Mange virksomheder indenfor energisektoren kan se frem til at blive berørt af den kommende lovgivning, der både skal sikre implementeringen af de to direktiver NIS2 og CER, og samtidig moderniserer den eksisterende beredskabsregulering af energisektoren.
Det betyder i øvrigt, at energisektoren vil få sin egen lov, og ikke blive omfattet af de to hovedlove fra Forsvarsministeriet, der implementerer EU-direktiverne i dansk ret.
Energistyrelsen har netop sendt loven i høring – fristen er den 24. juli.
I dag er 84 virksomheder omfattet af Energistyrelsens faste tilsyn – det tal ventes at blive fordoblet, og det skønnes at omkring 200 forsyningsvirksomheder vil blive omfattet af krav om at have en beredskabsplan og et kontaktpunkt.
De to direktiver har hver sit angrebspunkt. CER-direktivet stiller krav til kritiske enheders modstandsdygtighed, mens det er virksomhedernes cybersikkerhedsniveau, der er omdrejningspunktet i NIS2.
Det vil ydermere ikke blot blive tale om en implementering. Lovforslaget indeholder krav til energisektorens beredskab, herunder krav til fysiske, tekniske og organisatoriske foranstaltninger for at sikre en høj robusthed. Eksempelvis krav om alarmsystemer og netværksopdeling, der minimerer risikoen for, at cyberangreb kan sprede sig.
Det forventes, at loven træder i kraft den 1. januar 2025.
Kilde: Energistyrelsen