Loven finder anvendelse på enheder, der er omfattet af enhedskategorierne i lovens bilag, jf. dog stk. 2-7.
Stk. 2. Loven finder ikke anvendelse på forhold omfattet af NIS 2-loven.
Stk. 3. Loven finder ikke anvendelse på offentlige forvaltningsenheder, som udfører deres aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger.
Stk. 4. Vedkommende minister kan træffe afgørelse om helt eller delvis at undtage specifikke kritiske enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, eller som udelukkende leverer tjenester til offentlige forvaltningsenheder, der er omfattet af stk. 3, fra bestemmelserne i §§ 4-9 og 14-16.
Stk. 5. Loven finder ikke anvendelse på enheder, i det omfang de er omfattet af lov om styrket beredskab i energisektoren.
Stk. 6. §§ 4-9 og 14-16 finder ikke anvendelse på kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur i lovens bilag, punkt 3, 4 og 8.
Stk. 7. Vedkommende minister træffer afgørelse om, at loven helt eller delvis ikke finder anvendelse på kritiske enheder, hvor sektorspecifikke EU-retsakter og eventuel national gennemførelse heraf har mindst samme virkning som de tilsvarende forpligtelser efter denne lov og regler udstedt i medfør af denne lov.
Centralt kontaktpunkt: Den myndighed, der udøver forbindelsesfunktionen for at sikre grænseoverskridende samarbejde mellem de danske myndigheder, myndigheder i andre medlemsstater i Den Europæiske Union og Den Europæiske Unions institutioner og for at sikre tværsektorielt samarbejde mellem de nationale kompetente myndigheder.
Hændelse: En begivenhed, der har potentiale til i betydelig grad at forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste.
Kritisk enhed: En offentlig eller privat enhed, som er blevet identificeret efter § 3.
Kritisk infrastruktur: Et aktiv, en facilitet, udstyr, et netværk eller et system eller en del af et aktiv, en facilitet, udstyr, et netværk eller et system, som er nødvendig for leveringen af en væsentlig tjeneste.
Modstandsdygtighed: En kritisk enheds evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og sikre genopretning efter en hændelse.
Risiko: Potentialet for tab eller forstyrrelse som følge af en hændelse, der skal udtrykkes som en kombination af størrelsen af et sådant tab eller en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræffer.
Risikovurdering: Den samlede proces med henblik på at bestemme arten og omfanget af en risiko ved at identificere og analysere potentielle relevante trusler, sårbarheder og farer, der kan føre til en hændelse, og ved at evaluere det potentielle tab eller den potentielle forstyrrelse af leveringen af en væsentlig tjeneste forårsaget af denne hændelse.
Væsentlig tjeneste: En tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed, offentlig sikkerhed eller miljøet.
Vedkommende minister træffer afgørelse om identifikation og afidentifikation af kritiske enheder, der er omfattet af enhedskategorierne i lovens bilag, og opstiller en liste over de kritiske enheder, der er blevet identificeret. Listen over identificerede kritiske enheder skal gennemgås og ajourføres, hvor det er nødvendigt, dog mindst hvert fjerde år.
Stk. 2. Ved identifikation af kritiske enheder lægges der vægt på følgende:
Den nationale strategi for styrkelse af kritiske enheders modstandsdygtighed.
Den nationale risikovurdering med henblik på identifikation af kritiske enheder.
Om enheden leverer en eller flere væsentlige tjenester.
Om enheden opererer i og har sin kritiske infrastruktur beliggende på dansk territorium.
Om en hændelse vil have betydelig forstyrrende virkning, jf. stk. 3, på enhedens levering af en eller flere væsentlige tjenester eller på leveringen af andre væsentlige tjenester i sektorer omfattet af CER-direktivet, som er afhængige af denne eller disse væsentlige tjenester.
Stk. 3. Ved fastlæggelse af, om en hændelse vil have betydelig forstyrrende virkning, jf. stk. 2, nr. 5, lægges der vægt på følgende:
Antal brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den berørte enhed.
Omfanget af andre sektorers og delsektorers afhængighed af den pågældende væsentlige tjeneste.
Den indvirkning, som hændelser kan have med hensyn til omfang og varighed på økonomiske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens sundhed.
Enhedens markedsandel på markedet for den eller de berørte væsentlige tjenester.
Det geografiske område, der kan blive berørt af en hændelse, herunder eventuel grænseoverskridende indvirkning.
Enhedens betydning med hensyn til at opretholde et tilstrækkeligt niveau for den væsentlige tjeneste under hensyntagen til tilgængelighed af alternative måder at levere denne væsentlige tjeneste på.
Stk. 4. Vedkommende minister kan kræve, at en enhed fremlægger materiale og oplysninger, der er nødvendige for stillingtagen til, hvorvidt denne skal identificeres som kritisk.
Vedkommende minister orienterer inden for 1 måned efter identifikation efter stk. 1 den kritiske enhed om dennes forpligtelser og om, fra hvilken dato forpligtelserne finder anvendelse. §§ 6-9 finder herefter anvendelse, 10 måneder efter at den kritiske enhed har modtaget en sådan orientering.
Enheder betragtes som kritiske enheder af særlig europæisk betydning, hvis
enheden er identificeret som kritisk enhed efter § 3,
enheden leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere EU-medlemsstater og
enheden gennem den relevante kompetente myndighed har modtaget en underretning fra Europa-Kommissionen om, at den anses som kritisk enhed af særlig europæisk betydning.
Stk. 2. Kritiske enheder skal underrette den relevante kompetente myndighed, såfremt de leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater. Enhederne skal i den forbindelse oplyse, hvilke væsentlige tjenester de leverer, og hvilke EU-medlemsstater tjenesterne leveres til eller i.
Stk. 3. Den relevante kompetente myndighed underretter uden unødigt ophold en kritisk enhed om, at den anses som en kritisk enhed af særlig europæisk betydning, og om dens forpligtelser efter § 16, herunder fra hvilken dato disse finder anvendelse.
Kritiske enheder skal foretage en risikovurdering med henblik på at vurdere alle relevante risici, der kan forstyrre leveringen af deres væsentlige tjenester.
Stk. 2. Risikovurderingen skal foretages på grundlag af den nationale risikovurdering og andre relevante informationskilder, og den skal tage højde for alle relevante naturlige og menneskeskabte risici, der kan føre til en hændelse. Risikovurderingen skal tage hensyn til, i hvilket omfang andre sektorer nævnt i lovens bilag afhænger af den kritiske enheds væsentlige tjeneste. Risikovurderingen skal endvidere tage hensyn til, i hvilket omfang den kritiske enhed afhænger af væsentlige tjenester, der leveres af enheder i andre sektorer omfattet af lovens bilag, herunder i andre lande.
Stk. 3. Risikovurderingen nævnt i stk. 1 skal være foretaget, 9 måneder efter at den kritiske enhed har modtaget en orientering i medfør af § 3, stk. 5, 1. pkt. Risikovurderingen skal opdateres, når det er nødvendigt, og mindst hvert fjerde år.
Stk. 4. Vedkommende minister kan efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætte nærmere regler om kritiske enheders risikovurdering.
Kritiske enheder skal træffe passende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre enhedernes modstandsdygtighed på grundlag af den nationale risikovurdering og den kritiske enheds egen risikovurdering, herunder foranstaltninger, der er nødvendige for at
forhindre hændelser i at indtræffe under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger,
sikre tilstrækkelig fysisk beskyttelse af enhedens lokaler og kritiske infrastruktur under behørig hensyntagen til f.eks. hegn, barrierer, værktøjer og rutiner til overvågning af perimetre, detektionsudstyr og adgangskontrol,
reagere på, modstå og afbøde følgerne af hændelser under behørig hensyntagen til gennemførelsen af risiko- og krisestyringsprocedurer, risiko- og krisestyringsprotokoller og varslingsrutiner,
sikre genopretning efter hændelser under behørig hensyntagen til foranstaltninger vedrørende forretningskontinuitet og identifikation af alternative forsyningskæder for at genoptage leveringen af væsentlige tjenester,
sikre passende medarbejdersikkerhedsstyring under behørig hensyntagen til foranstaltninger såsom fastsættelse af kategorier af eget og eksternt personale, der udøver kritiske funktioner, fastlæggelse af adgangsrettigheder til lokaler, kritisk infrastruktur og følsomme oplysninger, fastsættelse af procedurer for baggrundskontrol, jf. § 9, og udpegelse af kategorier af personer, som er forpligtet til at gennemgå en sådan baggrundskontrol, og fastlæggelse af passende uddannelseskrav og kvalifikationer og
øge bevidstheden blandt det relevante personale om de foranstaltninger og hensyn, der er beskrevet i nr. 1-5, under behørig hensyntagen til kurser, informationsmateriale og øvelser.
Stk. 2. Kritiske enheder skal have og anvende en plan for modstandsdygtighed, der beskriver, hvilke foranstaltninger der er truffet i henhold til stk. 1.
Stk. 3. Vedkommende minister kan efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætte nærmere regler om kritiske enheders modstandsdygtighedsforanstaltninger.
Kritiske enheders oplysnings- og underretningspligter
Kritiske enheder skal udpege en kontaktperson og meddele dennes relevante kontaktoplysninger til den relevante kompetente myndighed. Den kritiske enhed skal underrette den kompetente myndighed om ændringer i kontaktoplysningerne.
Kritiske enheder skal underrette den relevante kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af enhedens væsentlige tjenester.
Stk. 2. Ved vurdering af en forstyrrelses omfang indgår navnlig
antallet og andelen af brugere, der er berørt af forstyrrelsen,
forstyrrelsens varighed og
det geografiske område, der er berørt af forstyrrelsen, idet der tages hensyn til, om det er et geografisk isoleret område.
Stk. 3. Underretninger efter stk. 1 skal indeholde alle tilgængelige oplysninger, der er nødvendige for, at den kompetente myndighed kan forstå hændelsens art, årsag og mulige konsekvenser, herunder alle tilgængelige oplysninger, der er nødvendige for at fastslå hændelsens eventuelle grænseoverskridende indvirkning.
Stk. 4. Underretningen skal ske uden unødigt ophold og, medmindre det operationelt ikke er muligt, senest 24 timer efter at den kritiske enhed er blevet opmærksom på hændelsen. Den kritiske enhed skal på anmodning fra den kompetente myndighed sende en detaljeret rapport til den kompetente myndighed senest 1 måned efter hændelsen.
Stk. 5. Den kompetente myndighed giver snarest muligt efter modtagelse af en underretning efter stk. 1 den berørte kritiske enhed relevante opfølgende oplysninger, herunder oplysninger, som kan understøtte en effektiv reaktion fra den kritiske enhed på den pågældende hændelse.
Stk. 6. Den kompetente myndighed kan orientere offentligheden om en hændelse, hvis det vil være i offentlighedens interesse.
Stk. 7. Vedkommende minister kan efter forhandling med ministeren for samfundssikkerhed og beredskab fastsætte nærmere regler om vurderingen af en forstyrrelses omfang efter stk. 2 og de oplysninger, der skal indgå i en underretning efter stk. 3.
Vedkommende minister fastsætter efter forhandling med justitsministeren nærmere regler om, på hvilke betingelser kritiske enheder i behørigt begrundede tilfælde og under hensyn til den nationale risikovurdering hos den kompetente myndighed kan få foretaget baggrundskontrol af personer, der opfylder en af følgende betingelser:
Personen varetager følsomme opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds modstandsdygtighed.
Personen er bemyndiget til at få direkte adgang eller fjernadgang til den kritiske enheds lokaler, oplysninger eller kontrolsystemer, herunder i forbindelse med den kritiske enheds sikkerhed.
Personen overvejes ansat i stillinger, der indebærer opgavevaretagelse efter nr. 1 eller bemyndigelse efter nr. 2.
Kapitel 3
Videregivelse af oplysninger og digital kommunikation
De relevante myndigheder kan videregive oplysninger til andre medlemsstaters myndigheder og til institutioner i Den Europæiske Union for at varetage de opgaver, som følger af denne lov eller regler udstedt i medfør af loven.
De forpligtelser, der er fastsat i denne lov eller i regler udstedt i medfør af loven, omfatter ikke meddelelse af oplysninger, hvis videregivelse ville stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar.
Stk. 2. Oplysninger, der modtages eller hidrører fra myndigheder i andre EU-medlemsstater, behandles som fortrolige, såfremt den relevante myndighed er blevet oplyst om, at den afgivende myndighed betragter oplysningerne som fortrolige i henhold til EU-regler eller nationale regler.
Ministeren for samfundssikkerhed og beredskab kan fastsætte regler om digital kommunikation, herunder om anvendelsen af bestemte it-systemer, særlige digitale formater og digital signatur og fritagelse fra digital kommunikation el.lign.
Ministeren for samfundssikkerhed og beredskab fastsætter efter forhandling med vedkommende minister regler om, hvilken myndighed der skal varetage funktionen som kompetent myndighed inden for en given sektor eller delsektor som nævnt i lovens bilag.
Stk. 2. Ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om koordinering, ansvar og udveksling af oplysninger mellem de kompetente myndigheder og Ministeriet for Samfundssikkerhed og Beredskab, herunder i forhold til hændelsesunderretning efter § 8, videregivelse af oplysninger efter §§ 10 og 11 og tilsyn og håndhævelse efter dette kapitel.
Den kompetente myndighed fører på sit område tilsyn med kritiske enheders overholdelse af denne lov og regler udstedt i medfør af loven. Den kompetente myndighed kan som led i dette tilsyn
uden retskendelse og mod behørig legitimation foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, og eksternt tilsyn med de foranstaltninger, som kritiske enheder har truffet i overensstemmelse med § 6,
foretage en audit af en kritisk enhed eller stille krav om, at enheden får et kvalificeret, uafhængigt organ til at foretage denne, og at resultaterne heraf stilles til rådighed for den kompetente myndighed,
kræve at få udleveret oplysninger, der er nødvendige for at vurdere, hvorvidt de modstandsdygtighedsforanstaltninger, som den berørte enhed har indført, opfylder kravene i § 6,
kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, og
kræve at få udleveret dokumentation for faktisk gennemførelse af modstandsdygtighedsforanstaltninger, herunder resultaterne af en audit.
Stk. 2. Ved anvendelsen af tiltagene i stk. 1, nr. 3-5, skal den kompetente myndighed angive formålet med tiltaget og præcisere, hvilke oplysninger der kræves udleveret.
Stk. 3. Den kompetente myndighed kan stille krav til, hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 3-5, skal afgives.
Den kompetente myndighed kan påbyde en kritisk enhed at træffe nødvendige og forholdsmæssige foranstaltninger for at afhjælpe en konstateret overtrædelse af loven eller regler fastsat i medfør af loven.
Kritiske enheder af særlig europæisk betydning, jf. § 4, skal give rådgivende EU-delegationer adgang til oplysninger, systemer og faciliteter, der vedrører levering af deres væsentlige tjenester, og som er nødvendige for at gennemføre den pågældende rådgivende aktivitet.
Loven gælder ikke for Færøerne og Grønland, men kan ved kongelig anordning helt eller delvis sættes i kraft for Færøerne og Grønland med de ændringer, som henholdsvis de færøske og de grønlandske forhold tilsiger. Lovens bestemmelser kan sættes i kraft på forskellige tidspunkter.
– Elektricitetsvirksomheder som defineret i artikel 2, nr. 57, i Europa-Parlamentets og Rådets direktiv (EU) 2019/944, der varetager funktionen levering som defineret i nævnte direktivs artikel 2, nr. 12
– Distributionssystemoperatører som defineret i artikel 2, nr. 29, i direktiv (EU) 2019/944
– Transmissionssystemoperatører som defineret i artikel 2, nr. 35, i direktiv (EU) 2019/944
– Producenter som defineret i artikel 2, nr. 38, i direktiv (EU) 2019/944
– Udpegede elektricitetsmarkedsoperatører som defineret i artikel 2, nr. 8, i Europa-Parlamentets og Rådets forordning (EU) 2019/943
Stk. 5.
Stk. 6. Ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om identifikation af kritiske enheder efter stk. 1, og hvad der forstås ved en hændelses betydelige forstyrrende virkning efter stk. 3 i en given sektor.
Kritiske enheder af særlig europæisk betydning
– Markedsdeltagere som defineret i artikel 2, nr. 25, i forordning (EU) 2019/943, der leverer tjenester, der vedrører aggregering, fleksibelt elforbrug eller energilagring som defineret i artikel 2, nr. 18, 20 og 59, i direktiv (EU) 2019/944
b) Fjernvarme og fjernkøling
– Operatører af fjernvarme eller fjernkøling som defineret i artikel 2, nr. 19, i Europa-Parlamentets og Rådets direktiv (EU) 2018/2001
c) Olie
– Olierørledningsoperatører
– Operatører af olieproduktionsanlæg, -raffinaderier og -behandlingsanlæg, olielagre og olietransmission
– Centrale lagerenheder som defineret i artikel 2, litra f, i Rådets direktiv 2009/119/EF
d) Gas
– Forsyningsvirksomheder som defineret i artikel 2, nr. 8, i Europa-Parlamentets og Rådets direktiv 2009/73/EF
– Distributionssystemoperatører som defineret i artikel 2, nr. 6, i direktiv 2009/73/EF
– Transmissionssystemoperatører som defineret i artikel 2, nr. 4, i direktiv 2009/73/EF
– Lagersystemoperatører som defineret i artikel 2 nr. 10, i direktiv 2009/73/EF
– LNG-systemoperatører som defineret i artikel 2, nr. 12, i direktiv 2009/73/EF
– Naturgasvirksomheder som defineret i artikel 2, nr. 1, i direktiv 2009/73/EF
– Operatører inden for naturgasraffinaderier og -behandlingsanlæg
e) Brint
– Operatører inden for brintproduktion, -lagring og -transmission
2. Transport
a) Luft
– Luftfartsselskaber som defineret i artikel 3, nr. 4, i forordning (EF) nr. 300/2008, der anvendes til kommercielle formål
– Lufthavnsdriftsorganer som defineret i artikel 2, nr. 2, i Europa-Parlamentets og Rådets direktiv 2009/12/EF, lufthavne som defineret i nævnte direktivs artikel 2, nr. 1, herunder de hovedlufthavne, der er anført i afsnit 2 i bilag II til Europa-Parlamentets og Rådets forordning (EU) nr. 1315/2013, og enheder med tilknyttede anlæg i lufthavne
– Trafikledelses- og kontroloperatører, der udøver flyvekontroltjenester som defineret i artikel 2, nr. 1, i Europa-Parlamentets og Rådets forordning (EF) nr. 549/2004
b) Jernbane
– Infrastrukturforvaltere som defineret i artikel 3, nr. 2, i Europa-Parlamentets og Rådets direktiv 2012/34/EU
– Jernbanevirksomheder som defineret i artikel 3, nr. 1, i direktiv 2012/34/EU og operatører af servicefaciliteter som defineret i nævnte direktivs artikel 3, nr. 12
c) Vand
– Rederier, som udfører passager- og godstransport ad indre vandveje, i højsøfarvand eller i kystnært farvand som defineret for søtransport i bilag I til forordning (EF) nr. 725/2004, bortset fra de enkelte fartøjer, som drives af disse rederier
– Driftsorganer i havne som defineret i artikel 3, nr. 1, i direktiv 2005/65/EF, herunder deres havnefaciliteter som defineret i artikel 2, nr. 11, i forordning (EF) nr. 725/2004, og enheder, der driver anlæg og udstyr i havne
– Operatører af skibstrafiktjenester som defineret i artikel 3, litra o, i Europa-Parlamentets og Rådets direktiv 2002/59/EF
d) Vejtransport
– Vejmyndigheder som defineret i artikel 2, nr. 12, i Kommissionens delegerede forordning (EU) 2015/962, der er ansvarlige for trafikledelseskontrol, med undtagelse af offentlige enheder, for hvilke trafikledelse eller drift af intelligente transportsystemer er en ikkevæsentlig del af deres generelle aktivitet
– Operatører af intelligente transportsystemer som defineret i artikel 4, nr. 1, i Europa-Parlamentets og Rådets direktiv 2010/40/EU
e) Offentlig transport
– Operatører af offentlig trafikbetjening som defineret i artikel 2, litra d, i Europa-Parlamentets og Rådets forordning (EF) nr. 1370/2007
3. Bankvirksomhed
– Kreditinstitutter som defineret i artikel 4, nr. 1, i forordning (EU) nr. 575/2013
4. Finansiel markedsinfrastruktur
– Operatører af markedspladser som defineret i artikel 4, nr. 24, i direktiv 2014/65/EU
– Centrale modparter (CCP'er) som defineret i artikel 2, nr. 1, i forordning (EU) nr. 648/2012
5. Sundhed
– Sundhedstjenesteydere som defineret i artikel 3, litra g, i Europa-Parlamentets og Rådets direktiv 2011/24/EU
– EU-referencelaboratorier som omhandlet i artikel 15 i Europa-Parlamentets og Rådets forordning (EU) 2022/2371
– Enheder, der udfører forsknings- og udviklingsaktiviteter vedrørende lægemidler som defineret i artikel 1, nr. 2, i Europa-Parlamentets og Rådets direktiv 2001/83/EF
6. Drikkevand
– Leverandører og distributører af drikkevand som defineret i artikel 2, nr. 1, litra a, i Europa-Parlamentets og Rådets direktiv (EU) 2020/2184, bortset fra distributører, for hvilke distribution af drikkevand er en ikkevæsentlig del af deres generelle aktivitet med distribution af andre råvarer og varer
7. Spildevand
– Virksomheder, der indsamler, bortskaffer eller behandler byspildevand, husspildevand eller industrispildevand som defineret i artikel 2, nr. 1, 2 og 3, i Rådets direktiv 91/271/EØF, bortset fra virksomheder, for hvilke indsamling, bortskaffelse eller behandling af byspildevand, husspildevand eller industrispildevand er en ikkevæsentlig del af deres generelle aktivitet
8. Digital infrastruktur
– Udbydere af internetudvekslingspunkter som defineret i artikel 6, nr. 18, i direktiv (EU) 2022/2555
– DNS-tjenesteudbydere omhandlet i artikel 6, nr. 20, i direktiv (EU) 2022/2555, bortset fra operatører af rodnavneservere
– Topdomænenavneadministratorer som defineret i artikel 6, nr. 21, i direktiv (EU) 2022/2555
– Udbydere af cloudcomputingtjenester som defineret i artikel 6, nr. 30, i direktiv (EU) 2022/2555
– Udbydere af datacentertjenester som defineret i artikel 6, nr. 31, i direktiv (EU) 2022/2555
– Udbydere af indholdsleveringsnetværk som defineret i artikel 6, nr. 32, i direktiv (EU) 2022/2555
– Tillidstjenesteudbydere som defineret i artikel 3, nr. 19, i Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014
– Udbydere af offentlige elektroniske kommunikationsnet som defineret i artikel 2, nr. 8, i Europa-Parlamentets og Rådets direktiv (EU) 2018/1972
– Udbydere af elektroniske kommunikationstjenester i den i artikel 2, nr. 4, i direktiv (EU) 2018/1972 anvendte betydning, for så vidt deres tjenester er offentligt tilgængelige
9. Offentlig forvaltning
– Offentlige forvaltningsenheder under den centrale forvaltning som defineret af medlemsstaterne i overensstemmelse med national ret
10. Rummet
– Operatører af jordbaseret infrastruktur, der ejes, forvaltes og drives af medlemsstater eller private parter, og som understøtter levering af rumbaserede tjenester, undtagen udbydere af offentlige elektroniske kommunikationsnet som defineret i artikel 2, nr. 8, i direktiv (EU) 2018/1972
11. Produktion, tilvirkning og distribution af fødevarer
– Fødevarevirksomheder som defineret i artikel 3, nr. 2, i Europa-Parlamentets og Rådets forordning (EF) nr. 178/2002, der udelukkende beskæftiger sig med logistik og engrosdistribution samt industriel produktion og tilvirkning i stor skala
Officielle noter
EU Noter
Loven gennemfører Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet), EU-Tidende 2022, nr. L 333, side 164.
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) fastsatte en procedure for indkredsning og udpegning af europæisk kritisk infrastruktur i energi- og transportsektorerne, hvis forstyrrelse eller ødelæggelse ville få betydelig grænseoverskridende indvirkning på mindst to medlemsstater og en fælles fremgangsmåde til vurdering af behovet for at beskytte denne type infrastruktur med henblik på at bidrage til beskyttelsen af mennesker.
EPCIP-direktivet er i dansk ret implementeret sektorvist i energi- og transportsektorerne. For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets bemærkninger.
Efter § 24 i beredskabsloven, jf. lovbekendtgørelse nr. 314 af 3. april 2017, gælder der en forpligtelse for de enkelte ministre til, inden for deres område, hver især at planlægge for opretholdelse og videreførelse af samfundets funktioner i tilfælde af større ulykker og katastrofer.
I EU-retten om finansielle tjenesteydelser fastsættes omfattende krav til finansielle enheder om at håndtere alle risici, som de står over for, herunder operationelle risici, og for at sikre forretningskontinuitet.
Det drejer sig om Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og om ændring af forordning (EU) nr. 648/2012, Europa-Parlamentets og Rådets direktiv (EU) 2013/36 af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, om ændring af direktiv 2002/87/EF og om ophævelse af direktiv 2006/48/EF og 2006/49/EF, som er gennemført i dansk ret ved lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 406 af 29. marts 2022, og Europa-Parlamentets og Rådets direktiv (EU) 2014/65 af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU, som er gennemført i dansk ret ved lov om kapitalmarkeder, jf. lovbekendtgørelse nr. 41 af 13. januar 2023, lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 406 af 29. marts 2022, og lov om finansielle rådgivere, investeringsrådgivere og boligkreditformidlere, jf. lovbekendtgørelse nr. 2016 af 1. november 2021.
Det følger af den foreslåede § 1, stk. 1, at loven finder anvendelse på enheder, der er omfattet af enhedskategorierne i lovens bilag, jf. dog stk. 2-7.
Det foreslåede vil indebære, at lovens anvendelsesområde, med undtagelse af energisektoren, jf. den foreslåede § 1, stk. 5, vil følge af lovens bilag. Det vil derved være følgende sektorer: 2) transport med delsektorerne a) luft, b) jernbane, c) vand, d) vejtransport og e) offentlig transport, 3) bankvirksomhed, 4) finansiel markedsinfrastruktur, 5) sundhed, 6) drikkevand, 7) spildevand, 8) digital infrastruktur, 9) offentlig forvaltning, 10) rummet og 11) produktion, tilvirkning og distribution af fødevarer, der er omfattet af lovens anvendelsesområde.
Det foreslåede anvendelsesområde vil dermed omfatte 10 ud af 11 af de sektorer, der er omfattet af CER-direktivets anvendelsesområde.
Vedrørende afgrænsningen af offentlig forvaltningsenhed under den centrale forvaltning som defineret af en medlemsstat i overensstemmelse med national ret, bemærkes, at det følger af, CER-direktivets artikel 2, nr. 10, litra a - d, at en offentlig forvaltningsenhed er en enhed, der er anerkendt som sådan i en medlemsstat i overensstemmelse med national ret, med undtagelse af retsvæsenet, parlamenter og centralbanker, som a) er oprettet med henblik på at opfylde almennyttige formål og ikke har industriel eller kommerciel karakter, b) har status som juridisk person, eller ved lov er berettiget til at handle på vegne af en anden enheden med status som juridisk person, c) overvejende finansieret af staten, regionale myndigheder eller af andre offentligretlige organer, er underlagt ledelsesmæssig kontrol af disse myndigheder eller organer, eller har et administrations-, ledelses- eller tilsynsorgan, hvor mere end halvdelen af medlemmerne udpeges af staten, regionale myndigheder eller andre offentligretlige organer, og d) har beføjelse til at rette administrative eller lovgivningsmæssige afgørelser til fysiske eller juridiske personer, der påvirker deres rettigheder i forbindelse med grænseoverskridende bevægelighed for personer, varer, tjenester eller kapital.
De fire kriterier i litra a - d er kumulative, mens kriterie c indeholder tre alternative betingelser, hvoraf mindst én skal være opfyldt.
Det følger af CER-direktivets bilag vedrørende sektor, delsektorer og enhedskategorier, nr. 9, at omfattet af direktivet er enheder, som er en offentlig forvaltningsenhed under den centrale forvaltning som defineret i overensstemmelse med national ret.
Offentlige forvaltningsmyndigheder under den centrale forvaltning er ikke et fast defineret begreb i dansk forvaltningsret. Det bemærkes dog, at forvaltningsloven, offentlighedsloven, retssikkerhedsloven og ombudsmandsloven anvender begrebet ”den offentlige forvaltning”.
Efter disse fire tværgående forvaltningslove er det afgørende for, om lovene finder anvendelse på det pågældende organ, om organet kan karakteriseres som en forvaltningsmyndighed i organisatorisk og formel forstand. Væsentlige kriterier vil i denne forbindelse være, jf. Niels Fenger, Forvaltningsret (2018), 1. udgave, s. 113: 1) om organet er oprettet ved lov eller på privat initiativ, 2) om organet er placeret i et over/underordnelsesforhold til en forvaltningsmyndighed, 3) om organets drift finansieres ved offentlig bevillig eller private midler og 4) om der ved lov er fastsat regler med hensyn til anvendelse af bevilgede midler.
I særlige tilfælde, hvor anvendelse af ovenstående organisatoriske kriterier giver anledning til tvivl om organets karakter som en forvaltningsmyndighed, kan der desuden tages hensyn til, om organet udøver offentlige funktioner. Organets eventuelle benævnelse som ”råd”, ”institut” eller lignende vil derimod ikke være afgørende for, om det omfattes af begrebet den offentlige forvaltning og de fire love, jf. Niels Fenger, Forvaltningsret (2018), 1. udgave, s. 113.
Uden for den forvaltningsretslige definition af ”den offentlige forvaltning” falder bl.a. Folketinget og visse organer med organisatorisk tilknytning til Folketinget, Rigsrevisionen, Folketingets Ombudsmand, domstolene, udenlandske myndigheder og internationale organisationer. Institutioner, foreninger og selskaber mv. oprettet på privatretligt grundlag vil ligeledes som det klare udgangspunkt ikke være omfattet af begrebet ”den offentlige forvaltning”. Statslige (og kommunale) institutioner, der er organiseret i selskabsform, vil heller ikke umiddelbart være en del af den offentlige forvaltning, jf. Niels Fenger, Forvaltningsret (2018), 1. udgave, s. 113 f.
Ved den centrale forvaltning forstås herefter organer på statsligt niveau, der opfylder ovenstående afgrænsning.
Omfattet af lovens anvendelsesområde vil være enheder, som er statslige myndigheder, og som opfylder betingelserne for at blive anset som offentlige forvaltningsenheder. Dette betyder, at f.eks. departementer, styrelser og institutioner som f.eks. Udbetaling Danmark må anses som omfattet af loven.
Derimod vil en række uddannelses- og kulturinstitutioner næppe være tilstrækkeligt myndighedsudøvende til at udgøre offentlige forvaltningsenheder, jf. afgrænsningen ovenfor, idet de ikke vil opfylde kravet i NIS 2-direktivets artikel 6, nr. 35, litra c, eller er uden statslig organisatorisk placering.
Det følger af det foreslåede stk. 2, at loven ikke finder anvendelse på forhold omfattet af lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven).
Den foreslåede bestemmelse medfører, at forhold, der omfattes af NIS 2-loven, ikke omfattes af loven.
Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 1, stk. 2, som fastsætter, at direktivet ikke finder anvendelse på spørgsmål, der er omfattet af NIS 2-direktivet, jf. dog CER-direktivets artikel 8. CER-direktivets artikel 8 fastsætter en særlig ordning for kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur, jf. den foreslåede § 1, stk. 6.
Formålet med bestemmelsen er at sikre mod dobbeltregulering. En kritisk enhed, der er omfattet af NIS 2-loven, og som har fastsat passende foranstaltninger for at styre risici i forhold til net- og informationssystemer, vil dermed ikke også skulle fastsætte modstandsdygtighedsforanstaltninger for disse systemer i medfør af CER-loven. Derimod vil den kritiske enhed skulle opfylde krav og forpligtelser, som følger af CER-loven, som ligger ud over krav og forpligtelser i NIS 2-loven.
Det følger af det foreslåede stk. 3, at loven ikke finder anvendelse på offentlige forvaltningsenheder, som udfører deres aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger.
Den foreslåede bestemmelse indebærer, at offentlige forvaltningsenheder, som udfører deres aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger, ikke vil være omfattet af loven.
Den foreslåede bestemmelse vil således indebære, at loven ikke finder anvendelse for bl.a. Politiets Efterretningstjeneste og Forsvarets Efterretningstjeneste samt retshåndhævende myndigheder, herunder politiet, anklagemyndighed og domstolene.
Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 1, stk. 6, hvorefter CER-direktivet ikke finder anvendelse på offentlige forvaltningsenheder, som udfører deres aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger.
Den foreslåede bestemmelse skal forstås i overensstemmelse med CER-direktivets præambelbetragtning nr. 11, 1. led, som bl.a. beskriver, at offentlige forvaltningsenheder, hvis aktiviteter kun er marginalt relateret til disse opregnede områder, bør være omfattet af CER-direktivets anvendelsesområde, og at enheder med reguleringsbeføjelser i CER-direktivets forstand ikke anses for at udføre aktiviteter inden for retshåndhævelse. Sådanne myndigheder er derfor ikke på dette grundlag udelukket fra direktivets anvendelsesområde. Det beskrives endvidere i præambelbetragtningen, at offentlige forvaltningsenheder, som er eller måtte blive etableret i fællesskab med et tredjeland i overensstemmelse med en international aftale, samt medlemsstaternes diplomatiske og konsulære missioner i tredjelande, heller ikke er omfattet af CER-direktivet. Som en konsekvens heraf vil disse forvaltningsenheder ikke være omfattet af nærværende lov.
Det følger af det foreslåede stk. 4, at vedkommende minister kan træffe afgørelse om helt eller delvist at undtage specifikke kritiske enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, eller som udelukkende leverer tjenester til offentlige forvaltningsenheder, der er omfattet af stk. 3, fra bestemmelserne i §§ 4-9 og 14-16.
Den foreslåede bestemmelse vil indebære, at vedkommende minister vil kunne undtage nærmere bestemte kritiske enheder fra de foreslåede §§ 4-9 om kritiske enheders risikovurdering, modstandsdygtighedsforanstaltninger, hændelsesunderretninger og baggrundskontrol, samt fra de foreslåede §§ 14-16 om tilsyn og håndhævelse.
Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 1, stk. 7, hvorefter medlemsstaterne kan beslutte, at artikel 11 (samarbejde mellem medlemsstaterne) og kapitel III (om kritiske enheders modstandsdygtighed), IV (om kritiske enheder af særlig europæisk betydning) og VI (om tilsyn og håndhævelse) helt eller delvist ikke finder anvendelse på specifikke kritiske enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger, eller som udelukkende leverer tjenester til de offentlige forvaltningsenheder, der er omhandlet i direktivets artikel 1, stk. 6, som foreslås gennemført i det foreslåede § 1, stk. 4.
Bestemmelsen skal forstås i overensstemmelse med CER-direktivets præambelbetragtning nr. 11, 2. led, hvori det bl.a. anføres, at i betragtning af medlemsstaternes ansvar for at varetage national sikkerhed og forsvar bør medlemsstater kunne beslutte, at kritiske enheders forpligtelser fastsat i CER-direktivet helt eller delvist ikke finder anvendelse på disse kritiske enheder, hvis de tjenester, som de leverer, eller de aktiviteter, som de udfører, hovedsageligt vedrører områderne national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger. Kritiske enheder, hvis tjenester eller aktiviteter kun er marginalt relaterede til disse områder, bør dog ifølge samme præambelbetragtning stadig være omfattet af CER-direktivets anvendelsesområde.
Den foreslåede bestemmelse vil omfatte enheder, der ikke allerede er undtaget fra lovens anvendelsesområde, jf. den foreslåede § 1, stk. 3, som undtager offentlige forvaltningsenheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger. Der vil således typisk være tale om private virksomheder, der selvstændigt udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse. I Danmark er der ikke tradition for, at private virksomheder selvstændigt udfører aktiviteter inden for national sikkerhed m.v., og derfor forventes denne del af den foreslåede bestemmelse at have et begrænset anvendelsesområde.
Bestemmelsen vil også omfatte enheder, der udelukkende leverer tjenester til offentlige forvaltningsenheder, som udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, der derfor vil kunne undtages fra de pågældende foreslåede bestemmelser.
Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at det forhold, at en enhed »udelukkende leverer tjenester« til forvaltningsenheder, der udfører de ovenfor nævnte aktiviteter, indebærer, at de tjenester, som enheden leverer, eksklusivt skal leveres til offentlige forvaltningsenheder, der udfører disse aktiviteter. Såfremt en enhed både leverer tjenesten til offentlige forvaltningsenheder, der udfører de nævnte aktiviteter, og til andre aktører, eksempelvis private virksomheder eller offentlige forvaltningsenheder, som ikke udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, vil enheden ikke kunne undtages fra bestemmelserne i de foreslåede §§ 4-9 og §§ 14-16.
Det følger af det foreslåede stk. 5, at loven ikke finder anvendelse på enheder i det omfang, de er omfattet af lov om styrket beredskab i energisektoren.
Den foreslåede bestemmelse medfører, at enheder i det omfang, de er omfattet af lov om styrket beredskab i energisektoren, ikke vil være omfattet af loven.
Baggrunden for bestemmelsen er, at CER-direktivet gennemføres ved særskilt regulering for energisektoren.
I tilfælde, hvor en enhed både indgår i energisektoren og andre sektorer, som er oplistet i lovens bilag, vil enheden fortsat være omfattet af denne lovs anvendelsesområde for så vidt angår enhedens aktiviteter i disse sektorer.
Det følger af det foreslåede stk. 6, at §§ 4-9 og 14-16 ikke finder anvendelse på kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur i lovens bilag 3., 4. og 8.pkt.
Efter den foreslåede bestemmelse vil de pågældende sektorer ikke være omfattet af de foreslåede regler om kritiske enheders risikovurdering, modstandsdygtighedsforanstaltninger, hændelsesunderretninger og mulighed for baggrundskontrol samt de foreslåede regler om tilsyn og håndhævelse. Herudover vil disse sektorer ikke være omfattet af de foreslåede regler om kritiske enheder af særlig europæisk betydning.
Herved bliver disse sektorer i praksis alene omfattet af reglerne om identifikation af kritiske enheder samt myndighedernes støtte til kritiske enheder, ligesom den nationale strategi og risikovurdering vil omfatte disse sektorer.
Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 8, som fastsætter, at medlemsstaterne skal sikre, at artikel 11 (om samarbejde mellem medlemsstaterne), kapitel III (om kritiske enheders modstandsdygtighed), kapitel IV (om kritiske enheder af særlig europæisk betydning) og kapitel VI (om tilsyn og håndhævelse) ikke finder anvendelse på kritiske enheder, som de har identificeret i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur. Efter artiklen kan medlemsstaterne vedtage eller opretholde bestemmelser i national ret for at opnå et højere niveau for disse kritiske enheders modstandsdygtighed, forudsat at disse bestemmelser er i overensstemmelse med gældende EU-ret.
Baggrunden for artikel 8 beskrives i CER-direktivets præambelbetragtning nr. 20 og 21.
Præambelbetragtning nr. 20 omhandler sektoren for digital infrastruktur og beskriver bl.a., at i henhold til NIS 2-direktivet skal enheder, der tilhører sektoren for digital infrastruktur, og som kunne betragtes som kritiske enheder efter CER-direktivet, træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer samt underrette om væsentlige hændelser og cybertrusler. Det fremgår videre af denne præambelbetragtning, at eftersom kravene i NIS 2-direktivet mindst svarer til de tilsvarende forpligtelser i CER-direktivet, bør forpligtelserne i CER-direktivets artikel 11 og kapitel III, IV og VI ikke finde anvendelse på enheder, der tilhører sektoren for digital infrastruktur.
Præambelbetragtning nr. 21 omhandler enheder i den finansielle sektor og beskriver bl.a., at der i EU-retten om finansielle tjenesteydelser er fastsat omfattende krav til finansielle enheder om at håndtere alle risici, som de står over for, herunder operationelle risici, og sikre forretningskontinuitet. Der henvises i den forbindelse bl.a. til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (DORA-forordningen), som fastsætter krav til finansielle enheder om at styre risici i forbindelse med informations- og kommunikationsteknologi (IKT), herunder vedrørende beskyttelse af fysisk IKT-infrastruktur.
Det fremgår videre af præambelbetragtningen, at eftersom disse enheders modstandsdygtighed derfor er fuldt ud dækket, bør artikel 11 og kapitel III, IV og VI i CER-direktivet ikke finde anvendelse på disse enheder for at undgå dobbeltarbejde og unødvendige administrative byrder.
Det bemærkes i den forbindelse, at CER-direktivet, NIS 2-direktivet og DORA-forordningen blev offentliggjort som en samlet pakke, og at de tre EU-retsakter således har en tæt sammenhæng med hinanden.
Det følger af det foreslåede stk. 7, at vedkommende minister kan træffe afgørelse om, at loven helt eller delvist ikke finder anvendelse på kritiske enheder, hvor sektorspecifikke EU-retsakter og eventuel national gennemførelse heraf har mindst samme virkning som de tilsvarende forpligtelser efter denne lov og regler udstedt i medfør af denne lov.
Bestemmelsen vil indebære, at det vil være op til vedkommende minister at bestemme, om – og i givet fald i hvilket omfang – der skal gøres undtagelse fra hele eller dele af nærværende lov med henvisning til sektorspecifikke EU-retsakter og eventuel national implementering heraf. Det skal ses i lyset af, at undtagelsen fra CER-direktivet forudsætter, at medlemsstaterne har anerkendt forpligtelserne i de sektorspecifikke EU-retsakter som havende mindst samme virkning som de tilsvarende forpligtelser, der følger af CER-direktivet. Den pågældende minister kan eksempelvis bestemme, at kritiske enheder fortsat vil skulle foretage hændelsesunderretning efter nærværende lov, men at reglerne om kritiske enheders modstandsdygtighedsforanstaltninger ikke finder anvendelse.
Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 1, stk. 3, hvoraf det følger, at hvor bestemmelser i sektorspecifikke EU-retsakter kræver, at kritiske enheder træffer foranstaltninger for at styrke deres modstandsdygtighed, og hvor disse krav er anerkendt af medlemsstaterne som svarende mindst til de tilsvarende forpligtelser, der er fastsat i CER-direktivet, finder de relevante bestemmelser i CER-direktivet, herunder bestemmelsen om tilsyn og håndhævelse i direktivets kapitel VI, ikke anvendelse.
Der henvises i øvrigt til pkt. 2.2.2.1 og 3.1.3 i lovforslagets bemærkninger.
Den foreslåede bestemmelse i § 2 indeholder definitioner af lovens otte centrale begreber.
Definitionerne bygger på de tilsvarende definitioner i artikel 2, nr. 2-7, i CER-direktivet.
Den foreslåede bestemmelse svarer indholdsmæssigt til de relevante dele af CER-direktivets artikel 2 og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Det følger af det foreslåede nr. 1, at der ved »centralt kontaktpunkter« forstås den myndighed, der udøver forbindelsesfunktionen for at sikre grænseoverskridende samarbejde mellem de danske myndigheder, myndigheder i andre medlemsstater i Den Europæiske Union og Den Europæiske Unions institutioner, samt for at sikre tværsektorielt samarbejde mellem de nationale kompetente myndigheder.
Bestemmelsen er baseret på CER-direktivets artikel 9, stk. 2, hvorefter hver medlemsstat udpeger eller opretter et centralt kontaktpunkt til at varetage en forbindelsesfunktion med henblik på at sikre grænseoverskridende samarbejde med de andre medlemsstaters centrale kontaktpunkter og Gruppen for Kritiske Enheders Modstandsdygtighed omhandlet i artikel 19 (»centralt kontaktpunkter«). Bestemmelsen er endvidere baseret på præambel nr. 23, hvoraf det bl.a. fremgår, at det centrale kontaktpunkt har ansvar for at koordinere spørgsmål vedrørende kritiske enheders modstandsdygtighed og grænseoverskridende samarbejde på EU-plan samt at det centrale kontaktpunkt bør holde kontakt med og koordinere kommunikationen, hvor det er relevant, med sin medlemsstats kompetente myndigheder, med andre medlemsstaters centrale kontaktpunkter og med Gruppen for Kritiske Enheders Modstandsdygtighed.
Det forventes, at Styrelsen for Samfundssikkerhed vil varetage opgaven som centralt kontaktpunkt.
Det følger af det foreslåede nr. 2, at der ved »hændelse« forstås en begivenhed, der har potentiale til i betydelig grad at forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 3, hvorefter der ved »hændelse« forstås en begivenhed, der har potentiale til i betydelig grad at forstyrre, eller som forstyrrer, leveringen af en væsentlig tjeneste, herunder når den påvirker de nationale systemer, der sikrer retsstatsprincippet.
Det følger af det foreslåede nr. 3, at der ved »kritisk enhed« forstås en offentlig eller privat enhed, som er blevet identificeret efter § 3.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 1, hvorefter en »kritisk enhed« skal forstås som en offentlig eller privat enhed, som er blevet identificeret af en medlemsstat i overensstemmelse med artikel 6 som tilhørende en af kategorierne anført i tredje kolonne i tabellen i bilaget.
Det følger af det foreslåede nr. 4, at der ved »kritisk infrastruktur« forstås et aktiv, en facilitet, udstyr, et netværk eller et system, eller en del af et aktiv, en facilitet, udstyr, et netværk eller et system, som er nødvendig(t) for leveringen af en væsentlig tjeneste.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 4, hvorefter der ved »kritisk infrastruktur« forstås et aktiv, en facilitet, udstyr, et netværk eller et system, eller en del af et aktiv, en facilitet, udstyr, et netværk eller et system, som er nødvendig(t) for leveringen af en væsentlig tjeneste.
Det følger af det foreslåede, nr. 5, at der ved »modstandsdygtighed« forstås en kritisk enheds evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og sikre genopretning efter en hændelse.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 2, hvorefter der ved »modstandsdygtighed« forstås en kritisk enheds evne til at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig og komme på fode igen efter en hændelse.
Det følger af det foreslåede, nr. 6, at der ved »risiko« forstås potentialet for tab eller forstyrrelse som følge af en hændelse, der skal udtrykkes som en kombination af størrelsen af et sådant tab eller en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræffer.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 6, hvorefter der ved »risiko« forstås potentialet for tab eller forstyrrelse som følge af en hændelse, der skal udtrykkes som en kombination af størrelsen af et sådant tab eller en sådan forstyrrelse og sandsynligheden for, at hændelsen indtræffer.
Det følger af det foreslåede, nr. 7, at der ved »risikovurdering« forstås den samlede proces med henblik på at bestemme arten og omfanget af en risiko ved at identificere og analysere potentielle relevante trusler, sårbarheder og farer, der kunne føre til en hændelse, og ved at evaluere det potentielle tab eller den potentielle forstyrrelse af leveringen af en væsentlig tjeneste forårsaget af denne hændelse.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 7, hvorefter der ved »risikovurdering« forstås den samlede proces med henblik på at bestemme arten og omfanget af en risiko ved at identificere og analysere potentielle relevante trusler, sårbarheder og farer, der kunne føre til en hændelse, og ved at evaluere den potentielle tab eller den potentielle forstyrrelse af leveringen af en væsentlig tjeneste forårsaget af denne hændelse.
Det følger af det foreslåede nr. 8, at der ved »væsentlig tjeneste« forstås en tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed, offentlig sikkerhed eller miljøet.
Bestemmelsen er baseret på CER-direktivets artikel 2, nr. 5, hvorefter der ved »væsentlig tjeneste« forstås en tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed og offentlig sikkerhed eller miljøet.
EPCIP-direktivet fandt anvendelse for energi- og transportsektorerne.
Direktivets artikel 4 fastsatte nærmere regler om udpegning af europæisk kritisk infrastruktur.
Dette er gennemført i bekendtgørelse nr. 7 af 6. januar 2011 om kritisk europæisk infrastruktur på vejområdet (EPCIP-direktivet), bekendtgørelse nr. 1461 af 14. december 2010 om europæisk kritisk infrastruktur på jernbaneområdet (EPCIP-direktivet) og bekendtgørelse nr. 1726 af 22. december 2010 om europæisk kritisk infrastruktur på havneområdet (EPCIP-direktivet) for så vidt angår transportsektoren. For en nærmere gennemgang heraf henvises til pkt. 2.4.
Det følger af den foreslåede § 3, stk. 1, at vedkommende minister træffer afgørelse om identifikation og afidentifikation af kritiske enheder, der er omfattet af enhedskategorierne i lovens bilag, og opstiller en liste over de kritiske enheder, der er blevet identificeret. Listen over identificerede kritiske enheder skal gennemgås og ajourføres, hvor det er nødvendigt, dog mindst hvert fjerde år.
Den foreslåede bestemmelse vil indebære, at vedkommende minister træffer afgørelse om identifikation og afidentifikation af kritiske enheder, der er omfattet af enhedskategorierne i lovens bilag, ligesom vedkommende minister vil skulle opstille en liste over de identificerede kritiske enheder. Listen over identificerede kritiske enheder vil skulle gennemgås og ajourføres, hvor det er nødvendigt, dog mindst hvert fjerde år.
Den foreslåede bestemmelse vil gennemføre artikel 6, stk. 1, i CER-direktivet, hvoraf det fremgår, at hver medlemsstat senest den 17. juli 2026 skal have identificeret kritiske enheder for de sektorer og delsektorer, der er anført i bilaget til CER-direktivet.
Om baggrunden for artikel 6, stk. 1, beskrives det i CER-direktivets præambelbetragtning nr. 8, at medlemsstaterne for at opnå en høj grad af modstandsdygtighed bør identificere kritiske enheder, som vil være underlagt specifikke krav og specifikt tilsyn, og som vil ydes særlig støtte og vejledning over for alle relevante risici.
Det følger af CER-direktivets artikel 6, stk. 3, at medlemsstaterne skal føre en liste over identificerede kritiske enheder, og efter artikel 6, stk. 5, skal listen, hvor det er nødvendigt og under alle omstændigheder mindst hvert fjerde år, gennemgås og i relevant omfang ajourføres. Vedkommende minister er derfor forpligtet til at revidere oversigten over udpegede enheder, når det er nødvendigt og mindst én gang hvert fjerde år.
Hvis disse ajourføringer fører til identifikation af yderligere kritiske enheder, finder CER-direktivets artikel 6, stk. 3 og 4, om underretning om identifikation, anvendelse for de yderligere kritiske enheder.
Det følger desuden af CER-direktivets artikel 6, stk. 5, at medlemsstaterne sikrer, at enheder, der ikke længere identificeres som kritiske enheder som følge af en ajourføring, rettidigt underrettes herom og om, at de ikke længere er omfattet af forpligtelserne i henhold til CER-direktivets kapitel III (om kritiske enheders modstandsdygtighed) fra datoen for modtagelsen af denne orientering.
Det bemærkes, at vedkommende minister i overensstemmelse med de almindelige forvaltningsretlige principper om delegation kan beslutte at delegere sin kompetence til en underliggende myndighed, herunder en udpeget kompetent myndighed.
Identifikation og afidentifikation af en kritisk enhed vil være en afgørelse i forvaltningsretlig forstand. Det medfører, at de almindelige forvaltningsretlige regler og principper vil være gældende. Det medfører også, at en enhed inden for de almindelige forvaltningsretlige principper om administrativ rekurs vil have adgang til at påklage en afgørelse om identifikation og afidentifikation som kritisk enhed.
Identifikationen af en kritisk enhed vil ske ved, at vedkommende minister træffer en afgørelse herom, som vil skulle meddeles enheden for at få retsvirkning. Underretningen af den kritiske enhed vil derfor ske som led i meddelelsen af afgørelsen om identifikation. I praksis vil orienteringen om den kritiske enheds forpligtelser, samt om fra hvilken dato forpligtelserne finder anvendelse, typisk fremgå af afgørelsen om identifikation.
Det følger af det foreslåede stk. 2, at der ved identifikation af kritiske enheder lægges vægt på følgende: 1) den nationale strategi for styrkelse af kritiske enheders modstandsdygtighed, 2) den nationale risikovurdering med henblik på identifikation af kritiske enheder, 3) om enheden leverer en eller flere væsentlige tjenester, 4) om enheden opererer i og har sin kritiske infrastruktur beliggende på dansk territorium og 5) om en hændelse vil have betydelig forstyrrende virkning, jf. stk. 3, på enhedens levering af en eller flere væsentlige tjenester eller på leveringen af andre væsentlige tjenester i sektorer omfattet af CER-direktivet, som er afhængige af denne eller disse væsentlige tjenester.
Det foreslåede i nr. 1, vil indebære, at der ved identifikation af kritiske enheder vil blive lagt vægt på den nationale strategi for styrkelse af kritiske enheders modstandsdygtighed.
Det fremgår af CER-direktivets artikel 4, stk. 1, at hver medlemsstat senest den 17. januar 2026 vedtager en strategi for styrkelse af kritiske enheders modstandsdygtighed. For så vidt angår den nationale strategi og -risikovurdering henvises til pkt. 2.2.2.1 i lovforslagets bemærkninger.
Det foreslåede i nr. 2, vil medføre, at der ved identifikation af kritiske enheder vil blive lagt vægt på den nationale risikovurdering med henblik på identifikation af kritiske enheder.
Det følger af CER-direktivets artikel 5, stk. 1, den nationale risikovurdering skal være foretaget senest den 17. januar 2026. For så vidt angår den nationale strategi og -risikovurdering henvises til pkt. 2.2.2.1 i lovforslagets bemærkninger.
Det foreslåede i nr. 3, vil indebære, at der ved identifikation af kritiske enheder vil blive lagt vægt på enheden leverer en eller flere væsentlige tjenester.
Der henvises i den forbindelse til den foreslåede § 2, nr. 8, hvoraf det fremgår, at en væsentlig tjeneste er en tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed, offentlig sikkerhed eller miljøet.
Det foreslåede i nr. 4, vil medføre, at der ved identifikation af kritiske enheder vil blive lagt vægt på om enheden opererer i og har sin kritiske infrastruktur beliggende på dansk territorium.
Det bemærkes i den forbindelse, at den danske sprogversions gengivelse af direktivets kriterier for identificering af kritiske enheder omtaler, hvorvidt »enheden opererer og dens kritiske infrastruktur er beliggende på denne medlemsstats område«. Den engelske sprogversion anvender derimod »territory«.
Henset til, at der vurderes at være en indholdsmæssig forskel på »område« og »territory«, har Ministeriet for Samfundssikkerhed og Beredskab i nærværende lovforslag lagt sig op ad den engelske sprogversion. Det indebærer, at der ved identificering af kritiske enheder bl.a. vil skulle lægges vægt på, om enheden opererer i og har sin kritiske infrastruktur beliggende på dansk territorium.
Dette skal i øvrigt også forstås i lyset af territorialbestemmelsen i den foreslåede § 19, hvorefter loven ikke gælder for Færøerne og Grønland, men ved kongelig anordning helt eller delvist kan sættes i kraft for Færøerne og Grønland med de ændringer, som de henholdsvis færøske og grønlandske forhold tilsiger.
I overensstemmelse med direktivets forudsætninger, som udtrykt i præambelbetragtning nr. 16, vil en enhed skulle anses for at operere på en medlemsstats område (forstået som territorium), hvor den udfører de aktiviteter, der er nødvendige for den eller de pågældende væsentlige tjenester, og hvor enhedens kritiske infrastruktur, som anvendes til at levere den eller de pågældende tjenester, er beliggende. Hvis der ikke er nogen enhed, der opfylder disse kriterier i en medlemsstat, bør den pågældende medlemsstat ikke være forpligtet til at identificere en kritisk enhed i den tilsvarende sektor eller delsektor.
Det foreslåede i nr. 5, vil indebære, at der ved identifikation af kritiske enheder vil blive lagt vægt på om en hændelse vil have betydelig forstyrrende virkning, jf. stk. 3, på enhedens levering af en eller flere væsentlige tjenester eller på leveringen af andre væsentlige tjenester i sektorer omfattet af CER-direktivet, som er afhængige af denne eller disse væsentlige tjenester.
For vurderingen af, om en hændelse vil have betydelig forstyrrende virkning, henvises til bemærkningerne til § 3, stk. 3.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 6, stk. 2, hvoraf det fremgår, at når en medlemsstat identificerer kritiske enheder, tager den hensyn til resultaterne af dens medlemsstatsrisikovurdering og dens strategi og anvender alle følgende kriterier: a) enheden leverer en eller flere væsentlige tjenester, b) enheden opererer og dens kritiske infrastruktur er beliggende på denne medlemsstats område, og c) en hændelse vil have betydelige forstyrrende virkninger som fastslået i overensstemmelse med artikel 7, stk. 1, (om betydelige forstyrrende virkninger) på enhedens levering af en eller flere væsentlige tjenester eller på leveringen af andre væsentlige tjenester i sektorerne anført i direktivets bilag, som er afhængige af denne eller disse væsentlige tjenester.
Den foreslåede bestemmelse vil indebære, at de opregnede elementer alle skal inddrages, når vedkommende minister skal træffe afgørelse om, hvorvidt en enhed skal identificeres som kritisk.
Det følger af det foreslåede stk. 3, at ved fastlæggelse af, om en hændelse vil have betydelig forstyrrende virkning, jf. stk. 2, nr. 5, lægges der vægt på følgende: 1) antal brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den berørte enhed, 2) omfanget af andre sektorers og delsektorers afhængighed af den pågældende væsentlige tjeneste, 3) den indvirkning, som hændelser kan have med hensyn til omfang og varighed på økonomiske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens sundhed, 4) enhedens markedsandel på markedet for den eller de berørte væsentlige tjenester, 5) det geografiske område, der kan blive berørt af en hændelse, herunder eventuel grænseoverskridende indvirkning, 6) enhedens betydning med hensyn til at opretholde et tilstrækkeligt niveau for den væsentlige tjeneste under hensyntagen til tilgængelighed af alternative måder at levere denne væsentlige tjeneste på.
Den foreslåede bestemmelse vil indebære, at der ved vurderingen af, om en hændelse vil have betydelig forstyrrende virkning, vil blive lagt vægt på kriterierne opstillet i nr. 1-6.
Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 7, stk. 1, hvoraf det fremgår, at medlemsstaterne ved fastlæggelsen af betydningen af en forstyrrende virkning, skal tage hensyn til følgende kriterier: 1) Antal brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den berørte enhed, 2) omfanget af andre i bilaget anførte sektorers og delsektorers afhængighed af den pågældende væsentlige tjeneste, 3) den indvirkning som hændelser kunne have med hensyn til omfang og varighed på økonomiske og samfundsmæssige aktiviteter, miljøet, den offentlige sikkerhed eller befolkningens sundhed, 4) enhedens markedsandel på markedet for den berørte væsentlige tjeneste eller de berørte væsentlige tjenester, 5) det geografiske område, der kunne blive berørt af en hændelse, herunder eventuel grænseoverskridende indvirkning, under hensyntagen til den sårbarhed, som er forbundet med den grad af afsondrethed, der kendetegner visse typer af geografiske områder, såsom ø-regioner, afsidesliggende regioner eller bjergområder, 6) enhedens betydning med hensyn til at opretholde et tilstrækkeligt niveau for den væsentlige tjeneste under hensyntagen til tilgængelighed af alternative måder at levere denne væsentlige tjeneste på.
Baggrunden for artikel 7, stk. 1, beskrives i CER-direktivets præambelbetragtning nr. 18, hvoraf bl.a. fremgår, at der bør fastlægges kriterier for bestemmelse af betydningen af en forstyrrende virkning som følge af en hændelse, og at disse kriterier bør være baseret på kriterierne i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS 1-direktivet). Det fremgår videre, at større kriser, såsom covid-19-pandemien, har vist, hvor vigtigt det er at sørge for forsyningskædesikkerhed, og hvordan forstyrrelse heraf kan have negativ økonomisk og samfundsmæssig indvirkning inden for en lang række sektorer og på tværs af grænserne. Medlemsstaterne bør derfor også i det omfang, det er muligt, overveje virkningerne på forsyningskæden, når de fastslår i hvilket omfang andre sektorer og delsektorer afhænger af de væsentlige tjenester, der udbydes af en kritisk enhed.
Den foreslåede bestemmelse vil indebære, at de opregnede kriterier alle skal inddrages, når vedkommende minister skal vurdere, om en hændelse vil have betydelige forstyrrende virkninger på enhedens levering af en eller flere væsentlige tjenester eller på leveringen af andre væsentlige tjenester i sektorer omfattet af CER-direktivet, som er afhængige af denne eller disse væsentlige tjenester. Ud over de sektorer, der omfattes af nærværende lovforslag, vil dette også omfatte energisektoren, som reguleres særskilt.
Det følger af det foreslåede stk. 4, at vedkommende minister kan kræve, at en enhed fremlægger materiale og oplysninger, der er nødvendige for stillingtagen til, om denne skal identificeres som kritisk.
Den foreslåede bestemmelse vil medføre, at vedkommende minister til brug for vurderingen af, hvorvidt en enhed skal identificeres som en kritisk enhed, vil kunne kræve, at enheder fremlægger materiale og oplysninger, der er nødvendige for stillingtagen til, om den pågældende enhed skal identificeres som kritisk.
Dette vil eksempelvis kunne omfatte oplysninger om, hvorvidt enheden leverer en eller flere væsentlige tjenester, eller om enheden opererer i og har sin kritiske infrastruktur beliggende i Danmark.
Det vil også kunne omfatte oplysninger og materiale, der kan belyse antal brugere, der er afhængige af den væsentlige tjeneste, som udbydes af den berørte enhed.
Det bemærkes, at der vil være tale om en oplysningspligt omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter for så vidt angår enhedens pligt til at fremlægge oplysninger og materiale, der er nødvendig for stillingtagen til, om enheden identificeres som kritisk. Dette indebærer, at retten til ikke at inkriminere sig selv, jf. kapitel 4 i nævnte lov, skal overholdes. Det bemærkes dog, at det af bemærkningerne til § 10 i lov om retssikkerhed ved forvaltningernes anvendelse af tvangsindgreb og oplysningspligter fremgår, at bestemmelsen om forbud mod selvinkriminering ikke er til hindre for, at den mistænkte kan pålægges at give (faktuelle) oplysninger, som er uden betydning for bedømmelsen af, hvorvidt den pågældende har begået en lovovertrædelse, der kan medføre straf. Bestemmelsen vil således ikke være til hinder for at anvende en oplysningspligt til at kræve oplysninger om navn, adresse mv., jf. herved også retsplejelovens § 750, hvorefter enhver på forlangende er forpligtet til over for politiet at opgive navn, adresse og fødselsdato. Der henvises til Folketingstidende 2003-04, tillæg A, side 3097. Der vil med den foreslåede bestemmelse være tale om oplysningspligt, som beskrevet ovenfor. Det er derfor Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter alene vil være relevant i praksis i yderst sjældne tilfælde.
Det følger af det foreslåede stk. 5, at vedkommende minister inden for én måned efter identifikation efter stk. 1, orienterer den kritiske enhed om dennes forpligtelser, og om fra hvilken dato forpligtelserne finder anvendelse. Lovens §§ 6-9 finder herefter anvendelse ti måneder efter, at den kritiske enhed har modtaget en sådan orientering.
Den foreslåede bestemmelse vil for det første indebære, at ministeren inden én måned efter identifikation skal orientere den kritiske enhed om lovens forpligtelser, og om fra hvilken dato forpligtelserne finder anvendelse.
Der stilles ikke særlige krav til orienteringens form. Det er derfor op til den enkelte minister at tilrettelægge sagsgangen og administrationen, men under forudsætning af, at orienteringen finder sted inden for en måned efter, at enheden er identificeret som kritisk enhed.
Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 6, stk. 3 og 5. Af CER-direktivets artikel 6, stk. 3 følger det bl.a., at hver medlemsstat sikrer, at identificerede kritiske enheder inden for en måned efter denne identifikation underrettes om, at de er blevet identificeret som kritiske enheder.
Den foreslåede bestemmelse vil for det andet indebære, at lovens §§ 6-9 finder anvendelse ti måneder efter, at den kritiske enhed har modtaget en sådan orientering.
Det bemærkes i den forbindelse, at det følger af CER-direktivets artikel 6, stk. 3, at direktivets kapitel III om kritiske enheders modstandsdygtighed – der bl.a. omhandler kritiske enheders risikovurdering og modstandsdygtighedsforanstaltninger, baggrundskontrol, og enhedernes underretning om hændelser finder anvendelse fra ti måneder efter datoen for underretningen om, at enheden er identificeret som kritisk enhed. Det fremgår dog særskilt af CER-direktivets artikel 12, stk. 1, at kritiske enheder inden ni måneder efter datoen for underretningen skal have foretaget deres risikovurdering.
For så vidt angår kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur følger det endvidere af CER-direktivets artikel 6, stk. 3, at medlemsstaten skal orientere disse enheder om, at de ikke har forpligtelser i henhold til CER-direktivets kapitel III om kritiske enheders modstandsdygtighed og kapitel IV om kritiske enheder af særlig europæisk betydning, medmindre andet er fastsat i national ret.
Det følger af det foreslåede stk. 6, at ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om identifikation af kritiske enheder efter stk. 1, og hvad der forstås ved en hændelses betydelige forstyrrende virkninger efter stk. 3 i en given sektor.
Den foreslåede bestemmelse vil indebære, at der kan fastsættes nærmere regler om identifikation af kritiske enheder. Anvendelsen af modellen med en tværgående hovedlov, der suppleres af bekendtgørelser, vil i øvrigt sikre, at der i nødvendigt omfang kan ske hurtig ændring af reglerne på baggrund af eksempelvis ændringer i risiko- og trusselsbilledet.
De nærmere regler vil skulle udarbejdes inden for den ramme, som de foreslåede stk. 2 og 3 udgør. Der vil i den forbindelse f.eks. kunne fastsættes bestemmelser om de kompetente myndigheders nærmere tilrettelæggelse af proceduren med at identificere kritiske enheder. Der vil endvidere kunne fastsættes bestemmelser, som angiver, hvilke specifikke forhold, herunder antallet af brugere, den kritiske enheds markedsandel og det relevante geografiske område, der kan inddrages i vurderingen af, om en hændelse vil kunne have væsentlig forstyrrende virkning på leveringen af en væsentlig tjeneste.
Der henvises i øvrigt til pkt. 3.1 i lovforslagets bemærkninger.
EPCIP-direktivet fastsatte en procedure og nærmere kriterier for indkredsning af potentiel europæisk kritisk infrastruktur og eventuel efterfølgende udpegning af den europæiske kritiske infrastruktur som sådan.
Det fulgte af artikel 3, stk. 1, i EPCIP-direktivet, at hver medlemsstat indkredser den potentielle europæiske kritiske infrastruktur, som opfyldte nærmere fastsatte tværgående og sektorbaserede kriterier og var i overensstemmelse med definitionerne for »kritisk infrastruktur« og »europæisk kritisk infrastruktur« i EPCIP-direktivets artikel 2, litra a og b. I direktivets bilag III var fastsat en nærmere procedure for medlemsstaternes indkredsning af europæisk kritisk infrastruktur.
Det fulgte af EPCIP-direktivets artikel 2, litra b, at der ved »europæisk kritisk infrastruktur« forstås kritisk infrastruktur, der befandt sig i medlemsstaterne, og hvis afbrydelse eller ødelæggelse ville få betydelige konsekvenser for to eller flere medlemsstater.
EPCIP-direktivet fastsatte herefter en høringsmekanisme, hvorefter medlemsstaterne efter indkredsning af potentiel europæisk kritisk infrastruktur underrettede og indledte drøftelser med de øvrige medlemsstater, som kunne blive berørt i betydelig grad af en potentiel europæisk kritisk infrastruktur. På baggrund af drøftelsen og nærmere aftale herom, kunne den medlemsstat, på hvis område en potentiel europæisk kritisk infrastruktur var beliggende, derefter udpege den som europæisk kritisk infrastruktur. Medlemsstaten skulle herefter underrette ejeren eller operatøren af infrastrukturen om dens udpegning som europæisk kritisk infrastruktur.
EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og transportsektorerne, som var de to sektorer, der er omfattet af direktivet. For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets bemærkninger.
Det følger af den foreslåede § 4, stk. 1, at enheder betragtes som kritiske enheder af særlig europæisk betydning, hvis 1) enheden er identificeret som kritisk enhed efter § 3, 2) enheden leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere EU-medlemsstater, og 3) enheden gennem den relevante kompetente myndighed har modtaget en underretning fra Kommissionen om at den anses som en kritisk enhed af særlig europæisk betydning.
Det foreslåede vil indebære, at en enhed vil blive betragtet som en kritisk enhed af europæisk karakter, hvis enheden er identificeret som en kritisk enhed efter § 3, hvis enheden leverer de samme eller lignende tjenester til eller i seks eller flere EU-medlemsstater og hvis enheden gennem den relevante kompetente myndighed har modtaget en underretning fra Kommissionen om at den anses som en kritisk enhed af særlig europæisk betydning.
Betingelserne er således kumulative.
Den foreslåede bestemmelse i § 4, stk. 1, vil gennemføre artikel 17, stk. 1 i CER-direktivet, hvorefter en enhed betragtes som en kritisk enhed af særlig europæisk betydning, hvor den a) er blevet identificeret som en kritisk enhed i henhold til direktivets artikel 6, stk. 1, b) leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere medlemsstater, og c) er blevet underrettet i henhold til direktivets artikel 17, stk. 3.
Baggrunden for CER-direktivets artikel 17, stk. 1, beskrives i præambelbetragtning nr. 35, hvoraf det fremgår, at selv om kritiske enheder generelt opererer som en del af et stadig mere sammenkoblet net af tjenester og infrastruktur og ofte leverer væsentlige tjenester i mere end én medlemsstat, er nogle kritiske enheder af særlig betydning for Unionen og dens indre marked, fordi de leverer væsentlige tjenester til eller i seks eller flere medlemsstater og derfor vil kunne drage fordel af specifik støtte på EU-plan.
Det er således en forudsætning efter den foreslåede bestemmelse, at den pågældende enhed leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere EU-medlemsstater. Enheden vil skulle underrette den kompetente myndighed efter det foreslåede stk. 2, jf. nedenfor, såfremt den leverer væsentlige tjenester til eller i seks eller flere medlemsstater.
For at vurdere, om der leveres de samme eller lignende væsentlige tjenester, vil den konsultationsprocedure, som reguleres i direktivets artikel 17, stk. 2, og 3, skulle følges. Konsultationsproceduren indebærer overordnet, at Europa-Kommissionen konsulterer den pågældende kritiske enhed samt de kompetente myndigheder i de medlemsstater, hvor enheden har oplyst at levere væsentlige tjenester, med henblik på at undersøge, om den kritiske enhed leverer de samme eller lignende væsentlige tjenester i eller til seks eller flere EU-medlemsstater. Europa-Kommissionen vil på den baggrund konstatere, om den pågældende kritiske enhed er at betragte som en kritisk enhed af væsentlig europæisk betydning. En enhed vil således først betragtes som en kritisk enhed af særlig europæisk betydning, når Europa-Kommissionen har konstateret dette.
Det bemærkes i øvrigt, at det i lovforslagets § 1, stk. 6, i overensstemmelse med CER-direktivets artikel 8, foreslås, at for kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur finder de foreslåede §§ 4-9 og 14-16 ikke anvendelse. Kritiske enheder i disse sektorer vil således ikke kunne identificeres som kritiske enheder af særlig europæisk betydning i medfør af den foreslåede bestemmelse. Der henvises i øvrigt til bemærkningerne til den foreslåede § 1, stk. 6.
Det følger af den foreslåede nr. 1, at enheder betragtes som kritiske enheder af særlig europæisk betydning, hvis enheden er udpeget som kritisk efter den foreslåede § 3.
Den foreslåede bestemmelse vil gennemføre artikel 17, stk. 1, litra a i CER-direktivet og skal fortolkes i overensstemmelse med direktivet.
For så vidt angår de nærmere regler for udpegning af kritiske enheder henvises der til bemærkningerne til den foreslåede § 3.
Det følger af den foreslåede nr. 2, at enheder betragtes som kritiske enheder af særlig europæisk betydning, hvis de leverer de samme eller lignende væsentlige tjenester til eller i seks eller flere EU-medlemsstater.
Den foreslåede bestemmelse gennemfører artikel 17, stk. 1, litra b i CER-direktivet, og skal fortolkes i overensstemmelse med direktivet.
Det følger af den foreslåede nr. 3, at enheder betragtes som kritiske enheder af særlig europæisk betydning, hvis enheden gennem sin kompetente myndighed har modtaget en underretning fra Kommissionen om udpegning som kritisk enhed af særlig europæisk betydning.
Den foreslåede bestemmelse gennemfører artikel 17, stk. 1, litra c i CER-direktivet, og skal fortolkes i overensstemmelse med direktivet.
Det følger af det foreslåede stk. 2, at kritiske enheder skal underrette den relevante kompetente myndighed, såfremt de leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater. Enhederne skal i den forbindelse oplyse, hvilke væsentlige tjenester de leverer, samt hvilke EU-medlemsstater tjenesterne leveres til eller i.
Den foreslåede bestemmelse vil indebære, at enheder skal underrette den relevante kompetente myndighed, hvis enheden leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater. Enheden vil i den forbindelse skulle oplyse, hvilke væsentlige tjenester den leverer, samt hvilke EU-medlemsstater tjenesterne leveres til eller i.
Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 17, stk. 2, 1. led, hvorefter medlemsstaterne sikrer, at en kritisk enhed efter den i direktivets artikel 6, stk. 3, omhandlede underretning oplyser sin kompetente myndighed, hvis den leverer væsentlige tjenester til eller i seks eller flere medlemsstater. I så fald sikrer medlemsstaterne, at den kritiske enhed oplyser sin kompetente myndighed om de væsentlige tjenester, den leverer til eller i disse medlemsstater, og om de medlemsstater, hvortil eller hvori den leverer sådanne væsentlige tjenester. Medlemsstaterne underretter uden unødigt ophold Europa-Kommissionen om identiteten af sådanne kritiske enheder samt om de oplysninger, de leverer i henhold til nærværende stykke.
Det vil indledningsvist være op til de kritiske enheder at vurdere, om de leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater og derfor er omfattet af underretningspligten. En væsentlig tjeneste er defineret i den foreslåede § 2, nr. 8, som en tjeneste, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner, økonomiske aktiviteter, folkesundhed, offentlig sikkerhed eller miljøet.
Det indgår i kriterierne for identifikation af kritiske enheder efter den foreslåede § 3, stk. 2, om enheden leverer en eller flere væsentlige tjenester. Kritiske enheder, der er identificeret som sådan, forudsættes således i forbindelse med identifikationen at være gjort bekendt med, hvilke af deres tjenester, der af den relevante kompetente myndighed betragtes som væsentlige tjenester. Såfremt kritiske enheder er i tvivl om, hvorvidt de måtte levere væsentlige tjenester til eller i seks eller flere EU-medlemsstater, vil de kunne søge rådgivning hos den relevante kompetente myndighed.
Det bemærkes, at der vil være tale om en oplysningspligt omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter for så vidt angår den kritiske enheds pligt til underrette den kompetente myndighed, såfremt den leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater. Dette indebærer, at retten til ikke at inkriminere sig selv, jf. kapitel 4 i nævnte lov, skal overholdes. Det bemærkes dog, at det af bemærkningerne til § 10 i lov om retssikkerhed ved forvaltningernes anvendelse af tvangsindgreb og oplysningspligter fremgår, at bestemmelsen om forbud mod selvinkriminering ikke er til hindre for, at den mistænkte kan pålægges at give (faktuelle) oplysninger, som er uden betydning for bedømmelsen af, hvorvidt den pågældende har begået en lovovertrædelse, der kan medføre straf. Bestemmelsen vil således ikke være til hinder for at anvende en oplysningspligt til at kræve oplysninger om navn, adresse mv., jf. herved også retsplejelovens § 750, hvorefter enhver på forlangende er forpligtet til over for politiet at opgive navn, adresse og fødselsdato. Der henvises til Folketingstidende 2003-04, tillæg A, side 3097. Der vil med den foreslåede bestemmelse være tale om oplysningspligt, som beskrevet ovenfor. Det er derfor Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter alene vil være relevant i praksis i yderst sjældne tilfælde.
Det følger af det foreslåede stk. 3, at den relevante kompetente myndighed uden unødigt ophold underretter en kritisk enhed om, at den anses som en kritisk enhed af særlig europæisk betydning, om dens forpligtelser efter § 16, herunder fra hvilken dato disse finder anvendelse.
Den foreslåede bestemmelse vil medføre, at den kompetente myndighed uden unødig ophold skal underrettet en kritisk enhed om, at den er identificeret som en kritisk enhed af særlig europæisk betydning og om den kritiske enheds forpligtelser efter § 16, herunder fra hvilken dato forpligtelserne finder anvendelse.
Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 17, stk. 3, som fastslår, at såfremt Europa-Kommissionen på grundlag af de i direktivets artikel 17, stk. 2, omhandlede konsultationer konstaterer, at den pågældende kritiske enhed leverer væsentlige tjenester til eller i seks eller flere medlemsstater, så underretter Europa-Kommissionen gennem den kompetente myndighed den pågældende kritiske enhed om, at den anses for at være en kritisk enhed af særlig europæisk betydning, og oplyser den kritiske enhed om dens forpligtelser i henhold til direktivets kapitel om kritiske enheder af særlig europæisk betydning og om, fra hvilken dato disse forpligtelser finder anvendelse. Når Europa-Kommissionen således har oplyst den kompetente myndighed om sin beslutning om at betragte en kritisk enhed som en kritisk enhed af særlig europæisk betydning, videresender den kompetente myndighed uden unødigt ophold denne underretning til den pågældende kritiske enhed.
I overensstemmelse med artikel 17, stk. 3, skal den relevante kritiske enhed uden unødigt ophold underrettes om, at den betragtes som en kritisk enhed af særlig europæisk betydning.
Den kompetente myndighed vil endvidere skulle underrette den kritiske enhed om dens forpligtelser som kritisk enhed af særlig europæisk betydning. Det følger således af den foreslåede § 16, at kritiske enheder af særlig europæisk betydning skal give rådgivende EU-delegationer adgang til oplysninger, systemer og faciliteter, der vedrører leveringen af deres væsentlige tjenester, og som er nødvendige for at gennemføre den pågældende rådgivende aktivitet. Der henvises til de specielle bemærkninger til den foreslåede § 16.
Den foreslåede bestemmelse i lovforslagets § 4, stk. 3, vil derudover medføre, at den kompetente myndighed skal underrette den kritiske enhed om, fra hvilken dato forpligtelserne finder anvendelse. Det følger af CER-direktivets artikel 17, stk. 4, at forpligtelserne i direktivets kapitel IV om kritiske enheder af særlig europæisk betydning, som foreslås gennemført i nærværende lovforslags §§ 4 og 16, finder anvendelse på den relevante kritiske enhed fra datoen for modtagelse af underretningen om, at den er identificeret som en kritisk enhed af særlig europæisk betydning.
Der henvises i øvrigt til pkt. 3.1 i lovforslagets bemærkninger.
Det fulgte af artikel 7, stk. 1, i Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet), at hver medlemsstat skulle foretage en trusselsvurdering i forbindelse med undersektorerne af europæisk kritisk infrastruktur senest et år efter, at den kritiske infrastruktur på dens område var blevet udpeget som europæisk kritisk infrastruktur inden for de pågældende undersektorer.
Der påhvilede ikke ejere eller operatører af europæisk kritisk infrastruktur en tilsvarende forpligtelse til at foretage en trusselsvurdering.
EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og transportsektorerne, som var de to sektorer, der var omfattet af direktivet. For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets bemærkninger.
Det følger af den foreslåede § 5, stk. 1, at kritiske enheder skal foretage en risikovurdering med henblik på at vurdere alle relevante risici, der kan forstyrre leveringen af deres væsentlige tjenester.
Den foreslåede bestemmelse vil indebære, at den kritiske enhed skal foretage en risikovurdering med henblik på at vurdere alle relevante risici, der kan forstyrre leveringen af deres væsentlige tjenester.
Den foreslåede bestemmelse vil gennemføre den del af artikel 12, stk. 1, i CER-direktivet, hvorefter medlemsstaterne skal sikre, at kritiske enheder foretager en risikovurdering for at vurdere alle relevante risici, der kunne forstyrre leveringen af deres væsentlige tjenester (»kritiske enheders risikovurderinger«).
Ved risikovurdering forstås den samlede proces med henblik på at bestemme arten og omfanget af en risiko ved at identificere og analysere potentielle relevante trusler, sårbarheder og farer, der kunne føre til en hændelse, og ved at evaluere det potentielle tab eller den potentielle forstyrrelse af leveringen af en væsentlig tjeneste forårsaget af denne hændelse jf. lovforslagets § 2, nr. 7.
Baggrunden for CER-direktivets artikel 12, stk. 1, beskrives i præambelbetragtning nr. 28, hvor det anføres, at kritiske enheder bør have en omfattende forståelse af de relevante risici, som de er eksponeret for, og en pligt til at analysere disse risici.
Det bemærkes i øvrigt, at det i lovforslagets § 1, stk. 6, i overensstemmelse med CER-direktivets artikel 8, foreslås, at for kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur finder de foreslåede §§ 4-9 og 14-16 ikke anvendelse. Kritiske enheder i disse sektorer vil således ikke være omfattet af bestemmelsen om kritiske enheders risikovurdering. Der henvises til de specielle bemærkninger til den foreslåede § 1, stk. 6.
Det følger af det foreslåede stk. 2, at risikovurderingen skal foretages på grundlag af den nationale risikovurdering og andre relevante informationskilder, og den skal tage højde for alle relevante naturlige og menneskeskabte risici, der kan føre til en hændelse. Risikovurderingen skal tage hensyn til, i hvilket omfang andre sektorer nævnt i lovens bilag afhænger af den kritiske enheds væsentlige tjeneste. Risikovurderingen skal endvidere tage hensyn til, i hvilket omfang den kritiske enhed afhænger af væsentlige tjenester, der leveres af enheder i lovens bilag, herunder i andre lande.
Den foreslåede bestemmelse vil gennemføre de dele af CER-direktivets artikel 12, stk. 1, der fastsætter, at kritiske enheder skal foretage en risikovurdering på grundlag af medlemsstatsrisikovurderinger og andre relevante informationskilder.
Bestemmelsen vil desuden gennemføre direktivets artikel 12, stk. 2, hvoraf det følger, at kritiske enheders risikovurderinger skal tage højde for alle relevante naturlige og menneskeskabte risici, der kunne føre til en hændelse, herunder af tværsektoriel eller grænseoverskridende karakter, ulykker, naturkatastrofer, folkesundhedskriser og hybride trusler og andre antagonistiske trusler, herunder terrorhandlinger som fastsat i Europa-Parlamentets og Rådets direktiv (EU) 2017/541 af 15. marts 2017 om bekæmpelse af terrorisme m.v. (terrordirektivet). Det fremgår endvidere af bestemmelsen, at en kritisk enheds risikovurdering skal tage hensyn til det omfang, andre sektorer anført i direktivets bilag afhænger af den væsentlige tjeneste, der leveres af den kritiske enhed, og det omfang den kritiske enhed afhænger af væsentlige tjenester, der leveres af andre enheder i sådanne andre sektorer, herunder i nabomedlemsstater og tredjelande, hvor det er relevant.
Det er Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at direktivets opremsning af nabomedlemsstater og tredjelande svarer til andre lande.
I overensstemmelse med direktivets artikel 12, stk. 1, vil kritiske enheder skulle foretage deres risikovurdering på grundlag af den nationale risikovurdering, der vil blive udarbejdet af Ministeriet for Samfundssikkerhed og Beredskab på styrelsesniveau og Justitsministeriet i overensstemmelse med CER-direktivets artikel 5, stk. 1. Det forudsættes, at relevante elementer af den nationale risikovurdering gøres offentligt tilgængelig eller på anden vis kommunikeres til identificerede kritiske enheder.
Kritiske enheder vil endvidere skulle inddrage andre relevante informationskilder i forbindelse med risikovurderingen. Andre relevante informationskilder vil efter omstændighederne kunne omfatte eksempelvis Politiets Efterretningstjenestes og Forsvarets Efterretningstjenestes trussels- og risikovurderinger, Beredskabsstyrelsens Nationale Risikobillede samt mere sektorspecifikke produkter. Der henvises i øvrigt til bemærkningerne til den foreslåede stk. 4.
Efter den foreslåede bestemmelse skal de kritiske enheders risikovurdering tage højde for alle relevante naturlige og menneskeskabte risici. Naturlige og menneskeskabte risici vil i overensstemmelse med direktivets præambelbetragtning nr. 15 bl.a. omfatte tværsektorielle eller grænseoverskridende risici, som vil kunne påvirke leveringen af væsentlige tjenester. Det kan f.eks. være ulykker, naturkatastrofer, folkesundhedskriser såsom pandemier, forsyningskriser og hybride trusler eller andre antagonistiske trusler, herunder terrorhandlinger, kriminel infiltration og sabotage.
I overensstemmelse med direktivets artikel 12, stk. 2, 2. led, kan en kritisk enhed, der har foretaget andre risikovurderinger eller udarbejdet dokumenter i henhold til forpligtelser i andre retsakter, der er relevante for dens risikovurdering, anvende disse vurderinger og dokumenter til at opfylde de krav, der er fastsat i artiklen. Det fremgår videre af direktivets artikel 12, stk. 2, 2. led, at ved udøvelse af sine tilsynsfunktioner kan den kompetente myndighed erklære, at en kritisk enheds eksisterende risikovurdering, som behandler de risici og det omfang af afhængighed, der er omhandlet i artikel 12, helt eller delvist opfylder forpligtelserne efter artiklen.
Baggrunden for artikel 12, stk. 2, 2. led, beskrives i CER-direktivets præambelbetragtning nr. 28, hvoraf det bl.a. fremgår, at hvor kritiske enheder har foretaget andre risikovurderinger eller udarbejdet dokumenter i henhold til forpligtelser i andre retsakter, der er relevante for deres risikovurdering, bør de kunne anvende disse vurderinger og dokumenter til at opfylde kravene i CER-direktivet vedrørende kritiske enheders risikovurdering. Det fremgår videre, at en kompetent myndighed bør kunne erklære, at en eksisterende risikovurdering foretaget af en kritisk enhed, der behandler de relevante risici og det relevante omfang af afhængighed, helt eller delvist opfylder forpligtelserne i dette direktiv.
Det følger af det foreslåede stk. 3, at risikovurderingen nævnt i stk. 1 skal være foretaget ni måneder efter, at den kritiske enhed har modtaget en underretning i medfør af § 3, stk. 5, 1. pkt. Risikovurderingen skal opdateres, når det er nødvendigt, og mindst hvert fjerde år.
Den foreslåede bestemmelse vil indebære, at den kritiske enhed er forpligtet til at have foretaget en risikovurdering ni måneder efter at have modtaget underretning om at være blevet identificeret som en kritisk enhed, ligesom den kritiske enhed er forpligtet til, når det er nødvendigt, og mindst hvert fjerde år, at opdatere risikovurderingen.
Den foreslåede bestemmelse vil gennemføre den del af CER-direktivets artikel 12, stk. 1, hvorefter medlemsstaterne skal sikre, at kritiske enheder foretager en risikovurdering inden for ni måneder efter underretningen om at være identificeret som kritisk enhed, når det er nødvendigt efterfølgende, og mindst hvert fjerde år.
Den foreslåede bestemmelse skal ses i sammenhæng med den foreslåede § 3, stk. 5, 1. pkt. hvorefter enheden i forbindelse med underretningen om at være identificeret som kritisk enhed samtidig skal underrettes om dens forpligtelser, og om fra hvilken dato forpligtelserne finder anvendelse. Det vil således bl.a. fremgå af denne underretning, at risikovurderingen skal være gennemført ni måneder efter identifikationen som kritisk enhed, og at den skal opdateres, når det er nødvendigt, og mindst hvert fjerde år.
Det følger af det foreslåede stk. 4, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om kritiske enheders risikovurdering.
Den foreslåede bestemmelse vil medføre, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab vil kunne fastsætte nærmere regler om kritiske enheders risikovurdering.
Bemyndigelsen vil kunne benyttes til at fastsætte nærmere regler om kritiske enheders risikovurdering inden for de enkelte sektorer, og derved sikre, at særlige sektorspecifikke forhold indgår i risikovurderingen. Eksempelvis kan der være sektorer, hvor særlige beredskabsplaner, nationale og internationale rapporter vil være naturlige at inddrage i forbindelse med en risikovurdering. Bemyndigelsen forventes kun anvendt i de tilfælde sektorspecifikke forhold gør dette påkrævet.
Der henvises i øvrigt til pkt. 3.2 i lovforslagets bemærkninger.
Det fulgte af Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet), at operatørerne skulle udarbejde en sikkerhedsplan for deres del af den europæiske kritiske infrastruktur i energi- og transportsektorerne, hvis forstyrrelse eller ødelæggelse ville få betydelig grænseoverskridende indvirkning på mindst to medlemsstater. Kravene til sikkerhedsplanen omfattede overordnet en forpligtelse til at identificere vigtige aktiver, gennemføre en risikoanalyse og etablere relevante sikkerhedsforanstaltninger til sikring af den kritiske infrastruktur.
EPCIP-direktivet var i dansk ret implementeret sektorvist for energi- og transportsektorerne, som var de to sektorer, der var omfattet af direktivet.
For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets bemærkninger.
Kritiske enheder i luftfarts- og søtransportsektoren skal i henhold til Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 og (EF) nr. 725/2004 og Europa-Parlamentets og Rådets direktiv 2005/65/EF træffe en række foranstaltninger med henblik på at forebygge hændelser forårsaget af ulovlige handlinger og modstå og afbøde følgerne af sådanne hændelser.
Efter § 24 i beredskabsloven, jf. lovbekendtgørelse nr. 314 af 3. april 2017, gælder der en forpligtelse for de enkelte ministre til, inden for deres område, hver især at planlægge for opretholdelse og videreførelse af samfundets funktioner i tilfælde af større ulykker og katastrofer.
Det følger af den foreslåede § 6, stk. 1, at kritiske enheder skal træffe passende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre enhedernes modstandsdygtighed på grundlag af den nationale risikovurdering og den kritiske enheds egen risikovurdering, herunder foranstaltninger, der er nødvendige for at 1) forhindre hændelser i at indtræffe under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger, 2) sikre tilstrækkelig fysisk beskyttelse af enhedens lokaler og kritiske infrastruktur under behørig hensyntagen til f.eks. hegn, barrierer, værktøjer og rutiner til overvågning af perimetre, detektionsudstyr og adgangskontrol, 3) reagere på, modstå og afbøde følgerne af hændelser under behørig hensyntagen til gennemførelsen af risiko- og krisestyringsprocedurer, risiko- og krisestyringsprotokoller samt varslingsrutiner, 4) sikre genopretning efter hændelser under behørig hensyntagen til foranstaltninger vedrørende forretningskontinuitet og identifikation af alternative forsyningskæder for at genoptage leveringen af væsentlige tjenester, 5) sikre passende medarbejdersikkerhedsstyring under behørig hensyntagen til foranstaltninger såsom fastsættelse af kategorier af eget og eksternt personale, der udøver kritiske funktioner, fastlæggelse af adgangsrettigheder til lokaler, kritisk infrastruktur og følsomme oplysninger, fastsættelse af procedurer for baggrundskontrol jf. § 9 og udpegelse af kategorier af personer, som er forpligtet til at gennemgå en sådan baggrundskontrol, samt fastlæggelse af passende uddannelseskrav og kvalifikationer og 6) øge bevidstheden blandt det relevante personale om de foranstaltninger og hensyn, der er beskrevet i nr. 1-5, under behørig hensyntagen til kurser, informationsmateriale og øvelser.
Den foreslåede bestemmelse gennemfører artikel 13, stk. 1, i CER-direktivet, hvoraf følger, at medlemsstaterne skal sikre, at kritiske enheder træffer passende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre deres modstandsdygtighed på grundlag af de relevante oplysninger, som medlemsstaterne har givet om medlemsstatsrisikovurderingen, og af resultaterne af de kritiske enheders risikovurderinger.
Modstandsdygtighedsforanstaltninger omfatter efter direktivets artikel 13, stk. 1, 1. led, foranstaltninger, der er nødvendige for at a) forhindre hændelser i at indtræffe under behørig hensyntagen til katastroferisikoreduktions- og klimatilpasningsforanstaltninger, b) sikre tilstrækkelig fysisk beskyttelse af deres lokaler og kritiske infrastruktur under behørig hensyntagen til f.eks. hegn, barrierer, værktøjer og rutiner til overvågning af perimetre, detektionsudstyr og adgangskontrol, c) reagere på, modstå og afbøde følgerne af hændelser under behørig hensyntagen til gennemførelsen af risiko- og krisestyringsprocedurer og -protokoller samt varslingsrutiner, d) sikre genopretning efter hændelser under behørig hensyntagen til forretningskontinuitetsforanstaltninger og identifikation af alternative forsyningskæder for at genoptage leveringen af væsentlige tjenester, e) sikre passende medarbejdersikkerhedsstyring under behørig hensyntagen til foranstaltninger såsom fastsættelse af kategorier af personale, der udøver kritiske funktioner, fastlæggelse af adgangsrettigheder til lokaler, kritisk infrastruktur og følsomme oplysninger, fastsættelse af procedurer for baggrundskontrol i overensstemmelse med direktivets artikel 14 og udpegelse af kategorier af personer, som er forpligtet til at gennemgå sådan baggrundskontrol, samt fastlæggelse af passende uddannelseskrav og kvalifikationer, og f) øge bevidstheden blandt det relevante personale om de foranstaltninger, der er omhandlet i litra a -e, under behørig hensyntagen til uddannelseskurser, informationsmateriale og øvelser.
Det følger endvidere af artikel 13, stk. 1, 2. led, at medlemsstaterne i forbindelse med medarbejdersikkerhedsstyringen omhandlet i litra e skal sikre, at kritiske enheder tager hensyn til eksterne tjenesteudbyderes personale, når der fastsættes kategorier af personale, som udøver kritiske funktioner.
I overensstemmelse med forudsætningen i direktivets præambelbetragtning nr. 29 vil kritiske enheder skulle træffe passende tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger, der står i et rimeligt forhold til de risici, som de står over for, for at forebygge, beskytte mod, reagere på, modstå, afbøde, absorbere, tilpasse sig til og komme på fode igen efter en hændelse. Mens kritiske enheder bør træffe disse foranstaltninger i overensstemmelse med direktivet, bør sådanne foranstaltningers nærmere enkeltheder og omfang afspejle de forskellige risici, som hver kritisk enhed har identificeret som led i sin risikovurdering, og de særlige forhold, der gør sig gældende for en sådan enhed, på en passende og forholdsmæssig måde.
Det følger af artikel 13, stk. 2, 2. led, at hvis kritiske enheder har truffet foranstaltninger i henhold til forpligtelser i andre retsakter, der er relevante for foranstaltningerne omhandlet i direktivets artikel 13, stk. 1, kan de anvende disse foranstaltninger til at opfylde kravene. Den kompetente myndighed vil under udøvelsen af sine tilsynsforpligtelser kunne vurdere, om eksisterende modstandsdygtighedsforanstaltninger er i overensstemmelse med stk. 1.
I overensstemmelse med den foreslåede § 3, stk. 5, vil bl.a. krav om modstandsdygtighedsforanstaltninger finde anvendelse ti måneder efter, at den kritiske enhed har modtaget en orientering efter den foreslåede § 3, stk. 1.
Det foreslås i stk. 2, at kritiske enheder skal have og anvende en plan for modstandsdygtighed, der beskriver, hvilke foranstaltninger der er truffet i henhold til stk. 1.
Det foreslåede vil indebære, at den kritiske enhed skal have og anvende en plan for modstandsdygtighed, der beskriver, hvilke foranstaltninger der er truffet i henhold til stk. 1.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 13, stk. 2, 1. og 2. pkt., hvoraf følger, at medlemsstaterne skal sikre, at kritiske enheder har indført og anvender en plan for modstandsdygtighed eller et eller flere tilsvarende dokumenter, der beskriver de trufne foranstaltninger. Kritiske enheder, der har udarbejdet dokumenter eller truffet foranstaltninger i henhold til forpligtelser i andre retsakter, som er relevante for foranstaltningerne efter CER-direktivet, kan anvende disse dokumenter og foranstaltninger.
I overensstemmelse med direktivets forudsætninger, som udtrykt i præambelbetragtning nr. 30, 1. pkt., vil kritiske enheder skulle beskrive de foranstaltninger, som de træffer, med en detaljeringsgrad, der i tilstrækkelig grad når målene om effektivitet og ansvarlighed, i en plan for modstandsdygtighed eller i et eller flere dokumenter, der svarer til en plan for modstandsdygtighed, og anvende denne plan i praksis.
Som forudsat i direktivets artikel 13, stk. 2, 2. pkt., vil kritiske enheder ikke nødvendigvis i medfør af den foreslåede bestemmelse skulle udarbejde en ny plan for modstandsdygtighed, men kan i relevant omfang henvise til allerede foreliggende dokumenter, som måtte være udarbejdet i henhold til forpligtelser i anden regulering. I denne forbindelse kan relevante dokumenter eksempelvis omfatte enhedens generelle beredskabsplan, hændelsesspecifikke delplaner, eller indsatsplaner m.v.
Det foreslås i stk. 3, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om kritiske enheders modstandsdygtighedsforanstaltninger.
Den foreslåede bestemmelse indebærer, at der i sektorspecifikke bekendtgørelser kan fastsættes nærmere regler om de foranstaltninger, som kritiske enheder inden for de omfattede sektorer skal træffe. Reglerne vil kunne stille sektorspecificerede krav til de foranstaltninger, som enhederne skal træffe i medfør af den foreslåede bestemmelse i stk. 1.
Denne bemyndigelsesbestemmelse forudsættes alene anvendt i de tilfælde, hvor sektorspecifikke hensyn gør sig gældende.
Der vil således i sektorspecifikke bekendtgørelser kunne stilles konkretiserede krav til de foranstaltninger, som kritiske enheder inden for de omfattede sektorer skal træffe i medfør af den foreslåede bestemmelse i stk. 1. Anvendelsen af modellen med en tværgående hovedlov, der suppleres af sektorvise bekendtgørelser vil i øvrigt sikre, at der i nødvendigt omfang kan ske hurtig ændring af reglerne på baggrund af eksempelvis ændringer i risiko- og trusselsbilledet. Der henvises i øvrigt til pkt. 3.2.3 og 3.2.4 i lovforslagets bemærkninger.
Ved gennemførelsen tages der således hensyn til, at det er ressortministerierne og de sektoransvarlige myndigheder, der med deres indgående kendskab til forholdene i de enkelte sektorer har de bedste forudsætninger for at vurdere, om der konkret er behov for nærmere udmøntning af lovens krav, således at implementeringen af direktivet udmøntes på den måde, der er mest hensigtsmæssig for sektoren.
Det bemærkes, at det følger af CER-direktivets artikel 13, stk. 6, at Europa-Kommissionen vedtager gennemførelsesretsakter med henblik på at fastsætte de nødvendige tekniske og metodiske specifikationer vedrørende anvendelsen af de i artikel 13, stk. 1, omhandlende modstandsdygtighedsforanstaltninger.
Såfremt Europa-Kommissionens gennemførelsesretsakter om anvendelsen af modstandsdygtighedsforanstaltninger foreligger på tidspunktet for udstedelsen af bekendtgørelserne, vil disse skulle tage højde for indholdet af de tekniske og metodiske specifikationer, der fremgår heraf. Såfremt gennemførelsesretsakterne først foreligger på et senere tidspunkt, vil bekendtgørelserne i relevant omfang skulle justeres på baggrund heraf, således at det sikres, at de er i overensstemmelse med de rammer, der måtte følge af Europa-Kommissionens retsakter. Såfremt gennemførelsesretsakterne måtte regulere området fuldt ud, vil allerede udstedte bekendtgørelser i givet fald skulle ophæves.
Det bemærkes i øvrigt, at det i lovforslagets § 1, stk. 6, i overensstemmelse med CER-direktivets artikel 8, foreslås, at for kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur finder de foreslåede §§ 4-9 og 14-16 ikke anvendelse. Kritiske enheder i disse sektorer vil således ikke være omfattet af bestemmelserne om kritiske enheders modstandsdygtighed. Der henvises til de specielle bemærkninger til den foreslåede § 1, stk. 6.
Der henvises i øvrigt til pkt. 3.2 i lovforslagets bemærkninger.
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) fastsatte i artikel 6, at ejere og operatører af europæisk kritisk infrastruktur skulle udpege en sikkerhedsforbindelsesofficer, som fungerede som kontaktpunkt i forbindelse med sikkerhedsmæssige spørgsmål mellem ejeren eller operatøren af den europæiske kritiske infrastruktur og medlemsstatens relevante myndighed.
Endvidere fremgik det af EPCIP-direktivet bl.a., at hver medlemsstat indførte en passende kommunikationsmekanisme mellem medlemsstatens relevante myndighed og sikkerhedsforbindelsesofficeren eller tilsvarende med henblik på at udveksle relevante oplysninger om de identificerede risici og trusler i forbindelse med den pågældende europæiske kritiske infrastruktur.
EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og transportsektorerne, som var de to sektorer, der er omfattet af direktivet.
For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets bemærkninger.
Det følger af den foreslåede § 7, at kritiske enheder skal udpege en kontaktperson og meddele dennes relevante kontaktoplysninger til den relevante kompetente myndighed. Den kritiske enhed skal underrette den kompetente myndighed om ændringer i kontaktoplysningerne.
Den foreslåede bestemmelse indebærer, at den enkelte kritiske enhed skal give den relevante kompetente myndighed meddelelse om, hvilken person der varetager opgaven som kontaktperson. Det skal af meddelelsen til den kompetente myndighed fremgå, hvilke kontaktoplysninger, herunder f.eks. navn, e-mail og telefonnummer, den pågældende person har. Eventuelle ændringer i kontaktinformation skal meddeles til den relevante kompetente myndighed.
Den foreslåede bestemmelse vil gennemføre artikel 13, stk. 3, i CER-direktivet, hvoraf følger, at medlemsstaterne sikrer, at hver kritisk enhed udpeger en forbindelsesofficer eller tilsvarende som kontaktpunkt for de kompetente myndigheder.
I overensstemmelse med den foreslåede § 3, stk. 5, vil bl.a. kravet om meddelelse af kontaktperson og kontaktoplysninger finde anvendelse ti måneder efter, at den kritiske enhed har modtaget en orientering efter den foreslåede § 3, stk. 1.
Der var ikke i Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) fastsat forpligtelser for ejere og operatører af europæisk kritisk infrastruktur til at underrette myndighederne om hændelser.
Det følger af den foreslåede § 8, stk. 1, at kritiske enheder skal underrette den relevante kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af enhedens væsentlige tjenester.
Den foreslåede bestemmelse vil indebære, at den kritiske enhed er forpligtet til at underrette den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af den pågældende kritiske enheds egne væsentlige tjenester.
Den foreslåede underretningsforpligtelse omfatter således ikke hændelser, der mere generelt kan forstyrre eller har potentiale til at forstyrre leveringen af væsentlige tjenester.
Underretning vil skulle ske til den kompetente myndighed for den sektor, som den tjeneste, der i betydelig grad forstyrres eller potentielt kan blive forstyrret af hændelsen, leveres i. Såfremt enheden leverer tjenester i flere sektorer, som påvirkes eller potentielt påvirkes af hændelsen, skal enheden underrette de kompetente myndigheder i alle de pågældende sektorer. Det forventes, at underretningerne af de forskellige relevante myndigheder vil skulle foretages via en fælles digital indgang, såsom Virk.dk. Dette vil sikre, at de berørte enheder alene skal foretage én samlet underretning, som derefter fordeles til de relevante myndigheder. Der henvises i øvrigt til den foreslåede § 12 og bemærkningerne hertil.
I overensstemmelse med den foreslåede § 3, stk. 5, vil underretningsforpligtelserne finde anvendelse ti måneder efter, at den kritiske enhed har modtaget en orientering efter den foreslåede § 3, stk. 1.
Den foreslåede bestemmelse vil gennemføre dele af CER-direktivets artikel 15, stk. 1, 1. pkt., hvorefter medlemsstaterne sikrer, at kritiske enheder uden unødigt ophold underretter den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af væsentlige tjenester.
Det følger af det foreslåede stk. 2, at ved vurdering af en forstyrrelses omfang indgår navnlig 1) antallet og andelen af brugere, der er berørt af forstyrrelsen, 2) forstyrrelsens varighed og 3) det geografiske område, der er berørt af forstyrrelsen, idet der tages hensyn til, om det er et geografisk isoleret område
Den foreslåede bestemmelse indebærer, at den kritiske enhed ud fra de tre oplistede kriterier vil skulle foretage en konkret vurdering af, om en hændelse kan siges at forstyrre leveringen af tjenester i betydelig grad.
Det bemærkes, at de oplistede kriterier vil kunne uddybes nærmere i sektorspecifikke bekendtgørelser. Der henvises til bemærkningerne til det foreslåede stk. 7 nedenfor.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 15, stk. 1, 3. pkt., som fastsætter, at med henblik på at fastslå en forstyrrelses omfang tages navnlig følgende kriterier i betragtning: a) antallet og andelen af brugere, der er berørt af forstyrrelsen, b) forstyrrelsens varighed og c) det geografiske område, der er berørt af forstyrrelsen, idet der tages hensyn til, om det er et geografisk isoleret område.
Det bemærkes, at der vil være tale om en oplysningspligt omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer, at retten til ikke at inkriminere sig selv, jf. kapitel 4 i nævnte lov, skal overholdes. Det bemærkes dog, at det af bemærkningerne til § 10 i lov om retssikkerhed ved forvaltningernes anvendelse af tvangsindgreb og oplysningspligter fremgår, at bestemmelsen om forbud mod selvinkriminering ikke er til hindre for, at den mistænkte kan pålægges at give (faktuelle) oplysninger, som er uden betydning for bedømmelsen af, hvorvidt den pågældende har begået en lovovertrædelse, der kan medføre straf. Bestemmelsen vil således ikke være til hinder for at anvende en oplysningspligt til at kræve oplysninger om navn, adresse mv., jf. herved også retsplejelovens § 750, hvorefter enhver på forlangende er forpligtet til over for politiet at opgive navn, adresse og fødselsdato. Der henvises til Folketingstidende 2003-04, tillæg A, side 3097. Der vil med den foreslåede bestemmelse være tale om oplysningspligt, hvorved den kritiske enhed skal underrette den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af enhedens væsentlige tjenester. Det er derfor Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter alene vil være relevant i praksis i yderst sjældne tilfælde.
Det følger af det foreslåede stk. 3, at underretninger efter stk. 1, skal indeholde alle tilgængelige oplysninger, der er nødvendige for, at den kompetente myndighed kan forstå hændelsens art, årsag og mulige konsekvenser, herunder alle tilgængelige oplysninger, der er nødvendige for at fastslå hændelsens eventuelle grænseoverskridende indvirkning.
Den foreslåede bestemmelse gennemfører CER-direktivets artikel 15, stk. 2, som fastsætter, at underretninger som omhandlet i artikel 15, stk. 1, 1. led, skal indeholde alle tilgængelige oplysninger, der er nødvendige for, at den kompetente myndighed kan forstå hændelsens art, årsag og mulige konsekvenser, herunder alle tilgængelige oplysninger, der er nødvendige for at fastslå hændelsens eventuelle grænseoverskridende indvirkning. Det fastsættes endvidere, at sådanne underretninger ikke medfører et øget ansvar for kritiske enheder.
Den kompetente myndighed, der modtager en underretning, vil i overensstemmelse med CER-direktivets artikel 15, stk. 3, via det centrale kontaktpunkt skulle orientere andre berørte medlemsstater om en hændelse, hvis den pågældende hændelse har eller vil kunne have grænseoverskridende indvirkning.
Hvor en hændelse har eller kan have betydelig indvirkning på kontinuiteten i leveringen af væsentlige tjenester til eller i seks eller flere medlemsstater, vil den kompetente myndighed i overensstemmelse med CER-direktivets artikel 15, stk. 1, 3. pkt., skulle underrette Europa-Kommissionen herom.
Det følger af det foreslåede stk. 4, at underretning skal ske uden unødigt ophold og, medmindre det operationelt ikke er muligt, senest 24 timer efter, at den kritiske enhed er blevet opmærksom på hændelsen. Den kritiske enhed skal på anmodning fra den kompetente myndighed sende en detaljeret rapport til den kompetente myndighed senest en måned efter hændelsen.
Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 15, stk. 1, 1. og 2. pkt., hvoraf det fremgår, at medlemsstaterne sikrer, at kritiske enheder uden unødigt ophold underretter den kompetente myndighed om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af væsentlige tjenester. Medlemsstaterne sikrer, at kritiske enheder, med mindre det operationelt ikke er muligt, indgiver en første underretning senest 24 timer efter at være blevet opmærksom på en hændelse, efterfulgt, hvor det er relevant, af en detaljeret rapport senest en måned derefter.
Baggrunden for artikel 15, stk. 1, 1. pkt., beskrives i CER-direktivets præambelbetragtning nr. 33, hvoraf det bl.a. fremgår, at der bør oprettes en mekanisme til underretning om visse hændelser for at gøre det muligt for de kompetente myndigheder at reagere hurtigt og hensigtsmæssigt på hændelser og danne sig et samlet overblik over indvirkningen, arten, årsagen og de mulige konsekvenser af hændelser, som kritiske enheder håndterer. Kritiske enheder bør uden unødigt ophold underrette de kompetente myndigheder om hændelser, der i betydelig grad forstyrrer eller har potentiale til i betydelig grad at forstyrre leveringen af væsentlige tjenester.
Det beskrives endvidere i præambelbetragtning nr. 33, at den første underretning kun bør indeholde de oplysninger, der er strengt nødvendige for at gøre den kompetente myndighed opmærksom på hændelsen og give den kritiske enhed mulighed for at søge bistand, hvis det er nødvendigt. En sådan underretning bør, hvor det er muligt, angive den formodede årsag til hændelsen. Den detaljerede rapport, som i relevant omfang sendes senest en måned efter hændelsen, bør supplere den første underretning og give et mere fuldstændigt overblik over hændelsen.
Det følger af det foreslåede stk. 5, at den kompetente myndighed snarest muligt efter modtagelse af en underretning efter stk. 1, giver den berørte kritiske enhed relevante opfølgende oplysninger, herunder oplysninger, som kan understøtte en effektiv reaktion fra den kritiske enhed på den pågældende hændelse.
Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 15, stk. 4, 1. pkt., som fastsætter, at så snart som muligt efter modtagelse af en underretning som omhandlet i artikel 15, stk. 1, giver den kompetente myndighed den berørte kritiske enhed relevante opfølgende oplysninger, herunder oplysninger, som kunne understøtte en effektiv reaktion fra denne kritiske enhed på den pågældende hændelse.
De opfølgende oplysninger, som den kompetente myndighed oplyser den berørte enhed om, vil f.eks. kunne angå mulige afværgeforanstaltninger eller anden relevant viden, som den kompetente myndighed er i besiddelse af. Derimod er det ikke et krav, at den kompetente myndighed skal tilvejebringe oplysninger fra tredjemand.
Efterforskes en hændelse som et strafbart forhold, vil den kompetente myndighed skulle tage højde for, at de opfølgende oplysninger ikke må vanskeliggøre eller forhindre efterforskningen.
Det følger af det foreslåede stk. 6, at den kompetente myndighed kan orientere offentligheden om en hændelse, hvis det vil være i offentlighedens interesse.
Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 15, stk. 4, 2. pkt., hvoraf det fremgår, at medlemsstaterne orienterer offentligheden om en hændelse, hvor de vurderer, at det vil være i offentlighedens interesse at gøre det.
Den foreslåede bestemmelse indebærer, at den kompetente myndighed kan orientere offentligheden om en væsentlig hændelse, hvis orienteringen er i offentlighedens interesse. Hvorvidt offentliggørelse af den væsentlige hændelse er i offentlighedens interesse vil afhænge af en konkret vurdering af sagens nærmere omstændigheder, herunder om offentliggørelse er nødvendig for at forebygge eller håndtere den væsentlige hændelse.
Det vil være op til den kompetente myndighed at tage stilling til formen for orienteringen. Orientering af offentligheden kan således ske på den måde, som den kompetente myndighed finder bedst egnet under hensyn til den berørte kritiske enhed, hændelsens karakter, den geografiske udstrækning, den forventede betydning for bestemte dele af offentligheden m.v.
Den kompetente myndighed skal ved overvejelse om orientering af offentligheden om en hændelse sikre, at de hensyn til fortrolighed, der fremgår af forvaltningslovens § 27 om offentligt ansattes tavshedspligt, iagttages. Dette omfatter bl.a. hensynet til enkeltpersoners private forhold, forretningshemmeligheder samt hensynet til forebyggelse, efterforskning og forfølgning af lovovertrædelser.
Rammer en væsentlig hændelse flere sektorer, eller har en væsentlig hændelse potentiale til at ramme flere sektorer, forudsættes det, at der sker en koordinering mellem de relevante kompetente myndigheder forud for en eventuel offentliggørelse.
Det følger af det foreslåede stk. 7, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om vurderingen af en forstyrrelses omfang efter stk. 2, og de oplysninger, der skal indgå i en underretning efter stk. 3.
Den foreslåede bestemmelse vil medføre, at vedkommende minister ved behov har mulighed for at præcisere, hvilke elementer en kritisk enhed skal inddrage i vurderingen af en forstyrrelses omfang.
Henset til, at kriterierne for, hvornår en hændelse anses for at være væsentlig efter det foreslåede stk. 2, vil have forholdsvis kvalitativ og skønspræget karakter, er det efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse hensigtsmæssigt, at der kan fastsættes nærmere sektorspecifikke regler, som præciserer, herunder eventuelt kvantificerer, hvilke elementer der kan indgå i vurderingen af en forstyrrelses omfang.
Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der er behov for, at det i bekendtgørelser kan præciseres, hvilke oplysninger en underretning vil skulle indeholde, jf. det foreslåede stk. 3.
De regler, der kan fastsættes i medfør af det foreslåede stk. 7, vil således supplere de foreslåede bestemmelser i stk. 2 og 3.
Der henvises i øvrigt til pkt. 3.3 i lovforslagets bemærkninger.
På luftfartsområdet er der i Europa-Parlamentet og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 bl.a. fastsat regler om udvidet baggrundskontrol og sikkerhedsgodkendelse af visse personer, der udfører funktioner inden for luftfartssikkerhed.
Det følger af den foreslåede § 9, at vedkommende minister efter forhandling med justitsministeren fastsætter nærmere regler om, på hvilke betingelser kritiske enheder i behørigt begrundede tilfælde og under hensyn til den nationale risikovurdering hos den kompetente myndighed kan få foretaget baggrundskontrol af personer, der opfylder én af følgende betingelser 1) Personen varetager følsomme opgaver i eller til fordel for en kritisk enhed, navnlig vedrørende den kritiske enheds modstandsdygtighed, 2) Personen er bemyndiget til at få direkte adgang eller fjernadgang til en kritisk enheds lokaler, oplysninger eller kontrolsystemer herunder i forbindelse med den kritiske enheds sikkerhed eller 3) Personen overvejes ansat i stillinger, der indebærer opgavevaretagelse efter nr. 1 eller bemyndigelse efter nr. 2.
Den foreslåede bestemmelse indebærer, at vedkommende minister efter forhandling med justitsministeren vil skulle fastsætte nærmere regler om, på hvilke betingelser kritiske enheder kan få foretaget baggrundskontrol af personer, der opfylder én af de tre oplistede betingelser.
Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 14, stk. 1.
Det fremgår af CER-direktivets præambelbetragtning nr. 32, at risikoen for, at ansatte i kritiske enheder eller deres kontrahenter misbruger for eksempel deres adgangsret inden for den kritiske enheds organisation til at skade og forvolde skade, giver anledning til stigende bekymring. Derfor bør medlemsstaterne angive de betingelser, på hvilke kritiske enheder i behørigt begrundende tilfælde og under hensyntagen til medlemsstatsrisikovurderinger har tilladelse til at indgive anmodninger om baggrundskontrol af personer, der tilhører specifikke kategorier af deres personale.
Den foreslåede bemyndigelsesbestemmelse skal ses i lyset af, at CER-direktivet lægger op til, at anmodninger om baggrundskontrol alene kan indgives i behørigt begrundede tilfælde og under hensyn til den nationale risikovurdering. Behovet for baggrundkontrol for personer ansat i den enkelte kritiske enhed, vil således afhænge af den nationale risikovurdering og vil på den baggrund være divergerende for kritiske enheder.
Det er på den baggrund Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at de nærmere betingelser for baggrundskontrol bør fastsættes af vedkommende minister efter forhandling med justitsministeren.
Det bemærkes i den forbindelse, at gennemførelse af baggrundskontrol vil ske på grundlag af en anmodning fra en kritisk enhed og forudsætter, at den pågældende person har meddelt samtykke dertil.
Det forudsættes i øvrigt, at udstedelse af nærmere regler og den efterfølgende administration af ordningen vil ske i overensstemmelse med kravene i CER-direktivets artikel 14, stk. 2 og 3.
Det fremgår bl.a. af CER-direktivets artikel 14, stk. 2, at anmodninger om baggrundskontrol skal vurderes inden for en rimelig frist og behandles i overensstemmelse med national ret og nationale procedurer samt relevant og gældende EU-ret, herunder EU-regulering om beskyttelse af personoplysninger. Baggrundskontrollen skal være forholdsmæssig og strengt begrænset til, hvad der er nødvendigt, og den skal udelukkende foretages med henblik på at vurdere en potentiel sikkerhedsrisiko for den berørte kritiske enhed.
CER-direktivets artikel 14, stk. 3, fastsætter bl.a., at baggrundskontrollen mindst skal bekræfte identiteten af den person, som er genstand for baggrundskontrollen, og at der skal foretages en kontrol af strafferegistre for den pågældende person for lovovertrædelser, der er relevante for en bestemt stilling.
I overensstemmelse med den foreslåede § 3, stk. 5, vil reglerne om baggrundskontrol finde anvendelse ti måneder efter, at den kritiske enhed har modtaget en orientering efter den foreslåede § 3, stk. 1.
Afgørelser om, hvorvidt en person har gennemgået en baggrundskontrol med et tilfredsstillende resultat og om tilbagekaldelse af en afgørelse om baggrundskontrol, vil skulle træffes af den kompetente myndighed på baggrund af oplysninger om den pågældende person, som politiet tilvejebringer. De almindelige forvaltningsretlige regler og principper vil være gældende, idet afgørelse om baggrundskontrol vil være en afgørelse i forvaltningsretslig forstand. Det medfører bl.a. at en afgørelse om baggrundskontrol vil kunne påklages til en højere administrativ myndighed efter de almindelige forvaltningsretlige principper om administrativ rekurs.
Det følger af den foreslåede § 10, at de relevante myndigheder kan videregive oplysninger til andre medlemsstaters myndigheder og til institutioner i Den Europæiske Union for at varetage de opgaver, som følger af denne lov eller regler udstedt i medfør af loven.
Den foreslåede bestemmelse indebærer, at de kompetente myndigheder og det centrale kontaktpunkt som led i den nationale gennemførelse af direktivet, kan videregive oplysninger til andre medlemsstater eller EU-institutioner, hvis det er nødvendigt for at sikre overholdelsen af forpligtelserne i CER-loven. Bestemmelsen vil således sikre, at de danske myndigheder i alle tilfælde vil kunne leve op til forpligtelserne i CER-loven.
Det følger af CER-direktivets artikel 15, stk. 3, at på grundlag af oplysninger leveret af en kritisk enhed i en underretning om en hændelse, orienterer den relevante kompetente myndighed via det centrale kontaktpunkt andre berørte medlemsstaters centrale kontaktpunkter, hvis hændelsen har eller kunne have betydelig indvirkning på kritiske enheder og kontinuiteten i leveringen af væsentlige tjenester til eller i en eller flere andre medlemsstater. Det følger af samme bestemmelse, at centrale kontaktpunkter, der fremsender og modtager sådanne oplysninger, i overensstemmelse med EU-retten eller national ret skal behandle disse oplysninger på en måde, der respekterer deres fortrolighed og beskytter den berørte kritiske enheds sikkerhed og kommercielle interesser.
Efter bestemmelsen i CER-direktivets artikel 15, stk. 3, vil det centrale kontaktpunkt således i relevant omfang skulle videregive oplysninger, som er modtaget i hændelsesunderretninger, til øvrige berørte medlemsstater.
På baggrund af CER-direktivets artikel 17, stk. 2, skal myndighederne endvidere videregive oplysninger til Europa-Kommissionen om identiteten af kritiske enheder, som leverer væsentlige tjenester til eller i seks eller flere medlemsstater, samt om de oplysninger, som enhederne leverer i henhold til den foreslåede bestemmelse i § 4, stk. 2.
Efter bestemmelsen i CER-direktivets artikel 18, stk. 3, skal Kommissionen endvidere efter anmodning modtage en række oplysninger fra en medlemsstat, der har identificeret en kritisk enhed af særlig europæisk betydning, herunder de relevante dele af den kritiske enheds risikovurdering, en oversigt over relevante modstandsdygtighedsforanstaltninger, der er truffet, samt tilsyns- og håndhævelsestiltag.
Videregivelse af oplysninger, der ville stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige orden eller forsvar reguleres, bl.a. i forvaltningslovens regler om tavshedspligt og videregivelse af oplysninger, straffelovens regler om tavshedspligt, samt cirkulære nr. 10338 af 17. december 2014 om sikkerhedsbeskyttelse af information af fælles interesse for landene i NATO eller EU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt (sikkerhedscirkulæret).
Det følger af den foreslåede § 11, stk. 1, at de forpligtelser, der er fastsat i denne lov eller i regler udstedt i medfør af loven, ikke omfatter meddelelse af oplysninger, hvis videregivelse ville stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar.
Den foreslåede bestemmelse vil gennemføre artikel 1, stk. 8, i CER-direktivet, som fastsætter, at de forpligtelser, der er fastsat i CER-direktivet, ikke omfatter meddelelse af oplysninger, hvis videregivelse ville stride mod væsentlige interesser med hensyn til medlemsstaternes nationale sikkerhed, offentlig sikkerhed eller forsvar.
Baggrunden for artikel 1, stk. 8, beskrives i CER-direktivets præambelbetragtning nr. 11, in fine, hvoraf det fremgår, at ingen medlemsstat bør være forpligtet til at meddele oplysninger, hvis videregivelse vil stride mod væsentlige interesser med hensyn til dens nationale sikkerhed, og at EU-regler eller nationale regler om beskyttelse af klassificerede informationer og hemmeligholdelsesaftaler er relevante.
Under hensyn til bestemmelsen i CER-direktivets artikel 1, stk. 6 (om at direktivet ikke finder anvendelse på offentlige forvaltningsenheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse), og den foreslåede bestemmelse i § 1, stk. 4 (om undtagelse af specifikke enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse m.v.), er det Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at den foreslåede bestemmelse i § 11, stk. 1, for enheders vedkommende vil have et yderst begrænset anvendelsesområde.
Bestemmelsen vil desuden alene vedrøre meddelelse af oplysninger, som efter en konkret vurdering vil stride mod væsentlige interesser med hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar. Bestemmelsen vil således eksempelvis ikke medføre, at en enhed mere generelt kan undlade at efterkomme oplysningsforpligtelserne over for de kompetente myndigheder, herunder som led i myndighedernes tilsyn. Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at det kun vil være i yderst sjældne tilfælde, at videregivelse af en enheds oplysninger til den relevante kompetente myndighed vil stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar.
Bestemmelsen vil desuden alene vedrøre meddelelsen af oplysninger, som efter en konkret vurdering vil stride mod væsentlige interesser med hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar. Bestemmelsen vil således eksempelvis ikke medføre, at en virksomhed mere generelt kan undlade at efterkomme oplysningsforpligtelserne over for de kompetente myndigheder, herunder som et led i myndighedernes tilsyn.
Det følger af det foreslåede stk. 2, at oplysninger, der modtages eller hidrører fra myndigheder i andre EU-medlemsstater, behandles som fortrolige, såfremt de relevante myndigheder er blevet oplyst om at den afgivende myndighed betragter oplysningerne som fortrolige i henhold til EU-regler eller nationale regler.
Den foreslåede bestemmelse vil bl.a. medføre, at oplysninger, som de danske myndigheder modtager i medfør af CER-direktivets artikel 15, stk. 3, vil blive behandlet med den fornødne fortrolighed.
Den foreslåede bestemmelse vil finde anvendelse, uanset om oplysningerne modtages direkte fra den pågældende nationale myndighed eller via andre, herunder Europa-Kommissionen.
Det følger således af CER-direktivets artikel 15, stk. 3, at på grundlag af oplysninger leveret af en kritisk enhed i en underretning om en hændelse, orienterer den relevante kompetente myndighed via det centrale kontaktpunkt andre berørte medlemsstaters centrale kontaktpunkter, hvis hændelsen har eller kunne have betydelig indvirkning på kritiske enheder og kontinuiteten i leveringen af væsentlige tjenester til eller i en eller flere andre medlemsstater. Det følger videre, at centrale kontaktpunkter, der fremsender og modtager sådanne oplysninger, i overensstemmelse med EU-retten eller national ret skal behandle sådanne på en måde, der respekterer deres fortrolighed og beskytter den berørte kritiske enheds sikkerhed og kommercielle interesser.
Det følger desuden af CER-direktivets artikel 1, stk. 4, at oplysninger, der er fortrolige i henhold til EU-regler eller nationale regler, såsom regler om forretningshemmeligheder, kun udveksles med Europa-Kommissionen og andre relevante myndigheder i overensstemmelse med CER-direktivet, hvor denne udveksling er nødvendig for anvendelsen af direktivet. De udvekslede oplysninger begrænses til, hvad der er relevant og forholdsmæssigt under hensyntagen til formålet med udvekslingen. Udvekslingen af oplysninger skal bevare de pågældende oplysningers fortrolighed og beskytte de kritiske enheders sikkerhed og kommercielle interesser, samtidig med at medlemsstaternes sikkerhed respekteres.
Det følger af den foreslåede § 12, at ministeren for samfundssikkerhed og beredskab kan fastsætte regler om digital kommunikation, herunder om anvendelsen af bestemte it-systemer, særlige digitale formater og digital signatur samt fritagelse fra digital kommunikation eller lignende.
Den foreslåede bestemmelse indebærer, at det kan gøres obligatorisk for enheder at anvende bestemte it-systemer, herunder selvbetjeningsløsninger.
Den foreslåede bestemmelse skal ses i lyset af forvaltningslovens § 32 a, hvoraf det følger, at vedkommende minister kan fastsætte regler om ret til at anvende digital kommunikation ved henvendelser til den offentlige forvaltning og om nærmere vilkår herfor, herunder fravige formkrav i lovgivningen, der hindrer anvendelsen af digital kommunikation.
Der vil med hjemmel i bestemmelsen kunne fastsættes regler om, hvem der omfattes af pligten til at kommunikere digitalt, om hvilke forhold, og på hvilken måde.
Bestemmelsen forventes navnlig anvendt til at fastsætte regler om, hvordan kritiske enheder skal foretage underretninger om hændelser i medfør af den foreslåede § 8. Det kan også være relevant at fastsætte regler om, hvordan kritiske enheder af særlig europæisk betydning skal underrette og oplyse om væsentlige tjenester i medfør af den foreslåede § 4, stk. 2. Der vil eksempelvis kunne fastsættes regler om anvendelse af bestemte digitale internetløsninger, såsom Virk.dk.
Der kan med hjemmel i bestemmelsen fastsættes regler om, at skriftlige henvendelser til myndighederne, herunder de kompetente myndigheder m.v., om forhold, som er omfattet af et krav om digital kommunikation, ikke anses for behørigt modtaget af myndighederne, hvis de indsendes på anden vis end den foreskrevne digitale måde.
Hvis en enhed retter henvendelse til en myndighed på anden måde end den foreskrevne digitale måde, eksempelvis ved brev, følger det af den almindelige vejledningspligt, jf. forvaltningslovens § 7, at myndigheden skal vejlede om reglerne på området, herunder om pligten til at kommunikere digitalt.
Der kan desuden fastsættes regler om fritagelse for pligten til digital kommunikation. Fritagelsesmuligheden tænkes navnlig anvendt, hvor det er påkrævet at anvende en dansk digital signatur, men der er tale om en virksomhed med hjemsted i udlandet, og som dermed ikke kan få udstedt en dansk digital signatur. Det bemærkes i den forbindelse, at fritagelsesmuligheden er stærkt begrænset, idet der er tale om kommunikation om erhvervsforhold, og idet virksomheder med hjemsted i udlandet kun i begrænset omfang vil høre under dansk jurisdiktion.
Det forhold, at en enheds computere ikke fungerer, at enheden har mistet koden til sin digitale signatur, eller at der opstår lignende hindringer, som det er op til virksomheden at overvinde, vil ikke kunne føre til fritagelse for pligten til digital kommunikation. I så fald må den pågældende enhed eksempelvis anmode en rådgiver om at varetage kommunikationen på virksomhedens vegne.
Der kan efter bestemmelsen også fastsættes regler om, at en digital meddelelse anses for at være kommet frem til adressaten for meddelelsen på det tidspunkt, hvor meddelelsen er tilgængelig digitalt for adressaten. Dermed er der tale om samme retsvirkning som ved fysisk post, der anses for at være kommet frem, når den pågældende meddelelse m.v. er lagt i adressatens fysiske postkasse. En meddelelse vil normalt anses for at være kommet frem, når meddelelsen er tilgængelig digitalt for adressaten, således at vedkommende har mulighed for at behandle meddelelsen. Dette tidspunkt vil normalt blive registreret automatisk i adressatens it-system.
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) stillede ikke krav om, at der udpeges en kompetent myndighed.
Det følger af den foreslåede stk. 1, at ministeren for samfundssikkerhed og beredskab fastsætter efter forhandling med vedkommende minister regler om, hvilken myndighed der skal varetage funktionen som kompetent myndighed inden for en given sektor eller delsektor som nævnt i lovens bilag.
Den foreslåede bestemmelse indebærer, at ministeren for samfundssikkerhed og beredskab efter forhandling med vedkommende minister ved bekendtgørelse kan fastsætte regler om, hvilken myndighed eller hvilke myndigheder, der skal varetage funktionen som kompetent myndighed inden for de enkelte sektorer.
Dermed vil der hurtigt og smidigt kunne ske justeringer, såfremt der måtte ske ændringer i arbejdsfordelingen mellem myndigheder, samtidig med, at det vil være tydeligt for enhederne, hvilken myndigheds tilsyn, de er underlagt. Der vil kunne blive udpeget en eller flere kompetente myndigheder inden for en given sektor eller delsektor.
Som led i implementeringen af direktivet vil det påhvile ministeren for samfundssikkerhed og beredskab efter forhandling med de relevante ressortministerier at oprette eller udpege kompetente myndigheder for de enkelte sektorer i lovens bilag.
Efter CER-direktivets artikel 9, stk. 1, 1. led, skal hver medlemsstat udpege eller oprette en eller flere kompetente myndigheder, der er ansvarlige for korrekt anvendelse og, hvor det er nødvendigt, håndhævelse af reglerne fastsat i CER-direktivet på nationalt plan.
De kompetente myndigheder vil bl.a. have til opgave at føre tilsyn med de kritiske enheders efterlevelse af reglerne, håndhæve reglerne og støtte de kritiske enheder i at øge deres modstandsdygtighed samt underrette Europa-Kommissionen om kritiske enheder, som leverer tjenester til eller i seks eller flere medlemsstater.
Der henvises i øvrigt til pkt. 2.2.2.1 i lovforslagets bemærkninger.
Det foreslås i stk. 2, at ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om koordinering, ansvar, fordeling af opgaver og udveksling af oplysninger mellem de kompetente myndigheder og Ministeriet for Samfundssikkerhed og Beredskab, herunder i forhold til hændelsesunderretning efter § 8, videregivelse af oplysninger efter §§ 10 og 11, digital kommunikation og gennemførelsesretsakter efter kapitel 3 og tilsyn og håndhævelse efter dette kapitel.
Den foreslåede bestemmelse medfører, at ministeren for samfundssikkerhed og beredskab har mulighed for at fastsætte nærmere regler om ansvarsfordelingen og samarbejdet mellem de kompetente myndigheder.
Bemyndigelsesbestemmelsen skal ses i lyset af, at Ministeriet for Samfundssikkerhed og Beredskab har en koordinerende rolle i forbindelse med implementeringen af CER-direktivet. Heri ligger bl.a., at ministeriet og Styrelsen for Samfundssikkerhed har ansvaret for at varetage en række tværgående, rådgivende og koordinerende funktioner, herunder i forhold til at sikre vejledning om udmøntningen af direktivets krav og forpligtelser på tværs af ressortministerierne.
Bemyndigelsesbestemmelsen skal endvidere give Ministeriet for Samfundssikkerhed og Beredskab mulighed for at fastsætte nærmere regler med henblik på at modtage oplysninger fra de kompetente myndigheder vedrørende bl.a. hændelsesunderretninger med henblik på at kunne orientere Kommissionen og Gruppen for Kritiske Enheders Modstandsdygtighed herom. Denne orienteringsforpligtelse følger af CER-direktivets artikel 9, stk. 3.
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) indeholdt ikke generelle regler om tilsyn og håndhævelse.
Det fulgte imidlertid af EPCIP-direktivets artikel 5, stk. 2, at hver enkelt medlemsstat kontrollerer, at alle udpegede europæiske kritiske infrastrukturer, der var beliggende på dens område, havde en sikkerhedsplan for operatører eller havde iværksat tilsvarende foranstaltninger, der dækkede de punkter, der var opstillet i direktivets bilag II.
Af EPCIP-direktivets artikel 5, stk. 3, 1. pkt., fremgik yderligere, at hvis en medlemsstat konstaterede, at der ikke var udarbejdet en sådan sikkerhedsplan for operatører eller tilsvarende, sikrer den ved hjælp af hensigtsmæssige foranstaltninger, at sikkerhedsplanen for operatører eller tilsvarende udarbejdes og dækkede de punkter, der var opstillet i direktivets bilag II.
EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og transportsektorerne, som er de to sektorer, der er omfattet af direktivet.
For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til lovforslagets pkt. 2.4.
Det følger af det foreslåede stk. 1, at den kompetente myndighed på sit område fører tilsyn med kritiske enheders overholdelse af denne lov og regler udstedt i medfør af loven. Den kompetente myndighed kan som led i dette tilsyn 1) uden retskendelse og mod behørig legitimation foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, 2) foretage en audit af en kritisk enhed eller stille krav om, at enheden får et kvalificeret, uafhængigt organ til at foretage denne, og at resultaterne heraf stilles til rådighed for den kompetente myndighed, 3) kræve at få udleveret oplysninger, der er nødvendige for at vurdere, hvorvidt de modstandsdygtighedsforanstaltninger, som den berørte enhed har indført, opfylder kravene i § 6, 4) kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven og 5) kræve at få udleveret dokumentation for faktisk gennemførelse af modstandsdygtighedsforanstaltninger, herunder resultaterne af en audit.
Det følger af CER-direktivets artikel 21, stk. 1, at medlemsstaterne med henblik på at vurdere, om de enheder, som medlemsstaterne har identificeret som kritiske enheder i henhold til artikel 6, stk. 1, opfylder forpligtelserne i CER-direktivet, sikrer, at de kompetente myndigheder har beføjelser og midler til a) at foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, og eksternt tilsyn med de modstandsdygtighedsforanstaltninger, som kritiske enheder har truffet, og b) at foretage eller kræve revision af kritiske enheder.
Det følger videre af CER-direktivets artikel 21, stk. 2, 1. pkt., at medlemsstaterne sikrer, at de kompetente myndigheder har beføjelser og midler til, hvor det er nødvendigt for udførelsen af deres opgaver i henhold til CER-direktivet, at kræve, at enhederne i henhold til NIS 2-direktivet, som medlemsstaterne har identificeret som kritiske enheder i henhold til CER-direktivet, inden for en rimelig tidsfrist, der fastsættes af disse myndigheder, giver a) de oplysninger, der er nødvendige for at vurdere, hvorvidt de foranstaltninger, der træffes af disse enheder for at sikre deres modstandsdygtighed, opfylder kravene i artikel 13, og b) dokumentation for faktisk gennemførelse af disse foranstaltninger, herunder resultaterne af en revision foretaget af en uafhængig og kvalificeret revisor udvalgt af denne enhed og foretaget på dennes regning.
Baggrunden for artikel 21, stk. 1, og stk. 2, 1. pkt., er beskrevet i CER-direktivets præambelbetragtning nr. 40, hvoraf det bl.a. fremgår, at medlemsstaterne bør sikre, at deres kompetente myndigheder har visse specifikke beføjelser til at sikre en korrekt anvendelse og håndhævelse af direktivet i forbindelse med kritiske enheder, når disse enheder hører under deres jurisdiktion som fastsat i direktivet.
Det bemærkes, at anvendelsen af de forskellige tilsynsforanstaltninger, som opregnes i den foreslåede § 14, stk. 1, vil ske efter en konkret vurdering af omstændighederne i hver enkelt sag. Valget af tilsynsforanstaltninger skal ske i overensstemmelse med det forvaltningsretlige proportionalitetsprincip.
Det foreslås i nr. 1, at den kompetente myndighed som led i sit tilsyn uden retskendelse og mod behørig legitimation kan foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, og eksternt tilsyn med de foranstaltninger, som kritiske enheder har truffet i overensstemmelse med § 6.
Efter den foreslåede bestemmelse vil den kompetente myndighed som led i sit tilsyn uden retskendelse og mod behørig legitimation kunne foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester.
Den foreslåede bestemmelse indebærer, at der skal være adgang til kontrol på stedet uden retskendelse og mod behørig legitimation. For effektivt at kunne konstatere om kritiske enheder i praksis har gennemført de passende modstandsdygtighedsforanstaltninger, er det således nødvendigt, at de kompetente myndigheder som led i et tilsyn har adgang til den kritiske infrastruktur og de lokaler som den kritiske enhed anvender til at levere sine væsentlige tjenester. Det vil i den forbindelse f.eks. kunne indgå, hvilken type kritiske enhed, der føres tilsyn med, tilsynets karakter og omfang.
Den foreslåede bestemmelse vil betyde, at de kompetente myndigheder som led i et tilsyn kan foretage kontrol på stedet til enhver tid. Det forudsættes dog almindeligvis, at den kompetente myndighed forinden et evt. besøg vil varsle den kritiske enhed herom.
Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der ved CER-direktivets anvendelse af »på stedet« forstås en enheds lokaler, hvorfra enheden driver sine aktiviteter, samt arbejdssteder uden for enhedens lokaler. Det vil således efter bestemmelsen være muligt for de kompetente myndigheder at foretage tilsyn på enhedens forretningssteder.
Det bemærkes, at det af CER-direktivets artikel 21, stk.1, litra a, fremgår, at der kan foretages »eksternt tilsyn«. Dette er en formulering, der efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse kan give anledning til fortolkningstvivl. I den engelske sprogversion af CER-direktivet anvendes formuleringen »off-site supervision«. Efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse udgør eksternt tilsyn, forstået som off-site supervision, et tilsyn fra en kompetent myndighed uden fysisk tilstedeværelse på stedet, men eksempelvis udført på skriftligt grundlag.
Den kompetente myndigheds tilsyn vil efter den foreslåede bestemmelse kunne gennemføres ved fysiske tilsynsbesøg eller på administrativt grundlag.
Et administrativt tilsyn på skriftligt grundlag vil således kunne baseres på de dele af den foreslåede bestemmelse, hvorefter de kompetente myndigheder kan kræve at få relevante oplysninger fra enhederne.
Det foreslås i nr. 2, at den kompetente myndighed som led i sit tilsyn kan foretage en audit af en kritisk enhed eller stille krav om, at enheden får et kvalificeret, uafhængigt organ til at foretage denne, og at resultaterne heraf stilles til rådighed for den kompetente myndighed.
Den foreslåede bestemmelse implementerer CER-direktivets artikel 21, stk. 1, litra b, hvorefter den kompetente myndighed bør have beføjelse til at foretage eller kræve revision af kritiske enheder.
Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at CER-direktivet skal forstås således, at den kompetente myndighed bør have beføjelse til at foretage en audit af den kritiske enhed, eller kræve, at enheden får et kvalificeret organ til at foretage denne. Det forudsættes, at resultaterne af det kvalificerede, uafhængige organs audit stilles til rådighed for den kompetente myndighed.
Det foreslås i nr. 3, at den kompetente myndighed som led i sit tilsyn kan kræve at få udleveret oplysninger, der er nødvendige for at vurdere, hvorvidt de modstandsdygtighedsforanstaltninger, som den berørte enhed har indført, opfylder kravene i § 6.
Efter den foreslåede bestemmelse vil den kompetente myndighed som led i sit tilsyn kunne kræve at få udleveret oplysninger, der er nødvendige for at vurdere, hvorvidt de modstandsdygtighedsforanstaltninger, som den berørte enhed har indført, opfylder kravene i § 6.
Bestemmelsen implementerer CER-direktivets artikel 21, stk. 2, litra a, hvorefter den kompetente myndighed bør have beføjelse til de oplysninger, der er nødvendige for at vurdere, hvorvidt de foranstaltninger, der træffes af disse enheder for at sikre deres modstandsdygtighed.
Det foreslås i nr. 4, at den kompetente myndighed som led i sit tilsyn kan kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven.
Efter den foreslåede bestemmelse vil de kompetente myndigheder som led i deres tilsyn kunne kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven.
Den foreslåede bestemmelse implementerer CER-direktivets artikel 21, stk. 2, litra a, hvorefter den kompetente myndighed kan kræve, at enhederne i henhold til NIS 2-direktivet, som medlemsstaterne har identificeret som kritiske enheder, skal udlevere de oplysninger, der er nødvendige for at vurdere, hvorvidt de foranstaltninger, der træffes af disse enheder for at sikre deres modstandsdygtighed, opfylder kravene i artikel 13.
Det bemærkes, at de kompetente myndigheder i medfør af den foreslåede bestemmelse kan kræve relevante oplysninger fra enhederne. Det indebærer også, at en kompetent myndighed kan kræve at få udleveret nødvendige oplysninger til afgørelse af, om et forhold er omfattet af loven eller regler udstedt i medfør af loven.
Det foreslås i nr. 5, at den kompetente myndighed som led i sit tilsyn kan kræve at få udleveret dokumentation for faktisk gennemførelse af modstandsdygtighedsforanstaltninger, herunder resultaterne af en audit.
Efter den foreslåede bestemmelse vil den kompetente myndighed kunne kræve at få udleveret dokumentation for faktisk gennemførelse af modstandsdygtighedsforanstaltninger, herunder resultaterne af en audit.
Den foreslåede bestemmelse implementerer CER-direktivets artikel 21, stk. 2, litra b, hvorefter den kompetente myndighed kan kræve, at enhederne i henhold til NIS 2-direktivet, som medlemsstaterne har identificeret som kritiske enheder, skal udlevere dokumentation for faktisk gennemførelse af disse foranstaltninger, herunder resultaterne af en revision foretaget af en uafhængig og kvalificeret revisor udvalgt af denne enhed og foretaget på dennes regning.
Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at for så vidt angår de foreslåede bestemmelser i nr. 3, 4 og 5 og den del af bestemmelsen i nr. 2, der vedrører, at der kan stilles krav om, at enheden får et kvalificeret, uafhængigt organ til at foretage audit, og at resultaterne heraf stilles til rådighed for den kompetente myndighed, vil være tale om oplysningspligter omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer bl.a., at kapitel 4 (om retten til ikke at inkriminere sig selv mv.) vil gælde i tilfælde, hvor der måtte være en konkret mistanke om, at en enhed har begået en overtrædelse af lovgivningen, der kan medføre straf. Der henvises i øvrigt til kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter og bemærkningerne hertil. Der henvises til Folketingstidende 2003-04, tillæg A, s. 3075-3078 og side 3096-3099.
Det følger af det foreslåede stk. 2, at ved anvendelsen af tiltagene i stk. 1, nr. 3-5, skal den kompetente myndighed angive formålet med tiltaget og præcisere, hvilke oplysninger der kræves udleveret.
Den foreslåede bestemmelse indebærer, at den kompetente myndighed ved udøvelsen af sin tilsynsmyndighed skal kunne redegøre nærmere for formålet med det valgte tiltag.
Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 21, stk. 2, 2. pkt., hvoraf det fremgår, at når der anmodes om disse oplysninger, angiver de kompetente myndigheder formålet med kravet og anfører, hvilke oplysninger der kræves.
Det følger af det foreslåede stk. 3, at den kompetente myndighed kan stille krav til, hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 3-5, skal afgives.
Den foreslåede bestemmelse indebærer, at den kompetente myndighed i forbindelse med, at der stilles krav om udlevering af oplysninger, adgang til data og dokumentation for faktisk gennemførelse af modstandsdygtighedsforanstaltninger efter de foreslåede bestemmelser i stk. 1, nr. 3-5, samtidig kan forlange, at oplysningerne m.v. udleveres på en bestemt måde og i en bestemt form.
Der vil eksempelvis kunne stilles krav om anvendelse af bestemte skemaer, eller at der skal foretages indtastninger på en hjemmeside.
Det bemærkes, at almindelige forvaltningsretlige principper om proportionalitet og fastsættelse af tidsfrister for afgivelse af oplysninger m.v. vil være normerende for en kompetent myndigheds anmodning om oplysninger m.v.
Der henvises i øvrigt til pkt. 3.4 i lovforslagets bemærkninger.
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) indeholdt ikke generelle regler om tilsyn og håndhævelse.
Det fulgte imidlertid af EPCIP-direktivets artikel 5, stk. 2, at hver enkelt medlemsstat kontrollerede, at alle udpegede europæiske kritiske infrastrukturer, der var beliggende på dens område, havde en sikkerhedsplan for operatører eller havde iværksat tilsvarende foranstaltninger, der dækkede de punkter, der var opstillet i direktivets bilag II.
Af EPCIP-direktivets artikel 5, stk. 3, 1. pkt., fremgik yderligere, at hvis en medlemsstat konstaterede, at der ikke var udarbejdet en sådan sikkerhedsplan for operatører eller tilsvarende, sikrer den ved hjælp af hensigtsmæssige foranstaltninger, at sikkerhedsplanen for operatører eller tilsvarende udarbejdes og dækkede de punkter, der var opstillet i direktivets bilag II.
EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og transportsektorerne, som var de to sektorer, der er omfattet af direktivet.
For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets bemærkninger.
Det følger af den foreslåede § 15, at den kompetente myndighed kan påbyde en kritisk enhed at træffe nødvendige og forholdsmæssige foranstaltninger for at afhjælpe en konstateret overtrædelse af loven eller regler fastsat i medfør af loven.
Den foreslåede bestemmelse indebærer, at den kompetente myndighed ved påbud vil kunne angive, hvilke nærmere foranstaltninger enheden skal træffe i tilfælde af, at en kritisk enhed eksempelvis ikke lever op til de krav, der er fastsat i loven om udarbejdelse af risikovurderinger eller om modstandsdygtighedsforanstaltninger.
Den foreslåede bestemmelse vil gennemføre artikel 21, stk. 3, i CER-direktivet, hvoraf det fremgår, at uden at det berører muligheden for at pålægge sanktioner i overensstemmelse med CER-direktivets artikel 22, kan de kompetente myndigheder efter de i CER-direktivets artikel 21, stk. 1, omhandlede tilsynsforanstaltninger eller vurderingen af de i CER-direktivets artikel 21, stk. 2, omhandlede oplysninger pålægge de berørte kritiske enheder at træffe de nødvendige og forholdsmæssige foranstaltninger for at afhjælpe enhver konstateret overtrædelse af dette direktiv inden for en rimelig frist, der fastsættes af disse myndigheder, og give disse myndigheder oplysninger om de trufne foranstaltninger.
Ved den kompetente myndigheds valg om at anvende håndhævelsesforanstaltninger over for en kritisk enhed, herunder om der bør udstedes et påbud efter den foreslåede bestemmelse, vil den kompetente myndighed navnlig skulle tage hensyn til overtrædelsens grovhed.
Det følger bl.a. af CER-direktivets artikel 21, stk. 4, at medlemsstaterne skal sikre, at håndhævelsesbeføjelser kun kan udøves med forbehold af passende beskyttelsesforanstaltninger. Disse beskyttelsesforanstaltninger skal navnlig sikre, at en sådan udøvelse finder sted på en objektiv, gennemsigtig og forholdsmæssig måde, og at de berørte kritiske enheders rettigheder og legitime interesser såsom beskyttelse af forretningshemmeligheder garanteres behørigt, herunder deres ret til at blive hørt, til et forsvar og til effektive retsmidler ved en uafhængig domstol.
CER-direktivets artikel 21, stk. 4, skal læses i lyset af præambelbetragtning nr. 40, hvorefter medlemsstaterne bl.a., når de udsteder påbud, ikke bør kræve foranstaltninger, der går ud over, hvad der er nødvendigt og rimeligt for at sikre, at den pågældende kritiske enhed opfylder forpligtelserne, navnlig under hensyntagen til overtrædelsens alvor og den pågældende kritiske enheds økonomiske formåen.
Disse beskyttelsesforanstaltninger sikres ved, at et påbud efter den foreslåede § 15 vil være omfattet af forvaltningslovens almindelige regler, herunder bestemmelserne i kapitel 3 (om vejledning og repræsentation m.v.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse m.v.) og kapitel 7 (om klagevejledning).
Derudover vil der være mulighed for at påklage afgørelsen i medfør af det almindelige ulovbestemte princip om administrativ rekurs, ligesom afgørelsen vil kunne indbringes for domstolene.
Det forudsættes endvidere, at de kompetente myndigheder efter henholdsvis CER-direktivet og NIS 2-direktivet samarbejder i overensstemmelse med forudsætningerne i CER-direktivets artikel 21, stk. 5, som uddybet i præambelbetragtning nr. 40, in fine. Det beskrives heri, at de kompetente myndigheder ved vurderingen af, om en kritisk enhed opfylder sine forpligtelser som fastsat i CER-direktivet, bør kunne anmode de kompetente myndigheder i henhold til NIS 2-direktivet om at udøve deres tilsyns- og håndhævelsesbeføjelser over for en enhed i henhold til nævnte direktiv, som er identificeret som kritisk enhed i henhold til CER-direktivet. De kompetente myndigheder i henhold til CER-direktivet og de kompetente myndigheder i henhold til NIS 2-direktivet bør samarbejde og udveksle oplysninger med henblik herpå.
Der henvises i øvrigt til pkt. 3.4 i lovforslagets bemærkninger.
Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) indeholdt ikke bestemmelser om rådgivende EU-delegationer.
Det følger af den foreslåede § 16, at kritiske enheder af særlig europæisk betydning, jf. § 4, skal give rådgivende EU-delegationer adgang til oplysninger, systemer og faciliteter, der vedrører levering af deres væsentlige tjenester, og som er nødvendige for at gennemføre den pågældende rådgivende aktivitet.
Den foreslåede bestemmelse vil medføre, at kritiske enheder af særlig europæisk betydning skal give rådgivende EU-delegationer adgang til de(t) af EU-delegationen efterspurgte oplysninger, systemer og faciliteter, således at EU-delegationen kan gennemføre rådgivende aktivitet.
En rådgivende EU-delegation vil bestå af eksperter fra den medlemsstat, hvor den kritiske enhed af særlig europæisk betydning er beliggende, eksperter fra de medlemsstater, hvortil eller hvori den væsentlige tjeneste leveres og repræsentanter fra Europa-Kommissionen. Dette følger af CER-direktivets artikel 18, stk. 5.
Rådgivende missioner gennemføres i overensstemmelse med gældende national ret i den medlemsstat, hvor de finder sted.
Bestemmelsen finder ikke anvendelse for andre landes delegationer.
Den foreslåede bestemmelse vil gennemføre artikel 18, stk. 7, i CER-direktivet, hvoraf det fremgår, at medlemsstaterne sikrer, at kritiske enheder af særlig europæisk betydning giver rådgivende missioner adgang til oplysninger, systemer og faciliteter, der vedrører levering af deres væsentlige tjenester, og som er nødvendige for at gennemføre den pågældende rådgivende mission.
CER-direktivets artikel 18, stk. 7, skal ses i lyset af CER-direktivets artikel 18, stk. 1 og 2, hvoraf det følger, at efter anmodning fra en medlemsstat, som har identificeret en kritisk enhed af særlig europæisk betydning, tilrettelægger Europa-Kommissionen en rådgivende mission for at vurdere de foranstaltninger, som denne kritiske enhed har truffet for at opfylde sine forpligtelser om modstandsdygtighedsforanstaltninger. Under forudsætning af at den medlemsstat, som har identificeret den pågældende kritiske enhed, samtykker, kan en rådgivende mission endvidere tilrettelægges på Europa-Kommissionens initiativ eller efter anmodning fra en eller flere medlemsstater.
Såfremt en enhed ikke giver adgang til lokaler eller infrastruktur, vil det kunne straffes med bøde i medfør af den foreslåede § 17. Den foreslåede bestemmelse indebærer således ikke, at der gives adgang til lokaler og infrastruktur uden retskendelse.
Der henvises i øvrigt til bemærkningerne til den foreslåede § 4.
Det var i Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) ikke reguleret, hvordan overtrædelser af nationale regler, der var udstedt i medfør af EPCIP-direktivet, skulle sanktioneres.
Det følger af den foreslåede stk. 1, at med bøde straffes den, der; 1) overtræder § 4, stk. 2, § 5, stk. 1, 2 eller 3, 2. pkt., § 6, stk. 1 eller 2, § 7, § 8, stk. 1, 3 eller 4 eller § 16, 2) undlader at efterkomme krav efter § 3, stk. 4, eller § 14, stk. 1, nr. 2-5, eller stk. 3, 3) undlader at efterkomme påbud efter § 15, og 4) hindrer den kompetente myndighed i at føre tilsyn efter § 14, stk. 1, nr. 1 eller 2.
Det foreslåede vil for det første indebære, at der efter stk. 1, nr. 1, kan straffes for ikke at underrette den relevante kompetente myndighed, såfremt den kritiske enhed leverer væsentlige tjenester til eller i seks eller flere EU-medlemsstater jf. § 4, stk. 2.
Den kritiske enhed vil for det andet efter stk. 1, nr. 1, kunne straffes for ikke at foretage en risikovurdering med henblik på at vurdere alle relevante risici, der kan forstyrre leveringen af deres væsentlige tjenester, jf. § 5, stk. 1, ligesom den kritiske enhed efter stk. 1. nr. 1, vil kunne straffes for ikke at have inddraget de i § 5, stk. 2 nævnte hensyn ved udarbejdelsen af risikovurderingen, jf. § 5, stk. 2 og den kritiske enhed vil endvidere efter stk. 1, nr. 1, kunne straffes for ikke at opdatere risikovurderingen, når det er nødvendigt, og mindst hvert fjerde år, jf. § 5, stk. 3, 2. pkt.
Det foreslåede vil for det tredje indebære, at den kritiske enhed der undlader at træffe passende og forholdsmæssige tekniske, sikkerhedsmæssige og organisatoriske foranstaltninger for at sikre enhedernes modstandsdygtighed, kan straffes efter stk. 1, nr. 1, jf. § 6, stk. 1. Det samme vil være tilfældet, hvis den kritiske enhed ikke har og anvender en plan for modstandsdygtighed, jf. § 6, stk. 2.
Der vil som det fjerde tillige kunne straffes efter stk. 1, nr. 1, hvis den kritiske enhed ikke udpeger en kontaktperson og dennes relevante kontaktoplysninger meddeles til den kompetente myndighed samt hvis den kritiske enhed ikke underretter den kompetente myndighed om ændringer i kontaktoplysningerne, jf. § 7.
Der vil for det femte kunne straffes efter stk. 1, nr. 1, hvis ikke der til den relevante kompetente myndighed underrettes om hændelser, der i betydelig grad eller har potentiale til i betydelig grad at forstyrre leveringen af enhedens væsentlige tjenester, jf. § 8, stk. 1.
Det foreslåede vil for det sjette indebære, at den kritiske enhed vil kunne straffes efter stk. 1, nr. 1, hvis underretningen efter § 8, stk. 1, ikke indeholder alle tilgængelige oplysninger, der er nødvendige for, at den kompetente myndighed kan forstå hændelsens art, årsag og mulige konsekvenser, herunder alle tilgængelige oplysninger, der er nødvendige for at fastslå hændelsens eventuelle grænseoverskridende indvirkning, jf. § 8, stk. 3.
Det foreslåede vil for det syvende indebære, at der efter stk. 1, nr. 1, kan straffes for ikke uden unødigt ophold og, med mindre det operationelt ikke er muligt, senest 24 timer efter, at den kritiske enhed er blevet opmærksom på hændelsen, foretager underretning. Det vil endvidere kunne straffes, hvis den kritiske enhed ikke på anmodning fra den kompetente myndighed sender en detaljeret rapport til den kompetente myndighed senest én måned efter hændelsen, jf. § 8, stk. 4.
Det foreslåede vil for det ottende indebære, at kritiske enheder af særlig europæisk karakter efter stk. 1, nr. 1, vil kunne straffes hvis denne ikke giver rådgivende EU-delegationer adgang til oplysninger, systemer og faciliteter, der vedrører levering af deres væsentlige tjenester, og som er nødvendige for at gennemføre den pågældende rådgivende aktivitet, jf. § 16.
Den foreslåede § 1, nr. 2, vil for det første indebære, at den kritiske enhed kan straffes, hvis enheden undlader at fremlægge materiale og oplysninger til vedkommende minister, der er nødvendige for stillingtagen til, hvorvidt denne skal identificeres som kritisk, jf. § 3, stk. 4.
Det foreslåede vil for det andet indebære, at en kritisk enhed efter stk. 1, nr. 2, kan straffes for at forhindre den kompetente myndighed i at udføre tilsyn efter § 14, stk. 1, nr. 2-5.
Det foreslåede vil for det tredje indebære, at den kritiske enhed efter stk. 1, nr. 2, kan straffes for at undlade at efterkomme den kompetente myndigheds krav til, hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 3-5, skal afgives, jf. § 14, stk. 3.
Det foreslåede vil for det fjerde indebære, at den kritiske enhed efter stk. 1, nr. 3, kan straffes for at undlade at efterkomme påbud fra den kompetente myndighed om at træffe nødvendige og forholdsmæssige foranstaltninger for at afhjælpe en konstateret overtrædelse af loven eller regler fastsat i medfør af loven, jf. § 15.
Det foreslåede vil for det femte indebære, at den kritiske enhed efter stk. 1, nr. 4, kan straffes for ikke, mod behørig legitimation og med det formål at foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, at give den kompetente myndighed adgang, jf. § 14, stk. 1, nr. 1. Den kritiske enhed kan endvidere efter stk. 1, nr. 4, straffes for at hindre at der foretages audit af denne og at resultaterne heraf stilles til rådighed for den kompetente myndighed, jf. § 14, stk. 1, nr. 2.
Den foreslåede bestemmelse gennemfører artikel 22, 1. og 2. pkt., i CER-direktivet, hvoraf følger, at medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale foranstaltninger, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.
Den fastsatte bøde skal i overensstemmelse med CER-direktivets artikel 22, 2. pkt., være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.
Det bemærkes, at manglende efterlevelse af bestemmelsen i § 14, stk. 1, nr. 2, vil kunne straffes efter både § 17, stk. 1, nr. 2 og 4. Baggrunden er, at de kompetente myndigheder efter den pågældende bestemmelse enten kan stille krav om, at enhederne foretager en audit, eller selv kan foretage en audit hos de berørte enheder. En enhed vil således efter omstændighederne kunne straffes for at undlade at efterkomme et krav fra en kompetent myndighed efter nr. 2, eller for at hindre de kompetente myndigheder i at føre tilsyn efter nr. 4.
Det bemærkes, at fastsættelsen af straffen fortsat vil bero på domstolenes konkrete vurdering i det enkelte tilfælde af samtlige omstændigheder i sagen, og de angivne strafniveauer vil kunne fraviges i op- eller nedadgående retning, hvis der i den konkrete sag foreligger skærpende eller formildende omstændigheder, jf. herved de almindelige regler om straffens fastsættelse i straffelovens 10. kapitel.
Det følger af det foreslåede stk. 2, at der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.
Den foreslåede bestemmelse indebærer, at selskaber m.v. (juridiske personer) kan pålægges strafansvar for overtrædelse af denne lov eller regler udstedt i medfør af loven efter reglerne i straffelovens kapitel 5.
Det følger af det foreslåede stk. 3, at der i regler udstedt i medfør af loven kan fastsættes straf i form af bøde for overtrædelse af regler udstedt i medfør af loven.
Med bestemmelsen bemyndiges vedkommende minister til at fastsætte straf i form af bøde for overtrædelse af bestemmelser i regler, som udfærdiges i medfør af § 3, stk. 6, § 5, stk. 4, § 6, stk. 3, § 8, stk. 7, § 9 og § 12.
Bestemmelsen fastsætter tidspunktet for lovens ikrafttræden.
Det foreslås, at loven træder i kraft den 1. juli 2025.
Det følger af artikel 26, stk. 1, i CER-direktivet, at direktivet skal være implementeret i dansk ret senest den 17. oktober 2024 og træde i kraft senest den 18. oktober 2024. Med den foreslåede bestemmelse vil loven træde i kraft lidt over 8 måneder efter direktivets implementeringsfrist.
Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at denne lov bør evalueres fire år efter lovens ikrafttræden.
Senest 4 år efter lovens ikrafttræden udarbejder ministeren for samfundssikkerhed og beredskab en rapport om erfaringerne med loven, som oversendes til Folketinget. Evalueringen vil bl.a. skulle omfatte offentlige myndigheders efterlevelse af loven.
Til brug for rapporten vil der blive indhentet bidrag fra de kompetente myndigheder og erhvervslivet. Den samlede rapport vil blive sendt til Folketinget.
Det foreslås i § 19, at loven ikke gælder for Færøerne og Grønland, men kan ved kongelig anordning helt eller delvist sættes i kraft for Færøerne og Grønland med de ændringer, som de henholdsvis færøske og grønlandske forhold tilsiger. Lovens bestemmelser kan sættes i kraft på forskellige tidspunkter.
Bestemmelsen vedrører lovens territoriale gyldighed og indebærer, at loven ikke gælder for Færøerne og Grønland, men at loven ved kongelig anordning helt eller delvist kan sættes i kraft for Færøerne og Grønland med de ændringer, som de henholdsvis færøske og grønlandske forhold tilsiger.
Loven vil alene kunne sættes helt eller delvist i kraft for Færøerne og Grønland for så vidt angår sektorer eller delsektorer inden for retsområder, som ikke er overtaget af de grønlandske og færøske myndigheder.
Lovens bestemmelser vil kunne sættes i kraft på forskellige tidspunkter.
