BEK 260 er den regulering, der styrer fjernvarmens beredskab fremover
Bekendtgørelse nr. 260 af 6. marts 2025 om modstandsdygtighed og beredskab i energisektoren er den konkrete udmøntning af Energiberedskabsloven (Lov nr. 258). For fjernvarmeselskaber betyder det, at beredskab ikke længere er noget, man “burde” gøre — det er et lovkrav med tilsyn fra Energistyrelsen.
Denne artikel går igennem, hvad BEK 260 konkret kræver af et dansk fjernvarmeselskab. Det meste er overkommeligt, men det kræver, at I begynder nu — og at I bygger jeres beredskab op om bekendtgørelsens struktur, ikke ved siden af den.
Alle fjernvarmeselskaber med produktion, transmission eller distribution af varme er omfattet — uanset størrelse. Der findes godt 400 fjernvarmeselskaber i Danmark. De fleste er små a.m.b.a.-selskaber med 10–80 ansatte. BEK 260 lægger derfor størstedelen af kravene på de største, men selv et lille selskab på niveau 1 har konkrete dokumentationskrav at overholde.
5 niveauer — hvor lander jeres selskab?
BEK 260 klassificerer alle omfattede selskaber i fem niveauer baseret på energigennemløb og betydning for forsyningssikkerheden. Niveauet afgør, hvor strenge krav der gælder.
| Niveau | Betydning | Typisk fjernvarmeprofil |
|---|---|---|
| 1 | Lokal | Mindre selskab, < 10.000 forbrugere |
| 2 | Regional | Mellemstore selskaber, regionale anlæg |
| 3 | National | Større produktion, mange forbrugere |
| 4 | Kritisk national | Transmissionsanlæg, central infrastruktur |
| 5 | International | (Sjældent for ren fjernvarme) |
For de fleste mindre fjernvarmeselskaber lander I på niveau 1 eller 2. Det er Energistyrelsen, der i sidste ende klassificerer jer.
Tre obligatoriske koordinatorroller
Fra niveau 2 og opefter skal selskabet udpege:
- Beredskabskoordinator — koordinerer beredskabsplanlægning, øvelser og kontakt til Energistyrelsen. Skal kunne dokumentere kompetencer og være tilgængelig 24/7.
- Cyberkoordinator — ansvar for sikkerhed af forsyningskritiske IT- og OT-systemer (SCADA, SRO, fjernovervågning).
- Sikringskoordinator (kun niveau 4–5) — ansvar for fysisk sikring af klassificerede anlæg.
Hos små fjernvarmeselskaber er det typisk driftslederen, der får både beredskabs- og cyberkoordinatorrollen oveni alt det andet. Det er lovligt — men det stiller krav til, hvordan I strukturerer ansvaret og dokumenterer kompetencerne. Bestyrelsen skal formelt udpege koordinatoren.
Risiko- og sårbarhedsvurdering med trusselsscenarier
BEK 260 § 18 kræver en samlet risiko- og sårbarhedsvurdering (ROS), som skal dække en række trusselsscenarier. Hvert relevant scenarie skal I forholde jer til — ikke-relevante kan udelukkes med dokumenteret begrundelse. Scenarierne dækker bl.a.:
- Ekstreme vejrhændelser (storm, oversvømmelse, hedebølge)
- Strømafbrydelser og kaskadenedbrud
- Cyberangreb (IT og OT)
- Sabotage og hybride trusler
- Leverandørsvigt (SCADA, kedelservice, brændsel)
- Pandemi og personalebortfald
- Brand, eksplosion og ulykker
ROS-vurderingen skal opdateres minimum hvert tredje år og efter væsentlige hændelser eller ændringer i anlægget.
Beredskabsplan struktureret efter bekendtgørelsens kapitler
Beredskabsplanen er det dokument, Energistyrelsens tilsyn læser. Den skal:
- Være struktureret, så audit kan finde dokumentation for hvert af BEK 260’s kapitler
- Være ledelsesgodkendt og versioneret
- Inkludere konkrete action cards til de medarbejdere, der opdager hændelsen — typisk på en pumpestation eller kedelcentral
- Indeholde kommunikationsskabeloner til forbrugere, presse og myndigheder
- Have opdaterede kontaktlister med Energistyrelsen, kommune, naboselskaber og forsyningskritiske leverandører
Pointen med action cards er, at de skal virke uden internet. De lamineres og hænges op på sitet — med en QR-kode der peger på den nyeste digitale version, når netværket er der.
Øvelser med Bilag 4’s 19 obligatoriske evalueringselementer
Niveau 2-5 selskaber skal afholde regelmæssige beredskabsøvelser. Kadencen tilpasses niveauet, men typisk:
- Niveau 2: Minimum én tabletop-øvelse årligt
- Niveau 3-4: Større øvelse hvert 2.-3. år, tabletop oftere
Det vigtige er, at hver øvelse skal evalueres skriftligt mod Bilag 4’s 19 obligatoriske elementer — bl.a. aktiveringsbeslutninger, kommunikation til myndigheder, intern koordination og læringspunkter. Evalueringen indberettes til Energistyrelsen senest 3 måneder efter øvelsen.
Det er her mange selskaber får mest “vågn-op-energi” fra BEK 260: en øvelse, der ikke evalueres efter Bilag 4 og indberettes inden for fristen, tæller ikke. Ergo er det godt at have processen indbygget i værktøjet, ikke som en separat eftersnak.
Indberetning af hændelser: 24 / 72 timer / 1 måned
Ved væsentlige hændelser — uanset om de er fysiske, organisatoriske eller cyber — skal I indberette til Energistyrelsen efter en trebenet model:
- 24 timer: Tidlig varsling med tilgængelig information
- 72 timer: Hændelsesunderretning med første vurdering
- 1 måned: Endelig rapport med fuldt forløb og læringspunkter
Modellen følger NIS2 men gælder altså bredere — også f.eks. et større ledningsbrud, en sabotagehændelse eller et væsentligt personalebortfald.
Leverandørstyring — § 30’s 8 krav
BEK 260 § 30 indeholder otte obligatoriske krav, der skal indarbejdes i alle aftaler med forsyningskritiske leverandører. For et fjernvarmeselskab er det typisk:
- SCADA/SRO-leverandør
- Kedelleverandør / serviceaftaler
- IT-driftsleverandør og hosting
- Kommunikations- og varslingsleverandører
Kravene gælder også eksisterende aftaler — de skal opdateres ved næste fornyelse, eller hvis Energistyrelsen kræver det. Det betyder, at I skal kortlægge alle nuværende leverandører og prioritere genforhandling efter kritikalitet.
Tre konkrete frister at få i kalenderen
| Dato | Hvad |
|---|---|
| 7. mar 2025 | BEK 260 i kraft. Alle organisatoriske krav gælder. |
| 1. mar 2026 | Klimasikring på plads for klasse 2-5 anlæg. |
| 1. mar 2027 | Fysisk sikring, netsegmentering og EU-dataopbevaring. |
Hvor begynder man, hvis man er tre måneder bagud?
For de fleste små fjernvarmeselskaber er svaret: ROS først, så beredskabsplan, så action cards, så øvelse. Ikke fordi rækkefølgen er forskrevet, men fordi det er der, dokumentationskravene starter — og hver komponent bygger ovenpå den forrige.
Det andet svar er: brug et værktøj, der er bygget op om BEK 260’s struktur. Hvis I opfinder strukturen selv, ender I med at lave ekstra arbejde ved hver opdatering og ved hvert tilsyn. Hvis I bruger en platform, der allerede afspejler bekendtgørelsens kapitler og krav, er compliance en biopgave — ikke et separat projekt.
Læs hvordan RiskFinder hjælper fjernvarmeselskaber med BEK 260 →