Kapitel 5 Beredskabsplanlægning
Virksomheder skal foretage beredskabsplanlægning, således at virksomhedens beredskabsplaner efter § 19 sikrer driftskontinuitet, og virksomheden kan overholde sine underretningsforpligtigelser i tilfælde af en hændelse.
Stk. 2 Virksomheder skal tage stilling til behovet for redundans, herunder redundans af net- og informationssystemer og anlæg, som anvendes i leveringen af virksomhedens tjenester.
Stk. 3 Virksomheder skal indgå i den nationale krisehåndtering, herunder omsætte udmeldinger om ændringer i sektorberedskabsniveau og sektorberedskabsforanstaltninger til nødvendige tiltag i egen organisation uden unødigt ophold.
Virksomheder skal føre ajourførte fortegnelser over anlæg, som er nødvendige for at virksomheden kan levere sine tjenester.
Stk. 2 Fortegnelser efter stk. 1 skal beskrive et anlægs funktion i leveringen af virksomhedens tjenester, dets kritikalitet for leveringen af virksomhedens tjenester, geografiske placering og eventuelle afhængigheder af reservedele, net- og informationssystemer og leverandører.
Stk. 3 Fortegnelser efter stk. 1 skal indeholde oplysninger om virksomhedens afhængighed af andre virksomheders anlæg i leveringen af virksomhedens tjenester.
Virksomheder skal føre ajourførte fortegnelser over net- og informationssystemer, som virksomheden anvender i leveringen af sine tjenester.
Stk. 2 Fortegnelser efter stk. 1 skal indeholde beskrivelser af de processer, et net- og informationssystem understøtter, dets kritikalitet for leveringen af virksomhedens tjenester, intern ansvarsplacering, levetid og eventuelle afhængigheder af andre net- og informationssystemer og leverandører.
Stk. 3 Fortegnelser efter stk. 1 skal indeholde oplysninger om virksomhedens afhængighed af interne og eksterne net- og informationssystemer i leveringen af virksomhedens tjenester.
Virksomheder skal føre en fortegnelse over fysiske og digitale informationsstrømme, som indgår i kommunikationen mellem styringskritiske funktioner i leveringen af virksomhedens tjenester, og som virksomheden sender og modtager fra eksterne aktører og eksterne net- og informationssystemer.
Stk. 2 Fortegnelsen efter stk. 1 skal indeholde en vurdering af risici for tab af fortrolighed, integritet og tilgængelighed for nævnte informationsstrømme.
Virksomheder skal gennemføre en risiko- og sårbarhedsvurdering af kendte og mulige risici, der kan forstyrre eller forhindre leveringen af virksomhedens tjenester.
Stk. 2 Risiko- og sårbarhedsvurderingen efter stk. 1 skal indeholde:
-
1) En identifikation og vurdering af risici og sårbarheder.
-
2) En vurdering af konsekvenser ved potentielle hændelser, herunder mulige afledte samfundsmæssige konsekvenser.
-
3) En handlingsplan for risikohåndtering, som angiver:
-
a) Foranstaltninger til at mitigere og styre risici og sårbarheder, herunder foranstaltninger jf. kapitel 10 og kapitel 11.
-
b) Tidsplan for implementering af foranstaltningerne i litra a.
-
c) Intern ansvarsplacering for implementering foranstaltningerne i litra a.
-
Stk. 3 Virksomheder skal som led i deres identifikation og analyse af risici og sårbarheder:
-
1) Tage stilling til Energistyrelsens risiko- og sårbarhedsscenarier, jf. § 107, stk. 5.
-
2) Inkludere relevante informationskilder, herunder virksomhedens egne erfaringer samt trussels- og sårbarhedsvurderinger fra myndigheder og it-sikkerhedstjenesten, jf. § 33, stk. 1.
-
3) Tage stilling til risici, der vurderes at være tilbage, efter at virksomheden har implementeret foranstaltninger efter stk. 2, nr. 3, litra a.
Stk. 4 Risiko- og sårbarhedsvurderingen efter stk. 1 skal gennemføres med inddragelse af relevante medarbejdere og leverandører med teknisk og organisatorisk kendskab til virksomhedens processer, anlæg, net- og informationssystemer, netværksinfrastruktur og leverandørforhold.
Stk. 5 Risiko- og sårbarhedsvurderingen efter stk. 1 skal opdateres ved væsentlige ændringer og integreres i virksomhedens samlede risikobillede.
Stk. 6 Foranstaltninger efter stk. 2, nr. 3, skal implementeres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger og risicienes alvor.
Virksomheder skal have ledelsesgodkendte, jf. § 10, beredskabsplaner for håndtering af hændelser og styring af kriseindsatsen. Beredskabsplaner kan omfatte en eller flere delberedskabsplaner, procedurer og instrukser.
Stk. 2 Beredskabsplaner efter stk. 1 skal som minimum beskrive:
-
1) Intern ansvars- og rollefordeling, herunder vagtordninger og etablering af en krisestab eller krisestyringsorganisation af relevans for håndteringen af en hændelse.
-
2) Muligheder for at aktivere yderligere ressourcer og materiel, herunder ekstra driftsbemanding samt støtte fra andre virksomheder i henhold til kontrakter eller andre aftaler.
-
3) Operationel ansvarsfordeling mellem virksomheden og dennes samarbejdspartnere eller leverandører i forbindelse med håndteringen af en hændelse.
-
4) Kontaktoplysninger på relevante personer i forbindelse med håndteringen af en hændelse, herunder beredskabsansvarlige og systemansvarlige medarbejdere samt krisestabens medarbejdere.
-
5) Kriterier for aktivering af en krisestab til håndteringen af en hændelse.
Stk. 3 Beredskabsplaner efter stk. 1 skal indeholde følgende procedurer:
-
1) Procedurer for etablering af alternative driftsformer ved nedbrud i processer, anlæg og net- og informationssystemer, herunder beskrivelser af:
-
a) Muligheder for at overgå til manuel drift.
-
b) Metoder til og betingelser for at aktivere redundante net- og informationssystemer og nødprocedurer.
-
-
2) Procedurer for isolering af industrielle kontrolsystemer og operationelle teknologier, herunder en beskrivelse af metoder til at isolere systemerne samt betingelser for at aktivere planerne.
-
3) Procedurer for genoprettelse af et anlæg, herunder en beskrivelse af hvor hurtigt reservedele, mandskab og øvrige ressourcer kan anskaffes for at genoprette driften ved beskadigelse af de dele af anlægget, der er væsentlige for virksomhedens tjeneste.
-
4) Procedurer for at fremskaffe kritiske reservedele fra eget lager eller fra leverandører.
-
5) Procedurer for genoprettelse af net- og informationssystemer, herunder beskrivelser af:
-
a) Maksimalt accepteret nedetid og datatab for net- og informationssystemer.
-
b) Målsætningen for genetableringstid og metoder til at genoprette net- og informationssystemer fra backup.
-
c) Betingelserne for aktivering af procedurer for genoprettelse.
-
-
6) Procedurer for iværksættelse af beredskabsforanstaltninger, som kan iværksættes i forbindelse med håndteringen af en hændelse, herunder sektorberedskabsforanstaltninger.
-
7) Procedurer for udveksling af driftskritisk information ved nedbrud i normale kommunikationslinjer i forbindelse med en hændelse.
-
8) Procedurer for dokumentation for virksomhedens håndtering af en hændelse.
-
9) Procedurer for at modtage, indhente, behandle og fordele relevant information internt i virksomheden i forbindelse med håndteringen af en hændelse.
-
10) Procedurer for ekstern informationsdeling om hændelser og håndteringen af hændelser til relevante myndigheder, samarbejdspartner, forbrugere, pressen, offentligheden og andre aktører.
Stk. 4 Beredskabsplaner efter stk. 1 skal være i overensstemmelse med sektorberedskabsplanen for den delsektor, virksomheden opererer inden for.
Stk. 5 Beredskabsplaner efter stk. 1 skal være versionsstyrede med en kort beskrivelse af ændringerne i forhold til tidligere versioner.
Virksomheder skal have en plan over øvelser, som virksomheden planlægger at gennemføre over en femårig periode i henhold til § 21.
Stk. 2 Den femårige øvelsesplan skal dække alle øvelseselementer i bilag 4.
Stk. 3 Virksomheder skal første gang udarbejde en femårig øvelsesplan som dækker perioden fra den 1. oktober 2025 til den 30. september 2030. Derefter udarbejdes en ny øvelsesplan for en ny femårig periode.
Stk. 4 Den femårige øvelsesplan er tentativ og skal opdateres minimum én gang årligt og ved væsentlige ændringer.
Virksomheder i niveau 3-5 skal minimum øve deres beredskab én gang om året med udgangspunkt i egne beredskabsplaner, jf. § 19.
Stk. 2 Virksomheder i niveau 2 skal minimum øve deres beredskab hvert andet år.
Stk. 3 Virksomheder i niveau 4 og 5 skal én gang om året øve genopretning af virksomhedens forsyningskritiske net- og informationssystemer, jf. øvelseselement nr. 18 i bilag 4.
Stk. 4 Virksomheders ledelsesorgan skal i relevant omfang deltage i beredskabsøvelser.
Virksomheder skal årligt gennemføre funktionstests af teknisk udstyr, som virksomheden planlægger at anvende i forbindelse med håndteringen af en hændelse, herunder test af alternative kommunikationsmidler og teknisk kontrol af kommunikationsveje.
Stk. 2 Virksomheder skal udarbejde og sende en øvelsesevaluering, når øvelsen har indeholdt øvelseselementer fra bilag 4 til Energistyrelsens til godkendelse senest tre måneder efter, at en øvelse er afholdt. Øvelsesevalueringen skal som minimum indeholde en beskrivelse af:
-
1) Trænede øvelseselementer, jf. bilag 4.
-
2) Øvelsens forløb.
-
3) Opnåede erfaringer.
-
4) Relevante læringspunkter.
-
5) Planlagt opfølgning på læringspunkterne i nr. 4, herunder tidsplan og intern ansvarsplacering for opfølgningen.
Stk. 3 Energistyrelsen kan videresende relevante læringspunkter fra en virksomhed i el-, gas- eller brintsektorens øvelsesevaluering efter stk. 2, nr. 4, til Energinet, hvis Energistyrelsen vurderer det nødvendigt for Energinets evne til at varetage de koordinerende opgaver i sektorberedskabet, jf. § 81.
Stk. 4 Energistyrelsen kan i anonymiseret form dele relevante læringspunkter fra en virksomheds øvelsesevaluering med andre virksomheder og myndigheder, hvis Energistyrelsen vurderer det relevant for sektorberedskabet som helhed.