Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren

Stk. 2 Regler om foranstaltninger til at understøtte anlægs modstandsdygtighed efter kapitel 10 finder anvendelse på virksomheder med anlæg klassificeret i henhold til § 6, stk. 2, jf. dog §§ 8, 42 og 43.

Stk. 3 Regler om foranstaltninger til at understøtte sikkerheden i net- og informationssystemer i denne bekendtgørelse finder anvendelse på de net- og informationssystemer, som virksomheder anvender til deres operationer eller til leveringen af deres tjenester jf. § 8 i lov om styrket beredskab i energisektoren.

Stk. 2 Energistyrelsen træffer afgørelse om en virksomheds niveauinddeling på grundlag af virksomhedens aktiviteter og betydning for den samlede forsyning i den pågældende delsektor på lokalt, regionalt, nationalt eller europæisk plan.

Stk. 3 Virksomheder, der opererer inden for flere delsektorer, tildeles det højeste niveau, jf. tærskelværdierne i bilag 1. Dette vurderes særskilt for hver selskabsretlig enhed med selvstændigt CVR-nummer.

Stk. 4 Virksomheder der i fællesskab varetager beredskabsarbejde i et samordnet beredskab, jf. § 113, tildeles samme niveau. Energistyrelsen inddrager i afgørelsen virksomhedernes indbyrdes forhold i leveringen af tjenester og deres samlede betydning for den samlede forsyning i de relevante delsektorer efter § 113.

Stk. 5 Energistyrelsen kan træffe afgørelse om, at en virksomhed skal tildeles et højere niveau, end hvad der fremgår af tærskelværdierne i bilag 1, hvis særlige omstændigheder gør, at den pågældende virksomhed leverer sin tjeneste til slutbrugere, der udgør kritiske enheder i andre sektorer.

Stk. 2 Energistyrelsen træffer afgørelse om klassificering af en virksomheds anlæg på grundlag af anlæggets funktion og betydning for den samlede forsyning i den pågældende delsektor på lokalt, regionalt, nationalt eller europæisk plan.

Stk. 3 Anlæg, som anvendes inden for flere delsektorer, klassificeres i højeste klasse, jf. tærskelværdierne i bilag 2.

Stk. 4 Sammenbyggede anlæg anses som ét anlæg og klassificeres efter det anlæg med den højeste klasse.

Stk. 5 Energistyrelsen kan træffe afgørelse om, at en virksomheds anlæg skal klassificeres i en højere klasse, end hvad der fremgår af tærskelværdierne i bilag 2, hvis særlige omstændigheder gør, at det pågældende anlæg kan påvirke leveringen af en virksomheds tjeneste til slutbrugere, der udgør kritisk infrastruktur i andre sektorer.

Stk. 6 Energistyrelsen kan give forhåndstilsagn om et anlægs forventede klasse ved etablering, sammenlægning og ændring af et anlæg. Energistyrelsens forhåndstilsagn er bindende, forudsat at de faktiske forhold, som tilsagnet er baseret på, ikke ændres.

Stk. 2 Foranstaltningerne i kapitel 10 finder ikke anvendelse for anlæg i klasse 1.

Stk. 2 Virksomheder skal uden unødigt ophold sende oplysninger om ændrede forhold af betydning for en virksomheds niveauinddeling og et anlægs klasse.

Stk. 3 Energistyrelsen kan kræve, at en virksomhed inden for en nærmere angivet frist på minimum en uge sender manglende oplysninger til brug for afgørelser efter § 4, stk. 2, og § 6, stk. 2.

Stk. 4 Inden for el- og fjernvarmesektoren videregiver Energistyrelsen oplysninger om virksomheders tildelte niveau samt virksomheders anlægs tildelte klasse til Forsyningstilsynet.

Stk. 2 Virksomheder skal have én cyberkoordinator til at kordinere foranstaltningerne til at understøtte sikkerheden i net- og informationssystemer, samt bistå beredskabsplanlægningen for virksomhedens net- og informationssystemer.

Stk. 3 Virksomheder med anlæg i klasse 4 og 5 skal have én eller flere sikringskoordinatorer til at koordinere foranstaltninger på virksomhedens anlæg i klasse 4 og 5.

Stk. 4 Beredskabskoordinatoren, cyberkoordinatoren og sikringskoordinatoren skal indbyrdes koordinere de forskellige områder, så virksomhedens beredskab planlægges ud fra et samlet risikobillede.

Stk. 5 Virksomhedens ledelsesorgan skal minimum fire gange årligt mødes med de koordinerende roller i stk. 1-3 med henblik på at tage stilling til virksomhedens organisatoriske beredskab, fysiske sikring og cybersikkerhed. Der skal føres referat af møderne.

Stk. 6 Virksomheder i niveau 4 og 5 må ikke have personsammenfald mellem beredskabskoordinatoren, cyberkoordinatoren og virksomhedens ledelsesorgan, der godkender risikovurderinger og beredskabsplaner efter § 10.

Stk. 7 Virksomheder skal underrette Energistyrelsen om opdaterede kontaktoplysninger på de koordinerende roller i stk. 1-3.

Stk. 2 Virksomheder skal tage stilling til behovet for redundans, herunder redundans af net- og informationssystemer og anlæg, som anvendes i leveringen af virksomhedens tjenester.

Stk. 3 Virksomheder skal indgå i den nationale krisehåndtering, herunder omsætte udmeldinger om ændringer i sektorberedskabsniveau og sektorberedskabsforanstaltninger til nødvendige tiltag i egen organisation uden unødigt ophold.

Stk. 2 Fortegnelser efter stk. 1 skal beskrive et anlægs funktion i leveringen af virksomhedens tjenester, dets kritikalitet for leveringen af virksomhedens tjenester, geografiske placering og eventuelle afhængigheder af reservedele, net- og informationssystemer og leverandører.

Stk. 3 Fortegnelser efter stk. 1 skal indeholde oplysninger om virksomhedens afhængighed af andre virksomheders anlæg i leveringen af virksomhedens tjenester.

Stk. 2 Fortegnelser efter stk. 1 skal indeholde beskrivelser af de processer, et net- og informationssystem understøtter, dets kritikalitet for leveringen af virksomhedens tjenester, intern ansvarsplacering, levetid og eventuelle afhængigheder af andre net- og informationssystemer og leverandører.

Stk. 3 Fortegnelser efter stk. 1 skal indeholde oplysninger om virksomhedens afhængighed af interne og eksterne net- og informationssystemer i leveringen af virksomhedens tjenester.

Stk. 2 Fortegnelsen efter stk. 1 skal indeholde en vurdering af risici for tab af fortrolighed, integritet og tilgængelighed for nævnte informationsstrømme.

Stk. 2 Risiko- og sårbarhedsvurderingen efter stk. 1 skal indeholde:

• 1) En identifikation og vurdering af risici og sårbarheder.

• 2) En vurdering af konsekvenser ved potentielle hændelser, herunder mulige afledte samfundsmæssige konsekvenser.

• 3) En handlingsplan for risikohåndtering, som angiver:

  • a) Foranstaltninger til at mitigere og styre risici og sårbarheder, herunder foranstaltninger jf. kapitel 10 og kapitel 11.

  • b) Tidsplan for implementering af foranstaltningerne i litra a.

  • c) Intern ansvarsplacering for implementering foranstaltningerne i litra a.

Stk. 3 Virksomheder skal som led i deres identifikation og analyse af risici og sårbarheder:

• 1) Tage stilling til Energistyrelsens risiko- og sårbarhedsscenarier, jf. § 107, stk. 5.

• 2) Inkludere relevante informationskilder, herunder virksomhedens egne erfaringer samt trussels- og sårbarhedsvurderinger fra myndigheder og it-sikkerhedstjenesten, jf. § 33, stk. 1.

• 3) Tage stilling til risici, der vurderes at være tilbage, efter at virksomheden har implementeret foranstaltninger efter stk. 2, nr. 3, litra a.

Stk. 4 Risiko- og sårbarhedsvurderingen efter stk. 1 skal gennemføres med inddragelse af relevante medarbejdere og leverandører med teknisk og organisatorisk kendskab til virksomhedens processer, anlæg, net- og informationssystemer, netværksinfrastruktur og leverandørforhold.

Stk. 5 Risiko- og sårbarhedsvurderingen efter stk. 1 skal opdateres ved væsentlige ændringer og integreres i virksomhedens samlede risikobillede.

Stk. 6 Foranstaltninger efter stk. 2, nr. 3, skal implementeres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger og risicienes alvor.

Stk. 2 Beredskabsplaner efter stk. 1 skal som minimum beskrive:

• 1) Intern ansvars- og rollefordeling, herunder vagtordninger og etablering af en krisestab eller krisestyringsorganisation af relevans for håndteringen af en hændelse.

• 2) Muligheder for at aktivere yderligere ressourcer og materiel, herunder ekstra driftsbemanding samt støtte fra andre virksomheder i henhold til kontrakter eller andre aftaler.

• 3) Operationel ansvarsfordeling mellem virksomheden og dennes samarbejdspartnere eller leverandører i forbindelse med håndteringen af en hændelse.

• 4) Kontaktoplysninger på relevante personer i forbindelse med håndteringen af en hændelse, herunder beredskabsansvarlige og systemansvarlige medarbejdere samt krisestabens medarbejdere.

• 5) Kriterier for aktivering af en krisestab til håndteringen af en hændelse.

Stk. 3 Beredskabsplaner efter stk. 1 skal indeholde følgende procedurer:

• 1) Procedurer for etablering af alternative driftsformer ved nedbrud i processer, anlæg og net- og informationssystemer, herunder beskrivelser af:

  • a) Muligheder for at overgå til manuel drift.

  • b) Metoder til og betingelser for at aktivere redundante net- og informationssystemer og nødprocedurer.

• 2) Procedurer for isolering af industrielle kontrolsystemer og operationelle teknologier, herunder en beskrivelse af metoder til at isolere systemerne samt betingelser for at aktivere planerne.

• 3) Procedurer for genoprettelse af et anlæg, herunder en beskrivelse af hvor hurtigt reservedele, mandskab og øvrige ressourcer kan anskaffes for at genoprette driften ved beskadigelse af de dele af anlægget, der er væsentlige for virksomhedens tjeneste.

• 4) Procedurer for at fremskaffe kritiske reservedele fra eget lager eller fra leverandører.

• 5) Procedurer for genoprettelse af net- og informationssystemer, herunder beskrivelser af:

  • a) Maksimalt accepteret nedetid og datatab for net- og informationssystemer.

  • b) Målsætningen for genetableringstid og metoder til at genoprette net- og informationssystemer fra backup.

  • c) Betingelserne for aktivering af procedurer for genoprettelse.

• 6) Procedurer for iværksættelse af beredskabsforanstaltninger, som kan iværksættes i forbindelse med håndteringen af en hændelse, herunder sektorberedskabsforanstaltninger.

• 7) Procedurer for udveksling af driftskritisk information ved nedbrud i normale kommunikationslinjer i forbindelse med en hændelse.

• 8) Procedurer for dokumentation for virksomhedens håndtering af en hændelse.

• 9) Procedurer for at modtage, indhente, behandle og fordele relevant information internt i virksomheden i forbindelse med håndteringen af en hændelse.

• 10) Procedurer for ekstern informationsdeling om hændelser og håndteringen af hændelser til relevante myndigheder, samarbejdspartner, forbrugere, pressen, offentligheden og andre aktører.

Stk. 4 Beredskabsplaner efter stk. 1 skal være i overensstemmelse med sektorberedskabsplanen for den delsektor, virksomheden opererer inden for.

Stk. 5 Beredskabsplaner efter stk. 1 skal være versionsstyrede med en kort beskrivelse af ændringerne i forhold til tidligere versioner.

Stk. 6 Beredskabsplaner efter stk. 1 skal tage højde for konklusionerne i risiko- og sårbarhedsvurderingen, jf. § 18, og skal i nødvendigt omfang opdateres i forbindelse med gennemførelsen af en risiko- og sårbarhedsvurdering.

Stk. 2 Den femårige øvelsesplan skal dække alle øvelseselementer i bilag 4.

Stk. 3 Virksomheder skal første gang udarbejde en femårig øvelsesplan som dækker perioden fra den 1. oktober 2025 til den 30. september 2030. Derefter udarbejdes en ny øvelsesplan for en ny femårig periode.

Stk. 4 Den femårige øvelsesplan er tentativ og skal opdateres minimum én gang årligt og ved væsentlige ændringer.

Stk. 2 Virksomheder i niveau 2 skal minimum øve deres beredskab hvert andet år.

Stk. 3 Virksomheder i niveau 4 og 5 skal én gang om året øve genopretning af virksomhedens forsyningskritiske net- og informationssystemer, jf. øvelseselement nr. 18 i bilag 4.

Stk. 4 Virksomheders ledelsesorgan skal i relevant omfang deltage i beredskabsøvelser.

Stk. 5 Virksomheder skal efter anmodning fra henholdsvis Energinet eller Energistyrelsen deltage i sektorberedskabsøvelser, jf. § 89 og § 101.

Stk. 2 Virksomheder skal udarbejde og sende en øvelsesevaluering, når øvelsen har indeholdt øvelseselementer fra bilag 4 til Energistyrelsens til godkendelse senest tre måneder efter, at en øvelse er afholdt. Øvelsesevalueringen skal som minimum indeholde en beskrivelse af:

• 1) Trænede øvelseselementer, jf. bilag 4.

• 2) Øvelsens forløb.

• 3) Opnåede erfaringer.

• 4) Relevante læringspunkter.

• 5) Planlagt opfølgning på læringspunkterne i nr. 4, herunder tidsplan og intern ansvarsplacering for opfølgningen.

Stk. 3 Energistyrelsen kan videresende relevante læringspunkter fra en virksomhed i el-, gas- eller brintsektorens øvelsesevaluering efter stk. 2, nr. 4, til Energinet, hvis Energistyrelsen vurderer det nødvendigt for Energinets evne til at varetage de koordinerende opgaver i sektorberedskabet, jf. § 81.

Stk. 4 Energistyrelsen kan i anonymiseret form dele relevante læringspunkter fra en virksomheds øvelsesevaluering med andre virksomheder og myndigheder, hvis Energistyrelsen vurderer det relevant for sektorberedskabet som helhed.

Stk. 5 Energistyrelsen skal høre den pågældende virksomhed, hvis læringspunkter planlægges videresendt, inden videresendingen må finde sted efter stk. 3 og 4.

Stk. 2 Virksomheder skal årligt gennemføre awareness-tiltag for at fremme og fastholde virksomhedens evne til at genkende og håndtere relevante cybertrusler og sårbarheder.

Stk. 2 Risikovurderinger efter stk. 1, hvor der indgår et leverandørforhold, skal inkludere en vurdering af risici som følger af leverandørforholdet, jf. procedurerne i § 29.

Stk. 3 Risikovurderinger efter stk. 1 skal udarbejdes ved projektets opstart og foreligge skriftligt, inden projektet påbegyndes. Risikovurderingen skal opdateres, når projektets omfang, tidsplan og delleverancer ændres i en sådan grad, at det ændrer forudsætningerne for risikovurderingen.

Stk. 2 Risikovurderinger efter stk. 1 skal sendes til Energistyrelsen senest én måned efter ledelsesorganets godkendelse af en risikovurdering jf. § 10, nr. 2.

Stk. 3 Projekter efter § 27 kan gennemføres, indtil Energistyrelsens endelige godkendelse af risikovurderingen, jf. stk. 1, foreligger.

Stk. 2 Hvis en direkte leverandør eller tjenesteudbydere har behov for fjernadgang til virksomhedens forsyningskritiske net- og informationssystemer, skal procedurerne fremgå af leverandøraftalen.

Stk. 2 Virksomheder skal sikre, at direkte leverandører og tjenesteudbydere over for virksomheden kan dokumentere overholdelse af krav, som stilles i en leverandøraftale, jf. § 30 og § 31.

Stk. 2 Det skal fremgå af leverandøraftalen med en it-sikkerhedstjeneste, hvor hurtigt it-sikkerhedstjenesten skal varsle virksomheden efter opdagelse af sårbarheder og cybertrusler.

Stk. 3 Virksomheder skal sikre, at it-sikkerhedstjenesten har det nødvendige kendskab til virksomhedens net- og informationssystemer, så it-sikkerhedstjenesten kan identificere og varsle virksomheden om relevante sårbarheder og cybertrusler.

Stk. 4 Virksomheder skal sikre, at varsler modtages af personer med de nødvendige kompetencer til at omsætte varsler til mitigerende handling i virksomheden under hensyntagen til et varsels alvor.

Stk. 5 Virksomheder, som indgår en fælles kontrakt med en it-sikkerhedstjeneste, skal alle fremgå af kontrakten med it-sikkerhedstjenesten. Kontrakten skal opbevares hos alle tilmeldte virksomheder.

Stk. 2 Virksomheder skal gennemføre passende og forholdsmæssig klimatilpasning af virksomhedens anlæg, så anlæg er modstandsdygtige over for skader eller funktionstab som følge af klimarelaterede hændelser.

Stk. 3 Virksomheder skal for virksomhedens anlæg i klasse 3-5 som minimum have foranstaltninger, der kan understøtte følgende, jf. dog stk. 4:

• 1) At skader eller fejl på anlægget opdages, verificeres og alarmeres.

• 2) At anlægget er modstandsdygtig over for funktionssvigt af net- og informationssystemer.

• 3) At anlægget er modstandsdygtig over for funktionssvigt af offentligt udbudte elektroniske kommunikationsnet eller -tjenester.

Stk. 4 Transmisionssystemoperatører og distributionssystemoperatører inden for elsektoren skal have foranstaltninger efter stk. 3, for anlæg i klasse 2-5.

Stk. 5 Virksomheder skal for anlæg i klasse 3-5 skal have nødstrømsforsyning, som i tilfælde af strømafbrydelse sikrer, at anlægget ikke tager skade under nedlukning og er funktionsdygtig, når strømforsyningen genoprettes, jf. dog stk. 6.

Stk. 6 Transmisionssystemoperatører og distributionssystemoperatører inden for elsektoren skal for anlæg i:

• 1) Klasse 4 og 5 have nødstrømsforsyning, som i tilfælde af strømafbrydelse sikrer anlæggets funktionalitet i en periode frem til strømforsynings genopretning.

• 2) Klasse 3 have nødstrømsforsyning, som i tilfælde af strømafbrydelse sikrer anlæggets funktionalitet i minimum 24 timer.

• 3) Klasse 2 have nødstrømsforsyning, som i tilfælde af strømafbrydelse sikrer anlæggets funktionalitet i minimum 4 timer.

Stk. 7 Virksomheder skal sikre, at funktionstab og skader på anlæg udbedres, så virksomheden kan genoprette evnen til at levere sine tjenester uden unødigt ophold.

Stk. 8 Virksomheder skal som minimum hvert halve år foretage kontrol med, at foranstaltninger efter stk. 2-4, stk. 7 og stk. 10 gennemføres, er intakte og fungerer efter hensigten.

Stk. 9 Virksomheder skal som minimum hvert år foretage afprøvning af et anlægs nødstrøm, jf. stk. 5 og 6.

Stk. 10 Virksomheder skal i forbindelse med anlægsprojekter på baggrund af en risikovurdering have passende og nødvendige foranstaltninger til at sikre anlæggets modstandsdygtighed i anlægsprojektfasen.

Stk. 2 Virksomheder skal tage stilling til, hvilke medarbejdere og leverandører der må og kan få adgang til forskellige dele af virksomhedens anlæg, herunder mulighed for at færdes uledsaget på anlægget eller dele heraf.

Stk. 3 Virksomheder skal sikre, at gæster og andre personer, som ikke har fast arbejdsgang på et anlæg, eller på dele af anlægget, indgår i den styrede adgangskontrol.

Stk. 4 Virksomheder skal sikre, at adgange logges, så der kan dokumenteres personhenførbare logs på adgange til virksomhedens anlæg. Dokumentationen skal beskyttes som beskrevet i § 67.

Stk. 5 Virksomheder skal som minimum hvert halve år foretage kontrol med, at den styrede adgangskontrol efter stk. 1-4 gennemføres, er intakt og fungerer efter hensigten, herunder at kun godkendte personer kan få adgang til virksomhedens anlæg.

Stk. 2 Foranstaltninger efter stk. 1 skal som minimum omfatte:

• 1) Styret adgangskontrol, jf. § 37.

• 2) Sikring til at forsinke og besværliggøre fysisk indtrængen på anlægget.

• 3) Elektronisk overvågning til at opdage forsøg på indtrængen, herunder forsøg på sabotage, indbrud eller tyveri.

• 4) Elektronisk overvågning til at verificere forsøg på indtrængen på anlæg i klasse 4 og 5.

Stk. 3 Sikring efter stk. 2 skal også omfatte en generel perimetersikring, så uautoriserede personer, køretøjer eller fartøjer på vandet ikke kan få adgang til at bevæge sig ind på et anlægs perimeter uden at blive opdaget. For anlæg, der indgår som en del af en kontorbygning og almindelige kontorfaciliteter, som anvendes i leveringen af virksomhedens tjenester, kan der i stedet for perimetersikring alene anvendes skalsikring, jf. stk. 1 og 2.

Stk. 4 Virksomheder skal for anlæg i klasse 4 og 5 foretage celle- eller objektsikring af områder med adgang til forsyningskritiske net- og informationssystemer, arbejdsstationer, kritiske anlægskomponenter og netværksudstyr, der kan tilgå forsyningskritiske net- og informationssystemer, herunder kontrolrum, serverrum og datacentre.

Stk. 5 Virksomheder i niveau 4 og 5 skal på baggrund af en risikovurdering foretage visuel afskærmning af områder og udstyr, der kan give indsigt i forsyningskritisk energiinfrastruktur, herunder visuel afskærmning af kontrolrum.

Stk. 6 Virksomheder skal foretage kontrol med, at foranstaltninger efter stk. 2-5 gennemføres, er intakte og fungerer efter hensigten, herunder besigtige og afprøve anlægs fysiske sikring. Kontrollen for anlæg i klasse 2 og 3 skal foretages hvert kvartal. Kontrollen for anlæg i klasse 4 og 5 skal foretages hver måned.

Stk. 2 Forsøg på indtrængen på anlæg skal uden unødigt ophold alarmeres til et døgnbemandet kontrolrum eller en af Rigspolitiet godkendt kontrolcentral.

Stk. 3 Virksomheder skal hvert kvartal foretage kontrol med, at procedurer for håndtering af alarmer efter stk. 1 og 2 gennemføres på effektiv vis.

Stk. 2 Fejl og mangler ved foranstaltningerne skal rettes hurtigt og årsagerne hertil undersøges.

Stk. 3 Virksomheder skal føre kontroljournaler over gennemførte kontroller. Kontroljournalerne skal som minimum indeholde følgende oplysninger:

• 1) Hvor kontrollen er foretaget.

• 2) Hvornår kontrollen er foretaget.

• 3) Hvordan kontrollen er foretaget.

• 4) Fejl og afvigelser der måtte konstateres.

• 5) Hvordan og hvornår fejl og afvigelser er afhjulpet.

Stk. 4 Virksomheder skal når fejl og afvigelser ikke kan afhjælpes inden for kort tid, udarbejde en plan for hvordan og hvornår fejlen eller afvigelsen vil være endelig afhjulpet.

Stk. 5 Virksomheder skal ved næstfølgende kontrol sikre, at fejl og afvigelser fra den forrige kontrol på ny kontrolleres så det kan konstateres, at de afhjælpende foranstaltninger virker efter hensigten.

Stk. 2 Virksomheder skal som minimum hvert halve år foretage kontrol med, at foranstaltninger efter stk. 1 gennemføres, er intakte og fungerer efter hensigten.

Stk. 2 Virksomheder skal foretage stikprøvevis kontrol med, at foranstaltninger efter stk. 1 gennemføres, er intakte og fungerer efter hensigten, jf. § 40, stk. 2 og 3.

Stk. 2 System- og sikkerhedsopdateringer af forsyningskritiske net- og informationssystemer efter stk. 1, skal gennemføres på baggrund af en risikovurdering, hvor risici mod sikkerheden i systemerne evalueres i forhold til risici for opretholdelsen af virksomhedens evne til at levere sine tjenester.

Stk. 2 Virksomheder skal være i stand til at modtage varsler om sårbarheder på elektronisk vis.

Stk. 3 Virksomheder skal ved modtagelse af et varsel om en sårbarhed foretage en risikovurdering af virksomhedens eksponering og mitigere sårbarheder, som kan påvirke sikkerheden i virksomhedens net- og informationssystemer.

Stk. 4 Virksomheder i niveau 4 og 5 skal være i stand til at reagere på varsler efter stk. 2 og 3 uden unødigt ophold.

Stk. 5 Virksomheder skal tage stilling til, om sårbarheder, som virksomheden identificerer i virksomhedens net- og informationssystemer, bør offentliggøres, herunder i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, jf. § 45.

Stk. 6 Virksomheder skal sikre, at oplysninger om sårbarheder, som kan have sikkerhedsmæssig betydning for energisektoren, videreformidles til Energistyrelsen. Virksomheder i el-, gas- og brintsektoren skal ligeledes videreformidle oplysning om sårbarheder, til Energinet.

Stk. 2 Fortegnelserne skal være tilstrækkeligt detaljerede til at sikre hurtig identifikation af et aktiv, så eventuelle sårbarheder kan identificeres, vurderes og mitigeres, jf. § 47.

Stk. 3 Virksomhederne skal regelmæssigt og som minimum årligt kontrollere, at fortegnelser efter stk. 1 er ajourførte. Fejl og mangler skal rettes hurtigt og årsagerne hertil undersøges.

Stk. 4 Virksomhederne skal mitigere risici for software- og hardwareaktiver, jf. stk. 1, nr. 1-3, der anvendes i leveringen af virksomhedens tjenester, som ikke længere kan supporteres med system- og sikkerhedsopdateringer, jf. § 46, stk. 1.

Stk. 2 Procedurer efter stk. 1 skal omfatte sikker tilslutning af nye hardwareaktiver i de netværk, som virksomheden er afhængige af i leveringen af virksomhedens tjenester.

Stk. 3 Virksomheder skal logge væsentlige konfigurationsændringer i virksomhedens forsyningskritiske net- og informationssystemer.

Stk. 4 Virksomheder skal logge ændringer på netværksudstyr, der anvendes i segmenteringen af netværk efter § 62.

Stk. 5 Virksomheder skal regelmæssigt og som minimum årligt kontrollere, at virksomhedens net- og informationssystemer samt software- og hardwareaktiver efter § 48 er konfigureret efter stk. 1-4. Fejl og mangler skal rettes hurtigt og årsagerne hertil undersøges.

Stk. 2 Virksomheder skal som minimum gennemføre en kvartalvis sanering af adgange, identiteter og rettigheder til forsyningskritiske net- og informationssystemer.

Stk. 2 Virksomheder skal foretage tvungen udskiftning af standardpasswords til net- og informationssystemer og netværksudstyr, inden at de tilsluttes virksomhedens netværk, jf. § 49, stk. 2.

Stk. 2 Fjernadgange til virksomhedens forsyningskritiske net- og informationssystemer skal tildeles i en tidsbegrænset periode, så fjernadgange kun er åbne i tidsrum med et godkendt arbejdsbetinget behov for at tilgå et system.

Stk. 3 Virksomheder skal udarbejde procedurer til at kunne opdage og håndtere cyberangreb mod fjernadgange til forsyningskritiske net- og informationssystemer.

Stk. 2 Backups efter stk. 1 skal beskyttes og opbevares på sikker vis i henhold til kritikaliteten af det forsyningskritiske net- og informationssystem eller netværkskonfiguration, der tages backup af.

Stk. 3 Virksomheder i niveau 4 og 5 skal tage backup efter stk. 1 i flere kopier, så virksomheden kan tilgå backups, uagtet om det forsyningskritiske net- og informationssystem eller netværkskonfiguration, som der tages backup af, er utilgængelig eller kompromitteret. Backups skal opbevares særskilt, eksempelvis som offline kopier.

Stk. 2 Netværkssegmentering efter stk. 1, stk. 3 og stk. 5, skal ske ved brug af en demilitariseret zone eller tilsvarende, som skal placeres mellem det isolerede netværk med forsyningskritiske net- og informationssystemer og øvrige netværk.

Stk. 3 Virksomheder i niveau 4 og 5 skal fysisk adskille netværk med forsyningskritiske net- og informationssystemer fra andre netværk, jf. dog stk. 5.

Stk. 4 Multiforsyningsvirksomheder i niveau 4 og 5 skal sikre, at netværk med forsyningskritiske net- og informationssystemer er adskilt på tværs af forsyningsarter i henhold til stk. 3, medmindre det er forsyningskritisk net- og informationssystem til styring af et anlæg der leverer flere energiforsyningstjenester.

Stk. 5 Virksomheder i niveau 4 og 5 skal foretage netværkssegmentering for net- og informationssystemer, som anvendes i adgangskontrollen for anlæg, jf. § 37 og § 38, stk. 2, nr. 3 og 4. Net- og informationssystemerne kan placeres i samme fysiske netværk som forsyningskritiske net- og informationssystemer.

Stk. 2 Virksomheder skal have ajourført dokumentation over kommunikationsprotokoller, der anvendes i netværkssegmenter med forsyningskritiske net- og informationssystemer jf. § 62, herunder kommunikationsprotokoller med adgang til forsyningskritiske net- og informationssystemer.

Stk. 3 Virksomheder skal regelmæssigt og som minimum årligt kontrollere, at dokumentationen efter stk. 1 og 2 er opdateret.

Stk. 2 Virksomheder i niveau 4 og 5 skal som minimum logge følgende:

• 1) Steder, hvorfra der går datatrafik ind og ud af virksomhedens netværk, herunder firewalls og internetvendte tjenester.

• 2) På hardware og software der understøtter leveringen af tjenesten, herunder netværkskomponenter og udstyr til fjernadgang, hvor det er muligt og de genererede logs viser forbindelser og brugerhandlinger.

• 3) På hardware og software der understøtter et anlægs adgangskontrol, jf. 38. stk. 2.

Stk. 2 Logs skal opbevares særskilt fra det net- og informationssystemer og netværksudstyr, hvorfra der opsamles logs, og skal sikres mod manipulation og beskyttes mod uautoriseret adgang.

Stk. 3 Virksomheder i niveau i 4 og 5 skal opbevare logs efter § 66 i 13 måneder.

Stk. 2 Virksomheder i niveau 4 og 5 skal være i stand til at afgive logs til it-sikkerhedstjenesten inden for 24 timer.

Stk. 2 Virksomheder i niveau 3-5 skal i forbindelse med håndteringen af en hændelse være i stand at indsætte tilstrækkeligt personale og teknisk assistance på alle tider af døgnet, så virksomheden kan opretholde eller genoprette virksomhedens tjenester.

Stk. 2 Det operationelle kontaktpunkt skal være i stand til at modtage udmeldinger om ændringer i sektorberedskabsniveau på alle tider af døgnet, så virksomheden kan iværksætte sektorberedskabsforanstaltninger i henhold til § 13, stk. 3, og videreformidle information og udmeldinger internt i virksomheden.

Stk. 3 Virksomheder skal holde Energistyrelsen underrettet om opdaterede kontaktoplysninger på virksomhedens operationelle kontaktpunkt, jf. dog stk. 4.

Stk. 4 Virksomheder i henholdsvis el-, gas- og brintsektoren skal holde Energinet underrettet om opdaterede kontaktoplysninger på virksomhedens operationelle kontaktpunkt.

Stk. 2 Virksomhederne skal sammen ved underretningen efter stk. 1, så vidt muligt angive:

• 1) De forventede konsekvenser, faktiske konsekvenser samt den forventede varighed af hændelsen.

• 2) Eventuelle foranstaltninger eller modforholdsregler, som modtagerne af virksomhedens tjeneste kan træffe for at afbøde risici eller konsekvenser som følge af den pågældende hændelse.

• 3) Tidspunkter for yderligere information.

Stk. 2 Oplysninger om væsentlige cybertrusler skal stilles til rådighed for modtagerne i et let forståeligt sprog.

Stk. 3 Virksomheder må ikke tage betaling fra modtagerne af deres tjenester for at give underretninger efter stk. 1.

Stk. 4 Virksomheder er ved oplysning efter stk. 1, ikke fritaget fra at træffe passende og øjeblikkelige foranstaltninger til at forebygge eller afhjælpe enhver trussel eller hændelses negative eller potentielle negative indvirkning på modtagerne af virksomhedens tjenester.

Stk. 2 Væsentlige hændelser efter stk. 1 omfatter:

• 1) Hændelser, som har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser i leveringen af virksomhedens tjenester, herunder som følge af havari af anlæg, arbejdsmarkedskonflikter og manglende leverancer af væsentlig betydning for samfundets energiforsyning.

• 2) Hændelser, som har forårsaget eller er i stand til at forårsage økonomisk tab for den berørte virksomhed.

• 3) Hændelser, som har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikke-fysisk skade.

• 4) Hændelser, som har aktiveret eller burde have aktiveret virksomhedens beredskabsplaner, herunder:

  • a) Hændelser, hvor et net- og informationssystems fortrolighed, integritet, tilgængelighed og autenticiteten er blevet kompromitteret.

  • b) Hændelser, hvor der er begrundet mistanke om eller kendskab til indbrud, tyveri, sabotage og spionage.

  • c) Hændelser, der har krævet bistand til situationsudredning, udbedring og genopretning af virksomhedens net- og informationssystemer, herunder fra en it-sikkerhedstjeneste, CSIRT og Energinet.

Stk. 3 Virksomheder skal uden unødigt ophold og senest inden for 24 timer efter at have fået kendskab til en væsentlig hændelse underrette Energistyrelsen. Virksomheden skal ved indberetning i videst muligt omfang angive følgende oplysning om hændelsen:

• 1) Hændelsens kendetegn, art eller type.

• 2) Hændelsens årsag og hændelsesforløb.

• 3) Hændelsens konsekvenser.

• 4) Om hændelsen mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger.

• 5) Om hændelsen kunne have haft en grænseoverskridende virkning.

Stk. 4 Virksomheder skal inden for 72 timer efter at have fået kendskab til en væsentlig hændelse underrette Energistyrelsen, om status på hændelsen, herunder give en indledende vurdering af hændelsens alvor, indvirkning og hvis muligt kompromitteringsindikatorerne.

Stk. 5 Virksomheder skal underrette CSIRT’en ved væsentlige hændelser, hvor hændelsen har kompromitteret sikkerheden i virksomhedens net- og informationssystemer, på samme måde som underretninger til Energistyrelsen efter stk. 2, nr. 1-3, stk. 3-4, og § 78, stk. 1 og 2.

Stk. 6 Virksomheder i henholdsvis el-, gas- og brintsektoren skal uden unødigt ophold varsle Energinet om væsentlige hændelser efter stk. 2 i henhold til stk. 3-5.

Stk. 7 Virksomheder skal efter anmodning fra Energistyrelsen eller sikkerhedsmyndighederne herunder CSIRT’en fremsende en foreløbig rapport om relevante statusopdateringer.

Stk. 2 Hvis en hændelse pågår for tidspunktet for hændelsesrapporten i stk. 1, kan virksomheden sende en foreløbig rapport med relevante statusopdateringer på det pågældende tidspunkt og en endelig hændelsesrapport senest en måned efter virksomhedens håndtering af hændelsen.

Stk. 3 Virksomheder kan i forbindelse med stk. 2 ansøge Energistyrelsen om, at hændelsesevalueringen i stk. 1 godkendes som en øvelsesevaluering, jf. § 23, hvis virksomheden har afprøvet konkrete øvelseselementer i bilag 4 i håndteringen af hændelsen. Ansøgninger om godkendelse af hændelse som en øvelse skal vedlægges en opdateret øvelsesplan, jf. § 20.

Stk. 2 Underretning om alle andre væsentlige hændelser efter § 78 skal ske gennem den af Energistyrelsen anviste løsning for underretning.

Stk. 3 Ansøgninger om godkendelse af en hændelse som en øvelse efter § 78, stk. 3, skal sendes til Energistyrelsen gennem den af Energistyrelsen anviste løsning for ansøgning.

Stk. 2 Virksomheder skal anmelde hændelser på havet, hvor der er begrundet mistanke om eller kendskab til indbrud, tyveri, sabotage og spionage til politiet og Forsvaret.

Stk. 2 Energinet skal i forbindelse med krisehåndteringen efter stk. 1, nr. 3, indhente relevant og opdateret information om henholdsvis:

• 1) Situationen i nabolandes el-, gas- og brintforsyningssystemer af relevans for krisehåndteringen i henholdsvis el-, gas- og brintsektoren.

• 2) Situationen i væsentlige dele af det indenlandske elnet, også på spændingsniveauer under 100 kV.

• 3) Situationen i væsentlige dele af de indenlandske gas- og brintforsyningssystemer, herunder også distribution, produktion og lager.

Stk. 3 Energinet skal ved forsyningsafbrydelser, som berører flere virksomheder i henholdsvis el-, gas- og brintsektoren, koordinere krisehåndteringen på tværs af relevante virksomheder og Energistyrelsen, herunder bistå med kontaktoplysninger til virksomheder og myndigheder i en akut situation samt oplysninger om aktuelle driftstilstande til brug for virksomheders håndtering af hændelser.

Stk. 4 Energinet skal til enhver tid og uden unødigt ophold kunne modtage og videreformidle information af betydning for beredskabet fra myndigheder og andre aktører, til relevante virksomheder i henholdsvis el-, gas- og brintsektoren og Energistyrelsen.

Stk. 2 Fortegnelsen skal holdes opdateret, så fortegnelsen altid er retvisende.

Stk. 2 Sektorrisiko- og sårbarhedsvurderinger efter stk. 1 skal baseres på konklusioner fra virksomheders risiko- og sårbarhedsvurderinger, jf. § 107, i henholdsvis el-, gas- og brintsektoren. Energistyrelsen sender senest den. 1. november hvert år konklusionerne til Energinet

Stk. 3 Sektorrisiko- og sårbarhedsvurderinger skal inkludere risici forbundet med forsyningssystemernes sammenhænge med relevante forsyningssystemer i udlandet og gensidige afhængigheder.

Stk. 4 Energistyrelsen kan påbyde Energinet at opdatere og sende en opdateret sektorrisiko- og sårbarhedsvurdering til Energistyrelsen ved ændringer i trusselsbilledet eller forsyningssituationen i øvrigt indenfor en nærmere fastsat frist.

Stk. 2 Sektorberedskabsplanerne skal være koordineret på tværs af henholdsvis el-, gas- og brintsektoren.

Stk. 3 Sektorberedskabsplanerne skal forholde sig til relevante forsyningssystemer i udlandet og være koordineret med de relevante systemansvarlige virksomheder i udlandet.

Stk. 2 Sektorberedskabsplanerne skal være versionsstyret med en kort beskrivelse af ændringer i forhold til tidligere versioner.

Stk. 3 Energinet skal årligt den 1. april sende opdaterede sektorberedskabsplaner for henholdsvis el-, gas- og brintsektoren til Energistyrelsen, første gang i 2026.

Stk. 4 Energistyrelsen skal godkende sektorberedskabsplanerne for henholdsvis el-, gas- og brintsektoren. Sektorberedskabsplanerne må tages i brug under godkendelsesprocessen.

Stk. 2 Den femårige øvelsesplan for sektorberedskabet skal som minimum dække øvelseselementerne nr. 1-11, 13-14, 16-17 og 19 i bilag 4.

Stk. 3 Energinet skal første gang udarbejde en femårig øvelsesplan for sektorberedskabet, som dækker perioden fra den 1. april 2025 til den 31. marts 2030. Derefter udarbejdes en ny øvelsesplan for en ny femårig periode.

Stk. 4 Den femårige øvelsesplan for sektorberedskabet er tentativ og skal opdateres én gang årligt og ved væsentlige ændringer.

Stk. 2 Energinet skal udarbejde og sende en øvelsesevaluering til godkendelse i Energistyrelsen senest tre måneder efter, at en sektorberedskabsøvelse er afholdt. Øvelsesevalueringen skal indeholde elementerne beskrevet i § 23, stk. 2.

Stk. 3 Energinet skal videreformidle konklusioner fra øvelsesrapporten til virksomheder omfattet af sektorberedskabet i henholdsvis el-, gas- og brintsektoren.

Stk. 2 I tilfælde af større forsyningsafbrydelser, som berører flere virksomheder i henholdsvis olie-, fjernvarme- og fjernkølingssektoren, koordinerer Energistyrelsen krisehåndteringen med de relevante virksomheder.

Stk. 3 Energistyrelsen sender uden unødigt ophold relevant information om beredskabsmæssige forhold til relevante virksomheder i henholdsvis olie-, fjernvarme- og fjernkølingssektoren samt Energinet.

Stk. 2 Energistyrelsen koordinerer i fornødent omfang sektorberedskabsplanerne efter stk. 1 på tværs af olie-, fjernvarme- og fjernkølingssektoren såvel som med Energinets sektorberedskabsplaner efter § 87.

Stk. 3 Sektorberedskabsplaner efter stk. 1 skal opdateres senest tre måneder efter gennemførelse af en sektorrisiko- og sårbarhedsvurdering, jf. § 99.

Stk. 2 Den femårige øvelsesplan for sektorberedskabet dækker øvelseselementer i bilag 4, som Energistyrelsen vurderer er relevante for henholdsvis olie-, fjernvarme- og fjernkølingssektoren.

Stk. 3 Den femårige øvelsesplan for sektorberedskabet udarbejdes første gang, så den dækker perioden fra 1. april 2025 til 31. marts 2030. Derefter udarbejdes en ny øvelsesplan for en ny femårig periode.

Stk. 2 Energistyrelsen videreformidler konklusioner fra en sektorberedskabsøvelses evaluering til virksomhederne i olie-, fjernvarme- og fjernkølingssektoren.

Stk. 2 Indsigt i fortrolig information må kun gives til personer, for hvem en sådan indsigt er tjenestelig nødvendig, eller som kan gøre lovkrav herpå.

Stk. 3 Fortrolig information i fysisk og digital dokumentform skal bære tydelig mærkning af materialets fortrolighed.

Stk. 4 Dokumenter efter stk. 3 og bærbare digitale lagringsmedier, der har været anvendt til at lagre fortrolig information, som ikke længere benyttes, skal destrueres eller bortskaffes på sikker vis i overensstemmelse med materialets fortrolighed, medmindre andet følger af lov eller bestemmelser fastsat i medfør af lov.

Stk. 5 Hvis der konstateres eller er mistanke om kompromittering af fortroligheden og integriteten af fortrolig information, skal der foretages en vurdering af, hvorvidt kompromitteringen kan udgøre en trussel for driften af virksomheden eller energiforsyningen lokalt, regionalt, nationalt eller på europæisk niveau. For fortrolig information hos virksomheder foretages denne vurdering af virksomheden, som uden unødigt ophold skal underrette Energistyrelsen herom. For anden fortrolig information foretages vurderingen af Energistyrelsen.

Stk. 6 Energistyrelsen kan pålægge virksomheder at iværksætte mitigerende tiltag i tilfælde af hændelser, jf. stk. 5.

Stk. 2 Ved skriftlig kommunikation efter stk. 1, forstås afsendelse og modtagelse af alle relevante meddelelser, dokumenter og anden kommunikation, som påkrævet efter bestemmelser i lov om styrket beredskab i energisektoren eller denne bekendtgørelse.

Stk. 3 Stk. 1. finder ikke anvendelse for virksomheder, som er fritaget fra obligatorisk tilslutning til Digital Post efter bekendtgørelse om fritagelse af juridiske enheder med CVR-nummer, samt fysiske personer med erhvervsaktiviteter for tilslutning til Digital Post.

Stk. 4 Den digitale kommunikation skal være forsynet med den offentlige digitale signatur MitID Erhverv.

Stk. 2 Den digitale kommunikation, som er forsynet med den digitale signatur efter § 105, stk. 4, anses for at være afsendt af den angivne afsender.

Stk. 3 Skriftlig kommunikation fra virksomheder til Energistyrelsen om forhold omfattet af § 105, stk. 1, anses ikke for modtaget i Energistyrelsen, hvis virksomheden har indsendt den skriftlige kommunikation på anden måde end beskrevet i § 105.

Stk. 4 Energistyrelsen kan i særlige tilfælde behandle en skriftlig kommunikation modtaget på anden måde end beskrevet i § 105.

Stk. 5 Energistyrelsen kan i særlige tilfælde behandle en skriftlig kommunikation, der er modtaget digitalt i henhold til § 105, selv om den ikke er forsynet med digital signatur, som beskrevet i § 105, stk. 4.

Stk. 2 Virksomheder i niveau 4 og 5 skal hvert år den 1. oktober sende konklusioner på en opdateret risiko- og sårbarhedsvurdering, jf. § 18, og opdaterede beredskabsplaner, jf. § 19, til Energistyrelsen, dog for 2025 den 7. september.

Stk. 3 Virksomheder i niveau 2 og 3 skal hvert tredje år den 1. oktober sende konklusioner på en opdateret risiko- og sårbarhedsvurdering, jf. § 18, og opdaterede beredskabsplaner, jf. § 19, til Energistyrelsen. Virksomheder i fjernvarme- og fjernkølingssektoren skal sende første gang den 1. oktober 2025. Virksomheder i henholdsvis gas-, brint- og oliesektoren skal sende første gang den 1. oktober 2026. Virksomheder i elsektoren skal sende første gang den 1. oktober 2027.

Stk. 4 Virksomheder i niveau 1 skal fremsende deres beredskabsplaner, jf. § 19, stk. 1-5, til Energistyrelsen efter anmodning herom fra Energistyrelsen.

Stk. 5 Energistyrelsen udarbejder risiko- og sårbarhedsscenarier, som skal indgå i virksomheders risiko- og sårbarhedsvurdering, jf. § 18. Risiko- og sårbarhedsscenarier skal deles med virksomhederne senest seks måneder inden, at virksomheder skal sende konklusioner på en opdateret risiko- og sårbarhedsvurdering til Energistyrelsen i henhold til stk. 2-4.

Stk. 6 Energistyrelsen kan påbyde virksomheder at opdatere deres risiko- og sårbarhedsvurdering ved ændringer i trusselsbilledet. Virksomheder skal uden unødigt ophold sende en opdateret risiko- og sårbarhedsvurdering til Energistyrelsen.

Stk. 2 For virksomheder i niveau 4 og 5, føres der tilsyn hvert år.

Stk. 3 For virksomheder i niveau 3, føres der tilsyn hvert tredje år.

Stk. 4 For virksomheder i niveau 2, føres der tilsyn hvert sjette år.

Stk. 2 Energistyrelsens tilsyn kan gennemføres på anden vis, hvis Energistyrelsen vurderer, at situationen nødvendiggør et dybdegående tilsyn.

Stk. 3 Energistyrelsen kan basere dele af tilsynet på en virksomheds auditering i det omfang, at Energistyrelsen vurderer, at auditering dækker de forhold, der føres tilsyn med.

Stk. 2 Virksomheder kan sende et eventuelt høringssvar senest to uger efter rapporten er blevet den forelagt efter stk. 1.

Stk. 3 Virksomheder skal snarest muligt efter endt tilsyn forelægge Energistyrelsens tilsynsrapport for virksomhedens ledelsesorgan, med henblik på ledelsens håndtering af Energistyrelsens afgørelser.

Stk. 2 Ansøgninger om samordnet beredskab skal sendes til Energistyrelsen til godkendelse og skal som minimum indeholde følgende:

• 1) En begrundelse for ansøgningen.

• 2) En beskrivelse af de geografiske forhold mellem virksomhederne.

• 3) En beskrivelse af organisatoriske forhold hos virksomhederne og forskellene herved.

• 4) En beskrivelse af fordele og ulemper ved de praktiske og tekniske konsekvenser ved et samordnet beredskab.

• 5) Hvordan den operative indsats af virksomhederne skal håndteres, herunder angivelse af virksomhedernes indbyrdes ansvars- og kompetenceforhold, samt kommunikations- og informationsforhold.

Stk. 3 Energinet skal høres ved ansøgninger om samordnet beredskab for virksomheder i henholdsvis el-, gas- og brintsektoren.

Stk. 4 Energistyrelsen lægger i sin afgørelse vægt på, om en samordning af beredskabet for virksomhederne må anses at styrke modstandsdygtigheden og beredskabet hos hver enkelt virksomhed, virksomhederne som gruppe og energisektoren som helhed.

Stk. 2 Energistyrelsen udfører de stk. 1, nævnte opgaver første gang senest den 17. april, 2025 og derefter når det er relevant, dog mindst hvert andet år.

Stk. 3 Energistyrelsen identificerer efter stk. 1, virksomheder som væsentlige virksomheder, hvis de opfylder en af følgende betingelser:

• 1) Virksomheder der overskrider en af følgende tærskler:

  • a) Beskæftiger mere end 250 personer.

  • b) Har en årlig omsætning på over 50 mio. EUR og en årlig samlet balance på over 43 mio. EUR.

• 2) Virksomheden er en kritisk virksomhed i henhold til § 115.

• 3) Virksomheden er den eneste udbyder i en medlemsstat af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter.

• 4) En forstyrrelse af den tjeneste, virksomheden leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden.

• 5) En forstyrrelse af den tjeneste, virksomheden leverer, vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer, hvor en sådan forstyrrelse kan have en grænseoverskridende virkning.

• 6) Virksomheden er kritisk på grund af sin specifikke betydning på nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i medlemsstaten.

Stk. 4 Energistyrelsen identificerer efter stk. 1, virksomheder som vigtige enheder, hvis de ikke opfylder kriterierne for at være væsentlige enheder i medfør af stk. 3, og enheden opfylder mindst én af følgende betingelser

• 1) enheden beskæftiger mere end 50 personer eller

• 2) enheden har en årlig omsætning på over 10 mio. EUR og en årlig samlet balance på over 10 mio. EUR.

Stk. 2 Energistyrelsen foretager de stk. 1, nævnte opgaver første gang senest den 17. juli 2026 og derefter når det er relevant, dog mindst hvert fjerde år.

Stk. 3 Virksomheder inddelt på niveau 2-5 efter § 4, er kritiske enheder.

Stk. 4 Virksomheder underrettes om, at de er blevet identificeret som en kritisk enhed senest en måned efter Energistyrelsen har udarbejdet listen i stk. 1.

Stk. 5 Energistyrelsen tager ved identifikationen efter stk. 1 behørigt hensyn til resultaterne af Danmarks nationale risikovurdering og nationale strategi for kritiske enheders modstandsdygtighed som udarbejdes i henhold til CER-direktivet, og ligger samtidig vægt på om:

• 1) Virksomheden leverer en eller flere væsentlige tjenester.

• 2) Virksomheden opererer i og har sin kritiske infrastruktur beliggende på dansk territorium.

• 3) En hændelse hos virksomheden vil have betydelig forstyrrende virkning, jf. stk. 6, på virksomhedens levering af en eller flere væsentlige tjenester eller på leveringen af andre væsentlige tjenester i sektorerne anført i bilag 5, som er afhængige af denne eller disse væsentlige tjenester.

Stk. 6 Ved fastlæggelse af, om en hændelse vil have betydelig forstyrrende virkning, jf. stk. 5, nr. 3, lægges der vægt på følgende:

• 1) Antal brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den berørte enhed.

• 2) Omfanget af andre sektorers og delsektorers afhængighed af den pågældende væsentlige tjeneste.

• 3) Den indvirkning, som hændelser kan have med hensyn til omfang og varighed på økonomiske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens sundhed.

• 4) Enhedens markedsandel på markedet for den eller de berørte væsentlige tjenester.

• 5) Det geografiske område, der kan blive berørt af en hændelse, herunder eventuel grænseoverskridende indvirkning.

• 6) Enhedens betydning med hensyn til at opretholde et tilstrækkeligt niveau for den væsentlige tjeneste under hensyntagen til tilgængelighed af alternative måder at levere denne væsentlige tjeneste på.

Stk. 2 Virksomheder der har modtaget underretning efter § 115, stk. 4, skal såfremt de leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere EU-medlemslande oplyse Energistyrelsen om

• 1) hvilke væsentlige tjenester der leveres, og

• 2) i hvilke EU-medlemslande disse væsentlige tjenester leveres.

Stk. 3 Der skal ske underretning til Energistyrelsen efter stk. 2 snarest muligt og senest en måned efter underretningen efter § 115, stk. 4.

Stk. 4 Energistyrelsen underretter snarest muligt EU-Kommissionen om underretninger der modtages efter stk. 2.

Stk. 5 Såfremt Energistyrelsen modtager underretning fra EU-Kommissionen om, at EU-Kommissionen har konstateret, at virksomheden er en kritisk enhed af særlig europæisk betydning, oplyser Energistyrelsen virksomheden herom jf. § 5, stk. 2, i lov om styrket beredskab i energisektoren.

Stk. 6 Virksomheder, der er identificeret som en kritisk enhed af særlig europæisk betydning, skal efter en afsluttet rådgivende mission, jf. § 20, stk. 1, i lov om styrket beredskab for energisektoren, skriftligt redegøre for Energistyrelsen, hvilke af de foranstaltninger den rådgivende mission har foreslået at virksomheden gennemfører, som virksomheden har gennemført.

Stk. 7 Energistyrelsen skal modtage redegørelsen efter stk. 6, senest seks måneder efter, at den rådgivende mission har fremsendt sin udtalelse med foreslåede foranstaltninger til virksomheden, der er identificeret som en kritisk enhed af særlig europæisk betydning.

Stk. 2 Afgørelser efter stk. 1 kan dog påklages til Energiklagenævnet for så vidt angår retlige spørgsmål.

Stk. 2 Energistyrelsen skal godkende den valgte revisionsvirksomhed og de konkrete revisorer, der skal udføre revisionen, inden revisionen kan påbegyndes.

Stk. 3 Virksomheden skal, senest to uger efter modtagelsen af påbuddet efter § 22, stk. 1, i lov om styrket beredskab i energisektoren, sende oplysninger om valg af revisor, pris på løsning af opgaven og dokumentation for, at kriterierne i stk. 1 er overholdt, til Energistyrelsen. Såfremt virksomheden ikke overholder fristen, vælger Energistyrelsen en revisor.

Stk. 4 Energistyrelsen har to uger fra modtagelsen af ansøgningen efter stk. 3 til at godkende eller afvise virksomhedens valg af revisor. Såfremt Energistyrelsen ikke overholder fristen, kan revisionen påbegyndes uden godkendelse.

Stk. 2 Bøder udstedt i medfør af stk. 1, skal overholde de rammer, der er for fastsættelsen af bødens størrelse i § 37, stk. 1, i lov om styrket beredskab for energisektoren.

Stk. 3 Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Stk. 2 Følgende bekendtgørelser ophæves:

• 1) Bekendtgørelse nr. 11 af 7. januar 2011 om identifikation og udpegning af europæisk kritisk infrastruktur på energiområdet og vurdering af behovet for bedre beskyttelse (EPCIP-direktivet).

• 2) Bekendtgørelse nr. 424 af 25. april 2018 om beredskab for oliesektoren.

• 3) Bekendtgørelse nr. 821 af 14. august 2019 om beredskab for naturgassektoren.

• 4) Bekendtgørelsen nr. 2646 af 28. december 2021 om beredskab for elsektoren.

• 5) Bekendtgørelse nr. 2647 af 28. december 2021 om it-beredskab for el- og naturgassektorerne.

Stk. 3 Foranstaltninger efter § 36 og § 37 skal senest være gennemført den 1. marts 2026, jf. dog stk. 5.

Stk. 4 Foranstaltninger efter §§ 38, 43, 48, 50 og 62 skal senest være gennemført den 1. marts 2027, jf. dog stk. 5.

Stk. 5 Stk. 3 og 4, finder ikke anvendelse på virksomheder der har været omfattet af bestemmelserne i bekendtgørelse nr. 424 af 25. april 2018 om beredskab for oliesektoren, bekendtgørelse nr. 821 af 14. august 2019 om beredskab for naturgassektoren, bekendtgørelsen nr. 2646 af 28. december 2021 om beredskab for elsektoren og bekendtgørelse nr. 2647 nr. 28. december 2021 om it-beredskab for el- og naturgassektorerne, når foranstaltningerne nævnt i stk. 3 og 4, indholdsmæssigt svarer til foranstaltninger i de førnævnte bekendtgørelser.