Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren Kapitel 1

Den konsoliderede version af denne bekendtgørelsen er opdateret til i dag, idet vi har implementeret eventuelle senere ændringsbekendtgørelser i det omfang, de er trådt i kraft - se mere her.

Bekendtgørelse nr. 260 af 6. marts 2025

Kapitel 1 Formål, anvendelsesområde og definitioner
§ 1

Denne bekendtgørelse fastsætter regler om organisatorisk beredskab, fysisk sikring og cybersikkerhed for virksomheder, der er væsentlige for energiforsyning og energimarkeder i Danmark og Europa. Bekendtgørelsen fastsætter endvidere regler for Energistyrelsen og Energinets opgavevaretagelse i forbindelse med beredskabet i energisektoren.

§ 2

Bekendtgørelsen finder anvendelse på virksomheder omfattet af § 2 i lov om styrket beredskab i energisektoren, jf. dog § 5.

Stk. 2 Regler om foranstaltninger til at understøtte anlægs modstandsdygtighed efter kapitel 10 finder anvendelse på virksomheder med anlæg klassificeret i henhold til § 6, stk. 2, jf. dog §§ 8, 42 og 43.

Stk. 3 Regler om foranstaltninger til at understøtte sikkerheden i net- og informationssystemer i denne bekendtgørelse finder anvendelse på de net- og informationssystemer, som virksomheder anvender til deres operationer eller til leveringen af deres tjenester jf. § 8 i lov om styrket beredskab i energisektoren.

§ 3

I denne bekendtgørelse forstås ved:

  • 1) Beredskab: Organisering af processer, aktiviteter og foranstaltninger, som aktiveres, når der er behov for at forhindre, begrænse eller håndtere risici for nedbrud i eller forstyrrelse af en tjeneste, i perioden frem til genoprettelse af normal drift.

  • 2) Cybersikkerhed: De aktiviteter, der er nødvendige for at beskytte net- og informationssystemer, brugerne af sådanne systemer og andre personer berørt af cybertrusler.

  • 3) Forsyningskritisk net- og informationssystem: Et net- og informationssystem med mulighed for direkte at afbryde eller påvirke fysiske og logiske processer, som er nødvendige for forsyningen til en eller flere slutbrugere, herunder industrielle kontrolsystemer, operationelle teknologier samt net- og informationssystemer med direkte integration til disse.

  • 4) Hændelse: En begivenhed, der har potentiale til i betydelig grad at forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste, herunder når den påvirker de nationale systemer, der sikrer retsstatsprincippet, herunder en begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare.

  • 5) Håndtering af en hændelse: Enhver handling og procedure, der tager sigte på at forebygge, opdage, analysere og inddæmme eller at reagere på og reetablere sig efter en hændelse.

  • 6) Industrielle kontrolsystemer: Net- og informationssystemer, der anvendes til alle former for digital styring, kontrol og overvågning af fysiske og industrielle processer, eksempelvis styring, kontrol og overvågning af ventiler og pumper eller opsamling og analyse af data fra et fysisk system, herunder sensorer og styringskomponenter forbundet til et industrielt netværksmiljø.

  • 7) Ledelsesorgan: henholdsvis det centrale ledelsesorgan som defineret i selskabsloven og ledelsen som defineret i LEV-loven, afhængigt af virksomhedens selskabsform.

  • 8) Net- og informationssystem:

    • a) Et elektronisk kommunikationsnet, hvorved forstås transmissionssystemer, uanset om de bygger på en permanent infrastruktur eller centraliseret administrationskapacitet, og, hvor det er relevant, koblings- og dirigeringsudstyr og andre ressourcer, herunder netelementer, der ikke er aktive, som gør det muligt at overføre signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellitnet, jordbaserede fastnet og mobilnet, elkabelsystemer, i det omfang de anvendes til transmission af signaler, net, som anvendes til radio- og tv-spredning, samt kabel-tv-net, uanset hvilken type information der overføres.

    • b) Enhver anordning eller gruppe af forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data.

    • c) Digitale data, som lagres, behandles, fremfindes eller overføres af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.

  • 9) Operationelle teknologier: Fysiske net- og informationssystemer, der overvåges eller styres af industrielle kontrolsystemer.

  • 10) Risiko: Potentialet for tab eller forstyrrelse som følge af en hændelse, udtrykt som en kombination af størrelsen af et sådant tab eller en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræffer.

  • 11) Risikovurdering: Den samlede proces med henblik på at bestemme arten og omfanget af en risiko ved at identificere og analysere potentielle relevante trusler, sårbarheder og farer, der kunne føre til en hændelse, og ved at evaluere det potentielle tab eller den potentielle forstyrrelse af leveringen af en væsentlig tjeneste forårsaget af denne hændelse.

  • 12) Sikkerhed i net- og informationssystemer: Net- og informationssystemers evne til på et givet sikkerhedsniveau at modstå enhver begivenhed, der kan være til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer.

  • 13) Sårbarhed: En svaghed, modtagelighed eller fejl ved processer, produkter, tjenester, fysiske indretninger og lignende, som kan påvirke sandsynligheden for, at der kan indtræde en hændelse.