Den finansielle sektor udgør fundamentet for samfundets økonomiske stabilitet, hvor betalinger, overførsler og lønudbetalinger er kritiske funktioner. Trusselsbilledet er i konstant forandring, og risikoen for alvorlige operationelle hændelser, herunder omfattende cyberangreb eller fysisk sabotage, kan ikke afvises. Det er derfor afgørende for både virksomhederne og den finansielle stabilitet, at beredskabet er robust.
Fokus på operationel robusthed
Nationalbanken har, i samarbejde med Finansielt Sektorforum for Operationel Robusthed (FSOR), gennemført en analyse af sektorens beredskab1. Målet er at sikre, at borgere og virksomheder kan fortsætte med at gennemføre transaktioner, selv hvis centrale it-systemer eller datakilder bliver utilgængelige i længere tid.
Strategiske anbefalinger
Analysen understreger vigtigheden af koordinering og kontinuerlig test af nødprocedurer. Nationalbanken har udstedt en række anbefalinger til finansielle virksomheder, der skal fungere som et ekstra sikkerhedsnet i ekstreme situationer:
Fokusområde
Formål
Kriseberedskab
Sikre koordinering på tværs af sektoren under kriser
Cyberrobusthed
Styrke modstandskraft mod avancerede digitale angreb
Systemafhængighed
Identificere og sikre kritiske forretningsprocesser
Test og øvelser
Validere nødprocedurers funktionalitet i praksis
"Fokus er på at sikre, at borgere og virksomheder fortsat kan gennemføre betalinger og overføre penge, selv hvis centrale systemer eller data ikke er tilgængelige."
Lovforslaget om kritiske enheders modstandsdygtighed (CER-loven) har til formål at implementere Europa-Parlamentets og Rådets direktiv (EU) 2022/5557 af 14. december 2022 (CER-direktivet) i dansk ret. Formålet er at styrke modstandsdygtigheden hos en bred vifte af kritiske enheder mod alle relevante risici, der kan forstyrre leveringen af væsentlige tjenester. Loven dækker sektorer som transport, bankvirksomhed, finansiel markedsinfrastruktur, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig forvaltning, rummet og produktion, tilvirkning og distribution af fødevarer. Energisektoren er undtaget, da den reguleres særskilt.
Geopolitiske spændinger og usikkerhed præger fortsat risikobilledet for den finansielle sektor i Danmark. Alligevel er risikoappetitten på de globale finansielle markeder høj. Herhjemme er boligpriserne i og omkring København steget markant det seneste år. Kreditvæksten er endnu moderat, men boligbyrden i København er på et højt niveau og forventede kapitalgevinster samt frygt for prisstigninger indgår i stigende grad i førstegangskøberes boligovervejelser. Udviklingen understreger vigtigheden af at holde fast i sunde kreditprincipper i bankerne, som understøttes af låneregler, der sikrer et hensigtsmæssigt forhold mellem gældsætning og indkomst. Rådet vurderer, at den kontra-cykliske kapitalbuffer i Danmark bør fastholdes på 2,5 pct.
33. møde i Det Systemiske Risikoråd
Den aktuelle situation med meget lempelige finansielle forhold, stigende aktivpriser og udsigter til hurtig økonomisk genopretning danner grobund for, at risici bygges op. Rådet henstiller derfor til erhvervsministeren, at den kontracykliske kapitalbuffer genaktiveres med en sats på 1,0 pct. fra 30. september 2022. Rådet forventer at henstille om en yderligere forøgelse af buffersatsen til 2,0 pct. inden udgangen af 2021, medmindre der sker en væsentlig opbremsning af risikoopbygningen i det finansielle system. Der er tegn på risikoopbygning på boligmarkedet. Rådet henstiller til regeringen, at den strammer adgangen til afdragsfri lån mod pant i fast ejendom.
Regeringen: Danmark skal have et totalberedskab
Regeringen lancerer et nyt totalberedskab og afsætter 1,2 milliarder kroner til en akutpakke, der skal sikre Danmark mod krig, hybridtrusler og ekstremt vejr.
42. møde i Det Systemiske Risikoråd
Risikoappetitten på de finansielle markeder er steget i lyset af forventninger om en blød økonomisk landing. Risikobilledet præges stadig af høj inflation og højere renter, som sammen med vækstafdæmpningen i dansk økonomi forventes at svække nogle husholdningers og virksomheders robusthed.
Sikkerhedsdagsordenen er et fælles ansvar
Direktøren for Styrelsen for Samfundssikkerhed giver tre konkrete råd til offentlige myndigheder om at navigere i et skærpet trusselsbillede gennem mere sikre indkøb.
Anvendelsesområde og Undtagelser
Loven finder anvendelse på enheder, der er omfattet af de specificerede enhedskategorier i lovens bilag. Der er dog flere vigtige undtagelser:
Loven gælder ikke for forhold, der er omfattet af lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven), for at undgå dobbeltregulering.
Offentlige forvaltningsenheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, er undtaget.
Vedkommende minister kan helt eller delvist undtage specifikke kritiske enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, eller som udelukkende leverer tjenester til sådanne offentlige forvaltningsenheder.
Bestemmelserne om risikovurdering, modstandsdygtighedsforanstaltninger, hændelsesunderretninger, baggrundskontrol, tilsyn og håndhævelse (§§ 4-9 og 14-16) finder ikke anvendelse på kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur, da disse allerede er dækket af omfattende EU-regulering som DORA-forordningen og NIS 2-direktivet.
Ministeren kan undtage kritiske enheder, hvor sektorspecifikke EU-retsakter og national gennemførelse heraf har mindst samme virkning som denne lov.
Definitioner
Loven definerer centrale begreber som kritisk enhed (en offentlig eller privat enhed identificeret efter loven), væsentlig tjeneste (afgørende for vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed, offentlig sikkerhed eller miljøet), hændelse (begivenhed der forstyrrer eller potentielt forstyrrer en væsentlig tjeneste), modstandsdygtighed (en enheds evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og genoprette efter en hændelse), risiko og risikovurdering.
Identifikation af Kritiske Enheder
Den relevante minister træffer afgørelse om identifikation og afidentifikation af kritiske enheder og opstiller en liste, der skal gennemgås og ajourføres mindst hvert fjerde år. Ved identifikation lægges vægt på den nationale strategi og risikovurdering, om enheden leverer væsentlige tjenester, opererer på dansk territorium, og om en hændelse vil have en betydelig forstyrrende virkning. Kriterier for betydelig forstyrrende virkning inkluderer antal brugere, afhængighed fra andre sektorer, økonomisk/samfundsmæssig indvirkning, markedsandel og geografisk område. Kritiske enheder orienteres om deres forpligtelser inden for én måned efter identifikation, og de fleste forpligtelser træder i kraft ti måneder herefter.
Kritiske Enheder af Særlig Europæisk Betydning
Enheder betragtes som kritiske enheder af særlig europæisk betydning, hvis de er identificeret som kritiske i Danmark, leverer samme eller lignende væsentlige tjenester til eller i seks eller flere EU-medlemsstater, og har modtaget en underretning fra Europa-Kommissionen herom. Disse enheder har særlige forpligtelser, herunder at give rådgivende EU-delegationer adgang til relevante oplysninger, systemer og faciliteter.
Kritiske Enheders Risikovurdering og Modstandsdygtighedsforanstaltninger
Kritiske enheder skal foretage en risikovurdering baseret på den nationale risikovurdering og andre relevante informationskilder. Denne vurdering skal dække alle relevante naturlige og menneskeskabte risici, herunder tværsektorielle og grænseoverskridende afhængigheder. Risikovurderingen skal være foretaget ni måneder efter identifikation og opdateres mindst hvert fjerde år.
Enhederne skal træffe passende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre deres modstandsdygtighed. Dette omfatter foranstaltninger til at forhindre hændelser, sikre fysisk beskyttelse, reagere på og afbøde følgerne af hændelser, sikre genopretning (f.eks. forretningskontinuitet og alternative forsyningskæder), samt passende medarbejdersikkerhedsstyring og bevidstgørelse. Kritiske enheder skal have og anvende en plan for modstandsdygtighed.
Oplysnings- og Underretningspligter
Kritiske enheder skal udpege en kontaktperson og meddele dennes kontaktoplysninger til den relevante kompetente myndighed. De skal også underrette den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller potentielt forstyrrer leveringen af deres væsentlige tjenester. Underretningen skal ske uden unødigt ophold, og medmindre det operationelt ikke er muligt, senest 24 timer efter, at enheden er blevet opmærksom på hændelsen, efterfulgt af en detaljeret rapport inden for en måned. Myndigheden kan orientere offentligheden om en hændelse, hvis det er i offentlighedens interesse.
Baggrundskontrol af Personale
Loven giver hjemmel til, at vedkommende minister, efter forhandling med justitsministeren, kan fastsætte regler om, på hvilke betingelser kritiske enheder kan få foretaget baggrundskontrol af personer. Dette gælder for personer, der varetager følsomme opgaver, har direkte eller fjernadgang til kritiske lokaler/systemer, eller overvejes ansat i sådanne stillinger. Baggrundskontrollen skal være forholdsmæssig og begrænset til at vurdere en potentiel sikkerhedsrisiko.
Tilsyn og Håndhævelse
Ministeren for samfundssikkerhed og beredskab udpeger de kompetente myndigheder for hver sektor. Disse myndigheder fører tilsyn med kritiske enheders overholdelse af loven. Tilsynsbeføjelser inkluderer at foretage inspektioner på stedet uden retskendelse (mod behørig legitimation), foretage eller kræve audits, samt kræve udlevering af nødvendige oplysninger, data og dokumentation. Den kompetente myndighed kan påbyde en kritisk enhed at træffe nødvendige foranstaltninger for at afhjælpe konstaterede overtrædelser.
Straf
Overtrædelse af lovens bestemmelser, herunder manglende underretning, manglende risikovurdering eller modstandsdygtighedsforanstaltninger, manglende udpegning af kontaktperson, manglende hændelsesunderretning, manglende adgang for EU-delegationer, manglende efterkommelse af krav om oplysninger eller påbud, samt hindring af tilsyn, straffes med bøde. Selskaber m.v. (juridiske personer) kan pålægges strafansvar.
Ikrafttrædelse og Territorialbestemmelse
Loven træder i kraft den 1. juli 2025. Loven gælder ikke for Færøerne og Grønland, men kan ved kongelig anordning helt eller delvist sættes i kraft for disse områder med de nødvendige tilpasninger.
Klima-, Energi- og Forsyningsministeriet· 5. december 2024
Lovforslag
Forslag til Lov om styrket beredskab i energisektoren
Lovforslaget om styrket beredskab i energisektoren har til formål at etablere en robust ramme for modstandsdygtighed og beredskab i den danske energisektor. Dette skal beskytte energiforsyningen mod n
Ministeriet for Samfundssikkerhed og Beredskab· 7. februar 2025
Lovforslag
Forslag til Lov om sikkerhed og beredskab i telesektoren
Dette lovforslag, 'Lov om sikkerhed og beredskab i telesektoren', har til formål at implementere Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (NIS 2-direktivet) for telesektoren i Danmark. Sa
Det Systemiske Risikoråd
