Rahmenwerke

Dänemarks Verordnung zur Energieversorgungssicherheit: Ein praktischer Leitfaden zur Einhaltung der Vorschriften für Cyber- und Betriebsteams

Verstehen Sie die dänische Verordnung zur Energieversorgungssicherheit für den Energiesektor und wie sie NIS2 und CER umsetzt. Behandelt werden unter anderem der Geltungsbereich, Managementaufgaben, Risiko- und Vorsorgeplanung, technische und organisatorische Sicherheitsvorkehrungen sowie die Meldung von Vorfällen.

Cyberday
29. Dezember 2025
@

Inhalt des Artikels

ISO 27001-Sammlung
Dänemarks Verordnung zur Energieversorgungssicherheit: Ein praktischer Leitfaden zur Einhaltung der Vorschriften für Cyber- und Betriebsteams
NIS2-Sammlung
Dänemarks Verordnung zur Energieversorgungssicherheit: Ein praktischer Leitfaden zur Einhaltung der Vorschriften für Cyber- und Betriebsteams
Cyberday Blog
Dänemarks Verordnung zur Energieversorgungssicherheit: Ein praktischer Leitfaden zur Einhaltung der Vorschriften für Cyber- und Betriebsteams

Die dänische Verordnung über Resilienz und Vorsorge im Energiesektor (Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren) legt verbindliche Anforderungen fest, wie kritische Energieunternehmen Resilienz, Vorsorge und Krisenreaktion handhaben müssen. Sie stellt die sektorspezifische Umsetzung der EU-Richtlinie über Netz- und Informationssicherheit 2 (NIS2) und des Gesetzes über die Resilienz kritischer Einrichtungen (CER) für den Energiesektor in Dänemark dar.

Anstatt NIS2 und CER durch einen einzigen Rechtsakt umzusetzen, integriert Dänemark die Verpflichtungen in die bestehende Energiegesetzgebung und in spezielle Durchführungsverordnungen, die von der dänischen Energiebehörde verwaltet werden. Dieser Ansatz integriert Cybersicherheit, physischen Schutz und operative Bereitschaft in einen einheitlichen Rechtsrahmen, der auf das Energiesystem zugeschnitten ist.

Die Verordnung gilt in erster Linie für Übertragungs- und Verteilernetzbetreiber, große Erzeuger und Betreiber kritischer Energieinfrastrukturen. Sie erlegt der Geschäftsleitung klare Governance-Pflichten auf, verlangt strukturierte Risikobewertungen und Notfallplanungen, schreibt technische und organisatorische Maßnahmen vor und legt Verpflichtungen zur Behandlung und Meldung von Vorfällen fest. Die Aufsicht ist risikobasiert, und bei unzureichender Einhaltung stehen Durchsetzungsbefugnisse zur Verfügung.

Umfang und abgedeckte Funktionen

Die Verordnung gilt für Infrastrukturen und Aktivitäten, die Teil des dänischen Energiesystems sind, unabhängig davon, wer deren Eigentümer ist. Dazu gehören auch grenzüberschreitende Verbindungsleitungen und gemeinsam genutzte Anlagen, sofern diese von dänischen Unternehmen betrieben werden oder in deren Zuständigkeit fallen. Energiesysteme gelten als miteinander verbunden, sodass sich Zwischenfälle über Grenzen hinweg ausbreiten können. 

Der Rahmen berücksichtigt auch die Schnittstelle zwischen Energieunternehmen und anderen kritischen Sektoren wie Telekommunikation, Finanzen und Verkehr. Unternehmen müssen sich der Abhängigkeiten von externen Netzwerken und Diensten bewusst sein, die Kontrollsysteme und Marktabläufe unterstützen. Diese Perspektive beeinflusst die Risikobewertung und die Kontinuitätsplanung. Sie fließt auch in die Zusammenarbeit mit Behörden in nationalen und regionalen Notfallplanungsstrukturen ein.

Organisationen außerhalb des direkten Geltungsbereichs können die Verordnung als Maßstab für Resilienz und für die Angleichung an NIS2 und ISO 22301.

Ziele und Grundsätze

Die Durchführungsverordnung baut auf dem dänischen Stromversorgungsgesetz und den damit verbundenen Rechtsvorschriften für Gas und Fernwärme auf. Sie weist den betroffenen Unternehmen Pflichten zu und klärt die Rolle der dänischen Energiebehörde und der Netzbetreiber. Sie verbindet die traditionelle Notfallvorsorge mit Cyber- und hybriden Bedrohungen.

Der Auftrag hat fünf Kernziele:

  • erfordert eine klare Unternehmensführung und Rechenschaftspflicht des Managements
  • verlangt systematische Risiko- und Schwachstellenanalysen
  • erfordert realistische Vorbereitungs- und Kontinuitätspläne
  • legt Erwartungen für technische und organisatorische Sicherheitsvorkehrungen fest
  • definiert die Behandlung von Vorfällen, die Benachrichtigung und die kontinuierliche Verbesserung in der gesamten Branche.

Managementverantwortung und Governance

Vorstände und Führungsteams tragen die letztendliche Verantwortung. Das Management muss Richtlinien, Risikobewertungen und Notfallpläne genehmigen. Es muss Ressourcen für Prävention, Vorsorge, Übungen und Schulungen bereitstellen. Die Berichtswege vom operativen Geschäft zum Management müssen definiert und genutzt werden.

Unternehmen müssen einen Notfallbeauftragten benennen und Systemverantwortliche für kritische Anlagen ernennen. Krisenmanagementteams müssen mit ihren Rollen, Stellvertretern und Kontaktwegen dokumentiert werden. Richtlinien und Verfahren müssen Risiken, Kontinuität, Bereitschaft und behördliche Zusammenarbeit abdecken. Schulungen müssen sicherstellen, dass die Mitarbeiter ihre Rollen sowohl im täglichen Betrieb als auch in Krisenfällen kennen.

Risiko- und Vulnerabilitätsbewertung

Unternehmen müssen strukturierte Risiko- und Schwachstellenanalysen durchführen. Der Umfang umfasst Geräteausfälle, Naturkatastrophen, Cyberangriffe, Sabotage und Kettenreaktionen aus anderen Sektoren. Bei den Analysen müssen die Wahrscheinlichkeit und die Folgen für kritische Dienste berücksichtigt werden.

Kritische Anlagen und einzelne Fehlerquellen müssen identifiziert werden. Cyber- und physische Aspekte müssen für Steuerungssysteme und Feldgeräte gemeinsam bewertet werden. Die Ergebnisse müssen die Investitions- und Kontrollauswahl bestimmen. Behörden können Zugang zu Bewertungen verlangen, um die Aufsicht und die Risikoanalyse des Sektors zu unterstützen.

Vorbereitung und Kontinuitätsplanung

Unternehmen müssen aktuelle Notfall- und Kontinuitätspläne vorhalten. In diesen Plänen müssen Aktivierungskriterien, Rollen, Kommunikationswege und die Koordination mit Netzbetreibern und Behörden festgelegt sein. Sie müssen beschreiben, wie ein Mindestmaß an Dienstleistungen aufrechterhalten und der normale Betrieb wiederhergestellt werden kann.

Die Pläne müssen den Ausfall primärer Kontrollsysteme, Schäden an wichtigen Umspannwerken oder Pipelines, großflächige Ausfälle und schwerwiegende Cybervorfälle berücksichtigen. Die Pläne müssen Ausweichverfahren wie lokale Kontrolle oder manuellen Betrieb enthalten und, soweit möglich, alternative Versorgungswege benennen. Die Pläne müssen realistisch sein, getestet werden und mit regionalen und nationalen Konzepten abgestimmt sein.

Technischer Schutz kritischer Anlagen und Systeme

Unternehmen müssen kritische Standorte durch angemessene physische Sicherheitsvorkehrungen und eine robuste Konstruktion schützen. Dazu gehören Perimeterkontrollen, Zugangsmanagement, Überwachung und Einbruchserkennung. Die Schutzstufen müssen der Bedeutung der Vermögenswerte und den aktuellen Bedrohungsstufen entsprechen.

Die Betriebstechnik erfordert sichere Architekturen und eine Trennung von der Unternehmens-IT. Für Steuerungssysteme sind eine starke Authentifizierung, Protokollierung und überwachte Kommunikation erforderlich. Für kritische Steuerungs- und Kommunikationsfunktionen müssen Backups und Redundanzen vorhanden sein. Ersatzteile und Reparaturkapazitäten müssen verfügbar sein, wenn die Vorlaufzeiten lang sind.

Organisatorische Bereitschaft und Zusammenarbeit

Das Krisenmanagement muss jederzeit einsatzbereit sein. Unternehmen benötigen aktuelle Kontaktlisten, Alarmierungsverfahren und bei Bedarf einen 24/7-Bereitschaftsdienst. Die strategischen, operativen und kommunikativen Aufgaben müssen klar definiert sein.

Zusammenarbeit wird erwartet. Unternehmen sollten an Branchenforen zur Notfallvorsorge teilnehmen, relevante Informationen zu Bedrohungen austauschen und sich an gemeinsamen Übungen beteiligen. Bei großflächigen Störungen ist eine Koordinierung über Netz- und Regionsgrenzen hinweg unerlässlich. Die Zusammenarbeit mit Behörden unterstützt eine einheitliche Kommunikation mit der Öffentlichkeit und eine konsistente Zuweisung von Ressourcen.

Vorfallbearbeitung und Benachrichtigung

Unternehmen müssen Vorfälle schnell erkennen und bewältigen. Überwachung, Alarmsysteme und Berichterstattung durch Mitarbeiter müssen eine frühzeitige Erkennung unterstützen. Vorfälle müssen klassifiziert, stabilisiert und an das Krisenmanagement weitergeleitet werden, wenn bestimmte Schwellenwerte erreicht sind.

Schwerwiegende Vorfälle müssen der dänischen Energiebehörde oder den benannten Netzbetreibern gemeldet werden. Die Kriterien beziehen sich auf das Ausmaß, die Dauer, die Auswirkungen auf kritische Kunden und das Eskalationsrisiko. Auf die erste Meldung müssen Statusaktualisierungen und ein Abschlussbericht folgen. In den Meldungen müssen der Vorfall, die betroffenen Gebiete, die erwartete Entwicklung, die ergriffenen Maßnahmen und der Unterstützungsbedarf beschrieben werden.

Kontinuierliche Verbesserung

Übungen sind obligatorisch. Unternehmen müssen interne Übungen durchführen und auf Einladung an branchenweiten oder nationalen Übungen teilnehmen. Es wird eine Kombination aus Tischsimulationen, Kommunikationsübungen und Live-Einsatzübungen empfohlen.

Die Szenarien sollten realistisch sein und mehrtägige Ereignisse, kombinierte physische und Cyber-Vorfälle sowie den Ausfall wichtiger Mitarbeiter oder Einrichtungen umfassen. Jede Übung erfordert Ziele, eine Bewertung und Verbesserungsmaßnahmen. Die gewonnenen Erkenntnisse müssen zur Aktualisierung der Pläne, zur Klärung der Rollen und zur Verfeinerung der technischen und organisatorischen Maßnahmen genutzt werden.

Dokumentation, Verbesserung und Angleichung

Die Vorbereitungsarbeiten müssen dokumentiert werden. Dazu gehören Risikobewertungen, Pläne, Übungsberichte und Zwischenfallberichte. Unternehmen müssen überprüfen, ob die Maßnahmen angesichts der Weiterentwicklung von Bedrohungen, Technologien und Systemen weiterhin angemessen sind.

Die Verordnung steht im Einklang mit verwandten Rahmenwerken wie dem EU-Netzkodex für Notfälle und Wiederherstellung sowie der EU-Richtlinie über Netz- und Informationssicherheit 2 (NIS2). Harmonisierung interner Rahmenwerke, damit sich Resilienz, Cybersicherheit und operatives Risikomanagement gegenseitig unterstützen. Dies reduziert Doppelarbeit und stärkt die Versorgungssicherheit.

Wie Sie die Energieversorgungssicherheitsverordnung in Ihrem Unternehmen umsetzen können

Die meisten Unternehmen können den Auftrag in drei Schritten umsetzen. Dadurch werden die von den Behörden erwarteten Artefakte geschaffen und die tatsächliche Widerstandsfähigkeit verbessert. Ein guter Ansatz ist die Verwendung eines speziellen ISMS wie Cyberday Verwaltung der Arbeit einzusetzen.

Umfang und Karte

Legen Sie fest, welche Vermögenswerte, Systeme und Prozesse in den Geltungsbereich fallen. Erfassen Sie kritische Dienste, Kontrollzentren, Umspannwerke, Pipelines, Telekommunikationsverbindungen und grenzüberschreitende Vermögenswerte. Identifizieren Sie Abhängigkeiten von Telekommunikation, IT und wichtigen Lieferanten. Benennen Sie Systembesitzer und Krisenrollen. Dies wird zu Ihrer Governance- und Vermögensgrundlage.

Bewerten und planen

Führen Sie eine strukturierte Risiko- und Schwachstellenanalyse für cyber- und physische Bedrohungen durch. Identifizieren Sie einzelne Fehlerquellen und Szenarien mit schwerwiegenden Folgen. Erstellen oder aktualisieren Sie Notfall- und Kontinuitätspläne mit Aktivierungskriterien, Ausweichmodi, Kommunikationswegen und Wiederherstellungszielen. Legen Sie technische und organisatorische Kontrollverbesserungen mit Verantwortlichen und Fristen fest.

Bewegung und Beweise

Führen Sie gezielte Übungen durch, um Entscheidungsfindung, Kommunikation und technische Ausfallsicherheit zu testen. Beheben Sie Lücken und aktualisieren Sie Runbooks. Richten Sie ein Vorfallsprotokoll und einen Workflow für gewonnene Erkenntnisse ein. Halten Sie Dokumente versioniert und zugänglich. Erstellen Sie ein Benachrichtigungs-Playbook mit Kriterien, Vorlagen und Kontaktbäumen.

Cyberday Ihnen bei diesen Schritten mit vorgefertigten Aufgabenbibliotheken, Risiko- und Planvorlagen, rollenbasierten Workflows und zentralisierter Beweissammlung helfen. Es unterstützt Sie auch bei der Zuordnung Ihrer Arbeit zu NIS2 oder ISO 22301, sodass Sie Doppelarbeit vermeiden können.

Warum die Energy Resilience Order für Cyber-Resilienz und Compliance wichtig ist

Energiebetriebe sind auf eine genaue Lagebeurteilung und wiederholbare Reaktionen angewiesen. Die Anordnung sorgt für Klarheit hinsichtlich kritischer Anlagen, Abhängigkeiten und Ausweichmodi. Diese Klarheit verringert die Wahrscheinlichkeit und die Auswirkungen von Ausfällen. Außerdem verbessert sie die Wiederherstellung, indem sie Rollen, Kommunikationswege und technische Runbooks definiert.

Eine konsequente Umsetzung unterstützt Vertragsverhandlungen, den Betrieb von Verbindungsleitungen und das Vertrauen der Regulierungsbehörden. Sie schafft Vertrauen bei Kunden, Partnern und Investoren. Außerdem steht sie im Einklang mit NIS2 und den Notfall- und Wiederherstellungsvorschriften der EU. Diese Angleichung reduziert doppelte Audits und verbessert die Qualität von Entscheidungen in Stresssituationen.

FAQs

Hier sind Fragen, die Organisationen häufig stellen:

Welche Unternehmen sind direkt von der Verordnung betroffen?

Übertragungs- und Verteilungsnetzbetreiber, große Strom- und Wärmeerzeuger sowie Betreiber kritischer Gasinfrastrukturen fallen in der Regel in den Anwendungsbereich. Bestimmte Leitstellen- und Marktfunktionen können ebenfalls abgedeckt sein. Die genauen Kategorien entnehmen Sie bitte dem Wortlaut der Verordnung und den Leitlinien für den Sektor.

Wie sollten wir mit Abhängigkeiten von Telekommunikations- oder IT-Anbietern umgehen?

Identifizieren Sie Telekommunikations- und IT-Verbindungen, die Kontrollzentren und Außenstellen unterstützen. Beziehen Sie diese in Risikobewertungen und -pläne ein. Legen Sie vertragliche Anforderungen für Verfügbarkeit, Benachrichtigung bei Vorfällen und Teilnahme an Übungen fest.

Wie detailliert müssen Notfallpläne sein?

Pläne müssen umsetzbar sein. Fügen Sie Aktivierungskriterien, Rollen, Entscheidungsrechte, Kommunikationswege und Ausweichverfahren hinzu. Fügen Sie technische Runbooks für die lokale Steuerung, den manuellen Betrieb und die Systemwiederherstellung bei.

Wie oft sollten wir Sport treiben?

Führen Sie mindestens eine strukturierte Übung pro Jahr durch. Erhöhen Sie die Häufigkeit bei größeren Veränderungen oder nach bedeutenden Vorfällen. Verwenden Sie eine Mischung aus Tabletop-, Kommunikations- und Live-Technikübungen. Verfolgen Sie die gewonnenen Erkenntnisse und schließen Sie Maßnahmen ab.

Was löst eine Meldung an die dänische Energiebehörde oder die Netzbetreiber aus?

Benachrichtigen Sie bei schwerwiegenden oder eskalierenden Vorfällen mit erheblichen Auswirkungen auf die Versorgungssicherheit oder wichtige Kunden. Verwenden Sie vordefinierte Kriterien und Kontaktwege. Senden Sie schnell eine erste Warnmeldung, gefolgt von Aktualisierungen und einem Abschlussbericht.

Inwiefern hängt dies mit NIS2 zusammen?

Die Verordnung konzentriert sich auf die Widerstandsfähigkeit des Sektors und die Versorgungssicherheit. NIS2 konzentriert sich auf die Sicherheit von Netzwerken und Informationssystemen sowie die Meldung von Vorfällen in allen Sektoren. Kontrollmechanismen und Prozesse sollten so aufeinander abgestimmt werden, dass ein einziger Satz von Nachweisen beide Regelungen abdeckt.

{ "@context": "https://schema.org", "@type": "FAQPage", "mainEntity": [ { "@type": "Question", "name": "Which entities are directly covered by the order?", "acceptedAnswer": { "@type": "Answer", "text": "Transmission and distribution system operators, large power and heat producers, and critical gas infrastructure operators are typically in scope. Specific control center and market functions can also be covered. Check the order text and sector guidance for exact categories." } }, { "@type": "Question", "name": "How should we treat dependencies on telecom or IT providers?", "acceptedAnswer": { "@type": "Answer", "text": "Identify telecom and IT links that support control centers and field sites. Include them in risk assessments and plans. Set contractual requirements for availability, incident notification, and participation in drills." } }, { "@type": "Question", "name": "What level of detail do preparedness plans need?", "acceptedAnswer": { "@type": "Answer", "text": "Plans must be actionable. Include activation criteria, roles, decision rights, communication paths, and fallback procedures. Attach technical runbooks for local control, manual operation, and system restoration." } }, { "@type": "Question", "name": "How often should we exercise?", "acceptedAnswer": { "@type": "Answer", "text": "Run at least one structured exercise per year. Increase frequency for major changes or after significant incidents. Use a mix of tabletop, communication, and live technical drills. Track lessons and close actions." } }, { "@type": "Question", "name": "What triggers notification to the Danish Energy Agency or system operators?", "acceptedAnswer": { "@type": "Answer", "text": "Notify for serious or escalating incidents with material impact on security of supply or critical customers. Use pre-defined criteria and contact paths. Send an initial alert quickly, then follow with updates and a final report." } }, { "@type": "Question", "name": "How does this relate to NIS2?", "acceptedAnswer": { "@type": "Answer", "text": "The order focuses on sector resilience and security of supply. NIS2 focuses on network and information systems security and incident reporting across sectors. Align controls and processes so one set of evidence supports both regimes." } } ] }

Energieversorgungssicherheit mit weniger Aufwand operationalisieren

Wenn Sie Ihr Programm aufbauen oder weiterentwickeln möchten, Cyberday hilft Ihnen dabei, schneller voranzukommen und weniger Tabellenkalkulationen zu verwenden. Nutzen Sie Aufgabenpakete zur Energieversorgungssicherheit, Risiko- und Planungsvorlagen, Rollen-Workflows und zentralisierte Nachweise, um auditbereit zu bleiben und gleichzeitig die tatsächliche Widerstandsfähigkeit zu verbessern. Einmal zuordnen und für NIS2 und ISO 22301 wiederverwenden, um Zeit zu sparen.

Testen Sie Cyberday 14 Tage lang kostenlos!

Starten Sie Ihren 14-tägigen kostenlosen Test

Starten Sie noch heute Ihre kostenlose Testversion. Keine Kreditkarte erforderlich. Voller Zugang, kein Risiko. Jederzeit kündbar.

Kostenlose Testversion starten

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Weitere Artikel in der Kategorie

29.12.2025

Dänemarks Verordnung zur Energieversorgungssicherheit: Ein praktischer Leitfaden zur Einhaltung der Vorschriften für Cyber- und Betriebsteams

Verstehen Sie die dänische Verordnung zur Energieversorgungssicherheit für den Energiesektor und wie sie NIS2 und CER umsetzt. Behandelt werden unter anderem der Geltungsbereich, Managementaufgaben, Risiko- und Vorsorgeplanung, technische und organisatorische Sicherheitsvorkehrungen sowie die Meldung von Vorfällen.
22.12.2025

Das Gesetz zum Schutz personenbezogener Daten (PDPL) in Saudi-Arabien verstehen

Verstehen Sie, wie das Gesetz zum Schutz personenbezogener Daten in Saudi-Arabien funktioniert und wie es sich von ähnlichen Rahmenwerken wie der DSGVO unterscheidet.
22.12.2025

Das britische Cyber Assessment Framework 4.0 (CAF 4.0) verstehen

Erfahren Sie, wie das Cyber Assessment Framework 4.0 Unternehmen dabei hilft, Cyberrisiken zu managen, ihre Widerstandsfähigkeit zu stärken und durch klare Ergebnisse und praktische Bewertungen bessere Führungsentscheidungen zu treffen.
Mühelose Verbesserung der Compliance
Größte Rahmenbibliothek in der EU
Umfassende Unterstützung

Beginnen Sie Ihre Reise zur Einhaltung der Vorschriften

Verwendung in MS Teams oder im Browser mit Slack-Integration.
Risikofreie Testversion. Keine Kreditkarte erforderlich. Jederzeit abbrechen.

Kostenlose Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagenTrust Center
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung von VermögenswertenDatenschutz-ManagementBewertungen von AnbieternInterne Audits
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseTrust CenterInhalt der BibliothekLeitfädenNewsletterCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
tcyberdayerday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit