eller tilsva-
rende udarbejdes og dækkede de punkter, der var opstillet i
direktivets bilag II.
EPCIP-direktivet er i dansk ret implementeret sektorvist for
energi- og transportsektorerne, som var de to sektorer, der er
omfattet af direktivet.
For en nærmere gennemgang af den sektorvise implemente-
ring af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets
bemærkninger.
Det følger af den foreslåede § 15, at den kompetente myn-
dighed kan påbyde en kritisk enhed at træffe nødvendige og
forholdsmæssige foranstaltninger for at afhjælpe en konsta-
teret overtrædelse af loven eller regler fastsat i medfør af
loven.
Den foreslåede bestemmelse indebærer, at den kompetente
myndighed ved påbud vil kunne angive, hvilke nærmere for-
anstaltninger enheden skal træffe i tilfælde af, at en kritisk
enhed eksempelvis ikke lever op til de krav, der er fastsat
i loven om udarbejdelse af risikovurderinger eller om mod-
standsdygtighedsforanstaltninger.
Den foreslåede bestemmelse vil gennemføre artikel 21, stk.
3, i CER-direktivet, hvoraf det fremgår, at uden at det be-
rører muligheden for at pålægge sanktioner i overensstem-
melse med CER-direktivets artikel 22, kan de kompetente
myndigheder efter de i CER-direktivets artikel 21, stk. 1,
omhandlede tilsynsforanstaltninger eller vurderingen af de i
CER-direktivets artikel 21, stk. 2, omhandlede oplysninger
pålægge de berørte kritiske enheder at træffe de nødvendige
og forholdsmæssige foranstaltninger for at afhjælpe enhver
konstateret overtrædelse af dette direktiv inden for en rime-
lig frist, der fastsættes af disse myndigheder, og give disse
myndigheder oplysninger om de trufne foranstaltninger.
Ved den kompetente myndigheds valg om at anvende hånd-
hævelsesforanstaltninger over for en kritisk enhed, herunder
om der bør udstedes et påbud efter den foreslåede bestem-
54
melse, vil den kompetente myndighed navnlig skulle tage
hensyn til overtrædelsens grovhed.
Det følger bl.a. af CER-direktivets artikel 21, stk. 4, at med-
lemsstaterne skal sikre, at håndhævelsesbeføjelser kun kan
udøves med forbehold af passende beskyttelsesforanstaltnin-
ger. Disse beskyttelsesforanstaltninger skal navnlig sikre, at
en sådan udøvelse finder sted på en objektiv, gennemsigtig
og forholdsmæssig måde, og at de berørte kritiske enheders
rettigheder og legitime interesser såsom beskyttelse af for-
retningshemmeligheder garanteres behørigt, herunder deres
ret til at blive hørt, til et forsvar og til effektive retsmidler
ved en uafhængig domstol.
CER-direktivets artikel 21, stk. 4, skal læses i lyset af præ-
ambelbetragtning nr. 40, hvorefter medlemsstaterne bl.a.,
når de udsteder påbud, ikke bør kræve foranstaltninger, der
går ud over, hvad der er nødvendigt og rimeligt for at sikre,
at den pågældende kritiske enhed opfylder forpligtelserne,
navnlig under hensyntagen til overtrædelsens alvor og den
pågældende kritiske enheds økonomiske formåen.
Disse beskyttelsesforanstaltninger sikres ved, at et påbud
efter den foreslåede § 15 vil være omfattet af forvaltningslo-
vens almindelige regler, herunder bestemmelserne i kapitel
3 (om vejledning og repræsentation m.v.), kapitel 5 (om
partshøring), kapitel 6 (om begrundelse m.v.) og kapitel 7
(om klagevejledning).
Derudover vil der være mulighed for at påklage afgørelsen i
medfør af det almindelige ulovbestemte princip om admini-
strativ rekurs, ligesom afgørelsen vil kunne indbringes for
domstolene.
Det forudsættes endvidere, at de kompetente myndigheder
efter henholdsvis CER-direktivet og NIS 2-direktivet samar-
bejder i overensstemmelse med forudsætningerne i CER-di-
rektivets artikel 21, stk. 5, som uddybet i præambelbetragt-
ning nr. 40, in fine. Det beskrives heri, at de kompetente
myndigheder ved vurderingen af, om en kritisk enhed op-
fylder sine forpligtelser som fastsat i CER-direktivet, bør
kunne anmode de kompetente myndigheder i henhold til
NIS 2-direktivet om at udøve deres tilsyns- og håndhævel-
sesbeføjelser over for en enhed i henhold til nævnte direktiv,
som er identificeret som kritisk enhed i henhold til CER-di-
rektivet. De kompetente myndigheder i henhold til CER-di-
rektivet og de kompetente myndigheder i henhold til NIS
2-direktivet bør samarbejde og udveksle oplysninger med
henblik herpå.
Der henvises i øvrigt til pkt. 3.4 i lovforslagets bemærknin-
ger.
Til § 16
Rådets direktiv 2008/114/EF af 8. december 2008 om ind-
kredsning og udpegning af europæisk kritisk infrastruktur
og vurdering af behovet for at beskytte den bedre (EPCIP-
direktivet) indeholdt ikke bestemmelser om rådgivende EU-
delegationer.
Det følger af den foreslåede § 16, at kritiske enheder af
særlig europæisk betydning, jf. § 4, skal give rådgivende
EU-delegationer adgang til oplysninger, systemer og facili-
teter, der vedrører levering af deres væsentlige tjenester,
og som er nødvendige for at gennemføre den pågældende
rådgivende aktivitet.
Den foreslåede bestemmelse vil medføre, at kritiske enheder
af særlig europæisk betydning skal give rådgivende EU-de-
legationer adgang til de(t) af EU-delegationen efterspurgte
oplysninger, systemer og faciliteter, således at EU-delegatio-
nen kan gennemføre rådgivende aktivitet.
En rådgivende EU-delegation vil bestå af eksperter fra den
medlemsstat, hvor den kritiske enhed af særlig europæisk
betydning er beliggende, eksperter fra de medlemsstater,
hvortil eller hvori den væsentlige tjeneste leveres og repræ-
sentanter fra Europa-Kommissionen. Dette følger af CER-
direktivets artikel 18, stk. 5.
Rådgivende missioner gennemføres i overensstemmelse
med gældende national ret i den medlemsstat, hvor de finder
sted.
Bestemmelsen finder ikke anvendelse for andre landes dele-
gationer.
Den foreslåede bestemmelse vil gennemføre artikel 18, stk.
7, i CER-direktivet, hvoraf det fremgår, at medlemsstaterne
sikrer, at kritiske enheder af særlig europæisk betydning
giver rådgivende missioner adgang til oplysninger, systemer
og faciliteter, der vedrører levering af deres væsentlige tje-
nester, og som er nødvendige for at gennemføre den pågæl-
dende rådgivende mission.
CER-direktivets artikel 18, stk. 7, skal ses i lyset af CER-di-
rektivets artikel 18, stk. 1 og 2, hvoraf det følger, at efter
anmodning fra en medlemsstat, som har identificeret en
kritisk enhed af særlig europæisk betydning, tilrettelægger
Europa-Kommissionen en rådgivende mission for at vurdere
de foranstaltninger, som denne kritiske enhed har truffet for
at opfylde sine forpligtelser om modstandsdygtighedsforan-
staltninger. Under forudsætning af at den medlemsstat, som
har identificeret den pågældende kritiske enhed, samtykker,
kan en rådgivende mission endvidere tilrettelægges på Eu-
ropa-Kommissionens initiativ eller efter anmodning fra en
eller flere medlemsstater.
Såfremt en enhed ikke giver adgang til lokaler eller infra-
struktur, vil det kunne straffes med bøde i medfør af den
foreslåede § 17. Den foreslåede bestemmelse indebærer så-
ledes ikke, at der gives adgang til lokaler og infrastruktur
uden retskendelse.
Der henvises i øvrigt til bemærkningerne til den foreslåede §
4.
Til § 17
Det var i Rådets direktiv 2008/114/EF af 8. december 2008
55
om indkredsning og udpegning af europæisk kritisk infra-
struktur og vurdering af behovet for at beskytte den bedre
(EPCIP-direktivet) ikke reguleret, hvordan overtrædelser af
nationale regler, der var udstedt i medfør af EPCIP-direkti-
vet, skulle sanktioneres.
Det følger af den foreslåede stk. 1, at med bøde straffes den,
der; 1) overtræder § 4, stk. 2, § 5, stk. 1, 2 eller 3, 2. pkt.,
§ 6, stk. 1 eller 2, § 7, § 8, stk. 1, 3 eller 4 eller § 16, 2)
undlader at efterkomme krav efter § 3, stk. 4, eller § 14,
stk. 1, nr. 2-5, eller stk. 3, 3) undlader at efterkomme påbud
efter § 15, og 4) hindrer den kompetente myndighed i at føre
tilsyn efter § 14, stk. 1, nr. 1 eller 2.
Det foreslåede vil for det første indebære, at der efter stk.
1, nr. 1, kan straffes for ikke at underrette den relevante
kompetente myndighed, såfremt den kritiske enhed leverer
væsentlige tjenester til eller i seks eller flere EU-medlems-
stater jf. § 4, stk. 2.
Den kritiske enhed vil for det andet efter stk. 1, nr. 1, kunne
straffes for ikke at foretage en risikovurdering med henblik
på at vurdere alle relevante risici, der kan forstyrre leverin-
gen af deres væsentlige tjenester, jf. § 5, stk. 1, ligesom den
kritiske enhed efter stk. 1. nr. 1, vil kunne straffes for ikke
at have inddraget de i § 5, stk. 2 nævnte hensyn ved udarbej-
delsen af risikovurderingen, jf. § 5, stk. 2 og den kritiske
enhed vil endvidere efter stk. 1, nr. 1, kunne straffes for
ikke at opdatere risikovurderingen, når det er nødvendigt, og
mindst hvert fjerde år, jf. § 5, stk. 3, 2. pkt.
Det foreslåede vil for det tredje indebære, at den kritiske
enhed der undlader at træffe passende og forholdsmæssige
tekniske, sikkerhedsmæssige og organisatoriske foranstalt-
ninger for at sikre enhedernes modstandsdygtighed, kan
straffes efter stk. 1, nr. 1, jf. § 6, stk. 1. Det samme vil
være tilfældet, hvis den kritiske enhed ikke har og anvender
en plan for modstandsdygtighed, jf. § 6, stk. 2.
Der vil som det fjerde tillige kunne straffes efter stk. 1, nr.
1, hvis den kritiske enhed ikke udpeger en kontaktperson
og dennes relevante kontaktoplysninger meddeles til den
kompetente myndighed samt hvis den kritiske enhed ikke
underretter den kompetente myndighed om ændringer i kon-
taktoplysningerne, jf. § 7.
Der vil for det femte kunne straffes efter stk. 1, nr. 1, hvis
ikke der til den relevante kompetente myndighed underrettes
om hændelser, der i betydelig grad eller har potentiale til i
betydelig grad at forstyrre leveringen af enhedens væsentli-
ge tjenester, jf. § 8, stk. 1.
Det foreslåede vil for det sjette indebære, at den kritiske en-
hed vil kunne straffes efter stk. 1, nr. 1, hvis underretningen
efter § 8, stk. 1, ikke indeholder alle tilgængelige oplysnin-
ger, der er nødvendige for, at den kompetente myndighed
kan forstå hændelsens art, årsag og mulige konsekvenser,
herunder alle tilgængelige oplysninger, der er nødvendige
for at fastslå hændelsens eventuelle grænseoverskridende
indvirkning, jf. § 8, stk. 3.
Det foreslåede vil for det syvende indebære, at der efter
stk. 1, nr. 1, kan straffes for ikke uden unødigt ophold
og, med mindre det operationelt ikke er muligt, senest 24
timer efter, at den kritiske enhed er blevet opmærksom på
hændelsen, foretager underretning. Det vil endvidere kunne
straffes, hvis den kritiske enhed ikke på anmodning fra den
kompetente myndighed sender en detaljeret rapport til den
kompetente myndighed senest én måned efter hændelsen, jf.
§ 8, stk. 4.
Det foreslåede vil for det ottende indebære, at kritiske enhe-
der af særlig europæisk karakter efter stk. 1, nr. 1, vil kunne
straffes hvis denne ikke giver rådgivende EU-delegationer
adgang til oplysninger, systemer og faciliteter, der vedrører
levering af deres væsentlige tjenester, og som er nødvendige
for at gennemføre den pågældende rådgivende aktivitet, jf. §
16.
Den foreslåede § 1, nr. 2, vil for det første indebære, at den
kritiske enhed kan straffes, hvis enheden undlader at frem-
lægge materiale og oplysninger til vedkommende minister,
der er nødvendige for stillingtagen til, hvorvidt denne skal
identificeres som kritisk, jf. § 3, stk. 4.
Det foreslåede vil for det andet indebære, at en kritisk enhed
efter stk. 1, nr. 2, kan straffes for at forhindre den kompeten-
te myndighed i at udføre tilsyn efter § 14, stk. 1, nr. 2-5.
Det foreslåede vil for det tredje indebære, at den kritiske
enhed efter stk. 1, nr. 2, kan straffes for at undlade at efter-
komme den kompetente myndigheds krav til, hvordan og i
hvilken form oplysningerne og materialet nævnt i stk. 1, nr.
3-5, skal afgives, jf. § 14, stk. 3.
Det foreslåede vil for det fjerde indebære, at den kritiske
enhed efter stk. 1, nr. 3, kan straffes for at undlade at
efterkomme påbud fra den kompetente myndighed om at
træffe nødvendige og forholdsmæssige foranstaltninger for
at afhjælpe en konstateret overtrædelse af loven eller regler
fastsat i medfør af loven, jf. § 15.
Det foreslåede vil for det femte indebære, at den kritiske
enhed efter stk. 1, nr. 4, kan straffes for ikke, mod behørig
legitimation og med det formål at foretage inspektioner på
stedet af den kritiske infrastruktur og de lokaler, som den
kritiske enhed anvender til at levere sine væsentlige tjene-
ster, at give den kompetente myndighed adgang, jf. § 14,
stk. 1, nr. 1. Den kritiske enhed kan endvidere efter stk. 1,
nr. 4, straffes for at hindre at der foretages audit af denne og
at resultaterne heraf stilles til rådighed for den kompetente
myndighed, jf. § 14, stk. 1, nr. 2.
Den foreslåede bestemmelse gennemfører artikel 22, 1. og
2. pkt., i CER-direktivet, hvoraf følger, at medlemsstaterne
fastsætter regler om sanktioner, der skal anvendes i tilfælde
af overtrædelser af de nationale foranstaltninger, der er ved-
taget i medfør af dette direktiv, og træffer alle nødvendige
foranstaltninger for at sikre, at de gennemføres. Sanktioner-
ne skal være effektive, stå i et rimeligt forhold til overtræ-
delsen og have afskrækkende virkning.
56
Den fastsatte bøde skal i overensstemmelse med CER-di-
rektivets artikel 22, 2. pkt., være effektiv, stå i et rimeligt
forhold til overtrædelsen og have afskrækkende virkning.
Det bemærkes, at manglende efterlevelse af bestemmelsen i
§ 14, stk. 1, nr. 2, vil kunne straffes efter både § 17, stk. 1,
nr. 2 og 4. Baggrunden er, at de kompetente myndigheder
efter den pågældende bestemmelse enten kan stille krav om,
at enhederne foretager en audit, eller selv kan foretage en
audit hos de berørte enheder. En enhed vil således efter om-
stændighederne kunne straffes for at undlade at efterkomme
et krav fra en kompetent myndighed efter nr. 2, eller for at
hindre de kompetente myndigheder i at føre tilsyn efter nr.
4.
Det bemærkes, at fastsættelsen af straffen fortsat vil bero
på domstolenes konkrete vurdering i det enkelte tilfælde
af samtlige omstændigheder i sagen, og de angivne strafni-
veauer vil kunne fraviges i op- eller nedadgående retning,
hvis der i den konkrete sag foreligger skærpende eller for-
mildende omstændigheder, jf. herved de almindelige regler
om straffens fastsættelse i straffelovens 10. kapitel.
Det følger af det foreslåede stk. 2, at der kan pålægges
selskaber m.v. (juridiske personer) strafansvar efter reglerne
i straffelovens 5. kapitel.
Den foreslåede bestemmelse indebærer, at selskaber m.v.
(juridiske personer) kan pålægges strafansvar for overtræ-
delse af denne lov eller regler udstedt i medfør af loven efter
reglerne i straffelovens kapitel 5.
Det følger af det foreslåede stk. 3, at der i regler udstedt
i medfør af loven kan fastsættes straf i form af bøde for
overtrædelse af regler udstedt i medfør af loven.
Med bestemmelsen bemyndiges vedkommende minister til
at fastsætte straf i form af bøde for overtrædelse af bestem-
melser i regler, som udfærdiges i medfør af § 3, stk. 6, § 5,
stk. 4, § 6, stk. 3, § 8, stk. 7, § 9 og § 12.
Til § 18
Bestemmelsen fastsætter tidspunktet for lovens ikrafttræden.
Det foreslås, at loven træder i kraft den 1. juli 2025.
Det følger af artikel 26, stk. 1, i CER-direktivet, at direktivet
skal være implementeret i dansk ret senest den 17. oktober
2024 og træde i kraft senest den 18. oktober 2024. Med den
foreslåede bestemmelse vil loven træde i kraft lidt over 8
måneder efter direktivets implementeringsfrist.
Det er Ministeriet for Samfundssikkerhed og Beredskabs
opfattelse, at denne lov bør evalueres fire år efter lovens
ikrafttræden.
Senest 4 år efter lovens ikrafttræden udarbejder ministeren
for samfundssikkerhed og beredskab en rapport om erfarin-
gerne med loven, som oversendes til Folketinget. Evaluerin-
gen vil bl.a. skulle omfatte offentlige myndigheders efterle-
velse af loven.
Til brug for rapporten vil der blive indhentet bidrag fra
de kompetente myndigheder og erhvervslivet. Den samlede
rapport vil blive sendt til Folketinget.
Til § 19
Det foreslås i § 19, at loven ikke gælder for Færøerne og
Grønland, men kan ved kongelig anordning helt eller delvist
sættes i kraft for Færøerne og Grønland med de ændringer,
som de henholdsvis færøske og grønlandske forhold tilsi-
ger. Lovens bestemmelser kan sættes i kraft på forskellige
tidspunkter.
Bestemmelsen vedrører lovens territoriale gyldighed og in-
debærer, at loven ikke gælder for Færøerne og Grønland,
men at loven ved kongelig anordning helt eller delvist kan
sættes i kraft for Færøerne og Grønland med de ændringer,
som de henholdsvis færøske og grønlandske forhold tilsiger.
Loven vil alene kunne sættes helt eller delvist i kraft for
Færøerne og Grønland for så vidt angår sektorer eller del-
sektorer inden for retsområder, som ikke er overtaget af de
grønlandske og færøske myndigheder.
Lovens bestemmelser vil kunne sættes i kraft på forskellige
tidspunkter.
57