Ret og indsigt 2025 - 2 - WEB spread - Flipbook - Side 15
Ret & Indsigt 2 | 2025 15
Krav til virksomheder
Bekendtgørelse om modstandsdygtighed og
beredskab i energisektoren konkretiserer de
krav, der følger af særloven, herunder:
•
Anlægs modstandsdygtighed over
for skader og funktionstab, herunder
identificering og udbedring heraf
•
Roller og ansvarsfordeling i
virksomhedens risikostyring og beredskab
•
Politik for sikkerhed i net- og
informationssystemer, herunder:
•
Politikker for risikostyring
•
•
Beredskabsplanlægning, som
sikrer driftskontinuitet og
underretningsforpligtelser i tilfælde af
sikkerhedshændelser, herunder:
procedurer for sikkerhed i forbindelse
med erhvervelse, udvikling
og vedligeholdelse af net- og
informationssystemer
•
fortegnelse over software- og
hardwareaktiver
•
adgangsstyring
•
backup
•
kryptering
•
netværkssegmentering
•
dokumentation af
netværksopbygningen
•
fortegnelser over anlæg, net- og
informationssystemer (software og
hardware) samt fysiske og digitale
informationsstrømme
•
risiko- og sårbarhedsvurdering
•
beredskabsplaner og -procedurer
•
øvelser og funktionstest
•
Undervisning og awareness
•
logning og monitorering
•
Risikovurdering af konkrete projekter, som
er kritiske for virksomhedens leverancer
•
Politik for evaluering af sikkerhed i net- og
informationssystemer
•
Leverandørstyring og
forsyningskædesikkerhed
•
•
Brug af ekstern leverandør af itsikkerhedstjeneste, som kan varsle om
relevante sårbarheder og cybertrusler
Håndtering af hændelser, herunder
underretningsforpligtelser i forhold
til myndigheder og modtagere af
virksomhedens ydelser.
følger af særloven. Særlig vigtig
er bekendtgørelsens inddeling af
virksomhederne i fem niveauer og
deres aktiver i fem klasser afhængig
af kapaciteten til energiproduktion.
De fleste krav i bekendtgørelse om
modstandsdygtighed og beredskab i energisektoren vedrører alle
virksomheder (og anlæg) omfattet
af særloven, men klassificeringen er
afgørende for enkelte omkostningstunge krav og for vurderingen af,
om virksomhederne skal anses for
kritiske enheder.
Det er væsentligt at understrege, at
særloven både i omfang og tilgang
er væsentligt forskellig fra NIS2-loven, og det er derfor afgørende, at
virksomheder får fastlagt, om de
er omfattet af særloven, inden det
betydelige arbejde med sikring af
overholdelse af de særlige krav i
denne lov iværksættes.
Det skal desuden bemærkes, at
det kan være ganske vanskeligt at
vurdere, om en konkret enhed er
omfattet af særloven, og hvilken
kategorisering der vil gælde for den
pågældende enhed. Vi anbefaler
derfor, at dette skænkes særlig opmærksomhed ved implementering
af reglerne.
Energistyrelsen har meddelt, at der
snarest vil blive udsendt vejledninger til understøttelse af implementeringen af kravene i særloven og
bekendtgørelse om modstandsdygtighed og beredskab i energisektoren. Det er dog endnu ikke meldt ud,
hvilke vejledninger der udarbejdes,
og hvornår de kan forventes udgivet.
Jens Grønkjær Sjølander Pihl
Partner, advokat
jsp@horten.dk
Emilie Loiborg
Director, advokat
elo@horten.dk
Reneé van Naerssen
Advokat
rvn@horten.dk
