Fremsat den 9. november 2016 af energi-, forsynings- og klimaministeren (Lars Christian Lilleholt)

Fremsat den 9. november 2016 af energi-, forsynings- og klimaministeren (Lars Christian Lilleholt)
Forslag
til
Lov om ændring af lov om elforsyning og lov om naturgasforsyning
(It- beredskab i el- og naturgassektorerne, gebyr for tilladelser til Energinet.dk og forhøjelse af indtægtsrammer for
netvirksomheder mv.)
§ 1
I lov om elforsyning, jf. lovbekendtgørelse nr. 418 af 25.
april 2016, som ændret ved § 1 i lov nr. 466 af 18. maj 2011,
§ 7 i lov nr. 261 af 16. marts 2016 og § 8 i lov nr. 427 af 18.
maj 2016, foretages følgende ændringer:
1. I § 51, stk. 2, ændres ”bevillingshaverne samt” til:”bevil-
lingshaverne,”, efter ”lov om Energinet.dk” indsættes: ”,
samt virksomheder, der yder balancering af elsystemet,”, og
efter "herunder" indsættes: "tilsynet med beredskabsarbejdet
efter regler fastsat i medfør § 85 c, stk. 6, og".
2. I § 51 a, nr. 2, indsættes efter "§ 37 a, stk. 1,": "samt § 4
a, stk. 1, i lov om Energinet.dk,".
3. I § 70 indsættes som stk. 15:
»Stk. 15 Energi-, forsynings- og klimaministeren kan fast-
sætte regler om, at Energitilsynet kan forhøje en netvirk-
somheds indtægtsramme som følge af dokumenterede mer-
omkostninger, der følger af krav om
1) udskiftning og opgradering af elmålere til fjernaflæste
elmålere, fremskyndelse af investeringer i fjernaflæste
elmålere og indsendelse af timemålte forbrugsdata til
datahubben i henhold til regler fastsat af energi-, forsy-
nings- og klimaministeren i medfør af § 20, stk. 2, og §
22, stk. 4,
2) sikring af realisering af dokumenterbare energibespa-
relser i overensstemmelse med regler fastsat i medfør
af § 22, stk. 4, jf. § 22, stk. 1, nr. 5, og
3) tilmelding til en it-sikkerhedstjeneste i henhold til reg-
ler fastsat af energi-, forsynings- og klimaministeren i
medfør af § 85 c, stk. 5, nr. 4.«
4. Overskriften til kapitel 12 affattes således:
»Kapitel 12.
Beredskab, fortrolighed, kontrol, oplysningspligt og påbud«
5. § 85 b, stk. 4, 2. pkt., ophæves.
6. Kapitel 12 a ophæves, og i stedet indsættes efter § 85 b i
kapitel 12:
»§ 85 c Virksomheder, som er bevillingspligtige efter §§
10 og 19, Energinet.dk og dennes helejede datterselskaber
samt virksomheder, der yder balancering af elsystemet, skal
opretholde et it-beredskab, herunder planlægge og træffe
nødvendige foranstaltninger for at sikre beskyttelsen af kriti-
ske it-systemer der er, af betydning for elforsyningen.
Stk. 2. Energi-, forsynings- og klimaministeren kan ved
manglende opfyldelse af et påbud efter § 85 d om at over-
holde stk. 1 påbyde virksomheder at foretage en it-revision
af kritiske systemer ved en uafhængig revisor godkendt af
tilsynsmyndigheden.
Stk. 3. Energi-, forsynings- og klimaministeren kan påby-
de virksomheder at gennemføre tiltag, som på baggrund af
en it-revision, jf. stk. 2, skønnes nødvendige for at oprethol-
de et it-beredskab, jf. stk. 1.
Stk. 4. Informationer, herunder vurderinger, planer og da-
ta, vedrørende sikkerhedsforhold for kritiske it-systemer i
virksomheder omfattet af stk. 1 er fortrolige, hvis oplysnin-
gerne er væsentlige af hensyn til driften af virksomheden el-
ler det sammenhængende el-system.
Stk. 5. Energi-, forsynings- og klimaministeren fastsætter
nærmere regler for it-beredskab, jf. stk. 1, herunder regler
om
1) organisering af virksomhedens it-beredskab og evne til
at modtage advarsler om trusler mod it-sikkerheden,
2) planlægning og beredskabsarbejde, som virksomheder-
ne skal udføre for at modvirke trusler mod it-sikkerhe-
den, herunder virksomhedernes pligt til at videregive
oplysninger til Energinet.dk og relevante myndigheder,
Lovforslag nr. L 68 Folketinget 2016-17
Energi-, Forsynings- og Klimamin.,
Energistyrelsen, j.nr. 2016-2100
CI000183
3) virksomhedernes risikostyring, herunder inddragelse af
andre virksomheder i risikovurderinger,
4) tilmelding til en it-sikkerhedstjeneste, der yder varsler
og informationer om it-sikkerhedstrusler,
5) Energinet.dk’s varetagelse af overordnede, koordine-
rende planlægningsmæssige og operative opgaver ve-
drørende it-beredskab, jf. stk. 1,
6) krav til indholdet og planlægningen af en it-revision
ved en uafhængig revisor, jf. stk. 2.
Stk. 6. Energi-, forsynings- og klimaministeren fastsætter
regler for udførelse af tilsyn med virksomheders it-bered-
skab, jf. stk. 1.
§ 85 d Klima-, energi- og bygningsministeren og Energi-
tilsynet kan påbyde, at forhold, der strider mod loven, mod
regler eller afgørelser i henhold til loven eller mod Europa-
Parlamentets og Rådets forordning om betingelserne for net-
adgang i forbindelse med grænseoverskridende elektricitets-
udveksling, bringes i orden straks eller inden en nærmere
angivet frist.
Stk. 2. Energitilsynet kan påbyde, at forhold, der strider
mod en juridisk bindende afgørelse truffet af det europæiske
agentur for samarbejde mellem energireguleringsmyndighe-
der eller strider mod Europa-Parlamentets og Rådets forord-
ning (EU) nr. 1227/2011 af 25. oktober 2011 om integritet
og gennemsigtighed på engrosenergimarkederne eller mod
retsakter, der er vedtaget på grundlag heraf, bringes i orden
straks eller inden en nærmere angivet frist.«
7. I § 86, stk. 1, ændres »§ 85 c« to steder til: »§ 85 d«.
§ 2
I lov om naturgasforsyning, jf. lovbekendtgørelse nr.
1157 af 6. september 2016, foretages følgende ændringer:
1. § 15 a, stk. 4, 2. pkt., ophæves.
2. Efter § 15 a indsættes før overskriften før § 16:
»§ 15 b Selskaber, der er bevillingspligtige efter § 10,
samt Energinet.dk og dennes helejede datterselskaber, der
varetager naturgasforsyningsvirksomhed i henhold til § 2,
stk. 2 og 3, i lov om Energinet.dk, skal opretholde et it-be-
redskab, herunder planlægge og træffe nødvendige foran-
staltninger for at sikre beskyttelsen af kritiske it-systemer,
der er af væsentlig betydning for naturgasforsyningen.
Stk. 2. Energi-, forsynings- og klimaministeren kan ved
manglende opfyldelse af et påbud efter § 47 b om at over-
holde stk. 1 påbyde virksomheder at foretage en it-revision
af kritiske it-systemer ved en uafhængig revisor godkendt af
tilsynsmyndigheden.
Stk. 3. Energi-, forsynings- og klimaministeren kan påby-
de virksomheder at gennemføre tiltag, som på baggrund af
en it-revision, jf. stk. 2, skønnes nødvendige for at oprethol-
de et it-beredskab, jf. stk. 1.
Stk. 4. Informationer, herunder vurderinger, planer og da-
ta, vedrørende sikkerhedsforhold for forsyningskritiske it-
systemer i virksomheder, som er omfattet af stk. 1, er fortro-
lige, hvis oplysningerne er væsentlige af hensyn til driften af
virksomheden eller naturgassystemet.
Stk. 5. Energi-, forsynings- og klimaministeren fastsætter
nærmere regler for it-beredskab, jf. stk. 1, herunder regler
om
1) organisering af virksomhedens it-beredskab og evne til
at modtage advarsler om trusler mod it-sikkerheden,
2) planlægning og beredskabsarbejde, som virksomheder-
ne skal udføre for at modvirke trusler mod it-sikkerhe-
den, herunder virksomhedernes pligt til at videregive
oplysninger til Energinet.dk og til energi-, forsynings-
og klimaministeren,
3) virksomhedernes risikostyring, herunder inddragelse af
andre virksomheder i risikovurderinger,
4) tilmelding til en tjeneste, der yder varsler og informati-
oner om it-sikkerhedstrusler,
5) Energinet.dk’s varetagelse af overordnede, koordine-
rende planlægningsmæssige og operative opgaver ve-
drørende it-beredskabet, jf. stk. 1, og
6) krav til indholdet og planlægningen af en it-revision
ved en uafhængig revisor, jf. stk. 2.
Stk. 6. Energi-, forsynings- og klimaministeren fastsætter
regler for udførelse af tilsyn med det beredskabsarbejde, der
udføres efter stk. 1.«
3. I § 30, stk. 2, indsættes efter »tilsynet«: », herunder tilsy-
net med beredskabsarbejdet efter § 15 b, stk. 6«.
§ 3
Stk. 1. Loven træder i kraft den 1. juli 2017, jf. dog stk. 2.
Stk. 2. § 1, nr. 2, træder i kraft den 1. januar 2017.
§ 4
Loven gælder ikke for Færøerne og Grønland.
2
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Indledning
2. Baggrund
3. Hovedpunkter i lovforslaget
3.1. It-beredskab
3.1.1. Gældende ret
3.1.2. Energi-, forsynings- og klimaministeriets overve-
jelser
3.1.3. Den foreslåede ordning
3.2. Organisering af el- og naturgassektorernes beredskab
3.2.1. Gældende ret
3.2.2. Energi-, forsynings- og klimaministeriets overve-
jelser
3.2.3. Den forslåede ordning
3.3. Sanktioner og påbud
3.3.1. Gældende ret
3.3.2. Energi-, forsynings- og klimaministeriets overve-
jelser
3.3.3. Den forslåede ordning
3.4. Fastsættelse af nærmere regler for it-beredskabet
3.4.1. Gældende ret
3.4.2. Energi-, forsynings- og klimaministeriets overve-
jelser
3.4.3. Den forslåede ordning
3.5. Tilsyn
3.5.1. Gældende ret
3.5.2. Energi-, forsynings- og klimaministeriets overve-
jelser
3.5.3. Den forslåede ordning
3.6. Gebyr for tilladelser til Energinet.dk
3.6.1. Gældende ret
3.6.2. Energi-, forsynings- og klimaministeriets overve-
jelser
3.6.3. Den foreslåede ordning
3.7. Indtægtsrammeforhøjelser for netvirksomheder
3.7.1. Gældende ret
3.7.2. Energi-, forsynings- og klimaministeriets overve-
jelser
3.7.3. Den foreslåede ordning
4. Økonomiske og administrative konsekvenser for det of-
fentlige
5. Økonomiske og administrative konsekvenser for er-
hvervslivet mv.
5.1. Løbende efterlevelsesomkostninger
5.2. Gebyrer
5.3. Administrative efterlevelsesomkostninger
5.4. Administrative omstillingsomkostninger
5.5. Økonomisk opsummering
6. Administrative konsekvenser for borgerne
7. Miljømæssige konsekvenser
8. Forholdet til EU-retten
9. Hørte myndigheder og organisationer mv.
10. Sammenfattende skema
1. Indledning
Dette lovforslag udmønter et initiativ i den nationale strategi
for cyber- og informationssikkerhed fra december 2014, der
har til hensigt at styrke cyber- og informationssikkerheden
for virksomhederne i el- og naturgassektorerne ved at stille
nye krav til cyber- og informationssikkerheden.
Forsyningen af el og naturgas fra produktion til forbrug sty-
res i stigende grad af digitale styrings- og overvågningssy-
stemer, der herved er kritiske for forsyningen af el og natur-
gas til samfundet. Disse forsyningskritiske it-systemer skal
sikres mod driftsforstyrrelser, bevidste angreb og utilsigtede
hændelser, så risikoen for forsyningsnedbrud minimeres og
eventuelle konsekvenser heraf begrænses.
Den nuværende regulering af beredskabet i el- og naturgas-
sektorerne regulerer ikke specifikt beredskabet for forsy-
ningskritiske it-systemer.
Lovforslaget stiller krav om, at virksomhederne skal opret-
holde et it-beredskab for forsyningskritiske it-systemer i el-
og naturgassektorerne. It-beredskabet skal sikre, at virksom-
hederne i el- og naturgassektorerne har overblik over egne
it-systemer, vurderer risikoen for angreb på eller nedbrud i
it-systemer samt modtager relevante trusselsmeldinger, såle-
des at virksomhederne kan foretage de nødvendige tiltag for
at begrænse mulige konsekvenser af disse angreb eller ned-
brud.
Lovforslaget giver energi-, forsynings- og klimaministeren
mulighed for at påbyde en virksomhed at afholde en uvildig
3
undersøgelse af egne it-systemer. Ministeren gives beføjelse
til, at kunne påbyde virksomheder at gennemføre nødvendi-
ge foranstaltninger til opretholdelse af et relevant it-bered-
skab, enten på baggrund af en gennemført uvildig undersø-
gelse eller på baggrund af det gennemførte tilsynsarbejde.
Lovforslaget giver endvidere energi-, forsynings- og klima-
ministeren mulighed for at udstede regler om opkrævning af
gebyr for omkostninger i forbindelse med afholdelse af til-
syn med Energinet.dk.
Med lovforslaget får energi-, forsynings- og klimaministe-
ren pligt til at fastætte regler om virksomheders beskyttelse
af egne forsyningskritiske it-systemer, og virksomhedernes
bidrag til sektorernes samlede it-beredskab.
Herudover giver lovforslaget energi-, forsynings- og klima-
ministeren mulighed for at udstede regler om dels opkræv-
ning af gebyrer for den myndighedsbehandling, der skal ud-
føres som en følge af lovforslaget, dels om at virksomheder-
nes dokumenterede meromkostninger til opfyldelse af lov-
forslagets krav kan indregnes i de indtægtsrammer, som
Energitilsynet fastsætter for de omfattede virksomheder.
Endelig indeholder lovforslaget en række mindre ændringer,
der skal skabe klarhed om retstilstanden i forhold til gebyrer
for tilladelser til, at Energinet.dk etablere elforsyningsnet på
søterritoriet samt klarhed om netvirksomheders indtægts-
rammer.
2. Baggrund for lovforslaget
El- og naturgassystemerne er i stigende grad automatiseret,
således at produktionen, handlen og forsyningen af el og na-
turgas styres af digitale styrings- og overvågningssystemer.
Denne digitalisering af el- og naturgassektorerne giver nye
muligheder og udfordringer.
Digitaliseringen af el- og naturgassystemerne er væsentlig
for at drive et effektivt og moderne energisystem. Digital in-
formationsudveksling sikrer, at markedet effektivt kan for-
binde udbud, efterspørgsel og pris, mens moderne styrings-
teknologi muliggør en løbende balancering af produktion og
forbrug under markedsvilkår.
Balancering af forbrug og produktion af el er væsentligt for
driften af el-systemet og funktionen af elmarkedet. Balan-
ceringsydelser er markedsbestemte ydelser, hvori en virk-
somhed udøver fysisk kontrol af et eller flere produktions-
eller forbrugsanlæg. Denne kontrol styres af avancerede it-
systemer, der derved er en forudsætning for, at elsystemet
effektivt kan udnytte variabel energiproduktion fra vedva-
rende energikilder som solceller og vindmøller.
It-systemer har en stigende betydning for el- og naturgassy-
stemet og samtidig bliver it-systemerne stadigt mere kom-
plekse, da stadigt flere informationer danner input og stadigt
flere elementer kan styres gennem disse it-systemer. Anven-
delse af it-systemer i forbindelse med styringen af el- og na-
turgassystemerne indebærer også en række nye udfordringer
for el- og naturgassystemerne. It-systemer skal i lighed med
mekaniske systemer vedligeholdes og serviceres, og ligesom
mekaniske systemer skal beskyttes mod udefra kommende
trusler så som vejrliget og fysisk angreb eller uheld, skal it-
systemer beskyttes mod trusler så som vira og hacker-an-
greb.
Hidtil har der været krav til den fysiske beskyttelse af el- og
naturgassektorerne, der har opstillet rammen for det almene
beredskabsarbejde ved net- og produktionsvirksomheder,
samt Energinet.dk efter § 85 b i lov om elforsyning og § 15
a i lov om naturgasforsyning. Det almene beredskabsarbejde
pålægger virksomhederne ansvaret for at vurdere og fore-
bygge risici, sårbarheder og trusler, således at nedbrud og
skader på el- og naturgasforsyningssystemerne kan minime-
res. Virksomhederne varetager den operative håndtering af
en beredskabssituation og beredskabsplanlægning i egen or-
ganisation, mens Energinet.dk tilsikrer den overordnede ko-
ordinering i og mellem el- og naturgassektorerne af såvel
den operative indsats som beredskabsplanlægningen.
Beredskabsarbejdet har hidtil ikke specifikt omfattet it, og
der er i den gældende lovgivning ikke mulighed for at stille
specifikke krav til virksomhedernes it-sikkerhed for forsy-
ningskritiske it-systemer. Lovforslaget skal dermed regulere
et område, der hidtil ikke har været reguleret. Lovforslaget
skal sikre, at forsyningskritiske it-systemer integreres i el-
og naturgassektorernes beredskabsarbejde.
El- og naturgasmarkedet har hidtil udviklet sig i takt med, at
nye teknologier har skabt nye muligheder. Den teknologiske
og kommercielle udvikling af el- og naturgassektorerne for-
ventes fortsat at fremme en effektiv energiforsyning. Lov-
forslaget skal derfor undgå at begrænse den kommercielle
udvikling muliggjort af den teknologiske udvikling. Virk-
somhederne anses for kompetente til at vurdere sammen-
hænge mellem de teknologiske muligheder og de kommerci-
elle interesser. Det er dog i forbindelse med reguleringen af
området væsentligt at sikre, at der fastholdes en høj forsy-
ningssikkerhed på trods af nye teknologier og kommercielle
muligheder. Lovforslaget pålægger derfor energi-, forsy-
nings- og klimaministeren at fastsætte regler for virksomhe-
derne, således at de foretager løbende risiko- og sårbarheds-
vurderinger og inddrager disse vurderinger i deres bered-
skabsplanlægning.
Den 6. juli 2016 blev Europa-Parlamentets og Rådets direk-
tiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der
skal sikre et højt fælles sikkerhedsniveau for net- og infor-
mationssystemer i hele Unionen vedtaget. Efter dette direk-
tivs artikel 25 vedtager og offentliggør medlemsstaterne se-
nest den 9. maj 2018 de love og administrative bestemmel-
ser, der er nødvendige for at efterkomme dette direktiv. Det
lovforberedende arbejde med henblik på at implementere di-
rektivet gennemføres af Forsvarsministeriet uafhængigt af
nærværende lovforslag. Energi, forsynings- klimaministeriet
bidrager til dette arbejde.
4
Lovforslaget skal således ses som nationale regler, der har
til formål at udmønte den nationale strategi for cyber- og in-
formationssikkerhed fra december 2014 og de heri indehold-
te krav om gennemførelse af it-beredskabsforanstaltninger
på energiforsyningsområdet.
Endvidere indeholder lovforslaget en foreslået præcisering
af reglerne om gebyrer for tilladelser til elforsyningsnet på
søterritoriet. En række af de tilladelser, der efter ansøgning
fra virksomheder meddeles af energi-, forsynings- og klima-
ministeren efter elforsyningsloven, betales der i dag gebyr
for. Det gælder også for tilladelser til etablering samt væ-
sentlige ændringer af elforsyningsnet på søterritoriet. Bag-
grunden er, at behandlingen af en ansøgning kræver en gan-
ske omfattende behandling af myndigheder.
For at skabe klarhed om, at ministeren også kan opkræve
gebyr, når Energinet.dk indsender en ansøgning om etable-
ring af elforsyningsnet på søterritoriet på linje med alle an-
dre virksomheder, præciseres det i lovforslaget derfor, at
energi-, forsynings- og klimaministeren kan udstede regler
om opkrævning af gebyr for udstedelse af tilladelser til etab-
lering samt væsentlige ændringer af elforsyningsnet på sø-
territoriet til Energinet.dk.
3. Hovedpunkter i lovforslaget
3.1. It-beredskab
3.1.1. Gældende ret
Det almene beredskab på elforsyningsområdet reguleres af §
85 b i lov om elforsyning samt bekendtgørelse nr. 1024 af
21. august 2007 om beredskab for elsektoren.
Bekendtgørelse nr. 1024 af 21. august 2007 om beredskab
for elsektoren er udstedt i medfør af § 85 b i lov om elforsy-
ning. Denne bekendtgørelse fastsætter nærmere regler for
virksomhedernes beredskabsplanlægning og organisatoriske
forhold samt fastsætter krav til virksomhedernes bered-
skabsplaner. De gældende regler for beredskabsområdet ef-
ter elforsyningsloven omfatter alene det almene beredskab,
hvorfor gældende ret i elforsyningsloven ikke er fundet til-
strækkelig til at omfatte it-beredskabet.
Det almene beredskab på naturgasforsyningsområdet regule-
res af § 15 a i lov om naturgasforsyning samt bekendtgørel-
se nr. 1025 af 21. august 2007 om beredskab for naturgas-
sektoren. Bekendtgørelse nr. 1025 af 21. august 2007 om
beredskab for naturgassektoren er udstedt i medfør af § 15 a
i lov om naturgasforsyning. Denne bekendtgørelse fastsætter
nærmere regler for virksomhedernes beredskabsplanlægning
og organisatoriske forhold og fastsætter krav til virksomhe-
dernes beredskabsplaner. De gældende regler for bered-
skabsområdet efter naturgasforsyningsloven omfatter alene
det almene beredskab, hvorfor gældende ret i naturgasforsy-
ningsloven ikke er fundet tilstrækkelig til at omfatte it-be-
redskabet.
3.1.2. Energi-, forsynings- og klimaministeriets overvejelser
En regulering af virksomheders it-beredskab skal styrke for-
syningssikkerheden ved at begrænse de risici og sårbarhe-
der, der afledes af den teknologiske og kommercielle udvik-
ling af it-systemer. Disse it-systemer er i stigende grad for-
syningskritiske systemer, der direkte eller indirekte styrer
det fysiske forsyningssystem gennem forskellige sensorer,
ventiler og relæer. Det er derfor væsentligt, at en regulering
finder anvendelse overfor virksomheder, der er omfattet af
beredskabsbestemmelserne i § 85 b i lov om elforsyning og
§ 15 a i lov om naturgasforsyning, samt virksomheder, som
gennem et it-system varetager styring af flere anlæg, der
samlet set er væsentlige for forsyningen.
Ved at anvende begrebet kritiske it-systemer af betydning
for hhv. el- og naturgasforsyningen, afgrænses lovens virk-
ningsområde til it-systemer, der direkte anvendes i den fysi-
ske forsyning af el og naturgas fra produktion til forbrug. En
regulering heraf bør finde anvendelse for virksomheder, der
leverer en ydelse, tjeneste eller produkt, der er væsentligt for
opretholdelsen af el- eller naturgasforsyningen til samfundet
når denne levering er afhængig af it-systemer. Virksomhe-
der, der kan godtgøre, at de ikke anvender it-systemer til op-
retholdelsen af disse væsentlige tjenester, vil ikke være om-
fattet.
Det vurderes at være hensigtsmæssigt, at en regulering af it-
beredskabsområdet anvender begreber og en systematik, der
er kendt fra det almene beredskabsarbejde efter § 85 b i lov
om elforsyning og § 15 a i lov om naturgasforsyning.
En regulering af it-beredskabet må indebære, at der stilles
krav til beskyttelse af it-systemer, der er væsentlige for leve-
ringen af hhv. el og naturgas til forbrugerene. Det må endvi-
dere bero på de enkelte virksomheders egne vurderinger af,
hvilke konkrete it-systemer der anses for forsyningskritiske i
den lokale kontekst. Ved vurderingen af hvad der findes at
være en væsentlig tjeneste må de enkelte virksomheder for-
ventes at tillægge følgende faktorer vægt:
1. It-systemets betydning for forsyning af el- og naturgas
fra produktion til forbrug.
2. It-systemets betydning for virksomhedens drift, herun-
der betydning for virksomhedens mulighed for at udfø-
re sine opgaver i forsyningen og markedet samt betyd-
ningen for virksomhedens økonomiske drift.
3. It-systemets betydning for driften af andre virksomhe-
der, der enten er direkte forbrugere eller blot viderefor-
midlere af den leverede ydelse, tjeneste eller produkt.
Herunder betydning for andre virksomheders mulighed
for at udføre deres opgaver i forsyningen og markedet
samt betydningen for disse virksomheders økonomiske
drift.
Den kommercielle udvikling af el-forsyningssystemet afledt
af digitaliseringen har medført et marked for balancerings-
ydelser, hvor balanceansvarlige virksomheder gennem it-sy-
stemer varetager styring af flere mindre produktions- og for-
brugsanlæg. Balancering af forbrug og produktion af el er
væsentligt for at drive el-systemet og et effektivt elmarked.
5
Balanceringsydelser er markedsbestemte ydelser, hvori en
virksomhed udøver fysisk kontrol af et eller flere produkti-
ons- eller forbrugsanlæg. Hyppige informationer sikrer, at
markedet effektivt kan forbinde udbud, efterspørgsel og
pris, mens moderne styringsteknologi muliggør en løbende
balancering af produktion og forbrug under markedsvilkår.
Denne kontrol styres af avancerede it-systemer, der derved
er en forudsætning for, at elsystemet effektivt kan udnytte
variabel energiproduktion fra vedvarende energikilder som
solceller og vindmøller. Balanceansvarlige virksomheders
it-systemer udgør således i stigende grad en sårbarhed for
driften af elsystemet, da konsekvenserne ved nedbrud stiger
og samtidig øges kompleksiteten af styringssystemerne.
Virksomheder, der udbyder balanceringsydelser er ikke un-
derlagt krav om beredskab efter § 85 b i lov om elforsyning
til trods for, at disse virksomheder har kontrol over fysisk
infrastruktur.
Ved balanceansvarlige virksomheder forstås alene virksom-
heder med kontrol over elementer i elsystemet med det for-
mål at balancere elsystemet efter aftale med Energinet.dk,
der som systemansvarlig virksomhed erhverver balancer-
ingsydelser.
Virksomheder, der varetager opgaver på vegne af virksom-
heder omfattet af § 85 b i lov om elforsyning eller § 15 a i
lov om naturgasforsyning, og som i den forbindelse har kon-
trol over elementer i el- eller naturgassystemet på vegne af
en virksomhed omfattet af denne lovbestemmelse, betragtes
som tredjeparter eller leverandører. Disse virksomheder an-
ses således ikke for omfattet af de nævnte lovbestemmelser.
Det beredskabsarbejde, der er forbundet med de risici og
sårbarheder anvendelse af ydelser fra denne type tredjepar-
ter medfører, må derfor påhvile de produktions-, balance- el-
ler forsyningsvirksomheder, der har indgået kontrakter med
disse tredjeparter.
En regulering af it-beredskabet bør hvile på den forudsæt-
ning, at virksomhederne anses for kompetente til at vurdere
sammenhænge mellem de teknologiske muligheder og de
kommercielle interesser. Det er dog væsentligt at sikre, at
der fastholdes en høj forsyningssikkerhed på trods af nye
teknologier og kommercielle muligheder. Der er derfor be-
hov for at stille krav til virksomhedernes it-beredskab, såle-
des at beskyttelsen af forsyningskritiske it-systemer indgår i
virksomhedernes beredskabsarbejde.
Virksomhedernes betydning for forsyning af el- og naturgas
varierer både efter antal tilsluttede forbrugere i netvirksom-
heder og mængde energi produceret. Samtidig må det anta-
ges at it-beredskabsarbejdet vil være forbundet med såvel
administrative som direkte omkostninger for både virksom-
hederne og myndighederne der udøver tilsyn. En regulering
af it-beredskabet bør derfor søge at begrænse ressourcefor-
bruget ved at inddele virksomhederne i tre kategorier efter,
hvor kritiske virksomhederne er for forsyningssystemer med
hertil hørende graduerede krav.
Tilsynet med virksomhederne indenfor det almene bered-
skab føres efter § 85 b, stk. 4, i lov om elforsyning og § 15
a, stk. 4, i lov om naturgasforsyning af Energinet.dk. Det
vurderes at være administrativt hensigtsmæssigt, at tilsyns-
myndigheden for det almene beredskab og it-beredskabet er
den samme af hensyn til den administrative synergi ved va-
retagelse af disse opgaver.
Samtidig vurderes den teknologiske og kommercielle udvik-
ling i el- og naturgassektorerne at kunne medføre behov for,
at opgaven som tilsynsmyndighed kan flyttes til anden rele-
vant myndighed. Det vil derfor være hensigtsmæssigt, at re-
guleringen af området giver energi-, forsynings- og klima-
ministeren mulighed for at fastsætte regler for varetagelse af
tilsynsopgaven afledt af § 85 b, stk. 4, i lov om elforsyning
og § 15 a, stk. 4, i lov om naturgasforsyning.
3.1.3. Den foreslåede ordning
Det vurderes nødvendigt, at balanceansvarlige virksomheder
i elsystemet og virksomhederne, der er omfattet af bered-
skabsbestemmelserne i § 85 b i lov om elforsyning og § 15 a
i lov om naturgasforsyning er omfattet af dette lovforslag,
da de er væsentlige for driften af det samlede forsyningssy-
stem.
Der etableres med lovforslaget en ordning, der bygger på de
samme principper, som reguleringen, og lovforslagets regler
om it-beredeskab indebærer derfor en ordning, hvorefter
virksomhederne vurderer egne sårbarheder og planlægger
beredskabstiltag. Efter ordningen forpligtes energi-, forsy-
nings- og klimaministeren til at udstede regler, der fastsætter
krav om, at virksomhederne pålægges at bidrage til de sam-
lede sektorers it-beredskabsarbejde og godtgør for egne til-
tag, it-beredskabsarbejdets gennemførelse samt tilsynet her-
med. Disse regler vil blive udarbejdet således, at reglerne in-
deholder en graduering af krav til virksomhederne efter de-
res betydning for den overordnede forsyning, hvorved der
tilsigtes proportionalitet mellem omkostninger og betydning
for den samlede forsyning.
3.2. Organisering af el- og naturgassektorernes beredskab
3.2.1 Gældende ret
Efter § 24 stk. 1, i beredskabsloven skal de enkelte ministre
hver inden for deres område planlægge for opretholdelse og
videreførelse af samfundets funktioner i tilfælde af større
ulykker og katastrofer, herunder udarbejde beredskabspla-
ner. Denne beredskabsplanlægning sker efter de
retningslinjer, der følger af forsvarsministeriets vejledning
til statslige myndigheder om beredskabsplanlægning, der
angiver en række principper for beredskabsplanlægning, der
sikrer sammenhæng mellem ansvar, kompetence og kapaci-
tet, herunder navnlig sektoransvarsprincippet og nærheds-
princippet. Efter sektoransvarsprincippet bevarer den myn-
dighed, der har ansvaret for en opgave til daglig, ansvaret
for opgaven under en større ulykke eller katastrofe. Dette in-
debærer, at den sektoransvarlige myndighed skal koordinere
6
med andre myndigheder. Efter nærhedsprincippet bør bered-
skabsopgaverne løses så tæt på borgerne som muligt og der-
med på det lavest egnede, relevante organisatoriske niveau. I
el- og naturgassektorerne indebærer princippet, at ansvaret
for den operative håndtering af en beredskabssituation og
planlægningen af en sådan placeres lokalt ved virksomhe-
derne, mens Energinet.dk sikrer den overordnede koordine-
ring i sektorerne af såvel den operative indsats som planlæg-
ningen.
Den nuværende lovgivning for beredskabsplanlægning i el-
og naturgassektorerne omfatter imidlertid ikke cyber- og in-
formationssikkerhed specifikt.
3.2.2. Energi-, forsynings- og klimaministeriets overvejelser
Flere virksomheder i el- og naturgassektorerne har investe-
ret i tekniske og administrative tiltag, der skal fremme cy-
ber- og informationssikkerheden lokalt. En regulering af it-
beredskabet bør omfatte den lokale risikostyring og dennes
sammenhæng med den sektorielle risikostyring og derved
sikre, at virksomhederne kan benytte sig af allerede imple-
menterede investeringer og rutiner. Den lokale risikostyring
og omkostningsansvar skal fremme en omkostningseffektiv
anvendelse af ressourcer på baggrund af erkendte risici. Den
lokale risikostyring kræver imidlertid indsigt i egne syste-
mer og trusselsbilledet samt disses sammenhæng med og af-
hængighed af andre systemer. Det er derfor nødvendigt at
pålægge virksomhederne at etablere procedurer, der sikrer
indsigt i relevante trusler samt procedurer for håndtering af
akutte hændelser.
3.2.3. Den forslåede ordning
Med lovforslaget indføres en ordning, hvorefter energi-, for-
synings- og klimaministeren bemyndiges til at fastsætte reg-
ler, der kan pålægge virksomhederne at være tilmeldt en it-
sikkerhedstjeneste, der kan supplere meddelelser, der tilve-
jebringes gennem netværk med andre virksomheder.
Den forslåede ordning skal fremme en hensigtsmæssig og
effektiv håndtering af nedbrud i eller trusler mod forsy-
ningskritiske it-systemer. Dette opnås gennem en risikoba-
seret it-beredskabsplanlægning på såvel virksomhedsniveau
som sektorniveau. En afklaring af ansvar og mulighederne
for udveksling af informationer vil fremover kunne effekti-
visere den samordnede indsats. For at kunne håndtere de på-
viste risici effektivt anbefales en organiseringsmodel, der til-
stræber at anvende metoder kendt fra beredskabsarbejdet.
Modellen udnytter synergien med nuværende opgaver samt
fremmer integrationen af it-sikkerhed i virksomhedernes ri-
sikostyring.
Bemyndigelsen til at udstede regler skal sikre, at den lokale
risikostyring inddrager alle tænkelige forhold af relevans for
it-beredskabet. Det er derfor væsentligt at virksomhederne
løbende reviderer og vurderer, hvilke risici der er relevante
for den enkelte virksomhed, samt hvilke sårbarheder i egne
systemer, som bør håndteres. I denne sammenhæng kan en
virksomhed ikke fraskrive sig ansvaret for en sårbarhed eller
risiko, der er afledt af samarbejdet med en tredjepart eller le-
verandør. Disse risici og sårbarheder skal integreres i virk-
somhedens risikostyring.
Da der er forskel på virksomhedernes kritikalitet for den
samlede forsyning, fastsætter energi-, forsynings- og klima-
ministeren i medfør af lovforslaget regler, som forudsættes
at indeholde graduerede krav til denne it-sikkerhedstjeneste
samt interne procedurer.
Ved virksomhedens kritikalitet for den samlede forsyning
forstås virksomhedens kritiske betydning for forsyningen af
produktet til slutforbrugerene. Virksomhedernes forudsættes
opdelt efter, om de har kritisk betydning for den nationale
el- og naturgasforsyning, den regionale el- og naturgasforsy-
ning eller den lokale el- og naturgasforsyning.
Alle virksomheder forudsættes endvidere pålagt at være til-
knyttet en varslingstjeneste, der giver varsler om forestående
trusler eller erkendte fare. Virksomheder opdeles endvidere i
kategorier. Virksomheder i kategori 1 og kategori 2 vil end-
videre være pålagt at udarbejde aftale om mulighed for akut
bistand fra en it-sikkerhedstjeneste. Denne aftale forudsæt-
tes at indeholde vilkår om ydelse af bistand ved hændelser
samt vejledning og overvågning. Der er således to mulige it-
sikkerhedstjenester: den generelle, hvorigennem der alene
gives meldinger, og den udvidede, der indebærer ydelser om
konkret bistand.
Virksomheder kan drive it-systemer, der ikke anses for at
være et kritisk it-system for den enkelte virksomhed, men
som kan have indflydelse på driften af kritiske it-systemer
ved andre virksomheder. Bemyndigelsen forudsættes udnyt-
tet til at udstede regler om, at denne type systemer skal
håndteres efter den akkumulerede kritikalitet for de virk-
somheder, der anvender deres systemer. Disse it-systemer
kan have varieret kritikalitet for de enkelte virksomheder.
Denne type it-systemer skal beskyttes ud fra en vurdering af
deres samlede betydning for det samlede forsyningssystem.
Energi-, forsynings- og klimaministeren bemyndiges i den
forslåede ordning til at fastsætte nærmere kriterier for opde-
ling af virksomhederne efter deres kritikalitet.
3.3. Sanktioner og påbud
3.3.1. Gældende ret
Sanktioner og påbud vedr. elforsyning er reguleret i lov om
elforsyning kapitel 12 a og 13. Energi-, forsynings- og kli-
maministeren kan udstede påbud i henhold til § 85 d i lov
om elforsyning, hvorefter forhold der strider mod lovgivnin-
gen skal bringes i orden straks eller efter nærmere angivet
frist.
Det er ikke reguleret i lov om elforsyning, at energi-, forsy-
nings- og klimaministeren kan påbyde, at virksomheder, der
ikke opfylder et udstedt påbud i henhold til det foreslåede §
85 d i lov om elforsyning, for egne midler foretager en it-
revision af kritiske it-systemer ved en uafhængig revisor,
7
der er godkendt af tilsynsmyndigheden. Ligeledes er det hel-
ler ikke reguleret i gældende lovgivning, at energi-, forsy-
nings- og klimaministeren, kan påbyde virksomheder at gen-
nemføre tiltag på baggrund af it-revisionen eller på bag-
grund af tilsynet med virksomheden, der tilsikrer overhol-
delse af det foreslåede § 85 d, stk. 1, i dette lovforslag.
Der er mulighed for at iværksætte sanktioner såfremt en
virksomhed undlader at efterkomme et påbud udstedt i hen-
hold til lov om elforsyning. Der kan således pålægges bøde-
straf, hvis en virksomhed undlader at efterkomme et påbud,
jf. § 87, stk. 1, nr. 7, i lov om elforsyning.
Efter § 54 stk. 1, nr. 1, i lov om elforsyning kan bevilling
endvidere inddrages, hvis bestemmelser, vilkår eller påbud
efter lov om elforsyning eller lov om vedvarende energi el-
ler regler udstedt i medfør af disse love gentagene gange
overtrædes.
Sanktioner og påbud vedr. naturgasforsyning er reguleret i
lov om naturgasforsyning kapitel 9 a og 10. Der foreligger
således efter gældende ret mulighed for, at energi-, forsy-
nings- og klimaministeren udsteder påbud i henhold til § 47
b i lov om naturgasforsyning, hvorefter forhold der strider
mod lovgivningen skal bringes i orden straks eller efter nær-
mere angivet frist.
Det er ikke reguleret i lov om naturgasforsyning, at energi-,
forsynings- og klimaministeren kan påbyde, at virksomhe-
der, der ikke opfylder det udstedte påbud i henhold til gæl-
dende lovgivning, for egne midler foretager en it-revision af
kritiske systemer ved en uafhængig revisor, som er god-
kendt af tilsynsmyndigheden. Ligeledes er det heller ikke re-
guleret i gældende lovgivning, at energi-, forsynings- og kli-
maministeren kan påbyde virksomheder at gennemføre tiltag
på baggrund af it-revisionen eller tilsynet med virksomhe-
den, der tilsikrer overholdelse af det foreslåede § 85 c, stk.
1, og § 15 b, stk. 1, i dette lovforslag.
Efter gældende ret foreligger der mulighed for yderligere
sanktioner såfremt en virksomhed undlader at efterkomme
et påbud udstedt i henhold til lov om naturgasforsyning. Ef-
ter kapitel 10 i lov om naturgasforsyning kan pålægges dag-
lige eller ugentlige bøder, hvis en virksomhed rettidigt und-
lader at efterkomme et påbud. Ydermere er der mulighed
for, at virksomheden kan få inddraget sin bevilling efter lov
om naturgasforsyning § 33.
3.3.3. Energi-, forsynings- og klimaministeriets overvejelser
Den teknologiske udvikling har medført, at også it-systemer
inden for forsyningsområderne, el og naturgas, i stadigt sti-
gende omfang anvendes til styring af forsyningsvirksomhe-
derne. Dette indebærer også, at it-systemerne alt afhængig af
virksomhederne og deres forsyningssystemer kan være ken-
detegnet ved en større eller mindre grad af kompleksitet. At
opretholde et relevant it-beredskab vil forudsætte en kort-
lægning af en given virksomheds it-systemer med henblik
på at tilvejebringe de korrekte og tilstrækkelige oplysninger
om det eller de eksisterende it-systemer. Denne kortlægning
og indhentning af oplysninger vil således skulle udgøre
grundlaget for virksomhedernes egne beslutninger om at
indføre de nødvendige foranstaltninger til at opretholde et it-
beredskab og tilsynsmyndighedens kontrol med disse foran-
staltninger.
Der er i gældende ret ikke mulighed for, at energi-, forsy-
nings- og klimaministeren kan påbyde, at virksomheder, der
ikke opfylder det udstedte påbud i henhold til gældende lov-
givning, for egne midler foretager en it-revision af kritiske
it-systemer ved en uafhængig revisor, der er godkendt af til-
synsmyndigheden. Ligeledes er det heller ikke reguleret i
gældende lovgivning, at energi-, forsynings- og klimamini-
steren, kan påbyde virksomheder at gennemføre tiltag på
baggrund af it-revisionen, der tilsikrer overholdelse af det
foreslåede § 85 c, stk. 1, og § 15 b, stk. 1, i dette lovforslag.
Manglende overholdelse af lovforslagets foreslåede § 85 c,
stk. 1, og § 15 b, stk. 1, vurderes at kunne bringe elforsynin-
gen eller naturgasforsyningen i fare, hvorfor de gældende
regler om påbud og sanktion i lov om elforsyning og lov om
naturgasforsyning ikke er fundet tilstrækkelige.
Energi-, Forsynings- og Klimaministeriet finder det derfor
hensigtsmæssigt, at ministeren får mulighed for at pålægge
virksomhederne en egentlig it-revision, hvis en given virk-
somhed ikke som forudsat kan antages at have foretaget en
tilstrækkelig kortlægning af sine it-systemer.
3.3.4. Den forslåede ordning
Det foreslås, at der indføres en ordning, hvorefter energi-,
forsynings- og klimaministeren gives mulighed for at med-
dele påbud til virksomheder, der er meddelt påbud om at op-
retholde et nødvendigt it-beredskab, jf. det foreslåede § 85
d, i lov om elforsyning eller § 47 b, i lov om naturgasforsy-
ning, men som ikke har opfyldt påbuddet, om at virksomhe-
den for egne midler foretager en it-revision af kritiske it-sy-
stemer ved en uafhængig revisor, der er godkendt af tilsyns-
myndigheden.
Det foreslås endvidere, at energi-, forsynings- og klimamini-
steren kan påbyde den pågældende virksomhed at gennem-
føre de nødvendige tiltag på baggrund af it-revisionen og til-
synet i forbindelse hermed, således at kravet om at oprethol-
de et it-beredskab overholdes.
Med lovforslaget er det således hensigten, at energi-, forsy-
nings- og klimaministeren stadig kan anvende de eksisteren-
de sanktionsmuligheder efter lov om elforsyning og lov om
naturgasforsyning ved manglende opfyldelse af påbuddet
udstedt i henhold til gældende lovgivning efter lov om elfor-
syning eller lov om naturgasforsyning eller efter manglende
opfyldelse af de i medfør af lovforslaget hjemlede påbud.
Påbuds- og sanktionsmulighederne er tiltænkt at foregå i føl-
gende trin:
1. Energi-, forsynings- og klimaministeren kan i henhold til
det foreslåede § 85 b, i lov om elforsyning og § 47 b, i lov
8
om naturgasforsyning, påbyde, at forhold der strider mod
den forslåede bestemmelse i § 85 c, stk. 1 i lov om elforsy-
ning og den forslåede § 15 b, stk. 1 i lov om naturgasforsy-
ning bringes i orden straks eller inden nærmere angivet frist.
2. Ved manglende opfyldelse af et sådant påbud, foreslås
det, at energi-, forsynings- og klimaministeren får mulighed
efter det foreslåede § 85 c, stk. 2 i lov om elforsyning eller §
15 b, stk. 2 i lov om naturgasforsyning at påbyde den pågæl-
dende virksomhed at foretage en it-revision af kritiske syste-
mer ved en uafhængig revisor afholdt for egne midler.
I de foreslåede bestemmelser i § 85 c, stk. 5, nr. 6, og i § 15
b, stk. 5, nr. 6, i lov om naturgasforsyning, er det angivet, at
energi-, forsynings- og klimaministeren fastsætter regler om
krav til indholdet af it-revisionen, herunder at it-revisionen
kan indeholde anbefalinger til en række konkrete tiltag, som
skønnes nødvendige for, at den pågældende virksomhed
overholder kravet om at opretholde et it- beredskab.
3. Undlader den pågældende virksomhed, at efterkomme de
tiltag, der følger af it-revisionens anbefalinger, følger det af
de foreslåede bestemmelser til § 85 c, stk. 3, og lov om na-
turgasforsyning § 15 b, stk. 3, at energi-, forsynings- og kli-
maministeren kan påbyde den pågældende virksomhed at
gennemføre de tiltag i it-revisionens rapport eller tiltag, som
tilsynsmyndigheden skønner nødvendige for at overholde
kravet om at opretholde et it-beredskab.
4. Opfylder den pågældende virksomhed ikke påbuddet efter
lovforslagets stk. 3, og dermed ikke efterkommer de tiltag,
der følger af it-revisionens anbefalinger eller tiltag, som til-
synsmyndigheden skønner nødvendige for at overholde kra-
vet om at opretholde et it-beredskab, kan energi-, forsy-
nings- og klimaministeren anvende de sanktionsmuligheder,
der følger af gældende ret for sanktioner i elforsyningslo-
ven, herunder kapitel 13 og naturgasforsyningsloven herun-
der kapitel 10 samt inddrage virksomhedens bevilling, jf. §
54 i lov om elforsyning og § 33 i lov om naturgasforsyning.
Det tilsigtes ikke med lovforslaget at ændre strafferammen.
Betingelserne for at inddrage virksomhedens bevilling for-
udsættes at ske i overensstemmelse med gældende praksis.
3.4. Fastsættelse af nærmere regler for it-beredskabet
3.4.1. Gældende ret
I henhold til § 85 b, stk. 3, i lov om elforsyning og § 15 a,
stk. 3, i lov om naturgasforsyning, kan energi-, forsynings-
og klimaministeren fastsætte regler for beredskabsarbejdet
for virksomhederne, som er omfattet af lov om elforsyning
og lov om naturgasforsyning.
3.4.2. Energi-, forsyning- og klimaministeriets overvejelser
Udviklingen inden for såvel de teknologiske, juridiske og
forretningsmæssige rammer har hidtil medført en udvikling
af it-systemers anvendelse og kritikalitet i energisektoren.
Udviklingen sker samtidig med, at truslerne mod virksom-
hedernes it-systemer ligeledes udvikles teknologisk og me-
todisk. Rammerne og truslernes udvikling medfører tilsam-
men et behov for en konstant udvikling af virksomhedernes
it-beredskab. Der er derved behov for at kunne tilpasse kra-
vene til den lokale risikostyring herunder krav til organise-
ringen af it-beredskabet, it-beredskabsplaner, sårbarhedsvur-
deringer og adgang til it-sikkerhedsvarsler.
Det vurderes hensigtsmæssigt at energi-, forsynings- og kli-
maministeren i lighed med de almindelige regler for bered-
skabsarbejdet bemyndiges til at fastsætte nærmere regler for
området for it-beredskabet, der hidtil ikke har været speci-
fikt reguleret.
3.4.3. Den foreslåede ordning
Den foreslåede ordning indebærer, at energi- forsynings- og
klimaministeren bemyndiges til at fastsætte nærmere regler
for virksomhedernes it-beredskab. Den foreslåede bemyndi-
gelse har til formål at sikre, at ministeren kan fastsætte mere
detaljerede regler for virksomhedernes it-beredskabsarbejde.
En bemyndigelse skal samtidig sikre, at energi-, forsynings-
og klimaministeren inden for it-området, der er under udvik-
ling, kan fastsætte tidssvarende detaljerede regler om virk-
somhedernes it-forhold, herunder regler om virksomheder-
nes it-beredskab, it-beredskabsplanlægning, it-risikostyring
og adgang til it-sikkerhedsvarsler.
Ved at bemyndige energi-, forsynings- og klimaministeren
til at fastsætte sådanne regler, vil nye trusler kunne imøde-
gås og relevante tidssvarende nye rammer for it-beredskabs-
arbejdet kunne indarbejdes i kravene til virksomhedernes it-
beredskabsarbejde hurtigere, hvis reglerne udstedes i be-
kendtgørelsesform, end hvis de fastsættes ved lov.
Den beskrevne udvikling af it-sikkerhedsområdet, medfører
ligeledes udvikling i vilkårene for den centrale risikostyring
af sektorens it-beredskab, hvor Energinet.dk som koordine-
rende overordnet virksomhed forestår det centrale it-bered-
skabsarbejde og koordination i operative it-beredskabssitua-
tioner. For at kunne sikre tidssvarende regler for det centrale
it-beredskabsarbejde under hensyntagen til udviklingen, be-
myndiges energi- forsynings- og klimaministeren ligeledes
til at kunne fastsætte regler for Energinet.dk’s varetagelse af
den overordnede koordinerende planlægningsmæssige og
operative opgave i relation til it-beredskabet.
3.5. Tilsyn
3.5.1. Gældende ret
På elforsyningsområdet er tilsynsarbejdet med det almene
beredskab fastsat i § 85 b, stk. 4, i lov om elforsyning, hvor-
efter energi-, forsynings- og klimaministeren kan fastsætte
regler om udførelse af tilsyn med beredskabsarbejdet. Denne
bemyndigelse er blevet udnyttet ved bekendtgørelse nr.
1024 af 21. august 2007 om beredskab for elsektoren, hvor-
af der fastsættes nærmere regler for tilsynet.
9
Ved denne bekendtgørelse bestemmes det, at Energinet.dk
udfører tilsyn med de bevillingspligtige virksomheders be-
redskabsarbejde, og at Energistyrelsen fører tilsyn med
Energinet.dk’s beredskabsarbejde.
På naturgasforsyningsområdet er tilsynsarbejdet med det al-
mene beredskab fastsat i § 15 a, stk. 4, i lov om naturgasfor-
syning, hvorefter energi-, forsynings- og klimaministeren
kan fastsætte regler om udførelse af tilsyn med beredskabs-
arbejdet. Denne bemyndigelse er blevet udnyttet ved be-
kendtgørelse nr. 1025 af 21. august 2007 om beredskab for
naturgassektoren, hvoraf der fastsættes nærmere regler for
tilsynet.
Ved denne bekendtgørelse bestemmes det, at Energinet.dk
udfører tilsyn med de bevillingspligtige virksomheders be-
redskabsarbejde og at Energistyrelsen fører tilsyn med Ener-
ginet.dk’s beredskabsarbejde.
De gældende regler vedr. tilsyn i lov om elforsyning og lov
om naturgasforsyning omfatter alene det almene beredskab
og ikke specifikt virksomhedernes og Energinet.dk’s it-be-
redskab, hvorfor gældende ret i henhold til lov om elforsy-
ning og lov om naturgasforsyning ikke er fundet tilstrække-
lig til at omfatte tilsyn med it-beredskab.
3.5.2 Energi-, forsynings- og klimaministeriets overvejelser
Det vurderes hensigtsmæssigt, at tilsynsmyndigheden for
det almene beredskab og it-beredskabet er den samme, af
hensyn til synergi mellem disse opgaver. Samtidig vurderes
den teknologiske og kommercielle udvikling i el- og natur-
gassektorerne at kunne medføre behov for, at opgaven som
tilsynsmyndighed kan flyttes til anden relevant myndighed.
Det er derfor hensigtsmæssigt, at give energi-, forsynings-
og klimaministeren mulighed for at fastsætte regler for vare-
tagelse af tilsynsopgaven i medfør af § 85 b, stk. 4 i lov om
elforsyning og § 15 a, stk. 4 i lov om naturgasforsyning
samt de foreslåede bestemmelser til § 85 c, stk. 5 i lov om
elforsyning og § 15 b, stk. 5 i lov om naturgasforsyning i
dette lovforslag.
3.5.3. Den forslåede ordning
Det foreslås, at der indføres en ordning, hvorefter energi-,
forsynings- og klimaministeren fastsætter regler vedr. tilsy-
net med virksomhedernes og Energinet.dk’s it-beredskabsar-
bejde, herunder tilsynet med virksomhedernes risikostyring,
it-beredskabsplaner, sårbarhedsvurderinger og adgang til it-
sikkerhedsvarsler.
Det forudsættes ved bemyndigelsens udmøntning, at regle-
rne giver mulighed for at tilrettelægge tilsynet med virksom-
hederne, så det tilpasses til de enkelte virksomheders kriti-
kalitet for den samlede el- eller naturgasforsyning. Det for-
ventes, at ministeren vil udstede regler om, at tilsynet med
virksomhederne indebærer såvel tilsynsmøder, løbende un-
derretninger og skriftlig kommunikation om ændringer af
beredskabsplaner samt risiko- og sårbarhedsvurderinger.
Frekvensen af tilsynet afhænger af en kategorisering af virk-
somhederne som beskrevet i punkt 3.2.3. vedr. organisering
af beredskabet.
Reglerne forudsættes tillige at tage højde for, at tilsynet med
virksomhedernes beredskabsarbejde forudsætter fremskaf-
felse af oplysninger fra virksomhederne, bl.a. risiko- og sår-
barhedsvurderinger samt beredskabsplaner, procedurer
m.m., som er udarbejdet på grundlag af disse risiko- og sår-
barhedsvurderinger. Vurdering af dette materiale forudsæt-
ter faglig viden om driftsforholdene i de forskellige former
for virksomhed inden for elsektoren. Det forudsættes såle-
des, at der fastsættes regler om, at tilsynsmyndigheden skal
have adgang til oplysninger om aktuelle og historiske drifts-
forhold ved Energinet.dk’s kontrolcenter for at kunne foreta-
ge tilsyn, og at tilsynsmyndigheden i sit virke skal lægge
vægt på sammenhængen mellem virksomhedernes vurderin-
ger, beredskabsplaner, øvelser og evalueringer, da det for-
ventes at virksomhederne, kan dokumentere en løbende ud-
vikling og læring i it-beredskabsarbejdet.
Ved at give energi-, forsynings- og klimaministeren bemyn-
digelse til at fastsætte regler om tilsynsforhold i relation til
it-beredskabsarbejdet i el- og naturgassektorerne, sikres der
er mulighed for at følge den teknologiske, juridiske og for-
retningsmæssig udvikling i sektorerne som beskrevet i punkt
3.4. Tilsynsforholdet anses i denne sammenhæng for rele-
vant at kunne ændre i lighed med forhold nævnt i punkt 3.4.
Ved at fastsætte regler om at tilsynsopgaven varetages af
Energinet.dk opnås en sammenhæng med det tilsynsarbejde
Energinet.dk udfører med virksomhedernes beredskabsar-
bejde efter § 85 b i lov om elforsyning og § 15 a i lov om
naturgasforsyning. Denne kompetencefordeling af tilsynsop-
gaverne kræver, at Energinet.dk’s tilsynsvirksomhed adskil-
les fra Energinet.dk’s overordnede koordinerende opgaver.
Disse overordnede, koordinerende opgaver forudsætter lige-
ledes et kendskab til de enkelte virksomheders it-beredskab,
dettes omfang og kvalitet samt det indbyrdes samspil mel-
lem de forskellige virksomheders beredskab. Såfremt Ener-
ginet.dk varetager opgaven som tilsynsmyndighed, og der-
ved varetager både de overordnede koordinerende bered-
skabsopgaver efter § 85 b, stk. 2, i lov om elforsyning, og §
15 a, stk. 2, i lov om naturgasforsyning samt tilsynsopgaver
efter dette lovforslag, skal Energinet.dk tilsikre, at virksom-
hederne oplyses om, hvilke informationer der anvendes i til-
synsøjemed. Ved fastsættelse af regler om tilsyn vil energi-,
forsyning- og klimaministeren i denne situation kunne på-
lægges at føre tilsyn med Energinet.dk’s tilsynsvirke overfor
virksomhedernes it-beredskabsarbejde. Energistyrelsen vil
efter de udstedte regler endvidere kunne pålægges at føre til-
syn med Energinet.dk’s arbejde med at sikre beskyttelse af
egne it-systemer og varetagelse af de overordnede koordine-
rende opgaver i beredskabssituationer.
Såfremt reglerne fastsætter, at om Energistyrelsen eller ved
en anden kompetent myndighed varetager tilsynsopgaven
opnås en klar adskillelse af den overordnede koordinerende
opgave, der fortsat vil være placeret ved Energinet.dk. Den-
ne opgavefordeling vil imidlertid ikke kunne udnytte den sy-
10
nergi, der er mellem varetagelse af tilsynsopgaverne og den
koordinerende opgave. Der vil derfor være behov for at til-
sikre, at tilsynsmyndigheden bibringes det konkrete faglige
indsigt gennem et samarbejde med Energinet.dk samt gen-
nem en formel tilsynsdialog med såvel Energinet.dk som
med virksomhederne. Der vil i en sådan situation imidlertid
være en synergi mellem det tilsyn tilsynsmyndigheden fører
med Energinet.dk og virksomhederne.
Energi-, forsynings- og klimaministeren forudsættes ved ud-
stedelse af regler om tilsynet i forhold til kompetencespørgs-
målet at inddrage følgende forhold:
1. Energistyrelsens tilsyn med Energinet.dk, herunder
Energistyrelsens mulighed for at føre tilsyn med Ener-
ginet.dk’s evt. tilsynsførelse over for virksomhederne.
2. Virksomhedernes samarbejde med Energinet.dk i såvel
beredskabssituationer som i forbindelse med planlæg-
ning af beredskabsarbejdet.
3. Energinet.dk’s interne it-beredskabsarbejde.
4. Sammenhæng og synergi med andre opgaver inden for
Energistyrelsens, Energinet.dk’s og andre myndighe-
ders beredskab.
Ved vurderingen af de enkelte forhold inddrages tillige hen-
synet til de kendte truslers karakter, de økonomiske rammer
for Energinet.dk, Energinet.dk’s handler med balancevirk-
somheder, udviklingen af markedet for it-serviceydelser og
sektorernes øvrige regulering.
3.6. Gebyr for tilladelser til Energinet.dk
3.6.1. Gældende ret
Det følger af § 51 a, nr. 2, i lov om elforsyning, at energi-,
forsynings- og klimaministeren kan fastsætte regler om be-
taling til dækning af omkostningerne ved behandling af an-
søgning om tilladelse, herunder tilladelser, der er nævnt i §
11, stk. 1, § 12 a, stk. 1, § 21, stk. 1, § 22 a, stk. 1, § 23, stk.
1, og § 37 a, stk. 1.
Det fremgår af bemærkningerne til bestemmelsen, at listen
over tilladelser, som der kan kræves gebyr for, ikke er ud-
tømmende.
Henvisningen til § 22 a, stk. 1, i bestemmelsen præciserer, at
der skal betales gebyr for tilladelser til etablering af elforsy-
ningsnet på søterritoriet og i den eksklusive økonomiske zo-
ne, når nettet opføres af en anden virksomhed end Energi-
net.dk
3.6.2 Energi-, forsynings- og klimaministeriets overvejelser
Det vurderes, at det ikke har været lovgivers hensigt, at der
for tilladelser til etablering af elforsyningsnet på søterritoriet
skal kunne opkræves gebyr fra andre virksomheder, men alt-
så ikke fra Energinet.dk. Ud fra ordlyden af § 51 a, kan man
dog få det indtryk, at dette er retstilstanden. Det foreslås der-
for, at det præciseres i bestemmelsen, at der kan opkræves
gebyrer fra Energinet.dk, ligesom der kan opkræves gebyrer
fra andre virksomheder for tilladelser til etablering af elfor-
syningsnet på søterritoriet
3.6.3. Den foreslåede ordning
Den foreslåede ændring indebærer, at det præciseres i § 51
a, nr. 2, at energi-, forsynings- og klimaministeren kan fast-
sætte regler om betaling til dækning af omkostningerne ved
behandling af ansøgning om tilladelse, herunder tilladelser
efter § 4 a i lov om Energinet.dk til etablering af samt væ-
sentlige ændringer i elforsyningsnet på søterritoriet eller i
den eksklusive økonomiske zone.
3.7. Indtægtsrammeforhøjelser for netvirksomheder
3.7.1. Gældende ret
Den økonomiske regulering af netvirksomheder fremgår af
kapitel 10 i lov om elforsyning. Det fremgår af § 70, at net-
virksomhederne er underlagt en indtægtsrammeregulering,
som dels er reguleret i loven, dels er reguleret ved bekendt-
gørelser. Det fremgår således af § 70, stk. 2, 1. pkt., i lov om
elforsyning, at energi-, forsynings- og klimaministeren fast-
sætter regler om indtægtsrammerne. Det fremgår endvidere
af § 70, stk. 2, 2. pkt., at det som led i denne regulering sik-
res, at tarifferne i faste priser regnet som et gennemsnit ikke
stiger i forhold til tarifferne pr. 1. januar 2004, idet kapital,
der finansierer nødvendige nyinvesteringer, dog fortsat skal
kunne forrentes og afskrives.
Elforsyningsloven indeholder en række bestemmelser, som
muliggør forhøjelse af indtægtsrammerne. Det fremgår ek-
sempelvis af § 70, stk. 8, 1. pkt., i lov om elforsyning, at
Energitilsynet kan forhøje virksomhedens indtægtsramme
med et beløb, der kompenserer for eventuelle afholdte om-
kostninger ved pålæg fra myndigheder eller Energinet.dk,
der indebærer en væsentlig fremskyndelse af vedligeholdel-
sesarbejder, udskiftninger eller tekniske tilpasninger af eksi-
sterende anlæg. Det fremgår endvidere af § 70, stk. 8, 2.
pkt., i lov om elforsyning, at Energitilsynet kan forhøje ind-
tægtsrammen med et beløb, der kompenserer for væsentlige
meromkostninger som følge af pålæg fra myndigheder, som
ligger ud over forpligtelsen til at drive nettene, jf. § 20, stk.
1, i lov om elforsyning, og som ikke er omfattet af § 70, stk.
4, i lov om elforsyning. § 70, stk. 4, vedrører forhøjelser af
indtægtsrammen som følge af nødvendige nyinvesteringer.
3.7.2. Energi-, forsynings- og klimaministeriets overvejelser
Det er fundet nødvendigt at sikre et klart retsgrundlag for
forøgelse af netvirksomhedernes indtægtsrammer. Denne
overvejelse begrundes med, at Energiklagenævnet har truf-
fet tre afgørelser om forståelsen af myndighedspålæg i § 70,
stk. 8. Der kan henvises til Energiklagenævnets afgørelse af
12. maj 2014 om afslag på forhøjelse af indtægtsramme
(J.nr. 1011-13-93-17), afgørelse af 28. oktober 2015 om af-
slag på forhøjelse af indtægtsramme (J.nr. 1011-14-166-36)
og afgørelse af 29. juni 2016 om afslag på indtægtsramme-
forhøjelse – omkostninger vedr. etablering af Cityring (me-
tro) (J.nr. 2011-15-44-16). Det fremgår af Energiklagenæv-
11
nets seneste afgørelse af 29. juni 2016, hvor der henvises til
de to tidligere afgørelser, at der »ved myndighedspålæg – el-
ler pålæg fra Energinet.dk – menes individuelle pålæg i
form af konkrete forvaltningsafgørelser og ikke generelle
retsakter i form af f.eks. lovregulering, som i den omhandle-
de sag.«
Det er hensigten med denne lovændring at netvirksomheder-
ne kan fåforøget deres indtægtsramme alene for dokumente-
rede meromkostninger forbundet med krav om tilmelding til
en it-sikkerhedstjeneste. I lyset af ovenstående administrati-
ve praksis findes det hensigtsmæssigt at sikre et klart rets-
grundlag i denne sammenhæng.
3.7.3. Den foreslåede ordning
Det er hensigten med dette lovforslag om it-beredskab, at
der skal være mulighed for forhøjelse af indtægtsrammen
som følge af kravet om, at netvirksomhederne skal være til-
meldt en it-sikkerhedstjeneste, som energi-, forsynings- og
klimaministeren får hjemmel til at fastsætte ved bekendtgø-
relse.
Det er ikke tilsigtet, at der skal udarbejdes individuelle på-
læg i form af konkrete afgørelser. Det vurderes derfor hen-
sigtsmæssigt, at der sikres et klarere retsgrundlag for at kun-
ne forhøje indtægtsrammen i forbindelse med de foreslåede
regler om it-beredskab.
På den baggrund foreslås, at der indsættes en særskilt hjem-
mel i lov om elforsyning, hvorefter energi-, forsynings- og
klimaministeren kan fastsætte regler om, at Energitilsynet
kan forhøje en virksomheds indtægtsramme som følge af
dokumenterede meromkostninger, som følger af krav om til-
melding til en it-sikkerhedstjeneste.
For at der ikke skabes uklarhed om retstilstanden i forhold
til allerede fastsatte regler med hjemmel i § 70, stk. 2, i lov
om elforsyning foreslås, at den nye hjemmel også kommer
til at omfatte regler om forhøjelse af indtægtsrammen i for-
hold til meromkostninger, som udspringer af krav om ud-
skiftning og opgradering af elmålere til fjernaflæste målere,
ved fremskyndelse af investeringer i fjernaflæste elmålere
og indsendelse af timemålte forbrugsdata til datahubben,
hvor disse krav er fastsat i henhold til regler fastsat af ener-
gi-, forsynings- og klimaministeren i medfør af § 20, stk. 2,
og § 22, stk. 4, i lov om elforsyning, og som følge af krav
om sikring af realisering af dokumenterbare energibesparel-
ser i overensstemmelse med regler fastsat i medfør af § 22,
stk. 4, jf. § 22, stk. 1, nr. 5.
4. Økonomiske og administrative konsekvenser for det of-
fentlige
Der forventes økonomiske og administrative konsekvenser
for det offentlige i forbindelse med gennemførelse af tilsyn
med virksomhederne og Energinet.dk’s efterlevelse af regler
i medfør af dette lovforslag.. Tilsynet forventes gebyrfinan-
sieret jf. elforsyningsloven § 51, stk. 2 og naturgasforsy-
ningsloven § 30, stk. 2. Energistyrelsens tilsynsopgaver over
for Energinet.dk forventes afholdt inden for 500 arbejdsti-
mer årligt, a 927 kr. pr. arbejdstime i 2016. Dette medfører
en samlet omkostning på ca. 463.500 kr. årligt. Af hensyn til
områdets tekniske karakter forventes der endvidere anvendt
ekstern konsulentbistand til kvalitetssikring af tilsynsarbej-
det i ca. 50 timer årligt anslået til 1.250 kr. pr. arbejdstime, i
alt ca. 62.500 kr. årligt. Der forventes således en samlet om-
kostning forbundet med Energistyrelsens tilsyn med Energi-
net.dk på i alt ca. 526.000 kr. årligt.
For Energistyrelse vil det skønsmæssigt tage ca. 600 ar-
bejdstimer årligt til opgaven med udstedelse af tilladelser ef-
ter § 4 a i lov om Energinet.dk. Satsen for gebyropkrævning
er 927 kr. pr. arbejdstime i 2016. Det medfører en samlet
omkostning på ca. 556.200 kr. årligt, som Energinet.dk vil
skulle betale til Energistyrelsen. Da beløbet forudsættes op-
krævet som en del af den samlede gebyrbetaling og også har
været opkrævet i tidligere praksis, indebærer forslaget hver-
ken administrative eller økonomiske konsekvenser for sta-
ten.
Der er ingen økonomiske og administrative konsekvenser
for regioner og kommuner.
5. Økonomiske og administrative konsekvenser for erhvervs-
livet mv.
Forslaget forventes at medføre en samlet omkostning for el-
og naturgasvirksomhederne og Energinet.dk på ca. 38,3
mio. kr. årligt fordelt på direkte løbende efterlevelsesom-
kostninger på ca. 24,5 mio. kr., øget gebyropkrævning fra
Energinet.dk på ca. 0,5 mio. kr. (beskrevet i punkt 4) samt
løbende administrative efterlevelsesomkostninger på ca.
13,3 mio. kr. foruden en administrativ omstillingsomkost-
ning i 2017 på ca. 10,5 mio. kr.,
Energinet.dk forventes at afholde ca. 2,7 mio. kr. af de lø-
bende administrative omkostninger og ca. 2,0 mio. kr. af de
administrative omstillingsomkostninger.
Af hensyn til at sikre proportionalitet mellem virksomheder-
nes administrative ressourceforbrug i medfør af dette lovfor-
slag og de enkelte virksomheders kritikalitet for forsyningen
af el og naturgas opdeles virksomhederne i tre kategorier.
Disse tre kategorier påfører virksomhederne
differentierede administrative omkostninger. Virksomheder-
ne kategoriseres efter bestemmelser fra energi- forsynings-
og klimaministeren som beskrevet i punkt 3.2.
I lovforslaget foreslås, at netvirksomheder får mulighed for
at forhøje indtægtsrammen, hvilket ville kunne forøge prisen
på el for alle elforbrugere, herunder virksomheder.
5.1 Løbende efterlevelsesomkostninger
Det forventes, at virksomhederne og Energinet.dk tilsam-
men pålægges øvrige efterlevelsesomkostninger som følge
af denne lovændring på ca. 24,5 mio. kr. Denne omkostning
skyldes hovedsageligt, at virksomhederne i el- og naturgas-
12
sektorerne pålægges at være tilknyttet en kompetent it-sik-
kerhedstjeneste. Alle virksomheder vil være pålagt at være
tilknyttet en varslingstjeneste, der giver varsler om forestå-
ende trusler eller erkendte farer. Virksomheder i kategori 1
og kategori 2 vil endvidere være pålagt at udarbejde aftale
om mulighed for akut bistand fra en it-sikkerhedstjeneste.
Denne aftale vil indebære bistand ved hændelser samt vej-
ledning og overvågning. Der er således to mulige it-sikker-
hedstjenester i det generelle, der alene giver meldinger og
den udvidede, der giver konkret bistand.
It-sikkerhedstjenesten forventes varetaget af private virk-
somheder gennem kontrakter med de enkelte el- og naturga-
svirksomheder, dog er det muligt for de enkelte virksomhe-
der at varetage denne funktion selv. Det kræver dog særlige
it-kompetencer. Det er muligt for virksomhederne at indgå
et samlet udbud, hvorved de samlede omkostninger forven-
tes mindsket. På baggrund af en markedsundersøgelse skøn-
nes det, at omkostningerne til en it-sikkerhedstjeneste vil be-
løbe sig til ca. 23 mio. kr. årligt.
Foruden disse omkostninger pålægges Energinet.dk en ræk-
ke opgaver forbundet med at varetage de overordnede koor-
dinerende opgaver. Disse opgaver omfatter bl.a. en vagtord-
ning, der i synergi med nuværende organisation vil kunne
varetage en række opgaver forbundet med at koordinere og
vejlede ved akutte sikkerhedshændelser. Denne opgave om-
fatter også at tilsikre at it-sikkerhed inddrages i sektorbered-
skabsplanerne og ajourføre planerne i forhold til nye sårbar-
heder og trusler. Energinet.dk pålægges endvidere at bidrage
til udarbejdelsen af sektorspecifikke trusselsvurderinger i
samarbejde med Center for Cybersikkerhed. Dertil kommer
den omfattende opgave med at føre tilsyn med og vejlede
virksomheder i deres beredskabsplanlægning og risiko- og
sårbarhedsvurderinger, der ved lovforslagets ikrafttræden
pålægges Energinet.dk
De samlede øvrige løbende efterlevelsesomkostninger belø-
ber sig således til 24,5 mio. kr., hvoraf Energinet.dk forven-
tes pålagt en omkostning på ca. 1,5 mio. kr.
5.2 Administrative efterlevelsesomkostninger
Der forventes en række administrative omkostninger ved de
enkelte virksomheder i forbindelse med pålagte opgaver
med løbende risikovurdering og revision af leverandørafta-
ler, deltagelse i fora for vidensdeling samt rapportering af
sikkerhedshændelser og -øvelser i forsyningskritiske it-sy-
stemer. Disse administrative omkostninger afhænger i høj
grad af virksomhedernes nuværende processer for styring af
it-sikkerhed, samtidig kan de variere afhængigt af it-sikker-
hedshændelser, leverandørkontrakter og it-faglige kompe-
tencer ved medarbejderne. Der er gennemført en undersø-
gelse af disse omkostninger, der har vurderet, at de samlede
omkostninger skønnes at beløbe sig til ca. 13,3 mio. kr. år-
ligt.
5.3. Administrative omstillingsomkostninger
Det må forventes, at der er visse administrative omstillings-
omkostninger for erhvervslivet og Energinet.dk forbundet
med lovforslaget og bekendtgørelsen. De samlede omkost-
ninger er skønnet til ca. 10,5 mio. kr. Beløbets størrelse
skyldes de nye opgaver, der skal varetages af virksomheder-
ne, hvorfor der er omkostninger forbundet etablering af pro-
cedure og planmateriel samt uddannelse af medarbejdere.
Omkostningerne anses for begrænset af, at lovforslaget an-
vender metoder kendt fra beredskabsarbejdet, herunder risi-
ko- og sårbarhedsstyring, øvelsesaktivitet og beredskabs-
planlægning, hvilket muliggør at udnytte synergi med det al-
mene bredskabsarbejde i de enkelte virksomheder.
5.4. Forøgelse af indtægtsrammer ved netvirksomheder
Det er hensigten med dette lovforslag om it-beredskab, at
der skal være mulighed for forhøjelse af indtægtsrammen
som følge af kravet om, at netvirksomhederne skal være til-
meldt en it-sikkerhedstjeneste, som energi-, forsynings- og
klimaministeren får hjemmel til at fastsætte ved bekendtgø-
relse. Netvirksomhederne vil derved kunne få kompenseret
de løbende efterlevelsesomkostninger til en it-sikkerhedstje-
neste via en indtægtsrammeforøgelse. Dette vedrører alene
64 netvirksomheder, hvoraf ca. 12 forventes placeret i kate-
gori 1 og kategori 2. Samtidig er det alene omkostninger til
it-sikkerhedstjenesten, der kan dækkes, det vil sige de 23
mio. kr. behandlet i pkt. 5.1. Den samlede indtægtsramme-
forøgelse vil beløbe sig til ca. 10 mio. kr. årligt. Da hver
virksomhed i kategori 1 og kategori 2 forventes at have om-
kostninger på omkring 500.000 kr. årligt mens hver virk-
somhed i kategori 3 forventes at have omkostninger på om-
kring 80.000 kr. årligt.
5.5. Gebyrer
Eneginet.dk pålægges et gebyr til at afholde de omkostnin-
ger, som Energistyrelsen har som følge af tilsyn med Ener-
ginet.dk. Disse omkostninger forventes at beløbe sig til 500
arbejdstimer årligt a 927 kr. pr. time, og indebærer tilsyn
med Energinet.dk’s drift af egne it-systemer, samt tilsyn
med Energinet.dk’s tilsynsvirksomhed over for virksomhe-
derne i el- og naturgassektorerne. Grundet tilsynsarbejdets
it-faglige karakter forventes der behov for konsulentbistand
til faglige vurderinger for omkring 50 arbejdstimer årligt
1.250 kr. pr time. På denne baggrund forventes de samlede
gebyrer for tilsynet pålagt Energinet.dk at beløbe sig til ca.
526.000 kr.
Herudover vil der skønsmæssigt medgå ca. 600 arbejdstimer
årligt til opgaven med udstedelse af tilladelser efter § 4 a i
lov om Energinet.dk. Satsen for gebyropkrævning er 927 kr.
pr. arbejdstime i 2016. Det medfører en samlet omkostning
på ca. 556.200 kr. årligt, som Energinet.dk vil skulle betale
til Energistyrelsen. Da beløbet forudsættes opkrævet som en
del af den samlede gebyrbetaling og også har været opkræ-
vet i tidligere praksis, indebærer forslaget hverken admini-
strative eller økonomiske konsekvenser for Energinet.dk.
5.6 Økonomisk opsummering
13
På baggrund af overstående forventes de samlede udgifter
pålagt virksomhederne sammenlagt at beløbe sig til 33,6
mio. kr. Heraf er 10,6 mio. kr. administrative omkostninger,
mens 23,0 mio. kr. er øvrige efterlevelsesomkostninger.
Dertil kommer omkostninger for Energinet.dk der vurderes
sammenlagt at beløbe sig til 4,7 mio.kr årligt. Heraf er 2,7
mio. kr. administrative omkostninger, 1,5 mio. kr. øvrige ef-
terlevelsesomkostninger og 0,5 mio. kr. er gebyrer.
Der forventes derved en samlet økonomisk omkostning ved
lovforslaget på i alt 38,3 mio. kr. årligt.
6. Administrative konsekvenser for borgere
Der eringen administrative konsekvenser for borgerne afledt
af lovforslaget.
7. Miljømæssige konsekvenser
Der er ingen miljømæssige konsekvenser afledt af lovforsla-
get.
8. Forholdet til EU-retten
Med vedtagelsen af lovforslaget sikres det, at der ikke er
modstrid mellem elforsyningsloven og bestemmelserne i
forordningen, der har umiddelbar retsvirkning i national ret,
og at der er sanktioner i tilfælde af overtrædelse af forord-
ningerne.
9. Hørte myndigheder og organisationer mv.
Tre udkast til lovforslag har henholdsvis i perioderne fra den
22. august 2016 til den 19. september 2016, fra den 21. sep-
tember til den 28. september og fra den 7. oktober 2016 til
den 14. oktober 2016 været sendt i høring hos følgende
myndigheder og organisationer m.v.: Advokatsamfundet,
Affald Plus, Aluminium Danmark, Arbejderbevægelsens Er-
hvervsråd, Arbejdstilsynet, ARI, Brancheforeningen for
Biogas, Brancheforeningen for Decentral Kraftvarme, Bran-
cheforeningen for Husstandsvindmøller, Business Danmark,
Center for cybersikkerhed, CEPOS, Cevea, DAKOFA, Dan-
marks Naturfredningsforening, Danmarks Vindmøllefor-
ening, Dansk Affaldsforening, Dansk Byggeri, Dansk Ener-
gi, Dansk Erhverv, Dansk Fjernvarme, Dansk Gartneri,
Dansk Gasteknisk Center, Dansk Internet Forum (DIFO),
DANSK IT, Dansk Landbrugsrådgivning, Dansk Metal,
Dansk Solcelleforening, Dansk Told- og Skatteforbund,
Danske Advokater, Danske Erhvervsskoler og -Gymnasier,
Danske Halmleverandører, Danske Produktionsskolers Læ-
rerforening, Danske Underviserorganisationers Samråd,
Danske Universiteter, DANVA, Datatilsynet, Dansk Indu-
stri, DKCERT, Eksportrådet, EmballageIndustrien, Energi
Danmark, Energi- og Olieforum, Energiforum Danmark,
Energiklagenævnet, Energinet.dk, Energitilsynet, Erhvervs-
styrelsen, Finansforbundet, Finansrådet, Forbrugerrådet
Tænk, Foreningen af Danske Skatteankenævn, Foreningen
af Rådgivende Ingeniører, Foreningen Danske Kraftvarme-
værker, Foreningen Danske Olieberedskabslagre, Forenin-
gen Danske Revisorer, Foreningen for Danske Biogasanlæg,
Forstanderkredsen for Produktionsskoler, Frie Funktionærer,
FSE, FSR - danske revisorer, FTF, Fødevarestyrelsen,
Greenpeace Danmark, HK, HOFOR, Håndværksrådet, IT-
Branchen, IT-Politisk Forening, KL, Konkurrence- og For-
brugerstyrelsen, Kraka, Kystdirektoratet, Metalemballage-
gruppen, Mineralolie Brancheforeningen, Moderniserings-
styrelsen, Nasdaq OMX Copenhagen A/S, Nationalbanken,
Nationalt Center for Miljø og Energi, Natur- og Miljøkla-
genævnet, Nordisk Folkecenter for Vedvarende Energi,
Partnerskabet for brint og brændselsceller, Plastindustrien,
Produktionsskoleforeningen, PROSA, Realkreditforeningen,
Realkreditrådet, Rigspolitichefen, Rigspolitiets Cyber Crime
Center, Rådet for Digital Sikkerhed, Sammenslutningen af
Landbrugets Arbejdsgiverforeninger, Sammensluttede Dan-
ske Energiforbrugere, Samvirkende Energi- og Miljøkonto-
rer, SEGES, Serviceforbundet, Sikkerhedsstyrelsen, SRF
Skattefaglig Forening, Statens IT-projektråd, Telekommuni-
kationsindustrien (TI), Vedvarende Energi, VELTEK og
Vindmølleindustrien.
I forbindelse med høringen af ovenstående, har berørte virk-
somheder, såvel produktionsselskaber, netselskaber, balan-
ceansvarlige og interesseorganisationer været indbudt til et
dialogmøder ved Energistyrelsen. Ved disse møder er ind-
holdet af lovforslaget blevet drøftet.
10. Sammenfattende skema
Positive konsekvenser/mindreudgifter
(hvis ja, angiv omfang)
Negative konsekvenser/merudgifter (hvis ja,
angiv omfang)
Økonomiske konsekven-
ser for stat, kommuner
og regioner
Ingen Ingen
Administrative konse-
kvenser for stat, kom-
muner og regioner
Ingen Lovforslaget medfører en stigning i antallet af
tilsynssager for Energistyrelsen. Denne gebyr-
finansieres.
14
Økonomiske konsekven-
ser for erhvervslivet
Ingen Virksomhederne skal være tilmeldt en varsling-
stjeneste, der leverer varsler og leverer vejled-
ning af de virksomheder, der anses for kritiske
på national og regionalt niveau. Omkostninger-
ne til en sådan tjeneste afholdes ved virksom-
hederne. Energinet.dk pålægges endvidere en
række opgaver forbundet med den koordine-
rende funktion, heriblandt løbende kontakt til
myndighederne og virksomhederne. Energi-
net.dk pålægges endvidere et gebyr til finansie-
reng af Energistyrelsens tilsyn med Energi-
net.dk. Samlet set vurderes disse omkostninger
ikke at overstige 25,0 mio. kr. årligt.
Administrative konse-
kvenser for erhvervslivet
Ingen Virksomhederne skal varetage egen it-sikker-
hedsstyring samt bidrage til sektorernes samle-
de it-sikkerhed. Dette medfører, at virksomhe-
derne planlægger og risikovurderer løbende
samt udarbejder evalueringer og erfaringer på
baggrund af hændelse og øvelser. De samlede
administrative omkostninger forventes ikke at
overstige 13,3 mio. kr. årligt.
Miljømæssige konse-
kvenser
Ingen Ingen
Administrative konse-
kvenser for borgerne
Ingen Ingen
Forholdet til EU-retten Med vedtagelsen af lovforslaget sikres det, at der ikke er modstrid mellem elforsy-
ningsloven og bestemmelserne i forordningen, der har umiddelbar retsvirkning i nati-
onal ret, og at der er sanktioner i tilfælde af overtrædelse af forordningerne.
Overimplementering af
EU-retlige mini-mums-
forpligtelser (sæt X)
Ja Nej
X
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Til nr. 1
Den gældende § 51, stk. 2, indebærer, at der kan opkræves
gebyr for Energistyrelsens tilsyn med bevillingshavere samt
Energinet.dk og denne virksomheds helejede datterselska-
ber, herunder bl.a. for klagesagsbehandling.
Det foreslås, at § 51, stk. 2, ændres, således at der skabes
hjemmel til, at myndigheders tilsyn med it-beredskabsopga-
ver efter den foreslåede § 85 c, stk. 2, kan gebyrfinansieres.
Den foreslåede ordning indebærer, at bestemmelsen ændres,
så det klart fremgår af bestemmelsen, at der kan kræves ge-
byr for tilsyn med beredskabsopgaver efter § 85 c, stk. 6.
Herudover ændres bestemmelsen, så virksomheder, der yder
balanceringsydelser, og som bliver omfattet af krav efter
den foreslåede ændring af § 85 d, stk. 1, om opretholdelse af
et it-beredskab, kan opkræves gebyr i forbindelse med myn-
digheders tilsyn.
Formålet med ændringen er at sikre finansieringen af den
nye tilsynsopgave, som følger af den foreslåede bestemmel-
se i § 85 c, jf. lovforslagets § 1, nr. 7. Ændringen betyder, at
de kollektive elforsyningsvirksomheder skal betale for de ti-
mer, som Energistyrelsen anvender til at føre tilsyn med
virksomhederne til en tilsynssats, som vil blive fastsat ved
bekendtgørelse. Den foreslåede ændring har ikke til hensigt
at begrænse anvendelsesområdet for den gældende § 51, stk.
2.
Til nr. 2
15
Efter § 51 a, nr. 2, kan energi-, forsynings- og klimaministe-
ren fastsætte regler om betaling til dækning af omkostnin-
gerne ved behandling af ansøgning om tilladelse, herunder
de tilladelser, der er nævnt i § 11, stk. 1, § 12 a, stk. 1, § 21,
stk. 1, § 22 a, stk. 1, § 23, stk. 1, og § 37 a, stk. 1.
Efter den gældende bestemmelse er det præciseret, at der
skal betales gebyr for tilladelser til etablering af elforsy-
ningsnet på søterritoriet og i den eksklusive økonomiske zo-
ne, når nettet opføres af en anden virksomhed end Energi-
net.dk.
Det foreslås, at der i bestemmelsen indsættes en henvisning
til § 4 a, stk. 1, i lov om Energinet.dk.
Den foreslåede ændring indebærer, at ministeren kan fast-
sætte regler om, at Energinet.dk skal betale for myndigheds-
behandling af tilladelser til etablering af nye elforsyningsnet
på søterritoriet og i den eksklusive økonomiske zone samt
væsentlige ændringer i bestående elforsyningsnet og for til-
ladelser til miljøgodkendelse til sådanne projekter.
Ændringen har til formål at præcisere, at der kan opkræves
gebyrer fra Energinet.dk, ligesom der kan opkræves gebyrer
fra andre virksomheder, som ønsker at opføre et elforsy-
ningsnet på søterritoriet eller i den eksklusive økonomiske
zone.
Ifølge bemærkningerne til § 51 a forudsættes det, at ministe-
ren kan fastsætte regler om betaling til dækning af omkost-
ningerne ved behandling af ansøgninger om tilladelser, her-
under tilladelse til elforsyningsnet på søterritoriet m.v., jf.
betænkning afgivet den 26. april 2007, jf. Folketingstidende
2006-2007, tillæg B, side 888-902. Bemærkningerne nævner
ikke, at der skulle gælde særlige regler for tilladelser til
Energinet.dk. Det vurderes på denne baggrund, at det er en
fejl, at § 51 a, nr. 2, ikke indeholder en henvisning til § 4 a i
lov om Energinet.dk. Med den foreslåede præcisering vil
fejlen blive rettet, således at det klart fremgår, at der kan
kræves gebyrer fra Energinet.dk for tilladelse til elforsy-
ningsnet på søterritoriet.
Der vil blive fastsat nærmere regler om betalingsinddrivel-
sen ved bekendtgørelse. Reglen forudsættes administreret
efter de samme principper som andre gebyrbetalinger fra
Energinet.dk til Energistyrelsen, der aktuelt er reguleret i be-
kendtgørelse om betaling for myndighedsbehandling efter
lov om elforsyning og lov fremme af vedvarende energi. Be-
løbet vil således blive opkrævet som en del af de samlede
aconto-betalinger for gebyrer fra Energinet.dk til Energisty-
relsen, som justeres i forhold til det egentlige tidsforbrug til
opgavevaretagelsen i Energistyrelsen ved årets udgang.
Til nr. 3
Det fremgår af § 70, stk. 2, 1. pkt., i lov om elforsyning, at
energi-, forsynings- og klimaministeren fastsætter regler om
indtægtsrammer. Det fremgår endvidere af § 70, stk. 2, 2.
pkt., at det som led i denne regulering sikres, at tarifferne i
faste priser regnet som et gennemsnit ikke stiger i forhold til
tarifferne pr. 1. januar 2004, idet kapital, der finansierer
nødvendige nyinvesteringer, dog fortsat skal kunne forrentes
og afskrives.
Elforsyningsloven indeholder en række bestemmelser, som
kan føre til forhøjelse af indtægtsrammerne. Det fremgår så-
ledes af § 70, stk. 8, 1. pkt., i lov om elforsyning, at Energi-
tilsynet kan forhøje virksomhedens indtægtsramme med et
beløb, der kompenserer for eventuelle afholdte omkostnin-
ger ved pålæg fra myndigheder eller Energinet.dk, der inde-
bærer en væsentlig fremskyndelse af vedligeholdelsesarbej-
der, udskiftninger eller tekniske tilpasninger af eksisterende
anlæg. Det fremgår endvidere af § 70, stk. 8, 2. pkt., i lov
om elforsyning, at Energitilsynet kan forhøje indtægtsram-
men med et beløb, der kompenserer for væsentlige merom-
kostninger som følge af pålæg fra myndigheder, som ligger
ud over forpligtelsen til at drive nettene, jf. § 20, stk. 1, i lov
om elforsyning, og som ikke er omfattet af § 70, stk. 4, i lov
om elforsyning. Lovens § 70, stk. 4, vedrører forhøjelser af
indtægtsrammen som følge af nødvendige nyinvesteringer.
Energiklagenævnet har truffet tre afgørelser om forståelsen
af myndighedspålæg, jf. Energiklagenævnets afgørelse af
12. maj 2014 om afslag på forhøjelse af indtægtsramme
(J.nr. 1011-13-93-17), afgørelse af 28. oktober 2015 om af-
slag på forhøjelse af indtægtsramme (J.nr. 1011-14-166-36)
og afgørelse af 29. juni 2016 om afslag på indtægtsramme-
forhøjelse – omkostninger vedr. etablering af Cityring (me-
tro) (J.nr. 2011-15-44-16).
Det fremgår af Energiklagenævnets seneste afgørelse af 29.
juni 2016, hvor der henvises til de to tidligere afgørelser, at
der »ved myndighedspålæg – eller pålæg fra Energinet.dk –
menes individuelle pålæg i form af konkrete forvaltningsaf-
gørelser og ikke generelle retsakter i form af f.eks. lovregu-
lering, som i den omhandlede sag.«
Det er hensigten med dette lovforslag om it-beredskab, at
der skal være mulighed for forhøjelse af indtægtsrammen
som følge af kravet om, at netvirksomhederne skal være til-
meldt en it-sikkerhedstjeneste, som energi-, forsynings- og
klimaministeren får hjemmel til at fastsætte ved bekendtgø-
relse efter den foreslåede bestemmelse til § 85 c, stk. 5, nr.
4, i lov om elforsyning og bemærkninger hertil. Der henvi-
ses endvidere til de almindelige bemærkninger afsnit 3.2.
Det er ikke tilsigtet, at der skal udarbejdes individuelle på-
læg i form af konkrete afgørelser.
På den baggrund foreslås, at der indsættes en hjemmel i §
70, stk. 15, i lov om elforsyning, hvorefter energi-, forsy-
16
nings- og klimaministeren kan fastsætte regler om, at Ener-
gitilsynet kan forhøje en virksomheds indtægtsramme som
følge af dokumenterede meromkostninger, som udspringer
af krav om tilmelding til en it-sikkerhedstjeneste. Det frem-
går, at omkostningerne skal være dokumenterede. Der for-
ventes fastsat regler om, at indtægtsrammeforhøjelsen vil
vedrøre de omkostninger, som kan dokumenteres i henhold
til en kontrakt med en it-sikkerhedstjeneste om varslings-
ydelse og akut bistand til virksomheder i kategori 1 og 2.
Det forventes også, at ministeren vil fastsætte regler om, at
kontrakterne skal godkendes af tilsynsmyndigheden i med-
før af forslaget til § 85 d, stk. 6. Indtægtsrammen vil ikke
kunne forhøjes på baggrund af f.eks. intern administration
afledt af kravet om tilmelding til en it-sikkerhedstjeneste.
Reglerne om forhøjelsen af indtægtsrammen forventes at gi-
ve mulighed for en midlertidig forhøjelse, som vil følge
kontraktens løbetid. Forhøjelsen vil nødvendigvis skulle ske
efter ansøgning, idet det er Energitilsynet, som træffer afgø-
relse om fastsættelse af indtægtsrammen. Energi-, forsy-
nings- og klimaministeren vil kunne fastsætte regler herom i
medfør af § 70, stk. 2, i lov om elforsyning.
Der er udstedt to bekendtgørelser med hjemmel i § 70, stk.
2, som giver mulighed for indtægtsrammeforhøjelser på
baggrund af udmøntede regler i bekendtgørelserne, uden at
der er givet individuelle pålæg i form af konkrete afgørelser.
Det drejer sig om bekendtgørelse nr. 1358 af 3. december
2013 om fjernaflæste elmålere og måling af elektricitet i
slutforbruget og bekendtgørelse nr. 830 af 27. juni 2016 om
energispareydelser i net- og distributionsvirksomheder.
Det fremgår af bemærkningerne til § 22, stk. 9, i lov om el-
forsyning, som indsat ved lov nr. 622 af 11. juni 2010, jf.
Folketingstidende 2009-2010, tillæg A, L 154, side 21 og
22, at en netvirksomheds omkostninger til myndighedspå-
lagte energibesparelser hos slutbrugerne dækkes af en forhø-
jelse af virksomhedens tariffer på baggrund af en forhøjelse
af indtægtsrammen, der dækker omkostningerne til energis-
pareindsatsen, jf. § 70, stk. 7, 2. pkt., i lov om elforsyning.
Det fremgår endvidere af forarbejderne til lov nr. 642 af 12.
juni 2013, jf. nærmere de almindelige bemærkninger afsnit
4. Økonomiske og administrative konsekvenser for er-
hvervslivet, Folketingstidende 2012-2013, tillæg A, L 180,
side 17, at hvis hjemlen til at udstede regler med efterføl-
gende påbud om installation af fjernaflæste målere udnyttes,
vil netvirksomhederne kunne få forhøjet deres indtægtsram-
mer midlertidigt til dækning af meromkostningerne.
På baggrund af ovenstående er det vurderet, at der er til-
strækkelig hjemmel til fastsættelse af de gældende regler i
de to bekendtgørelser om indtægtsrammeforhøjelser, men
for at undgå uklarhed om hjemmelsgrundlaget foreslås, at
forslaget til bemyndigelsen i § 70, stk. 15, også indeholder
en hjemmel til at fastsætte regler om forhøjelse af indtægts-
rammen i forhold til meromkostninger, som udspringer af
krav om udskiftning og opgradering af elmålere til fjernaf-
læste målere, ved fremskyndelse af investeringer i fjernaflæ-
ste elmålere og indsendelse af timemålte forbrugsdata til da-
tahubben i henhold til regler fastsat af energi-, forsynings-
og klimaministeren i medfør af § 20, stk. 2, og § 22, stk. 4, i
lov om elforsyning og som følge af krav om sikring af reali-
sering af dokumenterbare energibesparelser i overensstem-
melse med regler fastsat i medfør af § 22, stk. 4, jf. § 22, stk.
1, nr. 5. Der er ikke med indsættelsen af hjemmelsbestem-
melsen i § 70, stk. 15, tilsigtet materielle ændringer i forhold
til, hvad der kan føre til indtægtsrammeforhøjelser i forhold
til fjernaflæste målere og energibesparelser. Der vil således
fortsat kunne fastsættes regler om eksempelvis standardise-
rede forudsætninger til beregningerne. Der henvises til § 9 i
bekendtgørelse nr. 1358 af 3. december 2013 om fjernaflæ-
ste elmålere og måling af elektricitet i slutforbruget og § 19
i bekendtgørelse nr. 830 af 27. juni 2016 om energispare-
ydelser i net- og distributionsvirksomheder.
De fastsatte regler vedrørende fjernaflæste elmålere og ener-
gibesparelser fastsat i medfør af 70, stk. 2, i lov om elforsy-
ning, jf. lovbekendtgørelse nr. 418 af 25. april 2016 med se-
nere ændringer, forbliver i kraft, indtil de ophæves eller af-
løses af nye regler.
Til nr. 4
Den nugældende overskrift til kapitel 12 lyder således: Op-
lysningspligt, kontrol, fortrolighed, beredskab.
Det foreslås at nyaffatte overskriften, så overskriften med
lovforslaget lyder: ”Kapitel 12. Beredskab, fortrolighed,
kontrol, oplysningspligt og påbud”.
Den foreslåede ændring indebærer, at titlen på kapitel 12 af-
spejler indholdet og den systematik, der følger af lovforsla-
gets § 1, nr. 4 og 5. Ændringen er således begrundet i lov-
tekniske og retssystematiske hensyn.
Til nr. 5
Efter § 85 b, stk. 4, kan energi-, forsynings- og klimamini-
steren fastsætte regler om udførelse af tilsyn med det bered-
skabsarbejde, der udføres efter stk. 1 og 2, herunder om
virksomhedernes fremsendelse af materiale som grundlag
for tilsynet, om tilsynets beføjelser i forhold til virksomhe-
derne og om klageadgang. I reglerne kan det fastsættes, at
tilsyn med beredskabsarbejde efter stk. 1 skal udføres af
Energinet.dk.
Det foreslås, at § 85 b, stk. 4, 2. pkt., ophæves.
Den foreslåede ordning indebærer, at en given delegation af
kompetence skal ske efter den almindelige delegationsbe-
17
stemmelse i § 92 i lov om elforsyning, idet denne bestem-
melse anses for en tilstrækkelig til at delegere ministerens
beføjelser til en anden myndighed. Den nugældende delega-
tionsbestemmelse i § 85 b, stk. 4, 2. pkt., er således ikke
nødvendig.
Det vurderes hensigtsmæssigt, at tilsynsmyndigheden for
det almene beredskab og it-beredskabet er den samme, af
hensyn til synergi mellem disse opgaver. Samtidig vurderes
den teknologiske og kommercielle udvikling i el- og natur-
gassektorerne at kunne medføre behov for, at opgaven som
tilsynsmyndighed kan flyttes til anden relevant myndighed.
Det er derfor hensigtsmæssigt at give energi-, forsynings- og
klimaministeren mulighed for at fastsætte regler om vareta-
gelse af tilsynsopgaven beskrevet i § 85 b, stk. 4, i lov om
elforsyning og nye bestemmelser i dette lovforslag. Der hen-
vises i øvrigt til punkt 3.5. i de almindelige bemærkninger.
Den foreslåede ændring medfører således, at energi-, forsy-
nings- og klimaministeren som hidtil fastsætter regler for til-
synet med beredskabet i medfør af § 85 b, stk. 4. Det er hen-
sigten, at energi-, forsynings- og klimaministeren kan fast-
sætte regler, der pålægger enten Energinet.dk, Energistyrel-
sen eller anden egnet myndighed at føre tilsyn med virksom-
hedernes overholdelse af reglerne fastsat i medfør af § 92 i
lov om elforsyning. Energi-, forsynings- og klimaministeren
kan tillægge en relevant myndighed tilsynsopgave efter en
vurdering af, hvilken institution der findes mest egnet til at
løse tilsynsførelsen.
Vurdering af hvilken institution, der skal føre tilsyn med
virksomhederne skal omfatte såvel økonomiske som organi-
satoriske forhold af betydning, herunder skal følgende for-
hold som minimum vurderes:
1. Energistyrelsens tilsyn med Energinet.dk, herunder
Energistyrelsens mulighed for at føre tilsyn med til-
synsførelsen overfor virksomhederne.
2. Virksomhedernes samarbejde med Energinet.dk i såvel
beredskabssituationer som i forbindelse med planlæg-
ning af beredskabsarbejdet.
3. Energinet.dk’s it-beredskabsarbejde internt.
4. Sammenhæng og synergi med andre opgaver indenfor
beredskabet.
Disse forhold er afhængige af mange faktorer, herunder de
mulige truslers karakter, de økonomiske rammer for Energi-
net.dk, Energinet.dk’s handler med balancevirksomheder,
udviklingen af markedet for it-serviceydelser og sektorernes
øvrige regulering. Ved at kunne ændre op fordelingen af til-
synsopgaver ved Energinet.dk og Energistyrelsen skal ener-
gi-, forsynings- og klimaministeren sikre, at tilsynsopgaven
pålægges den institution, der efter ovennævnte forhold har
de bedste vilkår for at føre tilsynet med virksomhedernes ef-
terlevelse af disse regler.
Tilsynet med virksomhederne kan tilpasses til virksomhe-
dernes kritikalitet for den samlede elforsyning. Tilsynsmyn-
digheden skal gennemføre tilsynsbesøg årligt ved virksom-
heder, der varetager kritiske systemer, mens tilsynet ved de
resterende virksomheder kan begrænses til treårlige tilsyns-
besøg suppleret af løbende underretninger og skriftlig kom-
munikation om ændringer af beredskabsplaner og risikoun-
dersøgelser.
Tilsynsmyndigheden skal dokumentere de gennemførte til-
syn, og virksomhederne skal have mulighed for at kommen-
tere tilsynsmyndighedens tilsynsdokumentation.
Tilsynet med virksomhedernes beredskabsarbejde forudsæt-
ter, at virksomhederne meddeler tilsynsmyndigheden rele-
vante oplysninger bl.a. risiko- og sårbarhedsvurderinger
samt beredskabsplaner, procedurer m.m., som er udarbejdet
på grundlag af disse risiko- og sårbarhedsvurderinger. Vur-
dering af dette materiale forudsætter faglig viden om drifts-
forholdene i de forskellige former for virksomhed inden for
elsektoren. Tilsynsmyndigheden kan indhente oplysninger
om aktuelle og historiske driftsforhold ved Energinet.dk’s
kontrolcenter, alene med det formål at vurdere tilstrækkelig-
heden af virksomhedernes beredskabsarbejde i forhold til
deres kritikalitet for det samlede el-system.
Tilsynsarbejdet skal adskilles fra Energinet.dk’s overordne-
de koordinerende opgaver i beredskabssituationer. Disse
overordnede, koordinerende opgaver forudsætter ligeledes et
kendskab til de enkelte virksomheders it-beredskab, dettes
omfang og kvalitet samt det indbyrdes samspil mellem de
forskellige virksomheders beredskab. Såfremt Energinet.dk
varetager opgaven som tilsynsmyndighed, og derved vareta-
ger både de overordnede koordinerende beredskabsopgaver
efter § 85 b, stk. 2, i lov om elforsyning og tilsynet med
virksomhedernes beredskabsarbejde, skal Energinet.dk sik-
re, at virksomhederne oplyses om, hvilke informationer der
anvendes i tilsynsøjemed. Energistyrelsen pålægges at føre
tilsyn med Energinet.dk’s arbejde med at sikre beskyttelse
af egne forsyningskritiske it-systemer og varetagelse af de
overordnede koordinerende opgaver i beredskabssituationer.
Energistyrelsen pålægges endvidere at føre tilsyn med Ener-
ginet.dk’s tilsyn med virksomhedernes it-beredskabsarbejde,
såfremt Energinet.dk varetager tilsynet over for virksomhe-
derne.
Til nr. 6
Det nugældende kapitel 12 a om påbud indeholder én be-
stemmelse i § 85 c, hvorefter klima-, energi- og bygnings-
ministeren og Energitilsynet kan påbyde, at forhold, der stri-
der mod loven, mod regler eller afgørelser i henhold til lo-
ven eller mod Europa-Parlamentets og Rådets forordning
om betingelserne for netadgang i forbindelse med grænse-
overskridende elektricitetsudveksling, bringes i orden straks
eller inden en nærmere angivet frist.
18
Efter bestemmelsens stk. 2 kan Energitilsynet påbyde, at
forhold, der strider mod en juridisk bindende afgørelse truf-
fet af det europæiske agentur for samarbejde mellem energi-
reguleringsmyndigheder eller strider mod Europa-Parlamen-
tets og Rådets forordning nr. 1227/2011 af 25. oktober 2011
om integritet og gennemsigtighed på engrosenergimarkeder-
ne eller mod retsakter, der er vedtaget på grundlag heraf,
bringes i orden straks eller inden en nærmere angivet frist.
Det foreslås at kapitel 12 a ophæves af lovtekniske grunde,
og forslaget skal således ses i sammenhæng med lovforsla-
gets § 1, nr. 7, der indebærer at den nugældende § 85 c vide-
reføres uændret som § 85 d, se herom umiddelbart nedenfor.
Den gældende regulering i elforsyningsloven af beredskabs-
forhold omfatter ikke it-beredskabsforhold. Med lovforsla-
get indsættes derfor en ny bestemmelse i § 85 c om it-bered-
skab, og det foreslås at videreføre den nugældende § 85 c
om påbud, som ny § 85 d i kapitel 12.
Det foreslås i 85 c, stk. 1, at bevillingspligtige virksomhe-
der, efter §§ 10 og 19, Energinet.dk og dennes helejede dat-
terselskaber og virksomheder, der yder balanceringsydelser
af elsystemet, skal opretholde et it-beredskab, herunder
planlægge og træffe nødvendige foranstaltninger for at sikre
beskyttelsen af kritiske it-systemer af betydning for elforsy-
ningen.
Bestemmelsen omfatter Energinet.dk og dennes helejede
datterselskaber, hvis definitionen er nærmere beskrevet i lov
om Energinet.dk. Endvidere omfatter bestemmelsen bevil-
lingspligtige virksomheder: Disse virksomheder er produkti-
onsvirksomheder med en produktionskapacitet på over 25
MW og netvirksomheder, som er nærmere defineret i §§ 10
og 19. Disse typer af virksomheder har også været omfattet
af den almindelige beredskabsbestemmelse i elforsyningslo-
vens § 85 b.
Bestemmelsen omfatter endvidere virksomheder, der efter
aftale med Energinet.dk formidler balanceydelser til elsyste-
met, således at der bevares en balance mellem elforbruget
og elproduktionen. Disse balanceansvarlige virksomheder
har styring over fysiske anlæg, der kan producere eller afta-
ge elektricitet, hvorved virksomheden kan levere ydelser,
der bidrager til balanceringen af elsystemet. En balancean-
svarlig virksomhed er en virksomhed, der på markedsvilkår
påtager sig ansvar for ubalancer mellem forbrug og produk-
tion.
De nævnte virksomheder har forskellig indvirkning på den
samlede elforsyning. Nogle virksomheder foretager handler
i afgrænsede geografiske områder, mens andre varetager
specifikke opgaver i det sammenhængende el-system.
For at begrænse virksomhedernes ressourceforbrug til efter-
levelse af regler om it-beredskab, samt begrænse ressource-
forbruget i forbindelse med tilsyn ved såvel virksomhederne
som myndighederne forudsættes den fremtidig regulering i
medfør af den foreslåede regel i § 85 d, stk. 6, at indeholde
en opdeling af virksomhederne i tre nærmere definerede ka-
tegorier, og at der fastsættes graduerede krav i forhold til
denne inddeling. Se herom nedenfor.
Virksomheder kan drive it-systemer, der ikke anses for at
være et kritisk it-system for den enkelte virksomhed, men
som kan have indflydelse på driften af kritiske it-systemer
ved andre virksomheder. Denne type it-systemer skal hånd-
teres som kritiske it-systemer. Der kan endvidere forekom-
me it-systemer, der styrer anlæg ved flere virksomheder, og
disse it-systemer kan have varieret kritikalitet for de enkelte
virksomheder. Denne type it-systemer skal beskyttes ud fra
en vurdering af deres samlede betydning for det samlede el-
forsyningssystem.
Den foreslåede ordning indebærer en pligt for de omfattede
virksomheder til at foretage en rettidig it-beredskabsplan-
lægning, således at nedbrud, fejl eller angreb i virksomhe-
dens it-systemer ikke afstedkommer forsyningsnedbrud.
Kritiske it-systemer varetager centrale funktioner for forsy-
ningen, hvor nedbrud, angreb eller fejl i disse it-systemer vil
kunne påvirke elforsyningen. Såfremt det ikke er muligt at
fjerne risikoen for forsyningsnedbrud som resultat af ned-
brud, angreb eller fejl i virksomhedens it-systemer, skal
virksomheden beskytte disse kritiske it-systemer på en så-
dan måde, at nedbrudsperioden begrænses. Beskyttelsen af
kritiske it-systemer er ikke begrænset til en specifik trussels-
type eller et konkret risikoscenarie. Virksomhederne skal
vedligeholde et trusselsbillede, der indeholder både trusler
mod virksomhedernes egne kritiske it-systemer og de it-sy-
stemer, virksomheden er afhængig af. De kritiske it-syste-
mer skal beskyttes mod enhver trussel, der kan afstedkom-
me, at de styrings- og kontrolopgaver it-systemet varetager
forhindres eller forstyrres.
Virksomhederne skal træffe foranstaltninger, der anses for
nødvendige for at begrænse risikoen for forsyningsnedbrud
som resultat af forstyrrelser i kritiske it-systemer. Nødvendi-
ge foranstaltninger er i denne sammenhæng, alle tiltag der
kan begrænse konsekvenserne ved eller risikoen for et ned-
brud af forsyningen under hensynstagen til virksomhedernes
kommercielle drift. Disse foranstaltninger bør dog ikke kun-
ne forøge risikoen eller omfanget af skader på mandskab og
materiel i forbindelse med den operative håndtering af for-
styrrelser i kritiske it-systemer.
Vurderingen af, hvilke foranstaltninger der skønnes nødven-
dige, beror på den enkelte virksomheds forhold.
19
Ved vurdering af om en foranstaltning kan betragtes som
nødvendig, forudsættes virksomhederne at tillægge følgende
forhold værdi efter prioriteret rækkefølge:
1. Foranstaltningen medfører ikke øget risiko for person-
skade.
2. Foranstaltningen medfører ikke øget risiko for materiel
skade.
3. Foranstaltningen begrænser konsekvenserne og tids-
rummet af forsyningsnedbrud.
4. Foranstaltningen begrænser ikke virksomhedens hånd-
tering af andre beredskabssituationer udløst af andre
faktorer så som vejret, uheld eller fysiske angreb.
5. Foranstaltningen begrænser ikke virksomhedens øvrige
drift.
6. Foranstaltningen er naturlig at udføre i sammenhæng
med de daglige rutiner, hvorfor operatører vil være me-
re tilbøjelige til at anvende den i praksis.
7. Foranstaltningen påfører virksomheden begrænsede
omkostninger ved planlægning.
8. Foranstaltningen påfører virksomheden begrænsede
omkostninger ved iværksættelse.
Det forudsættes, at virksomhederne i forbindelse med denne
vurdering inddrager relevante medarbejdere med viden om
konkrete forhold samt fagpersoner med erfaring og viden in-
den for det specifikke område. Det forudsættes endvidere, at
virksomhederne tilsikrer, at der løbende foregår en dialog
internt mellem relevante medarbejdere, således at evt. æn-
drede forhold kan inddrages i vurderingen af, hvilke tiltag
der er nødvendige for at sikre elforsyningen. Det forudsæt-
tes, at der efter den foreslåede bestemmelse i § 85 d, stk. 5,
fastsættes regler, der stiller krav om, at virksomhederne skal
kunne godtgøre, at disse forhold har været inddraget i for-
bindelse med vurderingen.
Som eksempel på en nødvendig foranstaltning, som antages
at være relevant i næsten alle virksomheder, kan nævnes til-
tag som procedure for adgangsstyring til virksomhedens kri-
tiske it-systemer. Det er dog ikke sikkert at denne procedure
er ens ved alle virksomheder. En virksomhed, som har fler-
brugeradgang til egne kritiske it-systemer, kan vurdere, at
det er nødvendigt at have et automatiseret system, der vare-
tager logning af brugerdata og styringsdata.
Vurderingen af hvilke foranstaltninger der er nødvendige,
forudsætter at virksomheden har foretaget en grundig be-
handling af, hvilke risici og sårbarheder der er relevante for
virksomheden. Tilsynsmyndigheden kan anmode virksom-
hederne om at foretage vurderinger af konkrete risici- eller
sårbarheder, såfremt virksomhedens vurderinger findes
manglefulde eller utilstrækkelige. Der er således en sam-
menhæng mellem virksomhedernes risiko- og sårbarheds-
vurderinger, virksomhedernes interne organisering af it-be-
redskabsarbejdet, kendskabet til egne systemer, det generel-
le trusselsbillede og foranstaltningerne virksomhederne hver
især træffer.
De nødvendige foranstaltninger vil i nogle tilfælde afhænge
af virksomheden økonomiske forhold. Dermed er det ikke
hensigten at hensynet til økonomisk forhold skal prioriteres
fremfor hensynet til andre faktorer, men de nødvendige til-
tag bør tilrettelægges til virksomhederne øvrige tiltag og ak-
tiviteter, således at de økonomiske omkostninger forbundet
med it-beredskabet kan begrænses.
En virksomhed anses for at gennemføre de nødvendige tiltag
såfremt, der ved tilsyn kan forevises sammenhæng mellem
tiltagene, egne risiko- og sårbarhedsvurderinger og trussels-
billedet, der i øvrigt er anerkendt at personale med ansvaret
for it-sikkerheden, driften af forsyningssystemerne og for-
retningen.
Det foreslås i stk. 2, at energi-, forsynings- og klimaministe-
ren kan påbyde en virksomhed omfattet af stk. 1, at foretage
en it-revision af forsyningskritiske it-systemer, såfremt den
pågældende virksomhed ikke opfylder et påbud udstedt af
energi-, forsynings- og klimaministeren efter § 85 d. Man-
glende overholdelse af et påbud efter stk. 2 efter en tidsfrist
angivet af tilsynsmyndigheden vil føre videre i påbuds- og
sanktionsmulighederne, hvorefter det foreslåede stk. 3 i det-
te lovforslag vil finde anvendelse. Overholder den pågæl-
dende virksomhed ej heller påbuddet udstedt i henhold til
stk. 3, kan energi-, forsynings- og klimaministeren anvende
de sanktionsmuligheder, der følger af gældende ret for sank-
tioner i elforsyningsloven herunder kapitel 13, samt endeligt
inddrage virksomhedens bevilling jf. § 54, i lov om elforsy-
ning.
Såfremt det i forbindelse med tilsyn eller på anden måde
konstateres, at den pågældende virksomhed ikke opfylder
kravet i den foreslåede § 85 c, stk. 1, om at opretholde et it-
beredskab, og ikke har truffet de nødvendige foranstaltnin-
ger, vil energi-, forsynings- og klimaministeren kunne ud-
nytte den eksisterende hjemmel til at udstede et påbud efter
bestemmelsen, der bliver til § 85 d, stk. 1, hvorefter energi-,
forsynings- og klimaministeren kan påbyde, at forhold, der
strider mod loven, mod regler eller afgørelser i medfør af lo-
ven, bringes i orden straks eller inden en nærmere angiven
frist. Stk. 2 har til formål at virksomheder overholder det
foreslåede stk. 1, da manglende overholdelse vil kunne brin-
ge elforsyningen i fare. For at sikre overholdelse af det fore-
slåede stk. 1, henvises der til bemærkningerne til stk. 1.
Opfylder den pågældende virksomhed ikke det meddelte på-
bud, jf. den foreslåede bestemmelse i § 85 d, stk. 1, kan
energi-, forsynings- og klimaministeren med det foreslåede
§ 85 d, stk. 2, påbyde den pågældende virksomhed, at den
får foretaget en it-revision af forsyningskritiske it-systemer.
En it-revision består i en teknisk gennemgang af virksomhe-
dens it-systemer, samt virksomhedens it-politikker og it-pro-
cedure således, at der etableres et billede om virksomhedens
20
it-drift. På baggrund af denne viden undersøger it-revisionen
virksomhedens evne til at fortsætte forsyningen i tilfælde af
it-angreb eller it-nedbrud. En it-revision kan baseres på et
internationalt anerkendt it-sikkerhedsstyringssystem såfremt
tilsynsmyndigheden finder det forsvarligt i den enkelte virk-
somhed.
Bestemmelsen har til formål at sikre kortlægningen af den
pågældende virksomheds it-systemer, herunder sikkerheds-
forhold, med henblik på at tilvejebringe et tilstrækkeligt sik-
kert og relevant it-beredskab. Energi-, forsynings- og klima-
ministeren fastsætter i medfør af den foreslåede ændring i §
85 c, stk. 5, regler om krav til indholdet af it-revisionen, her-
under krav om at it-revisionen skal indeholde anbefalinger.
Disse anbefalinger skal den pågældende virksomhed efterle-
ve og bringe i orden efter det forslåede stk. 3.
Den foreslåede ændring må forventes at få den konsekvens,
at beslutninger om virksomhedens it-beredskab sker på det
bedst mulige faglige grundlag.
Omkostninger forbundet med it-revisionen afholdes af den
pågældende virksomhed. Ved uafhængig revisor forstås en
revisor, som ikke er eller har været virksomhedens sædvan-
lige revisor og hverken har eller i perioden, som it-revisio-
nen vedrører, har haft andre opgaver for virksomheden. Den
uafhængige revisor skal være godkendt af tilsynsmyndighe-
den for at tilsikre tilstrækkelig og nødvendig faglighed af re-
visoren.
Det foreslås i stk. 3, at energi-, forsynings- og klimaministe-
ren kan påbyde virksomheder at gennemføre tiltag på bag-
grund af it-revisionen efter stk. 2, der skønnes nødvendige
for at overholde stk. 1 og derved tilsikre opretholdelse af en
sikker elforsyning. Stk. 3 kan således kun finde anvendelse
såfremt virksomheden først ikke har overholdt påbuddet ud-
stedt i henhold til den foreslåede § 85 d, det vil sige først ef-
ter, at der er foretaget en it-revision i henhold til stk. 2. It-
revisionen efter det foreslåede stk. 2 forventes at indeholde
en række anbefalinger fremsat af revisoren, der opstiller til-
tag som den pågældende virksomhed efter revisorens faglige
vurdering skal bringe i orden for at overholde stk. 1. Ener-
gi-, forsynings- og klimaministeren kan i påbuddet efter stk.
3 fastsætte en nærmere tidsfrist for, hvornår forholdene skal
være bragt i orden. Overholder den pågældende virksomhed
ikke påbuddet udstedt i henhold til stk. 3, og bringer virk-
somheden ikke forholdene i orden inden for den fastlagte
tidsfrist, kan energi-, forsynings- og klimaministeren anven-
de de sanktionsmuligheder, der følger af gældende ret for
sanktioner i elforsyningsloven, herunder kapitel 13, samt en-
deligt inddrage virksomhedens bevilling, jf. § 54.
Det har ikke tidligere været muligt efter gældende ret for
energi-, forsynings- og klimaministeren, at påbyde virksom-
heder at gennemføre tiltag, der anses for at være nødvendige
for overholdelse af stk. 1 på baggrund af en it-revision.
Overholdelsen af det foreslåede stk. 1 er så væsentlig for op-
retholdelsen af en sikker elforsyning, at virksomhederne til
enhver tid skal overholde disse regler. Formålet med stk. 3
er derfor at skabe en yderligere mulighed for at virksomhe-
der overholder stk. 1 på baggrund af revisorens rapport frem
for at sanktionere med bøde som har været tidligere praksis i
gældende ret, hvis den pågældende virksomhed ikke har
overholdt et påbud udstedt efter § 85 c som bliver 85 d. Bå-
de stk. 2 og stk. 3 er derfor nye foreslåede påbudsmulighe-
der, der skal være med til at sikre opretholdelse af en sikker
elforsyning.
Den foreslåede ordning indebærer, at energi-, forsynings- og
klimaministeren fastsætter regler om krav til indholdet af it-
revisionen, herunder krav om at it-revisionen skal indeholde
anbefalinger i medfør af den foreslåede ændring i § 85 c,
stk. 5. For krav om indholdet til it-revisionen henvises til be-
mærkningerne til det foreslåede stk. 5, nr. 6.
Omkostningerne forbundet ved it-revisionen og efterfølgen-
de tiltag på baggrund af it-revisionen, afholdes af den på-
gældende virksomhed.
For korrekt overholdelse af det foreslåede stk. 1 henvises til
bemærkningerne til stk. 1. Der henvises i øvrigt til de almin-
delige bemærkninger om sanktion og påbud i afsnit 3.3 og
samt bemærkningerne til stk. 1 om vurderingen af nødvendi-
ge foranstaltninger.
Det foreslås i stk. 4, at oplysninger, herunder vurderinger,
planer og data, vedrørende sikkerhedsforhold for forsy-
ningskritiske it-systemer i virksomheder omfattet at stk. 1 er
fortrolige, hvis oplysningerne er væsentlige af hensyn be-
skyttelse af driften af virksomheden eller det sammenhæn-
gende el-system.
Den foreslåede bestemmelse indebærer, at oplysninger, her-
under vurderinger, planer eller data skal holdes fortrolige,
såfremt det skønnes nødvendigt af hensyn til virksomhedens
egen sikkerhed, andre virksomheders sikkerhed eller forsy-
ningssikkerheden på lokalt, regionalt eller nationalt niveau.
Det er som udgangspunkt udstederen eller ejeren af oplys-
ningerne, der vurdere oplysningernes fortrolighed, samt dra-
ger nødvendige foranstaltninger for at beskytte disse. Be-
stemmelsen har til formål at modvirke, at oplysninger an-
vendes til at forvolde skade på den enkelte virksomheds for-
syningskritiske it-systemer eller det samlede elforsyningssy-
stem.
Ved vurderinger forstås i denne bestemmelse beskrivelser af
konkrete sårbarheder eller scenarier, der kan afstedkomme
en krisesituation eller et it-angreb. Vurderinger henviser bå-
de til virksomhedens egne vurderinger af egne systemer
samt vurderinger af det samlede el-systems sårbarheder.
21
Ved planer forstås i denne bestemmelse beskrivelser af pro-
cedure, handlinger eller foranstaltninger, der skal forhindre
eller forebygge en krisesituation eller et it-angreb. Planer
henviser både til it-beredskabsplaner og underliggende pro-
cedurer.
Ved data forstås i denne bestemmelse følsomme informatio-
ner bl.a. data om systemets drift, adgange eller brugersty-
ring. Disse data beskriver forsyningskritiske it-systemers
opsætning og adgangsstyring.
Stk. 4 vedrører alene informationer af følsom karakter, der
kan anvendes til at forvolde skade på den enkelte virksom-
heds forsyningskritiske it-systemer eller den samlede elfor-
syning.
§ 84, stk. 8 og § 84 a, stk. 1, i lov om elforsyning regulerer
til en vis grad virksomhedernes behandling af fortrolige op-
lysninger. Disse bestemmelser er dog målrettet kommercielt
følsomme oplysninger. Formålet med disse bestemmelser er
at tilsikre, at virksomheder ikke må videregive kommercielt
følsomme oplysninger til andre med det resultat, at et andet
selskab får konkurrencemæssige fordele i forhold til øvrige
selskaber. Det er ikke hensigten med stk. 4, at sikre kom-
mercielt følsomme oplysninger, men hensigten at sikre, at
virksomheder ikke videregiver oplysninger, der kan være
med til at bringe elforsyningen i fare.
Bestemmelsen i det foreslåede stk. 4 regulerer ikke oplys-
ninger som energi-, forsyning- og klimaministeren, herunder
Energistyrelsen, modtager f.eks. i forbindelse med tilsyn.
Oplysninger der ved tilsyn eller på anden vis kommer ener-
gi-, forsyning- og klimaministeren i hænde, vil være regule-
ret af § 27, stk. 2, i forvaltningsloven, der tilsikrer tavsheds-
pligt inden for den offentlige forvaltning, og at oplysninger,
der er af væsentlig betydning for statens sikkerhed eller ri-
gets forsvar, ikke må videregives. Oplysninger, der kommer
energi-, forsynings- og klimaministeren i hænde, vil være
omfattet af reglerne om aktindsigt i henhold til lov om of-
fentlighed i forvaltningen, samt lov om aktindsigt i miljøop-
lysninger i de tilfælde, hvor det skønnes, at oplysningerne er
miljøoplysninger efter definitionen i § 3 i miljøoplysnings-
loven.
Det foreslåede Stk. 5, forudsættes udnyttet ved, at energi-,
forsynings- og klimaministeren fastsætter regler for det it-
beredskab, som virksomheder omfattet af stk. 1, skal opret-
holde.
Den foreslåede ordning indebærer, at energi-, forsynings- og
klimaministeren får pligt til at fastsætte regler for en række
områder af betydning for it-beredskabet.
Som en følge af den produktionsmæssige, informationstek-
nologiske udvikling anses det for hensigtsmæssigt, at mini-
steren får pligt til at udstede regler i bekendtgørelsesform
for at kunne tilpasse kravene til it-beredskabet i elforsynin-
gen løbende.
Ministeren forudsættes i forbindelse med udmøntning af for-
pligtelsen til at udstede regler at fastsætte krav til virksom-
hederne, som følger den teknologiske og kommercielle ud-
vikling i sektoren, således at kravene kan anses for nødven-
dige, egnede og forholdsmæssige i forhold til behovet for
beskyttelse af kritiske de it-systemer.
Det forudsættes endvidere, at reglerne om it-beredskab, der
vedrører fagudtryk og referencer indenfor såvel det it-tekni-
ske område som det beredskabsfaglige område, indeholder
nærmere definitioner og præcisering af faglige begreber og
termer.
Energi-, forsynings- og klimaministeren forudsættes ligele-
des at fastsætte regler, der graduerer kravene til virksomhe-
derne på baggrund af deres kritikalitet, således at virksom-
heder, der anses for kritiske for den nationale elforsyning og
det samlede elforsyningssystem stilles skærpede krav i for-
hold til virksomheder, der kun anses for kritiske for den lo-
kale elforsyning. Reglerne for virksomhederne forudsættes
gradueret på baggrund af følgende kriterier:
Virksomheder af kritisk betydning for den nationale elforsy-
ning i de sammenhængende el-systemer eller væsentlige de-
le af disse i de to synkronområder DK-1 og DK-2 er:
– Virksomheder ansvarlige for driften af et eller flere pro-
duktionsanlæg, med en effekt, der overstiger den effekt
det pågældende synkronområde kan miste momentant,
uden at det medfører forsyningsvigt.
– Virksomheder, der udøver styring af et eller flere fleksi-
ble forbrugsanlæg med et tilsvarende forbrug.
– Virksomheder der udøver styring af distributions- eller
transmissionsnet, der har betydning for driften af det
sammenfattede system eller leverer el til 250.000 forbru-
gere eller mere.
–
Virksomheder af kritisk betydning for den regionale elforsy-
ning er:
– Virksomheder som er ansvarlige for driften af et eller
flere produktionsanlæg med en effekt, der ikke oversti-
ger den effekt det pågældende synkronområde kan miste
momentant, uden at det medfører forsyningsvigt, dog
med mulig betydning for det sammenhængende systems
drift. Virksomheder, der udøver styring af et eller flere
fleksible forbrugsanlæg med et tilsvarende forbrug.
– Virksomheder der udøver styring af distributionsnet, der
leverer el til mindre end 250.000 forbrugere.
22
Virksomheder af kritisk betydning for den lokale elforsy-
ning er:
– Virksomheder som er ansvarlige for driften af et eller
flere produktionsanlæg, med en samlet effekt uden be-
tydning for det sammenhængende system. Virksomhe-
der, der udøver styring af et eller flere fleksible for-
brugsanlæg med et tilsvarende forbrug.
– Virksomheder der udøver styring af distributionsnet, der
leverer el til ganske få forbrugere.
Den foreslåede bestemmelse i stk. 5, nr. 1, indebærer nær-
mere, at ministeren fastsætter regler om organisering af
virksomhedens it-beredskab og evne til at modtage advarsler
om trusler mod it-sikkerheden. Bemyndigelsen forudsættes
udmøntet ved at udstede regler, der mere detaljeret beskriver
krav til den organisatoriske sammenhæng mellem bered-
skabsarbejdet og it-beredskabet, herunder forpligtige virk-
somhederne til at etablere en entydig ansvarsfordeling mel-
lem ledelsen og de faglige kompetencer i organisationen, så-
ledes at virksomheden kan udarbejde et komplet risikobille-
de.
Bestemmelsen forudsættes således udnyttet ved, at energi-,
forsynings- og klimaministeren fastsætter krav til virksom-
hedernes organisering, således at de kan modtage samt vide-
reformidle varsler om akutte eller generelle trusler mod it-
sikkerheden. Disse krav skal pålægge virksomhederne an-
svaret for beskyttelsen af egne forsyningskritiske it-syste-
mer, men samtidig forpligte alle virksomheder til at formid-
le disse oplysninger til myndighederne og Energinet.dk, så-
ledes at disse oplysninger kan bidrage til den samlede be-
skyttelse af el- og naturgassektorerne og samfundets forsy-
ning. Det forudsættes endvidere, at der fastsættes krav om,
at oplysninger skal videregives til Energinet.dk med det for-
mål at give Energinet.dk mulighed for at udarbejde risiko-
og sårbarhedsvurderinger samt beredskabsplaner for de sam-
lede sektorer. Samtidig skal de videregivne oplysninger give
Energinet.dk, tilsynsmyndigheden og Energistyrelsen et ind-
blik i sikkerheden vedrørende kritiske it-systemer for sekto-
ren. Der kan endvidere være andre myndigheder, der af hen-
syn til den nationale sikkerhed eller på baggrund af forplig-
tigelser overfor allierede eller det europæiske samarbejde,
skal informeres om akutte trusler eller konkrete risici. Ener-
gi- forsynings- og klimaministeren fastsætter nærmere regler
for viderebringes af denne type information.
Den foreslåede bestemmelse i stk. 5, nr. 2, indebærer nær-
mere, at ministeren fastsætter regler om planlægning og be-
redskabsarbejde, som virksomhederne skal udføre for at
modvirke trusler mod it-sikkerheden, herunder virksomhe-
dernes pligt til at videregive oplysninger til Energinet.dk og
relevante myndigheder.
Den foreslåede bestemmelse i stk. 5, nr. 3, indebærer nær-
mere, at energi-, forsynings- og klimaministeren fastsætter
regler om virksomhedernes risikostyring, herunder inddra-
gelse af andre virksomheder i risikovurderinger.
Ved risikostyring forstås i denne sammenhæng de processer
og procedure den enkelte virksomhed foretager for at erken-
de og håndterer risici for forsyningssikkerheden afledet af
anvendelse af it-systemer.
Bestemmelsen forudsættes udnyttet ved, at energi-, forsy-
nings- og klimaministeren fastsætter specifikke regler om
indholdet i virksomhedernes relevante lokale risikostyring.
Denne lokale risikostyring begrænses ikke til enkelte trusler
eller andres erfaringer, men tager udgangspunkt i virksom-
hedens egne forhold. Det skal samtidig være muligt for virk-
somhederne, at begrænse deres ressourceforbrug på denne
opgave, såfremt det findes forsvarligt. Dette kan gøres ved
virksomheder, der deler it-systemer eller virksomheder, der
af andre årsager deler risikobillede, kan indgå aftaler om at
samordne deres it-beredskab. Dette skal dog godkendes af
tilsynsmyndigheden.
Den lokale risikostyring ved virksomhederne er central for
en effektiv beskyttelse af it-systemerne. Det er derfor hen-
sigten, at bestemmelsen skal give energi-, forsynings- og
klimaministeren hjemmel til at fastsætte krav til denne risi-
kostyring og beredskabsplanlægning, således at der kan op-
nås en hyppighed og detaljeringsgrad af disse risikovurde-
ringer, der modsvarer det generelle trusselsbillede. Det er
endvidere hensigten, at der udstedes regler om, at virksom-
hederne kan pålægges at udarbejde risikovurderinger af spe-
cifikke trusler inden for 3 måneder. Virksomhederne skal lø-
bende vurdere, om der er behov for yderligere risikovurde-
ringer. Virksomhederne forventes pålagt at udarbejde risiko-
vurderinger med en hyppighed og detaljeringsgrad, der føl-
ger deres kritikalitet for det samlede el- eller naturgassy-
stem.
Det forventes ikke, at virksomhederne vil blive pålagt at
foretage risikovurderinger af samtlige trusler oftere end hver
sjette måned. Det forventes, at hyppigheden af risikovurde-
ringer vil følge området og truslernes teknologiske udvik-
ling.
Virksomhedernes trussels- og risikokendskab samt virksom-
hedernes evne til at reagere på disse er en forudsætning for
en fyldestgørende risikostyring af egne it-systemer.
Virksomhedernes risikostyring skal inddrage alle væsentlige
risici, herunder også risici, der er afledt af samarbejde med
tredjeparter, der har adgang til virksomhedens it-systemer.
Den foreslåede bestemmelse i stk. 5, nr. 4, indebærer, at
energi-, forsynings- klimaministeren skal udstede regler om
tilmelding til en tjeneste, der yder varsler og informationer
om it-sikkerhedstrusler.
23
Denne bestemmelse forudsættes udnyttet ved, at energi-,
forsynings- og klimaministeren fastsætter krav til indholdet
af de aftaler, de enkelte virksomheder indgår med en it-sik-
kerhedstjeneste. Disse krav kan pålægge tjenester at videre-
formidle informationer til Energinet.dk eller andre virksom-
heder i el- og naturgassektorerne. Dette krav har til hensigt
at forhindre, at en virksomhed eller Energinet.dk ikke kan
videreformidle informationer af betydning for sikkerheden
ved andre virksomheder i el- eller naturgassektoren af hen-
syn til ophavsret eller en aftalebegrænsning. Kravene kan
endvidere beskrive, under hvilke vilkår kontrakter mellem
virksomheder og it-sikkerhedstjenester kan godkendes, såle-
des at energi-, forsynings- og klimaministeren kan fastsætte
procedure for godkendelse, der sikrer en ensartet og fagligt
forsvarlig kontraktindgåelse under hensyn til markedets ud-
vikling.
Det er hensigten med bestemmelsen at sikre et minimumsni-
veau for de kommercielle varslingstjenester ved at pålægge
energi-, forsynings- og klimaministeren at fastsætte nærme-
re krav, der pålægger, at alle virksomheder tilmeldes en it-
sikkerhedstjeneste, der leverer informationer om relevante
trusler og risici mod it-sikkerheden. En sådan proaktiv tjene-
ste vil bidrage til virksomhedernes interne it-sikkerhedspro-
cesser. Det er endvidere hensigten at give energi-, forsy-
nings- og klimaministeren hjemmel til at fastsætte graduere-
de krav til de reaktive ydelser en it-sikkerhedstjeneste kan
yde, således at virksomheder, der ejer it-systemer af betyd-
ning for el- og naturgasforsyningen regionalt eller nationalt,
kan pålægges at skulle være tilmeldt en it-sikkerhedstjene-
ste, der kan reagere på akutte trusler mod virksomhedens it-
systemer og assistere virksomheden i forbindelse med en
håndtering af en trussel eller genopretning af it-systemer og
opklaring af sårbarheder efter et nedbrud eller it-angreb.
En effektiv anvendelse af en sådan reaktiv tjeneste kræver,
at virksomhederne stiller de fornødne ressourcer til rådighed
til såvel direkte omkostninger til tjenesten som indirekte
omkostninger forbundet med en hyppig dialog om sårbarhe-
der og systemdrift mellem virksomheden og tjenesten. Det
er hensigten at energi-, forsynings- og klimaministeren på-
lægges at udarbejde nærmere krav til disse it-sikkerhedstje-
nester og revidere disse krav løbende i forhold til den tekno-
logiske og kommercielle udvikling af såvel energimarkeder-
ne og markedet for it-sikkerhedsydelser. Det er ikke hensig-
ten med denne bemyndigelse at pålægge ministeren at fast-
sætte tekniske specifikationer til hvordan it-sikkerhedstjene-
sten håndterer deres opgave. Der foreligger en mulighed for,
at der på baggrund af kontraktudarbejdelsen mellem virk-
somheder og it-sikkerhedstjenester opbygges en vejledning
til minimumskrav til disse kontrakter. Der foreligger også
muligheden for at virksomhederne vælger at varetage opga-
verne som it-varslingstjeneste ved en intern organisering,
dette medfører dog et dokumentationskrav, således at det
kan godtgøres at denne it-sikkerhedstjeneste efterlever krav
udstedt af energi-, forsynings- og klimaministeren.
Det bemærkes, at de fastsatte regler træder i kraft på et tids-
punkt, hvor virksomhederne har haft mulighed på at indrette
sig i forhold til dette krav.
Den foreslåede bestemmelse i stk. 5, nr. 5, indebærer, at mi-
nisteren udsteder regler om Energinet.dk’s varetagelse af
overordnede, koordinerende planlægningsmæssige og ope-
rative opgaver vedrørende det beredskab, som er nævnt i det
foreslåede stk. 1.
Bestemmelsen forudsættes udnyttet ved, at ministeren udste-
der regler om, at Enerignet.dk kan tilgå relevante informati-
oner og skabe det fornødne overblik i akutte beredskabssi-
tuationer. I denne sammenhæng kan der udstedes regler om,
hvilke oplysninger og materiale i øvrigt virksomhederne
skal stille til rådighed for Energinet.dk, og herunder bemyn-
dige Energinet.dk til at forlange dette materiale udfyldt i et
specifikt format.
Det forventes, at ministeren udsteder regler, hvorefter Ener-
ginet.dk pålægges som en del af det overordnede koordine-
rende arbejde at bidrage til udarbejdelsen af sektorspecifik-
ke trusselsvurderinger. Denne opgave kræver, at Energi-
net.dk stiller kompetente ressourcer til rådighed til vareta-
gelse af denne opgave. Energi-, forsynings- og klimamini-
steren kan fastsætte nærmere regler for dette samarbejde
samt vejlede Energinet.dk i varetagelse af denne opgave.
Virksomhedernes indblik i egne it-systemer og erkendelse af
anormaliteter kan være af afgørende betydning for andre
virksomheders, Energinet.dk’s og det samlede el- og natur-
gassystems evne til at begrænse eller forhindre skader ved et
it-angreb. Det er derfor vigtigt, at virksomhederne øver og
evaluerer hændelser. Dertil kommer, at virksomhederne skal
formidle såvel øvelseserfaringer og erfaringer efter hændel-
ser, der har aktiveret it-beredskabsplanen i væsentligt om-
fang til Energinet.dk samt andre virksomheder. Energi-, for-
synings- og klimaministeren kan fastsætte nærmere regler
herom.
Den foreslåede bestemmelse i stk. 5, nr. 6, indebærer, at mi-
nisteren udsteder regler om krav til indholdet og planlægnin-
gen af en it-revision ved en uafhængig revisor, jf. den fore-
slåede § 85 d, stk. 3. Bestemmelsen forudsættes udnyttet
ved, at energi-, forsynings- og klimaministeren fastsætter
regler om gennemførelsen og afrapporteringen af en it-revi-
sion jf. stk. 3, herunder at it-revisionen kan indeholde en
række anbefalinger fremsat af revisoren, der opstiller tiltag
som den pågældende virksomhed efter revisorens faglige
vurdering skal bringe i orden for at overholde det foreslåede
stk. 1.
På baggrund af krav til indholdet af it-revisorens rapport kan
tilsynsmyndigheden sikre en faglig kvalitet i it-revisionen,
24
hvorved tilsynsmyndighedens afgørelser kan underbygges
med konkret faglig indsigt.
Bestemmelsen pålægger endvidere energi-, forsynings- og
klimaministeren at fastsætte regler om, hvorledes en it-revi-
sion efter det foreslåede stk. 3 planlægges. Det er hensigten,
at der derved kan fastsættes minimumskrav til en it-revision
eller fastsættes krav om godkendelse af specifikke it-reviso-
rer.
Den teknologiske udvikling på dette område gør, at der er
behov for en vis fleksibilitet for, at energi-, forsynings- og
klimaministeren kan fastsætte regler for indholdet af it-revi-
sionen og løbende kunne ændre kriterier for udvælgelse og
rapportering.
Det foreslåede stk. 6, forudsættes udnyttet ved, at energi-,
forsynings- og klimaministeren pålægger enten Energi-
net.dk, Energistyrelsen eller anden egnet myndighed at føre
tilsyn med virksomhedernes overholdelse af reglerne fastsat
i det foreslåede stk. 1 og 5. Energi-, forsynings- og klimami-
nisteren kan fastsætte tilsynsforholdene efter en vurdering
af, hvilken institution der findes mest egnet til at føre tilsyn
efter det foreslåede stk. 6. Energistyrelsen fører tilsyn med
den udpegede tilsynsmyndighed, medmindre Energistyrel-
sen selv varetager tilsynet med virksomhederne, da pålæg-
ges energi-, forsynings- og klimaministeriets departement at
føre tilsyn med Energistyrelsen.
Denne bestemmelse forventes udmøntet i en bekendtgørelse,
der fastsætter nærmere regler vedr. tilsyn. Denne bekendtgø-
relse bør revideres jævnligt, så det er muligt at ændre orga-
niseringen af tilsynet efter en række foranderlige forhold.
Vurdering af hvilken institution, der skal føre tilsyn med
virksomhederne skal omfatte såvel økonomiske som organi-
satoriske forhold af betydning, herunder skal følgende for-
hold som minimum vurderes:
1. Energistyrelsens tilsyn med Energinet.dk, herunder
Energistyrelsens mulighed for at føre tilsyn med til-
synsførelsen overfor virksomhederne.
2. Virksomhedernes samarbejde med Energinet.dk i såvel
beredskabssituationer som i forbindelse med planlæg-
ning af beredskabsarbejdet.
3. Energinet.dk’s it-beredskabsarbejde internt.
4. Sammenhæng og synergi med andre opgaver indenfor
beredskabet.
Disse forhold er afhængige af mange faktorer, herunder de
mulige truslers karakter, de økonomiske rammer for Energi-
net.dk, Energinet.dk’s handler med balancevirksomheder,
udviklingen af markedet for it-serviceydelser og sektorernes
øvrige regulering. Ved at kunne ændre på fordelingen af til-
synsopgaver ved Energinet.dk og Energistyrelsen skal ener-
gi-, forsynings- og klimaministeren sikre, at tilsynsopgaven
pålægges den institution, der efter ovennævnte forhold har
de bedste vilkår for at føre tilsynet med virksomhedernes ef-
terlevelse af disse regler.
Tilsynet med virksomhederne kan tilpasses til virksomhe-
dernes kritikalitet for den samlede elforsyning. Tilsynsmyn-
digheden skal gennemføre tilsynsbesøg årligt ved virksom-
heder, der varetager kritiske systemer, mens tilsynet ved de
resterende virksomheder kan begrænses til treårlige tilsyns-
besøg suppleret af løbende underretninger og skriftlig kom-
munikation om ændringer af beredskabsplaner og risikoun-
dersøgelser.
Tilsynsmyndigheden skal dokumentere de gennemførte til-
syn, og virksomhederne skal have mulighed for at kommen-
tere tilsynsmyndighedens tilsynsdokumentation.
Tilsynet med virksomhedernes beredskabsarbejde forudsæt-
ter fremskaffelse af oplysninger fra virksomhederne, bl.a. ri-
siko- og sårbarhedsvurderinger samt beredskabsplaner, pro-
cedurer m.m., som er udarbejdet på grundlag af disse risiko-
og sårbarhedsvurderinger. Vurdering af dette materiale for-
udsætter faglig viden om driftsforholdene i de forskellige
former for virksomhed inden for elsektoren. Tilsynsmyndig-
heden kan indhente oplysninger om aktuelle og historiske
driftsforhold ved Energinet.dk’s kontrolcenter, alene med
det formål at vurdere tilstrækkeligheden af virksomhedernes
beredskabsarbejde i forhold til deres kritikalitet for det sam-
lede el-system.
Tilsynsarbejdet skal adskilles fra Energinet.dk’s overordne-
de koordinerende opgaver i beredskabssituationer. Disse
overordnede, koordinerende opgaver forudsætter ligeledes et
kendskab til de enkelte virksomheders it-beredskab, dettes
omfang og kvalitet samt det indbyrdes samspil mellem de
forskellige virksomheders beredskab. Såfremt Energinet.dk
varetager opgaven som tilsynsmyndighed, og derved vareta-
ger både de overordnede koordinerende beredskabsopgaver
efter § 85 b stk. 2, og tilsyn efter denne bestemmelse, skal
Energinet.dk tilsikre, at virksomhederne oplyses om, hvilke
informationer der anvendes i tilsynsøjemed. Energistyrelsen
pålægges at føre tilsyn med Energinet.dk’s arbejde med at
sikre beskyttelse af egne forsyningskritiske it-systemer, va-
retage de overordnede koordinerende opgaver i beredskabs-
situationer. Dette tilsyn kan tilrettelægges således at den kan
samordnes med tilsynet med virksomhedernes almene be-
redskabsarbejde efter § 85 b i lov om elforsyning. Energisty-
relsen pålægges endvidere at føre tilsyn med Energinet.dk’s
tilsyn med virksomhedernes it-beredskabsarbejde i det til-
fælde, at Energinet.dk varetager opgaverne som tilsynsmyn-
dighed over for virksomhederne.
25
Ved § 1, nr. 32, i lov nr. 466 af 18. maj 2011 om ændring af
lov om elforsyning, lov om naturgasforsyning, lov om var-
meforsyning, lov om Energinet.dk og lov om fremme af
vedvarende energi (Gennemførelse af el- og gasdirektiverne
m.v.) blev elforsyningslovens § 85 d ophævet.
Det foreslås, at den nugældende § 85 c om påbud flyttes til §
85 d, da lovforslagets bestemmelse om it-beredskab vil blive
den nye § 85 c. Flytningen af § 85 c til § 85 d skyldes derfor
en lovteknisk rettelse.
§ 85 d, stk. 1, giver energi-, forsynings- og klimaministeren
og Energitilsynet en udtrykkelig hjemmel til at påbyde, at
forhold, der strider mod loven, mod regler eller afgørelser i
medfør af loven eller mod Europa-Parlamentets og Rådets
(EF) 714/2009 af 13. juli 2009 om betingelser for netadgang
i forbindelse med grænseoverskridende elektricitetsudveks-
ling og om ophævelse af forordning (EF) nr. 1228/2003,
bringes i orden straks eller inden en nærmere angiven frist.
Manglende overholdelse af et sådant påbud er strafsanktio-
neret i lovens § 87. Hvorvidt det er energi-, forsynings- og
klimaministeren eller Energitilsynet, som kan udstede påbud
i medfør af § 85 c, vil afhænge af, hvilken myndighed som
fører tilsyn med, at et givet forhold er i overensstemmelse
med lovgivningen. Bestemmelsen skal derfor ses i sammen-
hæng med den fordeling af tilsynsopgaverne, som fremgår
af loven og regler udstedt i medfør af loven. Energitilsynet
vil f.eks. kunne udstede påbud med hjemmel i § 85 d, hvis
en virksomhed overtræder oplysningspligten i henhold til §
84, stk. 3-6, eller pligten til at iagttage fortrolighed om kom-
mercielt følsomme oplysninger som foreskrevet i § 84 a.
Elforsyningsloven indeholder særlige bestemmelser om
meddelelse af påbud, eksempelvis Energitilsynets adgang til
efter § 77, stk. 1, at give pålæg om ændring af priser og be-
tingelser. Sådanne særlige bestemmelser vil gå forud for den
generelle påbudsbestemmelse i den nugældende § 85 c, som
med lovforslaget foreslås uændret videreført i § 85 d, i det
omfang forholdet er omfattet af de særlige bestemmelser.
Den generelle bestemmelse vil således kun finde anvendelse
på forhold, der ikke er omfattet af andre bestemmelser om
påbud i loven eller i regler udstedt med hjemmel i loven.
Ved § 85 c, stk. 2 og 3, om påbud vedr. it-beredskab, gælder
det dog at disse først kan finde anvendelse efter, at den ge-
nerelle påbudsbestemmelse i § 85 d, er udnyttet.
Stk. 2 gennemfører eldirektivets artikel 37, stk. 1, litra d,
som bl.a. kræver, at de regulerende myndigheder gennemfø-
rer relevante juridisk bindende afgørelser fra agenturet for
samarbejde mellem energireguleringsmyndigheder i EU.
Energitilsynets forpligtelse efter artikel 37, stk. 1, litra d, til
selv at overholde relevante juridisk bindende afgørelser fra
agenturet (og fra Europa-Kommissionen) som er gennemført
ved § 79 a, hvortil der henvises. Hermed gives Energitilsy-
net hjemmel til at sikre overholdelsen af agenturets binden-
de afgørelser. Manglende overholdelse af et sådant påbud er
strafsanktioneret i lovens § 87, stk. 1, nr. 7.
Agenturet kan træffe bindende afgørelser efter artikel 7, stk.
1, og i visse tilfælde efter artikel 8 i agenturforordningen
samt i visse tilfælde efter artikel 17, stk. 5, i elforordningen,
jf. agenturforordningens artikel 9. Der henvises til bemærk-
ningerne til § 79 a i Forslag til lov om ændring af lov om
elforsyning, lov om naturgasforsyning, lov om varmeforsy-
ning, lov om Energinet.dk og lov om fremme af vedvarende
energi. (Gennemførelse af el- og gasdirektiverne m.v.). som
findes i Folketingstidende 2010-11 (1. samling), tillæg A, L
87, side 37-38.
Stk. 2 giver Energitilsynets hjemmel til at udstede påbud til
situationer, hvor der er tale om forhold, der strider mod
Europa-Parlamentets og Rådets forordning nr.
1227/2011/EU af 25. oktober 2011 med eventuelle senere
ændringer eller de delegerede retsakter eller gennemførel-
sesretsakter, der er vedtaget på grundlag af forordningen.
Bestemmelsen indebærer, at Energitilsynet kan påbyde, at
forhold, der strider mod bestemmelserne i Europa-Parla-
mentets og Rådets Forordning nr. 1227/2011 af 25. oktober
2011 (REMIT-forordningen) eller de delegerede retsakter
eller gennemførelsesretsakter, der er vedtaget på grundlag
heraf, bringes i orden straks eller inden for en nærmere angi-
ven frist.
Kommissionen kan vedtage såkaldte delegerede retsakter for
at justere visse definitioner i forordningen med henblik på at
sikre overensstemmelse med anden relevant EU-lovgivning
på områderne for finansielle tjenesteydelser og energi. Kom-
missionen kan ligeledes vedtage gennemførelsesretsakter for
at præcisere markedsdeltagernes indberetningsforpligtelser.
Manglende efterlevelse af påbud meddelt i henhold til § 85
c, stk. 2, vil kunne straffes med bøde, jf. den gældende be-
stemmelse i § 87, stk. 1, nr. 7, i lov om elforsyning, med-
mindre højere straf er forskyldt efter anden lovgivning.
Til nr. 7
Efter den nugældende § 86 i elforsyningsloven kan Energi-
tilsynet som tvangsmiddel pålægge de pågældende daglige
eller ugentlige bøder, hvis nogen undlader rettidigt at efter-
komme et påbud meddelt af Energitilsynet efter § 85 c, stk.
1, om at give oplysninger i henhold til § 22, stk. 3, eller at
efterkomme et påbud meddelt af Energitilsynet i medfør af §
77. Det samme gælder, hvis nogen undlader rettidigt at ef-
terkomme et påbud meddelt af Energitilsynet efter § 85 c,
stk. 2, om at opfylde de pligter, der påhviler vedkommende
efter artikel 3, stk. 4, litra b, 2. pkt., artikel 8, stk. 1, 1. og 2.
pkt., eller stk. 5, 1. pkt., eller artikel 9, stk. 1 eller 5, i Euro-
26
pa-Parlamentets og Rådets forordning nr. 1227/2011/EU af
25. oktober 2011 om integritet og gennemsigtighed på en-
grosenergimarkederne.
Det foreslås at ændre bestemmelsens henvisninger til § 85 c,
således at bestemmelsen henviser til § 85 d.
Den foreslåede ændring er en konsekvensændring som følge
af lovforslagets § 1, nr. 7, da den nugældende § 86, stk. 1 i §
85 d henviser to steder til den nugældende § 85 c, stk. 1 og
2, som foreslås videreført uændret i den foreslåede bestem-
melse til § 85 d, stk. 1 og 2.
Til § 2
Til nr. 1
Efter de gældende § 15 a, stk. 4, 2. pkt., kan det i reglerne
der udstedes efter denne bestemmelse fastsættes, at tilsyn
med beredskabsarbejde efter stk. 1 skal udføres af det trans-
missionsselskab, der varetager opgaver efter stk. 2.
Det foreslås at § 15 a, stk. 4, 2. pkt., ophæves i lov on natur-
gasforsyning. Herved forudsættes, at bestemmelser i § 30 i
lov om naturgasforsyning vedrørende tilsyn anvendes. Den-
ne lovændring har til formål at fastsætte ensartede rammer
for tilsynet med beredskab og it-beredskabet. Denne lovæn-
dring pålægger energi-, forsynings- og klimaministeren at
fastsætte regler for tilsynet i medfør af § 15 a. Det er hensig-
ten, at energi-, forsynings- og klimaministeren kan fastsætte
regler, der pålægger enten Energinet.dk, Energistyrelsen el-
ler anden egnet myndighed at føre tilsyn med virksomheder-
nes overholdelse af reglerne fastsat i medfør af § 15. Ener-
gi-, forsynings- og klimaministeren kan tillægge en relevant
myndighed tilsynsopgave efter en vurdering af, hvilken in-
stitution der findes mest egnet til at løse tilsynsførelsen.
Energistyrelsen fører tilsyn med den udpegede tilsynsmyn-
dighed, medmindre Energistyrelsen selv varetager tilsynet
med virksomhederne, da pålægges Energi-, Forsynings- og
Klimaministeriets departement at føre tilsyn med Energisty-
relsen.
En vurdering af, hvilken institution der skal føre tilsyn med
virksomhederne, skal omfatte såvel økonomiske som orga-
nisatoriske forhold af betydning, herunder skal følgende for-
hold som minimum vurderes:
1. Energistyrelsens tilsyn med Energinet.dk, herunder
Energistyrelsens mulighed for at føre tilsyn med til-
synsførelsen overfor virksomhederne.
2. Virksomhedernes samarbejde med Energinet.dk i såvel
beredskabssituationer som i forbindelse med planlæg-
ning af beredskabsarbejdet.
3. Energinet.dk’s it-beredskabsarbejde internt.
4. Sammenhæng og synergi med andre opgaver indenfor
beredskabet.
Disse forhold er afhængige af mange faktorer, herunder de
mulige truslers karakter, de økonomiske rammer for Energi-
net.dk, Energinet.dk’s handler med balancevirksomheder,
udviklingen af markedet for it-serviceydelser og sektorernes
øvrige regulering. Ved at kunne ændre på fordelingen af til-
synsopgaver ved Energinet.dk og Energistyrelsen skal ener-
gi-, forsynings- og klimaministeren sikre, at tilsynsopgaven
pålægges den institution, der efter ovennævnte forhold har
de bedste vilkår for at føre tilsynet med virksomhedernes ef-
terlevelse af disse regler.
Tilsynet med virksomhederne kan tilpasses til virksomhe-
dernes kritikalitet for den samlede elforsyning. Tilsynsmyn-
digheden skal gennemføre tilsynsbesøg årligt ved virksom-
heder, der varetager kritiske systemer, mens tilsynet ved de
resterende virksomheder kan begrænses til treårlige tilsyns-
besøg suppleret af løbende underretninger og skriftlig kom-
munikation om ændringer af beredskabsplaner og risikoun-
dersøgelser.
Tilsynsmyndigheden skal dokumentere de gennemførte til-
syn, og virksomhederne skal have mulighed for at kommen-
tere tilsynsmyndighedens tilsynsdokumentation.
Tilsynet med virksomhedernes beredskabsarbejde forudsæt-
ter, at virksomhederne meddeler tilsynsmyndigheden rele-
vante oplysninger bl.a. risiko- og sårbarhedsvurderinger
samt beredskabsplaner, procedurer m.m., som er udarbejdet
på grundlag af disse risiko- og sårbarhedsvurderinger. Vur-
dering af dette materiale forudsætter faglig viden om drifts-
forholdene i de forskellige former for virksomhed inden for
elsektoren. Tilsynsmyndigheden kan indhente oplysninger
om aktuelle og historiske driftsforhold ved Energinet.dk’s
kontrolcenter, alene med det formål at vurdere tilstrækkelig-
heden af virksomhedernes beredskabsarbejde i forhold til
deres kritikalitet for det samlede el-system.
Tilsynsarbejdet skal adskilles fra Energinet.dk’s overordne-
de koordinerende opgaver i beredskabssituationer. Disse
overordnede, koordinerende opgaver forudsætter ligeledes et
kendskab til de enkelte virksomheders it-beredskab, dettes
omfang og kvalitet samt det indbyrdes samspil mellem de
forskellige virksomheders beredskab. Såfremt Energinet.dk
varetager opgaven som tilsynsmyndighed, og derved vareta-
ger både de overordnede koordinerende beredskabsopgaver
efter § 15 a, stk. 2, og tilsynet med virksomhedernes bered-
skabsarbejde, skal Energinet.dk tilsikre, at virksomhederne
oplyses om, hvilke informationer der anvendes i tilsynsøje-
med. Energistyrelsen pålægges at føre tilsyn med Energi-
net.dk’s arbejde med at sikre beskyttelse af egne forsynings-
kritiske it-systemer og varetagelse af de overordnede koor-
dinerende opgaver i beredskabssituationer. Energistyrelsen
pålægges endvidere at føre tilsyn med Energinet.dk’s tilsyn
med virksomhedernes it-beredskabsarbejde, såfremt Energi-
net.dk varetager tilsynet over for virksomhederne.
27
Til nr. 2
Det foreslås at indsætte en bestemmelse om it-beredskab,
som er ny. Den foreslåede bestemmelse indebærer, at bevil-
lingspligtige virksomheder efter § 10 og Energinet.dk og
dennes helejede datterselskaber skal opretholde et it-bered-
skab, herunder planlægge og træffe nødvendige foranstalt-
ninger for at sikre beskyttelsen af kritiske it-systemer af be-
tydning for naturgasforsyning.
Bestemmelsen omfatter Energinet.dk og dennes helejede
datterselskaber. Endvidere omfatter bestemmelsen bevil-
lingspligtige virksomheder efter § 10 i lov om naturgasfor-
syning. Disse virksomheder er ligeledes omfattet af det al-
mene beredskabsarbejde efter § 15 a i lov om naturgasforsy-
ning.
For at begrænse virksomhedernes ressourceforbrug til efter-
levelse af regler om it-beredskab, samt begrænse ressource-
forbruget i forbindelse med tilsyn ved såvel virksomhederne
som myndighederne forudsættes den fremtidig regulering i
medfør af de foreslåede bestemmelser i § 15 b, stk. 5 og 6,
at indeholde en opdeling af virksomhederne i tre nærmere
definerede kategorier, og at der fastsættes graduerede krav i
forhold til denne inddeling. Se herom nedenfor.
Virksomheder kan drive it-systemer, der ikke anses for at
være et kritisk it-system for den enkelte virksomhed, men
som kan have indflydelse på driften af kritiske it-systemer
ved andre virksomheder. Denne type it-systemer skal hånd-
teres som kritiske it-systemer. Der kan endvidere forekom-
me it-systemer, der styrer anlæg ved flere virksomheder, og
disse it-systemer kan have varieret kritikalitet for de enkelte
virksomheder. Denne type it-systemer skal beskyttes ud fra
en vurdering af deres samlede betydning for det samlede na-
turgasforsyning.
Den foreslåede ordning indebærer en pligt for de omfattede
virksomheder til at foretage en rettidig it-beredskabsplan-
lægning, således at nedbrud, fejl eller angreb i virksomhe-
dens it-systemer ikke afstedkommer forsyningsnedbrud.
Kritiske it-systemer varetager centrale funktioner for forsy-
ningen, hvor nedbrud, angreb eller fejl i disse it-systemer vil
kunne påvirke forsyningen. Såfremt det ikke er muligt at
fjerne risikoen for forsyningsnedbrud som resultat af ned-
brud, angreb eller fejl i virksomhedens it-systemer, skal
virksomheden beskytte disse kritiske it-systemer på en så-
dan måde, at nedbrudsperioden begrænses. Beskyttelsen af
kritiske it-systemer er ikke begrænset til en specifik trussels-
type eller et konkret risikoscenarie. Virksomhederne skal
vedligeholde et trusselsbillede, der indeholder både trusler
mod virksomhedernes egne kritiske it-systemer og de it-sy-
stemer, virksomheden er afhængig af. De kritiske it-syste-
mer skal beskyttes mod enhver trussel, der kan afstedkom-
me, at de styrings- og kontrolopgaver it-systemet varetager
forhindres eller forstyrres.
Virksomhederne skal træffe foranstaltninger, der anses for
nødvendige for at begrænse risikoen for forsyningsnedbrud
som resultat af forstyrrelser i kritiske it-systemer. Nødvendi-
ge foranstaltninger er i denne sammenhæng, alle tiltag der
kan begrænse konsekvenserne ved eller risikoen for et ned-
brud af forsyningen under hensynstagen til virksomhedernes
kommercielle drift. Disse foranstaltninger bør dog ikke kun-
ne forøge risikoen eller omfanget af skader på mandskab og
materiel i forbindelse med den operative håndtering af for-
styrrelser i kritiske it-systemer.
Vurderingen af, hvilke foranstaltninger der skønnes nødven-
dige, beror på den enkelte virksomheds forhold.
Ved vurdering af om en foranstaltning kan betragtes som
nødvendig, forudsættes virksomhederne at tillægge følgende
forhold værdi efter prioriteret rækkefølge:
1. Foranstaltningen medfører ikke øget risiko for person-
skade.
2. Foranstaltningen medfører ikke øget risiko for materiel
skade.
3. Foranstaltningen begrænser konsekvenserne og tids-
rummet af forsyningsnedbrud.
4. Foranstaltningen begrænser ikke virksomhedens hånd-
tering af andre beredskabssituationer udløst af andre
faktorer så som vejret, uheld eller fysiske angreb.
5. Foranstaltningen begrænser ikke virksomhedens øvrige
drift.
6. Foranstaltningen er naturlig at udføre i sammenhæng
med de daglige rutiner, hvorfor operatører vil være me-
re tilbøjelige til at anvende den i praksis.
7. Foranstaltningen påfører virksomheden begrænsede
omkostninger ved planlægning.
8. Foranstaltningen påfører virksomheden begrænsede
omkostninger ved iværksættelse.
Det forudsættes, at virksomhederne i forbindelse med denne
vurdering inddrager relevante medarbejdere med viden om
konkrete forhold samt fagpersoner med erfaring og viden in-
den for det specifikke område. Det forudsættes, at virksom-
hederne tilsikrer, at der løbende foregår en dialog internt
mellem relevante medarbejdere, således at evt. ændrede for-
hold i virksomhedens systemer kan inddrages i vurderingen
af, hvilke tiltag der er nødvendige for at sikre naturgasforsy-
ningen. Det forudsættes, at der efter den foreslåede bestem-
melse i § 15 b, stk. 5, udstedes regler der stiller krav om, at
virksomhederne skal kunne godtgøre, at disse forhold har
været inddraget i forbindelse med vurderingen.
Som eksempel på en nødvendig foranstaltning, som antages
at være relevant ved de fleste virksomheder, kan nævnes en
procedure for adgangsstyring til virksomhedens kritiske it-
28
systemer. Det er dog ikke sikkert, at en virksomhed, som ik-
ke har flerbrugeradgang til egne kritiske it-systemer, vil vur-
dere, at det er nødvendigt at have et automatiseret system,
der varetager logning af brugerdata og styringsdata.
Vurderingen af hvilke foranstaltninger der er nødvendige,
forudsætter at virksomheden har foretaget en grundig be-
handling af, hvilke risici og sårbarheder der er relevante for
virksomheden. Tilsynsmyndigheden kan anmode virksom-
hederne om at foretage vurderinger af konkrete risici- eller
sårbarheder, såfremt virksomhedens vurderinger findes
manglefulde eller utilstrækkelige. Der er således en sam-
menhæng mellem virksomhedernes risiko- og sårbarheds-
vurderinger, virksomhedernes interne organisering af it-be-
redskabsarbejdet, kendskabet til egne systemer, det generel-
le trusselsbillede og foranstaltningerne virksomhederne hver
især træffer.
De nødvendige foranstaltninger vil i nogle tilfælde afhænge
af virksomheden økonomiske forhold. Dermed er det ikke
hensigten at hensynet til økonomisk forhold skal prioriteres
fremfor hensynet til andre faktorer, men de nødvendige til-
tag bør tilrettelægges til virksomhederne øvrige tiltag og ak-
tiviteter, således at de økonomiske omkostninger forbundet
med it-beredskabet kan begrænses.
En virksomhed anses for at gennemfører de nødvendige til-
tag såfremt, der ved tilsyn kan forevises sammenhæng mel-
lem tiltagene, egne risiko- og sårbarhedsvurderinger og trus-
selsbilledet, der i øvrigt er anerkendt af personale med an-
svaret for it-sikkerheden, driften af forsyningssystemerne og
forretningen.
Det foreslås i stk. 2, at energi-, forsynings- og klimaministe-
ren kan påbyde en virksomhed omfattet af det foreslåede
stk. 1, at foretage en it-revision af forsyningskritiske it-sy-
stemer, såfremt den pågældende virksomhed ikke opfylder
et påbud udstedt af energi-, forsynings- og klimaministeren
efter § 47 b. Manglende overholdelse af et påbud efter stk. 2
efter en tidsfrist angivet af tilsynsmyndigheden vil føre vide-
re i påbuds- og sanktionsmulighederne, hvorefter det fore-
slåede stk. 3 i denne lov vil finde anvendelse. Overholder
den pågældende virksomhed ej heller påbuddet udstedt i
henhold til stk. 3, kan energi-, forsynings- og klimaministe-
ren anvende de sanktionsmuligheder, der følger af gældende
ret for sanktioner i naturgasforsyningsloven herunder kapitel
10, samt endeligt inddrage virksomhedens bevilling jf. § 33
i lov om naturgasforsyning.
Såfremt det i forbindelse med tilsyn eller på anden måde
konstateres, at den pågældende virksomhed ikke opfylder
kravet i den foreslåede § 15 b, stk. 1, om at opretholde et it-
beredskab, og ikke har truffet de nødvendige foranstaltnin-
ger, vil ministeren kunne udnytte den eksisterende hjemmel
til at udstede et påbud efter § 47 b, stk. 1, hvorefter energi-,
forsynings- og klimaministeren kan påbyde, at forhold, der
strider mod loven, mod regler eller afgørelser i medfør af lo-
ven, bringes i orden straks eller inden en nærmere angiven
frist. Stk. 2 har til formål at virksomheder overholder stk. 1,
da manglende overholdelse vil kunne bringe naturgasforsy-
ningen i fare. For at sikre overholdelse af stk. 1, henvises
der til bemærkningerne til stk. 1.
Opfylder den pågældende virksomhed ikke det meddelte på-
bud, jf. naturgasforsyningsloven § 47 b, stk. 1, kan energi-,
forsynings- og klimaministeren med den foreslåede ændring
i stk. 2, påbyde den pågældende virksomhed, at den får fore-
taget en it-revision af forsyningskritiske it-systemer.
En it-revision består i en teknisk gennemgang af virksomhe-
dens af it-systemer, samt virksomhedens it-politikker og it-
procedure således, at der etableres et billede om virksomhe-
dens it-drift. På baggrund af denne viden undersøger it-revi-
sionen virksomhedens evne til at fortsætte forsyningen i til-
fælde af it-angreb eller it-nedbrud. En it-revision kan basse-
res på et internationalt anerkendt it-sikkerhedsstyringssy-
stem såfremt tilsynsmyndigheden finder det forsvarligt i den
enkelte virksomhed.
Bestemmelsen har til formål at sikre kortlægningen af den
pågældende virksomheds it-systemer, herunder sikkerheds-
forhold, med henblik på at tilvejebringe et tilstrækkeligt sik-
kert og relevant it-beredskab. Energi-, forsynings- og klima-
ministeren fastsætter i medfør af den foreslåede ændring i §
15 b, stk. 5, regler om krav til indholdet af it-revisionen,
herunder krav om at it-revisionen skal indeholde anbefalin-
ger. Disse anbefalinger skal den pågældende virksomhed ef-
terleve og bringe i orden efter det forslåede stk. 3.
Den foreslåede ændring må forventes at få den konsekvens,
at beslutninger om virksomhedens it-beredskab sker på det
bedst mulige faglige grundlag.
Omkostninger forbundet med it-revisionen afholdes af den
pågældende virksomhed. Ved uafhængig revisor forstås en
revisor, som ikke er eller har været virksomhedens sædvan-
lige revisor og hverken har eller i perioden, som it-revisio-
nen vedrører, har haft andre opgaver for virksomheden. Den
uafhængige revisor skal være godkendt af tilsynsmyndighe-
den for at tilsikre tilstrækkelig og nødvendig faglighed af re-
visoren.
Det foreslås i stk. 3, at energi-, forsynings- og klimaministe-
ren kan påbyde virksomheder at gennemføre tiltag på bag-
grund af it-revisionen efter stk. 2, der skønnes nødvendige
for at overholde stk. 1 og derved tilsikre opretholdelse af en
sikker naturgasforsyning. Stk. 3 kan således kun finde an-
vendelse såfremt virksomheden først ikke har overholdt på-
buddet udstedt i henhold til § 47 b, og først efter at der er
foretaget en it-revision i henhold til det foreslåede stk. 2. It-
revisionen efter stk. 2 skal indeholde en række anbefalinger
29
fremsat af revisoren, der opstiller tiltag som den pågældende
virksomhed efter revisorens faglige vurdering skal bringe i
orden for at overholde stk. 1. Energi-, forsynings- og klima-
ministeren kan i påbuddet efter stk. 3 fastsætte en nærmere
tidsfrist for, hvornår forholdene skal være bragt i orden.
Overholder den pågældende virksomhed ikke påbuddet ud-
stedt i henhold til stk. 3, og bringer virksomheden ikke for-
holdende i orden inden for den fastlagte tidsfrist, kan ener-
gi-, forsynings- og klimaministeren anvende de sanktions-
muligheder, der følger af gældende ret for sanktioner i elfor-
syningsloven herunder kapitel 10, samt endeligt inddrage
virksomhedens bevilling jf. § 33.
Det har ikke tidligere været muligt i gældende ret for ener-
gi-, forsynings- og klimaministeren, at påbyde virksomheder
at gennemføre tiltag, der anses for at være nødvendige for
overholdelse af stk. 1 på baggrund af en it-revision. Over-
holdelsen af det foreslåede stk. 1 er så væsentlig for opret-
holdelsen af en sikker naturgasforsyning, at virksomhederne
til enhver tid skal overholde disse regler. Formålet med stk.
3 er derfor at skabe en yderligere mulighed for at virksom-
heder overholder stk. 1 på baggrund af revisorens rapport
frem for at sanktionere med bøde som har været tidligere
praksis i gældende ret, hvis den pågældende virksomhed ik-
ke har overholdt et påbud udstedt efter § 47 b. Både stk. 2
og stk. 3 er derfor nye foreslåede påbudsmuligheder, der
skal være med til at sikre opretholdelse af en sikker natur-
gasforsyning.
Den foreslåede ordning indebærer, at energi-, forsynings- og
klimaministeren fastsætter regler om krav til indholdet af it-
revisionen, herunder krav om at it-revisionen skal indeholde
anbefalinger i medfør af den foreslåede ændring i § 15 b,
stk. 5. For krav om indholdet til it-revisionen henvises til be-
mærkningerne til, stk. 5, nr. 6.
Omkostningerne forbundet ved it-revisionen og efterfølgen-
de tiltag på baggrund af it-revisionen, afholdes af den på-
gældende virksomhed.
For korrekt overholdelse af det foreslåede stk. 1 henvises til
bemærkningerne i stk. 1. Der henvises i øvrigt til de almin-
delige bemærkninger om sanktion og påbud i afsnit 3.3 og
samt bemærkningerne til stk. 1 om vurderingen af nødvendi-
ge foranstaltninger.
Det foreslås i stk. 4, at oplysninger, herunder vurderinger,
planer og data, vedrørende sikkerhedsforhold for forsy-
ningskritiske it-systemer i virksomheder omfattet af stk. 1 er
fortrolige, hvis oplysningerne er væsentlige af hensyn be-
skyttelse af driften af virksomheden eller det sammenhæn-
gende naturgassystem.
Den foreslåede bestemmelse indebærer, at oplysninger, her-
under vurderinger, planer eller data skal holdes fortrolige,
såfremt det skønnes nødvendigt af hensyn til virksomhedens
egen sikkerhed, andre virksomheders sikkerhed eller forsy-
ningssikkerheden på lokalt, regionalt eller nationalt niveau.
Det er som udgangspunkt udstederen eller ejeren af oplys-
ningerne, der vurdere oplysningernes fortrolighed, samt dra-
ger nødvendige foranstaltninger for at beskytte disse.
Bestemmelsen har til formål at modvirke, at oplysninger an-
vendes til at forvolde skade på den enkelte virksomheds for-
syningskritiske it-systemer eller det samlede naturgasforsy-
ning.
Ved vurderinger forstås i denne bestemmelse beskrivelser af
konkrete sårbarheder eller scenarier, der kan afstedkomme
en krisesituation eller et it-angreb. Vurderinger henviser bå-
de til virksomhedens egne vurderinger af egne systemer
samt vurderinger af det samlede naturgassystems sårbarhe-
der.
Ved planer forstås i denne bestemmelse beskrivelser af pro-
cedurer, handlinger eller foranstaltninger, der skal forhindre
eller forebygge en krisesituation eller et it-angreb. Planer
henviser både til it-beredskabsplaner og underliggende pro-
cedurer.
Ved data forstås i denne bestemmelse følsomme informatio-
ner bl.a. data om systemets drift, adgange eller brugersty-
ring. Disse data beskriver forsyningskritiske it-systemers
opsætning og adgangsstyring.
Stk. 4 vedrører alene informationer af følsom karakter, der
kan anvendes til at forvolde skade på den enkelte virksom-
heds forsyningskritiske it-systemer eller den samlede natur-
gasforsyning.
§ 46 i lov om naturgasforsyning regulerer til en vis grad
virksomhedernes behandling af fortrolige oplysninger. Disse
bestemmelser er dog målrettet kommercielt følsomme op-
lysninger. Formålet med disse bestemmelser er at tilsikre, at
virksomheder ikke må videregive kommercielt følsomme
oplysninger til andre med det resultat, at et andet selskab får
konkurrencemæssige fordele i forhold til øvrige selskaber.
Det er ikke hensigten med stk. 5 at sikre kommercielt føl-
somme oplysninger, men hensigten at sikre, at virksomheder
ikke videregiver oplysninger, der kan være med til at bringe
naturgasforsyningen i fare.
Bestemmelsen i det foreslåede stk. 4 regulerer ikke oplys-
ninger som energi-, forsyning- og klimaministeren, herunder
Energistyrelsen, modtager f.eks. i forbindelse med tilsyn.
Oplysninger der ved tilsyn eller på anden vis kommer ener-
gi-, forsynings- og klimaministeren i hænde, vil være regu-
leret af § 27, stk. 2 i forvaltningsloven, der tilsikrer tav-
shedspligt inden for den offentlige forvaltning, og at oplys-
30
ninger, der er af væsentlig betydning for statens sikkerhed
eller rigets forsvar, ikke må videregives. Oplysninger, der
kommer energi-, forsynings- og klimaministeren i hænde,
vil være omfattet af reglerne om aktindsigt i henhold til lov
om offentlighed i forvaltningen, samt lov om aktindsigt i
miljøoplysninger i de tilfælde, hvor det skønnes, at oplys-
ningerne vedrører miljøoplysninger efter definitionen i § 3 i
miljøoplysningsloven.
Det foreslås i stk. 5, at energi-, forsynings- og klimaministe-
ren fastsætter regler for det it-beredskab, som virksomheder
omfattet af stk. 1, skal opretholde.
Den foreslåede ordning indebærer, at energi-, forsynings- og
klimaministeren får pligt til at fastsætte regler for en række
områder af betydning for it-beredskabet på området for na-
turgasforsyning.
Som en følge af den produktionsmæssige, informationstek-
nologiske udvikling anses det for hensigtsmæssigt, at mini-
steren får pligt til at udstede regler i bekendtgørelsesform
for at kunne tilpasse kravene til it-beredskabet i naturgasfor-
syningen løbende.
Ministeren forudsættes i forbindelse med udmøntning af for-
pligtelsen til at udstede regler at fastsætte krav til virksom-
hederne, som følger den teknologiske og kommercielle ud-
vikling i sektoren, således at kravene kan anses for nødven-
dige, egnede og forholdsmæssige i forhold til behovet for
beskyttelse af kritiske it-systemer.
Det forudsættes endvidere, at reglerne om it-beredskab, der
vedrører fagudtryk og referencer indenfor såvel det it-tekni-
ske område som det beredskabsfaglige område, indeholder
nærmere definitioner og præcisering af faglige begreber og
termer.
Energi-, forsynings- og klimaministeren forudsættes ligele-
des at fastsætte regler, der graduerer kravene til virksomhe-
derne på baggrund af deres kritikalitet, således at virksom-
heder, der anses for kritiske for den nationale naturgasforsy-
ning stilles skærpede krav i forhold til virksomheder, der
kun anses for kritiske for den lokale naturgasforsyning. Reg-
lerne for virksomhederne forudsættes gradueret alt efter om
det er tale om virksomheders betydning for den nationale,
regionale eller lokale naturgasforsyning.
Virksomheder af kritisk betydning for den nationale natur-
gasforsyning er:
– Virksomheder der leverer en mængde naturgas, der ved
et forsyningsafbrud vil være kritisk for det sammenhæn-
gende naturgassystem.
– Virksomheder der driver naturgastransmissionsnettet.
– Virksomheder der udøver styring af distributionsnet, der
har betydning for leveringen af naturgas til 250.000 for-
brugere eller mere.
Virksomheder af kritisk betydning for den regionale natur-
gasforsyning er:
– Virksomheder der leverer en mængde naturgas, der ved
et forsyningsafbrud ikke vil være kritisk for det sam-
menhængende naturgassystem.
– Virksomheder der udøver styring af distributionsnet, der
leverer naturgas til et større område med mindre end
250.000 forbrugere.
Virksomheder af kritisk betydning for den lokale naturgas-
forsyning er:
– Virksomheder der leverer en naturgas uden betydning
for det samlede system.
– Virksomheder der udøver styring af distributionsnet, der
leverer naturgas til ganske få forbrugere.
Den foreslåede bestemmelse i stk. 5, nr. 1, indebærer nær-
mere, at energi-, forsynings- og klimaministeren fastsætter
regler om organisering af virksomhedens it-beredskab og
evne til at modtage advarsler om trusler mod it-sikkerheden.
Bemyndigelsen forudsættes udmøntet ved at udstede regler,
der mere detaljeret beskriver krav til den organisatoriske
sammenhæng mellem beredskabsarbejdet og it-beredskabet,
herunder forpligtiger virksomhederne til at etablere en enty-
dig ansvarsfordeling mellem ledelsen og de faglige kompe-
tencer i organisationen, således at virksomheden kan udar-
bejde et komplet risikobillede.
Bestemmelsen forudsættes således udnyttet ved, at energi-,
forsynings- og klimaministeren fastsætter krav til virksom-
hedernes organisering, således at de kan modtage samt vide-
reformidle varsler om akutte eller generelle trusler mod it-
sikkerheden. Disse krav skal pålægge virksomhederne an-
svaret for beskyttelsen af egne forsyningskritiske it-syste-
mer, men samtidig forpligte alle virksomheder til at formid-
le disse oplysninger til myndighederne og Energinet.dk, så-
ledes at disse oplysninger kan bidrage til den samlede be-
skyttelse af naturgassektoren og samfundets forsyning. Det
forudsættes endvidere, at der fastsættes krav om, at oplys-
ninger skal videregives til Energinet.dk med det formål at
give Energinet.dk mulighed for at udarbejde risiko- og sår-
barhedsvurderinger samt beredskabsplaner for de samlede
sektorer. Samtidig skal de videregivne oplysninger give
Energinet.dk, tilsynsmyndigheden og Energistyrelsen et ind-
blik i sikkerheden vedrørende kritiske it-systemer for sekto-
ren. Der kan endvidere være andre myndigheder, der af hen-
syn til den nationale sikkerhed eller på baggrund af forplig-
tigelser overfor allierede eller det europæiske samarbejde,
skal informeres om akutte trusler eller konkrete risici. Ener-
31
gi- forsynings- og klimaministeren fastsætter nærmere regler
for viderebringes af denne type information.
Den foreslåede bestemmelse i stk. 5, nr. 2, indebærer nær-
mere, at energi-, forsynings- og klimaministeren fastsætter
regler om planlægning og beredskabsarbejde, som virksom-
hederne skal udføre for at modvirke trusler mod it-sikkerhe-
den, herunder virksomhedernes pligt til at videregive oplys-
ninger til Energinet.dk og relevante myndigheder.
Den foreslåede bestemmelse i stk. 5, nr. 3, indebærer nær-
mere, at energi-, forsynings- og klimaministeren fastsætter
regler om virksomhedernes risikostyring, herunder inddra-
gelse af andre virksomheder i risikovurderinger.
Ved risikostyring forstås i denne sammenhæng de processer
og procedure den enkelte virksomhed foretager for at erken-
de og håndterer risici for forsyningssikkerheden afledet af
anvendelse af it-systemer.
Bestemmelsen forudsættes udnyttet ved, at energi-, forsy-
nings- og klimaministeren fastsætter specifikke regler om
indholdet i virksomhedernes relevante lokale risikostyring.
Denne lokale risikostyring begrænses ikke til enkelte trusler
eller andres erfaringer, men tager udgangspunkt i virksom-
hedens egne forhold. Det skal samtidig være muligt for virk-
somhederne at begrænse deres ressourceforbrug på denne
opgave, såfremt det findes forsvarligt. Dette kan gøres ved,
at virksomheder, der deler it-systemer eller virksomheder,
der af andre årsager deler risikobillede, kan indgå aftaler om
at samordne deres it-beredskab. Dette skal dog godkendes af
tilsynsmyndigheden.
Den lokale risikostyring ved virksomhederne er central for
en effektiv beskyttelse af it-systemerne. Det er derfor hen-
sigten, at bestemmelsen skal give energi-, forsynings- og
klimaministeren hjemmel til at fastsætte krav til denne risi-
kostyring og beredskabsplanlægning, således at der kan op-
nås en hyppighed og detaljeringsgrad af disse risikovurde-
ringer, der modsvarer det generelle trusselsbillede. Det er
endvidere hensigten, at der udstedes regler om, at virksom-
hederne kan pålægges at udarbejde risikovurderinger af spe-
cifikke trusler inden for 3 måneder. Virksomhederne skal lø-
bende vurdere, om der er behov for yderligere risikovurde-
ringer. Virksomhederne forventes pålagt at udarbejde risiko-
vurderinger med en hyppighed og detaljeringsgrad, der føl-
ger deres kritikalitet for det samlede el- eller naturgassy-
stem.
Det forventes ikke, at virksomhederne vil blive pålagt at
foretage risikovurderinger af samtlige trusler oftere end hver
sjette måned. Det forventes, at hyppigheden af risikovurde-
ringer vil følge området og truslernes teknologiske udvik-
ling.
Virksomhedernes trussels- og risikokendskab samt virksom-
hedernes evne til at reagere på disse er en forudsætning for
en fyldestgørende risikostyring af egne it-systemer.
Virksomhedernes risikostyring skal inddrage alle væsentlige
risici, herunder også risici, der er afledt af samarbejde med
tredjeparter, der har adgang til virksomhedens it-systemer.
Den foreslåede bestemmelse i stk. 5, nr. 4, indebærer, at
energi-, forsynings- og klimaministeren fastsætter regler om
tilmelding til en tjeneste, der yder varsler og informationer
om it-sikkerhedstrusler.
Denne bestemmelse forudsættes udnyttet ved, at energi-,
forsynings- og klimaministeren fastsætter krav til indholdet
af de aftaler, de enkelte virksomheder indgår med en it-sik-
kerhedstjeneste. Disse krav kan pålægge tjenester at videre-
formidle informationer til Energinet.dk eller andre virksom-
heder i el- og naturgassektorerne. Dette krav har til hensigt
at forhindre, at en virksomhed eller Energinet.dk ikke kan
videreformidle informationer af betydning for sikkerheden
ved andre virksomheder i el- eller naturgassektoren af hen-
syn til ophavsret eller en aftalebegrænsning. Kravene kan
endvidere beskrive, under hvilke vilkår kontrakter mellem
virksomheder og it-sikkerhedstjenester kan godkendes, såle-
des at energi-, forsynings- og klimaministeren kan fastsætte
procedure for godkendelse, der sikrer en ensartet og fagligt
forsvarlig kontraktindgåelse under hensyn til markedets ud-
vikling.
Det er hensigten med bestemmelsen at sikre et minimumsni-
veau for de kommercielle varslingstjenester ved at pålægge
energi-, forsynings- og klimaministeren at fastsætte nærme-
re krav, der pålægger, at alle virksomheder tilmeldes en it-
sikkerhedstjeneste, der leverer informationer om relevante
trusler og risici mod it-sikkerheden. En sådan proaktiv tjene-
ste vil bidrage til virksomhedernes interne it-sikkerhedspro-
cesser. Det er endvidere hensigten at give energi-, forsy-
nings- og klimaministeren hjemmel til at fastsætte graduere-
de krav til de reaktive ydelser en it-sikkerhedstjeneste kan
yde, således at virksomheder, der ejer it-systemer af betyd-
ning for el- og naturgasforsyningen regionalt eller nationalt,
kan pålægges at skulle være tilmeldt en it-sikkerhedstjene-
ste, der kan reagere på akutte trusler mod virksomhedens it-
systemer og assistere virksomheden i forbindelse med en
håndtering af en trussel eller genopretning af it-systemer og
opklaring af sårbarheder efter et nedbrud eller it-angreb.
En effektiv anvendelse af en sådan reaktiv tjeneste kræver,
at virksomhederne stiller de fornødne ressourcer til rådighed
til såvel direkte omkostninger til tjenesten som indirekte
omkostninger forbundet med en hyppig dialog om sårbarhe-
der og systemdrift mellem virksomheden og tjenesten. Det
er hensigten at energi-, forsynings- og klimaministeren på-
lægges at udarbejde nærmere krav til disse it-sikkerhedstje-
nester og revidere disse krav løbende i forhold til den tekno-
logiske og kommercielle udvikling af såvel energimarkeder-
ne og markedet for it-sikkerhedsydelser. Det er ikke hensig-
32
ten med denne bemyndigelse at pålægge ministeren at fast-
sætte tekniske specifikationer til hvordan it-sikkerhedstjene-
sten håndtere deres opgave. Der foreligger en mulighed for,
at der på baggrund af kontraktudarbejdelsen mellem virk-
somheder og it-sikkerhedstjenester opbygges en vejledning
til minimumskrav til disse kontrakter. Der foreligger også
muligheden for at virksomhederne vælger at varetage opga-
verne som it-varslingstjeneste ved en intern organisering,
dette medfører dog et dokumentationskrav, således at det
kan godtgøres at denne it-sikkerhedstjeneste efterlever krav
udstedt af energi-, forsynings- og klimaministeren.
Det bemærkes, at de udstedte regler om træder i kraft på
tidspunkt, hvor virksomhederne har haft mulighed på at ind-
rette sig i forhold til dette krav.
Den foreslåede bestemmelse i stk. 5, nr. 5, indebærer, at
energi-, forsynings- og klimaministeren fastsætter regler om
Energinet.dk’s varetagelse af overordnede, koordinerende
planlægningsmæssige og operative opgaver vedrørende det
beredskab, som er nævnt i stk. 1.
Bestemmelsen forudsættes udnyttet ved, at ministeren udste-
der regler om, at Energinet.dk kan tilgå relevante informati-
oner og skabe det fornødne overblik over situationen, herun-
der hvilke oplysninger og materiale i øvrigt virksomhederne
skal stille til rådighed for Energinet.dk, og herunder bemyn-
dige Energinet.dk til at forlange dette materiale udfyldt i et
specifikt format. Dette materiale skal kunne håndteres med
den fornødne fortrolighed.
Det forventes, at energi-, forsynings- og klimaministeren
fastsætter regler, hvorefter Energinet.dk pålægges som en
del af det overordnede koordinerende arbejde at bidrage til
udarbejdelsen af sektorspecifikke trusselsvurderinger.. Den-
ne opgave kræver, at Energinet.dk stiller kompetente res-
sourcer til varetagelse af denne opgave.. Energi-, forsy-
nings- og klimaministeren kan fastsætte nærmere regler for
dette samarbejde samt vejlede Energinet.dk i varetagelse af
denne opgave.
Virksomhedernes indblik i egne it-systemer og erkendelse af
anormaliteter kan være af afgørende betydning for andre
virksomheders, Energinet.dk’s og det samlede el- og natur-
gassystems evne til at begrænse eller forhindre skader ved et
it-angreb. Det er derfor vigtigt, at virksomhederne øver og
evaluerer hændelser. Dertil kommer, at virksomhederne skal
formidle såvel øvelseserfaringer og erfaringer efter hændel-
ser, der har aktiveret it-beredskabsplanen i væsentligt om-
fang til Energinet.dk samt andre virksomheder. Energi-, for-
synings- og klimaministeren kan fastsætte nærmere regler
herom.
Den foreslåede bestemmelse i stk. 5, nr. 6, indebærer, at
energi-, forsynings- og klimaministeren fastsætter regler om
krav til indholdet og planlægningen af en it-revision ved en
uafhængig revisor, jf. det foreslåede stk. 2. Bestemmelsen
forudsættes udnyttet ved, at energi-, forsynings- og klima-
ministeren fastsætter regler om gennemførelsen og afrappor-
teringen af en it-revision jf. det foreslåede stk. 2, herunder at
it-revisionen kan indeholde en række anbefalinger fremsat
af revisoren, der opstiller tiltag, som den pågældende virk-
somhed efter revisorens faglige vurdering skal bringe i or-
den for at overholde det foreslåede stk. 1.
På baggrund af krav til indholdet af it-revisorens rapport kan
tilsynsmyndigheden sikre en faglig kvalitet i it-revisionen,
hvorved tilsynsmyndighedens afgørelser kan underbygges
med konkret faglig indsigt.
Bestemmelsen pålægger endvidere energi-, forsynings- og
klimaministeren at fastsætte regler om, hvorledes en it-revi-
sion efter det foreslåede stk. 2 planlægges. Det er hensigten,
at der derved kan fastsættes minimumskrav til en it-revision
eller fastsættes krav om godkendelse af specifikke it-reviso-
rer.
Den teknologiske udvikling på dette område gør, at der er
behov for en vis fleksibilitet for, at energi-, forsynings- og
klimaministeren kan fastætte regler for indholdet af it-revisi-
onen og løbende kunne ændre kriterier for udvælgelse og
rapportering.
Det foreslås i stk. 6, at energi-, forsynings- og klimaministe-
ren pålægger enten Energinet.dk, Energistyrelsen eller an-
den egnet myndighed at føre tilsyn med virksomhedernes
overholdelse af reglerne fastsat i stk. 1. Energistyrelsen fører
tilsyn med den udpegede tilsynsmyndighed, medmindre
Energistyrelsen selv varetager tilsynet med virksomhederne,
da pålægges energi-, forsynings- og klimaministeriets depar-
tement at føre tilsyn med Energistyrelsen.
Denne bestemmelse forventes udmøntet i en bekendtgørelse,
der fastsætter nærmere regler vedr. tilsyn. Denne bekendtgø-
relse bør revideres jævnligt, så det er muligt at ændre orga-
niseringen af tilsynet efter en række foranderlige forhold.
Vurdering af, hvilken institution der skal føre tilsyn med
virksomhederne, skal omfatte såvel økonomiske som orga-
nisatoriske forhold af betydning, herunder skal følgende for-
hold som minimum vurderes:
1. Energistyrelsens tilsyn med Energinet.dk, herunder
Energistyrelsens mulighed for at føre tilsyn med til-
synsførelsen overfor virksomhederne.
2. Virksomhedernes samarbejde med Energinet.dk i såvel
beredskabssituationer som i forbindelse med planlæg-
ning af beredskabsarbejdet.
3. Energinet.dk’s it-beredskabsarbejde internt.
4. Sammenhæng og synergi med andre opgaver indenfor
beredskabet.
33
Disse forhold er afhængige af mange faktorer, herunder de
mulige truslers karakter, de økonomiske rammer for Energi-
net.dk, Energinet.dk’s handler med balancevirksomheder,
udviklingen af markedet for it-serviceydelser og sektorernes
øvrige regulering. Ved at kunne ændre på fordelingen af til-
synsopgaver ved Energinet.dk og Energistyrelsen skal ener-
gi-, forsynings- og klimaministeren sikre, at tilsynsopgaven
pålægges den institution, der efter ovennævnte forhold har
de bedste vilkår for at føre tilsynet med virksomhedernes ef-
terlevelse af disse regler.
Tilsynet med virksomhederne kan tilpasses til virksomhe-
dernes kritikalitet for den samlede naturgasforsyning. Til-
synsmyndigheden skal gennemføre tilsynsbesøg årligt ved
virksomheder, der varetager kritiske systemer, mens tilsynet
ved de resterende virksomheder kan begrænses til treårlige
tilsynsbesøg suppleret af løbende underretninger og skriftlig
kommunikation om ændringer af beredskabsplaner og risi-
koundersøgelser.
Tilsynsmyndigheden skal dokumentere de gennemførte til-
syn, og virksomhederne skal have mulighed for at kommen-
tere tilsynsmyndighedens tilsynsdokumentation.
Tilsynet med virksomhedernes beredskabsarbejde forudsæt-
ter fremskaffelse af oplysninger fra virksomhederne, bl.a. ri-
siko- og sårbarhedsvurderinger samt beredskabsplaner, pro-
cedurer m.m., som er udarbejdet på grundlag af disse risiko-
og sårbarhedsvurderinger. Vurdering af dette materiale for-
udsætter faglig viden om driftsforholdene i de forskellige
former for virksomhed inden for naturgassektoren. Tilsyns-
myndigheden kan indhente oplysninger om aktuelle og hi-
storiske driftsforhold ved Energinet.dk’s kontrolcenter, ale-
ne med det formål at vurdere tilstrækkeligheden af virksom-
hedernes beredskabsarbejde i forhold til deres kritikalitet for
det samlede naturgassystem.
Tilsynsarbejdet skal adskilles fra Energinet.dk’s overordne-
de koordinerende opgaver i beredskabssituationer. Disse
overordnede, koordinerende opgaver forudsætter ligeledes et
kendskab til de enkelte virksomheders it-beredskab, dettes
omfang og kvalitet samt det indbyrdes samspil mellem de
forskellige virksomheders beredskab. Såfremt Energinet.dk
varetager opgaven som tilsynsmyndighed, og derved vareta-
ger både de overordnede koordinerende beredskabsopgaver
efter § 15 a, stk. 2 og tilsyn efter denne bestemmelse, skal
Energinet.dk tilsikre, at virksomhederne oplyses om, hvilke
informationer der anvendes i tilsynsøjemed. Energistyrelsen
pålægges at føre tilsyn med Energinet.dk’s arbejde med at
sikre beskyttelse af egne forsyningskritiske it-systemer, va-
retage de overordnede koordinerende opgaver i beredskabs-
situationer. Dette tilsyn kan tilrettelægges således, at den
kan samordnes med tilsynet med virksomhedernes almene
beredskabsarbejde efter § 15 a i lov om naturgasforsyning.
Energistyrelsen pålægges endvidere at føre tilsyn med Ener-
ginet.dk’s tilsyn med virksomhedernes it-beredskabsarbejde
i det tilfælde, at Energinet.dk varetager opgaverne som til-
synsmyndighed over for virksomhederne.
Til nr. 3
Den gældende bestemmelse i § 30, stk. 2, indebærer, at der
kan opkræves gebyr for Energistyrelsens tilsyn med bevil-
lingshavere samt Energinet.dk og denne virksomheds hel-
ejede datterselskaber.
Det foreslås, at bestemmelsen i § 30, stk. 2, ændres, således
at der skabes hjemmel til, at Energistyrelsens tilsyn med be-
redskabsopgaver efter den foreslåede § 15 b kan gebyrfinan-
sieres.
Formålet med ændringen er at sikre finansieringen af den
nye tilsynsopgave, som foreslås i § 15 b. Den foreslåede æn-
dring betyder, at de kollektive elforsyningsvirksomheder
skal betale for de timer, som Energistyrelsen anvender til at
føre tilsyn med virksomhederne. Der beregnes en tilsyns-
sats, som vil blive fastsat ved bekendtgørelse. Den foreslåe-
de ændring har ikke til hensigt at begrænse anvendelsesom-
rådet for den gældende bestemmelse i § 30, stk. 2.
Til § 3
Det foreslås i stk. 1, at loven træder i kraft den 1. juli 2017,
jf. dog stk. 2.
Ikrafttrædelsestidspunktet er fastsat til den 1. juli 2017 un-
der hensyn til erhvervslivet mulighed for at indrette sig i
henhold til de nye krav til it-sikkerhedstjeneste mv.
Det foreslås i stk. 2, at lovforslagets § 1, nr. 2, som ikke er
erhvervsrettet, træder i kraft den 1. januar 2017 med henblik
på at sikre et klarere hjemmelsgrundlag for opkrævning ge-
byrer for Energistyrelsens behandling af godkendelser til, at
Energinet.dk kan etablere elforsyningsnet på søterritoriet og
i den eksklusive økonomiske zone.
34
Bilag
Lovforslaget sammenholdt med gældende lov
Gældende formulering Lovforslaget
§ 1
I lov om elforsyning, jf. lovbekendtgørelse nr. 418 af 25.
april 2016, som ændret ved § 1 nr. 30 i lov nr. 466 af 18.
maj 2011, § 7 i lov nr. 261 af 16. april 2016 og § 8 i lov nr.
427 af 18. maj 2016 foretages følgende ændringer:
§ 51. - - -
Stk. 1. - - -
Stk. 2. Bevillingshaverne samt Energinet.dk og denne
virksomheds helejede datterselskaber, jf. § 2, stk. 2 og 3, i
lov om Energinet.dk skal efter regler fastsat af energi-, for-
synings- og klimaministeren betale de udgifter, som er for-
bundet med tilsynet, herunder klagesagsbehandlingen.
Stk. 3-5- - -
1. I § 51, stk. 2, ændres ”bevillingshaverne samt” til:”bevil-
lingshaverne,”, efter ”lov om Energinet.dk” indsættes: ”,
samt virksomheder, der yder balancering af elsystemet,”, og
efter "herunder" indsættes: "tilsynet med beredskabsarbejdet
efter regler fastsat i medfør § 85 c, stk. 6, og".
§ 51 a.
Nr, 1. ---
2) behandling af ansøgning om tilladelse, herunder de til-
ladelser, der er nævnt i § 11, stk. 1, § 12 a, stk. 1, § 21, stk.
1, § 22 a, stk. 1, § 23, stk. 1, og § 37 a, stk. 1,
Nr. 3-4. ---
2. I § 51 a, nr. 2, indsættes efter "§ 37 a, stk. 1,": "samt § 4
a, stk. 1, i lov om Energinet.dk,".
§ 70…
Stk. 15.
3. I § 70 indsættes som stk. 15:
»Stk. 15. Energi-, forsynings- og klimaministeren kan fast-
sætte regler om, at Energitilsynet kan forhøje en netvirksom-
heds indtægtsramme som følge af dokumenterede merom-
kostninger, der følger af krav om
1) udskiftning og opgradering af elmålere til fjernaflæste
elmålere, fremskyndelse af investeringer i fjernaflæste elmå-
lere og indsendelse af timemålte forbrugsdata til datahubben
i henhold til regler fastsat af energi-, forsynings- og klima-
ministeren i medfør af § 20, stk. 2, og § 22, stk. 4,
2) sikring af realisering af dokumenterbare energibesparel-
ser i overensstemmelse med regler fastsat i medfør af § 22,
stk. 4, jf. § 22, stk. 1, nr. 5, og
3) tilmelding til en it-sikkerhedstjeneste i henhold til reg-
ler fastsat af energi-, forsynings- og klimaministeren i med-
før af § 85 c, stk. 5, nr. 4.«
4. Overskriften til kapitel 12 affattes således:
»Kapitel 12. Beredskab, fortrolighed, kontrol, oplysnings-
pligt og påbud«
35
§ 85 b. ---
Stk. 4. Energi-, forsynings- og klimaministeren kan fast-
sætte regler om udførelse af tilsyn med det beredskabsarbej-
de, der udføres efter stk. 1 og 2, herunder om virksomheder-
nes fremsendelse af materiale som grundlag for tilsynet, om
tilsynets beføjelser i forhold til virksomhederne og om kla-
geadgang. I reglerne kan det fastsættes, at tilsyn med bered-
skabsarbejde efter stk. 1 skal udføres af Energinet.dk.
5. § 85 b, stk. 4, 2. pkt., ophæves
§ 85 c. Energi-, forsynings- og klimaministeren og Energi-
tilsynet kan påbyde, at forhold, der strider mod loven, mod
regler eller afgørelser i henhold til loven eller mod Europa-
Parlamentets og Rådets forordning om betingelserne for net-
adgang i forbindelse med grænseoverskridende elektricitets-
udveksling, bringes i orden straks eller inden en nærmere
angivet frist.
Stk. 2. Energitilsynet kan påbyde, at forhold, der strider
mod en juridisk bindende afgørelse truffet af det europæiske
agentur for samarbejde mellem energireguleringsmyndighe-
der eller strider mod Europa-Parlamentets og Rådets forord-
ning om integritet og gennemsigtighed på engrosenergimar-
kederne eller mod retsakter, der er vedtaget på grundlag he-
raf, bringes i orden straks eller inden en nærmere angivet
frist.
6. Kapitel 12 a ophæves, og i stedet indsættes efter § 85 b
i kapitel 12:
»§ 85 c. Virksomheder, som er bevillingspligtige efter §§
10 og 19, Energinet.dk og dennes helejede datterselskaber
samt virksomheder, der yder balancering af elsystemet, skal
opretholde et it-beredskab, herunder planlægge og træffe
nødvendige foranstaltninger for at sikre beskyttelsen af kriti-
ske it-systemer der er, af betydning for elforsyningen.
Stk. 2. Energi-, forsynings- og klimaministeren kan ved
manglende opfyldelse af et påbud efter § 85 d om at over-
holde stk. 1 påbyde virksomheder at foretage en it-revision
af kritiske systemer ved en uafhængig revisor godkendt af
tilsynsmyndigheden.
Stk. 3. Energi-, forsynings- og klimaministeren kan påby-
de virksomheder at gennemføre tiltag, som på baggrund af
en it-revision, jf. stk. 2, skønnes nødvendige for at oprethol-
de et it-beredskab, jf. stk. 1.
Stk. 4. Informationer, herunder vurderinger, planer og da-
ta, vedrørende sikkerhedsforhold for kritiske it-systemer i
virksomheder omfattet af stk. 1 er fortrolige, hvis oplysnin-
gerne er væsentlige af hensyn til driften af virksomheden el-
ler det sammenhængende el-system.
Stk. 5. Energi-, forsynings- og klimaministeren fastsætter
nærmere regler for it-beredskab, jf. stk. 1, herunder regler
om
1) organisering af virksomhedens it-beredskab og evne til
at modtage advarsler om trusler mod it-sikkerheden,
2) planlægning og beredskabsarbejde, som virksomheder-
ne skal udføre for at modvirke trusler mod it-sikkerheden,
herunder virksomhedernes pligt til at videregive oplysninger
til Energinet.dk og relevante myndigheder,
3) virksomhedernes risikostyring, herunder inddragelse af
andre virksomheder i risikovurderinger,
4) tilmelding til en it-sikkerhedstjeneste, der yder varsler
og informationer om it-sikkerhedstrusler,
5) Energinet.dk’s varetagelse af overordnede, koordine-
rende planlægningsmæssige og operative opgaver vedrøren-
de it-beredskab, jf. stk. 1,
6) krav til indholdet og planlægningen af en it-revision
ved en uafhængig revisor, jf. stk. 2.
Stk. 6. Energi-, forsynings- og klimaministeren fastsætter
regler for udførelse af tilsyn med virksomheders it-bered-
skab, jf. stk. 1.
36
§ 85 d. Klima-, energi- og bygningsministeren og Energi-
tilsynet kan påbyde, at forhold, der strider mod loven, mod
regler eller afgørelser i henhold til loven eller mod Europa-
Parlamentets og Rådets forordning om betingelserne for net-
adgang i forbindelse med grænseoverskridende elektricitets-
udveksling, bringes i orden straks eller inden en nærmere
angivet frist.
Stk. 2. Energitilsynet kan påbyde, at forhold, der strider
mod en juridisk bindende afgørelse truffet af det europæiske
agentur for samarbejde mellem energireguleringsmyndighe-
der eller strider mod Europa-Parlamentets og Rådets forord-
ning (EU) nr. 1227/2011 af 25. oktober 2011 om integritet
og gennemsigtighed på engrosenergimarkederne eller mod
retsakter, der er vedtaget på grundlag heraf, bringes i orden
straks eller inden en nærmere angivet frist. «
§ 86. Undlader nogen rettidigt at efterkomme et påbud
meddelt af Energitilsynet efter § 85 c, stk. 1, om at give op-
lysninger i henhold til § 22, stk. 3, eller at efterkomme et på-
bud meddelt af Energitilsynet i medfør af § 77, kan Energi-
tilsynet som tvangsmiddel pålægge de pågældende daglige
eller ugentlige bøder. Det samme gælder, hvis nogen undla-
der rettidigt at efterkomme et påbud meddelt af Energitilsy-
net efter § 85 c, stk. 2, om at opfylde de pligter, der påhviler
vedkommende efter artikel 3, stk. 4, litra b, 2. pkt., artikel 8,
stk. 1, 1. og 2. pkt., eller stk. 5, 1. pkt., eller artikel 9, stk. 1
eller 5, i Europa-Parlamentets og Rådets forordning nr.
1227/2011/EU af 25. oktober 2011 om integritet og gennem-
sigtighed på engrosenergimarkederne.
7. I § 86, stk. 1, ændres »§ 85 c« to steder til: »§ 85 d«.
§ 2
I lov om naturgasforsyning, jf. lovbekendtgørelse nr. 1157
af 6. september 2016, foretages følgende ændringer:
§ 15 a...
Stk. 4. Klima-, energi- og bygningsministeren kan fastsæt-
te regler om udførelse af tilsyn med det beredskabsarbejde,
der udføres efter stk. 1 og 2, herunder om selskabernes frem-
sendelse af materiale som grundlag for tilsynet, om tilsynets
beføjelser i forhold til selskaberne og om klageadgang. I
reglerne kan det fastsættes, at tilsyn med beredskabsarbejde
efter stk. 1 skal udføres af det transmissionsselskab, der va-
retager opgaver efter stk. 2.
1. § 15 a, stk. 4, 2. pkt., ophæves.
§ 15 b... 2. Efter § 15 a indsættes før overskriften før § 16:
»§ 15 b. Selskaber, der er bevillingspligtige efter § 10,
samt Energinet.dk og dennes helejede datterselskaber, der
varetager naturgasforsyningsvirksomhed i henhold til § 2,
stk. 2 og 3, i lov om Energinet.dk skal opretholde et it-be-
redskab, herunder planlægge og træffe nødvendige foran-
staltninger for at sikre beskyttelsen af kritiske it-systemer,
der er af væsentlig betydning for naturgasforsyningen.
37
Stk. 2. Energi-, forsynings- og klimaministeren kan ved
manglende opfyldelse af et påbud efter § 47 b om at over-
holde stk. 1 påbyde virksomheder at foretage en it-revision
af kritiske it-systemer ved en uafhængig revisor godkendt af
tilsynsmyndigheden.
Stk. 3. Energi-, forsynings- og klimaministeren kan påby-
de virksomheder at gennemføre tiltag, som på baggrund af
en it-revision, jf. stk. 2, skønnes nødvendige for at oprethol-
de et it-beredskab, jf. stk. 1.
Stk. 4. Informationer, herunder vurderinger, planer og da-
ta, vedrørende sikkerhedsforhold for forsyningskritiske it-
systemer i virksomheder, som er omfattet af stk. 1, er fortro-
lige, hvis oplysningerne er væsentlige af hensyn til driften af
virksomheden eller naturgassystemet.
Stk. 5. Energi-, forsynings- og klimaministeren fastsætter
regler for det it-beredskab, som virksomheder omfattet af
stk. 1 skal opretholde, herunder om:
1) organisering af virksomhedens it-beredskab og evne til
at modtage advarsler om trusler mod it-sikkerheden,
2) planlægning og beredskabsarbejde, som virksomheder-
ne skal udføre for at modvirke trusler mod it-sikkerheden,
herunder virksomhedernes pligt til at videregive oplysninger
til Energinet.dk og til energi-, forsynings- og klimaministe-
ren,
3) virksomhedernes risikostyring, herunder inddragelse af
andre virksomheder i risikovurderinger,
4) tilmelding til en tjeneste, der yder varsler og informati-
oner om it-sikkerhedstrusler,
5) Energinet.dk’s varetagelse af overordnede, koordine-
rende planlægningsmæssige og operative opgaver vedrøren-
de it-beredskabet, jf. stk.1, og
6) krav til indholdet og planlægningen af en it-revision
ved en uafhængig revisor jf. stk. 3.
Stk. 6. Energi-, forsynings- og klimaministeren fastsætter
regler for udførelse af tilsyn med det beredskabsarbejde, der
udføres efter stk. 1.«
§ 30...
Stk. 2. Bevillingshaverne samt Energinet.dk og denne
virksomheds helejede datterselskaber, jf. § 2, stk. 2 og 3, i
lov om Energinet.dk skal efter regler fastsat af klima-, ener-
gi- og bygningsministeren betale de udgifter, som er forbun-
det med tilsynet.
3. I § 30, stk. 2, indsættes efter "tilsynet": ", herunder tilsy-
net med beredskabsarbejdet efter § 15 b, stk. 6."
§ 3
Loven træder i kraft den 1. juli 2017, jf. dog stk. 2.
Stk. 2. § 1, nr. 2., træder i kraft 1. januar 2017.
38