Denne artikel giver et kort overblik over baggrunden for og indholdet af den nye regulering inden for energisektoren.

I Danmark har man valgt at implementere NIS2-direktivet ved en sektorspecifik tilgang. Det indebærer, at enheder i energisektoren, telesektoren og den finansielle sektor er omfattet af særlig lovgivning, der implementerer NIS2-direktivet.

Implementeringen af NIS2 i dansk ret

NIS2-direktivet skulle være implementeret i dansk ret senest 17.
oktober 2024, men implementeringen er blevet forsinket flere gange. Nu er den danske implementeringsregulering dog endelig vedtaget, og dele af den er allerede trådt i kraft. Det gælder bl.a. implementeringen af NIS2-direktivet i energi­sektoren.

Styrket beredskab i energisektoren

Lv om styrket beredskab i energisektoren (“særloven”) trådte i kraft 7. marts 2025 og har forrang for lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (“NIS2-loven”). Sidstnævnte omfatter alle sektorer under NIS2-direktivet, men gælder altså ikke, i det omfang særloven finder anvendelse på en enhed (i særloven kaldet en virksomhed). Særloven er særlig ved, at den ikke blot implementerer NIS2-direktivet, men også implementerer direktivet om kritiske enheder (CER-direktivet) og den hidtidige danske beredskabsregulering i forhold til virksomheder i energisektoren. Særloven omfatter således den samlede sikkerheds- og beredskabslovgivning for energisektoren.

Anvendelsesområde

De typer af virksomheder, der kan være omfattet, fremgår af særloven og inkluderer aktører i Danmark inden for produktion, distribution, operation og lagring af energi i form af el, fjernvarme, olie, gas og brint. Virksomheder, som beskæftiger under 50 personer, eller som har en årlig omsætning og en samlet årlig balance, der ikke overstiger 10 mio. euro, er dog kun omfattet af særloven, hvis virksomheden producerer eller på anden måde håndterer energimængder over de tærskler, der er fastsat i særloven.

I forlængelse af vedtagelsen af særloven er der vedtaget to bekendtgørelser; (i) bekendtgørelse om modstandsdygtighed og beredskab i energisektoren og (ii) bekendtgørelse om Energistyrelsens gebyrer efter lov om styrket beredskab i energisektoren. Sidstnævnte regulerer kortfattet, hvilke gebyrer de forskellige virksomheder årligt skal betale til Energistyrelsen for tilsyn og myndighedsbehandling samt for indgivelse af ansøgninger og dispensationer.

Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren konkretiserer de krav, der følger af særloven. Særlig vigtig er bekendtgørelsens inddeling af virksomhederne i fem niveauer og deres aktiver i fem klasser afhængig af kapaciteten til energiproduktion. De fleste krav i bekendtgørelse om modstandsdygtighed og beredskab i energisektoren vedrører alle virksomheder (og anlæg) omfattet af særloven, men klassificeringen er afgørende for enkelte omkostnings­tunge krav og for vurderingen af, om virksomhederne skal anses for kritiske enheder.

Det er væsentligt at understrege, at særloven både i omfang og tilgang er væsentligt forskellig fra NIS2-loven, og det er derfor afgørende, at virksomheder får fastlagt, om de er omfattet af særloven, inden det betydelige arbejde med sikring af overholdelse af de særlige krav i denne lov iværksættes.

Det skal desuden bemærkes, at det kan være ganske vanskeligt at vurdere, om en konkret enhed er omfattet af særloven, og hvilken kategorisering der vil gælde for den pågældende enhed. Vi anbefaler derfor, at dette skænkes særlig opmærksomhed ved implementering af reglerne.

Energistyrelsen har meddelt, at der snarest vil blive udsendt vejledning­er til understøttelse af implementeringen af kravene i særloven og bekendtgørelse om modstandsdygtighed og beredskab i energisektor­en. Det er dog endnu ikke meldt ud, hvilke vejledninger der udarbejdes, og hvornår de kan forventes udgivet.

Krav til virksomheder

Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren konkretiserer de krav, der følger af særloven, herunder:

  • Roller og ansvarsfordeling i virksomhedens risikostyring og beredskab
  • Politikker for risikostyring
  • Beredskabsplanlægning, som sikrer driftskontinuitet og underretningsforpligtelser i tilfælde af sikkerhedshændelser, herunder:
    • fortegnelser over anlæg, net- og informationssystemer (software og hardware) samt fysiske og digitale informationsstrømme
    • risiko- og sårbarhedsvurdering
    • beredskabsplaner og -procedurer
    • øvelser og funktionstest
  • Undervisning og awareness

  • Risikovurdering af konkrete projekter, som er kritiske for virksomhedens leverancer

  • Leverandørstyring og forsyningskædesikkerhed

  • Brug af ekstern leverandør af it-sikkerhedstjeneste, som kan varsle om relevante sårbarheder og cybertrusler

  • Anlægs modstandsdygtighed over for skader og funktionstab, herunder identificering og udbedring heraf

  • Politik for sikkerhed i net- og informationssystemer, herunder:
    • procedurer for sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer
    • fortegnelse over software- og hardwareaktiver
    • adgangsstyring
    • backup
    • kryptering
    • netværkssegmentering
    • dokumentation af netværksopbygningen
  • logning og monitorering

  • Politik for evaluering af sikkerhed i net- og informationssystemer

  • Håndtering af hændelser, herunder underretningsforpligtelser i forhold til myndigheder og modtagere af virksomhedens ydelser.

Forfattere

Emilie Loiborg

Director, advokat

Renée van Naerssen

Advokat