kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

Europaudvalget 2020-21
KOM (2020) 0829 Bilag 1
Offentligt

G RUND- OG NÆRHEDS NOTA T TIL

FOLKETING ETS EUROPA U DV A LG

25. februar 2021

Forslag til direktiv om kritiske enheders

standsdygtighed (KOM(2020) 829 final)

Der er tale om et nyt notat.

1. Resumé

mod-

Europa-Kommissionen (Kommissionen) har den 16. december 2020

fremsat forslag til direktiv om kritiske enheders modstandsdygtighed

(KOM(2020) 829 final). Forslaget er modtaget i dansk sprogversion

den 9. februar 2021.

Forslaget (CER-direktivet) bygger på og ophæver det nuværende di-

rektiv 2008/114/EF af 8. december 2008 om europæisk kritisk infra-

struktur (ECI-direktivet). Kommissionen har fremsat forslaget bl.a. på

baggrund af en evaluering af ECI-direktivet, der bl.a. viste, at vilkå-

rene for arbejdet med kritisk infrastruktur har ændret sig væsentligt

siden 2008.

Forslaget udgør en betydelig ændring i forhold til ECI-direktivet, både

i forhold til dækningsområdet og i de forpligtelser, som pålægges

medlemsstaterne, og de enheder, der udpeges som kritiske.

CER-direktivet vil dække 10 sektorer: Energi, transport, bankvæsen,

finansmarkedsinfrastruktur, sundhed, drikkevand, spildevand, digital

infrastruktur, offentlig forvaltning og rummet. Medlemsstaterne vil

dertil bl.a. blive pålagt at udarbejde en national strategi for kritisk

infrastruktur og udarbejde nationale risikovurderinger. Ud fra risiko-

vurderingen skal medlemsstaterne identificere kritiske enheder (f.eks.

virksomheder eller offentlige myndigheder) bl.a. ved hjælp af EU-

fælles kriterier. Endeligt pålægges det de kritiske enheder at imple-

mentere visse tekniske og organisatoriske tiltag, som medlemsstater-

ne gennem kompetente myndigheder skal føre tilsyn med. Kritiske

enheder af særlig europæisk betydning vil være underlagt specifikt

tilsyn fra Kommissionen.

Regeringen ser overordnet positivt på forslaget og ønsket om at højne

sikkerheden. Udvidelsen af direktivets dækningsområde, stærkere og

mere ensartede krav samt tilsynet hermed må forventes at styrke

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

risikobevidstheden og beredskabsplanlægningen hos de aktører, der

driver kritisk infrastruktur. Regeringen ser endvidere positivt på, at

forslaget lægger op til en risikobaseret tilgang, hvor de enkelte med-

lemsstater ud fra egen national strategi og risikovurdering kan udpe-

ge de enheder, der vurderes kritiske. Regeringen vil arbejde for, at

forslaget ikke medfører uforholdsmæssige økonomiske byrder for of-

fentlige og private aktører, og at der sikres proportionalitet mellem

omkostningsniveau og merværdi.

Sagen forelægges Folketingets Europaudvalg til orientering.

2. Baggrund

Arbejdet med kritisk infrastruktur i EU er i dag indrammet af EPCIP-

programmet fra 2006

og ECI-direktivet fra 2008

Kommissionen har

i 2019 evalueret ECI-direktivet og finder overordnet, at direktivet har

bidraget til øget opmærksomhed om beskyttelsen af kritisk infrastruk-

tur, men at direktivets begrænsede dækningsområde, uensartet im-

plementering i medlemsstaterne samt at udviklingen i risikobilledet

betyder, at det nuværende direktiv ikke længere er tidssvarende.

Kommissionen vurderer, at den forskelligartede implementering bl.a.

har som konsekvens, at sammenlignelige enheder (f.eks. virksomhe-

der) vurderes kritiske i nogle medlemsstater, men ikke i andre. Dette

skaber ifølge Kommissionen forstyrrelser i det indre marked og hin-

dringer for de virksomheder, der opererer på tværs af flere medlems-

stater.

Samtidig er risikobilledet ifølge Kommissionen blevet mere komplekst

og omfatter bl.a. naturkatastrofer, terror, statsstøttede hybride aktio-

ner, pandemier mv. Udfordringerne er i høj grad fælles på tværs af

medlemsstaterne, hvilket understøtter behovet for en mere ensartet

tilgang.

CER-forslaget har til formål at adressere de ovenstående problemstil-

linger og dermed øge modstandsdygtigheden hos kritiske enheder,

der er afgørende for opretholdelsen af vitale samfundsmæssige funk-

tioner eller økonomiske aktiviteter i EU's medlemsstater.

Forslaget afspejler prioriteterne i Kommissionens strategi for EU's

sikkerhedsunion, der opfordrer til en revideret tilgang til modstands-

dygtighed i kritisk infrastruktur. Således skal tilgangen i højere grad

afspejle det nuværende og forventede fremtidige risikolandskab, den

Meddelelse fra Kommissionen om et europæisk program for beskyttelse af kritisk infrastruktur

(KOM(2006) 786).

Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk

kritisk infrastruktur og vurdering af behovet for at beskytte den bedre.

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

stadig tættere indbyrdes afhængighed mellem forskellige sektorer og

de stadig mere indbyrdes afhængige relationer mellem fysiske og di-

gitale infrastrukturer.

For så vidt angår digital sikkerhed er forslaget til CER-direktivet af-

stemt med det parallelt fremsatte

forslag til NIS2-direktiv

CER-

direktivet omhandler overordnet trusler, risici og sikkerhedstiltag i det

fysiske domæne, mens NIS2 har til formål at styrke sikkerheden og

modstandsdygtigheden på cybersikkerhedsområdet. De enheder, der

defineres som kritiske i CER-direktivet, vil ligeledes være omfattet af

cyberrelaterede sikkerhedskrav i medfør af NIS2-direktivet.

3. Formål og indhold

Kommissionen har den 16. december 2020 fremsat forslag til direktiv

om kritiske enheders modstandsdygtighed (KOM(2020) 829 final). For-

målet er overordnet at styrke modstandsdygtigheden for den kritiske

infrastruktur i medlemsstaterne.

Genstand, anvendelsesområde og definitioner (artikel 1-2)

I direktivet:



Fastsættes forpligtelser for medlemsstaterne til at træffe visse

foranstaltninger med henblik på at sikre levering i det indre mar-

ked af tjenester, der er væsentlige for opretholdelsen af vitale

samfundsmæssige funktioner eller økonomiske aktiviteter.

Fastsættes forpligtelser for kritiske enheder med henblik på at øge

deres modstandsdygtighed og forbedre deres evne til at levere

tjenester på det indre marked.

Fastsættes regler for tilsyn med og håndhævelse over for kritiske

enheder samt specifikt tilsyn med kritiske enheder, der anses for

at være af særlig europæisk betydning.



Med ”kritiske enheder”

menes en offentlig eller privat enhed, der ope-

rerer inden for 10 udvalgte sektorer (energi, transport, bankvæsen,

finansmarkedsinfrastruktur, sundhed, drikkevand, spildevand, digital

infrastruktur, offentlig forvaltning og rummet), og som er blevet iden-

tificeret

som ”kritisk” af en medlemsstat.

CER-direktivet indebærer dermed en væsentlig udvidelse i bredden i

forhold til det nuværende ECI-direktiv, hvor alene energi og transport

er omfattet. Samtidig udgør det en væsentlig udvidelse i forhold til

antallet af potentielt identificerbare enheder, idet der i ECI-direktivet

Kommissionen fremsatte forslaget om foranstaltninger til sikring af et højt fælles cybersikker-

hedsniveau i hele Unionen og om ophævelse af direktiv (EU) 2016/1148 (KOM(2020) 823 final)

(NIS2-direktivet) d. 16. december 2020. Forslaget er modtaget i dansk sprogversion d. 19. januar

2021.

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

kun skulle identificeres infrastruktur, hvis forstyrrelse eller ødelæg-

gelse ville have betydelige grænseoverskridende virkninger i mindst

to medlemsstater.

Det bemærkes dog, at enheder inden for bankvæsen, finansiel mar-

kedsinfrastruktur og digital infrastruktur ikke vil blive pålagt nye krav

i medfør af CER-direktivet, da disse enheder allerede er dækket af

øvrig EU-lovgivning,

jf. også opsummering af artikel 3-9 nedenfor.

Nationale rammer for kritiske enheders modstandsdygtighed (artikel

3-9)

Medlemsstaterne skal vedtage en strategi for styrkelse af kritiske en-

heders modstandsdygtighed. Strategien skal bl.a. indeholde en be-

skrivelse af strategiske mål og prioriteter i styrkelsen af kritiske en-

heders modstandsdygtighed, en national risikovurdering, governance-

struktur mv. Strategien skal opdateres mindst hvert 4. år og skal

meddeles Kommissionen.

Medlemsstaterne skal udarbejde en liste over ”væsentlige tjenester”,

som er væsentlige for opretholden af vitale samfundsmæssige funkti-

oner eller økonomiske aktiviteter. Medlemsstaterne skal regelmæssigt

foretage en vurdering af alle relevante risici, der kan påvirke leverin-

gen af disse væsentlige tjenester, med henblik på efterfølgende at

identificere de understøttende kritiske enheder.

Medlemsstaterne skal identificere kritiske enheder under de 10 sekto-

rer og underliggende sub-sektorer, og underrette dem om de forplig-

telser, det medfører. Identifikationen foretages ud fra den forudgåen-

de risikovurdering af de væsentlige tjenester, og foretages endvidere

ud fra specifikke kriterier, bl.a. om en hændelse vil have

”betydelige

forstyrrende virkninger for leveringen af tjenesten, eller andre væ-

sentlige tjenester”.

Yderligere er der opsat en række kriterier, som medlemsstaterne som

minimum skal tage hensyn til, når det skal vurderes, hvorvidt en

hændelse har ”betydelig forstyrrende virkning.” Kriterierne omfatter

bl.a. de økonomiske, samfundsmæssige og sikkerhedsmæssige kon-

sekvenser en given hændelse kan have, uden at der dog fastsættes

specifikke tærskelværdier.

Medlemsstaterne skal identificere enheder inden for sektorerne bank-

væsen, finansiel markedsinfrastruktur og digital infrastruktur, som

kun skal behandles som ”svarende til kritiske enheder” fremfor ”kriti-

ske enheder”. Det skyldes, at enhederne inden for disse sektorer vil

være omfattet af krav i medfør af anden EU-lovgivning. Dette inde-

bærer, at enhederne i regi af CER-direktivet kun indgår som en del af

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

medlemsstaternes overordnede myndighedsarbejde med strategi,

risikovurdering og understøttelse mv., (artikel 3-9), men at enheder-

ne dermed ikke skal opfylde de krav, der stilles til kritiske enheder

inden for de øvrige 7 sektorer.

Medlemsstaterne skal udpege en eller flere kompetente myndigheder,

der er ansvarlige for implementeringen af direktivet på nationalt plan.

Det er væsentligt, at de udpegede kompetente myndigheder skal

samarbejde med de kompetente myndigheder, der er udpeget i med-

før af NIS2-direktivet. Dertil skal der udpeges et centralt kontakt-

punkt, der forestår det grænseoverskridende samarbejde. Kontakt-

punktet skal ligeledes forelægge regelmæssig rapport til Kommissio-

nen om hændelsesaktivitet.

Endelig skal medlemsstaterne yde støtte til de enheder, der er udpe-

get som kritiske, f.eks. ved at udgive vejledningsmateriale, støtte

tilrettelæggelse af øvelser, indføre videndelingsværktøjer mv.

Kritiske enheders modstandsdygtighed (artikel 10-13)

De enheder, som medlemsstaterne udpeger som kritiske, skal mindst

hvert fjerde år foretage egne risikovurderinger på grundlag af bl.a. den

nationale risikovurdering. Risikovurderingerne skal også tage højde for

andre sektorers eventuelle afhængigheder, herunder også i nabostater

og tredjelande i relevant omfang. Medlemsstaterne skal sikre, at de

kritiske enheder på den baggrund beskriver og implementerer passende

og forholdsmæssige tekniske og organisatoriske foranstaltninger.

Foranstaltningerne skal bl.a. omfatte forebyggelse af hændelser, fysisk

sikring, krisestyringsprocedurer, genopretningsprocedurer, sikkerheds-

styring af medarbejdere mv.

Kommissionen gives beføjelse til at vedtage delegerede retsakter og

gennemførselsretsakter, der om nødvendigt præciserer disse foranstalt-

ninger.

Medlemsstaterne kan anmode Kommissionen om at gennemføre rådgi-

vende missioner til kritiske enheder i forbindelse med opfyldelsen af

deres forpligtelser.

Medlemsstaterne skal sikre, at de kritiske enheder kan indgive anmod-

ninger om baggrundskontrol af personer, der tilhører specifikke katego-

rier af deres personale, og at disse anmodninger hurtigt vurderes af de

relevante myndigheder.

Medlemsstaterne skal sikre, at de kritiske enheder underetter den kom-

petente myndighed om hændelser, der i væsentlig grad forstyrrer eller

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

har potentiale til i væsentlig grad at forstyrre deres aktiviteter. Via

det centrale nationale kontaktpunkt skal denne underretning videregi-

ves til andre berørte medlemsstater, hvis hændelsen har grænseover-

skridende virkninger.

Specifikt tilsyn med kritiske enheder af særlig europæisk betydning

(artikel 14-15)

Visse kritiske enheder vil blive defineret som af ”særlig europæisk be-

tydning”, såfremt de leverer væsentlige tjenester til eller i mere end en

tredjedel af medlemsstaterne. Medlemsstaterne skal sikre, at de enhe-

der, der udpeges som kritiske, selv melder til de nationale kompetente

myndigheder, såfremt de leverer væsentlige tjenester til eller i mere

end en tredjedel af medlemsstaterne. Herefter meddeler medlemsstaten

dette videre til Kommissionen, der efterfølgende underretter enheden

om, at denne betragtes som en kritisk enhed af særlig europæisk be-

tydning.

Disse enheder vil være underlagt et skærpet tilsyn, hvor Kommissionen

bl.a. kan anmode om at få udleveret risikovurderingen og implemente-

ringsplanen for de tekniske og organisatoriske foranstaltninger, og gen-

nemføre rådgivende missioner for at vurdere disse foranstaltninger.

Kommissionen kan på den baggrund meddele synspunkter om, hvorvidt

enheden opfylder sine forpligtelser, og hvilke foranstaltninger der kan

træffes for at forbedre enhedens modstandsdygtighed.

Samarbejde og rapportering (artikel 16-17)

Der nedsættes en ”gruppe for kritiske enheders modstandsdygtighed”,

bestående af repræsentanter fra medlemsstaterne og med Kommissio-

nen som formand. Gruppen nedsættes som ekspertgruppe under Kom-

missionen og skal bl.a. bistå Kommissionen i at understøtte medlems-

staternes implementering af direktivet, fx identificere

best practice

forhold til strategiformulering mv.

Tilsyn og håndhævelse (artikel 18-19)

Medlemsstaterne skal sikre, at de kompetente myndigheder har befø-

jelser og midler til at sikre gennemførelsen og håndhævelsen af direk-

tivet. Det indebærer bl.a., at myndighederne skal kunne foretage in-

spektioner og gennemføre eller kræve revisioner af de kritiske enhe-

der.

Medlemsstaterne skal fastsætte bestemmelser om sanktioner for

overtrædelser og træffe alle nødvendige foranstaltninger til at sikre,

at de gennemføres. Bestemmelserne skal meddeles Kommissionen.

4. Europa-Parlamentets udtalelser

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

Europa-Parlamentet er i henhold til den almindelige lovgivningsprocedu-

re (art. 294, TEUF) medlovgiver. Der foreligger endnu ikke en udtalelse.

Det er Europa-Parlamentets udvalg for Borgernes Rettigheder og Retlige

og Indre Anliggende (LIBE), der behandler forslaget.

5. Nærhedsprincippet

Kommissionen vurderer, at en fælles lovgivningsmæssig ramme er be-

rettiget i betragtning af den indbyrdes afhængighed og grænseoverskri-

dende karakter af de væsentlige tjenester, som kritisk infrastruktur un-

derstøtter. En afbrydelse hos en operatør, der leverer tjenester i flere

medlemsstater, kan således få paneuropæiske konsekvenser, hvilket

kræver handling på EU-plan.

Kommissionen vurderer endvidere, at forskellige nationale regler har

direkte negativ indvirkning på det indre markeds funktion. Kommissio-

nens konsekvensanalyse har i forlængelse heraf vist, at mange med-

lemsstater og interessenter i erhvervslivet har udtrykt behov for en me-

re fælles og koordineret europæisk tilgang.

Regeringen er på det foreliggende grundlag enig i, at en fælles europæ-

isk regulering vedrørende kritisk infrastruktur er berettiget, givet de

stigende indbyrdes afhængigheder og fælles udfordringer, som præger

området.

Regeringen lægger i sin vurdering af overholdelsen af nærhedsprincip-

pet vægt på, at det overordnede ansvar for at udpege kritiske enheder

og sikre rette foranstaltninger for deres modstandsdygtighed fortsat

påhviler medlemsstaterne, herunder også i forhold til de kritiske enhe-

der, der måtte vurderes af særlig europæisk betydning. Regeringen

noterer sig i forlængelse heraf, at der i direktivet lægges op til en risi-

kobaseret tilgang, der efterlader plads til at implementere direktivet

under hensyntagen til nationale og sektorspecifikke forhold.

På det foreliggende grundlag er det derfor regeringens vurdering, at

nærhedsprincippet er overholdt.

6. Gældende dansk ret

Ansvaret for beskyttelse af kritisk infrastruktur i Danmark følger af sek-

toransvarsprincippet, jf. beredskabslovens § 24: ”De enkelte ministre

skal hver inden for deres område planlægge for opretholdelse og videre-

førelse af samfundets funktioner i tilfælde af større ulykker og katastro-

fer (…)”

Ministerierne skal sørge for, at den nødvendige lovgivning, bekendtgø-

relser mv. tilvejebringes i ressortlovgivningen. Beredskabskrav til ope-

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

ratører findes således i en række ressortspecifikke love og bekendtgø-

relser, herunder fx:



Elforsyningslovens § 85b og § 85c

Naturgasforsyningslovens § 15a og § 15b

Olieberedskabsloven § 16

Sundhedslovens §§ 210-211

Det bemærkes, at begrebet ”kritisk infrastruktur” indgår

som en sær-

ligt følsom sektor i udkast til lovforslag om investeringsscreening.

Det følger heraf, at udenlandske investeringer mv. i virksomheder

inden for kritisk infrastruktur kræver forhåndstilladelse. Det fremgår

af bemærkningerne til lovforslagets § 6, at kritisk infrastruktur define-

res som:

”Infrastruktur –

herunder faciliteter, systemer, processer, netværk,

teknologier aktiver samt serviceydelser - som er nødvendige for at

opretholde eller genoprette samfundsvigtige funktioner.”

Baseret på nationale og internationale erfaringer, herunder særligt

tidligere arbejde fra Beredskabsstyrelsen, er følgende 15 sekto-

rer/områder defineret som samfundsvigtige: Energi, informations- og

kommunikationsteknologi (IKT), transport, beredskab og civilbeskyt-

telse, sundhed, sociale forhold, drikkevand og fødevarer, spildevand

og renovation, finans og økonomi, uddannelse og forskning, meteoro-

logi, forsvar samt efterretnings- og sikkerhedstjeneste, udenrigstje-

neste, myndighedsudøvelse generelt samt tværgående krisestyring.

Alle sektorer, som CER-direktivet dækker over, på nær rumfart, er

inkluderet i den danske tilgang. CER-direktivets tilgang og definition

af kritisk infrastruktur samt sektorafgrænsning er således overordnet

sammenlignelig med den danske.

Det bemærkes, at der aktuelt pågår en tværministeriel kortlægning af

kritisk infrastruktur i Danmark. Med erfaringerne fra denne kortlæg-

ning vurderes myndighederne efterfølgende at have et godt udgangs-

punkt for kortlægningen af kritiske enheder ud fra CER-direktivets

retningslinjer. Kortlægningsarbejdet og arbejdet med investerings-

screeningsloven færdiggøres i 2021, mens CER-direktivet forventeligt

først skal være endeligt implementeret fire år efter vedtagelsen.

7. Konsekvenser

Lovgivningsmæssige konsekvenser

Implementering af direktivet i dansk ret vil have lovgivningsmæssige

konsekvenser, da der bl.a. skal indføres nye krav til operatører af

kritisk infrastruktur i Danmark, udpeges et centralt kontaktpunkt mv.

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

Det vurderes hensigtsmæssigt, at implementeringen af direktivet ge-

nerelt gennemføres sektorvist for hvert af de involverede ministerom-

råder med forbehold for en eventuel horisontal gennemførelse af dele

af direktivet, såfremt det vurderes at give økonomisk og lovgivnings-

mæssigt merværdi. Dette vil dels stemme overens med hidtidig

dansk praksis,

jf. sektoransvarsprincippet beskrevet ovenfor,

og end-

videre flugte med implementeringen af det nuværende NIS-direktiv

og forventede implementering af det kommende NIS2-direktiv. I for-

længelse heraf vurderes det hensigtsmæssigt, at de sektoransvarlige

myndigheder bliver de kompetente myndigheder i direktivets for-

stand.

Økonomiske konsekvenser

Forslaget vurderes at have statsfinansielle konsekvenser samt er-

hvervsøkonomiske konsekvenser. Disse kan ikke nærmere kvantifice-

res på nuværende tidspunkt. Fra dansk side udestår således en nær-

mere vurdering af de statsfinansielle konsekvenser samt de erhvervs-

økonomiske konsekvenser herunder administrative konsekvenser og

øvrige efterlevelseskonsekvenser, herunder særligt i de nye sektorer.

Kommissionen vurderer, at de statsfinansielle konsekvenser særligt

vil stamme fra udviklingen af nationale strategier, risikovurderinger

samt identifikationen af og tilsynet med de kritiske enheder. Kommis-

sionen vurderer dog, at medlemsstaterne bør kunne trække på erfa-

ringer med lignende arbejde i regi af det nuværende NIS-direktiv.

Det vurderes, at direktivforslaget medfører administrative konsekven-

ser for dansk erhvervsliv. Det skyldes bl.a., at de kritiske enheder

skal træffe passende og forholdsmæssige tekniske og organisatoriske

foranstaltninger for at sikre deres modstandsdygtighed og sikre, at

disse foranstaltninger er beskrevet i en plan for modstandsdygtighed

eller i et eller flere tilsvarende dokumenter jf. artikel 10 og 11. Disse

planer vil potentielt skulle fremvises/leveres til myndigheder mini-

mum hvert fjerde år som led i myndighedernes tilsynsforpligtelse,

ligesom de kritiske enheder vil blive pålagt underretningsforpligtelser

bl.a. i forbindelse med sikkerhedshændelser. Endelig følger ekstra

krav til europæisk kritisk infrastruktur.

De administrative konsekvenser vil forventeligt være særligt gælden-

de for mellemstore og store virksomheder, idet Kommissionen vurde-

rer, at relativt få SMV’er vil blive udpeget som kritiske enheder

af de

nationale myndigheder. Omvendt forventes de administrative og øko-

nomiske konsekvenser mindre for de sektorer, der allerede er under-

lagt krav på området, herunder fx el-, naturgas- og oliesektorerne.

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

De ovenstående forhold kan ikke kvantificeres nærmere på nuværen-

de tidspunkt. Det er endnu ukendt hvor mange virksomheder i Dan-

mark, der vil blive udpeget som kritiske enheder og dermed skal leve

op til kravene, samt om der vil være virksomheder, som vil kunne

falde under definitionen på og kravene til europæisk kritisk infrastruk-

tur.

Kommissionen vurderer dog overordnet, at økonomien i det indre

marked generelt vil blive positivt påvirket af direktivet, bl.a. fordi risi-

koen for afbrydelser i væsentlige tjenester vil blive mindre, hvilket

mindsker omkostninger forbundet med sikkerhedshændelser og øger

den økonomiske stabilitet.

Andre konsekvenser og beskyttelsesniveauet

Forslaget vurderes at have positive konsekvenser for modstandsdygtig-

heden i den kritiske infrastruktur og dermed overordnet indebære en

sikkerhedsmæssig gevinst.

8. Høring

Forslaget er sendt i høring d. 9. februar 2021 i specialudvalget for

civilbeskyttelse, specialudvalget for konkurrenceevne, vækst og for-

brugerspørgsmål, specialudvalget for transport, skibsfartspolitisk spe-

cialudvalg og specialudvalget for klima-, energi- og forsyningspolitik

med frist d. 18. februar 2021. Der er modtaget svar fra PostNord,

Dansk Vand- og Spildevandsforening, 3F, DI Transport / Dansk Luft-

fart, DSB, Erhvervsflyvningens Sammenslutning, Danske Rederier,

Dansk Erhverv, Danske Havne og Danske Vandværker.

Generelle bemærkninger

PostNord

bemærker, at den fysiske befordringspligt

–

og dermed

den befordringspligtige virksomhed

–

bør defineres som kritisk enhed,

da fysisk brevdistribution selv i moderne tider er afgørende for visse

befolkningsgrupper og i tilfælde af systemnedbrud eneste alternativ

for kommunikation fra myndigheder til borgere, mellem virksomheder

samt mellem borgerne.

PostNord

bemærker videre, at denne infrastruktur forudsætter sam-

arbejde og integration mellem EU’s medlemslande. På baggrund af

den aktuelle nedlukning af fysiske butikker, bør det overvejes om

befordringspligt af pakker bør opretholdes eller alene overlades til

markedskræfterne.

Dansk Vand- og Spildevandsforening (DANVA)

kan overordnet

støtte direktivforslaget.

DANVA

mener principielt, at der skal være

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

lovgivningsmæssige rammer, der sikrer og understøtter, at danske

forsyninger arbejder effektivt med modstandsdygtighed/resiliens ud

fra en risikobaseret tilgang.

DANVA

vurderer, at direktivet vil bidrage

til at forbedre rammerne for dette arbejde på vand- og spildevands-

forsyningsområdet.

DANVA

finder det vigtigt, at forsyningerne ikke underlægges dobbelt-

regulering som følge af allerede eksisterende nationale eller EU-retlige

krav.

DANVA

fremhæver, at det fortsat skal være muligt at anvende

nationale eller internationale tekniske retningslinjer eller standarder.

DANVA

konstaterer, at flere forsyninger servicerer inden for flere

områder (energi, gas, vand, spildevand mv.), og finder det væsent-

ligt, at der er et samspil mellem retningslinjerne for de forskellige

forsyningsarter.

DANVA

finder, at medlemsstaterne skal tilvejebringe de økonomiske

og juridiske rammer, der kan sikre, at vand- og spildevandforsynin-

gen fortsat kan leveres til en overkommelig pris. Der vil være behov

for en analyse af de omkostninger, som direktivet vil afstedkomme

for de forsyninger, der udpeges som kritiske enheder, og det bør

drøftes på nationalt niveau, hvordan en fair finansiering kan etable-

res. De forsyninger, der bliver udpeget som kritiske enheder, bør

kompenseres økonomisk, så regningen ikke ender hos forbrugerne.

DANVA

finder, at nationale tilskud i den forbindelse ikke skal betrag-

tes som ulovlige.

3F Transport

støtter intentionen bag og formålet med forslaget, her-

under at der sigtes til en bedre fælles europæisk sikring og beskyttel-

se af kritisk infrastruktur.

DI Transport

Dansk Luftfart

støtter direktivforslaget og bemær-

ker, at der er god grund til at indtænke kritisk infrastruktur i en bre-

dere kontekst, og at den valgte løsningsmodel i den henseende synes

proportional.

Erhvervsflyvningens Sammenslutning (ES)

støtter forslaget.

foreslår, at den del af transportsektoren, der vedrører luftfart, udvides

til at omfatte lufttrafik generelt, herunder også forretnings- og privat-

ejede fly.

konstaterer, at det i det nuværende forslag kun er luft-

fartsselskaber, der er omfattet.

Danske Rederier

konstaterer, at de danske rederier som en del af

transportsektoren i dag er omfattet af ECI-direktivet og er forstående

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

over for nødvendigheden af at ændre tilgangen til en bredere sikring

af kritiske enheders modstandsdygtighed.

Danske Rederier

finder det vigtigt, at der ikke med CER-direktivet

indføres yderligere krav til foranstaltninger for søtransportsektoren og

havneterminaler, der bidrager til unødige administrative byrder eller

udfordrer transportkædernes effektivitet.

Danske Rederier

bemær-

ker i den forbindelse, at de kritiske enheder i søfartssektoren vil være

omfattet af forordning nr. 725/2004, der bygger på international lov-

givning vedtaget af den Internationale Søfartsorganisation (IMO).

Danske Rederier

konstaterer, at danske havne og havneterminaler

samt danske skibe ikke er kategoriseret som kritiske enheder efter

den nuværende regulering.

Danske Rederier

ønsker, at den nuvæ-

rende praksis fastholdes, så medlemsstaterne fortsat identificerer

kritiske enheder baseret på en national risikovurdering.

Danske Re-

derier

ønsker en fortsættelse af det nuværende myndighedssamar-

bejde og ser ingen hindringer for dette i CER-direktivet.

Dansk Erhverv

er positivt indstillet overfor forslaget og støtter, at

der kommer fokus på den vigtige problemstilling, som bl.a. COVID-

19-pandemien har aktualiseret, og at EU ruster sig til eventuelle

fremtidige katastrofer, der potentielt kan påvirke vitale samfunds-

mæssige funktioner eller økonomiske aktiviteter negativt.

Dansk Erhverv

finder, at en fornyet tilgang, der i højere grad afspej-

ler det nuværende og forventede fremtidige risikolandskab, den sta-

dig tættere indbyrdes afhængighed mellem forskellige sektorer og de

stadig mere indbyrdes afhængige relationer mellem fysiske og digitale

infrastrukturer, kan fremme kritiske enheders modstandsdygtighed.

Dansk Erhverv

konstaterer, at operatører ofte opererer som en del

af et stadig mere sammenkoblet net af tjenester og infrastrukturer og

leverer væsentlige tjenester i mere end én medlemsstat. En harmoni-

seret tilgang

til reguleringen vil sikre en overordnet EU-ramme, som bedre end

forskellige nationale tiltag styrker modstandsdygtigheden og sikrer

leveringen af væsentlige tjenester i EU.

Dansk Erhverv

finder, at reguleringen grundlæggende bør facilitere,

at enheder, som ikke er tilstrækkeligt udstyret til at håndtere nuvæ-

rende og forventede fremtidige risici for deres drift mv., sættes i

stand til at forbedre deres modstandsdygtighed.

Dansk Erhverv

finder det vigtigt, at dobbeltregulering undgås, hvor

der allerede findes sektorspecifik regulering. Ligeledes er det vigtigt,

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

at kravene til kritiske enheder om at træffe passende og forholds-

mæssige tekniske og organisatoriske foranstaltninger for at sikre de-

res modstandsdygtighed i alle tilfælde er proportionale og ikke på-

lægger unødige økonomiske byrder.

Danske Havne (DH)

støtter, at indsatsen for at beskytte vigtig in-

frastruktur (herunder havne) tilpasses og styrkes via en målrettet

vurdering af alle relevante naturlige og menneskeskabte risici, der

kan påvirke leveringen af væsentlige tjenester, herunder bl.a. ulyk-

ker, naturkatastrofer mv.

støtter endvidere, at medlemsstaterne kan identificere kritiske

enheder ved hjælp af fælles kriterier på grundlag af en national risi-

kovurdering.

finder det i den forbindelse vigtigt, når medlemsstaterne udpeger

de kritiske enheder, at det vurderes, om omkostningerne og den ad-

ministrative byrde for fx havnene er proportionale med truslen. Den

nationale myndighed bør foretage en specifik risikovurdering af hver

havn og på dette grundlag beslutte, om den skal være omfattet som

kritisk infrastruktur i direktivet. Det skal også specificeres, hvilke dele

af fx havnen, der i så fald betragtes som kritisk infrastruktur. Det er

vigtigt at inddrage virksomheder/havne i arbejdet, da de kan bidrage

til at udpege den kritiske infrastruktur.

bemærker, at danske erhvervshavne er i forvejen underlagt store

sikkerhedsforanstaltninger, herunder krav om at udarbejde sårbar-

hedsvurderinger og sikringsplaner. Dertil kommer det kommende

NIS2-direktiv, der også omfatter havne.

kan frygte, at hvis havnene skal bruge store ressourcer på im-

plementering af dette direktiv såvel som NIS2-direktivet, kan det i

sidste ende betyde ulig konkurrence til fordel for landtransport. Dette

vil i sidste ende også være til skade for klimaet.

finder, at det kan være forbundet med store omkostninger for de

aktører, der udpeges som kritiske enheder, og at det i den forbindelse

er vigtigt, at direktivet koordineres med øvrige indsatser, så den ad-

ministrative byrde mindskes mest muligt.

foreslår, at der er mu-

lighed for økonomisk- og faglig støtte til de virksomheder/havne, der

omfattes af kravene.

Danske Vandværker (DV)

er enige i behovet for nationale strategi-

er, der skal sikre kritiske enheders modstandsdygtighed overfor for

cyberangreb, terrorhandlinger mv., baseret på regelmæssige vurde-

ringer af relevante risici og med opdatering hvert fjerde år.

finder

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

det væsentligt, at risikovurderingen foretages under hensyntagen til

afhængigheder mellem sektorer, herunder f.eks. energi, transport,

drikkevand og spildevand, bankvæsen, digital infrastruktur mv. Kon-

kret er vandforsyning meget afhængig af fx elforsyningen.

finder, at direktivet vil forbedre mulighederne for, at arbejdet med

at sikre modstandsdygtighed også bliver gennemført for vandforsy-

ningerne.

vurderer i den forbindelse, at der er behov for, at også

vandforsyning bliver udpeget som kritisk infrastruktur.

finder det afgørende, at EU udarbejder en vejledning med fokus

på samspillet mellem nærværende direktivforslag og NIS2-forslaget.

Der vil være vandforsyninger, der udpeges efter NIS2-retningslinjer,

og som på nogle punkter også skal forholde sig til kravene i direktivet

om kritiske enheders modstandsdygtighed. Der er derfor risiko for

dobbeltarbejde og unødvendigt bureaukrati.

finder det vigtigt, at der i direktivet tages tilstrækkeligt hensyn til

den særlige struktur, der er i vandforsyningen i Danmark. De fleste af

DV’s medlemmer er vandforsyninger med kun få ansatte og med en

relativt lav leverance pr. forsyning. Foranstaltninger bør derfor være

proportionale med mulige effekter af hændelser, og direktivet bør

derfor sikre en tilstrækkelig dialog imellem myndigheder og vandfor-

syninger ved fastlæggelsen af krav, herunder sikre at allerede eksi-

sterende krav ikke gentages, men suppleres af det ny direktivs krav.

bemærker, at mindre vandforsyninger har en begrænset økono-

misk og administrativ kapacitet, og finder, at der er behov for en til-

kendegivelse af, at de enkelte medlemslande bør fastlægge finansie-

ringen af tiltag under hensyntagen til den økonomiske og administra-

tive kapacitet hos de enkelte vandforsyninger.

Specifikke bemærkninger

Artikel 1:

DANVA

bemærker, at artikel 1, litra a kan læses således, at kritiske

enheder skal levere en service i det indre marked, for at være omfat-

tet af direktivet.

DANVA

har ikke kendskab til, at der er danske for-

syninger eller danske forbrugere, der forsyner henholdsvis bliver for-

synet på tværs af landegrænser.

DANVA

finder det bydende nødvendigt, at EU udarbejder vejled-

ningsmateriale, der har fokus på samspillet mellem nærværende di-

rektiv og forslaget til NIS2-direktiv.

Artikel 3:

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

DANVA

støtter, at den nationale strategi opdateres hvert fjerde år,

og finder det i den forbindelse centralt, at der er fokus på rolle- og

ansvarsbeskrivelse.

Artikel 4:

DANVA

støtter, at der ved risikovurderingen tager højde for risici, der

stammer fra afhængigheder mellem sektorer.

DANVA

bemærker, at

vand- og spildevandsforsyningen blandt andet afhænger af el-

sektoren.

Artikel 5:

DANVA

finder det hensigtsmæssigt, at identifikationen af kritiske

enheder jf. artikel 5 foretages ud fra en risikovurdering, og at den

nationale myndighed har dialog med den potentielle kritiske enhed for

dermed at sikre fælles forståelse for den udførte risikovurdering og de

konkrete hensyn til proportionalitetsprincippet.

Artikel 8:

finder det væsentligt, at de ressourcer der nævnes i artikel 8 stk.

4 fordeles ligeligt mellem de relevante myndigheder, således at de er

i stand til at løfte deres opgaver i medfør af direktivet, uden at det

går ud over deres øvrige ansvarsopgaver og forpligtelser. For havne-

ne betyder det bl.a., at Trafik-, Bygge- og Boligstyrelsen, Søfartssty-

relsen, Politi og Forsvaret også får tildelt de rette ressourcer for udfø-

relsen af opgaven.

Artikel 9:

DANVA

påskønner, at det eksplicit angives i artikel 9, at medlems-

staterne skal understøtte de kritiske enheder, og at det i den forbin-

delse er væsentligt, at der sikres rettidig rådgivning om de krav, der

følger af direktivets artikel 10 og 11.

DSB

finder i forhold til artikel 9, at det i direktivet bør adresseres,

hvordan de kritiske enheder forsvarligt skal opbevare og håndtere

potentielt forretnings- og personfølsomme oplysninger fra andre kriti-

ske enheder.

Artikel 10:

DSB

finder i forhold til artikel 10, at det generelt bør tilsigtes, at de

kritiske enheders arbejde med risikovurderinger optimeres i videst

muligt omfang, således at dobbeltarbejde begrænses.

DSB

anbefaler

konkret, at kritiske enheder, som opererer inden for samme sektor,

koordinerer arbejdet med risikovurderinger og risikorapporteringer.

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

Artikel 11:

DSB

finder, at der er behov for en præcisering af, hvad der forstås

ved ”passende og forholdsmæssige tekniske og organisatoriske foran-

staltninger”.

DSB

bemærker, at for en virksomhed som DSB, med

mange fysiske lokationer og medarbejdere fordelt på et stort geogra-

fisk område, vil der potentielt være tale om betydelige investeringer

til implementering af foranstaltninger til at modstå og/eller reducere

risikoen utilsigtede hændelser.

DSB

finder derfor behov for fastlæg-

gelse af f.eks. minimumskrav.

finder det vigtigt, at der i forhold til artikel 11 etableres en til-

strækkelig fælles pulje i EU-regi, målrettet infrastruktur af særlig eu-

ropæisk betydning, der kan understøtte forebyggelse før og genop-

retning efter hændelser.

Artikel 12:

3F Transport

finder behov for bedre belysning af, hvilken betydning

myndigheders baggrundskontrol af personale vil have for arbejdsta-

gerrettigheder og arbejdstagerbeskyttelse.

3F Transport

bemærker,

at artiklen indebærer en risiko for, at myndighederne som led i tilba-

gemeldingen til arbejdsgiverne leverer for store mængder informatio-

ner, som utilsigtet vil kunne anvendes af arbejdsgiver til at frasortere

ansatte.

3F Transport

opfordrer til, at de i artikel 12 beskrevne for-

slag underkastes en juridisk konsekvensanalyse med fokus på, hvor-

vidt artiklen utilsigtet

kan bruges som ”sorteringsmekanisme” i for-

hold til ansatte.

Artikel 13:

DSB

finder, at artikel 13 med fordel kan udvides, så der stilles krav

om, at de kritiske enheder skal indberette til myndighederne, om de i

det forløbne år har afholdt beredskabsøvelser, og hvem der har delta-

get i øvelserne. Endvidere kan der stilles krav om, at de kritiske en-

heder skal indberette, at de har foretaget en test af deres kommuni-

kationskanaler i det forløbne år. Gennemførelse af beredskabsøvelser

samt regelmæssig test af kommunikationsudstyr vil kunne højne de

kritiske enheders modstandsdygtighed mod kritiske hændelser.

Artikel 14:

DSB

finder i forhold til artikel 14 og 15, at der er behov for en afkla-

ring eller præcisering af, hvorvidt en kritisk enhed, der samarbejder

med en kritisk enhed med særlig europæisk betydning, vil kunne blive

pålagt delvist eller udvidet tilsynspligt (som konsekvens af samarbej-

det).

Øvrige:

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

bemærker, at det af betragtningerne til direktivforslaget fremgår,

at eksisterende data/vurderinger, der foretages efter andre EU-regler,

skal udnyttes.

finder det af stor vigtighed, at der bliver en så en-

kel overførsel af relevante data- og vurderinger som muligt, hvor alle

medlemsstaters myndigheder samler deres informationer/vurderinger

i samme skabelon.

9. Generelle forventninger til andre landes holdninger

Der foreligger på nuværende tidspunkt ikke konkrete oplysninger om

andre landes holdninger til forslaget.

10. Regeringens foreløbige generelle holdning

Regeringen betragter beskyttelsen af kritisk infrastruktur som en høj

sikkerhedspolitisk prioritet. Regeringen vurderer, at stigende tvær-

sektorielle og tværstatslige afhængigheder kombineret med et tilta-

gende komplekst risikobillede kalder på europæisk samarbejde.

Regeringen arbejder generelt for at styrke samfundets resiliens, og

forslaget flugter i høj grad med regeringens syn på beskyttelse af

kritisk infrastruktur.

Regeringen hilser på den baggrund Kommissionens forslag om en

styrkelse af modstandsdygtigheden i kritiske enheder velkommen,

idet regeringen betoner den nationale kompetence på området, og at

det generelt skal tilstræbes at begrænse økonomiske og administrati-

ve byrder.

Regeringen vurderer, at udvidelsen af antallet af sektorer, stærkere

og mere ensartede krav både nationalt og på virksomhedsplan samt

en skærpet tilsynsforpligtelse må forventes at styrke sikkerheden og

modstandsdygtigheden hos de aktører, der driver kritisk infrastruktur.

Regeringen finder det meget vigtigt, at forslaget lægger op til en risi-

kobaseret tilgang, hvori der lægges vægt på medlemsstaternes natio-

nale kompetence, idet de enkelte medlemsstater ud fra egen national

strategi og risikovurdering skal udpege de enheder, der vurderes kri-

tiske.

Det er ikke klart for regeringen, hvad der specifikt ligger i forslagets

bestemmelser om gennemførselsretsakter, og regeringen ser et be-

hov for præcisering og afgrænsning af bestemmelserne.

Regeringen finder det i forlængelse heraf meget vigtigt, at direktivet

generelt kan implementeres efter sektoransvarsprincippet, og at der

tages hensyn til allerede eksisterende regulering og krav i sektorerne.

Samtidig tages der forbehold for en eventuel horisontal gennemførel-

kom (2020) 0829 - Bilag 1: Grund- og nærhedsnotat vedr. kritiske enheders modstandsdygtighed

se af dele af direktivet, såfremt det vurderes at give økonomisk og

lovgivningsmæssig merværdi.

Regeringen mener, at omkostningerne ved at styrke modstandsdyg-

tigheden i kritiske enheder skal stå mål med gevinsterne herved for

både offentlige og private aktører. Regeringen vil derfor arbejde for,

at forslaget ikke medfører uforholdsmæssige økonomiske byrder for

staten og erhvervslivet, og at der sikres proportionalitet mellem om-

kostningsniveau og merværdi. I den forbindelse finder regeringen det

vigtigt, at direktivet fortsat tænkes tæt sammen med forslag til NIS2-

direktiv, således at de implementeringsmæssige konsekvenser er

mindst mulige for både den offentlige og private sektor. Regeringens

endelige stillingtagen afventer en nærmere vurdering af de statsfi-

nansielle og erhvervsøkonomiske konsekvenser.

Sektoren for digital infrastruktur er ikke omfattet af alle forslagets

bestemmelser, idet en række forhold allerede er omfattet af NIS2-

forslaget. Det fremgår dog ikke klart, hvilke bestemmelser digital in-

frastruktur er omfattet af samt behovet herfor. Regeringen ser derfor

behov for at få en afklaring på disse forhold.

11. Tidligere forelæggelse for Folketingets Europaudvalg

Sagen har ikke tidligere været forelagt Folketingets Europaudvalg.