Nyt lovkrav: Skal rustes mod cyberangreb og kriser

Folketinget har vedtaget en ny lov, der markant styrker beredskabet i den danske energisektor. Loven medfører skærpede krav til cybersikkerhed og krisehåndtering og vil mere end fordoble antallet af virksomheder under Energistyrelsens tilsyn.

Den nye lov sikrer implementeringen af to EU-direktiver, NIS2 og CER, der styrker cybersikkerhed og kritiske enheders robusthed. Samtidig bliver den eksisterende regulering moderniseret, så energisektoren får sit eget regelsæt, adskilt fra andre sektorer.

“Lov om styrket beredskab i energisektoren træder i kraft den 7. marts 2025. Energistyrelsen vil arbejde for en smidig implementering og står klar til at vejlede aktører i energisektoren om de nye krav,” fremgår det af pressemeddelelsen fra Energistyrelsen.

Virksomheder inden for el, gas, olie, fjernvarme, fjernkøling og brint bliver nu omfattet af loven. Det betyder, at aktører, som tidligere ikke var underlagt beredskabsregler – fx fjernvarmeselskaber – nu skal efterleve skærpede sikkerhedskrav.

Supplerende information: Energisektoren er i stigende grad mål for cyberangreb

Ifølge den seneste trusselsvurdering fra Center for Cybersikkerhed (CFCS) er energisektoren en af de mest udsatte brancher for cyberangreb i Danmark. I deres seneste trusselsvurdering fra 2024 konkluderer CFCS, at cybertruslen mod den danske energiforsyning er “meget høj”, hvilket betyder, at angreb vurderes som sandsynlige og potentielt skadelige. Truslen kommer især fra statslige aktører, som har vist stigende interesse for at ramme kritisk infrastruktur. CFCS anbefaler derfor virksomheder i sektoren at opgradere deres cybersikkerhed og implementere robuste forsvarsmekanismer.

Flere virksomheder omfattes af tilsyn

Antallet af virksomheder, der er underlagt Energistyrelsens faste tilsyn, forventes mere end fordoblet. Fra de nuværende 84 virksomheder vil yderligere 160 mindre forsyningsvirksomheder skulle leve op til krav om beredskabsplaner og kontaktpunkter.

Ifølge Energistyrelsen vil loven også stille krav til, at virksomhederne sikrer sig mod cyberangreb ved at implementere alarmsystemer, netværksopdeling og andre tekniske foranstaltninger.

Loven træder i kraft i marts

Den nye lov gælder fra den 7. marts 2025, og Energistyrelsen har annonceret, at de vil vejlede virksomhederne i implementeringen af de nye krav.

Virksomheder, der har spørgsmål til lovgivningen, kan kontakte Energistyrelsens Center for Beredskab, som står klar til at hjælpe sektoren med overgangen til de skærpede krav.