CER-loven § 14

Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EPCIP-direktivet) indeholdt ikke generelle regler om tilsyn og håndhævelse.

Det fulgte imidlertid af EPCIP-direktivets artikel 5, stk. 2, at hver enkelt medlemsstat kontrollerer, at alle udpegede europæiske kritiske infrastrukturer, der var beliggende på dens område, havde en sikkerhedsplan for operatører eller havde iværksat tilsvarende foranstaltninger, der dækkede de punkter, der var opstillet i direktivets bilag II.

Af EPCIP-direktivets artikel 5, stk. 3, 1. pkt., fremgik yderligere, at hvis en medlemsstat konstaterede, at der ikke var udarbejdet en sådan sikkerhedsplan for operatører eller tilsvarende, sikrer den ved hjælp af hensigtsmæssige foranstaltninger, at sikkerhedsplanen for operatører eller tilsvarende udarbejdes og dækkede de punkter, der var opstillet i direktivets bilag II.

EPCIP-direktivet er i dansk ret implementeret sektorvist for energi- og transportsektorerne, som er de to sektorer, der er omfattet af direktivet.

For en nærmere gennemgang af den sektorvise implementering af EPCIP-direktivet henvises til lovforslagets pkt. 2.4.

Det følger af det foreslåede stk. 1, at den kompetente myndighed på sit område fører tilsyn med kritiske enheders overholdelse af denne lov og regler udstedt i medfør af loven. Den kompetente myndighed kan som led i dette tilsyn 1) uden retskendelse og mod behørig legitimation foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, 2) foretage en audit af en kritisk enhed eller stille krav om, at enheden får et kvalificeret, uafhængigt organ til at foretage denne, og at resultaterne heraf stilles til rådighed for den kompetente myndighed, 3) kræve at få udleveret oplysninger, der er nødvendige for at vurdere, hvorvidt de modstandsdygtighedsforanstaltninger, som den berørte enhed har indført, opfylder kravene i § 6, 4) kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven og 5) kræve at få udleveret dokumentation for faktisk gennemførelse af modstandsdygtighedsforanstaltninger, herunder resultaterne af en audit.

Det følger af CER-direktivets artikel 21, stk. 1, at medlemsstaterne med henblik på at vurdere, om de enheder, som medlemsstaterne har identificeret som kritiske enheder i henhold til artikel 6, stk. 1, opfylder forpligtelserne i CER-direktivet, sikrer, at de kompetente myndigheder har beføjelser og midler til a) at foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, og eksternt tilsyn med de modstandsdygtighedsforanstaltninger, som kritiske enheder har truffet, og b) at foretage eller kræve revision af kritiske enheder.

Det følger videre af CER-direktivets artikel 21, stk. 2, 1. pkt., at medlemsstaterne sikrer, at de kompetente myndigheder har beføjelser og midler til, hvor det er nødvendigt for udførelsen af deres opgaver i henhold til CER-direktivet, at kræve, at enhederne i henhold til NIS 2-direktivet, som medlemsstaterne har identificeret som kritiske enheder i henhold til CER-direktivet, inden for en rimelig tidsfrist, der fastsættes af disse myndigheder, giver a) de oplysninger, der er nødvendige for at vurdere, hvorvidt de foranstaltninger, der træffes af disse enheder for at sikre deres modstandsdygtighed, opfylder kravene i artikel 13, og b) dokumentation for faktisk gennemførelse af disse foranstaltninger, herunder resultaterne af en revision foretaget af en uafhængig og kvalificeret revisor udvalgt af denne enhed og foretaget på dennes regning.

Baggrunden for artikel 21, stk. 1, og stk. 2, 1. pkt., er beskrevet i CER-direktivets præambelbetragtning nr. 40, hvoraf det bl.a. fremgår, at medlemsstaterne bør sikre, at deres kompetente myndigheder har visse specifikke beføjelser til at sikre en korrekt anvendelse og håndhævelse af direktivet i forbindelse med kritiske enheder, når disse enheder hører under deres jurisdiktion som fastsat i direktivet.

Det bemærkes, at anvendelsen af de forskellige tilsynsforanstaltninger, som opregnes i den foreslåede § 14, stk. 1, vil ske efter en konkret vurdering af omstændighederne i hver enkelt sag. Valget af tilsynsforanstaltninger skal ske i overensstemmelse med det forvaltningsretlige proportionalitetsprincip.

Det foreslås i nr. 1, at den kompetente myndighed som led i sit tilsyn uden retskendelse og mod behørig legitimation kan foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, og eksternt tilsyn med de foranstaltninger, som kritiske enheder har truffet i overensstemmelse med § 6.

Efter den foreslåede bestemmelse vil den kompetente myndighed som led i sit tilsyn uden retskendelse og mod behørig legitimation kunne foretage inspektioner på stedet af den kritiske infrastruktur og de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester.

Den foreslåede bestemmelse indebærer, at der skal være adgang til kontrol på stedet uden retskendelse og mod behørig legitimation. For effektivt at kunne konstatere om kritiske enheder i praksis har gennemført de passende modstandsdygtighedsforanstaltninger, er det således nødvendigt, at de kompetente myndigheder som led i et tilsyn har adgang til den kritiske infrastruktur og de lokaler som den kritiske enhed anvender til at levere sine væsentlige tjenester. Det vil i den forbindelse f.eks. kunne indgå, hvilken type kritiske enhed, der føres tilsyn med, tilsynets karakter og omfang.

Den foreslåede bestemmelse vil betyde, at de kompetente myndigheder som led i et tilsyn kan foretage kontrol på stedet til enhver tid. Det forudsættes dog almindeligvis, at den kompetente myndighed forinden et evt. besøg vil varsle den kritiske enhed herom.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der ved CER-direktivets anvendelse af »på stedet« forstås en enheds lokaler, hvorfra enheden driver sine aktiviteter, samt arbejdssteder uden for enhedens lokaler. Det vil således efter bestemmelsen være muligt for de kompetente myndigheder at foretage tilsyn på enhedens forretningssteder.

Det bemærkes, at det af CER-direktivets artikel 21, stk.1, litra a, fremgår, at der kan foretages »eksternt tilsyn«. Dette er en formulering, der efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse kan give anledning til fortolkningstvivl. I den engelske sprogversion af CER-direktivet anvendes formuleringen »off-site supervision«. Efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse udgør eksternt tilsyn, forstået som off-site supervision, et tilsyn fra en kompetent myndighed uden fysisk tilstedeværelse på stedet, men eksempelvis udført på skriftligt grundlag.

Den kompetente myndigheds tilsyn vil efter den foreslåede bestemmelse kunne gennemføres ved fysiske tilsynsbesøg eller på administrativt grundlag.

Et administrativt tilsyn på skriftligt grundlag vil således kunne baseres på de dele af den foreslåede bestemmelse, hvorefter de kompetente myndigheder kan kræve at få relevante oplysninger fra enhederne.

Det foreslås i nr. 2, at den kompetente myndighed som led i sit tilsyn kan foretage en audit af en kritisk enhed eller stille krav om, at enheden får et kvalificeret, uafhængigt organ til at foretage denne, og at resultaterne heraf stilles til rådighed for den kompetente myndighed.

Den foreslåede bestemmelse implementerer CER-direktivets artikel 21, stk. 1, litra b, hvorefter den kompetente myndighed bør have beføjelse til at foretage eller kræve revision af kritiske enheder.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at CER-direktivet skal forstås således, at den kompetente myndighed bør have beføjelse til at foretage en audit af den kritiske enhed, eller kræve, at enheden får et kvalificeret organ til at foretage denne. Det forudsættes, at resultaterne af det kvalificerede, uafhængige organs audit stilles til rådighed for den kompetente myndighed.

Det foreslås i nr. 3, at den kompetente myndighed som led i sit tilsyn kan kræve at få udleveret oplysninger, der er nødvendige for at vurdere, hvorvidt de modstandsdygtighedsforanstaltninger, som den berørte enhed har indført, opfylder kravene i § 6.

Efter den foreslåede bestemmelse vil den kompetente myndighed som led i sit tilsyn kunne kræve at få udleveret oplysninger, der er nødvendige for at vurdere, hvorvidt de modstandsdygtighedsforanstaltninger, som den berørte enhed har indført, opfylder kravene i § 6.

Bestemmelsen implementerer CER-direktivets artikel 21, stk. 2, litra a, hvorefter den kompetente myndighed bør have beføjelse til de oplysninger, der er nødvendige for at vurdere, hvorvidt de foranstaltninger, der træffes af disse enheder for at sikre deres modstandsdygtighed.

Det foreslås i nr. 4, at den kompetente myndighed som led i sit tilsyn kan kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven.

Efter den foreslåede bestemmelse vil de kompetente myndigheder som led i deres tilsyn kunne kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven.

Den foreslåede bestemmelse implementerer CER-direktivets artikel 21, stk. 2, litra a, hvorefter den kompetente myndighed kan kræve, at enhederne i henhold til NIS 2-direktivet, som medlemsstaterne har identificeret som kritiske enheder, skal udlevere de oplysninger, der er nødvendige for at vurdere, hvorvidt de foranstaltninger, der træffes af disse enheder for at sikre deres modstandsdygtighed, opfylder kravene i artikel 13.

Det bemærkes, at de kompetente myndigheder i medfør af den foreslåede bestemmelse kan kræve relevante oplysninger fra enhederne. Det indebærer også, at en kompetent myndighed kan kræve at få udleveret nødvendige oplysninger til afgørelse af, om et forhold er omfattet af loven eller regler udstedt i medfør af loven.

Det foreslås i nr. 5, at den kompetente myndighed som led i sit tilsyn kan kræve at få udleveret dokumentation for faktisk gennemførelse af modstandsdygtighedsforanstaltninger, herunder resultaterne af en audit.

Efter den foreslåede bestemmelse vil den kompetente myndighed kunne kræve at få udleveret dokumentation for faktisk gennemførelse af modstandsdygtighedsforanstaltninger, herunder resultaterne af en audit.

Den foreslåede bestemmelse implementerer CER-direktivets artikel 21, stk. 2, litra b, hvorefter den kompetente myndighed kan kræve, at enhederne i henhold til NIS 2-direktivet, som medlemsstaterne har identificeret som kritiske enheder, skal udlevere dokumentation for faktisk gennemførelse af disse foranstaltninger, herunder resultaterne af en revision foretaget af en uafhængig og kvalificeret revisor udvalgt af denne enhed og foretaget på dennes regning.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at for så vidt angår de foreslåede bestemmelser i nr. 3, 4 og 5 og den del af bestemmelsen i nr. 2, der vedrører, at der kan stilles krav om, at enheden får et kvalificeret, uafhængigt organ til at foretage audit, og at resultaterne heraf stilles til rådighed for den kompetente myndighed, vil være tale om oplysningspligter omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer bl.a., at kapitel 4 (om retten til ikke at inkriminere sig selv mv.) vil gælde i tilfælde, hvor der måtte være en konkret mistanke om, at en enhed har begået en overtrædelse af lovgivningen, der kan medføre straf. Der henvises i øvrigt til kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter og bemærkningerne hertil. Der henvises til Folketingstidende 2003-04, tillæg A, s. 3075-3078 og side 3096-3099.

Det følger af det foreslåede stk. 2, at ved anvendelsen af tiltagene i stk. 1, nr. 3-5, skal den kompetente myndighed angive formålet med tiltaget og præcisere, hvilke oplysninger der kræves udleveret.

Den foreslåede bestemmelse indebærer, at den kompetente myndighed ved udøvelsen af sin tilsynsmyndighed skal kunne redegøre nærmere for formålet med det valgte tiltag.

Den foreslåede bestemmelse vil gennemføre CER-direktivets artikel 21, stk. 2, 2. pkt., hvoraf det fremgår, at når der anmodes om disse oplysninger, angiver de kompetente myndigheder formålet med kravet og anfører, hvilke oplysninger der kræves.

Det følger af det foreslåede stk. 3, at den kompetente myndighed kan stille krav til, hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 3-5, skal afgives.

Den foreslåede bestemmelse indebærer, at den kompetente myndighed i forbindelse med, at der stilles krav om udlevering af oplysninger, adgang til data og dokumentation for faktisk gennemførelse af modstandsdygtighedsforanstaltninger efter de foreslåede bestemmelser i stk. 1, nr. 3-5, samtidig kan forlange, at oplysningerne m.v. udleveres på en bestemt måde og i en bestemt form.

Der vil eksempelvis kunne stilles krav om anvendelse af bestemte skemaer, eller at der skal foretages indtastninger på en hjemmeside.

Det bemærkes, at almindelige forvaltningsretlige principper om proportionalitet og fastsættelse af tidsfrister for afgivelse af oplysninger m.v. vil være normerende for en kompetent myndigheds anmodning om oplysninger m.v.

Der henvises i øvrigt til pkt. 3.4 i lovforslagets bemærkninger.