BEK nr. 260 · Energiberedskab

BEK 260: Bekendtgørelsen om beredskab i energisektoren

BEK 260 udmønter Energiberedskabslovens konkrete krav til risikovurdering, beredskabsplaner, action cards, øvelser og cybersikkerhed. Bekendtgørelsen samler fysisk sikring, organisatorisk modstandsdygtighed og NIS2 i én regulering for el, gas, olie, fjernvarme, fjernkøling og brint.

Book Demo Se Energiberedskabsloven
Baggrund

Hvad er BEK 260?

BEK nr. 260 af 6. marts 2025 er bekendtgørelsen om modstandsdygtighed og beredskab i energisektoren. Den udmønter de konkrete krav i Energiberedskabsloven (Lov nr. 258) og afløser de tidligere separate regelsæt for generelt beredskab og IT-beredskab.

Bekendtgørelsen samler tre regulatoriske spor i ét dokument:

  • Organisatorisk modstandsdygtighed — ledelse, koordinatorer, ROS, beredskabsplaner, øvelser
  • Fysisk sikring — klassificering af anlæg, perimeter, adgangskontrol, sikringskoordinator
  • Cybersikkerhed (NIS2) — netsegmentering, OT-sikkerhed, leverandørstyring, indberetning

Danmark har valgt en sektorspecifik implementering, så energivirksomheder reguleres særskilt fra den generelle NIS2-lov og CER-lov. Energienheder er undtaget fra den generelle CER-lov — BEK 260 dækker det hele.

Nøglefakta
BekendtgørelseBEK nr. 260
HovedlovLov nr. 258
I kraft7. marts 2025
ImplementererNIS2 + CER for energi
SektorerEl, gas, olie, fjernvarme, fjernkøling, brint
Niveauer5 (klassificering)
TilsynEnergistyrelsen
Klassificering

5 niveauer — krav skaleret efter betydning

BEK 260 klassificerer alle omfattede virksomheder og anlæg i 5 niveauer baseret på energigennemløb og betydning for forsyningssikkerheden. Jo højere niveau, jo strengere krav til organisation, fysisk sikring, dokumentation og øvelseskadence.

For et lille fjernvarmeselskab med <10.000 forbrugere lander kravene typisk i niveau 1-2. For en transmissionsoperatør eller stor DSO er det niveau 4-5. Klassificeringen afgør også, hvor mange koordinatorroller virksomheden skal udpege.

Niveauer i BEK 260
Niveau 1Lokal betydning
Niveau 2Regional betydning
Niveau 3National betydning
Niveau 4Kritisk national betydning
Niveau 5International betydning
Roller

Tre obligatoriske koordinatorroller

BEK 260 kræver, at virksomheder på niveau 2 og opefter udpeger koordinatorer med personligt ansvar. Ledelsen skal mødes kvartalsvist med koordinatorerne og dokumentere beslutningerne.

Beredskabskoordinator

Niveau 2-5. Koordinerer beredskabsplanlægning, øvelser og kontakt til Energistyrelsen. Skal kunne dokumentere kompetencer og være tilgængelig 24/7.

Cyberkoordinator

Niveau 2-5. Ansvar for sikkerhed af forsyningskritiske IT- og OT-systemer (SCADA, SRO, fjernovervaagning). Implementerer NIS2-kravene og varetager indberetning af cyberhændelser.

Sikringskoordinator

Niveau 4-5. Ansvar for fysisk sikring af klassificerede anlæg — perimeter, adgangskontrol, alarm- og overvågningssystemer, baggrundskontrol af personale.

ROS-vurdering

43 trusselsscenarier i risiko- og sårbarhedsvurderingen

Energistyrelsen har defineret 43 trusselsscenarier, som omfattede virksomheder skal forholde sig til i deres ROS-vurdering. Scenarierne er ikke en tænkt liste — de afspejler reelle hændelser, der er sket i den danske og europæiske energisektor.

I RiskFinder ligger alle 43 scenarier indbygget. Virksomheder kan udelukke ikke-relevante scenarier med dokumenteret begrundelse, og resten får de en struktureret ramme til at vurdere sandsynlighed, konsekvens og afhængigheder på.

Se hvordan ROS-modulet håndterer de 43 scenarier →

Ekstreme vejrhændelser
Strømafbrydelser
Cyberangreb (IT/OT)
Sabotage og hybride trusler
Personalebortfald
Leverandørsvigt
Brand og ulykker
Pandemi og smitte
Beredskabsplaner & action cards

Planer der også virker når netværket er nede

BEK 260 kræver, at beredskabsplanen er operationelt anvendelig — ikke kun et dokument til skuffen. Det betyder konkrete action cards til de medarbejdere, der opdager hændelsen, og en plan der virker på pumpestationen kl. 03 om natten uden internet.

  • Beredskabsplan struktureret efter BEK 260's kapitler — klar til Energistyrelsens audit
  • Action cards print-first: lamineret på sitet, opdateret automatisk i platformen
  • Eskaleringsregler defineret én gang — anvendt automatisk pr. trin
  • Krydsreference til ROS, leverandører og øvelser

Se action cards-modulet → · Se beredskabsplaner-modulet →

Print først, digital som backup

Pumpestationer, fjernaflaste anlæg og driftscentraler har ikke altid stabilt netværk. Action cards er designet til at blive printet, lamineret og hængt op — med en QR-kode der altid peger på den nyeste version, når netværket er der.

Øvelser · Bilag 4

Øvelsesevaluering med 19 obligatoriske elementer

BEK 260 stiller ikke bare krav om, at I afholder øvelser — bekendtgørelsens Bilag 4 lister 19 specifikke elementer, som evalueringen skal indeholde. Det gælder bl.a. aktiveringsbeslutninger, kommunikation til myndigheder, koordination internt, læringspunkter og opfølgning.

Evalueringen skal indberettes skriftligt til Energistyrelsen senest 3 måneder efter øvelsen. RiskFinder genererer evalueringen direkte fra øvelsesforløbet med alle 19 elementer for-udfyldt.

Se øvelsesmodulet →

Bilag 4 i kort form
Elementer19 obligatoriske
IndberetningSenest 3 mdr. efter øvelsen
ModtagerEnergistyrelsen
KadenceTilpasset niveau (1-5)
KravSkriftlig evaluering + læringspunkter
Hændelsesindberetning

24 / 72 timer / 1 måned — samme model som NIS2

Ved væsentlige hændelser skal indberetning ske til Energistyrelsen efter en trebenet model. Modellen gælder ikke kun cyberhændelser — også fysiske og organisatoriske hændelser med væsentlig påvirkning.

24 timer
Tidlig varsling med tilgængelig information
72 timer
Hændelsesunderretning med første vurdering
1 måned
Endelig rapport med fuldt hændelsesforløb og læringspunkter
§30 · Leverandører

8 obligatoriske krav til forsyningskritiske leverandøraftaler

BEK 260 §30 indeholder 8 punkter, der skal indarbejdes i alle aftaler med leverandører, der er forsyningskritiske — bl.a. SCADA-leverandører, sikkerhedsoperatører, IT-driftsleverandører og hosting.

  • Sikkerhedsforanstaltninger og krav til personalets baggrundskontrol
  • Hændelseshåndtering og underretningspligt
  • Dataopbevaring inden for EU/EØS/EFTA (gradvis indføring)
  • Audit-ret for virksomheden og Energistyrelsen
  • Underleverandørkortlægning og dependency mapping
  • Exit-plan ved leverandørskifte eller ophør

Se leverandørstyrings-modulet →

Gælder eksisterende aftaler

§30-kravene gælder ikke bare nye leverandøraftaler — eksisterende aftaler skal opdateres ved næste fornyælse, eller hvis Energistyrelsen kræver det. Det betyder, at I skal kortlægge alle nuværende leverandører og prioritere genforhandling efter kritikalitet.

Tidslinje

Implementeringsfrister

De fleste organisatoriske krav gælder fra ikrafttrædelse. Tre særlige frister er vigtige at få ind i kalenderen.

7. mar 2025
BEK 260 i kraft. Alle organisatoriske krav gælder.
1. mar 2026
Klimasikring på plads for klasse 2-5 anlæg.
1. mar 2027
Fysisk sikring, netsegmentering og EU-dataopbevaring.
RiskFinder

Sådan gør RiskFinder jer BEK 260-klar

Platformen er bygget op om bekendtgørelsens kapitler, så dokumentation, audit og tilsyn er en biopgave — ikke et separat projekt.

Action cards

Print-first procedurer på pumpestationen. Eskaleringsregler defineret én gang, anvendt overalt.

Beredskabsplan

Struktureret efter BEK 260's kapitler. Eksport klar til Energistyrelsens tilsyn på ét klik.

ROS med 43 scenarier

Energistyrelsens 43 trusselsscenarier ligger indbygget. Vurder, doku-mentér og opdatér struktureret.

Øvelser + Bilag 4

Plan, gennemfør, evaluer. Bilag 4's 19 elementer for-udfyldt direkte fra øvelsesforløbet.

Leverandørstyring

§30's 8 krav som tjekliste pr. leverandøraftale. Status, audit-historik og exit-plan ét sted.

Bygget til fjernvarme

Skabeloner, scenarier og terminologi tilpasset fjernvarmeselskaber — fra niveau 1 og opefter.

Relateret lovgivning og brancher

BEK 260 spiller sammen med Energiberedskabsloven, NIS2 og CER. Se også sektorspecifikke sider.

Energiberedskabsloven
Lov nr. 258 — rammeloven der BEK 260 udmønter
Fjernvarme
BEK 260 i praksis for fjernvarmeselskaber
El-distribution
Multi-site beredskab og OT-sikkerhed
NIS2-direktivet
Cybersikkerhed for kritiske sektorer

Skal vi hjælpe jer BEK 260-klar?

Book en demo og se, hvordan RiskFinder samler beredskabsplan, ROS, action cards, øvelser og leverandørstyring i én platform — bygget op om bekendtgørelsens kapitler.

Eller ring til os på +45 42 40 40 70 · [email protected]

Book Demo