Lov om styrket beredskab i energisektoren (LoSB) samler NIS2- og CER-kravene i én dansk lov for energisektoren, og stiller samlet krav til cybersikkerhed og beredskab. Med Leave a Mark Consulting Group får I et fast team af specialister, der omsætter lovgivning til konkrete løsninger – fra risikovurdering til godkendt beredskabsplan. Book en gratis, uforpligtende samtale i dag, og få overblik på under 30 minutter.
Den danske Lov om styrket beredskab i energisektoren (LoSB) markerer et væsentligt spring i reguleringen af samfundskritisk infrastruktur. Med loven samles kravene fra NIS2-direktivet og CER-forordningen i et fælles regelsæt, der stiller krav til både cybersikkerhed, fysisk beskyttelse og strategisk beredskabsplanlægning i den danske energisektor.
Mens NIS2 fokuserer på digitale trusler – alt fra ransomware til avancerede APT-angreb – tilføjer CER-forordningen krav om robusthed i den fysiske forsyningskæde. Resultatet er et tværorganisatorisk ansvar, hvor direktion, drift, HR, indkøb og leverandørstyring skal arbejde efter samme risikobaserede metode.
Hos Leave a Mark Consulting Group (LAM) har vi i over 20 år hjulpet danske og internationale organisationer med at omsætte kompliceret lovgivning til praksis.
Leave a Mark Consulting Group arbejder i dag for flere forsyningskritiske virksomheder for at sikre korrekt implementering af lovgivningens krav.
Digitaliseringen af energisektoren har øget effektiviteten, men samtidig udvidet angrebsfladen. I takt med geopolitisk uro, raffinaderibrande og forsøg på udnyttelse af IoT-enheder i SCADA-miljøer er risikoniveauet steget markant. LoSB er Folketingets svar på dette billede.
Loven hviler på tre principper:
Helhedsorienteret risikostyring – cyber, fysisk sikkerhed og forretningskontinuitet skal vurderes i samme proces.
Ledelsesansvar – bestyrelse og direktion skal godkende risikorapporter og dokumentere ressourcer til afhjælpning.
Fleksibel proportionalitet – små aktører får mindre bureaukrati, men samme målsætning om robusthed.
Ignoreres kravene, kan Energistyrelsen skride ind med påbud, daglige tvangsbøder og økonomiske sanktioner op til 10 mio. € eller 2 % af global årsomsætning for væsentlige enheder. Med andre ord: robusthed er ikke længere frivillig – den er lovpligtig.
LoSB Energistyrelsen udpeger og offentliggør første gang senest 17. april 2025 en liste over de virksomheder, der klassificeres som væsentlige eller vigtige enheder – og reviderer listen mindst hvert andet år, jf. BEK260:2025, § 114.
| Klassifikation | Primære tærskler | Supplerende kriterier |
|---|---|---|
| Væsentlig enhed | > 250 ansatte eller > 50 mio. € omsætning og > 43 mio. € balance | • Eneste udbyder af en kritisk tjeneste • Tjenesten har væsentlig indvirkning på sikkerhed, folkesundhed eller samfundsøkonomi • Høj systemisk eller regional betydning (bek. § 114, stk. 3) |
| Vigtig enhed | > 50 ansatte eller > 10 mio. € omsætning og > 10 mio. € balance | Udpeges, hvis ovenstående ikke gør sig gældende, men virksomheden stadig leverer en væsentlig tjeneste (bek. § 114, stk. 4) |
| Kritisk enhed | Virksomheder på niveau 2-5 i energisektorens risikomodel (bek. § 115) | Underlægges særskilt CER-tilsyn og kan anses for “af særlig europæisk betydning”, hvis de leverer samme tjeneste i ≥ 6 EU-lande (bek. § 116) |
Praktisk eksempel: Et transmissionsselskab med 400 medarbejdere og en omsætning på 60 mio. € vil uden videre blive kategoriseret som væsentlig enhed. Derimod kan en mindre netoperatør med 70 ansatte også blive udpeget som vigtig enhed, hvis en afbrudt tjeneste vil få betydelig regional effekt.
Uanset kategori skal enheden dokumentere risikostyring, governance, leverandørkontrol og beredskab i overensstemmelse med LoSB – men væsentlige og kritiske enheder møder de skrappeste tilsyns- og rapporteringskrav.
LoSB og tilhørende bekendtgørelser handler ikke blot om tekniske kontroller, men om dokumenteret styring på tværs af hele organisationen. Her er ISO27001 den mest afprøvede ramme til at opfylde LoSB-kravene – både de digitale fra NIS2 og de fysiske fra CER.
ISO27001 giver en struktureret PDCA-model (Plan-Do-Check-Act), som matcher LoSB’s krav om kontinuerlig forbedring.
Standardens indbyggede annex A-kontroller dækker patch-håndtering, leverandørstyring, fysisk sikring og hændelseshåndtering – alt det Energistyrelsen vil spørge til.
Med certificeret ISO-dokumentation står I stærkt, når I årligt skal rapportere modenhed og risikoniveau til tilsynet.
En ISO-ramme reducerer projektets varighed, fordi politikker, processer og evidens kun skal tilpasses – ikke opfindes.
Implementerer I ISO27001 nu, har I en stor del af LoSB-arbejdet klaret. LAM er selv ISO 27001/27701-certificeret og har hjulpet mange virksomheder fra GAP-analyse til bestået audit.
Med mere end to årtiers erfaring omsætter vi lovkrav til konkrete resultater – fra første GAP-analyse til bestået audit. Vores faste specialister tager ansvar for governance, teknik, træning og rapportering, så I kan fokusere på driften, mens vi sikrer, at LoSB-compliance bliver en varig konkurrencefordel.
Vi starter med at identificere styrker, svagheder og “quick wins”. Vi kortlægger relevante LoSB og ISO 27001-krav mod jeres nuværende styring. Resultatet er en prioriteret handlingsplan, som direktionen kan godkende uden at drukne i tekniske detaljer.
Faste specialister udarbejder politikker, processer og styringsdokumenter, så ledelsen kan træffe informerede beslutninger - tæt koblet til ISO 27001-rammen og LoSB-kravene.
Sammen opsætter vi en governance-model med klare roller (RACI), risikovurderinger på aktiver, leverandører og sites samt politikker for adgangskontrol, patch-håndtering og kryptering. Dokumenterne harmonerer med CISO-service-abonnementet, så vedligehold bliver en fast proces frem for et årligt brandudryknings-projekt.
Due-diligence-proces, kontraktklausuler og løbende monitorering dokumenterer, at kritiske underleverandører efterlever samme krav som jer.
Ved hjælp af awareness-træning, tabletop-øvelser og phishing-simuleringer får I bevis for, at procedurer virker i praksis. Vi udarbejder samtidigt den dokumentation, tilsynet vil efterspørge under audit: procesbeskrivelser, test-rapporter og ledelsesgodkendte referater.
Med vores CISO-services-abonnement får I en dedikeret seniorrådgiver, som holder styr på forbedringscyklussen, deltager i ledelsesmøder og står standby ved incidents – så LoSB-compliance bliver en varig styrke, ikke en engangsøvelse.
Vil I vide, hvor I står, og hvordan LoSB kan blive et konkurrenceparameter frem for en byrde? Book et gratis, uforpligtende møde med en af vores eksperter.
Kontakt os via kontaktformularen eller ring på +45 535 27 000.
En plan for LoSB behøver ikke stå alene. Mange kunder vælger at samle flere standarder i ét integreret ledelsessystem og opnår dermed færre processer, lavere omkostninger og stærkere governance:
ISO9001-kvalitetsledelse – foren procesorienteret kvalitetsstyring med informationssikkerhed, så hele organisationen arbejder efter samme PDCA-model.
ISO22301 forretningskontinuitet – opbyg et certificerbart beredskabsstyringssystem, der dokumenterer evnen til at modstå og genoprette kritiske driftsprocesser.
AI Act-compliance – sæt etisk AI-styring på dagsordenen, før loven rammer, og skab transparens over datakilder, modeller og risici.
LoSB er vedtaget og forventes håndhævet fra marts 2025. Efter udpegning får I typisk tre måneder til at indsende en GAP-analyse og 12 måneder til at lukke eventuelle huller. Den første årlige ledelsesrapport skal afleveres ved udgangen af samme regnskabsår.
En certificering dækker størstedelen af de organisatoriske og tekniske krav, men LoSB stiller yderligere krav til fysisk robusthed (CER) og rapporteringspligt til Energistyrelsen. Certificeringen er derfor et stærkt fundament, men skal suppleres yderligere med beredskabsplaner, leverandørkontrol og myndighedsdialog.
Hvis en underleverandør understøtter en kritisk funktion, skal I dokumentere due diligence, kontraktklausuler og løbende monitorering. Kravet gælder både hosting-udbydere, OT-vedligehold og bemandede vagtcentraler. Leverandørerne kan blive pålagt samme tilsyn som jer.
Ja. LoSB er den danske implementering af NIS2, så politikker og risikovurderinger kan genbruges. Det vigtigste er at udvide dem til at omfatte fysisk robusthed (CER) og de nye rapporteringskrav.
Minimum én gang årligt eller ved væsentlige ændringer i trusselsbilledet, f.eks. ny teknologi eller leverandørskifte. Ledelsesreview bør ske kvartalsvist for at sikre styring af handlingsplaner.
Ledelsen tror, at teknisk hærdning alene skaber compliance
Manglende kontraktklausuler med leverandører
Ustrukturerede dokumenter uden versionsstyring
For få beviser på employee awareness og beredskabsøvelser
En klar governance-model og kontinuerlig dokumentation er den bedste kur mod alle fire.
© 2025 Leave a Mark Consulting Group ApS
CVR: 39411458
