Lovforslag om styrket cybersikkerhed: Implementering af EU's NIS 2-direktiv i dansk ret

• Lovforslaget implementerer EU's NIS 2-direktiv for at skabe et højere og mere ensartet cybersikkerhedsniveau i Danmark.
• En ny fælles hovedlov introduceres, som erstatter og ophæver fire tidligere love fra 2018, der implementerede det oprindelige NIS-direktiv.
• Lovens anvendelsesområde udvides markant til at dække flere samfundskritiske sektorer, herunder offentlig forvaltning, spildevand og post- og kurertjenester.
• Berørte virksomheder og myndigheder opdeles i 'væsentlige' og 'vigtige' enheder, som underlægges forskellige tilsynsordninger.
• Der indføres skærpede krav til risikostyring, herunder forsyningskædesikkerhed, hændelseshåndtering og brug af multifaktorautentificering.
• Ledelsen i de omfattede enheder får et direkte ansvar for at godkende og føre tilsyn med cybersikkerhedsforanstaltninger og skal gennemgå relevant uddannelse.
• Der indføres en flertrinsmodel for indberetning af væsentlige hændelser med stramme tidsfrister: en tidlig varsling inden for 24 timer og en fuld underretning inden for 72 timer.
• Tilsynsmyndighederne får udvidede beføjelser til at føre tilsyn, udstede påbud og i yderste konsekvens midlertidigt suspendere certificeringer eller forbyde ledelsespersoner at varetage deres funktioner.
• Sanktionsniveauet hæves markant med bøder på op til 10 mio. euro eller 2% af den globale omsætning for væsentlige enheder.
• Loven foreslås at træde i kraft den 1. marts 2025.

Et centralt element i lovforslaget er det skærpede ansvar for ledelsen. Ledelsesorganet skal godkende cybersikkerhedsforanstaltningerne, føre tilsyn med implementeringen og sikre, at medlemmerne deltager i relevante kurser.

Hændelsesrapportering

Pligten til at indberette væsentlige cybersikkerhedshændelser skærpes med en ny flertrinsmodel:

Tilsyn og Sanktioner

De kompetente myndigheder får udvidede beføjelser til at føre tilsyn, herunder mulighed for at foretage sikkerhedsaudits, scanninger og kræve adgang til data og dokumentation. Ved manglende overholdelse kan myndighederne udstede påbud og forbud.

For væsentlige enheder kan der i yderste konsekvens træffes afgørelse om midlertidigt at suspendere en certificering eller midlertidigt at forbyde en person i ledelsen at varetage sine funktioner.

Bødeniveauet for overtrædelser hæves markant:

• Væsentlige enheder: Bøder på op til 10.000.000 EUR eller 2% af den samlede globale årsomsætning.
• Vigtige enheder: Bøder på op til 7.000.000 EUR eller 1,4% af den samlede globale årsomsætning.

Ikrafttrædelse

Loven foreslås at træde i kraft den 1. marts 2025.

Anvendelsesområde og definitioner

Anvendelsesområde (§ 1): Loven gælder for offentlige og private enheder, der er opført i lovens bilag 1 og 2. Undtagelser omfatter enheder, der er dækket af lov om styrket beredskab i energisektoren, lov om sikkerhed og beredskab i telesektoren, eller lov om finansiel virksomhed. Loven finder heller ikke anvendelse, hvis sektorspecifikke EU-retsakter har mindst samme virkning som lovens bestemmelser om cybersikkerhedsforanstaltninger og underretningspligter. Vedkommende minister kan undtage specifikke enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, eller som udelukkende leverer tjenester til offentlige forvaltningsenheder, der udfører disse aktiviteter. Loven kan desuden udvides til at omfatte offentlige forvaltningsenheder på lokalt plan og uddannelsesinstitutioner.

Jurisdiktion (§ 2): Enheder etableret i Danmark er under dansk jurisdiktion. For DNS-tjenesteudbydere, topdomænenavneadministratorer, domænenavnsregistreringstjenester og udbydere af visse digitale tjenester (f.eks. cloud, datacentre, onlinemarkedspladser) er jurisdiktionen baseret på hovedforretningsstedet i EU, defineret som det sted, hvor beslutninger om cybersikkerhedsrisici overvejende træffes. Ikke-EU-baserede enheder, der udbyder tjenester i Unionen, skal udpege en repræsentant i en medlemsstat.

Definitioner (§ 3): Loven definerer centrale begreber som "Centralt kontaktpunkt", "Cloudcomputingtjeneste", "Cybersikkerhed", "Hændelse", "Net- og informationssystem", "Væsentlig cybertrussel" og mange flere, der er afgørende for lovens fortolkning og anvendelse.

Væsentlige enheder (§ 4): Enheder af en type omfattet af bilag 1 anses som væsentlige, hvis de beskæftiger mere end 250 personer eller har en årlig omsætning på over 50 mio. EUR og en årlig samlet balance på over 43 mio. EUR. Kommuner og regioner, der udbyder offentlige elektroniske kommunikationsnet eller -tjenester med kommercielt formål, kan også være væsentlige under visse størrelseskriterier. Visse enheder, som kvalificerede tillidstjenesteudbydere, topdomænenavneadministratorer, DNS-tjenesteudbydere, centrale offentlige forvaltningsenheder, kritiske enheder under CER-loven og tidligere NIS 1-operatører af væsentlige tjenester, anses altid for væsentlige uanset størrelse. Andre enheder kan også anses for væsentlige, hvis de er eneste udbyder af en kritisk tjeneste, forstyrrelse kan påvirke offentlig sikkerhed/sundhed, medføre systemisk risiko eller er kritisk på nationalt/regionalt plan.

Vigtige enheder (§ 5): Enheder af en type omfattet af bilag 1 eller 2, der ikke opfylder kriterierne for væsentlige enheder, men beskæftiger mere end 50 personer eller har en årlig omsætning på over 10 mio. EUR og en årlig samlet balance på over 10 mio. EUR, anses for vigtige. Den kompetente myndighed kan i særlige tilfælde beslutte, at en enhed, der ellers ville være væsentlig, skal anses for vigtig.

Foranstaltninger til styring af cybersikkerhedsrisici

Krav til foranstaltninger (§ 6): Væsentlige og vigtige enheder skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre cybersikkerhedsrisici og forhindre hændelser. Disse foranstaltninger skal som minimum omfatte:

• Politikker for risikoanalyse og informationssystemsikkerhed.
• Håndtering af hændelser.
• Driftskontinuitet, herunder backup-styring, reetablering efter katastrofer og krisestyring.
• Forsyningskædesikkerhed, med fokus på sikkerhedsrelaterede aspekter vedrørende direkte leverandører og tjenesteudbydere.
• Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.
• Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.
• Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
• Politikker og procedurer vedrørende brug af kryptografi og kryptering.
• Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
• Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer. Enheder, der ikke overholder disse krav, skal uden unødigt ophold træffe korrigerende foranstaltninger. Vedkommende minister kan fastsætte nærmere regler om disse foranstaltninger.

Ledelsens ansvar (§ 7): Enhedens ledelsesorgan skal godkende og føre tilsyn med implementeringen af cybersikkerhedsforanstaltningerne. Medlemmer af ledelsesorganet skal deltage i relevante kurser om styring af cybersikkerhedsrisici og tilskynde til tilsvarende kurser for øvrige ansatte.

Certificering af IKT-produkter (§ 8): Vedkommende minister kan fastsætte regler om, at væsentlige og vigtige enheder skal anvende særlige IKT-produkter, -tjenester og -processer, der er certificeret i henhold til en europæisk cybersikkerhedscertificeringsordning.

Registrerings- og underretningspligter

Registreringspligt for visse digitale udbydere (§ 9): DNS-tjenesteudbydere, topdomænenavneadministratorer, enheder der leverer domænenavnsregistreringstjenester og udbydere af visse digitale tjenester (f.eks. cloud, datacentre, onlinemarkedspladser) skal registrere sig hos den relevante kompetente myndighed med oplysninger om navn, adresse, sektor, kontaktoplysninger og de medlemsstater, hvor tjenester leveres. Registrering skal ske senest tre måneder efter, at enheden omfattes af loven, og ændringer skal meddeles inden for tre måneder.

Registreringspligt for væsentlige og vigtige enheder (§ 10): Væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester, skal registrere sig hos den relevante kompetente myndighed med lignende oplysninger som nævnt i § 9. Registrering skal ske senest to uger efter, at enheden omfattes af loven, og ændringer skal meddeles inden for to uger.

Database over domænenavnsregistreringsdata (§ 11): Topdomænenavneadministratorer og enheder, der leverer domænenavnsregistreringstjenester, skal føre en særskilt database med nøjagtige og fuldstændige domænenavnsregistreringsdata, herunder domænenavn, registreringsdato, registrantens navn, e-mail og telefonnummer. De skal indføre og offentliggøre politikker og procedurer for at sikre datanøjagtighed og for at give legitime adgangssøgende adgang til specifikke data, herunder personoplysninger, inden for 72 timer efter anmodning. Ikke-personoplysninger skal gøres offentligt tilgængelige uden unødigt ophold.

Underretningspligter ved væsentlige hændelser (§ 12): Væsentlige og vigtige enheder skal underrette den relevante kompetente myndighed og CSIRT om enhver væsentlig hændelse. En hændelse anses for væsentlig, hvis den forårsager alvorlige driftsforstyrrelser eller økonomiske tab for enheden, eller hvis den påvirker andre fysiske eller juridiske personer med betydelig fysisk eller ikke-fysisk skade. Vedkommende minister kan fastsætte nærmere kriterier for, hvornår en hændelse er væsentlig.

Procedure for underretning (§ 13): Underretning af væsentlige hændelser skal ske i flere trin:

• Tidlig varsling: Senest 24 timer efter kendskab til hændelsen, med angivelse af mistanke om ulovlige/ondsindede handlinger eller grænseoverskridende virkning.
• Hændelsesunderretning: Senest 72 timer efter kendskab, med ajourførte oplysninger og indledende vurdering af alvor og indvirkning. For tillidstjenesteudbydere er fristen 24 timer.
• Foreløbig rapport: Efter anmodning fra CSIRT.
• Endelig rapport: Senest én måned efter hændelsesunderretningen, med detaljeret beskrivelse, trusselstype, afbødende foranstaltninger og grænseoverskridende virkninger. Hvis hændelsen fortsat pågår, skal en statusrapport indsendes, og den endelige rapport følger senest en måned efter hændelsen er håndteret. CSIRT skal give svar og indledende tilbagemeldinger inden for 24 timer efter modtagelse af den tidlige varsling og yde vejledning og teknisk bistand efter anmodning.

Frivillige underretninger (§ 14): Offentlige og private enheder, uanset om de er omfattet af loven, kan frivilligt underrette CSIRT om hændelser, nærvedhændelser og cybertrusler. Disse underretninger behandles på samme måde som obligatoriske, men CSIRT kan prioritere de obligatoriske. Frivillige underretninger er undtaget fra aktindsigt.

Underretning og oplysning om væsentlige hændelser

Underretning af tjenestemodtagere (§ 15): Væsentlige og vigtige enheder skal uden unødigt ophold underrette modtagerne af deres tjenester om væsentlige hændelser, der sandsynligvis vil påvirke tjenesteleveringen negativt. De skal også informere potentielt berørte modtagere om væsentlige cybertrusler og eventuelle foranstaltninger, de kan træffe.

Offentliggørelse af hændelser (§ 16): Den relevante kompetente myndighed kan, efter høring af den berørte enhed, informere offentligheden om en væsentlig hændelse, hvis det er nødvendigt for at forebygge eller håndtere hændelsen, eller hvis det er i offentlighedens interesse. Myndigheden kan også påbyde enheden at informere offentligheden. CSIRT kan informere offentligheden om væsentlige hændelser, der påvirker mere end én sektor eller stammer fra andre medlemsstater.

CSIRT’ens opgaver

Opgaver (§ 17): CSIRT håndterer it-sikkerhedshændelser og yder bistand til væsentlige og vigtige enheder, herunder realtidsmonitorering, reaktion på hændelser og proaktiv scanning for sårbarheder efter anmodning. CSIRT kan prioritere opgaver ud fra en risikobaseret tilgang.

Rapportering af sårbarheder (§ 18): CSIRT skal sikre, at fysiske og juridiske personer kan rapportere sårbarheder anonymt. Ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler herom.

Udveksling af oplysninger (§ 19): CSIRT faciliterer frivillig udveksling af cybersikkerhedsoplysninger mellem enheder i cybersikkerhedsfællesskaber. Væsentlige og vigtige enheder skal underrette den kompetente myndighed om deres deltagelse i sådanne fællesskaber.

Tilsyn og håndhævelse

Kompetente myndigheder (§ 20): Ministeren for samfundssikkerhed og beredskab fastsætter, efter forhandling med vedkommende minister, hvilken myndighed der skal varetage funktionen som kompetent myndighed inden for en given sektor. Der kan fastsættes regler for at sikre operationel uafhængighed ved tilsyn med den offentlige forvaltning og for koordinering og udveksling af oplysninger mellem myndigheder og CSIRT.

Tilsyns- og kontrolforanstaltninger for væsentlige enheder (§ 21): Kompetente myndigheder fører proaktivt tilsyn med væsentlige enheder. De kan foretage kontrol på stedet og eksternt tilsyn, sikkerhedsaudits, sikkerhedsscanninger og kræve udlevering af nødvendige oplysninger og dokumentation.

Håndhævelsesforanstaltninger for væsentlige enheder (§ 22): Kompetente myndigheder kan udstede advarsler, bindende instrukser, påbud og forbud, påbyde underretning af berørte personer, påbyde implementering af audit-anbefalinger og udpege en tilsynsførende. De kan også påbyde offentliggørelse af afgørelser om håndhævelsesforanstaltninger.

Særlige håndhævelsesforanstaltninger for væsentlige enheder (§ 23): Hvis andre håndhævelsesforanstaltninger er utilstrækkelige, kan den kompetente myndighed midlertidigt suspendere certificeringer/godkendelser eller midlertidigt forbyde ledelsespersoner at udøve ledelsesfunktioner. Disse særlige foranstaltninger gælder dog ikke for offentlige forvaltningsenheder.

Tilsyns- og kontrolforanstaltninger for vigtige enheder (§ 24): Kompetente myndigheder fører reaktivt tilsyn med vigtige enheder, dvs. efter indikationer på manglende overholdelse. De har lignende tilsynsforanstaltninger som for væsentlige enheder, men anvender dem reaktivt.

Håndhævelsesforanstaltninger over vigtige enheder (§ 25): Kompetente myndigheder kan udstede advarsler, bindende instrukser, påbud og forbud, påbyde underretning af berørte personer og påbyde implementering af audit-anbefalinger. De kan også påbyde offentliggørelse af afgørelser om håndhævelsesforanstaltninger.

Høring af væsentlige og vigtige enheder (§ 26): Inden anvendelse af håndhævelsesforanstaltninger skal den berørte enhed underrettes og gives en rimelig frist til at fremsætte bemærkninger, medmindre formålet med foranstaltningen ellers ville forspildes.

Gensidig bistand

Gensidig bistand (§ 27): Kompetente myndigheder skal samarbejde med myndigheder i andre EU-medlemsstater, når en enhed leverer tjenester på tværs af grænser. Dette omfatter underretning om tilsyns- og håndhævelsesforanstaltninger, anmodninger om bistand og mulighed for fælles tilsynstiltag.

Videregivelse af oplysninger, digital kommunikation, gennemførelsesretsakter og operativ uafhængighed

Videregivelse af oplysninger (§ 28): Kompetente myndigheder kan videregive oplysninger til andre EU-medlemsstaters myndigheder og EU-institutioner for at varetage lovens opgaver.

Undtagelse fra oplysningspligt (§ 29): Loven omfatter ikke meddelelse af oplysninger, hvis videregivelse strider mod væsentlige interesser af hensyn til national sikkerhed, offentlig sikkerhed eller forsvar. Oplysninger modtaget fra andre EU-medlemsstater behandles fortroligt.

Gennemførelsesretsakter (§ 30): Vedkommende minister kan fastsætte regler, der er nødvendige for at gennemføre retsakter udstedt af Europa-Kommissionen i medfør af NIS 2-direktivet.

Digital kommunikation (§ 31): Ministeren for samfundssikkerhed og beredskab kan fastsætte regler om digital kommunikation, herunder brug af specifikke IT-systemer, digitale formater og digital signatur.

Straf

Straf (§ 32): Overtrædelser af lovens bestemmelser, herunder krav til foranstaltninger, registrerings- og underretningspligter, samt manglende efterkommelse af myndighedspåbud, kan straffes med bøde. Selskaber mv. (juridiske personer) kan pålægges strafansvar. Der kan også fastsættes bødestraf i forskrifter udstedt i medfør af loven.

Ikrafttrædelse, overgangsbestemmelser og ændringer i anden lovgivning

Ikrafttrædelse (§ 33): Loven træder i kraft den 1. juli 2025. En rapport om erfaringerne med loven skal udarbejdes senest 3 år efter ikrafttrædelsen. De indledende registreringspligter (§§ 9 og 10) skal opfyldes senest den 1. oktober 2025. Flere tidligere love om net- og informationssikkerhed ophæves.

Territorialbestemmelse

Territorialbestemmelse (§ 34): Loven gælder ikke for Færøerne og Grønland, men kan ved kongelig anordning helt eller delvist sættes i kraft for disse områder med de nødvendige tilpasninger.