Kapitel 10 Anlægs modstandsdygtighed
Virksomheder skal have passende og forholdsmæssige foranstaltninger til at sikre, at virksomhedens anlæg er modstandsdygtige over for skader og funktionstab.
Stk. 2 Virksomheder skal gennemføre passende og forholdsmæssig klimatilpasning af virksomhedens anlæg, så anlæg er modstandsdygtige over for skader eller funktionstab som følge af klimarelaterede hændelser.
Stk. 3 Virksomheder skal for virksomhedens anlæg i klasse 3-5 som minimum have foranstaltninger, der kan understøtte følgende, jf. dog stk. 4:
-
1) At skader eller fejl på anlægget opdages, verificeres og alarmeres.
-
2) At anlægget er modstandsdygtig over for funktionssvigt af net- og informationssystemer.
-
3) At anlægget er modstandsdygtig over for funktionssvigt af offentligt udbudte elektroniske kommunikationsnet eller -tjenester.
Stk. 4 Transmisionssystemoperatører og distributionssystemoperatører inden for elsektoren skal have foranstaltninger efter stk. 3, for anlæg i klasse 2-5.
Stk. 5 Virksomheder skal for anlæg i klasse 3-5 skal have nødstrømsforsyning, som i tilfælde af strømafbrydelse sikrer, at anlægget ikke tager skade under nedlukning og er funktionsdygtig, når strømforsyningen genoprettes, jf. dog stk. 6.
Stk. 6 Transmisionssystemoperatører og distributionssystemoperatører inden for elsektoren skal for anlæg i:
-
1) Klasse 4 og 5 have nødstrømsforsyning, som i tilfælde af strømafbrydelse sikrer anlæggets funktionalitet i en periode frem til strømforsynings genopretning.
-
2) Klasse 3 have nødstrømsforsyning, som i tilfælde af strømafbrydelse sikrer anlæggets funktionalitet i minimum 24 timer.
-
3) Klasse 2 have nødstrømsforsyning, som i tilfælde af strømafbrydelse sikrer anlæggets funktionalitet i minimum 4 timer.
Stk. 7 Virksomheder skal sikre, at funktionstab og skader på anlæg udbedres, så virksomheden kan genoprette evnen til at levere sine tjenester uden unødigt ophold.
Stk. 8 Virksomheder skal som minimum hvert halve år foretage kontrol med, at foranstaltninger efter stk. 2-4, stk. 7 og stk. 10 gennemføres, er intakte og fungerer efter hensigten.
Stk. 9 Virksomheder skal som minimum hvert år foretage afprøvning af et anlægs nødstrøm, jf. stk. 5 og 6.
Stk. 10 Virksomheder skal i forbindelse med anlægsprojekter på baggrund af en risikovurdering have passende og nødvendige foranstaltninger til at sikre anlæggets modstandsdygtighed i anlægsprojektfasen.
Virksomheder skal have et system for styret adgangskontrol, så kun godkendte og verificerede personer kan få adgang til virksomhedens anlæg.
Stk. 2 Virksomheder skal tage stilling til, hvilke medarbejdere og leverandører der må og kan få adgang til forskellige dele af virksomhedens anlæg, herunder mulighed for at færdes uledsaget på anlægget eller dele heraf.
Stk. 3 Virksomheder skal sikre, at gæster og andre personer, som ikke har fast arbejdsgang på et anlæg, eller på dele af anlægget, indgår i den styrede adgangskontrol.
Stk. 4 Virksomheder skal sikre, at adgange logges, så der kan dokumenteres personhenførbare logs på adgange til virksomhedens anlæg. Dokumentationen skal beskyttes som beskrevet i § 67.
Stk. 5 Virksomheder skal som minimum hvert halve år foretage kontrol med, at den styrede adgangskontrol efter stk. 1-4 gennemføres, er intakt og fungerer efter hensigten, herunder at kun godkendte personer kan få adgang til virksomhedens anlæg.
Virksomheder skal have foranstaltninger til at sikre, at forsøg på uautoriseret adgang på virksomhedens anlæg forebygges, opdages og reageres på.
Stk. 2 Foranstaltninger efter stk. 1 skal som minimum omfatte:
-
1) Styret adgangskontrol, jf. § 37.
-
2) Sikring til at forsinke og besværliggøre fysisk indtrængen på anlægget.
-
3) Elektronisk overvågning til at opdage forsøg på indtrængen, herunder forsøg på sabotage, indbrud eller tyveri.
-
4) Elektronisk overvågning til at verificere forsøg på indtrængen på anlæg i klasse 4 og 5.
Stk. 3 Sikring efter stk. 2 skal også omfatte en generel perimetersikring, så uautoriserede personer, køretøjer eller fartøjer på vandet ikke kan få adgang til at bevæge sig ind på et anlægs perimeter uden at blive opdaget. For anlæg, der indgår som en del af en kontorbygning og almindelige kontorfaciliteter, som anvendes i leveringen af virksomhedens tjenester, kan der i stedet for perimetersikring alene anvendes skalsikring, jf. stk. 1 og 2.
Stk. 4 Virksomheder skal for anlæg i klasse 4 og 5 foretage celle- eller objektsikring af områder med adgang til forsyningskritiske net- og informationssystemer, arbejdsstationer, kritiske anlægskomponenter og netværksudstyr, der kan tilgå forsyningskritiske net- og informationssystemer, herunder kontrolrum, serverrum og datacentre.
Stk. 5 Virksomheder i niveau 4 og 5 skal på baggrund af en risikovurdering foretage visuel afskærmning af områder og udstyr, der kan give indsigt i forsyningskritisk energiinfrastruktur, herunder visuel afskærmning af kontrolrum.
Stk. 6 Virksomheder skal foretage kontrol med, at foranstaltninger efter stk. 2-5 gennemføres, er intakte og fungerer efter hensigten, herunder besigtige og afprøve anlægs fysiske sikring. Kontrollen for anlæg i klasse 2 og 3 skal foretages hvert kvartal. Kontrollen for anlæg i klasse 4 og 5 skal foretages hver måned.
Virksomheder skal have procedurer for håndtering af alarmer om ulovlig indtrængen på virksomhedens anlæg, så alarmer håndteres på en hurtig og kvalificeret måde.
Stk. 2 Forsøg på indtrængen på anlæg skal uden unødigt ophold alarmeres til et døgnbemandet kontrolrum eller en af Rigspolitiet godkendt kontrolcentral.
Virksomheder skal have en plan for, hvornår virksomheden i løbet af et år planlægger at gennemføre kontrol med et anlægs sikringsforanstaltninger, jf. § 36, stk. 8 og 9, § 37, stk. 5, § 38, stk. 6, § 39, stk. 3, § 42, stk. 2 og § 43, stk. 2.
Stk. 2 Fejl og mangler ved foranstaltningerne skal rettes hurtigt og årsagerne hertil undersøges.
Stk. 3 Virksomheder skal føre kontroljournaler over gennemførte kontroller. Kontroljournalerne skal som minimum indeholde følgende oplysninger:
-
1) Hvor kontrollen er foretaget.
-
2) Hvornår kontrollen er foretaget.
-
3) Hvordan kontrollen er foretaget.
-
4) Fejl og afvigelser der måtte konstateres.
-
5) Hvordan og hvornår fejl og afvigelser er afhjulpet.
Stk. 4 Virksomheder skal når fejl og afvigelser ikke kan afhjælpes inden for kort tid, udarbejde en plan for hvordan og hvornår fejlen eller afvigelsen vil være endelig afhjulpet.
Stk. 5 Virksomheder skal ved næstfølgende kontrol sikre, at fejl og afvigelser fra den forrige kontrol på ny kontrolleres så det kan konstateres, at de afhjælpende foranstaltninger virker efter hensigten.
Virksomheder skal for rørledninger og kabler, som er nedgravet, hænger i luften, ligger på eller er nedgravet i havbunden, kun implementere foranstaltninger efter § 36, stk. 1 og 2, samt sikre, at anlægget overvåges, så funktionssvigt opdages og reageres på uden unødigt ophold.
Stk. 2 Virksomheder skal som minimum hvert halve år foretage kontrol med, at foranstaltninger efter stk. 1 gennemføres, er intakte og fungerer efter hensigten.
Virksomheder skal have passende og forholdsmæssige foranstaltninger til at sikre, at forsøg på indtrængen og uautoriseret adgang på virksomhedens anlæg, lokationer, faciliteter, som ikke er klassificeret, men hvor der opbevares kritiske anlægskomponenter eller netværksudstyr, der kan tilgå net- og informationssystemer, opdages og uden unødigt ophold alarmeres til et døgnbemandet kontrolrum eller en af Rigspolitiet godkendt kontrolcentral.
Stk. 2 Virksomheder skal foretage stikprøvevis kontrol med, at foranstaltninger efter stk. 1 gennemføres, er intakte og fungerer efter hensigten, jf. § 40, stk. 2 og 3.