Kapitel 7 Risikovurderinger af projekter
Virksomheder skal gennemføre en risikovurdering i henhold til § 18, stk. 1 og 2 og stk. 4, i forbindelse med følgende projekter:
-
1) Erhvervelse og udvikling af forsyningskritiske net- og informationssystemer.
-
2) Etablering af nye anlæg eller opkøb af anlæg i klasse 3-5, jf. tærskelværdierne i bilag 2. Ændring af eksisterende anlæg i klasse 3-5, som forventes at medføre en ændring i et anlægs klassificering, jf. tærskelværdierne i bilag 2.
-
3) Outsourcing af udviklings-, drifts- og vedligeholdelsesopgaver, der kan påvirke leveringen af virksomhedens tjenester.
Stk. 2 Risikovurderinger efter stk. 1, hvor der indgår et leverandørforhold, skal inkludere en vurdering af risici som følger af leverandørforholdet, jf. procedurerne i § 29.
Stk. 3 Risikovurderinger efter stk. 1 skal udarbejdes ved projektets opstart og foreligge skriftligt, inden projektet påbegyndes. Risikovurderingen skal opdateres, når projektets omfang, tidsplan og delleverancer ændres i en sådan grad, at det ændrer forudsætningerne for risikovurderingen.
Risikovurderinger efter § 27 skal fremsendes til Energistyrelsen til godkendelse i forbindelse med følgende projekter:
-
1) Anlægsprojekter efter § 27, stk. 1, nr. 2 og 3, hvor et anlæg ved fuldførelse forventes at opfylde tærskelværdierne for anlæg i klasse 4 og 5, jf. tærskelværdierne i bilag 2.
-
2) Erhvervelse eller udvikling af forsyningskritiske net- og informationssystemer efter § 27, stk. 1, nr. 1 og 3.
Stk. 2 Risikovurderinger efter stk. 1 skal sendes til Energistyrelsen senest én måned efter ledelsesorganets godkendelse af en risikovurdering jf. § 10, nr. 2.