I fjernvarmesektoren skal vi lære ikke længere at sige NIS2 eller CER, men i stedet sige ‘Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren’, som er den danske implementering af EU-lovgivningen. Bekendtgørelsen blev vedtaget d. 06.03.2025.
En oversigt: Fra EU-lovgivning til dansk implementering
EU-direktiverne NIS2 og CER implementeres i Danmark gennem forskellige sektorspecifikke love. I energisektoren sker det via “Lov om styrket beredskab i energisektoren”, som er udarbejdet af KEFM. Loven er omsat til en bekendtgørelse, der adminstreres af Energistyrelsen. Bekendtgørelsen stiller også krav om indrapportering til Energinet og CSIRT, som i Danmark varetages af Center for Cybersikkerhed.
1. Klassifikation
Fjernvarmeselskaber skal først placeres på et niveau som virksomhed. Hvis selskabet placeres på niveau 2 eller derover gælder det, at anlæggene herefter også skal placeres.
I kan få en indikation af jeres indplacering og klassifikation ved brug af denne vejledning:
- Vejledning til niveau og klasser i fjernvarmesektoren (v. 1.3 publiceret d. 14/5/2025)
Dog er det Energistyrelsen der endeligt fastlægger jeres niveauplacering og klassifikation baseret på den information, I skulle indrapportere senest d. 1. april 2025 og herefter skal indrapportere hvert 3. år d. 1. oktober. Bilag 3 i bekendtgørelsen stiller krav om den information som skal indrapporteres. Det har vi også opsummeret her:
- Klassifikationsoplysninger til Energistyrelsen (publiceret d. 7/3/2025)
2. Sæt rammerne
For at etablere et solidt fundament for jeres it-sikkerhed, anbefaler vi, at I udarbejder en tilstandsrapport. Skabelonerne herunder er udarbejdet som Word skabeloner, så du kan tilpasse dem til din organisation:
- Tilstandsrapport til energisektoren (v. 1.0 publiceret d. 4/3/2025)
3. Hændelse- og krisestyring
Selv med de bedste foranstaltninger kan kriser opstå. Derfor er det afgørende at være forberedt, så I kan reagere hurtigt og effektivt. En beredskabspolitik sætter rammerne for jeres beredskabsarbejde og sikrer samtidig, at I lever op til kravene i ‘Bekendtgørelsen om modstandsdygtighed og beredskab i energisektoren.
- Beredskabspolitik (v. 1.4 publiceret d. 26/8/2025)
Beredskabspolitikken implementeres i beredskabsplanen, og skal understøttes af lokale hændelsesprocedurer og leverandørpolitikker. Du kan finde en skabelon til beredskabsplanen her (v. 1.3.1 publiceret d. 26/8/2025) og et forslag til hændelseshåndtering her (v. 2.1 publiceret d. 04/9/2025).
Nedenfor har vi samlet de skabeloner, som I kan bruge til at planlægge jeres beredskab og kommunikation:
- Mini beredskabsplan til telefoncover og pung (v. 1.1 publiceret d. 26/8/2025)
- Konsekvensvurdering (v. 1.1 publiceret d. 26/8/2025)
- Kommunikationsplan (v. 1.1 publiceret d. 26/8/2025)
- Dagsorden og hændelseslog (v. 1.1 publiceret d. 25/6/2025)
4. Risikostyring
Når rammerne er på plads, handler det om at forstå og håndtere risici. En risikostyringspolitik og en risikovurdering hjælper jer med at prioritere indsatsen og lave en klar handlingsplan.
- Risikostyringspolitik (v. 1.3 publiceret d. 26/8/2025)
- Risikolog (v. 2.0 publiceret d. 26/8/2025)
- Handlingsplan (v. 1.1 publiceret d. 26/8/2025)