Med vedtagelsen af lovforslag L111 i februar 2025 er energisektoren officielt omfattet af de skærpede krav i EUs NIS2-direktiv. Direktivet har været gældende på EU-niveau siden oktober 2024, men det er først med den nationale implementering for energibranchen, at reglerne får konkret virkning i Danmark.
Implementeringen betyder, at centrale aktører i energiforsyningen, herunder elnetsoperatører, varmeforsyninger og gasdistributører, fremover skal kunne dokumentere en højere grad af modstandsdygtighed over for cybertrusler samt fysisk sikring af anlæg. Kravene omfatter bl.a. risikovurderinger, hændelseshåndtering og styrket beredskabsplanlægning.
Lovgivningen kommer på et tidspunkt, hvor trusselsbilledet er blevet mere komplekst, og hvor energiforsyningen i stigende grad betragtes som en kritisk samfundsfunktion. Formålet er at styrke den nationale sikkerhed og beskytte forsyningssikkerheden i en sektor, hvor konsekvenserne af et angreb kan være omfattende både for samfundet og den enkelte borger.
Hvad er NIS2?
NIS2 er EUs opdaterede cybersikkerhedsdirektiv, som trådte i kraft i oktober 2024. Det har til formål at styrke medlemslandenes evne til at forebygge, opdage og håndtere cybertrusler ved at stille skrappere krav til både offentlige og private aktører inden for kritiske og vigtige sektorer.
Sammenlignet med det oprindelige NIS-direktiv er omfanget væsentligt udvidet. NIS2 omfatter nu brancher som energi, transport, sundhed, digital infrastruktur, vand, fødevarer og finansielle tjenesteydelser. Aktørerne kategoriseres som enten essentielle eller vigtige enheder afhængigt af deres funktion og samfundsrelevans.
Fælles for dem er, at de skal kunne dokumentere en systematisk tilgang til risikostyring, hændelseshåndtering, sikkerhedskontrol og rapportering. Der stilles desuden krav om ledelsesforankring og mulighed for tilsyn fra myndighederne.
Skærpede krav og sammenhæng med anden regulering
Med den danske implementering af NIS2-direktivet for energisektoren – Lov om styrket beredskab i energisektoren - trådte nye regler i kraft den 7. marts 2025. Implementeringen indebærer specifikke krav til energisektoren, som går videre end EU-direktivets minimumsstandarder. Lovgivningen samler både NIS2 (cybersikkerhed) og CER (fysisk sikkerhed) i et samlet beredskabsregime og indebærer blandt andet:
Organisatorisk beredskab
Virksomheder skal etablere og vedligeholde opdaterede beredskabsplaner, der sikrer kontinuitet og hurtig genopretning efter hændelser.
Fysisk og teknisk sikring
Der stilles krav om fysisk sikring af kritiske anlæg, herunder adgangskontrol og overvågning. Derudover kræves netværkssegmentering, 24/7-overvågning af kritiske anlæg i realtid samt specifikke retningslinjer for geografisk placering af driftscentre og systemer.
Cybersikkerhed
Virksomheder skal implementere tekniske og organisatoriske foranstaltninger, der gør dem i stand til effektivt at identificere og håndtere cybersikkerhedsrisici samt rapportere hændelser rettidigt.
Ledelsesansvar
Topledelsen bærer ansvaret for at godkende, overvåge og sikre efterlevelse af beredskabsplaner og risikovurderinger, hvilket også kan indebære juridisk ansvar ved manglende compliance.
Ledelsen bør desuden være opmærksom på overlap mellem NIS2-direktivet og andre reguleringer og standarder som GDPR, ISO 22301, CSRD og DORA. For eksempel kræver GDPR parallel rapportering af cyberhændelser, der involverer persondata, mens ISO 22301 understøtter NIS2 med en struktureret tilgang til beredskabs- og kontinuitetsplanlægning.
LÆS OGSÅ: Complianceprogrammer: Få ledelsens opbakning og forståelse
Fysisk robusthed som en del af sikkerheden
Det supplerende CER-direktiv (Critical Entities Resilience) er målrettet energivirksomheders fysiske sikkerhed og robusthed. Hvor NIS2 primært adresserer cybertrusler, fokuserer CER-direktivet på at sikre kritiske anlæg mod fysiske trusler som sabotage, terrorhandlinger og naturkatastrofer.
I praksis betyder det skærpede krav til virksomhedernes fysiske sikringsforanstaltninger, herunder øget adgangskontrol, videoovervågning og beskyttelse af essentielle anlæg og driftssystemer. Der stilles også krav om backup-faciliteter og retningslinjer for den geografiske placering af kritisk infrastruktur for at sikre kontinuitet ved hændelser.
Samlet set skaber kombinationen af NIS2 og CER-direktivet en helhedsorienteret tilgang, hvor både digital og fysisk sikkerhed tænkes sammen i virksomhedens beredskabsplanlægning.
Hvad betyder NIS2 i praksis for energisektoren?
Med den nye lovgivning er der ikke længere tale om hensigtserklæringer og generelle cybersikkerhedspolitikker. For energivirksomheder bliver kravene langt mere konkrete og operationelle, og det handler i høj grad om at kunne dokumentere, at politikkerne er aktive, relevante og opdaterede.
Cybersikkerhed skal forankres i organisationens daglige drift, og det kræver systematiske processer for både risikovurdering og hændelseshåndtering. Hvis trusselsbilledet ændrer sig, forventes det, at risikovurderingerne opdateres og får konsekvenser for beredskabet. Det er ikke nok, at beredskabsplanen ligger i en skuffe den skal være kendt og ejet af ledelsen og kunne aktiveres med kort varsel.
Et vigtigt princip i den nye lovgivning er, at kravene er graduerede. Det betyder, at ikke alle virksomheder mødes med samme krav. De mest kritiske aktører i energiforsyningen fx nationale elnetsoperatører skal leve op til de strengeste krav til cybersikkerhed, beredskabsplanlægning og ledelsesforankring. Mindre aktører og virksomheder med lokal eller begrænset forsyningsfunktion bliver mødt med mere proportionale krav, som afspejler deres rolle og risikoprofil. Den risikobaserede tilgang gør det muligt at målrette indsatsen, hvor behovet er størst, samtidig med at alle relevante aktører bliver omfattet.
Fra strategi til praksis
Er din organisation omfattet af NIS2, er det en god idé at tage udgangspunkt i en struktureret og dokumenterbar tilgang til cybersikkerhed. Her er internationale standarder som ISO 27001 en god start. Standarden fungerer som et ledelsesværktøj, der hjælper organisationen med at identificere, styre og reducere risici gennem et formaliseret informationssikkerhedsledelsessystem (ISMS).
Det betyder blandt andet, at der skal udarbejdes og vedligeholdes konkrete risikovurderinger, sikkerhedspolitikker og hændelseshåndteringsprocedurer. ISO 27001 stiller desuden krav om ledelsesinvolvering og -ansvar, hvilket er i fuld overensstemmelse med NIS2s fokus på governance og forankring på topledelsesniveau.
Et særligt opmærksomhedspunkt i energisektoren er desuden leverandørstyring. Mange energivirksomheder samarbejder med underleverandører om både drift og IT-løsninger, og her er det afgørende at kunne dokumentere, at også tredjeparter lever op til de relevante sikkerhedskrav. Det kan f.eks. ske gennem due diligence-processer, kontraktuelle krav og løbende kontroller, som beskrevet i både ISO 27001 og NIS2.
Cybersikkerhed handler også om kultur
Selv med de rette systemer og standarder på plads er der en vigtig faktor, der ofte overses nemlig den menneskelige. NIS2 forudsætter, at cybersikkerhed er forankret i hele organisationen og ikke kun i IT-afdelingen. Det betyder, at sikkerhedsarbejdet skal understøttes af en stærk kultur, hvor alle ved, hvad deres rolle er.
Forankringen starter med klare roller og ansvarsområder. Samtidig er løbende træning og awareness afgørende. Medarbejdere bør regelmæssigt modtage undervisning i fx phishing-kampagner, sikker databehandling og adfærdsbaserede trusler. Det øger bevidstheden og reducerer risikoen for menneskelige fejl.
En ny tilgang til sikkerhed
Sammen med CER-direktivet handler NIS2 ikke kun om strammere regler og øget dokumentation. I virkeligheden er det en mulighed for energisektoren til at nytænke sikkerhed som en integreret del af forretningen fra strategisk ledelse til medarbejdernes daglige praksis.
Den stigende digitalisering af energisystemet, nye teknologier og ikke mindst det grønne skifte vil fortsætte med at ændre sektorens risikobillede. Derfor bør energivirksomheder allerede nu tænke cybersikkerhed og fysisk robusthed ind i udviklingen af deres forretningsmodeller, innovation og langsigtede investeringer. Kun på den måde kan virksomhederne sikre compliance, modstandsdygtighed og konkurrenceevne i fremtidens energilandskab.
LÆS OGSÅ: Nedbryd siloarbejde i compliance
