Senere ændringer til forskriften
Ændrer i/ophæver
Links til EU direktiver, jf. note 1
32008L0114
 
Oversigt (indholdsfortegnelse)

Kapitel 1   Anvendelsesområde og definitioner

Kapitel 2   Identifikation og udpegning af europæisk kritisk infrastruktur

Kapitel 3   Sikkerhedsplaner for europæisk kritisk infrastruktur

Kapitel 4   Sikkerhedsforbindelsesofficerer m.m.

Kapitel 5   Operationelle forhold

Kapitel 6   Tilsyn

Kapitel 7   Øvrige bestemmelser

Den fulde tekst

Bekendtgørelse om identifikation og udpegning af europæisk kritisk infrastruktur på energiområdet og vurdering af behovet for bedre beskyttelse (EPCIP-direktivet)1)

I medfør af § 2 a, § 85 b, stk. 3 og 4, § 88, stk. 1, § 90, nr. 1, og § 92 i lov om elforsyning, jf. lovbekendtgørelse nr. 516 af 20. maj 2010, § 3, § 15 a, stk. 1, 2. pkt., § 15 a, stk. 3 og 4, § 50, stk. 1, § 52, nr. 1, og § 54 i lov om naturgasforsyning, jf. lovbekendtgørelse nr. 1116 af 8. november 2006, § 1 a, § 4 c, § 4 e og § 5, stk. 3, i lov om kontinentalsoklen, jf. lovbekendtgørelse nr. 1101 af 18. november 2005, som ændret ved lov nr. 548 af 6. juni 2007, § 4 a, § 45, stk. 5, § 61, stk. 3, § 67, stk. 4, og § 72 i lov nr. 1424 af 21. december 2005 om sikkerhed m.v. for offshoreanlæg til efterforskning, produktion og transport af kulbrinter (offshoresikkerhedslov), som ændret ved lov nr. 287 af 15. april 2009, samt § 5, stk. 2, § 5 a, stk. 2, § 5 b, § 6, stk. 1 og 2, og § 7, stk. 2, i lov nr. 1275 af 20. december 2000 om pligtige lagre af mineralolie og mineralolieprodukter, som ændret ved lov nr. 316 af 22. maj 2002 og ved lov nr. 622 af 11. juni 2010, fastsættes:

Kapitel 1

Anvendelsesområde og definitioner

§ 1. Bekendtgørelsen har til formål at fastsætte regler om og procedurer for identifikation og udpegning af europæisk kritisk infrastruktur på energiområdet og om vurdering af behovet for at beskytte denne form for infrastruktur for at bidrage til beskyttelsen af mennesker. Bekendtgørelsen har endvidere til formål at fastsætte rammer for myndighedernes beslutninger herom.

Stk. 2. Bekendtgørelsen skal endvidere sikre opretholdelse af samfundets energiforsyning i tilfælde af krisesituationer forårsaget af naturskabte, menneskeskabte og teknologiske trusler, herunder terrortrusler (beredskabssituationer).

Stk. 3. Bekendtgørelsen gælder for følgende energisektorer:

1) Elsektoren med undersektorerne produktion og transmission af el med henblik på elforsyning.

2) Naturgassektoren med undersektorerne produktion, raffinering, behandling, lagring og transmission gennem rørledninger af naturgas samt LNG-terminaler.

3) Oliesektoren med undersektorerne produktion, raffinering, behandling, lagring og transport gennem rørledninger af olie.

Stk. 4. Bekendtgørelsen gælder for følgende virksomheder m.v.:

1) Virksomheder med bevilling til elproduktion og transmissionsvirksomhed efter elforsyningsloven.

2) Virksomheder med bevilling til transmissions-, lager- og LNG-virksomhed efter naturgasforsyningsloven.

3) Energinet.dk og denne virksomheds helejede datterselskaber i medfør af lov om Energinet.dk.

4) Virksomheder omfattet af lov om pligtige lagre af mineralolie og mineralolieprodukter samt Foreningen Danske Olieberedskabslagre.

5) Virksomheder med infrastrukturer omfattet af lov om sikkerhed m.v. for offshoreanlæg til efterforskning, produktion og transport af kulbrinter.

6) Virksomheder med infrastrukturer omfattet af olierørledningsloven.

7) Virksomheder med infrastrukturer omfattet af kontinentalsokkelloven.

8) Andre virksomheder med produktions- og transportanlæg inden for el-, naturgas- og oliesektorerne i det omfang, de omfattes af kriterierne i § 5.

Stk. 5. Bekendtgørelsen gælder på land, søterritoriet, i den eksklusive økonomiske zone og på kontinentalsokkelområdet.

§ 2. I denne bekendtgørelse forstås ved følgende:

1) Kritisk infrastruktur: aktiver, systemer eller dele deraf, der befinder sig i medlemsstaterne, og som er væsentlige for opretholdelsen af vitale samfundsmæssige funktioner og menneskers sundhed, sikkerhed og økonomiske eller sociale velfærd, og hvis afbrydelse eller ødelæggelse i væsentlig grad vil påvirke en medlemsstat som følge af, at disse funktioner ikke kan opretholdes.

2) Europæisk kritisk infrastruktur: kritisk infrastruktur, der befinder sig i medlemsstaterne, og hvis afbrydelse eller ødelæggelse vil få betydelige konsekvenser for to eller flere medlemsstater. Betydningen af konsekvenserne vurderes ud fra de tværgående kriterier, jf. § 6. Dette omfatter også konsekvenser som følge af afhængighed på tværs af sektorerne af andre typer infrastruktur.

3) Potentiel europæisk kritisk infrastruktur: infrastruktur som omfattes af vurderingerne af hvilke infrastrukturer, der opfylder vilkårene for at kunne udpeges som europæisk kritisk infrastruktur.

4) Risikoanalyse: overvejelse af relevante trusselsscenarier for at vurdere sårbarheden og de potentielle konsekvenser af, at kritisk infrastruktur afbrydes eller ødelægges.

5) Følsomme oplysninger vedrørende beskyttelse af kritisk infrastruktur: data om kritisk infrastruktur, som, hvis de blev offentliggjort, kan anvendes til at planlægge og handle med henblik på at forårsage afbrydelse eller ødelæggelse af kritiske infrastrukturanlæg.

6) Beskyttelse: alle aktiviteter, der tager sigte på at sikre kritisk infrastrukturs funktionalitet, kontinuitet og integritet med henblik på at afværge, afbøde og neutralisere en trussel, en risiko eller sårbarhed.

7) Ejere af europæisk kritisk infrastruktur: virksomheder m.v., der har ansvaret for investeringerne i en konkret infrastruktur eller en del deraf, der er udpeget som europæisk kritisk infrastruktur efter denne bekendtgørelse.

8) Operatører af europæisk kritisk infrastruktur: virksomheder m.v., der har ansvaret for den daglige drift af en konkret infrastruktur eller en del deraf, der er udpeget som europæisk kritisk infrastruktur efter denne bekendtgørelse.

Kapitel 2

Identifikation og udpegning af europæisk kritisk infrastruktur

§ 3. Energistyrelsen foretager identifikation af europæisk kritisk infrastruktur i dialog med operatører af relevante infrastrukturer.

Stk. 2. Europæisk kritisk infrastruktur skal opfylde både de sektorbaserede kriterier og de tværgående kriterier, jf. §§ 5 og 6, og skal være i overensstemmelse med definitionerne i § 2, nr. 1 og 2.

§ 4. Ved identifikation af europæisk kritisk infrastruktur anvendes følgende procedure med fire fortløbende trin. Denne procedure indledes med en bred opgørelse af potentiel europæisk kritisk infrastruktur. På det grundlag skal potentiel europæisk kritisk infrastruktur, der opfylder betingelserne på ét trin i proceduren, gennemgå det næste trin i proceduren.

1) Trin 1: Energistyrelsen anvender de sektorbaserede kriterier med henblik på at foretage en indledende udvælgelse af potentiel europæisk kritisk infrastruktur inden for de pågældende energi-sektorer.

2) Trin 2: Energistyrelsen anvender definitionen af kritisk infrastruktur, jf. § 2, nr. 1, på den potentielle europæisk kritiske infrastruktur, der er identificeret i trin 1. Betydningen af konsekvenserne fastslås enten ved at anvende nationale metoder til at identificere kritisk infrastruktur eller ved henvisning til de tværgående kriterier på et passende nationalt niveau. For infrastruktur, som leverer vigtige tjenester, skal der tages hensyn til, om der findes alternativer hertil, og til den forventede varighed af en potentiel afbrydelse eller genetablering.

3) Trin 3: Energistyrelsen anvender definitionen af europæisk kritisk infrastruktur, jf. § 2, nr. 2, på den potentielle europæisk kritiske infrastruktur, der er identificeret gennem procedurens første to trin. For infrastruktur, som leverer vigtige tjenester, skal der tages hensyn til, om der findes alternativer hertil, og til den forventede varighed af en potentiel afbrydelse eller genetablering.

4) Trin 4: Energistyrelsen anvender de tværgående kriterier på den potentielle europæisk kritiske infrastruktur, som har opfyldt procedurens første tre trin. De tværgående kriterier tager hensyn til, hvor alvorlige konsekvenserne forventes at være, og - for infrastruktur som leverer vigtige tjenester - om der findes alternativer hertil og til den forventede varighed af en potentiel afbrydelse eller genetablering. Potentiel europæisk kritisk infrastruktur, der ikke opfylder de tværgående kriterier, betragtes ikke som europæisk kritisk infrastruktur.

Stk. 2. Potentiel europæisk kritisk infrastruktur, der ikke opfylder alle fire trin i stk. 1, betragtes ikke som europæisk kritisk infrastruktur.

Stk. 3. Energistyrelsen fastsætter det nærmere grundlag for vurderingerne efter stk. 1 og for anvendelse af de kriterier, som er anført i §§ 5 og 6.

§ 5. De sektorbaserede kriterier tager hensyn til de særlige kendetegn for de enkelte sektorer med europæisk kritisk infrastruktur. Kriterierne omfatter infrastrukturer, der varetager opgaver om produktion, transmission, transport, behandling, raffinering eller lagring samt centrale støttefunktioner hertil, i de energisektorer, som er anført i § 1, stk. 3.

§ 6. De tværgående kriterier omfatter følgende:

1) Kriteriet om ofre (en vurdering af det potentielle antal dræbte eller kvæstede).

2) Kriteriet om de økonomiske konsekvenser (en vurdering af størrelsen af det økonomiske tab eller forringelsen af varer eller tjenester, herunder potentielle miljømæssige konsekvenser).

3) Kriteriet om almene konsekvenser (en vurdering af konsekvenserne med hensyn til befolkningens tillid, fysiske lidelser og forstyrrelse af dagligdagen, herunder udfald af væsentlige tjenester).

Stk. 2. Tærskelværdierne for de tværgående kriterier skal baseres på, hvor alvorlige konsekvenserne er af en potentiel afbrydelse eller ødelæggelse af en konkret infrastruktur. De præcise tærskelværdier, der skal gælde for de tværgående kriterier, fastlægges i hvert enkelt tilfælde af Energistyrelsen for så vidt angår konsekvenser på dansk område og af de medlemsstater, der er berørt af en konkret kritisk infrastruktur, for så vidt angår konsekvenserne på deres område.

§ 7. Energistyrelsen foretager udpegning af europæisk kritisk infrastruktur på energiområdet i Danmark.

Stk. 2. Forud for eventuel udpegning hører Energistyrelsen operatører af de infrastrukturer, der påregnes udpeget som europæisk kritisk infrastruktur.

Stk. 3. Forud for eventuel udpegning har Energistyrelsen drøftelser med de øvrige medlemsstater, som i betydelig grad kan blive berørt af den potentielle europæiske kritiske infrastruktur. Såfremt der skal foretages udpegning, indgår Energistyrelsen aftale herom med relevante medlemsstater.

Stk. 4. Energistyrelsen underretter operatøren og ejeren af en konkret infrastruktur om dens udpegning som europæisk kritisk infrastruktur. Energistyrelsen underretter samtidig centrale koordinerende myndigheder af relevans om udpegningen.

Stk. 5. Energistyrelsen varetager kontakten til relevante andre medlemsstater, til andre myndigheder og til Kommissionen om udpegning af europæisk kritisk infrastruktur på energiområdet beliggende i og uden for Danmark.

§ 8. Energistyrelsen foretager identifikation og udpegning af europæisk kritisk infrastruktur som angivet i §§ 3-4 og 7 senest den 12. januar 2011. Energistyrelsen reviderer denne identifikation og udpegning én gang årligt pr. 31. januar.

Kapitel 3

Sikkerhedsplaner for europæisk kritisk infrastruktur

§ 9. Ejeren og operatøren af en infrastruktur, der er udpeget som europæisk kritisk infrastruktur, skal i fællesskab sikre, at denne infrastruktur beskyttes. Ejeren og operatøren er i fællesskab ansvarlig for denne sikring.

Stk. 2. Som led i denne sikring skal operatøren udarbejde en sikkerhedsplan for infrastrukturen.

Stk. 3. Operatøren skal fremsende sikkerhedsplanen til Energistyrelsen til godkendelse senest 12 måneder efter, at operatøren har modtaget meddelelse om, at infrastrukturen er udpeget som europæisk kritisk infrastruktur.

Stk. 4. Energistyrelsen kan træffe afgørelse om, at operatøren skal fremsende relevante dele af sikkerhedsplanen til godkendelse på et tidligere tidspunkt end den frist, som er anført i stk. 3.

Stk. 5. Energistyrelsen kan udarbejde retningslinjer og vejledninger om operatørernes beredskabsarbejde med henblik på at uddybe bestemmelserne i denne bekendtgørelse. Retningslinjer og vejledninger skal være tilgængelig for operatørerne, som skal underrettes herom.

§ 10. Sikkerhedsplanen skal indgå i operatørens samlede kompleks af beredskabsplaner, procedurer m.v. på energiområdet og skal være koordineret hermed.

Stk. 2. Operatøren skal koordinere sikkerhedsplanen, herunder ændringer efter § 12 og pålæg efter § 16, med øvrige beredskabsplaner, procedurer m.v. for infrastrukturen i medfør af anden lovgivning.

Stk. 3. Sikkerhedsplanen skal sikre, at operatøren i nødvendigt omfang kan indgå i den nationale krisehåndtering efter den nationale beredskabsplan, udsendt af Beredskabsstyrelsen.

§ 11. Sikkerhedsplanen skal angive de kritiske dele af den pågældende infrastruktur og skal angive de sikkerhedsmæssige foranstaltninger, som er etableret eller er under gennemførelse for at beskytte infrastrukturen.

Stk. 2. Sikkerhedsplanen skal udarbejdes ved brug af en procedure, der som minimum omfatter følgende elementer:

1) De vigtige dele af infrastrukturen skal identificeres.

2) Der skal foretages en risiko- og sårbarhedsanalyse baseret på alvorlige trusselsscenarier, sårbarheden for de enkelte dele samt de potentielle konsekvenser af deres nedbrud eller ødelæggelse.

3) Der skal foretages identifikation, udvælgelse og prioritering af foranstaltninger og procedurer til imødegåelse af disse risici.

Stk. 3. Sikkerhedsplanen skal være baseret på det arbejde, som er gennemført efter stk. 2 og skal angive virksomhedens sikkerhedsmæssige foranstaltninger med en opdeling på

1) permanente sikkerhedsmæssige foranstaltninger, som angiver de nødvendige sikkerhedsmæssige investeringer og midler, som det er relevant at anvende til enhver tid, jf. stk. 4, og

2) graduerede sikkerhedsmæssige foranstaltninger, som kan aktiveres afhængigt af de aktuelle risiko- og trusselsniveauer.

Stk. 4. De permanente sikkerhedsmæssige foranstaltninger i sikkerhedsplanen skal omfatte følgende generelle foranstaltninger:

1) Tekniske foranstaltninger (herunder installering af detektorer, adgangskontrol samt beskyttelses- og forebyggelsesforanstaltninger).

2) Organisatoriske foranstaltninger (herunder varslingsprocedurer og krisestyring).

3) Kontrol- og verificeringsforanstaltninger.

4) Kommunikation, opmærksomhedsforøgelse og uddannelse for de involverede medarbejdere.

5) Sikring af informationssystemer.

§ 12. Operatøren skal sikre, at sikkerhedsplanen løbende opdateres i det omfang, udviklingen gør det nødvendigt, herunder ved væsentlige ændringer af virksomheden, af infrastrukturen samt dennes risici, sårbarheder og sikkerhedsmæssige forhold.

Stk. 2. Såfremt den løbende opdatering efter stk. 1 indebærer en væsentlig revision af sikkerhedsplanen, skal denne revision fremsendes til Energistyrelsen til godkendelse efter § 9, stk. 3.

Stk. 3. Operatøren skal dog mindst fremsende sikkerhedsplanen til godkendelse hvert tredje år.

§ 13. Såfremt den pågældende kritiske infrastruktur allerede har en sikkerhedsplan, som er godkendt af en myndighed og som opfylder kravene efter § 11, kan Energistyrelsen efter ansøgning godkende, at denne sikkerhedsplan anvendes til opfyldelse af § 9, stk. 2, eller § 12, stk. 3, om nødvendigt suppleret med tillæg.

Kapitel 4

Sikkerhedsforbindelsesofficerer m.m.

§ 14. Operatøren af en infrastruktur, der er udpeget som europæisk kritisk infrastruktur, skal udpege følgende kontakter:

1) En sikkerhedsforbindelsesofficer for denne infrastruktur, jf. stk. 3.

2) Et kontaktpunkt i beredskabssituationer (operationel kontakt), jf. stk. 4.

Stk. 2. Operatøren skal underrette Energistyrelsen og de relevante politikredse om de kontakter, som er anført i stk. 1, senest 3 måneder efter, at operatøren har modtaget meddelelse om, at infrastrukturen er udpeget som europæisk kritisk infrastruktur. Disse kontaktdata skal til enhver tid være opdateret.

Stk. 3. Sikkerhedsforbindelsesofficeren fungerer som kontaktpunkt i forbindelse med sikkerhedsmæssige spørgsmål mellem operatøren og Energistyrelsen samt andre relevante myndigheder. Sikkerhedsofficeren skal være sikkerhedsgodkendt på et passende niveau, fastsat af Energistyrelsen.

Stk. 4. Kontaktpunktet i beredskabssituationer (operationel kontakt) skal når som helst kunne fungere som forbindelsesled til operatøren og skal kunne modtage informationer fra Energistyrelsen og andre myndigheder i overensstemmelse med sikkerhedsplanen efter § 11 og skal sikre, at operatøren iværksætter de nødvendige foranstaltninger, herunder videreformidling af informationer internt i virksomheden.

Stk. 5. Energistyrelsen fastsætter en passende kommunikationsmekanisme mellem Energistyrelsen og de kontakter, som er anført i stk. 1, med henblik på at udveksle relevante oplysninger om de identificerede risici og trusler i forbindelse med den pågældende europæiske kritiske infrastruktur.

Kapitel 5

Operationelle forhold

§ 15. Beredskabssituationer skal håndteres af den enkelte operatør på grundlag af dens sikkerhedsplan og dens øvrige beredskabsplaner med de nødvendige tilpasninger til situationen.

Stk. 2. Operatøren skal løbende vurdere, om der er risiko for, at der indtræffer en beredskabssituation med risiko for, at infrastrukturen afbrydes eller ødelægges, således at den ikke kan opretholdes og videreføres i normalt omfang. Såfremt operatøren vurderer, at en sådan risiko foreligger, skal den underrette Energistyrelsen herom og samtidig træffe nødvendige foranstaltninger for at reducere risikoen for og konsekvenserne af en sådan beredskabssituation.

Stk. 3. I en beredskabssituation kan Energistyrelsen pålægge virksomheden at ændre dens foranstaltninger for at sikre en hurtig, koordineret og prioriteret krisehåndtering, herunder gennemførelse af myndighedernes beslutninger i den nationale krisehåndtering. Tilsvarende gælder situationer, hvor der vurderes at være risiko for, at en beredskabssituation indtræffer.

Kapitel 6

Tilsyn

§ 16. Energistyrelsen fører tilsyn med operatørens beredskabsarbejde for at sikre, at det opfylder reglerne i denne bekendtgørelse.

Stk. 2. Energistyrelsen kan pålægge operatøren at udarbejde dens sikkerhedsplan efter § 11 og at ændre denne og andre dele af operatørens beredskabsarbejde, såfremt sikkerhedsplanen eller beredskabsarbejdet i øvrigt ikke opfylder reglerne herfor, eller såfremt dette vurderes at være nødvendigt for at opnå en koordineret og effektiv krisehåndtering.

Kapitel 7

Øvrige bestemmelser

§ 17. Omkostninger ved virksomhedernes arbejde efter denne bekendtgørelse afholdes af virksomhederne.

§ 18. Operatører af potentiel europæisk kritisk infrastruktur skal efter anmodning give Energistyrelsen oplysning om alle forhold om infrastrukturen af relevans for arbejdet under §§ 4 og 7.

Stk. 2. Operatører af europæisk kritisk infrastruktur skal efter anmodning give Energistyrelsen oplysning om alle forhold om infrastrukturen af relevans for operatørens beredskab vedrørende infrastrukturen og om operatørens øvrige beredskabsarbejde.

Stk. 3. Energistyrelsen kan pålægge operatører at fremsende oplysninger efter stk. 1 og 2.

§ 19. Sårbarhedsvurderinger, kritiske dele af sikkerhedsplanen og rapporteringer samt andet materiale af tilsvarende karakter skal behandles fortroligt og må ikke komme uvedkommende i hænde.

Stk. 2. Energistyrelsen skal sikkerhedsklassificere oplysninger om udpegning af en infrastruktur som europæisk kritisk infrastruktur på et passende niveau. Energistyrelsen kan sikkerhedsklassificere vurderingerne efter § 4, stk. 1, og de anvendte kriterier efter §§ 5 og 6 samt materiale om kommunikationer efter § 7 med operatører, stater, Kommissionen og andre myndigheder.

Stk. 3. Opbevaring af materialet under stk. 1 og 2 skal foretages, således at uautoriseret adgang, sletning, ødelæggelse, ændring og offentliggørelse forhindres. Materialet kan opbevares i elektronisk form.

Stk. 4. Forsendelse af materialet under stk. 1 og 2 skal foretages ved brev. Det fremsendte materiale kan være elektroniske dokumenter eller i papirformat. Materialet må af sikkerhedsmæssige grunde ikke fremsendes med e-mail eller via internettet.

Stk. 5. Hvis følsomt materiale kompromitteres, skal Energistyrelsen straks underrettes herom. Energistyrelsen skal herefter i samråd med operatøren opgøre og vurdere skadevirkningerne. Energistyrelsen afgør i samråd med operatøren, om der er behov for, at materialet eller dele af dette skal ændres, og kan give pålæg herom til den pågældende operatør.

§ 20. Energistyrelsen kan efter ansøgning dispensere fra bestemmelser i denne bekendtgørelse, hvor sådanne bestemmelser har mindre betydning eller reduceret effekt i forhold til bekendtgørelsens formål efter § 1, stk. 1 og 2, samt i det omfang det er foreneligt med det direktiv, som implementeres ved bekendtgørelsen.

§ 21. Energistyrelsens afgørelser efter denne bekendtgørelse kan indbringes for klima- og energiministeren.

§ 22. Medmindre højere straf er forskyldt efter anden lovgivning, straffes med bøde den, der

1) overtræder § 14, stk. 1 og 2, og § 19, stk. 1, 3 og 4,

2) ikke udarbejder eller reviderer planmateriale som angivet i § 9, stk. 2, og § 12, stk. 2,

3) afgiver urigtige eller vildledende oplysninger eller efter anmodning undlader at afgive oplysninger,

4) ikke overholder pålæg meddelt efter denne bekendtgørelse eller

5) videregiver oplysninger, der er omfattet af § 19, til uvedkommende.

Stk. 2. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

§ 23. Bekendtgørelsen træder i kraft den 12. januar 2011.

Stk. 2. Bekendtgørelsen gælder ikke for Færøerne og Grønland.

Energistyrelsen, den 7. januar 2011

Ib Larsen

/ Dewi Dylander

Officielle noter

1) Bekendtgørelsen indeholder bestemmelser, der gennemfører Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre, EU-Tidende 2008, nr. L 345, side 75.