NIS2 og CER-direktiverne er på vej, og Energistyrelsen har netop sendt lovforslaget, som skal sikre tidssvarende implementering, i høring. Fristen er den 24. juli.
Samtidig vil den eksisterende beredskabsregulering af energisektoren blive moderniseret, vil betyder, at energisektoren vil få sin egen lov, og ikke blive omfattet af de to hovedlove fra Forsvarsministeriet, der implementerer EU-direktiverne i dansk ret.
Mange aktører indenfor el-, gas-, olie-, fjernvarme-, fjernkøling- og brintsektoren vil blive omfattet, hvilket betyder, at mange, som i dag ikke er underlagt beredskabsregulering vil blive berørt af den nye lov.
I dag er 84 virksomheder omfattet af Energistyrelsens faste tilsyn – det tal ventes at blive fordoblet, og det skønnes at omkring 200 forsyningsvirksomheder vil blive omfattet af krav om at have en beredskabsplan og et kontaktpunkt.
De to direktiver har hver sit angrebspunkt. CER-direktivet stiller krav til kritiske enheders modstandsdygtighed, mens det er virksomhedernes cybersikkerhedsniveau, der er omdrejningspunktet i NIS2.
Det vil ydermere ikke blot blive tale om en implementering. Lovforslaget indeholder krav til energisektorens beredskab, herunder krav til fysiske, tekniske og organisatoriske foranstaltninger for at sikre en høj robusthed. Eksempelvis krav om alarmsystemer og netværksopdeling, der minimerer risikoen for, at cyberangreb kan sprede sig.
Det forventes, at loven træder i kraft den 1. januar 2025.
Kilde: Energistyrelsen
