Forslag om lov om styrket beredskab i energisektoren

Lovforslaget blev fremsat d. 4. december 2024 og vil implementere både CER-direktivet samt NIS2-direktivet i dansk lov. I denne artikel dykker vi ned i nogle nedslagspunkter fra lovforslaget. 

Lovens formål er at sikre, at energisektoren er godt forberedt og beskyttet mod forskellige trusler, hvad enten de er naturskabte, menneskeskabte eller teknologiske. Dette opnås gennem regler, der styrker virksomhedernes beredskab, fysiske sikkerhed og cybersikkerhed.

Denne lov finder anvendelse på følgende virksomheder, når disse leverer deres tjenester eller udfører deres aktivitet inden for Danmarks grænser:
  1. Elektricitetsvirksomheder.
  2. Distributionssystemoperatører.
  3. Transmissionssystemoperatører.
  4. Elproducenter.
  5. Udpegede elektricitetsmarkedsoperatører.
  6. Markedsdeltagere der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring.
  7. Operatører af ladestationer, der er ansvarlige for forvaltningen og driften af en ladestation, som leverer en ladetjeneste til slutbrugere, herunder i en mobilitetstjenesteudbyders navn og på dennes vegne.
  8. Operatører af fjernvarme eller fjernkøling.
  9. Olierørledningsoperatører.
  10. Operatører af olieproduktionsanlæg, -raffinaderier og -behandlings-anlæg, olielagre og olietransmission.
  11. Centrale lagerenheder.
  12. Gasforsyningsvirksomheder.
  13. Lagersystemoperatører.
  14. LNG-systemoperatører.
  15. Naturgasvirksomheder.
  16. Operatører af naturgasraffinaderier og –behandlingsanlæg.
  17. Operatører inden for brintproduktion, -lagring og –transmission.
  18. Operatører af tankstationer, der er ansvarlige for forvaltningen og driften af en tankstation.

Et vigtigt nedslagspunkt kan ses i kapitel 1, §2, stk. 1 og 2, hvor anvendelsesområdet for omfattede virksomheder suppleres af produktion- og kapacitetstærskel sammenlignet med NIS2-direktivet. Loven finder derfor kun anvendelse for virksomheder markeret med fed (nr. 1-8, 10, 12 og 18) og disse:
  1. Årligt producerer, forbruger eller kontrollerer mere end 25 MW elektricitet.
  2. I 2 ud af 3 sidste år har solgt mere end 13,9 GWh fjernvarme
  3. Årligt producerer eller injicerer mere end 26 mio. Nm3 gas i et gas-net.
  4. Olieterminaler og lagre med kapacitet på 100.000 m3 eller derover.
  5. Opererer en eller flere tankstationer der sammenlagt har et årligt salg af olieprodukter på 600.000 m3 eller derover, eller som opererer flere end 100 tankstationer på nationalt plan.

Loven omfatter stadig det oprindelige anvendelsesområde fra NIS2-direketivet, hvor det  finder anvendelse uanset produktion og kapacitetstærskler, hvis:
  1. Der er positiv lagringsforpligtigelse efter Olieberedskabsloven
  2. Nævnt i 1-18, men som falder under grænserne i for produktion- og kapacitetstærskel, såfremt virksomheden beskæftiger minimum 50 ansatte eller har en årlig omsætning på minimum 10 mio. EUR og en årlig samlet balance på minimum 10 mio. EUR.


De omfattede virksomheder skal udarbejde en plan og implementere de nødvendige cybersikkerhedsforanstaltninger for at beskytte deres net- og informationssystemer, som er essentielle for driften. Her er kravene ifølge loven:
  1. Forvaltning af net- og informationssystemer og passende teknisk sikkerhed til beskyttelse af enheder med adgang til virksomhedens netværk.
  2. Etablering af netværks- og infrastruktursikkerhed, herunder principper for netværksarkitektur og -topologi med henblik på at minimere risici for virksomhedens net- og informationssystemer.
  3. Sikkerhedskrav til geografisk placering af drift af net- og informationssystemer.
  4. Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer.
  5. Backup-styring og genopretning af net- og informationssystemer til sikring af driftskontinuitet for leveringen af tjenesten. 
  6. Etablering af logning til at understøtte alarmer, efterforskningsarbejde, hændelseshåndtering og monitorering af uregelmæssigheder i net- og informationssystemer. 
  7. Etablering af procedurer for løbende kontrol af cybersikkerheden i og omkring net- og informationssystemer. 
  8. Brug af sikret tale-, video- og tekstkommunikation og sikrede nød-kommunikationssystemer. 
  9. Brug af kryptering samt politikker og procedurer, der skal understøtte sikkerheden og fortroligheden af net- og informationssystemer, der er kritiske for leveringen af virksomhedens tjenester. 
  10. Brug af multifaktorautentificering eller kontinuerlig autentificering og adgangsbeskyttelse til sikring mod uautoriseret adgang til virksomhedernes net- og informationssystemer. 
  11. Foranstaltninger til forebyggelse og håndtering af hændelser. 

De områder hvorved lovforslaget supplerer direktiverne er hovedsageligt de foranstaltninger som foreslås vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed (§§ 6-8 i loven), hvor klima-, energi- og forsyningsministeren fastsætter nærmere regler vedrørende organisatorisk beredskab, fysisk sikring og cybersikkerhed.

Loven supplerer NIS2-direktivets krav, hvor de supplerende krav vil blive endeligt specificeret på bekendtgørelsesniveau. Kravene vil desuden gradueres efter virksomhedernes forsyningsmæssige kritikalitet.

Afslutningsvis er det vigtigt at bemærke, at lovforslaget om styrket beredskab i energisektoren vil have betydelige påvirkning for de omfattede virksomheder. For en nærmere drøftelse af lovforslagets betydning for din forsyningsvirksomhed, er du velkommen til at række ud til BDO for et uforpligtende møde. 

Skulle man have interesse i at dykker yderligere ned i lovforslaget kan det ses i dette link
Læs hele lovforslaget her

Herudover kan man læse Energistyrelsen opslag vedrørende forslag
Læs Energistyrelsens opslag her