Formålet med denne artikel er at hjælpe danske forsyningsselskaber med at implementere og dokumentere kravene i Lov om styrket beredskab i energisektoren (Lov nr. 258).

Denne artikel, dens grafik og interaktive værktøjer er baseret på offentlig tilgængelige kilder: Energistyrelsen om Lov om styrket beredskab i energisektoren, Retsinformation om Lov om styrket beredskab i energisekforen, Retsinformation om Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven) samt Retsinformation om Lov om kritiske enheders modstandsdygtighed (CER-loven)

Juridisk set fungerer Lov om styrket beredskab i energisektoren som lex specialis i forhold til de generelle, tværgående hovedlove for henholdsvis NIS2 og CER i Danmark.

Lex specialis (lat. speciallov) er et princip i juridisk teori og praksis, hvorefter at en lovregel i en speciallov (evt. særlov) går forud for lovregel af mere generel karakter, der dækker samme område.

Wikipedia

DISCLAIMER: Den viste guide er udviklet med AI-support. Jeg har gjort mit bedste for at kvalitetssikre den, men AI laver fejl. Indholdet i denne artikel kan ikke betragtes som juridisk eller teknisk rådgivning. Teksten i artiklen er et resultat af min forståelse, min fortolkning og det valgte fokus.

Det regulatoriske helhedsbillede for energisektoren

Lov om styrket beredskab i energisektoren (Lov nr. 258 af 06/03/2025) er den sektorspecifikke særlovgivning, der regulerer modstandsdygtigheden og beredskabet hos danske energioperatører. Lovens formål er at etablere en samlet, robust ramme mod naturskabte, menneskeskabte og teknologiske trusler, der kan skade eller afbryde den nationale energiforsyning. Den stiller ufravigelige krav til forsyningsselskaber inden for tre ligeværdige søjler: organisatorisk beredskab (§ 6), fysisk sikring (§ 7) og teknisk cybersikkerhed (§ 8 & §9)

Lov nr. 258 er den direkte danske udmøntning og specialisering af EU’s to store sikkerhedsdirektiver: NIS2-direktivet (digital robusthed) og CER-direktivet (fysisk modstandsdygtighed) for energisektorens vedkommende. I stedet for at tvinge danske forsyningsselskaber ud i et regulatorisk dobbeltarbejde med flere parallelle lovgivninger, fungerer lov nr. 258 som en integreret helhedsløsning. Den “høster” kravene til it-sikkerhed fra NIS2 og kravene til anlægssikkerhed fra CER, hvorefter den specialiserer og skærper dem til energisektorens kritiske virkelighed. Se lex specialis ovenfor.

For at undgå administrativt overlap og uklarhed om myndighedsansvar, er der indbygget et klart og gensidigt undtagelsesprincip i de tre love:

Undtaget fra NIS2-loven

Den generelle danske NIS2-lov (Lov nr. 434) § 1, stk. 2 fastslår eksplicit, at loven ikke finder anvendelse på enheder, i det omfang de er omfattet af Lov om styrket beredskab i energisektoren.

Undtaget fra CER-loven

Den generelle danske CER-lov (Lov nr. 433) § 1, stk. 5 fastslår på nøjagtig samme måde, at loven ikke finder anvendelse på enheder, i det omfang de er omfattet af Lov om styrket beredskab i energisektoren.

Konklusion for danske energiselskaber: Som omfattet energioperatør skal du udelukkende rette dig efter og auditeres mod Lov nr. 258. Ved at efterleve særlovens krav til organisatorisk beredskab, fysisk sikring og cybersikkerhed opfylder selskabet automatisk sine underliggende forpligtelser over for både NIS2- og CER-direktiverne i ét samlet compliance-spor. Tilsynet føres uafhængigt af Klima-, Energi- og Forsyningsministeriet (Energistyrelsen).

Interaktiv guide

Denne guide er skræddersyet til at hjælpe danske forsyningsselskaber med at implementere og dokumentere kravene i Lov om styrket beredskab i energisektoren (Lov nr. 258). Den tilbyder bl.a. en række funktioner:

Lovmæssig afklaring og transparens

Guiden skaber et klart og overskueligt overblik over lovens anvendelsesområde (§ 2), og hvordan særloven fungerer som en samlet specialist-overbygning, der automatisk opfylder kravene fra EU’s NIS2- og CER-direktiver.

Audit-tracker

Et interaktivt arbejdsområde med 12 detaljerede kontrolpunkter, der dækker alt fra ledelsesgodkendelse (§ 6) og fysisk sikring af kontrolrum (§ 7) til OT-netværkssegmentering (§ 8) og baggrundskontrol (§ 16). Revisoren eller den interne auditor kan styre arbejdsgange, tilføje revisionsnoter (fx links til Jira eller SharePoint) og se en dynamisk opdateret compliance-score.

Omfattende videns-test

En quiz, der tester medarbejdere og ledelse i de præcise paragraffer og sanktioner (fx administrative direktørforbud, jf. § 23) og giver øjeblikkelig juridisk feedback ved indsendelse.

Lov om styrket beredskab i energisektoren

Interaktiv guide til Lov nr. 258 af 06/03/2025 og snitfladen til NIS2 (Lov 434) og CER (Lov 433) i Danmark

Sektor-specifik dansk implementering

Er I omfattet af den specifikke energilov? (Lov nr. 258 § 2)

Hvordan forholder energisektorens aktører sig i grænselandet mellem de tre store regelsæt (Energiloven, NIS2 og CER)?

Både den danske NIS2-lov (Lov nr. 434, § 1, stk. 2) og CER-loven (Lov nr. 433, § 1, stk. 5) indeholder eksplicitte undtagelser: De generelle love finder ikke anvendelse, i det omfang en enhed er omfattet af Lov om styrket beredskab i energisektoren (Lov 258). Energisektoren er derved undtaget de almindelige procedurer for at undgå regulatorisk dobbeltarbejde. Lov 258 indeholder i stedet både cybersikkerhedskravene (fra NIS2) og de fysiske modstandsdygtighedskrav (fra CER) i én samlet lov, som håndhæves af Klima-, Energi- og Forsyningsministeriet.

1. Sektorens 21 kritiske virksomhedstyper

Lov nr. 258, § 2, stk. 1 fastslår, at loven finder direkte anvendelse på bl.a.:

Distributionssystemoperatører og transmissionssystemoperatører.
Elproducenter og fjernvarme-/fjernkølingsoperatører.
Gasforsyningsvirksomheder og brintaktører.
Olierørledningsoperatører og centrale lagerenheder.

2. Undtagelser og størrelsestærskler

Som udgangspunkt undtages mindre virksomheder (under 50 ansatte og ≤ 10 mio. EUR omsætning/balance). De er dog alligevel omfattet, hvis de opfylder tærskelkrav som:

Elproduktion eller energilagring med kapacitet på 25 MW eller derover.
Salg af mere end 13,9 GWh fjernvarme eller fjernkøling i 12 ud af de seneste 3 år.
Befinder sig i rollen som distributionssystemoperatør eller regionalt koordinationscenter.

Energistyrelsens Hjælpeværktøjer: Niveau- og Klasseinddeling

Se vejledninger hos ENS

For at operationalisere loven og sikre proportionalitet arbejder Energistyrelsen med faste inddelinger. Du kan finde de officielle skabeloner og vejledninger på deres hjemmeside:

Niveau 1-5 for virksomheder (Hjælpeværktøj 1): En samlet klassificering af energivirksomheden for at graduere de organisatoriske beredskabskrav, hvor niveau 5 er underlagt de mest omfattende sikkerhedskrav.
Klasse 1-5 for fysiske anlæg (Hjælpeværktøj 2): Fysiske anlæg indplaceres i 5 klasser for at fastsætte proportionelle krav til fysisk/teknisk sikring. Rene netværkslokationer, ladepunkter og kontorer uden kontrolrum betragtes normalt ikke som klassificerede anlæg. Bemærk: Anlæg under tærskelværdierne er stadig forpligtede til at opfylde basiskravene til "anlægs modstandsdygtighed".

Revisionsbeviser (AEF-01): Verifikation af scope

Tilsynsmyndigheden vil anmode om følgende til bevis for scope-indplacering:

AEF-01-A: Teknisk dokumentation for installeret kapacitet (MW) eller salgsstatistikker (GWh).
AEF-01-B: HR-opgørelse over gennemsnitligt antal ansatte i det foregående regnskabsår.
AEF-01-C: Seneste reviderede årsregnskab (verifikation af omsætning/balance).

Organisatorisk beredskab (Lov nr. 258 § 6)

Hvordan skal forsyningsselskabets ledelse og organisation struktureres?

§ 6 pålægger forsyningsselskaber at gennemføre de nødvendige organisatoriske foranstaltninger for at sikre drift og effektiv genopretning af energiforsyningen i tilfælde af kriser. Iht. Energistyrelsens vejledninger bør der udpeges specifikke koordinatorer til at forankre ansvaret.

Ledelsesansvar (§ 6, stk. 2, nr. 1-2)

✔
Formel godkendelse: Ledelsen skal godkende risiko- og sårbarhedsvurderinger samt beredskabsplaner.
✔
Kompetencer: Ledelsesorganet har pligt til at tilegne sig viden og kundskaber om risiko- og sårbarhedsstyring.
✔
Overblik: Sikring af det fulde overblik over kritiske ressourcer og forsyningskæder.

Planlægning, uddannelse & øvelser

✔
Øvelsesaktivitet (§ 6, stk. 2, nr. 9): Der skal foreligge en fastlagt plan for afholdelse af beredskabsøvelser og træning.
✔
Koordinatorroller: Iht. Energistyrelsens vejledninger bør der formelt udpeges en Beredskabskoordinator, Cyberkoordinator og Sikringskoordinator til at forankre det tværgående samarbejde.
✔
Uddannelse af ansatte (§ 6, stk. 2, nr. 10): Kontinuerlig træning og uddannelse i beredskab og cybersikkerhedsadfærd.
✔
IT-sikkerhedstjeneste (§ 6, stk. 2, nr. 12): Lovpligtig tilmelding til en it-sikkerhedstjeneste (fx Center for Cybersikkerheds Sensornetværk eller SektorCERT).

Revisionsbeviser (AEF-02): Organisatorisk Beredskab

AEF-02-A: Bestyrelses- og direktionsreferater med formel godkendelse af beredskabsplaner.
AEF-02-B: Uddannelseslog, kursusbeviser eller lignende for direktionens risiko-træning.
AEF-02-C: Kontrakt eller bevis på tilslutning til godkendt it-sikkerhedstjeneste.

Fysisk sikring & Cybersikkerhed (Lov nr. 258 § 7-9)

Hvordan beskyttes forsyningsselskabets anlæg, kontrolrum og netværk under lovens brede "alle-farer" tilgang?

🛡️ Fysisk sikring (§ 7)

Træf passende foranstaltninger for at opretholde den nødvendige fysiske sikring af lokationer, anlæg og specielt kontrolrum. Kravene er proportionelle ift. anlæggets klasse (1-5) og integrerer CER-lovens principper.

Adgangskontrol: Overvågning, detektion og reaktion i forhold til uautoriseret fysisk adgang.
Kontrolrum: Skærpet sikring af kontrolrum og kontrolrummets arbejdsstationer.
Klimasikring: Forhindring af hændelser under hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger.
Personale: Medarbejdersikkerhedsstyring og fysisk håndtering af hændelser samt genopretning.

💻 Cybersikkerhed (§ 8 & § 9)

Nødvendig planlægning og beskyttelse af net- og informationssystemer brugt til at levere forsyningsydelsen, som udmønter kravene fra NIS2.

Arkitektur & Adgang: Principper for netværksarkitektur for at minimere sårbarheder, samt obligatorisk brug af multifaktorautentificering (MFA) eller kontinuerlig autentificering.
Logning & Backup: Etablering af sikker logning (alarmer og efterforskning) og backupstyring for at sikre driftskontinuitet.
Kryptering & Kommunikation: Politik for kryptering og brug af sikrede tale-, video- og nødkommunikationssystemer.
Udvikling & Placering: Sikkerhed ved erhvervelse og vedligeholdelse af it, samt specifikke sikkerhedskrav til geografisk placering af it-drift.
Certificering (§ 9): Bemyndigelse til at kræve EU-certificerede IKT-produkter.

Revisionsbeviser (AEF-03): Fysisk & Cybersikkerhed

AEF-03-A: Logbøger, systemtræk eller overvågningsrapporter for kontrolrums-adgang.
AEF-03-B: Firewall-regelsæt, netværkssegmenteringsplan (OT/IT isolation).
AEF-03-C: Katastrofeberedskabsplan (Disaster Recovery) samt bevis for test af offline backup.

Tilsyn, Påbud og Sanktioner (Lov nr. 258 kapitel 7 & 8)

Myndighedernes tilsynskontrol og konsekvenserne af non-compliance.

Tilsynets værktøjer (§ 19)

Klima-, Energi- og Forsyningsministeriet fører aktivt tilsyn med overholdelse af beredskabskravene. Tilsynet finansieres jf. § 17 af faste halvårlige gebyrer fra de omfattede virksomheder. Tilsynet kan anvende følgende midler:

Inspicere lokaler, foretage kontrol og stikprøver (også uanmeldt).
Foretage sikkerhedsscanninger af selskabets IT/OT netværk.
Kræve udlevering af data, logfiler og sikkerhedsdokumenter.

Håndhævelse (§ 21-23)

Hvis kravene ikke efterleves, kan myndighederne udstede indgribende foranstaltninger. Afgørelser kan påklages til Energiklagenævnet (§ 31):

Påbud om ekstern audit (§ 22): Krav om at få foretaget en uvildig revisionsaudit for egen regning.
Ledelsesforbud (§ 23): Myndigheden kan midlertidigt fratage den administrerende direktør eller juridiske repræsentant retten til at udøve ledelsesfunktioner.

Interaktiv Tjekliste: Er I parat til myndighedstilsyn?

Ledelsen har formelt godkendt beredskabsplaner (§ 6). Der findes et skriftligt, dateret direktionsreferat som bevis. Kontrolrum og lokationer er fysisk sikrede (§ 7). Sikret adgangskontrol og alarmsystemer er etableret. Privilegeret personale er baggrundskontrolleret (§ 16). Systemadministratorer og beredskabsansvarlige er screenet.

Beredskabets Parathed 0%

BEMÆRK: Jeg yder ingen garanti for, at dette virker og bliver ved med at virke hos jer, herunder om eksisterende audit-sessioner kan fungere i kommende revisioner.

Opsamling

Dette erstatter ikke de faktiske lovtekster eller f.eks. de detaljerede anvisninger fra Energistyrelsen. Men det har forhåbentlig bidraget til indsigt og overblik.

Lov om styrket beredskab i energisektoren

Det regulatoriske helhedsbillede for energisektoren

Interaktiv guide

Lov om styrket beredskab i energisektoren

Er I omfattet af den specifikke energilov? (Lov nr. 258 § 2)

1. Sektorens 21 kritiske virksomhedstyper

2. Undtagelser og størrelsestærskler

Energistyrelsens Hjælpeværktøjer: Niveau- og Klasseinddeling

Organisatorisk beredskab (Lov nr. 258 § 6)

Ledelsesansvar (§ 6, stk. 2, nr. 1-2)

Planlægning, uddannelse & øvelser

Fysisk sikring & Cybersikkerhed (Lov nr. 258 § 7-9)

🛡️ Fysisk sikring (§ 7)

💻 Cybersikkerhed (§ 8 & § 9)

Underretningspligt & Offentlig Information (§ 12-14)

Indrapportering til CERT (§ 12 & § 15)

Offentliggørelse og påbud (§ 14)

Baggrundskontrol & Sikkerhedsgodkendelse (Lov nr. 258 § 16)

Hvem er underlagt kravene? (§ 16, stk. 1)

Tilsyn, Påbud og Sanktioner (Lov nr. 258 kapitel 7 & 8)

Tilsynets værktøjer (§ 19)

Håndhævelse (§ 21-23)

Interaktiv Tjekliste: Er I parat til myndighedstilsyn?

Videns-test: Lov nr. 258 (Energiberedskab)

Dybdegående Audit-Værktøj: Energisektorens Compliance Tracker

Audit Status

Opsamling

Det regulatoriske helhedsbillede for energisektoren

Interaktiv guide

Lov om styrket beredskab i energisektoren

Er I omfattet af den specifikke energilov? (Lov nr. 258 § 2)

1. Sektorens 21 kritiske virksomhedstyper

2. Undtagelser og størrelsestærskler

Energistyrelsens Hjælpeværktøjer: Niveau- og Klasseinddeling

Organisatorisk beredskab (Lov nr. 258 § 6)

Ledelsesansvar (§ 6, stk. 2, nr. 1-2)

Planlægning, uddannelse & øvelser

Fysisk sikring & Cybersikkerhed (Lov nr. 258 § 7-9)

🛡️ Fysisk sikring (§ 7)

💻 Cybersikkerhed (§ 8 & § 9)

Underretningspligt & Offentlig Information (§ 12-14)

Indrapportering til CERT (§ 12 & § 15)

Offentliggørelse og påbud (§ 14)

Baggrundskontrol & Sikkerhedsgodkendelse (Lov nr. 258 § 16)

Hvem er underlagt kravene? (§ 16, stk. 1)

Tilsyn, Påbud og Sanktioner (Lov nr. 258 kapitel 7 & 8)

Tilsynets værktøjer (§ 19)

Håndhævelse (§ 21-23)

Interaktiv Tjekliste: Er I parat til myndighedstilsyn?

Videns-test: Lov nr. 258 (Energiberedskab)

Dybdegående Audit-Værktøj: Energisektorens Compliance Tracker

Audit Status

Bekræft handling

Opsamling