CER-loven § 1

Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) fastsatte en procedure for indkredsning og udpegning af europæisk kritisk infrastruktur i energi- og transportsektorerne, hvis forstyrrelse eller ødelæggelse ville få betydelig grænseoverskridende indvirkning på mindst to medlemsstater og en fælles fremgangsmåde til vurdering af behovet for at beskytte denne type infrastruktur med henblik på at bidrage til beskyttelsen af mennesker.

EPCIP-direktivet er i dansk ret implementeret sektorvist i energi- og transportsektorerne. For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til pkt. 2.4 i lovforslagets bemærkninger.

Efter § 24 i beredskabsloven, jf. lovbekendtgørelse nr. 314 af 3. april 2017, gælder der en forpligtelse for de enkelte ministre til, inden for deres område, hver især at planlægge for opretholdelse og videreførelse af samfundets funktioner i tilfælde af større ulykker og katastrofer.

I EU-retten om finansielle tjenesteydelser fastsættes omfattende krav til finansielle enheder om at håndtere alle risici, som de står over for, herunder operationelle risici, og for at sikre forretningskontinuitet.

Det drejer sig om Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og om ændring af forordning (EU) nr. 648/2012, Europa-Parlamentets og Rådets direktiv (EU) 2013/36 af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, om ændring af direktiv 2002/87/EF og om ophævelse af direktiv 2006/48/EF og 2006/49/EF, som er gennemført i dansk ret ved lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 406 af 29. marts 2022, og Europa-Parlamentets og Rådets direktiv (EU) 2014/65 af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU, som er gennemført i dansk ret ved lov om kapitalmarkeder, jf. lovbekendtgørelse nr. 41 af 13. januar 2023, lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 406 af 29. marts 2022, og lov om finansielle rådgivere, investeringsrådgivere og boligkreditformidlere, jf. lovbekendtgørelse nr. 2016 af 1. november 2021.

Det følger af den foreslåede § 1, stk. 1, at loven finder anvendelse på enheder, der er omfattet af enhedskategorierne i lovens bilag, jf. dog stk. 2-7.

Det foreslåede vil indebære, at lovens anvendelsesområde, med undtagelse af energisektoren, jf. den foreslåede § 1, stk. 5, vil følge af lovens bilag. Det vil derved være følgende sektorer: 2) transport med delsektorerne a) luft, b) jernbane, c) vand, d) vejtransport og e) offentlig transport, 3) bankvirksomhed, 4) finansiel markedsinfrastruktur, 5) sundhed, 6) drikkevand, 7) spildevand, 8) digital infrastruktur, 9) offentlig forvaltning, 10) rummet og 11) produktion, tilvirkning og distribution af fødevarer, der er omfattet af lovens anvendelsesområde.

Det foreslåede anvendelsesområde vil dermed omfatte 10 ud af 11 af de sektorer, der er omfattet af CER-direktivets anvendelsesområde.

Vedrørende afgrænsningen af offentlig forvaltningsenhed under den centrale forvaltning som defineret af en medlemsstat i overensstemmelse med national ret, bemærkes, at det følger af, CER-direktivets artikel 2, nr. 10, litra a - d, at en offentlig forvaltningsenhed er en enhed, der er anerkendt som sådan i en medlemsstat i overensstemmelse med national ret, med undtagelse af retsvæsenet, parlamenter og centralbanker, som a) er oprettet med henblik på at opfylde almennyttige formål og ikke har industriel eller kommerciel karakter, b) har status som juridisk person, eller ved lov er berettiget til at handle på vegne af en anden enheden med status som juridisk person, c) overvejende finansieret af staten, regionale myndigheder eller af andre offentligretlige organer, er underlagt ledelsesmæssig kontrol af disse myndigheder eller organer, eller har et administrations-, ledelses- eller tilsynsorgan, hvor mere end halvdelen af medlemmerne udpeges af staten, regionale myndigheder eller andre offentligretlige organer, og d) har beføjelse til at rette administrative eller lovgivningsmæssige afgørelser til fysiske eller juridiske personer, der påvirker deres rettigheder i forbindelse med grænseoverskridende bevægelighed for personer, varer, tjenester eller kapital.

De fire kriterier i litra a - d er kumulative, mens kriterie c indeholder tre alternative betingelser, hvoraf mindst én skal være opfyldt.

Det følger af CER-direktivets bilag vedrørende sektor, delsektorer og enhedskategorier, nr. 9, at omfattet af direktivet er enheder, som er en offentlig forvaltningsenhed under den centrale forvaltning som defineret i overensstemmelse med national ret.

Offentlige forvaltningsmyndigheder under den centrale forvaltning er ikke et fast defineret begreb i dansk forvaltningsret. Det bemærkes dog, at forvaltningsloven, offentlighedsloven, retssikkerhedsloven og ombudsmandsloven anvender begrebet ”den offentlige forvaltning”.

Efter disse fire tværgående forvaltningslove er det afgørende for, om lovene finder anvendelse på det pågældende organ, om organet kan karakteriseres som en forvaltningsmyndighed i organisatorisk og formel forstand. Væsentlige kriterier vil i denne forbindelse være, jf. Niels Fenger, Forvaltningsret (2018), 1. udgave, s. 113: 1) om organet er oprettet ved lov eller på privat initiativ, 2) om organet er placeret i et over/underordnelsesforhold til en forvaltningsmyndighed, 3) om organets drift finansieres ved offentlig bevillig eller private midler og 4) om der ved lov er fastsat regler med hensyn til anvendelse af bevilgede midler.

I særlige tilfælde, hvor anvendelse af ovenstående organisatoriske kriterier giver anledning til tvivl om organets karakter som en forvaltningsmyndighed, kan der desuden tages hensyn til, om organet udøver offentlige funktioner. Organets eventuelle benævnelse som ”råd”, ”institut” eller lignende vil derimod ikke være afgørende for, om det omfattes af begrebet den offentlige forvaltning og de fire love, jf. Niels Fenger, Forvaltningsret (2018), 1. udgave, s. 113.

Uden for den forvaltningsretslige definition af ”den offentlige forvaltning” falder bl.a. Folketinget og visse organer med organisatorisk tilknytning til Folketinget, Rigsrevisionen, Folketingets Ombudsmand, domstolene, udenlandske myndigheder og internationale organisationer. Institutioner, foreninger og selskaber mv. oprettet på privatretligt grundlag vil ligeledes som det klare udgangspunkt ikke være omfattet af begrebet ”den offentlige forvaltning”. Statslige (og kommunale) institutioner, der er organiseret i selskabsform, vil heller ikke umiddelbart være en del af den offentlige forvaltning, jf. Niels Fenger, Forvaltningsret (2018), 1. udgave, s. 113 f.

Ved den centrale forvaltning forstås herefter organer på statsligt niveau, der opfylder ovenstående afgrænsning.

Omfattet af lovens anvendelsesområde vil være enheder, som er statslige myndigheder, og som opfylder betingelserne for at blive anset som offentlige forvaltningsenheder. Dette betyder, at f.eks. departementer, styrelser og institutioner som f.eks. Udbetaling Danmark må anses som omfattet af loven.

Derimod vil en række uddannelses- og kulturinstitutioner næppe være tilstrækkeligt myndighedsudøvende til at udgøre offentlige forvaltningsenheder, jf. afgrænsningen ovenfor, idet de ikke vil opfylde kravet i NIS 2-direktivets artikel 6, nr. 35, litra c, eller er uden statslig organisatorisk placering.

Det følger af det foreslåede stk. 2, at loven ikke finder anvendelse på forhold omfattet af lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven).

Den foreslåede bestemmelse medfører, at forhold, der omfattes af NIS 2-loven, ikke omfattes af loven.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 1, stk. 2, som fastsætter, at direktivet ikke finder anvendelse på spørgsmål, der er omfattet af NIS 2-direktivet, jf. dog CER-direktivets artikel 8. CER-direktivets artikel 8 fastsætter en særlig ordning for kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur, jf. den foreslåede § 1, stk. 6.

Formålet med bestemmelsen er at sikre mod dobbeltregulering. En kritisk enhed, der er omfattet af NIS 2-loven, og som har fastsat passende foranstaltninger for at styre risici i forhold til net- og informationssystemer, vil dermed ikke også skulle fastsætte modstandsdygtighedsforanstaltninger for disse systemer i medfør af CER-loven. Derimod vil den kritiske enhed skulle opfylde krav og forpligtelser, som følger af CER-loven, som ligger ud over krav og forpligtelser i NIS 2-loven.

Det følger af det foreslåede stk. 3, at loven ikke finder anvendelse på offentlige forvaltningsenheder, som udfører deres aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger.

Den foreslåede bestemmelse indebærer, at offentlige forvaltningsenheder, som udfører deres aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger, ikke vil være omfattet af loven.

Den foreslåede bestemmelse vil således indebære, at loven ikke finder anvendelse for bl.a. Politiets Efterretningstjeneste og Forsvarets Efterretningstjeneste samt retshåndhævende myndigheder, herunder politiet, anklagemyndighed og domstolene.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 1, stk. 6, hvorefter CER-direktivet ikke finder anvendelse på offentlige forvaltningsenheder, som udfører deres aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger.

Den foreslåede bestemmelse skal forstås i overensstemmelse med CER-direktivets præambelbetragtning nr. 11, 1. led, som bl.a. beskriver, at offentlige forvaltningsenheder, hvis aktiviteter kun er marginalt relateret til disse opregnede områder, bør være omfattet af CER-direktivets anvendelsesområde, og at enheder med reguleringsbeføjelser i CER-direktivets forstand ikke anses for at udføre aktiviteter inden for retshåndhævelse. Sådanne myndigheder er derfor ikke på dette grundlag udelukket fra direktivets anvendelsesområde. Det beskrives endvidere i præambelbetragtningen, at offentlige forvaltningsenheder, som er eller måtte blive etableret i fællesskab med et tredjeland i overensstemmelse med en international aftale, samt medlemsstaternes diplomatiske og konsulære missioner i tredjelande, heller ikke er omfattet af CER-direktivet. Som en konsekvens heraf vil disse forvaltningsenheder ikke være omfattet af nærværende lov.

Det følger af det foreslåede stk. 4, at vedkommende minister kan træffe afgørelse om helt eller delvist at undtage specifikke kritiske enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, eller som udelukkende leverer tjenester til offentlige forvaltningsenheder, der er omfattet af stk. 3, fra bestemmelserne i §§ 4-9 og 14-16.

Den foreslåede bestemmelse vil indebære, at vedkommende minister vil kunne undtage nærmere bestemte kritiske enheder fra de foreslåede §§ 4-9 om kritiske enheders risikovurdering, modstandsdygtighedsforanstaltninger, hændelsesunderretninger og baggrundskontrol, samt fra de foreslåede §§ 14-16 om tilsyn og håndhævelse.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 1, stk. 7, hvorefter medlemsstaterne kan beslutte, at artikel 11 (samarbejde mellem medlemsstaterne) og kapitel III (om kritiske enheders modstandsdygtighed), IV (om kritiske enheder af særlig europæisk betydning) og VI (om tilsyn og håndhævelse) helt eller delvist ikke finder anvendelse på specifikke kritiske enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger, eller som udelukkende leverer tjenester til de offentlige forvaltningsenheder, der er omhandlet i direktivets artikel 1, stk. 6, som foreslås gennemført i det foreslåede § 1, stk. 4.

Bestemmelsen skal forstås i overensstemmelse med CER-direktivets præambelbetragtning nr. 11, 2. led, hvori det bl.a. anføres, at i betragtning af medlemsstaternes ansvar for at varetage national sikkerhed og forsvar bør medlemsstater kunne beslutte, at kritiske enheders forpligtelser fastsat i CER-direktivet helt eller delvist ikke finder anvendelse på disse kritiske enheder, hvis de tjenester, som de leverer, eller de aktiviteter, som de udfører, hovedsageligt vedrører områderne national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder efterforskning, afsløring og retsforfølgning af strafbare handlinger. Kritiske enheder, hvis tjenester eller aktiviteter kun er marginalt relaterede til disse områder, bør dog ifølge samme præambelbetragtning stadig være omfattet af CER-direktivets anvendelsesområde.

Den foreslåede bestemmelse vil omfatte enheder, der ikke allerede er undtaget fra lovens anvendelsesområde, jf. den foreslåede § 1, stk. 3, som undtager offentlige forvaltningsenheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger. Der vil således typisk være tale om private virksomheder, der selvstændigt udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse. I Danmark er der ikke tradition for, at private virksomheder selvstændigt udfører aktiviteter inden for national sikkerhed m.v., og derfor forventes denne del af den foreslåede bestemmelse at have et begrænset anvendelsesområde.

Bestemmelsen vil også omfatte enheder, der udelukkende leverer tjenester til offentlige forvaltningsenheder, som udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, der derfor vil kunne undtages fra de pågældende foreslåede bestemmelser.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at det forhold, at en enhed »udelukkende leverer tjenester« til forvaltningsenheder, der udfører de ovenfor nævnte aktiviteter, indebærer, at de tjenester, som enheden leverer, eksklusivt skal leveres til offentlige forvaltningsenheder, der udfører disse aktiviteter. Såfremt en enhed både leverer tjenesten til offentlige forvaltningsenheder, der udfører de nævnte aktiviteter, og til andre aktører, eksempelvis private virksomheder eller offentlige forvaltningsenheder, som ikke udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, vil enheden ikke kunne undtages fra bestemmelserne i de foreslåede §§ 4-9 og §§ 14-16.

Det følger af det foreslåede stk. 5, at loven ikke finder anvendelse på enheder i det omfang, de er omfattet af lov om styrket beredskab i energisektoren.

Den foreslåede bestemmelse medfører, at enheder i det omfang, de er omfattet af lov om styrket beredskab i energisektoren, ikke vil være omfattet af loven.

Baggrunden for bestemmelsen er, at CER-direktivet gennemføres ved særskilt regulering for energisektoren.

I tilfælde, hvor en enhed både indgår i energisektoren og andre sektorer, som er oplistet i lovens bilag, vil enheden fortsat være omfattet af denne lovs anvendelsesområde for så vidt angår enhedens aktiviteter i disse sektorer.

Det følger af det foreslåede stk. 6, at §§ 4-9 og 14-16 ikke finder anvendelse på kritiske enheder i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur i lovens bilag 3., 4. og 8.pkt.

Efter den foreslåede bestemmelse vil de pågældende sektorer ikke være omfattet af de foreslåede regler om kritiske enheders risikovurdering, modstandsdygtighedsforanstaltninger, hændelsesunderretninger og mulighed for baggrundskontrol samt de foreslåede regler om tilsyn og håndhævelse. Herudover vil disse sektorer ikke være omfattet af de foreslåede regler om kritiske enheder af særlig europæisk betydning.

Herved bliver disse sektorer i praksis alene omfattet af reglerne om identifikation af kritiske enheder samt myndighedernes støtte til kritiske enheder, ligesom den nationale strategi og risikovurdering vil omfatte disse sektorer.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 8, som fastsætter, at medlemsstaterne skal sikre, at artikel 11 (om samarbejde mellem medlemsstaterne), kapitel III (om kritiske enheders modstandsdygtighed), kapitel IV (om kritiske enheder af særlig europæisk betydning) og kapitel VI (om tilsyn og håndhævelse) ikke finder anvendelse på kritiske enheder, som de har identificeret i sektorerne bankvirksomhed, finansiel markedsinfrastruktur og digital infrastruktur. Efter artiklen kan medlemsstaterne vedtage eller opretholde bestemmelser i national ret for at opnå et højere niveau for disse kritiske enheders modstandsdygtighed, forudsat at disse bestemmelser er i overensstemmelse med gældende EU-ret.

Baggrunden for artikel 8 beskrives i CER-direktivets præambelbetragtning nr. 20 og 21.

Præambelbetragtning nr. 20 omhandler sektoren for digital infrastruktur og beskriver bl.a., at i henhold til NIS 2-direktivet skal enheder, der tilhører sektoren for digital infrastruktur, og som kunne betragtes som kritiske enheder efter CER-direktivet, træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer samt underrette om væsentlige hændelser og cybertrusler. Det fremgår videre af denne præambelbetragtning, at eftersom kravene i NIS 2-direktivet mindst svarer til de tilsvarende forpligtelser i CER-direktivet, bør forpligtelserne i CER-direktivets artikel 11 og kapitel III, IV og VI ikke finde anvendelse på enheder, der tilhører sektoren for digital infrastruktur.

Præambelbetragtning nr. 21 omhandler enheder i den finansielle sektor og beskriver bl.a., at der i EU-retten om finansielle tjenesteydelser er fastsat omfattende krav til finansielle enheder om at håndtere alle risici, som de står over for, herunder operationelle risici, og sikre forretningskontinuitet. Der henvises i den forbindelse bl.a. til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (DORA-forordningen), som fastsætter krav til finansielle enheder om at styre risici i forbindelse med informations- og kommunikationsteknologi (IKT), herunder vedrørende beskyttelse af fysisk IKT-infrastruktur.

Det fremgår videre af præambelbetragtningen, at eftersom disse enheders modstandsdygtighed derfor er fuldt ud dækket, bør artikel 11 og kapitel III, IV og VI i CER-direktivet ikke finde anvendelse på disse enheder for at undgå dobbeltarbejde og unødvendige administrative byrder.

Det bemærkes i den forbindelse, at CER-direktivet, NIS 2-direktivet og DORA-forordningen blev offentliggjort som en samlet pakke, og at de tre EU-retsakter således har en tæt sammenhæng med hinanden.

Det følger af det foreslåede stk. 7, at vedkommende minister kan træffe afgørelse om, at loven helt eller delvist ikke finder anvendelse på kritiske enheder, hvor sektorspecifikke EU-retsakter og eventuel national gennemførelse heraf har mindst samme virkning som de tilsvarende forpligtelser efter denne lov og regler udstedt i medfør af denne lov.

Bestemmelsen vil indebære, at det vil være op til vedkommende minister at bestemme, om – og i givet fald i hvilket omfang – der skal gøres undtagelse fra hele eller dele af nærværende lov med henvisning til sektorspecifikke EU-retsakter og eventuel national implementering heraf. Det skal ses i lyset af, at undtagelsen fra CER-direktivet forudsætter, at medlemsstaterne har anerkendt forpligtelserne i de sektorspecifikke EU-retsakter som havende mindst samme virkning som de tilsvarende forpligtelser, der følger af CER-direktivet. Den pågældende minister kan eksempelvis bestemme, at kritiske enheder fortsat vil skulle foretage hændelsesunderretning efter nærværende lov, men at reglerne om kritiske enheders modstandsdygtighedsforanstaltninger ikke finder anvendelse.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 1, stk. 3, hvoraf det følger, at hvor bestemmelser i sektorspecifikke EU-retsakter kræver, at kritiske enheder træffer foranstaltninger for at styrke deres modstandsdygtighed, og hvor disse krav er anerkendt af medlemsstaterne som svarende mindst til de tilsvarende forpligtelser, der er fastsat i CER-direktivet, finder de relevante bestemmelser i CER-direktivet, herunder bestemmelsen om tilsyn og håndhævelse i direktivets kapitel VI, ikke anvendelse.

Der henvises i øvrigt til pkt. 2.2.2.1 og 3.1.3 i lovforslagets bemærkninger.