Høringssvar og høringsnotat, fra energi-, forsynings- og klimaministeren

Til Energistyrelsen
Til: ens@ens.dk
Cc: beredskab@ens.dk
Dansk Energis høringssvar på lovforslag om IT-sikkerheds-beredskab i
el- og naturgassektorerne
Dansk Energi takker for muligheden for at afgive høringssvar på Energistyrelsens forslag til
”Udkast til lov om ændring af lov om elforsyning og lov om naturgasforsyning”, samt det der-
tilhørende udkast til ”Bekendtgørelse om it-beredskab for el- og naturgassektorerne”.
Vi har valgt at samle og gruppere vores kommentarer og bemærkninger, således at vi kom-
menterer særskilt på hhv. udkastet til lovforslag og udkastet til bekendtgørelse (hhv. afsnit I
og afsnit II i det efterfølgende).
Med høringssvaret lægger Dansk Energi op til yderligere dialog mellem sektor og myndighe-
der, idet initiativer til at imødegå cybertruslen helt oplagt bør udvikles og implementeres i en
fortløbende, dynamisk proces med tæt involvering af alle aktører.
Vores kommentarer og bemærkninger til hhv. lovforslaget og udkastet bør læses i sammen-
hæng. Vi har dog forsøgt at formulere dem, så de kan læses uafhængigt af hinanden.
· Del I omhandler vores bemærkninger til lovforslaget (siderne 3-13)
· Del II omhandler vores bemærkninger til udkastet til bekendtgørelse (siderne14-20)
Herunder gengives Dansk Energis anbefalinger i kort form.
Dansk Energis anbefalinger
· Cybertruslens dynamik og kompleksitet gør, at sektorernes ”samarbejdsklima” bør
forbedres, så fortrolig og tillidsbaseret videndeling og erfaringsudveksling kan ske så
uhindret som muligt (se Del I, afsnit 1).
· Vi opfordrer til, at elsektoren – i form af repræsentanter fra Energinet.dk, Dansk
Energi og virksomhederne – gives tid til at samarbejde om at identificere de reelle og
potentielle sårbare og kritiske systemer, for derigennem at udtænke og udvikle dertil-
hørende konkrete løsningsforslag, som vurderes nødvendige for at tilsikre et tilstræk-
keligt og nødvendigt teknisk sikkerhedsniveau og beredskab på den mest omkost-
ningseffektive måde. Vores fælles mål bør være ”Det bedste beredskab” (se Del I, af-
snit 2).
Dok. ansvarlig: PHA/CMO/MGA
Sekretær: SLS
Sagsnr: s2016-443
Doknr: d2016-12518-32.0
19-09-2016
Energi-, Forsynings- og Klimaudvalget 2016-17
L 68 Bilag 1
Offentligt
2
· De økonomiske konsekvensanalyser bør genbesøges, når der er mere klarhed over
opgaver, løsninger og rollefordeling (se Del I, afsnit 3).
· Udnyt synergier og undgå overimplementering og dobbeltregulering. Afvent mere
klarhed fsva. igangværende EU-initiativer samt kommende implementering af anden
nærtbeslægtet lovgivning (se Del I, afsnit 4).
· Tilsynsopgaven for både det almene beredskab og IT-beredskabet skal flyttes fra
Energinet.dk til en anden kompetentmyndighed. Dansk Energi indgår gerne i nærme-
re drøftelser om, hvor tilsynsopgaven placeres bedst. Vi foreslår, at Center for Cyber-
sikkerhed evt. kan bistå den kompetente myndighed i forbindelse med tilsyn på IT-
beredskabet (se Del I, afsnit 5).
· Bekendtgørelsens omfattende krav om dokumentation bør gå hånd-i-hånd med im-
plementering af nye tekniske sikkerhedsløsninger og dermed give mere reel sikker-
hed ude i den enkelte virksomhed. Dokumentation alene gør os ikke mere sikre (se
Del II, afsnit A).
· Vis sektoren og virksomhederne mere tillid, når det gælder kontrakt- og aftalegrund-
lag med kommercielle CSIRT-tjenester. Begræns ikke Energinet.dk’s og virksomhe-
dernes mulighed for at samarbejde om CSIRT-tjenester (se Del II, afsnit B).
· Netselskaberne bør kunne opnå kompensation via forhøjelse af indtægtsrammerne
som følge af meromkostninger ved samtlige af de opgaver, der nu pålægges efter
lovforslag og bekendtgørelse (se Del II, afsnit C).
· Ikrafttrædelsestidspunktet for bekendtgørelsen bør ændres til tidligst 1. juli 2017.
Ikrafttrædelsestidspunktet bør dog ses i sammenhæng med en afklaring af igangvæ-
rende EU-initiativer og kommende implementering af anden nærtbeslægtet lovgivning
(se Del II, afsnit E).
· Fristen for virksomhedernes tilslutning til en CSIRT-tjeneste bør ændres til tidligst 1.
januar 2018 for derved at give virksomhederne mulighed for at afsøge mulighederne
for samarbejde og evt. fælles indkøb/udbud (se Del II, afsnit E).
3
Del I. Dansk Energis kommentarer og bemærkninger til lovforslaget
Vores kommentarer og bemærkninger til lovforslaget har vi valgt at samle og gruppere som
følger:
1. Generelt om lovforslaget og cybertruslen
2. Den forudgående proces samt baggrundsmaterialet til lovforslaget
3. Vurdering af forslagets økonomiske konsekvenser samt regeringens administrative
byrdestop
4. Risikoen for overimplementering og dobbeltregulering
5. Tilsynet med elsektorens beredskab
6. Konkrete bemærkninger til lovforslaget
1. Generelt om lovforslaget og cybertruslen
Cybertruslen er i Dansk Energis optik én af nyere tids – og kommende års – største udfor-
dringer. Cybertruslens kompleksitet stiller os – elsektorens virksomheder og organisationer,
større som mindre, sektorerne og samfundet som hele – over for ikke uvæsentlige udfordrin-
ger og nye opgaver.
Virksomhederne i elsektoren har gennem en lang årrække arbejdet fokuseret med og løben-
de udviklet, forbedret og optimeret beredskabsplanlægning, risiko- og sårbarhedsvurderinger
samt sikring og beskyttelse af anlæg og systemer. Vi ser dog et stadigt stigende behov for at
vi som virksomheder, som sektor og som nation samarbejder endnu mere. Samarbejdet bør
ske under og inden for en fælles ramme, hvor der i endnu højere grad end i dag tages hen-
syn til et ønske om diskretion og det faktum, at tillid og ligeværdighed mellem virksomheder
og myndigheder er en forudsætning for, at reel og uforbeholden videndeling kan og vil ske.
Efter Dansk Energis opfattelse har vi både som sektor og som nation stadig et godt stykke
vej endnu, førend vi kan hævde, at vi reelt samarbejder, når vi taler om cybertruslen og be-
redskab generelt.
Som branche anerkender vi, at Energistyrelsen som sektoransvarlig myndighed for elsekto-
ren har og føler et stort politisk ansvar for at levere lovgivning, som sikrer forsyningssikker-
heden i Danmark fremadrettet. Dansk Energi appellerer dog i dét lys til, at lovforslagets im-
plementering ikke hastes igennem, men udarbejdes og indføres ud fra et holistisk perspektiv,
som er tilstrækkeligt gennemarbejdet og gennemanalyseret, og som samtidig er relativt frem-
tidssikret.
Ud fra et sådant ønske til fremtiden ser Dansk Energi, at de nuværende bemærkninger til
lovforslag – og særligt udkast til bekendtgørelse – ikke udgør et tilstrækkeligt dækkende,
gennemarbejdet og gennemanalyseret grundlag, idet vi - til bemærkningerne og til bag-
grundsmaterialet til lovforslaget samt til udkastet til bekendtgørelsen - mener, at vi kan iden-
tificere en mængde ubesvarede spørgsmål, uklarheder og uhensigtsmæssigheder.
Dansk Energi anerkender vigtigheden af, at virksomhederne i el- og naturgassektorerne har
fokus på cybertruslen. Det mener vi også, at virksomhederne allerede har i dag igennem
vores nuværende beredskabsarbejde. Vi finder dog samtidig, at det må anerkendes, at alle
er på en ”rejse i modenhed”, når vi taler om cyber- og informationssikkerhed. En sådan rejse
vil aldrig nå til ”vejs ende”, når cybertruslen er dynamisk.
4
Det store spørgsmål ligger derfor lige for: ”Hvilket niveau af sikkerhed er der behov for, hvil-
ket niveau forventes og hvilket niveau påkræves?”
Dansk Energi imødeser derfor, at myndighedssiden forholder sig til, hvilket niveau af sikker-
hed samfundet i fremtiden forventer og dermed pålægger virksomhederne i elsektoren at
honorere. For forventes det, at vi som sektor eller de enkelte virksomheder kan håndtere
enhver vilkårlig cybertrussel? – også de allermest avancerede og målrettede? Uanset hvilket
sikkerhedsniveau der ønskes eller forventes, henleder vi opmærksomheden på, at der med
hvert niveau af sikkerhed også følger en omkostning.
Indledningsvis finder vi det værd at understrege, at leveringssikkerheden i Danmark i dag er
på mere end 99,99 %, og at en gennemsnitlig elforbruger i Danmark blot oplever, hvad der
svarer til én strømafbrydelse hvert 2.-3. år. Det faktum baseres på tal indberettet til Energitil-
synet gennem de seneste knap 10 år.
Til dato har vi endnu ikke oplevet strømafbrydelser i Danmark som følge af brud på cyber- og
informationssikkerhed eller udefrakommende hackerangreb. Det er dog set andre steder i
verden (Ukraine d. 23. december 2015), og truslen er selvsagt relevant og aktuel.
Dansk Energi er derfor også opmærksom på, at Center for Cybersikkerhed i dets seneste
trusselsvurdering fra januar 2016 bl.a. vurderer, at truslen fra cyberspionage er meget høj,
mens truslen fra cyberterror vurderes som lav.
Fra Dansk Energis side ser vi det derfor sådan, at vi som elsektor har udmærkede mulighe-
der for at skabe ”Det bedste beredskab” i samarbejde med relevante myndigheder.
Med ny lovgivning vil myndighederne helt naturligt skulle forholde sig til bl.a.:
· hvilke opgaver – såvel eksisterende som nye opgaver - der ønskes løst og varetaget
· hvem der forventes at skulle løse de identificerede opgaver
· hvilke ”tekniske løsninger”, der forventes implementeret for at bistå med opgaveløs-
ninger
· evt. krav om, hvorvidt nye opgaver (og løsninger) skal løses (og implementeres) hur-
tigere, end virksomhederne måske ellers selv ville have implementeret løsningen og
løst opgaven på eget initiativ.
Fra Dansk Energis side håber vi, at vi med dette høringssvar kan være med til at nuancere,
hvilke opgaver og løsninger samt hvilken rollefordeling, vi ser for os som værende nødvendi-
ge for at kunne opbygge et – i vores optik – altafgørende ”samarbejdsklima” inden for elsek-
toren og på tværs af sektorerne. Vi ser samarbejdsmulighederne som forudsætning for, at
elsektoren kan udvikle og opretholde ”Det bedste beredskab” med de bedste tekniske løs-
ninger – enten individuelle eller universelle. Løsninger som vil medvirke til at hæve sikker-
hedsniveauet inden for sektoren og bistå andre sektorer – både nationalt og internationalt.
5
2. Den forudgående proces samt baggrundsmaterialet til lovforslag og udkast til be-
kendtgørelse
Energistyrelsen har i det offentliggjorte baggrundsmateriale, i bemærkningerne til lovforslaget
og i udkastet til bekendtgørelse i forbindelse med denne høring lagt vægt på, at udgangs-
punktet for Energistyrelsens arbejde med cyber- og informationssikkerhed i el- og naturgas-
sektorerne skal findes i regeringens Nationale Strategi for Cyber- og Informationssikkerhed
fra december 2014 og denne strategis initiativ nr. 17, herunder:
· en undersøgelse af niveauet af cyber- og informationssikkerhed i el- og naturgassek-
torerne
· ændring af elforsyningsloven og naturgasforsyningsloven
· en styrkelse af kravene til cyber- og informationssikkerhed på energiområdet, primært
i el- og naturgassektorerne
· at nye krav indføres inden udgangen af 2016.
Energistyrelsens undersøgelse af niveauet af cyber- og informationssikkerhed, som blev
gennemført med konsulentbistand fra konsulentfirmaet PwC i foråret 2015, konkluderede, at
modenheden og de implementerede sikkerhedskontroller i el- og naturgassektorerne var
udtryk for et relativt højt sikkerhedsniveau sammenholdt med virksomheder i andre brancher.
I kølvandet på PwC-undersøgelsen inviterede Energistyrelsen Dansk Energi og repræsen-
tanter fra virksomhederne til at deltage i analysen ”Risiko- og sårbarhedsundersøgelse af
cybersikkerhed i el- og naturgassektorernes værdikæde”. Dansk Energi deltog således i en
styregruppe for analysearbejdet samt i to workshops i august 2015, hvor en række virksom-
hedsrepræsentanter også deltog.
Slutrapporten for denne risiko- og sårbarhedsundersøgelse har imidlertid været længe un-
dervejs i forhold til offentliggørelse, hvilket først er sket nu i forbindelse med høringen af nyt
lovforslag og udkast til ny bekendtgørelse.
Dansk Energi stiller sig imidlertid kritisk over for denne slutrapport. Det gør vi af flere årsager:
· På de to workshops for elsektoren lykkedes det – efter Dansk Energis opfattelse – ik-
ke at komme tilstrækkeligt i dybden eller for parterne at nå til enighed om de potenti-
elle udfordringer og reelle sårbarheder, hvilket rapporten også selv fremhæver i kapi-
tel 2.
· Workshop-deltagerne har ikke haft mulighed for at sikre sig, at deres bidrag, kom-
mentarer og input er gengivet korrekt i slutrapporten, idet slutrapporten ikke har været
til kommentering hos workshopdeltagerne.
· De foreslåede løsninger i rapporten afspejler ikke et fælles billede af, hvad der inden
for sektoren ses og opleves som reelle behov for at hæve sikkerhedsniveauet i sekto-
ren. De skitserede løsninger anser Dansk Energi derfor alene som udtryk for Energi-
styrelsens bud på mulige løsninger.
I dét lys er det også værd at bemærke, at Energinet.dk’s operationelle og koordinerende rolle
kun i meget begrænset omfang var repræsenteret i workshoparbejdet, trods at netop denne
rolle udgør den måske allervigtigste aktørrolle i det danske elsystem.
6
I forhold til analysearbejdet savner Dansk Energi derfor, at der som samlet sektor bliver mu-
lighed for i fællesskab at gå mere i dybden med at identificere de reelle og potentielle udfor-
dringer, samt at vi som sektor får lejlighed til – ud fra en mere holistisk tilgang – at udtænke
de konkrete initiativer og løsninger, som vi ser, vi mangler i forhold til opretholdelse af det
bedst mulige, operationelle beredskab. Dette bør ske for at sikre, at nye myndighedskrav
indføres på et troværdigt, sagligt og tilstrækkeligt dokumenteret grundlag – om nødvendigt
underlagt krav om fortrolighed.
Vi opfordrer derfor til, at sektoren – i form af repræsentanter fra Energinet.dk, Dansk Energi
og virksomhederne – gives mere tid til at samarbejde om at identificere de reelle og potenti-
elle sårbare og kritiske systemer, for derigennem at udtænke og udvikle dertilhørende kon-
krete løsningsforslag, som vurderes nødvendige for at tilsikre et tilstrækkeligt og nødvendigt
teknisk sikkerhedsniveau og beredskab.
Dansk Energi vurderer, at dette analysearbejde kan blive såvel omfattende som tidskræven-
de – og derfor umuligt vil kunne afsluttes inden udgangen af 2016. Et kvalificeret gæt vil fra
vores side lyde sommeren 2017, forudsat at en tillidsbaseret ramme for samarbejde kan
etableres snarligt, og at alle parter deltager aktivt i analysearbejdet fra første færd og gen-
nem hele processen.
3. Vurdering af forslagets økonomiske konsekvenser samt regeringens administrative
byrdestop
3.1 Vores kommentarer til EY’s økonomiske konsekvensvurdering
EY-rapporten konkluderer, at de administrative omstillingsomkostninger og de løbende ad-
ministrative omkostninger beløber sig til i alt hhv. 10,5 mio. kr. og 13,3 mio. kr. for alle virk-
somheder.
Nedenstående tabel opsummerer EY’s økonomiske konsekvensvurdering for hhv. admini-
strative omstillingsomkostninger og løbende årlige administrative omkostninger.
Kategori Administrative
omstillings-
omkostninger
Løbende årlige
administrative
omkostninger
Antal virksom-
heder pr. ka-
tegori
1 0,2 mio. kr. 1,6 mio. kr. 22
2 1,6 mio. kr. 3,2 mio. kr. 11
3 6,9 mio. kr. 5,8 mio. kr. 62
4
Energinet.dk
1,8 mio. kr.1
2,7 mio. kr.2
1
Sum 10,5 mio. kr. 13,3 mio. kr. 96
1
I dette beløb indgår kr. 0,3 mio. til udarbejdelse af vejledningsmateriale
2
I dette beløb indgår kr. 0,9 mio. til udstationering af Energinet.dk-medarbejder ved Center for Cyber-
sikkerhed, samt kr. 1,3 mio. til tilsynsmyndighedens løbende tilsyn.
7
Normeres disse summerede tal på sektorniveau med antallet af virksomheder, som er lagt til
grund for den økonomiske konsekvensvurdering, fås de i nedenstående tabel angivne øko-
nomiske gennemsnitsramme pr. virksomhed.
Kategori Administrative
omstillings-
omkostninger
(pr. virksom-
hed)
Løbende årlige
administrative
omkostninger
(pr. virksom-
hed)
Antal timer
pr. måned
pr. virk-
somhed
(ved kr.
1000,-/time)
1 9.091 kr. 72.727 kr. 6
2 145.455 kr. 290.909 kr. 24
3 111.290 kr. 93.548 kr. 8
4, Energi-
net.dk3 1,5 mio. kr. 500.000 kr. 42
Ovenstående gennemsnitstal pr. virksomhed baserer sig på tallene i EY’s rapport, som ek-
splicit nævner, at rapporten har inddraget hensynet til ”business as usual”. Tallene afspejler
dog efter Dansk Energis opfattelse ikke den nye virkelighed, som udkastet til bekendtgørelse
vil pålægge virksomhederne.
Konkret bemærkes det, at den af EY anvendte timesats på kr. 1.000,- pr. time til eksterne
konsulenter ligger langt under det prisniveau, som Dansk Energis medlemmer kender fra
konsulentverdenen, når der er tale om opgaver inden for IT-sikkerhedsområdet.
Baseret på drøftelser i Dansk Energis IT-sikkerhedsudvalg4
finder vi det meget usandsynligt,
at kategori 1-virksomheder i gennemsnit kan foretage en administrativ omstilling for under
10.000,- kr., svarende til reelt alene én dags arbejde. Vi finder det endvidere usandsynligt, at
en kategori 1-virksomhed efterfølgende med blot ca. 6 timers arbejde pr. måned kan sikre
sig, at virksomheden løbende lever op til bekendtgørelsens krav. Tilsvarende ser vi det fx
også meget usandsynligt, at kategori 3-virksomheder kan leve op til deres løbende admini-
strative forpligtigelse med kun 8 timer pr. måned (én dags arbejde).
I tillæg hertil bemærkes det, at cirka halvdelen af de i alt 22 kategori 1-virksomheder i dag
ikke er omfattet af BEK1024 og derfor må forventes at have markant større administrative
omstillingsomkostninger end de virksomheder, som allerede er omfattet af BEK1024. Først-
nævnte høster heller ikke synergier fra arbejdet med BEK1024, som de kan gøre brug af og
tage udgangspunkt i. Dette til trods for, at disse virksomheder naturligvis allerede arbejder
med IT-sikkerhed og IT-beredskab i ét eller andet omfang.
Konkret bemærkes det desuden, at medlemmerne i IT-sikkerhedsudvalget finder det uklart, i
hvilket omfang bekendtgørelsen enten direkte eller indirekte pålægger virksomhederne at
3
Beløbene er ekskl. de i note 1 og 2 udspecificerede beløb for udstationering og tilsynsrollen, for der-
ved at give et mere realistisk billede af, hvilke beløbsstørrelser hver virksomhed inden for el- og natur-
gassektoren reelt har at arbejde med og ud fra i forhold til lokal implementering af de nye krav og op-
gaver.
4
Brancheinternt udvalg, som repræsenterer 12 af Dansk Energis medlemsvirksomheder, herunder
både kategori 1-, 2- og 3-virksomheder (i alt 2,6 mio. slutkunder og ca. 6.000 MW central elprodukti-
onskapacitet)
8
etablere nye døgnbemandede IT-vagtordninger. En sådan vagtordning vil være forbundet
med væsentlige meromkostninger, hvad enten vagtordningen kan etableres inden for ram-
merne af virksomhedernes allerede eksisterende IT-driftsorganisationer eller skal tilkøbes
eksternt. Disse meromkostninger synes slet ikke at være tænkt med i EY-rapporten.
Blandt de medlemmer af vores IT-sikkerhedsudvalg, som blev interviewet af EY, fandt flere
virksomheder behov for at få præciseret flere af de stillede interviewspørgsmål under inter-
viewet med EY. EY havde imidlertid kun i begrænset omfang været i stand til at uddybe og
kvalificere de stillede spørgsmål. Af samme grund er der en formodning om, at de afgivne
virksomhedssvar tages med forbehold.
Ovenstående afspejler, at EY-rapportens økonomiske konsekvensvurdering efter vores op-
fattelse er mangelfuld og i værste fald decideret ukorrekt. Det er derfor vores anbefaling, at
rapporten i sin nuværende form ikke lægges til grund for vurderingen af de økonomiske kon-
sekvenser for virksomheder og myndigheder. De økonomiske konsekvensanalyser bør gen-
besøges, når der er mere klarhed over opgaver, løsninger og rollefordeling.
3.2 Vores kommentarer til LinkGRC-notatet
LinkGRC vurderer, at en CSIRT-tjeneste, som dækker alle el- og naturgassektorernes virk-
somheder kan fås for kr. 23 mio. pr. år.
Dansk Energi stiller indledningsvis spørgsmålstegn ved, om LinkGRC’s analyse afspejler det
eller de sikkerhedsprodukter, som el- og naturgassektorernes virksomheder reelt set har be-
hov for og bør understøttes af fsva. proaktive og reaktive CSIRT-ydelser.
Dansk Energi finder det uklart, hvorvidt LinkGRC’s notat reelt set afspejler det sikkerhedsni-
veau, som bekendtgørelsen pålægger virksomhederne.
Dansk Energi har endvidere vores tvivl om, hvorvidt det bliver praktisk muligt at opnå de ra-
batter, som LinkGRC-notatet lægger op til, idet LinkGRC-notatet forudsætter et altomfatten-
de sektorsamarbejde inkl. fællesudbud/-indkøb.
De økonomiske konsekvenser ved virksomhedernes tilslutning til en CSIRT-tjeneste anses
derfor som værende umulige at vurdere troværdigt, førend omfanget af de proaktive og reak-
tive CSIRT-ydelser er nærmere defineret og fastlagt i samarbejde med virksomhederne. I det
arbejde bør også inddrages en vurdering af om - og i hvilket omfang - netværksmonitorering
hos virksomhederne skal anses som grundlaget for varslingstjenestens varslinger, grundlag
for varsling af andre sektorer, input til Center for Cybersikkerheds efterretningsarbejde etc.
Dansk Energi vil naturligvis opfordre vores medlemsvirksomheder til at samarbejde i det om-
fang, at det er muligt. Vi kan dog i sagens natur ikke tvinge eller pålægge vores medlems-
virksomheder til at gå sammen.
Dansk Energi har i anden sammenhæng gennemført en medlemsundersøgelse, hvor vi har
spurgt ind til medlemsvirksomhedernes interesse i øget samarbejde på IT-
sikkerhedsområdet. Besvarelserne tegner et billede af opbakning til øget samarbejde, men
viser også, at der er udbredt tvivl om, hvorvidt det reelt er muligt at lave tekniske sikkerheds-
9
løsninger, som muliggør ”one-size-fits-all”. Virksomhedernes it-systemer og netværk er i sa-
gens natur meget forskellige.
En ambition om et altomfattende CSIRT-sektorsamarbejde ville være interessant set med
Dansk Energis briller. Vi er bekendt med, at et sådan samarbejde er under etablering i Norge
(KraftCERT.no), og at lignende overvejes i andre EU-lande også.
Et dansk CSIRT-sektorsamarbejde ser vi dog ikke som en reel mulighed i lyset af udkastet til
bekendtgørelse. Her lægges op til, at Energinet.dk årligt skal afgive kommentarer og anbefa-
ling til Energistyrelsen på de CSIRT-kontrakter, som virksomhederne indgår med kommerci-
elle sikkerhedsfirmaer. Det vil i praksis betyde, at Energinet.dk vil blive inhabil i et CSIRT-
sektorsamarbejde allerede inden det – om muligt – overhovedet er kommet i gang.
Ovenstående bemærkning til CSIRT har vi forsøgt at uddybe i vores bemærkning til udkastet
til bekendtgørelse (se Del II, afsnit B).
3.3 Regeringens administrative byrdestop
Dansk Energi er opmærksom på, at regeringens administrative byrdestop ikke må pålægge
erhvervslivet større administrative byrde samlet set.
Dansk Energi har i bemærkningerne til lovforslaget ikke fundet dokumentation for, hvorledes
det med lovforslaget er sikret, at regeringens byrdestop er overholdt.
4. Risikoen for overimplementering og dobbeltregulering
Dansk Energi har noteret sig, at der netop i denne tid er mange forskellige initiativer på for-
skellige niveauer med fokus på cyber- og informationssikkerhed i energisektorerne.
Det være sig bl.a.:
· at NIS-direktivet i nær fremtid skal implementeres i dansk lovgivning.
· at EU’s Persondataforordning tillige skal implementeres i dansk lovgivning pr. 25. maj
2018. Virksomhederne i el- og naturgassektorerne vil naturligvis også skulle leve op
til denne nye, kommende lovgivning.
· at EU-Kommissionens kommende ”Vinterpakke” (som forventes omkring årsskiftet
2016/2017) forventes at indeholde elementer, som dels vil fokusere på forsyningssik-
kerhed, dels vil fokusere på cyber- og informationssikkerhed i de europæiske energi-
sektorer.
· at et igangværende ENISA5
-projekt, “Security Requirements for electricity power sup-
ply operators”, forventes at opstille og foreslå en række nye, tekniske fælleseuropæi-
ske minimums-sikkerhedsforanstaltninger/-krav til bl.a. elselskaber, herunder elpro-
duktion, eltransmission, eldistribution og elhandel.
· at Center for Cybersikkerhed arbejder på en opdateret udgave af den Nationale Stra-
tegi for Cyber- og Informationssikkerhed.
· at Energistyrelsen har påtænkt en justering af den gældende bekendtgørelse på be-
redskabsområdet i elsektoren (BEK1024) fsva. kravene til fysisk sikring af anlæg.
5
The European Union Agency for Network and Information Security. Dansk Energi blev interviewet til
dette studie d. 8. september 2016.
10
· at lovforslaget med ændringsforslaget om ophævelse af § 85b, stk. 4, 2. pkt. vil give
mulighed for, at tilsynsopgaven inden for det almene beredskab (BEK1024) kan pla-
ceres hos en anden myndighed end Energinet.dk.
· at Energinet.dk’s tekniske forskrifter i større og større omfang stiller flere og flere krav
til virksomhedernes data- og informationsudveksling samt operationelle beredskab
bl.a. i forbindelse med nettilslutning af produktions- og forbrugsanlæg samt i forbin-
delse med brugen af net- og produktionstelegrafer mv.
Fra Dansk Energis side ser vi derfor både i forhold til cyber- og informationssikkerhed og i
forhold til beredskabet generelt i elsektoren mange ”bolde”, som pt. er i spil, og som i vores
optik har væsentlige overlap. Vi ser derfor også risici for modstridende krav og dobbeltregu-
lering, men også gode muligheder for at høste synergier.
Trods det, at regeringens nationale strategi for cyber- og informationssikkerhed, initiativ nr.
17, tilsiger, at nye og skærpede krav skal indføres inden udgangen af 2016, finder Dansk
Energi det vigtigt, at gøre opmærksom på, at vi ser en betydelig risiko for, at der sker over-
implementering af lovgivning og myndighedskrav, og måske endda indføres modstridende
krav, hvis ikke den videre beslutningsproces afventer en større samlet afklaring og samtæn-
kes med de førnævnte EU- og nationale initiativer.
Fra Dansk Energis side appellerer vi derfor til, at Energi-, Forsynings- og Klimaudvalget drøf-
ter muligheden for, at vedtagelse af lovforslaget og bekendtgørelsen kan afvente og sam-
tænkes med flere, hvis ikke alle, af de ovennævnte initiativer, som der allerede er kendskab
til er på vej eller er på idéstadiet.
5. Tilsynet med elsektorens beredskab
Dansk Energi bakker op om, at lovforslaget muliggør, at tilsynsrollen kan placeres hos en
anden kompetent myndighed – både hvad angår det almene beredskab og IT-beredskabet.
Dansk Energi anbefaler således, at tilsynsrollen – både hvad angår et nyt, kommende it-
beredskab, men også det eksisterende, almene beredskab – flyttes fra Energinet.dk til en
anden kompetent myndighed. Dansk Energi indgår gerne i nærmere drøftelser om, hvor til-
synsopgaven placeres bedst.
Tilsynsrollen og tilsynet bør naturligt omfatte hele elsektoren – altså både virksomhederne og
Energinet.dk som transmissions- og systemansvarlig virksomhed (som den mest forsynings-
kritiske aktør i det danske elsystem), herunder Energinet.dk’s koordinerende rolle inden for
elsektoren.
Vi foreslår denne ændring af tilsynsrollens placering på baggrund af flere forhold:
· Dansk Energi ønsker og ser et behov for, at elsektoren får skabt en tillidsbaseret
ramme, inden for hvilken det i højere grad end i dag vil blive muligt for branchen at
samarbejde, videndele og erfaringsudveksle om det operationelle beredskab. Dansk
Energi finder det utrolig vigtigt, at virksomhederne og Energinet.dk – i forhold til det
operationelle beredskab – bliver mere ligeværdige parter og hinandens samarbejds-
partnere, trods Energinet.dk’s overordnede koordinerende ansvar i el- og naturgas-
11
sektorerne. Energinet.dk’s nuværende ekstraopgave med tilsynsopgaven opleves i
denne sammenhæng som en begrænsning og en barriere for samarbejde.
· Særligt inden for IT-sikkerhedsområdet finder Dansk Energi det vigtigt, at vi kan vi-
dendele – og ikke bare inden for el- og naturgassektorerne, men også på tværs af
sektorerne. Uforbeholden videndeling forudsætter høj grad af gensidig tillid og fortro-
lighed. Men hvis ikke den nødvendige tillid er til stede, vil videndeling under alle om-
stændigheder kun ske med forbehold.
· For Dansk Energi er det vigtigt, at der inden for beredskabsområdet i elsektoren fin-
des en fremtidssikret samarbejdsform, som understøtter ”lysten til at videndele” og
samarbejde, samt gensidig læring med det mål at skabe ”Det bedste beredskab”.
I Dansk Energis optik bør vi derfor som sektor samlet set – det være sig Energistyrelsen,
Energinet.dk, Dansk Energi og virksomhedsrepræsentanter for både Net og Produktion –
stadig kunne mødes, fx i Danske Elselskabers Beredskabsudvalg (DEB), for at drøfte bered-
skabsrelaterede spørgsmål og udfordringer gældende for elsektoren.
Dansk Energi anbefaler – forudsat, at tilsynsrollen flyttes fra Energinet.dk til en anden kom-
petent myndighed – at DEB fremadrettet forankres omkring Energinet.dk’s koordinerede op-
gaver (læs: Energinet.dk’s kontrolrum og systemansvar). Dette muliggør fortsat tæt dialog
med den kompetente myndighed som foreslået fremtidig tilsynsmyndighed.
6. Konkrete bemærkninger til lovforslaget
Ad. § 85d, stk. 1
… herunder planlægge og træffe nødvendige foranstaltninger for …
Dansk Energi opfordrer til, at Dansk Energi og repræsentanter fra virksomhederne i elsekto-
ren involveres i at konkretisere, hvilke foranstaltninger der vurderes nødvendige.
… sikre beskyttelsen af kritiske it-systemer, af betydning for elforsyningen.
Dansk Energi opfordrer til, at Dansk Energi og repræsentanter fra virksomhederne i elsekto-
ren involveres i arbejdet med at konkretisere og definere, hvilke it-systemer, der anses som
kritiske it-systemer af betydning for elforsyningen, herunder hvorledes begrebet ”elforsynin-
gen” skal defineres. Dansk Energi opfordrer til, at arbejdet sker ud fra en holistisk tilgang
med udgangspunkt i Energinet.dk’s rolle, driftsmæssige udfordringer og procedurer og it-
systemer for derved at understøtte Energinet.dk’s kritikalitet i det danske elsystem. De sår-
barheder eller uhensigtsmæssigheder, som dette arbejde måtte identificere, må af de invol-
verede parter søges løst på den mest omkostningseffektive måde. En sårbarhed eller uhen-
sigtsmæssighed identificeret hos én part/virksomhed bør således kunne løses af en anden
part/virksomhed, hvis dette findes mest samfundsøkonomisk og/eller sektor-
omkostningseffektivt.
I bemærkningerne til lovforslaget (til § 1, nr. 2) står: ”Beskyttelsen af kritiske it-systemer er
ikke begrænset til en specifik trusselstype eller et konkret risikoscenarie. […] De kritiske it-
systemer skal beskyttes mod enhver trussel, der kan afstedkomme et nedbrud af it-systemet,
hvorved at de styrings- og kontrolopgaver it-systemet varetager forhindres eller forstyrres”.
Denne bemærkning må nødvendigvis skulle tolkes således, at virksomheder skal beskytte
kritiske it-systemer mod alt – også cyberspionage og forsøg på cyberterror forsøgt gennem-
12
ført af avancerede, statsstøttede hackergrupper. Et sådan krav vil efter Dansk Energis opfat-
telse betyde, at virksomhederne vil skulle etablere omfattende og løbende netværksmonito-
rering og logopsamling. Endvidere vil det forudsætte adgang til andre proaktive og reaktive
CSIRT-ydelser end blot at være tilsluttet og have adgang til en varslingstjeneste, som yder
varsler baseret på et standard-IT-sikkerhedsprodukt.
Ad. § 85d, stk. 5, pkt. 1
… virksomhedens it-beredskab og evne til at modtage advarsler om trusler …
Dansk Energi finder det uklart, i hvilket omfang virksomhederne risikerer at blive pålagt krav
om at etablere nye døgnbemandede vagtordninger. Sådanne ordninger vil pålægge virk-
somhederne væsentlige meromkostninger. Et alternativt - og måske en mere omkostningsef-
fektiv løsning - kan være kompetenceudvikling af nuværende beredskabs- og driftspersonale
(som i dag er ikke-IT-tekniske personer). Udkastet til bekendtgørelse foreskriver dog i § 21,
stk. 4, at øgede driftsomkostninger (hos netselskaberne) som følge af udgifter til kompeten-
ceudvikling af egne medarbejdere skal afholdes inden for den hidtidige indtægtsramme.
Ad. § 85d, stk. 5, pkt. 4,
… tilmelding til en tjeneste, der yder varsler og informationer om it-sikkerhedstrusler …
Dansk Energi finder det uklart, hvilke kilder og informationer, der skal lægges til grund for de
varsler, som udsendes af varslingstjenesten, herunder om varsler skal basere sig på opleve-
de hændelser i Danmark, generelle eller sektor-specifikke observationer, trusler mod forsy-
ningskritiske IT-system, real-tidsobservationer etc.
Ad. § 85d, stk. 5, pkt. 5
Energinet.dk’s varetagelse …
Dansk Energi foreslår, at ”Energinet.dk” ændres til ”Den systemansvarlige virksomhed”.
Ad. § 85d, stk. 6
Argumentationen i lovbemærkningernes afsnit 3.5.3 om at Energinet.dk skal udpeges som
tilsynsmyndighed for det nye IT-beredskab er, efter Dansk Energis opfattelse, for unuanceret
og synes formuleret med det formål at argumentere for, at Energinet.dk er den myndighed,
der er bedst egnet til at være tilsynsmyndighed på både det almene beredskab og det nye
IT-beredskab.
Som beskrevet nærmere i foregående afsnit er Dansk Energi ikke enig i dette synspunkt.
Dansk Energi støtter fuldt op om vigtigheden af, at tilsynsarbejdet skal adskilles fra Energi-
net.dk’s overordnede koordinerende opgaver.
Dansk Energi mener at kunne påvise, at Energinet.dk ikke har sikret den nødvendig adskil-
lelse mellem tilsyn og koordinerende rolle i tilstrækkelig grad historisk set. Tvetydigheden af
”Energinet.dk” i BEK1024 som både transmissionsvirksomhed, systemansvarlig virksomhed
og tilsynsmyndighed gør det i forhold til BEK1024, kapitel 7, §§ 15-19, svært at gennemskue
og afgøre præcist, hvem der skal varetage hvilke koordinerende opgaver. Energinet.dk’s
praksis har imidlertid været, at stort set alt beredskabsarbejde – DEB-udvalgsmøder, Regio-
nale møder, vejledningsmateriale, beredskabsforanstaltninger, deltagelse i lokale bered-
skabsstabe samt udarbejdelse af sektorberedskabsplan – i vid udtrækning har været koordi-
neret og varetaget helt eller delvist af Energinet.dk’s beredskabssektion i Ballerup (læs: den
afdeling i Energinet.dk som er ansvarlig for tilsynsrollen). Oplevelsen fra DEB-
udvalgsmøderne – møder hvor hele sektoren skulle kunne mødes ”i samme båd” og drøfte
13
beredskabsmæssige spørgsmål i fælles sektorinteresse – har endvidere også vist, at repræ-
sentationen og deltagelsen fra Energinet.dk’s transmissionsvirksomhed og systemansvar
(læs: den koordinerende rolle) ofte har været begrænset, hvis ikke helt fraværende.
Dansk Energi anbefaler derfor, at tilsynsopgaven for både det almene beredskab og IT-
beredskabet flyttes fra Energinet.dk til en anden kompetent myndighed. Dansk Energi indgår
gerne i nærmere drøftelser om, hvor tilsynsopgaven placeres bedst. Vi foreslår endvidere, at
Center for Cybersikkerhed skal kunne bistå den kompetente myndighed i forbindelse med
tilsyn på IT-beredskabet.
14
Del II. Dansk Energis kommentarer og bemærkninger på udkastet til bekendtgørelse
Vi har valgt at samle og gruppere vores kommentarer og bemærkninger på udkastet til be-
kendtgørelse inden for følgende overskrifter:
A. Dokumentationskrav vs. behovet for reel sikkerhed
B. CSIRT og tilslutning til varslingstjeneste
C. Netselskabernes meromkostninger som følge af bekendtgørelsens pålagte krav
D. Konkrete bemærkninger til udkastet til bekendtgørelse
E. Anbefaling vedr. videre proces forud for udstedelse af bekendtgørelse
A. Dokumentationskrav vs. behovet for reel sikkerhed
Udkastet til bekendtgørelse indeholder en række dokumentationskrav af forskellig art. Kra-
vene om dokumentation vil pålægge virksomhederne at dokumentere deres processer og
procedurer og vil endvidere pålægge virksomhederne at udarbejde planmateriel over egne
forsyningskritiske it-systemers afhængigheder og sammenhæng. Virksomhedernes ressour-
cer vil således blive anvendt på at leve op til myndighedsbestemte dokumentationskrav.
Dansk Energi finder, at Energistyrelsen, Energinet.dk og virksomhederne som samlet sektor
naturligt skal arbejde for at hæve sektorens IT-sikkerhedsmæssige modenhed gennem do-
kumentationskrav af processer og procedurer. Det er dog vigtigt, at kravet om dokumentation
kommer til at gå hånd-i-hånd med implementering af nye tekniske sikkerhedsløsninger, som
dermed giver mere reel sikkerhed ude i den enkelte virksomhed.
Efter Dansk Energi opfattelse – en opfattelse vi baserer på udsagn fra brancherepræsentan-
terne i vores IT-sikkerhedsudvalg – vil de omfattende dokumentationskrav i udkastet til be-
kendtgørelse imidlertid ikke i sig selv gøre virksomhederne mere sikre.
B. CSIRT og tilslutning til varslingstjeneste
I udkastet til bekendtgørelse lægger Energistyrelsen jf. § 27, stk. 1 op til, at alle virksomheder
skal ”være tilmeldt en tjeneste, der yder varsler og informationer om relevante it-
sikkerhedstrusler. Virksomheder i kategori 1 og 2 […] skal endvidere være tilmeldt en tjene-
ste, der kan bistå virksomhederne med udredning og reetablering i akutte sikkerhedsmæssi-
ge situationer.” Denne ordlyd er at finde under overskriften ”CSIRT”.
I § 27, stk. 2, 3, 5 og 6 omtales den i stk. 1 nævnte ”tjeneste” som en ”CSIRT-tjeneste”.
Energistyrelsen definerer i § 3 en CSIRT som ”en enhed, der kan varetage it-
sikkerhedsmæssige opgaver af såvel proaktiv som reaktiv karakter, herunder levere informa-
tioner om it-sikkerhedstrusler og vejledning om vurdering og mitigering af sårbarheder. Be-
grebet CSIRT anvendes i denne bekendtgørelse alene om kommercielle it-
sikkerhedsydelser.” En CSIRT defineres altså bredere end den i § 27, stk. 1 nævnte vars-
lingstjeneste.
Dansk Energi finder det uklart:
· hvilken type ”tjeneste”, Energistyrelsen reelt set forventer, virksomhederne skal være
tilsluttet; en CSIRT eller en varslingstjeneste?
15
· hvad denne ”tjeneste” reelt skal levere; kun varslinger, eller også andre proaktive og
reaktive ydelser?
· hvilke kilder, denne ”tjeneste” skal basere sine varsler og informationer på baggrund
af?
· hvorvidt de reaktive ydelser til kategori 1- og 2-virksomhederne alene er begrænset til
”udredning og reetablering i akutte sikkerhedssituationer”? Og hvornår er der tale om
en ”akut sikkerhedssituation”?
I LinkGRC-notatet står, at der er undersøgt et kommercielt sikkerhedsprodukt, hvor trafikmo-
nitorering alene foregår på ydersiden af netværket for virksomhedens modtagne og afsendte
trafik.
På baggrund af drøftelser i Dansk Energis IT-sikkerhedsudvalg sætter Dansk Energi
spørgsmålstegn ved, om trafikmonitorering på ydersiden af virksomhedernes netværk vil
være tilstrækkeligt til at opfange og varsle om de trusler, som kritisk infrastruktur (som el- og
naturgassektorerne er) forudses at blive mødt af, herunder:
· varsling af såvel kendte som ukendte/avancerede angreb (APT og Zero-days) samt
· varsle og alarmere om igangværende IT-sikkerhedshændelser, herunder anormalite-
ter i virksomhedernes interne netværk, herunder cyber-spionage; en trussel, som
Center for Cybersikkerhed i deres trusselsvurdering (januar 2016) kategoriserer som
”meget høj”.
Tilstrækkelig trafikmonitorering er i vores optik en forudsætning for, at virksomhederne kan
varsle om sådanne trusler.
Dansk Energi stiller sig tvivlende over for, hvorvidt et kommercielt standard-
sikkerhedsprodukt vil være tilstrækkeligt til at yde det sikkerhedsniveau, som i fremtiden vur-
deres nødvendigt i en kritisk infrastruktur som vores nationale el- og naturgasforsyning.
Efter § 27, stk. 4 skal Energinet.dk hvert år den 1. november afgive anbefaling til Energisty-
relsen om behovet for fastsættelse af nærmere regler for disse (kommercielle) kontrakter. En
sådan kommenteringspligt vil efter Dansk Energis opfattelse betyde, at det bliver politisk
uacceptabelt for virksomhederne at være tilsluttet samme CSIRT/varslingstjeneste som
Energinet.dk. Vi anbefaler derfor, at denne indirekte begrænsning i samarbejdsmulighederne
mellem Energinet.dk og virksomhederne skrives ud af bekendtgørelsen.
I Dansk Energi stiller vi os uforstående over for, at både Energinet.dk’s kommenteringspligt
samt Energistyrelsens kontraktkommentering, jf. § 27, stk. 3, overhovedet er tænkt ind og
med som en del af bekendtgørelsen og de nye myndighedskrav.
Begge elementer opleves af Dansk Energi som en mistillidserklæring til branchen og virk-
somhederne og støtter på ingen måde op om et åbenlyst behov for, at vi som virksomheder,
sektorer og samfund skal arbejde for mere tillidsbaseret videndeling og erfaringsudveksling.
Dansk Energi og virksomhederne har en naturlig interesse i at sikre, at de ydelser og leve-
randører, vi – individuelt eller i fællesskab – indgår aftaler og kontrakt med på markedsmæs-
sige og kommercielle vilkår, giver og tilfører det, vi ønsker – i dette tilfælde ”reel sikkerhed for
pengene”. Vi finder derfor, at kravet i § 27, stk. 2, til fulde opfylder Energistyrelsens ønske
16
om at sikre sig, at informationer kan udveksles mellem virksomheder, såfremt det har betyd-
ning for andre virksomheder.
Hvis el- og naturgassektorens virksomheder skal lykkes med at vælge sikkerhedsløsninger,
som tilfører virksomhederne, sektoren og dermed én af landets (mest) kritiske infrastrukturer
den nødvendige sikkerhed for fremtiden, og måske endda tillige bidrager med information til
de nationale efterretningstjenesters arbejde, ser vi et behov for, at Energinet.dk og virksom-
hederne - evt. i dialog - får den nødvendige tid til at analysere behovet, afsøge markedet
samt evt. indgå fællesindkøb/-udbud.
Dansk Energi finder derfor ikke den foreslåede frist 1. juli 2017 som realistisk. Vores forslag
vil i stedet være frist for tilslutning senest den 1. januar 2018.
C. Kompensation for netselskabernes meromkostninger som følge af bekendtgørel-
sens pålagte krav
De nye regler, der med forslaget er lagt op til, pålægger nye krav til netvirksomhederne med
betydelige meromkostninger til følge, herunder både investerings- og driftsomkostninger for-
bundet med de påkrævede, nye beredskab- og sikkerhedssystemer og -procedurer.
Dansk Energi finder det som udgangspunkt positivt, at der med forslaget til bekendtgørel-
sens § 21, stk. 1 er lagt op til, at netvirksomhederne vil få omkostningsdækning. Den foreslå-
ede bestemmelse finder tilsyneladende inspiration i tilsvarende bestemmelser i målerbe-
kendgørelsen (BEK nr. 1358 af 03/12/2013), som udsteder myndighedspålæg til netselsk-
aberne om idriftsættelse af fjernaflæste elmålere senest i 2020. Bestemmelserne i målerbe-
kendtgørelsen og den efterfølgende implementering af Energitilsynet har vist sig både opera-
tionel og administrativt enkel både for virksomheder og myndigheder.
Det bør imidlertid sikres, at retten til omkostningsdækning gælder for alle de nye krav, som
følger af bestemmelserne i lovforslag og bekendtgørelse.
Dansk Energi er derfor også helt uforstående overfor, at nærværende bekendtgørelses § 21,
stk. 2 afgrænser de kompenserbare omkostninger til alene at omfatte meromkostninger til
den proaktive varslingstjeneste efter § 5, samt at øgede driftsomkostninger som følge af
kompetenceudvikling, jf. § 21, stk. 4, samt omkostninger til beredskabsarbejde, jf. § 21, stk.
6, ikke kan kompenseres via indtægtsrammeforhøjelser for netvirksomhederne.
Dansk Energi bemærker hertil, at bekendtgørelsen udstikker en lang række nye krav til nets-
elskaberne, herunder tidsfrister, som ikke er omfattet af netselskabernes nuværende opga-
veportefølje efter elforsyningslovens § 20, stk. 1. Formålet med den nye lovgivning med tilhø-
rende bekendtgørelse er at sikre udførelsen af en række nye opgaver og at opgaveløsningen
sker på en bestemt måde og til bestemte tidsfrister. Dvs. opgaver, der ligger ud over elforsy-
ningslovens § 20, stk. 4, eller eksisterende opgaver, der skal fremskyndes som følge af loven
og bekendtgørelsen, og som helt generelt er normerende for netselskabernes opgaveudfø-
relse.
Bekendtgørelsens § 21, stk. 1 bør derfor referere til det helt overordnede pålæg i bekendtgø-
relsens § 2, stk. 2, således at muligheden for dækning omfatter alle afledte meromkostninger
17
af de nye krav. Den foreslåede bestemmelse i § 21, stk. 2 bør desuden omformuleres – i
øvrigt begge dele efter præcis samme metodik, som bestemmelserne i bekendtgørelsen om
fjernaflæste målere.
Afgrænsningen af dokumenterede meromkostninger i § 21, stk. 26
til alene at omfatte den
proaktive varslingstjeneste efter § 27 bør således helt fjernes, idet der helt generelt i be-
kendtgørelsens § 2, stk. 2 er tale om myndighedspålæg, som er normerende for netselsk-
abernes opgaveudførelse, dvs. indebærer helt nye opgavekrav eller krav til, at opgaver løses
på en nærmere myndighedsbestemt måde og/eller inden for en bestemt frist.
Af samme årsag bør bekendtgørelsens § 21, stk. 4 og stk. 6 slettes og erstattes med et nyt
stk., der giver hjemmel til kompensation for dokumenterede meromkostninger som følge af
krav om fremskyndelse af visse opgaver pga. bestemte tidsfrister i bekendtgørelsen, som
kompenseres efter elforsyningslovens § 70, stk. 8, 1. pkt. Omkostninger som følge af frem-
skyndelse kan fx omfatte restafskrivninger på eksisterende it-sikkerhedssystemer, som net-
selskaberne er nødt til at udskifte før tid som følge af kravene i bekendtgørelsen.
D. Konkrete kommentarer til udkastet for bekendtgørelse
Ad. Definitioner (§ 3)
Dansk Energi anbefaler, at definitionerne gennemgår et fælles arbejde, hvor repræsentanter
fra Dansk Energi og virksomhederne involveres i at eliminere uklarheder.
Dansk Energi ser uklarheder i forhold til definitionerne og roller/funktionalitet af:
· Balanceansvarlige virksomheder
· Forsyningskritiske processer
· CSIRT
· Forsyningskritisk IT-system
Ad. Koordinerende og Operative forhold (§ 4-5)
§ 5: Dansk Energi opfordrer til, at Energinet.dk’s overordnede koordinerende opgaver ses i
sammenhæng med tilsvarende koordinerende rolle i BEK 1024, og samtænkes hermed.
Dansk Energi opfordrer til, at Energinet.dk involverer Dansk Energi og virksomhederne i
Energinet.dk’s koordinerende arbejde, herunder procedurer og kommunikationsveje ved
håndtering af (IT-)beredskabshændelser, der omfatter flere virksomheder end Energinet.dk
selv.
Ad. Organisatoriske forhold (§ 6)
§ 6, stk. 3: Dansk Energi anbefaler, at IT-beredskabskoordinatoren kan ses i naturlig sam-
menhæng med den i BEK 1024, § 5, stk. 1 nævnte ”Sikringsansvarlige”, og at den sikrings-
ansvarlige således kan varetage opgaven som IT-beredskabskoordinator.
6
I øvrigt skal henvisningen i § 21, stk. 2 lyde ”§ 70, stk. 8, 2. pkt. i lov om elforsyning”.
18
§ 6, stk. 4: Dansk Energi anbefaler, at ordlyden ”Virksomheden skal fire gange årligt […]”
ændres til ”Virksomheden skal efter behov, dog minimum én gang årligt, […]”
§ 6, stk. 5: Personsammenfald mellem den i BEK 1024, § 5, nævnte rolle som sikringsan-
svarlige bør kunne være sammenfaldende med rollen som IT-beredskabskoordinator.
§ 6, stk. 6: Dansk Energi finder det uklart, i hvilket omfang bekendtgørelsen risikerer at på-
lægge virksomhederne at etablere nye døgnbemandede vagtordninger.
Ad. Kategorisering af virksomheder (§ 7)
§ 7: Dansk Energi finder det uklart, hvordan virksomheder kategoriseres i forhold til grænse-
værdierne (antal aftagere og energimængder) mellem de tre kategorier, herunder hvordan de
opgøres og ses i forhold til virksomhedernes placering og/eller aktiviteter i de to synkronom-
råder hhv. DK 1 og DK 2.
Dansk Energi henleder opmærksomheden på, at der inden for flere netselskabers bevillings-
områder er tilsluttet relativt store mængder decentral elproduktion og –forbrug, hvilket kan
betyde, at flere virksomheder skifter kategori afhængig af, hvilken værdi (antal aftagere eller
energimængde) der lægges til grund for kategoriseringen.
Dansk Energi henleder endvidere opmærksomheden på, at flere virksomheder med under
30.000 aftagere også har forsyningskritiske IT-systemer (læs: SCADA-/fjernkontrolsystem).
Dansk Energi finder det uklart, hvorvidt og i hvilket omfang virksomhedskategoriseringen er
samtænkt og/eller harmonerer med anlægsklassificeringen iht. BEK 1024, kapitel 6.
Ad. Risiko- og sårbarhedsvurderinger (§ 8-10)
§ 8, stk. 3: Dansk Energi opfordrer til, at specifikke scenarier og trusler også skal ses som
”relevante og sandsynlige i forhold til en dansk kontekst”. Scenarierne bør derfor tage sit ud-
gangspunkt i det danske (og evt. europæiske) elsystem og de trusler, som ses rettet her-
imod.
§ 9: Dansk Energi anbefaler, at virksomhedernes arbejde (§ 9, stk. 1) afventer og tager sit
udgangspunkt i Energinet.dk’s planmateriale over driftskritiske informationsudvekslinger, der
er mellem Energinet.dk og andre virksomheder (§ 9, stk. 3). Virksomhederne kan således
vurdere deres risici, sårbarheder og forsyningskritiske it-systemers kritikalitet på baggrund af
de af Energinet.dk identificerede sårbarheder. Dansk Energi anbefaler, at Energinet.dk invol-
verer Dansk Energi og virksomhederne i deres arbejde med at identificere risici og sårbarhe-
der, således at det er muligt for sektoren i fællesskab at udarbejde evt. foranstaltninger eller
løsninger.
§ 9, stk. 4: Dansk Energi ser en ekstra sikkerhedsrisiko ved, at virksomhederne skal udlevere
planmateriale til Energinet.dk, hvorfor udlevering bør undgås.
19
Ad. Beredskabsplanlægning (§ 11-13)
§ 12: Dansk Energi opfordrer til, at Energistyrelsen pålægger Energinet.dk at involvere re-
præsentanter fra Dansk Energi og virksomhederne i dette arbejde, og at arbejdet samtænkes
med det tilsvarende og eksisterende arbejde iht. BEK 1024, kapitel 5, § 8.
§ 14, stk. 5: Dansk Energi opfordrer til, at pålæg om afholdelse af specifikke øvelser eller
øvelseselementer bør tage hensyn til ”relevans og sandsynlighed i forhold til en dansk kon-
tekst”. Øvelserne bør derfor tage sit udgangspunkt i det danske (og evt. europæiske) elsy-
stem og de trusler, som ses rettet herimod.
Ad. Tilsyn (§ 19-20)
Idet vi henviser til vores afsnit 5, Tilsynet med elsektorens beredskab, med vores bemærk-
ninger til lovforslaget, anbefaler Dansk Energi, at bekendtgørelsesudkastets §§19-20 gen-
nemgår en omskrivning, som afspejler, at tilsynet i elsektoren flyttes fra Energinet.dk og til en
anden kompetent myndighed evt. med bistand fra Center for Cybersikkerhed.
Ad. CSIRT (§ 27)
Stk. 2: Dansk Energi foreslår, at afsnittet ”, såfremt disse oplysninger vurderes at have sik-
kerhedsmæssig betydning for forsyningen af el og naturgas af mere end 30.000 forbrugere.”
udgår. Herved sikres det, at oplysninger af sikkerhedsmæssig betydning også kan tilgå Ka-
tegori 3-virksomheder.
I forlængelse af vores bemærkninger i afsnit B, CSIRT og tilslutning til varslingstjeneste, an-
befaler Dansk Energi, at § 27, stk. 3, stk. 4 og stk. 5 udgår.
E. Anbefaling vedr. videre proces forud for udstedelse af bekendtgørelse
Dansk Energi har med dette høringssvar og vores bemærkninger til udkastet til bekendtgø-
relse søgt at give vores syn på, hvad vi ser af behov i forhold til IT-sikkerhed og i forhold til
opnåelse af ”Det bedste beredskab” i elsektoren.
Vi anbefaler på det kraftigste, at udkastet til bekendtgørelse ikke vedtages i sin nuværende
form, idet vi ikke finder, at udkastet til bekendtgørelse er tilstrækkeligt gennemarbejdet og
gennemanalyseret.
En vedtagelse, som vil ophøje det nuværende udkast til bekendtgørelse til fremtidige myn-
dighedskrav, vil måske tilfredsstille og opfylde initiativ nr. 17 i regeringens nationale strategi
for cyber- og informationssikkerhed om, at der skal stilles skærpede krav til el- og-
naturgassektorernes virksomheder inden udgangen af 2016, men efter vores bedste overbe-
visning efterlader den nuværende ordlyd virksomhederne med for mange ubesvarede tvivls-
spørgsmål og uklarheder, hvilket gør det svært at vurdere de reelle økonomiske konsekven-
ser for virksomhederne.
20
Som nævnt i vores bemærkninger til lovforslaget ser Dansk Energi en betydelig risiko for at
der på dette område (læs: Cyber- og informationssikkerhed herunder IT-beredskab) kan ske
overimplementering og dobbelt-regulering.
Dansk Energi anbefaler derfor:
· at Energistyrelsen principbeslutter, som et led i indførelse af nye og/eller opdatering
af eksisterende beredskabskrav, at tilsynsrollen på beredskabsområdet i elsektoren
flyttes fra Energinet.dk til en anden kompetent myndighed for såvel det almene som
det nye IT-beredskab. Derved skabes der mulighed for et tættere sektorsamarbejde
og tættere dialog og videndeling mellem virksomhederne og Energinet.dk med fokus
på det operationelle beredskab. Dansk Energi indgår gerne i nærmere drøftelser om,
hvor tilsynsopgaven placeres bedst.
· at Energistyrelsen inviterer repræsentanter fra Energinet.dk (som transmissionsvirk-
somhed og koordinerede part i elsektoren), Dansk Energi og virksomhederne til i fæl-
lesskab at drøfte indholdet af bekendtgørelsen. Således kan Energistyrelsen på bag-
grund af disse drøftelser udarbejde et revideret udkast til bekendtgørelse, som deref-
ter kan udsendes i ny høring. Målet for dette arbejde bør være at fastlægge de frem-
tidige krav til at få skabt ”Det bedste beredskab” for el- og naturgassektorerne.
· at endelig vedtagelse af bekendtgørelsen for det nye IT-beredskab i el- og naturgas-
sektorerne udskydes indtil ovenstående arbejde er gennemført og afsluttet, og at der
er skabt mere klarhed i forhold til de identificerede risici for overimplementering og
dobbeltregulering.
· at der stiles efter, at bekendtgørelsen tidligst kan træde i kraft pr. 1. juli 2017, idet risi-
ciene for overimplementering og dobbeltregulering søges begrænset.
· at virksomhederne tidligst skal være tilsluttet en CSIRT-tjeneste senest den 1. januar
2018 for derved at give virksomhederne mulighed for at afsøge mulighederne for
samarbejde og evt. fælles indkøb/udbud.
Dansk Energi stiller naturligvis gerne op til videre dialog og svarer også gerne på de
spørgsmål, som dette høringssvar måtte efterlade.
Med venlig hilsen
Dansk Energi
Peter Kjær Hansen
Side 1/2
Radius Elnet A/S
Teknikerbyen 25
2830 Virum
Danmark
Tlf. 70 20 48 00
Fax 99 55 00 11
www.radiuselnet.dk
Cvr-nr. 29 91 54 58
19. september 2016
Vores ref. Tomas Christensen
tchri@radiuselnet.dk
Tlf. 99552894
Hovedkontor:
Kraftværksvej 53
7000 Fredericia, Danmark
Til
Energistyrelsen
ens@ens.dk
Kopi
beredskab@ens.dk
Radius Elnets høringssvar til lovforslag om IT-sikkerheds
beredskab i el og naturgassektorne
Radius Elnet takker for muligheden for at afgive høringssvar på Energistyrelsen
forslag til ny bekendtgørelse indenfor IT beredskab, ”Bekendtgørelse om it-
beredskab for el- og naturgassektorerne”. Vores høringssvar er et supplement
til Dansk Energi’s høringssvar.
Generelt er vi meget positive over et øget fokus på IT sikkerheden i branchen,
da cybertruslen øges i takt med en stadigt stigende udbredelse af IT-baseret
udstyr i virksomhedernes drift.
Konkret vil vi dog henlede opmærksomheden på nedenstående punkter:
Generelt
Vi vil gerne fremføre endnu engang, at vi havde gerne set it-beredskabet i en
revideret udgave af beredskabsbekendtgørelserne BEK 1024 hhv. BEK 1025,
og ikke som nu en selvstændig bekendtgørelse. Vi er af den opfattelse at
beredskabet skal ses i en helhed, og dette skal til stadighed tilstræbes, hvilket
for så vidt allerede fremgår af §2 i de nævnte bekendtgørelser.
§19 Tilsyn
Vi ser det som en god mulighed at koordinere tilsynet med det almindelige og
eksisterende beredskab på elnettet til også at indeholde tilsyn indenfor IT
beredskab. Vi vil dog henlede opmærksomheden på vigtigheden af en klar i
adskillelse af rollerne som hhv. systemansvarlig, transmissionsselskab og
tilsynsførende myndighed.
§21 Økonomi
Det bør sikres, at netvirksomhederne har mulighed for via indtægtsrammerne at
få dækning for alle dokumenterede meromkostninger som følge af de nye krav i
loven og bekendtgørelsen. Vi henviser i den forbindelse til bemærkningerne i
Side 2/2
Vores ref. Tomas Christensen
Dansk Energis høringssvar vedrørende det foreliggende forslag til
bekendtgørelsens § 21
Samtidig stiller vi os tvivlende overfor de beregninger, som ligger til grund for
den økonomiske vurdering af de forøgede omkostninger i de forskellige
virksomhedskategorier. Det drejer sig om etableringsomkostninger såvel som
driftsomkostninger, som vi finder urealistisk lave, og henviser i øvrigt til Dansk
Energis redegørelse vedrørende økonomi.
Ikrafttrædelse
Vi ser et behov for en rimelig tidshorisont til fuld implementering af
bekendtgørelsen fra ikrafttrædelsen. Implementeringsfristen fremgår ikke klart
af lovforslagets tekst.
Med venlig hilsen
Radius Elnet
Tomas Christensen
Teknisk Chef
19. september 2016
Detail & Distribution
16/09891
KSB, NOJ
SEKRETARIATET FOR
ENERGITILSYNET
Carl Jacobsens Vej 35
2500 Valby
Tlf. 4171 5400
post@energitilsynet.dk
www.energitilsynet.dk
Energistyrelsen
Att.: Center for Forsyning
Amaliegade 44
1256 København K
Sekretariatet for Energitilsynets høringssvar til lovforslag om IT-
beredskab i el og naturgassektorerne samt bekendtgørelse herom.
Indledningsvist vil Sekretariatet for Energitilsynet gerne kvittere for muligheden
for at afgive høringssvar.
Af det fremsendte høringsudkast til lovforslag fremgår af bemærkningerne de
økonomiske og administrative konsekvenser for det offentlige som følge af lov-
forslaget udregnet/beskrevet (punkt 4). Det er her beskrevet, at det offentliges
omkostninger til gennemførelse af tilsyn med virksomheder og Energinet.dk’s
efterlevelse af reglerne i medfør af lovforslaget i alt vil beløbe sig til kr. 526.00,00
årligt.
Af det vedlagte udkast til bekendtgørelse fremgår det, at Sekretariatet for Energi-
tilsynet skal behandle ansøgningerne om forhøjelser af reguleringsprisen som føl-
ge af lovforslaget. Dog synes omkostninger hertil ikke indeholdt eller behandlet i
de økonomiske og administrative konsekvensberegninger, hvilket de rettelig bør
være.
Opgaven med at behandle ansøgningerne synes at have visse ligheder med opga-
ven, Energitilsynet også blev pålagt i forbindelse med udrulningen af de fjernaflæ-
ste målere, jf. bekendtgørelse 1358 af 3. december 2013. En opgave der er blevet
brugt ikke ubetydelige ressourcer og mandetimer på.
Der er også taget udgangspunkt i erfaringerne fra de fjernaflæste målere i forhold
til det vedlagte bekendtgørelses-udkast, hvorfor der er enkelte bemærknin-
ger/præciseringer til denne.
Tekstnært foreslås det, at ”foreligger” i § 21, stk. 5, 2. pkt., erstattes med ”er mod-
taget”, da dette ikke bør give anledning til fortolkningsspørgsmål.
En præcisering af begrebet ”dokumenterede meromkostninger”, jf. § 21, stk. 1, -
altså hvilke omkostninger, der kan medtages - samt hvor langt bagud i tid, man
kan henføre omkostninger/udgifter ind under begrebet, synes også nødvendig.
Dette kunne f.eks. være i form af en liste over investeringer/tiltag, der skal føre til
forhøjelse af virksomhedernes indtægtsrammer. Det har i hvert fald givet anled-
ning til en del behandling ved de fjernaflæste målere som også er oplyst Energisty-
Side 2/2
relsen, hvorfor præcisering heraf ville kunne lette sagsbehandlingen af ansøgnin-
gerne.
Derudover anmoder Energitilsynet om en præcisering af, hvordan forhøjelserne af
virksomhedernes indtægtsrammer skal udregnes, f.eks. om dette skal følge udreg-
ningerne af indtægtsrammeforhøjelser grundet idriftsættelse af nødvendige nyin-
vesteringer og fjernaflæste målere.
Endeligt synes det også nødvendigt at præcisere, hvorvidt det er det enkelte regn-
skabsårs forhøjelse (såfremt forhøjelserne udregnes ved en afskrivning og forrent-
ning af investeringen), der bortfalder ved ikke-rettidig ansøgning, eller om det er
hele forhøjelsen, der bortfalder, jf. § 21, stk. 5 i bekendtgørelsesudkastet.
Er der brug for uddybning af ovenstående, er I velkomne til at tage kontakt.
Med venlig hilsen
Niels Outzen Jensen (SET)
Fuldmægtig
noj@energitilsynet.dk
H ringssvar!til!udkast!til!lovforslag!om!"ndring!af!Lov!om!elforsyning!og!lov!om!
naturgasforsyning!(beredskab!for!forsyningskritiske!it-systemer!i!el-!og!
naturgassektoren)!samt!tilh rende!bekendtg relse.
K!benhavn, 15. september 2016!
Dansk IT repr"senteret ved Fagr#d for Informationssikkerhed takker for muligheden for at afgive
h!ringsvar p# Energistyrelsens forslag til udkast til lov om "ndring af lov om el-forsyning og lov om
naturgasforsyning samt det dertilh!rende udkast til Bekendtg!relse om it-beredskab for el- og
naturgassektorerne.
Konsekvensen af landsd"kkende eller regional afbrydelse af forsyningskritiske it-systemer kan have store
forretningsm"ssige og samfundsm"ssige konsekvenser og den foresl#ede risikobaserede tilgang vurderes
rigtig.
De !gede krav om kortl"ggelse og risikovurdering af kritiske systemer og komponenter vurderes at v"re et
skridt i den rigtige retning. Uden det forn!dne overblik over installationer og deres brug er det ikke muligt
at etablere tiltag, som er balanceret imod konsekvens og risiko for nedbrud. Uden dette er der en !get
risiko for enten over- eller under-implementering.
Krav om tilslutning til CSIRT/varslingstjeneste er n!dvendig for at opfange og reagere p# kritiske trusler. De
estimerede !konomiske konsekvenser vurderes dog til enten at v"re meget optimistiske eller ikke at tage
h!jde for den kompleksitet som findes i monitorering af hel- eller delvist isolerede netv"rk. Beregningerne
virker ikke retvisende.
Beregninger baseret p# konsulent-timesatser p# kr. 1.000 vurderes urealistiske i det nuv"rende marked.
Det kan ikke vurderes, om de fremsendte forslag d"kker implementering af NIS-direktivets krav for kritisk
infrastruktur. Det b!r vurderes, om det er muligt at forberede det frems"tte forslag til ogs# at d"kke
direktivet for at skabe et samlet overblik over krav til informationssikkerhed og beredskab for sektoren.
Energinet tilf!res flere roller med det foresl#ede, hvor der kan skabes problemer med funktionsadskillelse.
Rollefordelingen b!r gent"nkes og dele af opgaverne kan med fordel placeres hos andre styrelser eller
centre, hvorved der ikke fremkommer tvivl om funktionsadskillelse.
Med venlig hilsen
Rikke Hvilsh!j
Administrerende direkt!r
DANSK IT
rh@dit.dk
!"" # ! $ % $
& '( !
)* $ + ! ! "! ! ! ! $ ( $ "!
!
"
Med venlig hilsen
Sven Philipsen
CIO
_______________________
Vindenergi Danmark
T: +45 7632 1919
D: +45 7632 1914
E: sp@vindenergi.dk
W: www.vindenergi.dk
Energistyrelsen
Amaliegade 44
1256 København K
Att.: Fuldmægtig Jens Christian Vedersø
Pr. e-mail: ens@ens.dk; cc: beredskab@ens.dk
19. september 2016
Høring over udkast til lovforslag om ændring af lov om elforsyning og lov
om naturgasforsyning (beredskab for forsyningskritiske it-systemer i el-
og naturgassektoren) samt tilhørende bekendtgørelse
Tak for muligheden for at kommentere ovennævnte udkast. Vi har alene
bemærkninger til bekendtgørelsen. FSR – danske revisorer støtter op om
formålet, som går ud på at styrke beredskabet for forsyningskritiske it-systemer i
el- og naturgassektoren.
Generelle bemærkninger til bekendtgørelsesudkastet
§ 8, stk. 1: Vi savner generelt retningslinjer for den indledende kortlægning og
klassifikation af de anvendte it-systemer som forsyningskritiske eller ej. Denne
vurdering bør være obligatorisk, og den skal dokumenteres, da den danner
grundlag for beredskabsarbejdet. De identificerede forsyningskritiske systemer
danner f.eks. grundlag for § 9, § 11, stk. 3, og videre frem i bekendtgørelsen.
Beredskab er reaktivt, men det er også vigtigt at kunne opdage, når noget går
galt. Vi savner derfor retningslinjer for, hvordan virksomheden skal arbejde med
at opdage hændelser.
I forhold til bekendtgørelsesudkastet kan compliance hurtigt blive et spørgsmål
om, hvorvidt virksomheden har lavet f.eks. en risiko- og sårbarhedsvurdering.
Det er i mindre grad et spørgsmål om, hvorvidt vurderingen er fuldstændig,
baseret på hensigtsmæssige kriterier, og i øvrigt er dækkende for virksomhedens
reelle forhold.
Endelig savner vi en klar præcisering af den øverste ledelses ansvar for it-
beredskabet, jf. nærmere nedenfor.
Tekniske bemærkninger til bekendtgørelsesudkastet
§ 3: Definitionen af Cybersikkerhed bør efter vores opfattelse formuleres på en
sådan måde, at beskrivelsen også omfatter interne trusler. Ved at gøre
cybersikkerhedsdefinitionen bredere får man også fokus på den interne trussel,
der er mod disse systemer.
§ 3: Under ikke!kritiske!it-systemer kunne det med fordel overvejes, om de
Side 2
ikke kritiske it-systemer også burde adskilles fysisk fra de kritiske it-systemer.
§ 6, stk. 4: I forlængelse af den pligtige koordinering 4 gange årligt bør det
tilføjes, at der også skal ske koordinering efter behov baseret på en løbende
vurdering. Det kunne eksempelvis være i forbindelse med implementering af nye
forsyningskritiske it-systemer eller teknologier. I sådanne tilfælde bør
koordinering også finde sted.
§ 8, stk. 1, og § 8, stk. 4: For at undgå begrebsforvirring bør revideres og
revisioner ændres. Vi foreslår, at man i stedet anvender ord som ajourført el-
ler opdateret.
§ 8, stk. 2: Det bør præciseres, at den øverste ledelse har ansvaret for risiko- og
sårbarhedsvurderingerne og derfor bør godkende disse.
§ 8, stk. 5: Alle!relevante!trusler bør i højere grad underbygges af retningslin-
jer/eksempler!for!identifikation!af!sådanne! relevante!trusler .
§ 10, stk. 1, nr. 3: Hele beredskabsplanen må anses som følsom.
§ 14, stk. 3: Energistyrelsen kunne med fordel genoverveje, om it-
beredskabsøvelser hvert tredje år er hyppigt nok set i forhold til
forsyningsvirksomhedernes samfundsmæssige betydning.
§ 18, stk. 4, og § 24, stk. 1: Det bør i begge bestemmelser fremgå, at der skal
være tale om en godkendt!revisor . Dette bør tilsvarende indføjes i lovforsla-
gets § 1, nr. 2, stk. 5, nr. 6 samt § 2, nr. 2, stk. 5, nr. 6.
§ 18, stk. 4: Første led af bestemmelsen, hvorefter virksomheder kan efterleve
krav om dokumentation af styring af leverandører ved at anvende en ekstern it-
revisor, bør præciseres. Det bør fremgå, hvad it-revisor skal foretage. Ligeledes
bør det som ovenfor nævnt præciseres, at der skal være tale om en godkendt
revisor. Dokumentationen kan f.eks. foreligge ved, at revisor afgiver erklæring.
Med venlig hilsen
Peter Krogh Olsen
fagkonsulent
/SBP
sbp@danskerhverv.dk
Side 1/2
Energistyrelsen
Amaliegade 44
1256 København K
14. oktober 2016
Høringssvar vedrørende lovforslag om ændring af lov om elforsyning
Sikker energiforsyning og konkurrencedygtige energipriser er to væsentlige faktorer for danske
virksomheders konkurrenceevne. Dansk Erhverv ønsker, at der i reguleringen af energisektoren
rettes stor opmærksomhed mod at sikre forsyning og konkurrencedygtige energipriser.
Netselskabernes virksomhed er naturlige monopolaktiviteter, og derfor skal sektorens økonomi
underkastes en stram regulering og et nøje tilsyn. Indtægtsrammereguleringen udgør i praksis en
vigtig del af det system, der skal sikre, at sektoren leverer konkurrencedygtige, omkostningsægte
ydelser.
Generelle bemærkninger
Justeringer af indtægtsrammen bør alene ske, når der er ekstraordinære ændringer af netsel-
skabernes opgaveportefølje eller forpligtelser. Justeringerne skal fastsættes netto og således af-
spejle den endelige ændring af omkostningerne, der opstår som følge af forandringer i opgavepor-
teføljen eller opfyldelse af ekstraordinære krav.
Dansk Erhverv glæder sig i den forbindelse over, at regeringen i sit oplæg til forsyningsstrategi
har gjort det klart, at indtægtsrammerne skal justeres for de ændringer af el-netselskabernes op-
gaver, der skyldes indførelsen af engrosmodellen, herunder navnlig det tilknyttede bortfald af op-
gaver vedrørende kundekontakt og administration.
En høj it-sikkerhed er en væsentlig forudsætning for forsyningssikkerheden, og Dansk Erhverv
støtter, at it-sikkerheden er på et passende niveau i forhold til sektorens væsentlige samfundsop-
gave.
Digitalisering i form af den lovbestemte udrulning af fjernaflæste el-målere vil være et fremskridt
og blandt andet bane vejen for en effektivisering af aflæsningsopgaven. I almindelighed må ud-
skiftning af målere betragtes som en ordinær aktivitet, der er led i netselskabernes løbende vedli-
geholdelse af el-systemet. I det konkrete tilfælde sker udskiftningen på baggrund af et lovkrav,
hvorfor en del af omkostningerne, men ikke alle, med rimelighed kan betragtes som ekstraordi-
nære. Desuden må der tages højde for de omkostningsbesparelser, som indførelsen af fjernaflæste
Side 2/2
målere medfører for driften, således at der alene opereres med netto-meromkostninger i forbin-
delse med indtægtsrammereguleringen.
Dansk Erhverv ønsker, at der anlægges tilsvarende betragtninger i forbindelse med justering af
indtægtsrammerne vedrørende it-sikkerhed.
Med venlig hilsen
Søren Büchmann Petersen
Energipolitisk chef
Side 1/3
Radius Elnet A/S
Teknikerbyen 25
2830 Virum
Danmark
Tlf. 70 20 48 00
Fax 99 55 00 11
www.radiuselnet.dk
Cvr-nr. 29 91 54 58
14. oktober 2016
Jeres ref. Dan Frimark
Vores ref. Jesper Rohde Nielsen
jesrn@radiuselnet.dk
Tlf. 99 55 91 32
Hovedkontor:
Kraftværksvej 53
7000 Fredericia, Danmark
Energistyrelsen
ens@ens.dk
dfr@ens.dk
Radius Elnets høringssvar på supplerende høring vedr.
lovforslag om it-sikkerhedsberedskab i el- og
naturgassektoren
Radius Elnet (Radius) takker for muligheden for at afgive høringssvar på
Energistyrelsens supplerende høring i forlængelse af høringen af udkastet til
lovforslag vedrørende it-sikkerhedsberedskab (ændring af elforsyningsloven og
naturgasforsyningsloven). Den supplerende høring angår elforsyningslovens §
70 og har til formål at sikre et klarere retsgrundlag for at kunne forhøje
indtægtsrammen i forbindelse med de nye krav vedrørende it-
sikkerhedsberedskab.
De seneste år er den økonomiske regulering af netselskaber blevet analyseret
på baggrund af el-reguleringseftersynets rapport fra 2014. Det fremgår af
lovprogrammet, at der vil blive fremsat lovforslag om den økonomiske
regulering af netvirksomheder i februar 2017.
I lyset af den forestående nye økonomiske regulering anser Radius det for
vigtigt, at lovforslaget om it-sikkerhedsberedskab ikke fører til unødvendige eller
utilsigtede ændringer i den gældende økonomiske regulering i
elforsyningslovens § 70 og indtægtsrammebekendtgørelsen.
Det supplerende høringsudkast har som nævnt til formål at sikre et klarere
retsgrundlag for at kunne forhøje indtægtsrammen i forbindelse med de
foreslåede regler om it-beredskab. Energistyrelsen ønsker, at det står helt klart,
at der ikke skal udarbejdes individuelle pålæg i form af konkrete afgørelser,
men at nærmere angivne myndighedskrav – omtalt i den kommende it-
sikkerhedsbekendtgørelse – kan føre til forhøjelse af indtægtsrammen. Der er
tale om samme fremgangsmåde, som er anvendt i bekendtgørelserne om
fjernaflæste målere og om energibesparelser, og som Energistyrelsen
fastholder har hjemmel i elforsyningslovgivningen, jf. det supplerende
høringsudkast. Radius er enig heri.
Hensigten bag det supplerende høringsudkast er altså at gøre det klart, at visse
omkostninger til it-sikkerhedsberedskab kan føre til indtægtsrammeforhøjelse.
Udkastet til ændring af § 70 rejser imidlertid en række spørgsmål og lægger
Side 2/3
Vores ref. Jesper Rohde Nielsen
efter Radius opfattelse op til en indskrænkning af netvirksomhedernes mulighed
for at få indtægtsrammeforhøjelse i forbindelse med myndighedskrav. Dette er
uhensigtsmæssigt, især fordi der senere i folketingssamlingen vil blive fremsat
lovforslag om den samlede økonomiske regulering af netselskaber.
Det er Radius opfattelse, at Energistyrelsen kan opnå klarhed vedr. opgaverne
relateret til it-sikkerhedsberedskab ved en præcisering af lovbemærkningerne til
lovforslaget om it-sikkerhedsberedskab, uden at elforsyningslovens § 70
ændres. Energistyrelsen kan i bemærkningerne til lovforslaget skrive det helt
klart, at det vil blive fastsat i it-sikkerhedsbekendtgørelsen, hvilke it-
sikkerhedsberedskabsopgaver, som kan føre til indtægtsrammeforhøjelse.
Hermed vil hjemlen være tilstrækkelig klar, og Energistyrelsen vil følge
fremgangsmåden, som er anvendt i forhold til reglerne om fjernaflæste målere
og energibesparelser. Da Energistyrelsen vurderer, at der er tilstrækkelig
hjemmel til fastsættelse af de gældende regler i de to bekendtgørelser om
fjernaflæste målere og energibesparelser, er det ikke nødvendigt at fastsætte
en ny og klarere hjemmel i elforsyningsloven om disse myndighedskrav. Radius
opfordrer derfor Energistyrelsen til at lade være med at ændre § 70.
Hvis Energistyrelsen fastholder, at § 70 skal præciseres, mener Radius, at den
bedste løsning vil være at præcisere § 70, stk. 8, således at det kommer til at
fremgå af § 70, stk. 8, sammenholdt med lovbemærkningerne, at pålæg ikke
skal forstås snævert som individuelle pålæg i form af konkrete afgørelser, men
også kan omfatte krav, som pålægges i bekendtgørelser. I og med det vil
fremgå specifikt i bekendtgørelsen, hvilke opgaver som kan give anledning til
indtægtsrammeforhøjelse, skaber det ikke en risiko for, at anvendelsesområdet
for § 70 bliver for bredt.
Ændringen Energistyrelsen har foreslået i det supplerende høringsudkast vil
utilsigtet kunne føre til en indskrænkning af netvirksomhedernes rettigheder i
den gældende indtægtsrammeregulering, hvis de nye punkter i
elforsyningsloven opfattes som en udtømmende liste over nye opgaver, som
kan give tillæg til indtægtsrammen. Det kan begrænse selskabernes mulighed
for at opnå dækning for meromkostninger ved fremtidige bebyrdende
bekendtgørelser. Fastholder Energistyrelsen at indsætte et nyt stk. 15, bør det
alene give en generel mulighed for, at der i forbindelse med ny lovgivning kan
indarbejdes bestemmelser om tillæg til dækning af meromkostninger, som det
var tilfældet i målerbekendtgørelsen om overgang til fjernaflæste målere.
Overordnet opfordrer Radius til, at netselskabernes adgang til at få
indtægtsrammeforhøjelser i forbindelse med nye opgaver reguleres i det
kommende lovforslag om den økonomiske regulering af netselskaber, og at
lovforslaget om it-sikkerhedsberedskab udelukkende forholder sig til de nye
opgaver vedr. it-sikkerhedsberedskab.
Hvis Energistyrelsen fastholder, at § 70 skal ændres i lovforslaget vedrørende
it-sikkerhedsberedskab, opfordrer vi Energistyrelsen til at overveje, i hvilket
Side 3/3
Vores ref. Jesper Rohde Nielsen
omfang det kan komplicere arbejdet med det kommende lovforslag om
økonomisk regulering af netselskaber, at der samtidig pågår en behandling af §
70 i lovforslaget om it-sikkerhedsberedskab i Folketinget.
Radius ser frem til, at der i forbindelse med det kommende lovforslag om en ny
økonomisk regulering af netvirksomheder sker en yderligere drøftelse af
adgangen til at få indtægtsrammeforhøjelse i forbindelse med nye
myndighedskrav.
Radius henviser i øvrigt til Dansk Energis høringssvar, som Radius støtter.
Med venlig hilsen
Radius
Jesper Rohde Nielsen
Energistyrelsen
Center for forsyning
Amaliegade 44
1256 København K
Sendt pr. e-mail til ens@ens.dk
med kopi til dfr@ens.dk
Høringssvar til tillægshøring vedr. udkast til lov om ændring af elforsy-
ningsloven og naturgasforsyningsloven (it-sikkerhesberedskab)
Dansk Energi takker for muligheden for at afgive høringssvar på Energistyrelsens suppleren-
de forslag til ”Udkast til lov om ændring af lov om elforsyning og lov om naturgasforsyning”
(tillægshøring).
Indledningsvis vil Dansk Energi gerne kvittere for, at Energistyrelsen med forslaget ønsker at
tilsikre, at netselskaberne kan få dækket deres dokumenterede meromkostninger.
Dansk Energi er dog ikke enig i, at den valgte fremgangsmåde er den mest hensigtsmæssi-
ge.
Generelle bemærkninger
I lyset af, at der senere i denne folketingssamling vil blive fremsat lovforslag om den økono-
miske regulering af netselskaber, finder Dansk Energi det meget vigtigt, at der ikke i lov-
forslaget om it-sikkerhedsberedskab foretages unødvendige ændringer af elforsyningslovens
§ 70. Dansk Energi lægger særligt vægt på, at der ikke foretages ændringer, som indskræn-
ker netselskabernes adgang til at få indtægtsrammeforhøjelse på baggrund af elforsynings-
lovens § 70, stk. 8, og indtægtsrammebekendtgørelsens § 16 (i det følgende Indtægtsram-
mereguleringen). Efter Dansk Energis opfattelse fører fremgangsmåden i den nærværende
tillægshøring til, at netvirksomhedernes rettigheder i henhold til den gældende Indtægtsram-
meregulering indskrænkes. På den baggrund foreslår Dansk Energi, at Energistyrelsen væl-
ger en anden tilgang.
Dansk Energi har forståelse for, at Energistyrelsen har udarbejdet nærværende forslag til
præcisering af elforsyningslovens § 70 i lyset af Energiklagenævnets afgørelser fra 2014,
2015 og 2016 i Viby-sagen, datahub-sagen og Cityring-sagen. Disse afgørelser viser, at det
ikke har fremgået klart af lovgivningen, hvordan udtrykket ”pålæg” i § 70, stk. 8, og indtægts-
rammebekendtgørelsens § 16, skulle forstås. Energiklagenævnet har i afgørelserne lagt sig
Dok. ansvarlig: CMO
Sekretær:
Sagsnr: s2016-443
Doknr: d2016-14912-14.0
13. oktober 2016
2
fast på en indskrænkende fortolkning, som efter Dansk Energis opfattelse går imod lovgivers
intentioner1
.
Dansk Energi anerkender, at Energistyrelsen har til hensigt at gøre det helt klart, at konkrete
myndighedskrav fastsat i bekendtgørelser også kan give indtægtsrammeforhøjelse efter §
70, stk. 8, og indtægtsrammebekendtgørelsens § 16, sådan som det allerede er sket i de
omtalte bekendtgørelser vedr. fjernaflæste målere og energibesparelser, og som det er hen-
sigten i den kommende bekendtgørelse om it-sikkerhedsberedskab. Dansk Energi vurderer
imidlertid, at udkastet vil være en indskrænkning af netselskabernes rettigheder i henhold til
gældende ret, og foreslår derfor, at Energistyrelsen opnår klarheden på en af følgende må-
der:
1. I lyset af det kommende lovforslag om den økonomiske regulering af netselskaber
finder Dansk Energi det mest hensigtsmæssigt, at der ikke ændres på formuleringen
af den gældende elforsyningslovs § 70. I stedet kan det i lovbemærkningerne til lov-
forslaget om it-sikkerhedsberedskab omtales direkte, at Energistyrelsen vurderer, at
der er hjemmel til at fastsætte i en bekendtgørelse, at nærmere angivne krav skal gi-
ve adgang til indtægtsrammeforhøjelse, sådan som det er sket i bekendtgørelserne
om fjernaflæste målere og energibesparelser, og som det vil ske i den kommende
bekendtgørelse om it-sikkerhedsberedskab. Energistyrelsen kan gøre det klart, at det
ikke tilsigtes at udvide eller indskrænke netselskabernes adgang til at få indtægts-
rammeforhøjelse, men at det skal stå helt klart, at det ikke kun er individuelle pålæg,
som kan give anledning til indtægtsrammeforhøjelse, jf. Indtægtsrammereguleringen.
2. Hvis Energistyrelsen ikke finder overstående tilstrækkeligt, men vurderer, at elforsy-
ningslovens § 70 skal ændres, foretrækker Dansk Energi, at dette sker ved en præci-
sering af § 70, stk. 8, i stedet for ved indsættelse af et nyt stk. 15. Det kan ske ved, at
der to steder i § 70, stk. 8, efter ”pålæg” indsættes ”, herunder individuelle pålæg,”. I
lovbemærkningerne kan der knyttes bemærkninger om baggrunden for præciserin-
gen (Energiklagenævnets afgørelser), og det kan omtales, at det ikke tilsigtes at ud-
vide eller indskrænke netselskabernes adgang til at få indtægtsrammeforhøjelse.
Fastholder Energistyrelsen, at der skal indsættes et nyt stk. 15, vil det indebære, at §
70, stk. 8, fremover skal fortolkes i overensstemmelse med Energiklagenævnets for-
tolkning. Dvs. at udtrykket ”pålæg” i stk. 8 kun vedrører individuelle pålæg. Det kan
give anledning til nye fortolkninger, som fører til utilsigtede og uønskede begrænsnin-
ger i netselskabernes adgang til at få indtægtsrammeforhøjelse.
3. Fastholder Energistyrelsen, at der skal tilføjes et nyt stk. 15 i § 70, er det vigtigt, at
det handler om krav i bekendtgørelser generelt, og at det ikke indeholder en udtøm-
mende liste, som begrænser anvendelsesområdet til fjernaflæste målere, energibe-
sparelser og krav vedr. it-sikkerhedsberedskab. Formuleringen i høringsudkastet ind-
skrænker netselskabernes rettigheder i henhold til den gældende Indtægtsrammere-
gulering og vil indføre et tungt og usmidigt system, i og med det vil forudsætte lovæn-
dring at fastsætte nye myndighedskrav, som skal kunne give anledning til indtægts-
rammeforhøjelse.
1
Der henvises i denne forbindelse til klagernes synspunkter i de tre sager som beskrevet i de tre kla-
ger.
3
For så vidt angår den omtalte afgørelse bemærker Dansk Energi, at Energiklagenævnet me-
re korrekt udtalte, at ”det må antages, at der ved myndighedspålæg – eller pålæg fra Energi-
net.dk – menes individuelle pålæg i form af konkrete forvaltningsafgørelser og ikke generelle
retsakter i form af f.eks. lovregulering, som i den omhandlede sag”; der var altså alene tale
om fortolkning af begrebet myndighedspålæg fra klagenævnets side.
Med forslaget er det Energistyrelsens ambition 1) at sikre ”et klarere retsgrundlag” (hjem-
melsgrundlag) og 2) forhindre, at der ”skabes uklarhed” om (den gældende) retstilstand i
forhold til allerede fastsatte regler, og Energistyrelsen understreger 3) at der ikke med den
nye hjemmel er ”tilsigtet materielle ændringer” i forhold til, hvad der kan føre til indtægts-
rammeforhøjelser.
Som Dansk Energi læser forslaget, handler det reelt og basalt set om, at Energistyrelsen i
lyset af Energiklagenævnets afgørelser vedrørende forståelsen af udtrykket myndighedspå-
læg ønsker, at det skal fremgå helt klart af elforsyningslovens § 70, at ministeren kan fast-
sætte nærmere regler i bekendtgørelsesform om, at krav (”pålæg”) i medfør af generelle
retsakter skal kunne føre til/begrunde en forhøjelse af indtægtsrammen..
Konkrete bemærkninger
Særligt for så vidt angår Energistyrelsens forslag om præcisering af hvilke nærmere angivne
typer af dokumenterede meromkostninger, der skal kunne begrunde forhøjelse af indtægts-
rammen (dvs. 1) fjernaflæste elmålere og indsendelse af forbrugsdata, 2) realisering af ener-
gibesparelser, og 3) tilmelding til it-sikkerhedstjeneste), er det Dansk Energis opfattelse, at
disse bør udelades fra elforsyningsloven, således at det alene i elforsyningsloven fastslås, at
der kan fastsættes regler herom, mens den nærmere præcisering af, hvilke typer af omkost-
ninger, der i specifikke situationer skal kunne dækkes gennem en indtægtsrammeforhøjelse,
konkretiseres i relevante bekendtgørelser.
Ved allerede at beskrive de enkelte typer af omkostninger i elforsyningsloven risikerer man at
begrænse adgangen til fremadrettet at fastsætte nye regler, som ligeledes skal kunne be-
grunde en forhøjelse, og der vil være behov for at ændre elforsyningsloven for at opnå ad-
gang hertil. Dette er selvsagt uhensigtsmæssigt og administrativt tungt at gennemføre.
En anden relevant bekymring er desuden risikoen for modsætningsslutninger fra elforsy-
ningsloven til de mere detaljerede regler på bekendtgørelsesniveau, som vil kunne føre til
afvisning af anmodning om forhøjelser hos Energitilsynet, upåagtet at det har været regelud-
steders intention, at forhøjelsen skulle have hjemmel i en bekendtgørelse.
Det bemærkes, at Energitilsynets administration af forhøjelser af reguleringspriser efter be-
stemmelserne i bekendtgørelse nr. 1358 af 3. december 2013 om fjernaflæste elmålere og
måling af elektricitet i slutforbruget sker smidigt efter en operationel og administrativt enkel
beregningsmodel. Det eksisterende regelgrundlag ses således at være fuldt tilstrækkeligt og
tilsynet hermed sker i overensstemmelse med lovgivers intention. Tilsvarende gør sig gæl-
dende med administrationen og tilsynet efter reglerne på energispareområdet.
4
Såfremt lovgiver fastholder, at der er grundlag for at præcisere særlige hjemler til indtægts-
rammeforhøjelser som følge af specifikke pålagte opgaver for netvirksomhederne, bør be-
stemmelsen formuleres, så der er tale om eksempler på specifikke pålagte opgaver og ikke
en udtømmende opregning. Alternativet hertil er, at hjemlen omfatter en fuldstændig opreg-
ning af de aktiviteter, der rent faktisk medføres af et lovbestemt krav.
Som fremhævet i vores høringssvar af 19. september 2016 udstikker det foreliggende lov- og
bekendtgørelsesudkast en lang række nye krav til netselskaberne, herunder tidsfrister, som
ikke er omfattet af netselskabernes nuværende opgaveportefølje efter elforsyningslovens §
20, stk. 1. Formålet med den nye lovgivning med tilhørende bekendtgørelse er at sikre udfø-
relsen af en række nye opgaver og at opgaveløsningen sker på en bestemt måde og til be-
stemte tidsfrister. Dvs. opgaver, der ligger ud over elforsyningslovens § 20, stk. 4, eller eksi-
sterende opgaver, der skal fremskyndes som følge af loven og bekendtgørelsen, og som helt
generelt er normerende for netselskabernes opgaveudførelse.
Derfor bør en eventuel særlig hjemmel til indtægtsrammeforhøjelser i elforsyningslovens §
70 ikke afgrænses til alene at omfatte ”tilmelding til en it-sikkerhedstjeneste”, men bør udvi-
des til de nye aktiviteter, der rent faktisk stilles krav om i det helt overordnede pålæg i be-
kendtgørelsens § 2, stk. 2.
Forslag til ændret ordlyd
Dansk Energi foreslår en ændret ordlyd, som mere specifikt tydeliggør, at ministeren tillige
har hjemmel til at fastsætte sådanne regler om indtægtsrammeforhøjelser som følge af på-
læg (krav) i medfør af generelle retsakter i bekendtgørelsesform:
Stk. 15. Energi-, forsynings- og klimaministeren kan fastsætte regler om, at Ener-
gitilsynet kan forhøje en netvirksomheds indtægtsramme som følge af dokumen-
terede meromkostninger, der udspringer af krav i medfør af bestemmelser fastsat
i generelle retsakter.
1) udskiftning og opgradering af elmålere til fjernaflæste elmålere, fremskyndelse
af investeringer i fjernaflæste elmålere og indsendelse af timemålte forbrugsdata
til datahubben i henhold til regler fastsat af energi-, forsynings- og klimaministe-
ren i medfør af § 20, stk. 2, og § 22, stk. 4,
2) sikring af realisering af dokumenterbare energibesparelser i overensstemmel-
se med regler fastsat i medfør af § 22, stk. 4, jf. § 22, stk. 1, nr. 5, og
3) tilmelding til en it-sikkerhedstjeneste i henhold til regler fastsat af energi-, for-
synings- og klimaministeren i medfør af § 85 d, stk. 5, nr. 4.
(udgår)
Hermed sikres et klart hjemmelsgrundlag og en præciseret retstilstand i forhold til allerede
fastsatte regler.
Med venlig hilsen
Dansk Energi
5
Claus Møller Thamdrup Michael Guldbæk Arentsen