Kapitel 2 1 Kritiske enheder
Vedkommende minister træffer afgørelse om identifikation og afidentifikation af kritiske enheder, der er omfattet af enhedskategorierne i lovens bilag, og opstiller en liste over de kritiske enheder, der er blevet identificeret. Listen over identificerede kritiske enheder skal gennemgås og ajourføres, hvor det er nødvendigt, dog mindst hvert fjerde år.
Stk. 2 Ved identifikation af kritiske enheder lægges der vægt på følgende:
-
1) Den nationale strategi for styrkelse af kritiske enheders modstandsdygtighed.
-
2) Den nationale risikovurdering med henblik på identifikation af kritiske enheder.
-
3) Om enheden leverer en eller flere væsentlige tjenester.
-
4) Om enheden opererer i og har sin kritiske infrastruktur beliggende på dansk territorium.
-
5) Om en hændelse vil have betydelig forstyrrende virkning, jf. stk. 3, på enhedens levering af en eller flere væsentlige tjenester eller på leveringen af andre væsentlige tjenester i sektorer omfattet af CER-direktivet, som er afhængige af denne eller disse væsentlige tjenester.
Stk. 3 Ved fastlæggelse af, om en hændelse vil have betydelig forstyrrende virkning, jf. stk. 2, nr. 5, lægges der vægt på følgende:
-
1) Antal brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den berørte enhed.
-
2) Omfanget af andre sektorers og delsektorers afhængighed af den pågældende væsentlige tjeneste.
-
3) Den indvirkning, som hændelser kan have med hensyn til omfang og varighed på økonomiske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens sundhed.
-
4) Enhedens markedsandel på markedet for den eller de berørte væsentlige tjenester.
-
5) Det geografiske område, der kan blive berørt af en hændelse, herunder eventuel grænseoverskridende indvirkning.
-
6) Enhedens betydning med hensyn til at opretholde et tilstrækkeligt niveau for den væsentlige tjeneste under hensyntagen til tilgængelighed af alternative måder at levere denne væsentlige tjeneste på.
Stk. 4 Vedkommende minister kan kræve, at en enhed fremlægger materiale og oplysninger, der er nødvendige for stillingtagen til, hvorvidt denne skal identificeres som kritisk.
Stk. 5 Vedkommende minister orienterer inden for 1 måned efter identifikation efter stk. 1 den kritiske enhed om dennes forpligtelser og om, fra hvilken dato forpligtelserne finder anvendelse. §§ 6-9 finder herefter anvendelse, 10 måneder efter at den kritiske enhed har modtaget en sådan orientering.
Enheder betragtes som kritiske enheder af særlig europæisk betydning, hvis
-
1) enheden er identificeret som kritisk enhed efter § 3,
-
2) enheden leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere EU-medlemsstater og
-
3) enheden gennem den relevante kompetente myndighed har modtaget en underretning fra Europa-Kommissionen om, at den anses som kritisk enhed af særlig europæisk betydning.
Stk. 2 Kritiske enheder skal underrette den relevante kompetente myndighed, såfremt de leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater. Enhederne skal i den forbindelse oplyse, hvilke væsentlige tjenester de leverer, og hvilke EU-medlemsstater tjenesterne leveres til eller i.
Stk. 3 Den relevante kompetente myndighed underretter uden unødigt ophold en kritisk enhed om, at den anses som en kritisk enhed af særlig europæisk betydning, og om dens forpligtelser efter § 16, herunder fra hvilken dato disse finder anvendelse.
Kritiske enheder skal foretage en risikovurdering med henblik på at vurdere alle relevante risici, der kan forstyrre leveringen af deres væsentlige tjenester.
Stk. 2 Risikovurderingen skal foretages på grundlag af den nationale risikovurdering og andre relevante informationskilder, og den skal tage højde for alle relevante naturlige og menneskeskabte risici, der kan føre til en hændelse. Risikovurderingen skal tage hensyn til, i hvilket omfang andre sektorer nævnt i lovens bilag afhænger af den kritiske enheds væsentlige tjeneste. Risikovurderingen skal endvidere tage hensyn til, i hvilket omfang den kritiske enhed afhænger af væsentlige tjenester, der leveres af enheder i andre sektorer omfattet af lovens bilag, herunder i andre lande.
Stk. 3 Risikovurderingen nævnt i stk. 1 skal være foretaget, 9 måneder efter at den kritiske enhed har modtaget en orientering i medfør af § 3, stk. 5, 1. pkt. Risikovurderingen skal opdateres, når det er nødvendigt, og mindst hvert fjerde år.
Stk. 4 Vedkommende minister kan efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætte nærmere regler om kritiske enheders risikovurdering.
Kritiske enheder skal træffe passende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre enhedernes modstandsdygtighed på grundlag af den nationale risikovurdering og den kritiske enheds egen risikovurdering, herunder foranstaltninger, der er nødvendige for at
-
1) forhindre hændelser i at indtræffe under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger,
-
2) sikre tilstrækkelig fysisk beskyttelse af enhedens lokaler og kritiske infrastruktur under behørig hensyntagen til f.eks. hegn, barrierer, værktøjer og rutiner til overvågning af perimetre, detektionsudstyr og adgangskontrol,
-
3) reagere på, modstå og afbøde følgerne af hændelser under behørig hensyntagen til gennemførelsen af risiko- og krisestyringsprocedurer, risiko- og krisestyringsprotokoller og varslingsrutiner,
-
4) sikre genopretning efter hændelser under behørig hensyntagen til foranstaltninger vedrørende forretningskontinuitet og identifikation af alternative forsyningskæder for at genoptage leveringen af væsentlige tjenester,
-
5) sikre passende medarbejdersikkerhedsstyring under behørig hensyntagen til foranstaltninger såsom fastsættelse af kategorier af eget og eksternt personale, der udøver kritiske funktioner, fastlæggelse af adgangsrettigheder til lokaler, kritisk infrastruktur og følsomme oplysninger, fastsættelse af procedurer for baggrundskontrol, jf. § 9, og udpegelse af kategorier af personer, som er forpligtet til at gennemgå en sådan baggrundskontrol, og fastlæggelse af passende uddannelseskrav og kvalifikationer og
-
6) øge bevidstheden blandt det relevante personale om de foranstaltninger og hensyn, der er beskrevet i nr. 1-5, under behørig hensyntagen til kurser, informationsmateriale og øvelser.
Stk. 2 Kritiske enheder skal have og anvende en plan for modstandsdygtighed, der beskriver, hvilke foranstaltninger der er truffet i henhold til stk. 1.
Stk. 3 Vedkommende minister kan efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætte nærmere regler om kritiske enheders modstandsdygtighedsforanstaltninger.
Kritiske enheder skal udpege en kontaktperson og meddele dennes relevante kontaktoplysninger til den relevante kompetente myndighed. Den kritiske enhed skal underrette den kompetente myndighed om ændringer i kontaktoplysningerne.
Kritiske enheder skal underrette den relevante kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af enhedens væsentlige tjenester.
Stk. 2 Ved vurdering af en forstyrrelses omfang indgår navnlig
-
1) antallet og andelen af brugere, der er berørt af forstyrrelsen,
-
2) forstyrrelsens varighed og
-
3) det geografiske område, der er berørt af forstyrrelsen, idet der tages hensyn til, om det er et geografisk isoleret område.
Stk. 3 Underretninger efter stk. 1 skal indeholde alle tilgængelige oplysninger, der er nødvendige for, at den kompetente myndighed kan forstå hændelsens art, årsag og mulige konsekvenser, herunder alle tilgængelige oplysninger, der er nødvendige for at fastslå hændelsens eventuelle grænseoverskridende indvirkning.
Stk. 4 Underretningen skal ske uden unødigt ophold og, medmindre det operationelt ikke er muligt, senest 24 timer efter at den kritiske enhed er blevet opmærksom på hændelsen. Den kritiske enhed skal på anmodning fra den kompetente myndighed sende en detaljeret rapport til den kompetente myndighed senest 1 måned efter hændelsen.
Stk. 5 Den kompetente myndighed giver snarest muligt efter modtagelse af en underretning efter stk. 1 den berørte kritiske enhed relevante opfølgende oplysninger, herunder oplysninger, som kan understøtte en effektiv reaktion fra den kritiske enhed på den pågældende hændelse.
Stk. 6 Den kompetente myndighed kan orientere offentligheden om en hændelse, hvis det vil være i offentlighedens interesse.
Vedkommende minister fastsætter efter forhandling med justitsministeren nærmere regler om, på hvilke betingelser kritiske enheder i behørigt begrundede tilfælde og under hensyn til den nationale risikovurdering hos den kompetente myndighed kan få foretaget baggrundskontrol af personer, der opfylder en af følgende betingelser:
-
1) Personen varetager følsomme opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds modstandsdygtighed.
-
2) Personen er bemyndiget til at få direkte adgang eller fjernadgang til den kritiske enheds lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med den kritiske enheds sikkerhed.
-
3) Personen overvejes ansat i stillinger, der indebærer opgavevaretagelse efter nr. 1 eller bemyndigelse efter nr. 2.