Er din virksomhed klar til de nye beredskabskrav?

Med “Loven om styrket beredskab i energisektoren” skærpes kravene til cybersikkerhed, fysisk sikring og organisatorisk beredskab hos aktørerne i energi- og forsyningssektoren. Loven afspejler det øgede trusselsbillede, hvor cyberangreb, spionage, naturkatastrofer og geopolitik udgør væsentlige risici for forsyningssikkerheden. 

Det er første gang, at Danmark får en samlet, branchespecifik beredskabslovgivning, og med vedtagelsen af loven implementeres to EU-direktiver i dansk lovgivning: NIS2-direktivet om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele EU og CER-direktivet om kritiske enheders modstandsdygtighed.

Lovens overordnede formål er at øge modstandsdygtigheden i sektoren og styrke det samfundskritiske beredskab gennem et langt mere systematisk og risikobaseret tilsyn. Lovteksten skelner ikke mellem små og store virksomheder – det afgørende er virksomhedens funktion for den nationale forsyning. Det betyder, at elektricitets- og gasforsyningsvirksomheder, el-producenter, distributions- og transmissionssystemoperatører, operatører af ladepunkter, fjernvarme- og fjernkølingsanlæg samt virksomheder involveret i olie- og brintproduktion, energilagring og tankstationer skal leve op til de nye beredskabskrav. 

Hvad skal din virksomhed være særlig opmærksom på?

Senest i juli 2025 udpeger Energistyrelsen de virksomheder, der vil være omfattet af loven. Derefter har virksomhederne 9 måneder til at etablere og implementere alle de påkrævede foranstaltninger. Energistyrelsen har udvidede beføjelser til at kontrollere de virksomheder, der er underlagt loven, og sanktionere manglende efterlevelse gennem påbud, administrative bøder og i yderste konsekvens inddragelse af virksomhedens driftstilladelse. 

Aktører i energisektoren kan med fordel gå i gang med arbejdet allerede nu, og de bør være særligt opmærksomme på en række forhold: 

• Der skal foretages en lang række analyser og kortlægninger: Virksomhederne skal etablere et overblik over egne sikkerhedsforanstaltninger, gennemføre en gapanalyse af det nuværende cybersikkerhedsniveau og beredskab, kortlægge kritiske funktioner og afhængigheder, vurdere leverandørkædens robusthed samt planlægge organisatoriske roller og styrke interne kompetencer.
• Der er stort behov for tværgående samarbejde: Loven stiller skarpe krav til governance og ledelsesinvolvering, og compliance vil kræve en tværgående indsats mellem sikkerhed, drift, it og HR.
• Identifikation af de rette kompetencer: Virksomhederne skal udpege cyber-, beredskabs- og sikringskoordinatorer, og det skal dokumenteres, at de har kompetencerne til at påtage sig denne opgave. 
• Er sikkerhedsniveauet tilstrækkelig: Den nye lov indeholder krav om, at virksomhederne skal tilsluttes en certificeret it-sikkerhedstjeneste for hændelseshåndtering og trusselsinformation. Lovgivningen indeholder også krav om fysisk sikring, forsyningsstabilitet og redundans i centrale anlæg, såvel som krav om øvelsesprogrammer og evalueringsmekanismer.