Virksomheder og den centrale lagerenhed skal udarbejde en vurdering af alle de risici og sårbarheder, der kan påvirke virksomhedens forsyning fra egne beredskabslagre i en beredskabssituation eller anden ekstraordinær situation, første gang senest 1. oktober 2018.
Stk. 2 Risiko- og sårbarhedsvurderinger skal indeholde alle relevante forhold, herunder egne erfaringer fra øvelser og hændelser, jf. §§, 13 og 15, samt varsler og det aktuelle trusselsniveau vurderet af myndighederne inden for såvel it-trusler, terrortrusler og andre trusler.
Stk. 3 Risiko- og sårbarhedsvurderinger skal som minimum indeholde:
-
1) Identifikation af alle risici af betydning for virksomhedens forsyning.
-
2) Identifikation af virksomhedens sårbarheder.
-
3) Vurdering af konsekvenserne for virksomheden og for forsyningen ved en hændelse, hvor sårbarheden udsættes for risikoen.
-
4) Identificerede tiltag, der har til hensigt at nedbringe sandsynligheden eller konsekvensen af identificerede risici.
Stk. 4 Risiko- og sårbarhedsvurderinger skal udarbejdes med inddragelse af relevante personer i organisationen.
Stk. 5 Risiko- og sårbarhedsvurderingen skal opdateres senest 3 måneder efter, at nye trusler erkendes samt ved væsentlige ændringer af forsyningskritiske anlæg, processer eller it-systemer. Virksomhederne skal på forlangende kunne dokumentere, hvordan og hvornår risiko- og sårbarhedsvurderingen er opdateret.
Stk. 6 Energistyrelsen kan skriftligt meddele virksomhederne, at der skal foretages risiko- og sårbarhedsvurderinger efter konkrete scenarier eller trusler, der vurderes relevante på baggrund af erfaringer eller meddelelser fra andre virksomheder, myndigheder eller sektorer.