Forslag til Lov om sikkerhed og beredskab i telesektoren

Teleudbydere kategoriseres som enten væsentlige eller vigtige:

• Væsentlige teleudbydere (§ 3): Omfatter udbydere med mere end 50 ansatte eller en årlig omsætning/balance over 10 mio. EUR, samt udbydere der er kritiske uanset størrelse (f.eks. eneste udbyder af en samfundsvigtig tjeneste, stor indvirkning på offentlig sikkerhed/folkesundhed, systemisk risiko, national/regional betydning, eller identificeret som kritisk enhed under anden lovgivning). Det er et krav, at udbuddet sker med et kommercielt formål og som en ikke-accessorisk del af virksomheden.
• Vigtige teleudbydere (§ 4): Teleudbydere, der ikke opfylder kriterierne for at være væsentlige, men som stadig udbyder offentlige elektroniske kommunikationsnet eller -tjenester kommercielt og som en ikke-accessorisk del af virksomheden. Styrelsen for Samfundssikkerhed kan i visse tilfælde afgøre, at en udbyder, der ellers ville være væsentlig på baggrund af de kvalitative kriterier, skal anses som vigtig.

Foranstaltninger til styring af sikkerhedsrisici m.v. (Kapitel 2)

Væsentlige og vigtige teleudbydere skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risici for sikkerheden i net- og informationssystemer (§ 5). Disse foranstaltninger skal som minimum omfatte:

• Politikker for risikoanalyse og informationssystemsikkerhed.
• Håndtering af hændelser.
• Driftskontinuitet, herunder backup-styring og reetablering efter katastrofer.
• Forsyningskædesikkerhed, med fokus på sikkerhedsrelaterede aspekter vedrørende leverandører.
• Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af systemer, herunder sårbarhedshåndtering.
• Politikker og procedurer til vurdering af effektiviteten af sikkerhedsforanstaltninger.
• Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
• Politikker og procedurer vedrørende brug af kryptografi og kryptering.
• Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
• Brug af multifaktorautentificering, sikret kommunikation og nødkommunikationssystemer, hvor relevant.

Ledelsesorganet i de omfattede teleudbydere skal godkende disse foranstaltninger og føre tilsyn med deres gennemførelse. Medlemmer af ledelsesorganet skal deltage i relevante kurser om styring af informationssikkerhedsrisici og tilskynde til lignende kurser for ansatte (§ 6).

Oplysnings- og underretningspligter mv. (Kapitel 3)

Væsentlige og vigtige teleudbydere skal registrere sig hos Styrelsen for Samfundssikkerhed med navn, kontaktoplysninger og en liste over andre EU-medlemsstater, hvor de leverer tjenester. Ændringer skal meddeles inden for to uger (§ 7).

Teleudbydere skal underrette Styrelsen for Samfundssikkerhed og CSIRT'en om enhver væsentlig hændelse (§ 8). En hændelse er væsentlig, hvis den forårsager eller kan forårsage alvorlige driftsforstyrrelser, økonomiske tab, eller betydelig fysisk/ikke-fysisk skade på andre. Underretningen skal ske i flere trin (§ 9):

• Tidlig varsling: Inden for 24 timer efter kendskab til hændelsen, angivelse af mistanke om ulovlige handlinger eller grænseoverskridende virkning.
• Hændelsesunderretning: Inden for 72 timer, ajourføring af varsling og indledende vurdering af alvor og indvirkning.
• Foreløbig rapport: Efter anmodning fra myndigheden.
• Endelig rapport: Senest en måned efter hændelsesunderretningen, med detaljeret beskrivelse, trusselstype, afbødende foranstaltninger og grænseoverskridende virkninger. Hvis hændelsen fortsat pågår, skal en statusrapport indsendes, og den endelige rapport følger en måned efter hændelsen er håndteret.

Styrelsen for Samfundssikkerhed og CSIRT'en skal give svar og indledende tilbagemeldinger inden for 24 timer efter modtagelse af tidlig varsling og yde vejledning/teknisk bistand efter anmodning.

Frivillig underretning om hændelser, nærvedhændelser og cybertrusler er mulig for alle teleudbydere, uanset om de er omfattet af loven. Disse behandles som obligatoriske underretninger, men kan prioriteres lavere (§ 10).

Teleudbydere skal uden unødigt ophold informere modtagerne af deres tjenester, hvis en væsentlig hændelse sandsynligvis vil påvirke leveringen negativt. De skal også oplyse om foranstaltninger eller modforholdsregler, som modtagerne kan træffe som reaktion på en væsentlig cybertrussel (§ 11).

Styrelsen for Samfundssikkerhed kan, efter høring af teleudbyderen, informere offentligheden om en væsentlig hændelse, hvis det er nødvendigt for at forebygge/håndtere hændelsen eller i offentlighedens interesse. Styrelsen kan også påbyde teleudbyderen at informere offentligheden. CSIRT'en kan informere om hændelser, der påvirker mere end én sektor eller har grænseoverskridende virkning (§ 12).

Beredskabssituationer og andre ekstraordinære situationer (Kapitel 4)

Styrelsen for Samfundssikkerhed koordinerer og prioriterer beredskabsaktørers behov for samfundsvigtig elektronisk kommunikation i beredskabssituationer og andre ekstraordinære situationer. Væsentlige og vigtige teleudbydere skal sikre, at disse prioriteringer gennemføres (§ 13, stk. 1-2).

Teleudbydere skal underrette Styrelsen for Samfundssikkerhed, hvis de aktiverer deres beredskab, eller hvis de bliver bekendt med en hændelse, der kan føre til en beredskabssituation. Udbydere, der skal udsende offentlige advarsler, skal sikre uafbrudt transmission af disse advarsler (§ 13, stk. 3-4).

I beredskabssituationer kan Styrelsen for Samfundssikkerhed påbyde væsentlige og vigtige teleudbydere at iværksætte nærmere angivne sikkerhedsforanstaltninger. Væsentlige teleudbydere skal efter påbud prioritere retablering af beskadiget infrastruktur og fremførsel af nærmere angivne forbindelser og tjenester, herunder om nødvendigt afbryde andre forbindelser eller tjenester (§ 13, stk. 5-7).

Aktindsigt i oplysninger og underretninger (Kapitel 5)

Underretninger om væsentlige hændelser (§ 8, stk. 2) og frivillige underretninger (§ 10) er undtaget fra aktindsigt efter offentlighedsloven og partsaktindsigt efter forvaltningsloven. Dette skal beskytte kommercielt følsomme oplysninger og fremme informationsdeling (§ 14). Lignende undtagelser kan fastsættes for oplysninger og underretninger om væsentlige dele af net eller tjenester og aftaleudkast (§ 15).

Sikkerhedsgodkendelser (Kapitel 6)

Medarbejdere og repræsentanter for væsentlige og vigtige teleudbydere skal sikkerhedsgodkendes af Styrelsen for Samfundssikkerhed, hvis de har adgang til klassificeret information, varetager kritiske funktioner, eller er kontaktpersoner i beredskabssammenhæng. Ministeren kan fastsætte nærmere regler herom (§ 16).

Tilsyn og håndhævelse (Kapitel 7)

Styrelsen for Samfundssikkerhed fører tilsyn med overholdelsen af loven (§ 17). Styrelsen kan påbyde væsentlige og vigtige teleudbydere at inddrage specifikke områder og trusler i deres risikostyringsprocesser. Hvis det er af væsentlig samfundsmæssig betydning, kan Styrelsen påbyde konkrete foranstaltninger, herunder at udstyr til indgreb i meddelelseshemmeligheden skal opsættes og drives fra Danmark (§ 18).

For væsentlige teleudbydere kan Styrelsen for Samfundssikkerhed anvende en række tilsynsforanstaltninger (§ 19):

• Kontrol på stedet (uden retskendelse, med varsel).
• Regelmæssige og målrettede sikkerhedsaudits (kan kræve uafhængige audits).
• Ad hoc sikkerhedsaudits og sikkerhedsscanninger.
• Kræve udlevering af nødvendige oplysninger, data, dokumenter og skriftlige udtalelser.

Styrelsen kan også anvende forskellige håndhævelsesforanstaltninger over for væsentlige teleudbydere (§ 20):

• Udstede advarsler, bindende instrukser, påbud og forbud.
• Påbyde underretning af berørte modtagere om trusler og modforanstaltninger.
• Påbyde gennemførelse af anbefalinger fra sikkerhedsaudits.
• Udpege en person til at føre tilsyn med overholdelse.
• Påbyde offentliggørelse af afgørelser om håndhævelsesforanstaltninger og resumeer af domme/bødevedtagelser.

Hvis håndhævelsesforanstaltninger er utilstrækkelige, kan Styrelsen for Samfundssikkerhed midlertidigt suspendere certificeringer/godkendelser eller midlertidigt forbyde ledelsespersoner at udøve ledelsesfunktioner. Disse afgørelser kan indbringes for domstolene (§ 21).

For vigtige teleudbydere kan Styrelsen for Samfundssikkerhed anvende lignende tilsyns- og håndhævelsesforanstaltninger, dog typisk kun hvis der er indikationer på manglende overholdelse (§ 22 og § 23).

Teleudbydere skal høres, inden der træffes afgørelse om håndhævelsesforanstaltninger, medmindre formålet forspildes (§ 24).

Styrelsen for Samfundssikkerhed kan offentliggøre ikke-anonymiserede afgørelser, tilsynsresultater og resumeer af domme/bødevedtagelser, dog med forbehold for fortrolige oplysninger som forretningshemmeligheder, national sikkerhed og private forhold (§ 25).

Videregivelse af oplysninger, gensidig bistand, gennemførelsesretsakter, digital kommunikation m.v. (Kapitel 8)

Forpligtelserne i loven omfatter ikke videregivelse af oplysninger, hvis det strider mod væsentlige interesser af hensyn til national sikkerhed, offentlig sikkerhed eller forsvar. Oplysninger fra andre EU-medlemsstater behandles fortroligt (§ 26).

Styrelsen for Samfundssikkerhed kan indsamle og videregive oplysninger til Europa-Kommissionen, ENISA og nationale tilsynsmyndigheder i andre EU-medlemsstater, når det er nødvendigt for at opfylde EU-retlige forpligtelser. Teleudbydere orienteres forud for videregivelse (§ 27).

Styrelsen for Samfundssikkerhed skal samarbejde med kompetente myndigheder i andre EU-medlemsstater, hvis en teleudbyder leverer tjenester i flere medlemsstater. Dette omfatter underretning om tilsyns- og håndhævelsesforanstaltninger, anmodning om bistand og fælles tilsynstiltag (§ 28).

Ministeren for samfundssikkerhed og beredskab kan fastsætte regler, der er nødvendige for at gennemføre retsakter udstedt af Europa-Kommissionen i medfør af NIS 2-direktivet, samt regler om digital kommunikation (§ 29 og § 30).

Straf (Kapitel 9)

Overtrædelse af lovens centrale bestemmelser, herunder krav til sikkerhedsforanstaltninger, registrerings- og underretningspligter, samt manglende efterlevelse af påbud eller hindring af tilsyn, straffes med bøde. Selskaber m.v. (juridiske personer) kan pålægges strafansvar (§ 31).

Ikrafttrædelse, overgangsbestemmelser og ændringer i anden lovgivning m.v. (Kapitel 10)

Loven træder i kraft den 1. juli 2025. Den nuværende 'lov om sikkerhed i net og tjenester' ophæves. Oplysninger til registrering skal indgives senest den 1. oktober 2025 for udbydere, der er omfattet ved lovens ikrafttrædelse (§ 32).

Loven gælder ikke for Færøerne og Grønland (§ 33).

Der foretages ændringer i 'lov om leverandørsikkerhed i den kritiske teleinfrastruktur' for at tilpasse definitionerne af 'vigtig teleudbyder' og 'væsentlig teleudbyder' til de nye definitioner i dette lovforslag (§ 34).

De vigtigste ændringer i definitioner er:

Den mest markante ændring er udvidelsen af lovens anvendelsesområde til at omfatte udbydere af NUIK-tjenester (nummeruafhængige interpersonelle kommunikationstjenester). Dette er tjenester som f.eks. kommercielle besked-apps og videoopkaldstjenester, der fungerer over internettet uden at bruge telefonnumre. Disse udbydere bliver nu underlagt de samme relevante sikkerhedskrav som traditionelle teleudbydere.

Skærpede Sikkerhedskrav og Nye Bemyndigelser

Lovforslaget opdaterer og udvider kravene til sikkerhed i net og tjenester.

• Minimumskrav til sikkerhed (§ 3, stk. 1): Center for Cybersikkerhed (CFCS) får bemyndigelse til at fastsætte regler om minimumskrav til sikkerhed for både traditionelle teleudbydere og de nye NUIK-udbydere. Kravene kan omfatte tekniske, processuelle og organisatoriske foranstaltninger baseret på risikostyring, herunder krav til håndtering af leverandører og adgangskontrol.
• Påbud ved sikkerhedshændelser og trusler (§ 3, stk. 3): En central nyskabelse er, at CFCS får bemyndigelse til at påbyde udbydere at træffe konkrete foranstaltninger, der er nødvendige for at:
  • Afhjælpe en allerede indtruffet sikkerhedshændelse.
  • Forhindre en sikkerhedshændelse i at opstå, når en betydelig trussel er identificeret.

Nye Underretnings- og Oplysningspligter

Pligterne til at underrette om sikkerhedshændelser udvides og præciseres i § 4:

• Underretning til CFCS (§ 4, nr. 3): Både traditionelle udbydere og NUIK-udbydere skal uden unødigt ophold underrette CFCS om sikkerhedshændelser, der har haft væsentlig indvirkning på driften.
• Underretning af offentligheden (§ 4, nr. 4): CFCS kan påbyde en udbyder at underrette offentligheden om en væsentlig sikkerhedshændelse, hvis det er i offentlighedens interesse.
• Information til brugere (§ 4, nr. 5): Som noget nyt skal udbydere informere deres potentielt berørte brugere om særlige og betydelige trusler om en sikkerhedshændelse. Informationen skal omfatte mulige beskyttelsesforanstaltninger, som brugerne selv kan træffe.

Beredskab og Offentlige Advarsler

En ny bestemmelse, § 5 a, indføres for at understøtte det mobilbaserede offentlige varslingssystem, som EU's telekodeks kræver.

• Udbydere, der er forpligtet til at udsende offentlige advarsler (typisk mobiloperatører), skal træffe alle nødvendige foranstaltninger for at sikre uafbrudt transmission af disse advarsler. Dette indebærer bl.a. krav til redundans og nødstrømsforsyning for de relevante systemer.

Tilsyn og Håndhævelse

CFCS's tilsynsbeføjelser udvides til at omfatte de nye NUIK-udbydere. Dette gælder bl.a. retten til at kræve oplysninger og materiale (§ 9, stk. 2) og til at kræve en uafhængig sikkerhedsrevision (§ 9, stk. 5). Straffebestemmelserne i § 14 opdateres tilsvarende, så overtrædelse af de nye pligter og påbud kan sanktioneres med bøde.

Ikrafttrædelse

Loven træder i kraft den 21. december 2020.