Vejledning i udarbejdelse af kontrakt mellem virksomheder i el- og naturgassektorerne og it-sikkerhedstjenester.


Vejledning i udarbejdelse af kontrakt mellem virksomheder i el- og naturgassektorerne og it-sikkerhedstjenester.



Shape2 Shape3 Shape1 Shape4

  1. 15-9-2017







Indledning

Denne vejledning beskriver, det grundlag Energistyrelsen vil lægge til grund for en godkendelse af en kontrakt mellem en virksomhed omfattet af elforsyningslovens § 85 c eller naturgasforsyningslovens § 15 b og en it-sikkerhedstjeneste.


Den enkelte virksomhed er ansvarlig for egen it- og cybersikkerhed. I kraft af § 85 c i lov om elforsyning og § 15 b i lov om naturgasforsyning er virksomheder i el- og naturgasbranchen pålagt at opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af kritiske it-systemer. Det påhviler virksomhederne at afgrænse, hvilke systemer der er kritiske, og herefter vurdere hvilke foranstaltninger der skal iværksættes for at beskytte disse systemer. En it-sikkerhedstjeneste kan bidrage til såvel virksomhedernes forebyggelse som håndtering af hændelser.


Det er vejledningens formål at beskrive de forhold, der lægges til grund for Energistyrelsens godkendelse af kontrakter mellem virksomhederne og it-sikkerhedstjenester efter § 25 i bekendtgørelse om it-beredskab. Vejledningen uddyber de nærmere tekniske definitioner af begreberne reaktiv og proaktiv tjeneste som beskrevet i §§ 3, stk. 1, nr. 3 og 25 i bekendtgørelse om it-beredskab. Endvidere beskrives de formelle krav kontrakters indhold, for at disse kan sagsbehandles af Energistyrelsen.

Baggrund for vejledningen

I medfør af elforsyningslovens § 85 c, stk. 5, nr. 4 og naturgasforsyningslovens § 15 b er der i § 25 i bekendtgørelse om it-beredskab i el- og naturgassektorerne fastsat krav om, at virksomheder i el- og naturgassektorerne skal have en kontrakt en it-sikkerhedstjeneste. Da virksomhederne i el- og naturgassektorerne har varierede opgaver, størrelse og samfundsbetydning differencers kravene til virksomhederne. Dette forhold afspejles i elforsyningslovens § 85 c og i naturgasforsyningslovens § 15 b samt i bekendtgørelse om it-beredskab for el- og naturgassektorerne. I bekendtgørelsens § 25 stilles der krav om, at alle virksomheder skal have kontrakt med en it-sikkerhedstjeneste om proaktive ydelser. Der stilles endvidere krav om, at virksomheder af betydning for den regionale eller nationale forsyning også skal have kontrakt med en it-sikkerhedstjeneste om reaktive ydelser. Disse ydelser beskrives nærmere nedenfor. Vejledningen skal vejlede virksomhederne i forbindelse med udarbejdelse af kontrakter med it-sikkerhedstjenester. Endvidere vil vejledningen danne udgangspunkt for Energistyrelsens godkendelse af de indgåede kontrakter.


Vejledningens opbygning

For at konkretisere kravene er det fundet nødvendigt, at opdele krav og forventninger til de ydelser, der aftales i virksomhedernes kontrakter med it-sikkerhedstjenester i to grupper; obligatoriske ydelser og mulige ydelser. Da der samtidig er forskel på behovet for reaktiv assistance til virksomheden, baseret på deres kritikalitet i den sammenhængende forsyning, opdeles ydelserne endvidere i to grupper; proaktive og reaktive ydelser. Disse fire ydelseskategorier kendertegner ligeledes vejledningens struktur. Forud for gennemgangen af disse fire ydelseskategorier beskriver vejledningen samarbejdet og ansvarsfordelingen mellem virksomhederne og it-sikkerhedstjenesterne, de formelle krav til kontrakterne og retningslinjer for Energistyrelsens sagsbehandling samt de formelle krav til kontrakterne. Bilag 1 indeholder en skematisk oversigt, der opsummerede formelle og indholdsmæssige krav til de obligatoriske ydelser beskrevet i kontrakter, der udarbejdes mellem it-sikkerhedstjenester og virksomheder. Denne liste er ikke udtømmende, men giver et summarisk overblik.


Samarbejdet mellem den enkelte virksomhed og en it-sikkerhedstjeneste

Den enkelte virksomhed er ansvarlig for eget it-beredskab. I kraft af § 85 c i lov om elforsyning og § 15 b i lov om naturgasforsyning er virksomheder i el og naturgasbranchen pålagt at opretholde et it-beredskab, herunder planlægge og træffe nødvendige foranstaltninger for at sikre beskyttelsen af forsyningskritiske it-systemer. Virksomhederne er selv ansvarlige for at afgrænse, hvilke systemer der er forsyningskritiske, og herefter vurdere, hvilke foranstaltninger der skal iværksættes til at beskytte disse systemer.


It-sikkerhedstjenesten skal have viden om de forhold, der udspiller sig i den pågældende virksomheder for at kunne give relevante informationer ligesom virksomhedens skal have de fornødne kompetencer til at omsætte informationerne til foranstaltninger. Den enkelte virksomhed bør vælge en it-sikkerhedstjeneste, der tilbyder de tjenester og besidder den viden, der er relevant for den enkelte virksomhed. Derfor er det væsentligt, at aftalen mellem en virksomhed og en it-sikkerhedstjeneste afspejler, det trusselsbillede og de risici den pågældende virksomhed oplever samt de forventninger virksomheden har til it-sikkerhedstjenestens kompetencer, ydelser og viden.


Da it-sikkerhedstjenesternes ydelser kan have væsentlig betydning for forsyningskritiske it-systemers drift og sikkerhed, er det nødvendigt at etablere en hyppig og relevant kommunikation mellem virksomheden og it-sikkerhedstjenesten.


Virksomhederne bør overveje, hvordan informationer tilvejebringes og formidles i akutte situationer. Dette bør til lighed overvejes i situationer hvor en it-sikkerhedstjeneste pr. kontrakt pålægges at varetage tekniske dele af den akutte myndighedskontakt, der påkræves i bekendtgørelse om it-sikkerhed § 14, stk. 2, nr. 5, § 21, stk.1.


I situationer hvor analyse eller bevisindsamling er af betydning for en politiefterforskning eller til fastsættelse af en erstatning, bør virksomhederne overveje behovet for ydelser fra en it-sikkerhedstjeneste under hensynstagen til andre myndigheders kompetencer og mulige ydelser.

Virksomheder der benytter muligheden for at etablere samordnet beredskab, bør tilsikre at forhold særegen for den pågældende virksomhed tilgodeses i kontrakten med it-sikkerhedstjenesen.


Godkendelse af kontrakter

Energistyrelsen skal godkende de fremsendte kontrakter mellem it-sikkerhedstjenester og virksomheder i el- og naturgassektorerne. Denne godkendelse forudsætter en sagsbehandling, der vurderer de konkrete ydelser beskrevet i kontrakterne.
Energistyrelsen har jf. § 25 i bekendtgørelse om it-beredskab for el- og naturgassektorerne mulighed for at afvise det indsendte kontraktmateriale senest 8 uger efter modtagelse.



Energistyrelsen kan afvise kontrakter i henhold til § 25 i bekendtgørelse om it-beredskab for el- og naturgassektorerne kontrakt på baggrund af formelle og indholdsmæssige forhold, der vurderes at forsinke, vanskeliggøre eller begrænse virksomhedens eller den samledes sektors evne til at håndtere en akut it-beredskabssituation jf. §§ 4-6 og 21 eller it-beredskabsplanlægning jf. §§ 10-20. Energistyrelsen kan afvise kontrakter med it-sikkerhedstjenester på baggrund af kendskab til den pågældende it-sikkerhedstjenestes kompetenceniveau og ressourcer. Energistyrelsen kan søge faglig bistand til at foretage denne vurdering ved relevante offentlige myndigheder. Energistyrelsen kan afvise en kontrakt under henvisning til en vurdering af it-sikkerhedstjenestens kapaciteter, begrundet med tidligere erfaringer eller informationer fra andre myndigheder.


Energitilsynet skal på baggrund af de godkendte kontrakter kunne godkende en omkostningsrammeforøgelse for netvirksomheder jf. § 28 i bekendtgørelse om it-beredskab for el- og naturgassektorerne. Det forudsættes for en sådan godkendelse, at kontrakterne indeholder en opgørelse af omkostninger forbundet med de aftalte ydelser.

De obligatoriske ydelser afstedkommer efter § 28 i bekendtgørelse om it-beredskab for el- og naturgassektorerne en omkostningsrammeforøgelse for netvirksomheder. De mulige ydelser kan kun afstedkomme en omkostningsrammeforøgelse, såfremt disse ydelser findes påkrævet på baggrund af virksomhedens risiko- og sårbarhedsvurdering samt, at de påviste risici eller sårbarheder ikke kan håndteres på anden vis. Energistyrelsen vurderer ved godkendelsen af kontrakter om eventuelle mulige ydelser kan anses for påkrævede.

Energitilsynet skal herved alene foretage en vurdering af markedsmæssigheden af de enkelte kontrakter.


Såfremt virksomheden vælger at indgå kontrakt om nogle af de mulige ydelser skal dette begrundes med en beskrivelse af ydelsens relevans i forhold til virksomhedernes systemer, funktion og risiko- og sårbarhedsvurdering.


De nedenfor beskrevne obligatoriske ydelser skal fremgå af kontrakten.

Krav til kontrakternes formalia

Kontrakterne skal foruden informationer om den ydelse, der leveres, indeholde:

Navn på modtageren af ydelsen – Dette navn skal være enslydende med det virksomhedsnavn, der er omfattet af § 2 i Bekendtgørelse 515 af 23. maj 2017. Såfremt der er flere virksomheder, der i fælleskab har indgået en kontrakt, skal alle virksomhedernes navne fremgå af kontrakten.

Navn på it-sikkerhedstjenesten Dette navn skal være entydigt, således at det er muligt at sammenligne kontrakter fra samme eller forskellige ydelsesleverandører. Såfremt it-sikkerhedstjenesten ejes eller på anden vis er koncernforbundet med en ydelsesmodtager skal dette fremgå eksplicit.

Tidsangivelse for kontraktens virkning – Der skal være angivet en startdato for kontrakten. Endvidere skal kontrakten indeholde en angivelse af, hvorledes kontrakten kan opsiges, og evt. hvornår den udløber. Startdatoen kan ikke være før 8 uger efter indsendelse til Energistyrelsen for godkendelse.


De enkelte ydelser skal beskrives, således at de kan indplaceres i en af nedestående ydelsestyper. I de to følgende afsnit om obligatoriske ydelser af proaktiv og reaktiv karakter beskrives ydelserne og de formelle og indholdsmæssige krav nærmere. Bilag 1 indeholder en skematisk fremstilling af de formelle krav og krav til de obligatoriske ydelser i summarisk form.


Såfremt kontrakten er udarbejdet af en gruppe virksomheder, der har indgået samordnet it-beredskab efter § 12 vedr. samordnet it-beredskab, beskrives dette i deres kontrakter. Disse kontrakter skal indeholde en beskrivelse af, hvordan it-sikkerhedstjenesten vil sikre at relevant trusselsinformation deles mellem de virksomheder, der har samme kontrakt internt i sektorerne.


Mulighed for forøgelse af omkostningsrammen for netvirksomheder


For netvirksomheder og andre virksomheder underlagt en omkostningsregulering skal kontrakterne bilægges en opgørelse af omkostninger til kontrakten, i denne opgørelse skal omkostninger til ikke obligatoriske ydelser præciseres, således at omkostninger opgøres i obligatoriske og ikke obligatoriske ydelser.


Denne opgørelse skal anvendes til at vurdere, om der er tale om meromkostninger, netvirksomhederne skal kompenseres på anden vis. Denne vurdering vil kun føre til kompensation ved obligatoriske ydelser. Netvirksomheder der baggrund af egen risiko- og sårbarhedsvurdering kan godtgøre, at den pågældende ikke obligatoriske ydelse er nødvendig for at opretholde forsyningen, og at denne ydelse ikke med rimelighed kan tilvejebringes på anden vis, vil kunne få godtgjort hertil knyttede meromkostninger.

Proaktive ydelser

Denne type ydelser er kendetegnet ved, at de leveres forud for sikkerhedshændelser eller nedbrud. Ydelserne skal fremme virksomhedernes sikkerhed ved at informere om risici, uddanne, kontrollere eller strukturere virksomhedens it-beredskabsarbejde. Nedenfor listes først de proaktive ydelser, der er obligatoriske, derefter listes de mulige ydelser.


Obligatoriske proaktive ydelser

Denne type ydelser skal være indeholdt i enhver kontrakt mellem en virksomhed i el- og naturgassektorerne (uanset deres kategorisering) og en it-sikkerhedstjeneste.

Kontinuerlig underretning om relevante trusler mod virksomhedens forsyningskritiske it-systemer.

Denne ydelse er kendetegnet ved, at virksomheden modtager informationer om it-sikkerhedstrusler fra it-sikkerhedstjenesten. Informationerne skal;

  • Indeholde relevante oplysninger, dvs. oplysninger om konkret hardware, software og metoder som relevante for it-sikkerheden i virksomhedens forsyningskritiske it-systemer.

    • Formelle krav: Indholdet skal være defineret, således at virksomhederne ved, hvad de kan forvente. Der skal være en beskrivelse af, hvilken type hardware, software og metoder it-sikkerhedstjenestens ydelser vil være møntet på. Såfremt informationerne bygger på nyhedsbreve eller varsler fra specifikke leverandører skal dette fremgå.

    • Indholdsmæssige krav: Dette punkt vil skulle vurderes i forhold til de enkelte virksomheders risiko- og sårbarhedsvurderinger, de systemer de anvender og deres relation til andre virksomheder i forsyningskæden, med henblik på at vurdere om ydelsen skal indeholde trusselsinformationer, der dækker de forsyningskritiske it-systemer i den pågældende virksomhed.

  • Tilpasses virksomhedens vidensniveau, således at virksomhedens vagtgående medarbejdere kan forstå disse informationer.

    • Formelle krav: Der skal være en beskrivelse af, hvilke kompetencer de medarbejdere, der modtager varslet forventes at være i besiddelse af.

    • Indholdsmæssige krav: Der skal være sammenhæng mellem de kompetencer, der forventes af it-sikkerhedstjenesten og de kompetencer virksomheden kan godtgøre er til rådighed i en vagtstruktur.

  • Leveres mens de er relevante, således at virksomheden får relevant opdateret information.

    • Formelle krav: Der skal være en beskrivelse af, med hvilken hastighed it-sikkerhedstjenesten er i stand til at formidle et varsel, fra det erkendes eller modtages, til det sendes til virksomheder i deres netværk. Der skal endvidere være en beskrivelse af, hvor ofte denne kommunikation som minimum afprøves.

    • Indholdsmæssige krav: Kommunikationsmetoden for levering af informationer skal afprøves minimum årligt, med mindre kommunikationen efterprøves ved reelle varsler.

  • Kunne deles internt i sektoren og med Xxxxxxxxx.xx, såfremt disse oplysninger vurderes at have betydning for forsyningen af el og naturgas jf. § 27 i bekendtgørelse om it-beredskab for el- og naturgassektorerne

    • Formelle krav: Det skal fremgå af kontrakten, at virksomheden kan videreformidler informationer, der af virksomheden, tilsynsmyndigheden eller Xxxxxxxxx.xx skønnes at have betydning for forsyningen af el- eller naturgas.

Mulige proaktive ydelser

Denne type ydelser kan bidrage til virksomhedens generelle it-beredskab. Virksomhedernes egne risiko- og sårbarhedsvurderinger samt egen tilrettelægning af it-beredskabsarbejde lægges til grund for at vurdere om en ydelse er relevant.


Løbende underretning om relevante trusler mod virksomhedens forretningskritiske it-systemer.

Denne ydelse er tilsvarende den obligatoriske proaktive ydelse, men rettet mod it-systemer af forretningsmæssig betydning. Tilkøb af denne ydelse bør bero på en forretningsmæssig risikovurdering, der er adskilt fra den risiko- og sårbarhedsvurdering påkrævet af bekendtgørelse om it-beredskab. Denne ydelse vil i sagens natur ikke kunne være nødvendig i bekendtgørelsens forstand.


Vejledningsmateriel for specifikt udstyr eller system

Denne ydelse er kendetegnet ved at virksomhederne bibringes vejledning i, forsyningskritisk udstyr bør håndteres for at øge sikkerheden. Denne ydelse kan bestå i:

  • Gennemgang af virksomhedens forsyningskritiske it-systemer samt underliggende systemer. Udarbejdelse af planmateriel efter § 12 i bekendtgørelse om it-beredskab.

  • Udarbejdelse af procedure for betjening af forsyningskritisk it i relevante scenarier.


Bistand til virksomhedernes sårbarhedserkendelse

Denne ydelse er kendetegnet ved at virksomhederne bibringes viden om egne sårbarheder på baggrund af test eller undersøgelser. Denne ydelse kan bestå i:

  • Penetrationstest eller teknisk sårbarhedsscanning af virksomhedens forsyningskritiske systemer.

  • Bistand til udarbejdelse af risiko- og sårbarhedsvurderinger.

  • Uddannelse i sårbarhedserkendelse.


Bistand til virksomhedernes sårbarhedshåndtering eller risikomitigering

Denne ydelse er kendetegnet ved bistand til varetagelse af virksomhedens beredskabsarbejde efter bekendtgørelse om it-beredskab. Herunder:

  • Udarbejde handlingsplaner for håndtering af kendte risici eller sårbarheder.

  • Udarbejde planer for løbende vedligehold af sårbarhedsregister og handlingstiltag.


Øvelses-/træningsydelser med fokus på it-sikkerhed

Denne ydelse er kendetegnet ved bistand til varetagelse af virksomhedens beredskabsarbejde efter § 18 og § 19 i bekendtgørelse om it-beredskab. Herunder:

  • Udarbejde træningsscenarier af it-beredskabet.

  • Bistå virksomhedens øvelsesafvikling.


Uddannelse af særligt udvalgte medarbejdere som beredskabspersonale it-ledelse, kommunikation mv.

Denne ydelse er kendetegnet ved bistand til varetagelse af virksomhedens beredskabsarbejde efter § 18 i bekendtgørelse om it-beredskab. Herunder:


  • Fokuserede uddannelsesforløb i sikkerhedshåndtering af virksomhedens udstyr (Hardware og software).

  • Uddannelse i hvordan virksomhedens it-beredskab er strukturereret.

Uddannelse af medarbejdere

Denne ydelse er kendetegnet ved bistand til varetagelse af virksomhedens beredskabsarbejde efter § 20 i bekendtgørelse om it-beredskab. Herunder:


  • Awareness kampanger, uddannelsesdage, e-learning eller anden uddannelse, der skal fremme it-sikkerheden. Sikkerheden kan være bredt forstået eller rette mod informationssikkerhed generelt eller specifikt rettet mod et it-system.

Monitorering af data eller netværk

Denne ydelse er kendetegnes ved, at it-sikkerhedstjenesten løbende overvåger virksomhedens systemer, for at detektere anormaliteter, som kan indikere angreb, datatyveri eller blot rekognoscering. Kontrakten skal beskrive, hvordan fortrolighed håndteres ved it-sikkerhedstjenesten og i dataudvekslingen mellem denne tjeneste og et sensornetværk. Denne ydelse kan bestå i:

  • Opsætning af sensorer i virksomhedens netværk.

  • Udarbejdelse af en liste over anormaliteter (acceptable og uacceptable).

  • Procedure for opdatering af sensornetværket.

  • Procedure for test af sensornetværk.


Reaktive ydelser

Denne type ydelser er kendetegnet ved, at de leveres i forbindelse med en konkret sikkerhedshændelse eller nedbrud. Ydelserne har til formål at forhindre et nedbrud i at eskalere til andre it-systemer eller genoprette et kompromitteret forsyningskritisk it-system. Nedenfor listes først de reaktive ydelser, der er obligatoriske for virksomheder påkrævet tilmelding til en reaktiv it-sikkerhedstjeneste efter § 25 i bekendtgørelse om it-beredskab for el- og naturgassektorerne. Afslutningsvis listes de ydelser der er mulige at modtage for virksomhederne.


Obligatoriske reaktive ydelser

Denne type ydelser skal være indeholdt i kontrakt mellem virksomhed i el- og naturgassektorerne og en it-sikkerhedstjeneste kategoriseret i kategori 1 eller kategori 2 i § 9 jf. § 25 i bekendtgørelse om it-beredskab for el- og naturgassektorerne.


Teknisk bistand til genoprettelse af forsyningskritiske it-systemer. (incident response)

Denne ydelse består i bistand til at håndtere et igangværende angreb og/eller genoprette it-systemet efterfølgende. Denne ydelse er alene obligatorisk for forsyningskritiske it-systemer, defineret efter bekendtgørelse om it-beredskab for el- og naturgassektorerne. Aftalegrundlaget om denne ydelse skal som minimum indeholde:

Formelle krav:

  • Beskrivelse af ansvarsfordelingen mellem virksomheden og it-sikkerhedstjenesten.

  • Beskrivelse af ydelsens karakter. Herunder i hvilke tilfælde kontrakten aktiveres, samt mulige undtagelser fra kontrakten.

  • Fastsat procedure for alarmering af it-sikkerhedstjenesten, herunder;

    • maksimal responstid fra aktivering til fysisk fremmøde.

    • maksimal responstid for iværksættelse af vejledende eller on-line tiltag.

    • mulighed for efterprøvning af alarmering, således at kunden har mulighed for at efterprøve it-sikkerhedstjenestens evne til at levere ydelsen på den aftalte tid.

  • En aftale om hvorledes it-sikkerhedstjenesten påregner at bistå kunden i tilfælde af samtidige nedbrud ved flere af it-sikkerhedstjenestens kunder.

  • Aftale om procedure for it-sikkerhedstjenestens adgang til virksomhedens it-systemer, der både tilsikrer at it-sikkerhedstjenesten har kendskab til de systemer virksomheden anvender samt at adgangen hertil ikke misbruges.

Indholdsmæssige krav:

  • Der skal være en sammenhæng mellem de aftalte ydelser og virksomhedens risiko-og sårbarhedsvurdering.

  • De tekniske kompetencer der stilles til rådighed ved alarmering, herunder kvalifikationer og kompetencer ved udpegede medarbejdere ved it-sikkerhedstjenesten, skal være relevante i forhold til de trusler, sårbarheder og systemer, der er relevante for den pågældende kunde.


Mulige reaktive ydelser

Denne type ydelser kan bidrage til virksomhedens generelle it-beredskab. Virksomhedernes egne risiko- og sårbarhedsvurderinger samt egen tilrettelægning af it-beredskabsarbejde lægges til grund for at vurdere om en ydelse er relevant.


Bistand til krisestyring (incident management)

Denne ydelse består i at understøtte en effektiv og sikker krisestyring afledt af et nedbrud eller angreb. Denne ydelse er et tillæg til akut teknisk bistand (incident response), og kan bestå af: bistand til udarbejdelse af diverse underretninger til kunder, ledelse og myndigheder, bistand til at koordinerer internt i virksomheden og med samarbejdsparter, opsætning af midlertidige eller nye installationer. Aftalegrundlaget om denne ydelse skal som minimum indeholde en afgræsning af it-sikkerhedstjenestens ansvar og virksomhedens ansvar i relation til:

  • Krisestyring internt, herunder mødeledelse, forplejning, intern kommunikation og beføjelser.

  • Kommunikation til kunder.

  • Kommunikation til offentligheden.

  • Kommunikation til Xxxxxxxxx.xx, dette fastholdes ved virksomheden jf. § 21, stk. 1 i bekendtgørelse om it-beredskab, men it-sikkerhedstjenesten kan bistå denne kommunikation.


Malware eller artifact håndtering

Denne ydelse består i analyse af data-stykker fra en nedbrud eller angreb, denne analyse kan bibringe informationer om, hvordan en angriber har gennemført et angreb. Denne type analyse kan være tidskrævende og kan have varieret værdi. Virksomhederne må på baggrund af de konkrete hændelser vurdere om, der er behov for denne type udredning af hændelsesforløbet.


Teknisk bistand til håndtering af ikke forsyningskritiske it-systemer.

Virksomhederne kan endvidere have kontrakter med it-sikkerhedstjenester om ydelser til håndtering af ikke forsyningskritiske systemer, det vil sige it-systemer, så som administrative systemer, der ikke er sammenhængende med forsyningskritiske it-systemer. Indgåelse af kontrakter om sådanne ydelser beror på en forretningsmæssig helhedsbetragtning, og er derfor ikke indeholdt i virksomhedernes risiko- og sårbarhedsvurderinger efter § 10 i bekendtgørelse om it-beredskab i el- og naturgassektorerne.



Shape5

Energistyrelsen


Xxxxxxxxxx 00

1256 København K


T: x00 0000 0000

E: xxx@xxx.xx


xxx.xxx.xx

Side 0/11

Document Metadata

Filed: September 15th, 2017