Ny bekendtgørelse udpeger myndighedsansvar for kritisk infrastruktur under CER-loven

• Bekendtgørelsen udmønter dele af CER-loven ved at udpege specifikke kompetente myndigheder for 11 kritiske sektorer.
• Styrelsen for Samfundssikkerhed udpeges som det centrale kontaktpunkt for koordination og underretninger.
• Der indføres krav om obligatorisk digital underretning om hændelser via Virk.dk med anvendelse af digital signatur.
• Energistyrelsen, Trafikstyrelsen, Finanstilsynet og Sundhedsstyrelsen er blandt de væsentligste udpegede sektormyndigheder.
• Der fastsættes regler for videregivelse af fortrolige oplysninger mellem myndigheder uden samtykke i forbindelse med tilsyn og hændelseshåndtering.
• Mulighed for dispensation fra digital underretning for enheder med hjemsted i udlandet eller ved særlige tekniske hindringer.
• Dispensationer fra digital underretning gælder som udgangspunkt i 2 år med mulighed for forlængelse.
• Bekendtgørelsen fastlægger regler for hvornår en digital underretning anses for modtaget (tilgængelighedsprincippet).
• Høringsfristen er fastsat til fredag den 21. november 2025.

"Styrelsen for Samfundssikkerhed er centralt kontaktpunkt, jf. CER-lovens § 2, nr. 1."

Digital underretning og kommunikation

Kapitel 2 fastlægger kravene til den praktiske håndtering af underretninger om hændelser. Det er et krav, at kommunikation foregår digitalt gennem en løsning anvist af Styrelsen for Samfundssikkerhed (typisk via Virk.dk).

• Krav: Underretninger skal forsynes med den kritiske enheds offentlige digitale signatur.
• Modtagelse: En underretning anses for modtaget, når den er tilgængelig for modtageren.
• Nedbrud: Hvis selvbetjeningsløsningen er ude af drift, eller den kritiske enhed er ramt af et cyberangreb, der forhindrer adgang, skal en alternativ løsning benyttes.
• Fritagelse: Enheder med hjemsted i udlandet (uden dansk signatur) eller med andre væsentlige hindringer kan søge om fritagelse. En fritagelse gælder i 2 år og kan forlænges.

Videregivelse af oplysninger

Kapitel 3 regulerer myndighedernes adgang til at dele oplysninger indbyrdes for at sikre effektiv håndtering af hændelser og tilsyn.

• Myndigheder kan uden samtykke videregive nødvendige oplysninger (inkl. fortrolige og personfølsomme data) til andre relevante myndigheder.
• Dette gælder i forbindelse med hændelsesunderretning, tilsyn, påbud og sanktionsforberedelse.
• Der er etableret hjemmel til at dele oplysninger med myndigheder udpeget under NIS 2-loven.

"Den myndighed, der videregiver oplysninger, skal sikre dokumentation for, hvilke oplysninger der er videregivet, til hvem og med hvilket formål."

Proces og ikrafttræden

Bekendtgørelsen forventes at træde i kraft snarest muligt efter høringsprocessens afslutning. Høringsfristen er sat til den 21. november 2025.

For at sikre et effektivt tilsyn med de mange sektorer, der er omfattet af NIS 2-loven, fordeler bekendtgørelsen ansvaret mellem en række eksisterende myndigheder. Dette skal sikre, at tilsynet varetages af myndigheder med det relevante sektorkendskab. Fordelingen er som følger:

Digital Kommunikation

Bekendtgørelsen fastslår, at al registrering og underretning om cybersikkerhedshændelser i henhold til NIS 2-loven skal foregå digitalt.

• Platform: Kommunikation skal ske via en central selvbetjeningsløsning på Virk.dk, som anvises af Ministeriet for Samfundssikkerhed og Beredskab.
• Sikkerhed: Al digital kommunikation skal være sikret med den offentlige digitale signatur MitID.
• Fritagelse: Enheder kan i særlige tilfælde søge den kompetente myndighed om fritagelse fra kravet om digital kommunikation. Dette gælder f.eks. for enheder med hjemsted i udlandet, som ikke kan få dansk digital signatur. En fritagelse gælder i 2 år og kan forlænges.
• Nødprocedure: Hvis selvbetjeningsløsningen er ude af drift, anvises en alternativ kommunikationsløsning af Styrelsen for Samfundssikkerhed.

Ikrafttrædelse

Bekendtgørelsen forventes at træde i kraft den 1. juli 2025.