I fjernvarmesektoren skal vi lære ikke længere at sige NIS2 eller CER, men i stedet sige ‘Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren’, som er den danske implementering af EU-lovgivningen. Bekendtgørelsen blev vedtaget d. 06.03.2025.
En oversigt: Fra EU-lovgivning til dansk implementering
EU-direktiverne NIS2 og CER implementeres i Danmark gennem forskellige sektorspecifikke love. I energisektoren sker det via “Lov om styrket beredskab i energisektoren”, som er udarbejdet af KEFM. Loven er omsat til en bekendtgørelse, der adminstreres af Energistyrelsen. Bekendtgørelsen stiller også krav om indrapportering til Energinet og CSIRT, som i Danmark varetages af Center for Cybersikkerhed.
1. Klassifikation
Fjernvarmeselskaber skal først placeres på et niveau som virksomhed. Hvis selskabet placeres på niveau 2 eller derover gælder det, at anlæggene herefter også skal placeres.
I kan få en indikation af jeres indplacering og klassifikation ved brug af denne vejledning:
- Vejledning til niveau og klasser i fjernvarmesektoren (v. 1.3 publiceret d. 14/5/2025)
Dog er det Energistyrelsen der endeligt fastlægger jeres niveauplacering og klassifikation baseret på den information, I skulle indrapportere senest d. 1. april 2025 og herefter skal indrapportere hvert 3. år d. 1. oktober. Bilag 3 i bekendtgørelsen stiller krav om den information som skal indrapporteres. Det har vi også opsummeret her:
- Klassifikationsoplysninger til Energistyrelsen (publiceret d. 7/3/2025)
2. Sæt rammerne
For at etablere et solidt fundament for jeres it-sikkerhed, anbefaler vi, at I udarbejder en tilstandsrapport. Skabelonerne herunder er udarbejdet som Word skabeloner, så du kan tilpasse dem til din organisation:
- Tilstandsrapport til energisektoren (v. 1.0 publiceret d. 4/3/2025)
3. Hændelse- og krisestyring
Selv med de bedste foranstaltninger kan kriser opstå. Derfor er det afgørende at være forberedt, så I kan reagere hurtigt og effektivt. En kriseberedskabspolitik sætter rammerne for jeres kriseberedskabsarbejde og sikrer samtidig, at I lever op til kravene i ‘Bekendtgørelsen om modstandsdygtighed og beredskab i energisektoren.
- Kriseberedskabspolitik i energisektoren (v. 1.3 publiceret d. 25/6/2025)
Som en del af kriseberedskabspolitikken, kan en reetableringsstrategi hjælpe jer med at vælge den rette tilgang til reetablering ud fra forretningskritiske behov. Brug skabelonen herunder som udgangspunkt.
- Reetableringsmål i energisektoren (v. 1.0 publiceret d. 2/5/2025)
Beredskabspolitikken implementeres i beredskabsplanen, og skal understøttes af lokale hændelsesprocedurer og leverandørpolitikker. Du kan finde en skabelon til beredskabsplanen her.
Når I har styr på jeres beredskabspolitik, er I klar til at udarbejde en hændelseshåndtering, som beskriver de specifikke procedurer, som står beskrevet i Bekendtgørelsen:
- Lokale hændelsesprocedurer i energisektoren (v. 1.0 publiceret d. 4/3/2025)