Lov om sikkerhed og beredskab i telesektoren

Lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, som ændret ved § 18 i lov nr. 1156 af 8. juni 2021, regulerer i dag informationssikkerhed og beredskab i telesektoren, og finder anvendelse for udbydere af elektroniske kommunikationsnet eller -tjenester.

Det følger af NIS 2-direktivets artikel 2, stk. 1, at direktivet bl.a. finder anvendelse på udbydere af offentlige elektroniske kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, jf. direktivets bilag I, pkt. 8. Det følger af derudover af NIS 2-direktivets artikel 26, stk. 1, litra a, at udbydere af offentlige elektroniske kommunikationsnet eller af offentligt tilgængelige elektroniske kommunikationstjenester anses for at henhøre under jurisdiktionen i den medlemsstat, hvor de leverer deres net eller tjenester.

Det følger af det foreslåede stk. 1, at loven finder anvendelse for teleudbydere, der med et kommercielt formål stiller offentlige elektroniske kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester til rådighed i Danmark, jf. dog stk. 2.

Den foreslåede bestemmelse gennemfører NIS 2-direktivets artikel 2, stk.1, og artikel 26.

Det foreslås med stk. 2, at loven ikke finder anvendelse for kommuner og regioner, der stiller offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester til rådighed.

Baggrunden herfor er, at det følger af bemærkningerne til den foreslåede § 1, stk. 2, i det samtidig fremsatte forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau, at ’i telesektoren vil enheder i enhedskategorierne »udbydere af offentlige elektroniske kommunikationsnet« og »udbydere af offentligt tilgængelige elektroniske kommunikationstjenester«, i sektoren »Digital infrastruktur« i bilag I til NIS 2-direktivet, som udgangspunkt blive omfattet af lov om sikkerhed og beredskab i telesektoren. I det omfang kommuner og regioner måtte udbyde offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester, vil de imidlertid være omfattet af nærværende lov. ’

Lov om net og informationssikkerhed indeholder visse definitioner, som foreslås videreført i den foreslåede § 2, mens størstedelen af definitionerne i NIS 2-direktivet ikke findes i dansk ret.

Den foreslåede bestemmelse i § 2 indeholder definitioner af lovens centrale begreber.

Definitionerne bygger hovedsageligt på de tilsvarende definitioner i NIS 2-direktivet. Hertil kommer videreførelse af centrale definitioner i lov om sikkerhed i net og tjenester, som ophæves med nærværende lov.

Det foreslås at affatte definitionen i nr. 1, således »Beredskabssituationer og andre ekstraordinære situationer« defineres som situationer hvor der allerede er, eller hvor der kan opstå større ulykker, katastrofer eller hændelser, herunder krise eller krig og som kan påvirke udbuddet af net og tjenester.

Definitionen svarer i vidt omfang til den gældende definition af beredskabssituationer og andre ekstraordinære situationer i § 1, nr. 2 i bekendtgørelse nr. 259 af 22. februar 2021 om sikkerhed og beredskab i net og tjenester. Bekendtgørelsen definerer beredskabssituationer og andre ekstraordinære situationer som ’Større ulykker, katastrofer eller hændelser, hvor det kan være nødvendigt at indføre særlige foranstaltninger vedrørende net og tjenester med henblik på at kunne opretholde samfundets funktioner. Den nuværende definition omfatter alene tilfælde, hvor der er indtrådt en beredskabssituation eller anden ekstraordinær situation og ikke situationer, hvor der kan være risiko for dette. Det betyder i praksis, at der ikke kan gøres brug af de eksisterende handlemuligheder i forbindelse med planlagte begivenheder, herunder eksempelvis i forbindelse med opdatering af SINE-netværket.

Med den foreslåede ændring af definition vil handlemulighederne i beredskabssituationer og andre ekstraordinære situationer også kunne iværksættes, hvor der er risiko for påvirkning af udbuddet i net og tjenester.

Det foreslås, at affatte definitionen i nr. 2, således »cybertrussel« defineres som enhver potentiel omstændighed, begivenhed eller handling, som kan skade, forstyrre eller på anden måde have en negativ indvirkning på net- og informationssystemer, brugerne af sådanne systemer og andre personer.

Efter NIS 2-direktivets artikel 6, nr. 10, skal cybertrussel forstås på samme måde som definitionen i artikel 2, nr. 8, i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed).

Den foreslåede bestemmelse svarer til definitionen i den nævnte forordning. Det forudsættes, at bestemmelsen fortolkes i overensstemmelse med denne definition.

Det foreslås, at affatte definitionen i nr. 3 således »elektronisk kommunikationsnet« defineres som et transmissionssystem, uanset om det bygger på en permanent infrastruktur eller en centraliseret administrationskapacitet, og, hvor det er relevant, koblings- og dirigeringsudstyr og andre ressourcer, herunder netelementer, der ikke er aktive, som gør det muligt at overføre signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellitnet, jordbaserede fastnet (kredsløbs- og pakkekoblede, herunder i internettet) og mobilnet, elkabelsystemer, i det omfang de anvendes til transmission af signaler, net, som anvendes til radio- og tv-spredning, og kabel-tv-net, uanset hvilken type information der overføres.

NIS 2-direktivets artikel 6, nr. 1, litra a) definerer et elektronisk kommunikationsnet ved en henvisning til artikel 2, nr. 1), i direktiv (EU) 2018/1972 (EU’s telekodeks). Den foreslåede definition i nr. 3, svarer til definitionen af et elektronisk kommunikationsnet i artikel 2, nr. 1, i EU’s telekodeks, og skal fortolkes i overensstemmelse hermed.

Det foreslås, at affatte definitionen i nr. 3, således »elektronisk kommunikationstjeneste« defineres som en tjeneste, som normalt ydes mod betaling via elektroniske kommunikationsnet, og som med undtagelse af tjenester, der består i tilrådighedsstillelse af eller udøvelse af redaktionel kontrol over indhold fremført via elektroniske kommunikationsnet og -tjenester omfatter følgende typer tjenester; internetadgangstjenester, interpersonelle kommunikationstjenester og tjenester, der udelukkende eller overvejende består i overføring af signaler, som f.eks. transmissionstjenester, der anvendes til levering af maskine-til-maskine-tjenester og til radio- og tv-spredning.

Med NIS 2-direktivets artikel 6, nr. 37, defineres en elektronisk kommunikationstjeneste ved en henvisning til artikel 2, nr. 4), i EU’s telekodeks. Den foreslåede definition i nr. 3, svarer til definitionen af en elektronisk kommunikationstjeneste i artikel 2, nr. 4, i EU’s telekodeks, og skal fortolkes i overensstemmelse hermed.

Det fremgår af artikel 2, nr. 4, i EU’s telekodeks, at elektroniske kommunikationstjenester omfatter tre typer af tjenester, herunder navnlig internetadgangstjenester, interpersonelle kommunikationstjenester og tjenester, der udelukkende eller overvejende består i overføring af signaler, som f.eks. transmissionstjenester, der anvendes til levering af maskine-til-maskine-tjenester og til radio- og tv-spredning.

Det foreslås, at affatte definitionen i nr. 5, således »hændelse« defineres som en begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare.

Den foreslåede bestemmelse svarer til definitionen i NIS 2-direktivets artikel 6, nr. 6. Det forudsættes, at bestemmelsen fortolkes i overensstemmelse med direktivets definition.

Det foreslås, at affatte definitionen i nr. 6, således »håndtering af hændelser« defineres som enhver handling og procedure, der tager sigte på at forebygge, opdage, analysere og inddæmme eller at reagere på og reetablere sig efter en hændelse.

Den foreslåede bestemmelse svarer til definitionen i NIS 2-direktivets artikel 6, nr. 8. Det forudsættes, at bestemmelsen fortolkes i overensstemmelse med direktivets definition.

Det foreslås, at affatte definitionen i nr. 7, således »interpersonel kommunikationstjeneste« defineres som en tjeneste, som normalt ydes mod betaling, og som muliggør direkte interpersonel og interaktiv informationsudveksling via elektroniske kommunikationsnet mellem et afgrænset antal personer, hvor de personer, der indleder eller deltager i kommunikationen, bestemmer hvem modtageren eller modtagerne skal være, undtaget tjenester, der blot muliggør interpersonel og interaktiv kommunikation som en mindre støttefunktion, der er tæt knyttet til en anden tjeneste.

Definitionen svarer med enkelte sproglige justeringer til den tilsvarende definition i artikel 2, nr. 5, i EU’s telekodeks, hvorefter der ved »interpersonel kommunikationstjeneste« forstås en tjeneste, som normalt ydes mod betaling, og som muliggør direkte interpersonel og interaktiv informationsudveksling via elektroniske kommunikationsnet mellem et afgrænset antal personer, hvor de personer, der indleder eller deltager i kommunikationen, bestemmer hvem modtageren eller modtagerne skal være, og omfatter ikke tjenester, der blot muliggør interpersonel og interaktiv kommunikation som en mindre støttefunktion, der er tæt knyttet til en anden tjeneste.

Ifølge EU’s telekodeks omfatter interpersonelle kommunikationstjenester, to typer af tjenester, herunder både nummerbaserede- og nummeruafhængige kommunikationstjenester.

Det forudsættes, at definitionen af en interpersonel kommunikationstjeneste fortolkes i overensstemmelse med den tilsvarende definition i EU’s telekodeks.

Det foreslås, at affatte definitionen i nr. 8, således »net- og informationssystem« defineres som a) et elektronisk kommunikationsnet, jf. den foreslåede nr. 3, b) enhver anordning eller gruppe af forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data, og c) digitale data, som lagres, behandles, fremfindes eller overføres af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.

Den foreslåede bestemmelse svarer til definitionen i NIS 2-direktivets artikel 6, nr. 1, litra a. Det forudsættes, at definitionen forstås og fortolkes i overensstemmelse med definitionen i direktivet. Det bemærkes, at NIS 2-direktivets artikel 6, nr. 1, litra a, henviser til definitionen i EU’s telekodeks artikel 2, nr. 1. Det forudsættes således desuden, at definitionen forstås og fortolkes i overensstemmelse med definitionen i EU’s telekodeks.

Det foreslås, at affatte definitionen i nr. 9, således »nærvedhændelse« defineres som en begivenhed, der kunne have bragt tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare, men som det lykkedes at forhindre, eller som ikke indtraf.

Den foreslåede bestemmelse svarer til definitionen i NIS 2-direktivets artikel 6, nr. 5. Det forudsættes, at bestemmelsen fortolkes i overensstemmelse med direktivets definition.

Det foreslås, at affatte definitionen i nr. 10, således »offentligt elektronisk kommunikationsnet« defineres som et elektronisk kommunikationsnet, som udelukkende eller overvejende bruges til udbud af elektroniske kommunikationstjenester, der er tilgængelige for offentligheden, og som danner grundlag for overførsel af information mellem nettermineringspunkter.

Den foreslåede bestemmelse svarer til definitionen i NIS 2-direktivets artikel 6, nr. 36, som henviser til definitionen i artikel 2, nr. 8, i EU’s telekodeks.

Det foreslås, at affatte definitionen i nr. 11, således »offentligt tilgængelige elektroniske kommunikationstjenester« defineres som: en elektronisk kommunikationstjeneste, jf. det foreslåede nr. 4, der stilles til rådighed for en ikke på forhånd afgrænset kreds af slutbrugere eller teleudbydere.

Det foreslås, at affatte definitionen i nr. 12, således »radiobaseret lokalnet« defineres som et trådløst adgangssystem med lav effekt og lille rækkevidde, der har en lav risiko for at skabe interferens med andre sådanne systemer etableret i nærheden af andre brugere, og som på et ikkeeksklusivt grundlag anvender harmoniserede radiofrekvenser (RLAN).

Den foreslåede bestemmelse svarer til definitionen i artikel 2, nr. 24, i EU’s telekodeks, og skal fortolkes i overensstemmelse hermed.

Det foreslås, at affatte definitionen i nr. 13, således »sikkerhed i net- og informationssystemer« defineres som net- og informationssystemers, jf. det foreslåede nr. 8, evne til, på et givet sikkerhedsniveau, at modstå enhver begivenhed, der kan være til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer.

Den foreslåede bestemmelse svarer til definitionen i NIS 2-direktivets artikel 6, nr. 2. Det forudsættes, at definitionen forstås og fortolkes i overensstemmelse med direktivets definition.

Det foreslås, at affatte definitionen i nr. 14, således »teleudbyder« defineres som den, der med et kommercielt formål stiller produkter af offentlige elektroniske kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester til rådighed for andre.

Definitionen viderefører definitionen af en erhvervsmæssig udbyder i § 2, nr. 5, i lov om sikkerhed i net og tjenester, og skal fortolkes i overensstemmelse hermed.

Det foreslås, at affatte definitionen i nr. 15, således »væsentlig cybertrussel« defineres som en cybertrussel, som på grundlag af sine tekniske karakteristika kan antages at have potentiale til at få alvorlig indvirkning på en udbyders net- og informationssystemer eller på brugerne af udbyderens tjenester ved at forårsage betydelig fysisk eller ikke fysisk skade.

Den foreslåede bestemmelse svarer til definitionen i NIS 2-direktivets artikel 6, nr. 11. Det forudsættes, at bestemmelsen forstås og fortolkes i overensstemmelse med direktivets definition.

Lov om sikkerhed i net og tjenester indeholder ikke en definition af væsentlige teleudbydere.

Efter NIS 2-direktivets artikel 3, stk. 1, litra a, anses enheder af en type, som er omhandlet i direktivets bilag I, og som overskrider tærsklerne for mellemstore virksomheder, der er fastsat i artikel 2, stk. 1, i bilaget til henstilling 2003/361/EF, for at være væsentlige enheder.

Det følger af den foreslåede § 3, stk. 1, at teleudbydere, der med et kommercielt formål udbyder offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester som deres hovedydelse, eller som en ikke-accessorisk del af virksomheden, anses for at være væsentlige, hvis de opfylder mindst én af følgende betingelser: 1) udbyderen beskæftiger mere end 50 ansatte, eller 2) udbyderen har en årlig omsætning på over 10 mio. EUR og en årlig balance på over 10 mio. EUR.

Den foreslåede bestemmelse vil gennemføre artikel 3, stk. 1, litra a, i NIS 2-direktivet.

Hvorvidt en enhed overskrider tærsklerne for mellemstore virksomheder efter den foreslåede bestemmelse, vil skulle vurderes ud fra de kriterier, der er fastsat i artikel 2, stk. 1, i bilaget til Europa-Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder. I artikel 2, stk. 1, i bilaget til henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder afgrænses kategorien af mikrovirksomheder, små og mellemstore virksomheder (SMV’er) som virksomheder, som beskæftiger under 250 personer, og har en årlig omsætning på ikke over 50 mio. EUR eller en årlig samlet balance på ikke over 43 mio. EUR.

Henstillingen må fortolkes således, at virksomheder falder inden for definitionen af mellemstore virksomheder, når virksomheden har 50 ansatte eller derover eller en årlig omsætning på 10 mio. EUR eller derover og en årlig balance på 10 mio. EUR eller derover. Der henvises i øvrigt til gennemgangen heraf i pkt. 3.1.3.

For at sikre, at enheder, der har partnervirksomheder eller tilknyttede virksomheder, ikke betragtes som væsentlige enheder, hvor dette ville være uforholdsmæssigt, skal der i overensstemmelse med præambelbetragtning nr. 16 til NIS 2-direktivet tages hensyn til den grad af uafhængighed, som en enhed har i forhold til sine partnervirksomheder eller tilknyttede virksomheder. Der kan i denne forbindelse navnlig tages hensyn til, om en enhed er uafhængig af sine partnervirksomheder eller tilknyttede virksomheder med hensyn til de net- og informationssystemer, som enheden anvender i forbindelse med leveringen af sine tjenester og med hensyn til de tjenester, som enheden leverer.

På dette grundlag kan medlemsstaterne i overensstemmelse med præambelbetragtning nr. 16, hvor det er hensigtsmæssigt, anse en sådan enhed for ikke at udgøre en mellemstor virksomhed i henhold til artikel 2, i bilaget til henstilling 2003/361/EF, eller for ikke at overskride tærsklerne for en mellemstor virksomhed fastsat i nævnte artikels stk. 1, hvis den pågældende enhed i betragtning af dennes grad af uafhængighed ikke ville være blevet anset for at udgøre en mellemstor virksomhed eller at overskride disse tærskler, hvis kun dens egne data var blevet taget i betragtning.

Det foreslås, at alene teleudbydere, der opfylder størrelseskravet, og som med et kommercielt formål udbyder offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester som deres hovedydelse, eller som en ikke-accessorisk del af virksomheden, anses for at være væsentlige.

Det afgørende for, om udbuddet sker med et kommercielt formål er, om udbuddet et nettet eller tjenesten sker på markedsmæssige vilkår, herunder som led i markedsføringen af virksomheden eller foreningen.

Som ikke-accessorisk del af virksomheden forstås, at udbuddet ikke kun er en accessorisk del af virksomheden. Et hotel, der for eksempel tilbyder sine kunder adgang til trådløst internet vil således som udgangspunkt ikke opfylde kravet, idet udbuddet i den forbindelse må anses for at være en integreret del af at leje et hotelværelse.

Formålet med tilføjelsen af kravet om kommercielt formål og at udbuddet skal være en ikke-accessorisk del af virksomheden er at sikre, at de nye skærpede regler efter NIS 2-direktivet ikke finder anvendelse for udbydere, der ikke meningsfuldt kan siges at falde ind under kategorien væsentlige teleudbydere efter NIS 2-direktivet.

Der henvises til den nærmere uddybning af lovens udbyderbegreb i pkt. 3.1.4.

Det foreslås i stk. 2¸ at uanset deres størrelse anses følgende teleudbydere for væsentlige teleudbydere: 1) teleudbydere, der er den eneste udbyder i Danmark af et net eller en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, 2) en forstyrrelse af det net eller den tjeneste, teleudbyderen leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden, 3) en forstyrrelse af det net eller den tjeneste, teleudbyderen leverer, vil kunne medføre en væsentlig systemisk risiko, herunder hvor en sådan forstyrrelse kan have en grænseoverskridende virkning, 4) teleudbyderen er kritisk på grund af sin specifikke betydning på nationalt eller regionalt plan for sektoren eller type af net eller tjeneste eller for andre indbyrdes afhængige sektorer i Danmark, eller 5) teleudbyderen er identificeret som en kritisk enhed i henhold til lov om kritiske enheders modstandsdygtighed.

Den foreslåede bestemmelse vil gennemføre artikel 3, stk. 1, litra c, litra e-f og artikel 2, stk. 2, litra b-e, i NIS 2-direktivet.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 3, stk. 1, litra c, litra e-f og artikel 2, stk. 2, litra b-e, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det bemærkes, at der inden lovforslagets ikrafttrædelse vil blive offentliggjort vejledningsmateriale, som vil hjælpe omfattede teleudbydere med at vurdere, om de er omfattet af den foreslåede bestemmelse, ligesom teleudbydere vil kunne få den fornødne vejledning herom fra Styrelsen for Samfundssikkerhed.

Det følger af det foreslåede nr. 1, at teleudbydere, der er den eneste udbyder i Danmark af et net eller en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, anses for væsentlige teleudbydere.

Bestemmelsen skal forstås således, at teleudbyderen skal være den reelt eneste udbyder i Danmark.

Det følger af det foreslåede nr. 2, at en forstyrrelse af det net eller den tjeneste, teleudbyderen leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden, anses for væsentlige teleudbydere.

Det følger af det foreslåede nr. 3, at en forstyrrelse af det net eller den tjeneste, teleudbyderen leverer, vil kunne medføre en væsentlig systemisk risiko, herunder hvor en sådan forstyrrelse kan have en grænseoverskridende virkning, anses for væsentlige teleudbydere.

Det følger af det foreslåede nr. 4, at teleudbydere, som er kritiske på grund af sin specifikke betydning på nationalt eller regionalt plan for sektoren eller type af net eller tjeneste eller for andre indbyrdes afhængige sektorer i Danmark, anses for væsentlige teleudbydere.

Det følger af det foreslåede nr. 5, at teleudbydere, der er identificeret som en kritisk enhed i henhold til lov om kritiske enheders modstandsdygtighed, anses for væsentlige teleudbydere.

Det foreslås i stk. 3, at ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om kriterier for, hvornår enheder er omfattet af stk. 2.

Bemyndigelsesbestemmelsen giver Ministeriet for Samfundssikkerhed og Beredskab mulighed for at fastsætte nærmere kriterier for, hvornår enheder er omfattet af bestemmelsens stk. 2. Samtidig sikres gennem bemyndigelsesbestemmelsen, at kriterierne for, hvornår teleudbydere er omfattet at stk. 2, løbende og smidigt kan tilpasses og målrettes, således at det kan sikres, at kravene er i overensstemmelse med eventuelle delegerede retsakter, som Europa-Kommissionen måtte vedtage.

Den foreslåede bestemmelse skal endvidere sikre, at der kan tages højde for forskellige teknologier og typer af tjenesteudbud, hvor disse ikke entydigt kan eller bør vurderes efter samme væsentlighedskriterier. M2M og IoT-tjenester er konkrete eksempler, hvor den nuværende anvendelse af antal slutbrugere som kriterie for, hvornår en række bestemmelser bringes i anvendelse, i praksis har medført en skævvridning mellem ellers sammenlignelige teleudbydere i henhold til sikkerhed i net og tjenester eller i forhold til kritikaliteten af deres tjenesteudbud.

Det følger af det foreslåede stk. 1, at teleudbydere, der ikke opfylder kriterierne for at være væsentlige udbydere efter lovens § 3, anses som vigtige teleudbydere, såfremt de med et kommercielt formål udbyder offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester som deres hovedydelse, eller som en ikke-accessorisk del af virksomheden.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 3, stk. 2, 1. pkt., som fastsætter, at enheder af en type omhandlet af direktivets bilag I eller II, der ikke opfylder kriterierne for at være væsentlige enheder i henhold til artikel 3, stk. 1, anses for at være vigtige enheder.

Teleudbydere, som med et kommercielt formål udbyder offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester som en accessorisk del af virksomheden, herunder RLAN-udbydere, anses således ikke som vigtige teleudbydere.

Det følger af det foreslåede stk. 2, at Styrelsen for Samfundssikkerhed kan træffe afgørelse om, at en teleudbyder, der er omfattet af § 3, stk. 2, nr. 1-4, skal anses som en vigtig teleudbyder. Der vil være tale om en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler herom vil finde anvendelse.

Den foreslåede bestemmelse vil delvist gennemføre NIS 2-direktivets artikel 3, stk. 2, jf. artikel 3, stk. 1, litra e og g. Det følger af artikel 3, stk. 2, at enheder af en type omhandlet i direktivets bilag I eller II, der ikke opfylder kriterierne for at være væsentlige enheder i henhold til artikel 3, stk. 1, anses for at være vigtige enheder. Dette indbefatter enheder, som medlemsstaterne har identificeret som vigtige enheder i medfør af artikel 2, stk. 2, litra b-e.

Den foreslåede bestemmelse indebærer, at Styrelsen for Samfundssikkerhed kan træffe afgørelse om, at en enhed, der er omfattet af loven på baggrund af de kvalitative kriterier i relation til deres samfundsmæssige betydning, jf. NIS 2-direktivets artikel 2, stk. 2, litra b-e, skal anses for at være en vigtig teleudbyder uanset udgangspunktet i det foreslåede § 3, stk. 2, nr. 1-4.

Såfremt en enhed i medfør af øvrige dele af lovforslagets § 3, herunder stk. 1, eller stk. 2, nr. 5, må anses for at være en væsentlig teleudbyder, vil der ikke kunne ske ændring af enhedens status fra væsentlig til vigtig efter den foreslåede bestemmelse.

Der henvises i øvrigt til lovforslagets pkt. 3.1.

Det følger af § 3, stk. 1, i lov om sikkerhed i net og tjenester, at Styrelsen for Samfundssikkerhed fastsætter regler om minimumskrav til sikkerhed i net og tjenester for udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester og udbydere af NUIK-tjenester, herunder krav om passende tekniske, processuelle og organisatoriske foranstaltninger med henblik på risikostyring i forhold til sikkerhed i net og tjenester og opretholdelse af et passende sikkerhedsniveau, herunder krav om, at sådanne foranstaltninger gennemføres på baggrund af dokumenterede og ledelsesforankrede processer.

Det følger af den foreslåede stk. 1, at væsentlige og vigtige teleudbydere skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som disse enheder anvender til deres operationer eller til at levere deres tjenester, og for at forhindre hændelser eller minimere deres indvirkning på modtagere af deres tjenester og på andre tjenester. Foranstaltningerne skal som minimum omfatte de i bestemmelsens nr. 1-10 angivne foranstaltninger.

Den foreslåede bestemmelse vil gennemføre artikel 21, stk. 1-3, i NIS 2-direktivet.

Det fremgår af NIS 2-direktivets artikel 21, stk. 1, at medlemsstaterne skal sikre, at væsentlige og vigtige enheder træffer passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som disse enheder anvender til deres operationer eller til at levere deres tjenester, og for at forhindre hændelser eller minimere deres indvirkning på modtagere af deres tjenester og på andre tjenester. Foranstaltningerne skal under hensyntagen til det aktuelle teknologiske stade og i givet fald til relevante europæiske og internationale standarder samt gennemførelsesomkostningerne tilvejebringe et sikkerhedsniveau i net- og informationssystemer, der står i forhold til risiciene. Ved vurderingen af proportionaliteten af disse foranstaltninger skal der tages behørigt hensyn til graden af enhedens eksponering for risici, enhedens størrelse og sandsynligheden for hændelser og deres alvor, herunder deres samfundsmæssige og økonomiske indvirkning.

Det fremgår af NIS 2-direktivets artikel 21, stk. 2, at de i stk. 1 omhandlede foranstaltninger skal baseres på en tilgang, der omfatter alle farer og sigter på at beskytte net- og informationssystemer og disse systemers fysiske miljø mod hændelser.

Efter NIS 2-direktivets artikel 21, stk. 3, skal medlemsstaterne sikre, at enhederne, når de overvejer hvilke foranstaltninger efter artikel 21, stk. 2, litra d, om forsyningssikkerhed der er passende, skal tage hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den generelle kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer. Enhederne skal desuden tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der kan foretages af Samarbejdsgruppen i samarbejde med Europa-Kommissionen og ENISA i overensstemmelse med NIS 2-direktivets artikel 22, stk. 1.

I overensstemmelse med direktivets forudsætninger, som udtrykt i præambelbetragtning nr. 83, 2. pkt., vil forpligtelsen til at indføre foranstaltninger til styring af cybersikkerhedsrisici finde anvendelse på væsentlige og vigtige enheder, uanset om de selv vedligeholder deres net- og informationssystemer eller outsourcer vedligeholdelsen deraf.

I overensstemmelse med præambelbetragtning nr. 79 skal foranstaltningerne omfatte alle farer og sigte på at beskytte net- og informationssystemer og de pågældende systemers fysiske miljø mod enhver begivenhed såsom tyveri, brand, oversvømmelse, telekommunikations- eller strømsvigt, eller uautoriseret fysisk adgang til, beskadigelse af eller indgreb i en væsentlig eller vigtig enheds informations- og informationsbehandlingsfaciliteter, som kan kompromittere tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemerne. Foranstaltningerne bør derfor også adressere den fysiske og miljømæssige sikkerhed i net- og informationssystemerne ved at inkludere foranstaltninger til beskyttelse af sådanne systemer mod systemsvigt, menneskelige fejl, ondsindede handlinger eller naturfænomener i overensstemmelse med europæiske og internationale standarder såsom dem, der indgår i ISO/IEC 27000-serien.

Det bemærkes, at væsentlige og vigtige teleudbydere i overensstemmelse med forvaltningslovens § 7 i fornødent omfang vil kunne få vejledning og bistand fra Styrelsen for Samfundssikkerhed.

Det foreslås i nr. 1, at foranstaltningerne skal omfatte eller tage højde for politikker for risikoanalyse og informationssystemsikkerhed.

Dette indebærer bl.a., at enheden skal udarbejde en politik for informationssikkerhed, der fastlægger den overordnede ramme for implementering af foranstaltninger, jf. § 6, stk. 1, nr. 1-10, som understøtter sikkerheden i enhedens omfattede net- og informationssystemer. Enheder skal endvidere udarbejde en politik for risikostyring, der identificerer og adresserer eventuelle risici i forhold til sikkerheden i net- og informationssystemer

Det følger af det foreslåede nr. 2, at foranstaltningerne skal omfatte eller tage højde for håndtering af hændelser.

Dette indebærer bl.a., at enheder skal udarbejde procedurer for håndtering af hændelser. Enheder skal således i fornødent omfang implementere logning og monitorering af uregelmæssigheder i enhedens net- og informationssystemer med henblik på at kunne identificere hændelser. Logdata skal derudover sikres mod manipulation og beskyttes mod uautoriseret adgang.

Det foreslås i nr. 3, at foranstaltningerne skal omfatte eller tage højde for driftskontinuitet.

Dette indebærer, at enheder skal udarbejde procedurer til sikring af driftskontinuitet i tilfælde af en hændelse. På grundlag af enhedernes risikostyring, jf. nr. 2, og driftskontinuitetsprocedure, skal enheder således udarbejde procedurer for backupstyring og gendannelse af data. Enheder skal foretage en vurdering af behovet for at udarbejde en beredskabsplan for krisestyring og reetablering efter en katastrofe. Enheder skal foretage en vurdering af, om der er behov for at etablere redundans, nødstrømsforsyning, understøttende forsyning eller anden sikring med tilsvarende virkning for enhedens net- og informationssystemer.

Det foreslås i nr. 4, at foranstaltninger skal omfatte eller tage højde for forsyningssikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere.

Dette indebærer, at enheder skal udarbejde procedurer for leverandørstyring for at sikre passende forsyningskædesikkerhed. Der henvises i den forbindelse til NIS 2-direktivets artikel 21, stk. 3, hvoraf det følger, at enhederne, når de overvejer, hvilke foranstaltninger, der er passende, tager hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den generelle kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer. Det fremgår i forlængelse heraf, at medlemsstaterne sikrer, at enhederne, når de overvejer, hvilke foranstaltninger omhandlet § 21, stk. 2, litra d, der er passende, er forpligtet til at tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der foretages i overensstemmelse med artikel 22, stk. 1, hvoraf det fremgår, at samarbejdsgruppen i samarbejde med Kommissionen og ENISA kan foretage koordinerede sikkerhedsrisikovurderinger af specifikke kritiske IKT-tjenester, -systemer eller -produktforsyningskæder under hensyntagen til tekniske og, hvor det er relevant, ikketekniske risikofaktorer.

Der henvises endvidere til NIS 2-direktivets præambelbetragtning nr. 85, hvoraf det fremgår, at håndtering af risici, der stammer fra en enheds forsyningskæde og dens forhold til sine leverandører såsom udbydere af datalagrings- og databehandlingstjenester eller udbydere af administrerede sikkerhedstjenester og softwareudgivere, er særlig vigtig i betragtning af udbredelsen af hændelser, hvor enheder har været udsat for cyberangreb, og hvor ondsindede gerningspersoner har været i stand til at kompromittere sikkerheden af en enheds net- og informationssystemer ved at udnytte sårbarheder, der påvirker tredjepartsprodukter og -tjenester. Væsentlige og vigtige enheder bør derfor vurdere og tage hensyn til den generelle kvalitet og modstandsdygtighed af produkter og tjenester, de heri integrerede foranstaltninger til styring af cybersikkerhedsrisici og deres leverandørers og tjenesteudbyderes cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer. Væsentlige og vigtige enheder bør navnlig tilskyndes til at indarbejde foranstaltninger til styring af cybersikkerhedsrisici i kontraktlige arrangementer med deres direkte leverandører og tjenesteudbydere. Disse enheder kunne overveje risici hidrørende fra leverandører og tjenesteudbydere i andre led.

I overensstemmelse hermed bør procedurer efter det foreslåede nr. 4, tage højde for sikkerhedsrelaterede aspekter vedrørende forholdet mellem enheden og dens direkte leverandører og tjenesteudbydere relateret til enhedens net- og informationssystemer. Enheder skal i den forbindelse bl.a. udarbejde procedurer for aftaleindgåelse med direkte leverandører og tjenesteudbydere af produkter og tjenester, der kan påvirke sikkerheden i enhedens net-og informationssystemer.

Det foreslås i nr. 5, at foranstaltninger skal omfatte eller tage højde for sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.

Dette indebærer, at enheder skal udarbejde procedurer for sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af enhedens net- og informationssystemer, med udgangspunkt i politikken for informationssystemsikkerhed. Enheder skal endvidere udarbejde procedurer for håndtering af sårbarheder, der kan have indvirkning på enhedens net- og informationssystemer.

Det foreslås med nr. 6, at foranstaltninger skal omfatte eller tage højde for politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.

Dette indebærer, at enheder skal udarbejde en politik og procedurer med henblik på at vurdere effektiviteten af de implementerede foranstaltninger samt for vurdering af behov for tekniske tests for potentielle sårbarheder, herunder f.eks. i form af sårbarheds-scanninger eller penetrationstests.

Det foreslås i nr. 7, at foranstaltninger skal omfatte eller tage højde for grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.

Dette indebærer bl.a., at enheder skal implementere relevante grundlæggende cyberhygiejnepraksisser med udgangspunkt i deres politik for informationssikkerhed, herunder f.eks. gennem brug af passwords og sikker brug af e-mails. Endvidere skal enheder udarbejde en politik for uddannelse af relevante medarbejdere for at sikre, at medarbejderne har relevant viden og færdigheder om informationssikkerhed.

Det foreslås med nr. 8, at foranstaltninger skal omfatte eller tage højde for politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.

Dette indebærer bl.a., at enheder skal udarbejde en politik og procedurer for brug af kryptografi og, hvor det er relevant, kryptering for at beskytte deres net- og informationssystemer. Politikken og procedurerne skal være passende i forhold til det aktuelle teknologiske stade.

Det foreslås i nr. 9, at foranstaltninger skal omfatte eller tage højde for personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.

Dette indebærer bl.a., at teleudbyderne skal implementere foranstaltninger til personalesikkerhed, der skal sikre, at den enkelte medarbejder forstår, udviser og forpligter sig til at leve op til deres ansvar for informationssikkerhed.

Enheder skal derudover udarbejde en politik for adgangskontrol for at beskytte mod uautoriseret adgang til enhedens net- og informationssystemer. Politikken skal som minimum identificere og vurdere risici i forhold til logisk og fysisk adgangskontrol og indeholde procedurer for styring af adgangsrettigheder.

Enheder skal fastlægge hvordan den forvalter aktiver, der vil kunne påvirke sikkerheden i enhedens omfattede net- og informationssystemer.

Det foreslås med nr. 10, at foranstaltninger skal omfatte eller tage højde for brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt hos enheden, hvor det er relevant.

Dette indebærer bl.a., at enheder skal anvende multifaktorautentifikation eller kontinuerlig autentifikation ved adgang til net- og informationssystemer i overensstemmelse med enhedens politik for adgangskontrol. Enheder skal endvidere anvende sikret tale-, video- og tekstkommunikation i overensstemmelse med politikken for brug af kryptografi og kryptering.

Det følger af det foreslåede stk. 2, at væsentlige eller vigtige teleudbyder, der ikke overholder ét eller flere af de krav, der er nævnt i stk. 1, eller regler om krav til foranstaltninger fastsat i medfør af stk. 3, uden unødigt ophold skal træffe alle nødvendige, passende og forholdsmæssige korrigerende foranstaltninger.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 21, stk. 4. Efter NIS 2-direktivets artikel 21, stk. 4, skal medlemsstaterne sikre, at en enhed, der finder, at den ikke overholder foranstaltningerne i artikel 21, stk. 2, uden unødigt ophold træffer alle nødvendige, passende og forholdsmæssige korrigerende foranstaltninger.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 21, stk. 4, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse i stk. 2, understreger, at enheder skal handle på eventuelle konstateringer af mangler i overholdelsen af de krav til foranstaltninger, der følger af det foreslåede stk. 1, og regler om krav til foranstaltninger udstedt i medfør af det foreslåede stk. 3. Dette skal ses i sammenhæng med den foreslåede § 6 om ledelsens ansvar.

Det følger af det foreslåede stk. 3, 1, pkt., at ministeren for samfundssikkerhed og beredskab fastsætter regler om krav til foranstaltninger efter stk. 1, og om yderligere foranstaltninger og krav hertil for teleudbydere omfattet af denne lov.

Den foreslåede bestemmelse indebærer, at ministeren for samfundssikkerhed og beredskab kan fastsættes nærmere regler om krav til de foranstaltninger til styring af sikkerhedsrisici, som væsentlige og vigtige teleudbydere skal træffe. Reglerne vil kunne stille mere konkretiserede krav til de foranstaltninger, som teleudbyderne skal træffe i medfør af den foreslåede bestemmelse i stk. 1, herunder fastsætte krav om yderligere foranstaltninger for telesektoren.

Dette omfatter bl.a. krav om foranstaltninger for i videst muligt omfang at sikre elektronisk kommunikation i beredskabssituationer og i andre ekstraordinære situationer. Bestemmelsen viderefører således § 5, stk. 1, i lov om sikkerhed i net og tjenester, og skal fortolkes i overensstemmelse hermed.

Bemyndigelsesbestemmelsen giver ministeren for samfundssikkerhed og beredskab mulighed for at fastsætte nærmere krav om foranstaltninger for samtlige teleudbydere, der er omfattet af lovens anvendelsesområde.

Det bemærkes i den forbindelse, at det følger af NIS 2-direktivets artikel 21, stk. 5, 2. led, at Europa-Kommissionen kan vedtage gennemførelsesretsakter, der fastsætter de tekniske og metodologiske, samt om nødvendigt sektorspecifikke, krav til de i direktivets artikel 21, stk. 2, omhandlede foranstaltninger. Det vides endnu ikke, om Europa-Kommissionen vil vælge at vedtage gennemførelsesretsakter i medfør af artikel 21, stk. 5, 2. led, samt i givet fald indholdet heraf.

Det vil til enhver tid skulle sikres, at bekendtgørelser i medfør af det foreslåede stk. 3, harmonerer med eventuelle gennemførelsesretsakter fra Europa-Kommissionen. Såfremt der måtte være udstedt bekendtgørelser på et tidspunkt, hvor Europa-Kommissionen vedtager gennemførelsesretsakter, vil disse bekendtgørelser i relevant omfang skulle tilpasses eller efter omstændighederne ophæves.

Det følger af det foreslåede stk. 3, 2. pkt., at ministeren i den forbindelse kan fastsætte regler om, at væsentlige og vigtige teleudbydere skal anvende særlige IKT-produkter, -tjenester og -processer, som er certificeret i henhold til en europæisk cybersikkerhedscertificeringsordning for at påvise overensstemmelse med bestemte krav efter stk. 1, eller regler om krav til foranstaltninger fastsat i medfør af 1. pkt.

Bestemmelsen vil gennemføre artikel 24, stk. 1, i NIS 2-direktivet. Det følger af artikel 24, stk. 1, at for at påvise overensstemmelse med bestemte krav i direktivets artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici), kan medlemsstaterne kræve, at væsentlige og vigtige enheder bruger særlige IKT-produkter, -tjenester og -processer, der er udviklet af den væsentlige eller vigtige enhed, eller indkøbt fra tredjeparter, og som er certificeret i henhold til europæiske cybersikkerhedscertificeringsordninger, der er vedtaget i henhold til artikel 49 i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed). Endvidere skal medlemsstaterne tilskynde væsentlige og vigtige enheder til at anvende kvalificerede tillidstjenester.

Artikel 49 i nævnte forordning fastsætter nærmere regler om udarbejdelse, vedtagelse og revision af en europæisk cybersikkerhedscertificeringsordning.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 24, stk. 1, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger. De nærmere regler, der kan fastsættes i medfør af bestemmelsen, vil således skulle udarbejdes inden for denne ramme. Det indebærer bl.a., at reglerne vil skulle være i overensstemmelse med regeringens principper om minimumsimplementering.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at bestemmelsen i NIS 2-direktivets artikel 24, stk. 1, hvorefter IKT-produkter, -tjenester og -processer skal være udviklet af enhederne eller »indkøbt fra tredjeparter«, ikke er til hinder for, at der kan fastsættes regler om, at enhederne skal bruge IKT-produkter, -tjenester og -processer, som stilles gratis til rådighed af tredjeparter.

Bestemmelsen skal i øvrigt ses i lyset af, at Europa-Kommissionen efter artikel 24, stk. 2, tillægges beføjelser til at vedtage delegerede retsakter for at supplere direktivet ved at præcisere, hvilke kategorier af væsentlige og vigtige enheder, der skal anvende visse certificerede IKT-produkter, -tjenester og -processer eller indhente en attest i henhold til en europæisk cybersikkerhedscertificeringsordning. De delegerede retsakter vedtages, når der er identificeret utilstrækkelige cybersikkerhedsniveauer. I givet fald forudsættes det, at eventuelle allerede udstedte bekendtgørelser i relevant omfang tilpasses eller ophæves.

Det foreslås i stk. 1, at de foranstaltninger, som en væsentlig eller en vigtig teleudbyder træffer på baggrund af forpligtelserne i § 5, stk. 1 og 2, samt regler fastsat i medfør af § 5, stk. 3, skal være godkendt af teleudbyderens ledelsesorgan, samt at ledelsesorganet fører tilsyn med foranstaltningernes gennemførelse.

Den foreslåede bestemmelse i stk. 1, vil delvist gennemføre NIS 2-direktivets artikel 20, stk. 1. Det følger af NIS 2-direktivets artikel 20, stk. 1, at medlemsstaterne skal sikre, at de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet med henblik på at overholde artikel 21, fører tilsyn med deres gennemførelse og kan gøres ansvarlige for enhedernes overtrædelser af forpligtelserne i den nævnte artikel. Dette berører dog ikke national ret for så vidt angår de ansvarsregler, der gælder for offentlige institutioner, samt ansvaret for embedsmænd og personer valgt eller udnævnt til offentlige hverv.

Den foreslåede bestemmelse i stk. 1 fastslår, at overholdelsen af forpligtelserne i den foreslåede § 5, stk. 1-3, er et ledelsesmæssigt ansvar.

Der findes i dansk ret ikke en entydig definition af et ledelsesorgan, idet visse virksomhedstyper ikke er omfattet af materielle regler om ledelsens organisering, hvorfor disse har en vis frihed til at organisere sig, efter egen vilje.

Lov om aktie- og anpartsselskaber, jf. lovbekendtgørelse nr. 1168 af 1. september 2023 (selskabsloven) definerer i § 5, nr. 4 dog bl.a. ’det centrale ledelsesorgan’ som a) bestyrelsen i selskaber, der har en direktion og en bestyrelse, b) direktionen i selskaber, der alene har en direktion og c) direktionen i selskaber, der både har en direktion og et tilsynsråd. Selskabsloven finder dog alene anvendelse for aktie- og anpartsselskaber, jf. lovens § 1, stk. 1.

Lov om visse erhvervsdrivende virksomheder, jf. lovbekendtgørelse nr. 249 af 1. februar 2021 (LEV-loven), definerer i lovens § 4 a, nr. 2 en ledelse, som ’medlemmer af bestyrelse, direktion eller et tilsvarende ledelsesorgan’.

LEV-loven finder anvendelse for enkeltmandsvirksomheder, interessentskaber, kommanditselskaber, andelsselskaber (andelsforeninger) samt andre selskaber og foreninger med begrænset ansvar, som ikke er omfattet af selskabsloven, lov om erhvervsdrivende fonde eller §§ 133-154 i lov om forvaltere af alternative investeringsfonde m.v., jf. LEV-lovens § 1, stk. 2.

Det er på denne baggrund Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at begrebet ’ledelsesorgan’ i NIS 2-direktivet skal forstås i overensstemmelse med definitionerne af henholdsvis det centrale ledelsesorgan i selskabslovens § 5, nr. 4, og ledelsen i LEV-lovens § 4 a, nr. 2, afhængigt af enhedens selskabsform.

Det følger af det foreslåede stk. 2, at medlemmerne af ledelsesorganet i væsentlige eller vigtige teleudbyder skal deltage i relevante kurser om styring af informationssikkerhedsrisici og tilskynde til, at tilsvarende kurser tilbydes til ansatte i den væsentlige eller vigtige teleudbyder.

Den foreslåede bestemmelse i stk. 2 vil gennemføre NIS 2-direktivets artikel 20, stk. 2.

Det fremgår af NIS 2-direktivets artikel 20, stk. 2, at medlemsstaterne skal sikre, at medlemmerne af væsentlige og vigtige enheders ledelsesorganer er forpligtet til at følge kurser, og skal tilskynde væsentlige og vigtige enheder til løbende at tilbyde tilsvarende kurser til deres ansatte, således at de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici og deres indvirkning på de tjenester, der leveres af enheden.

Henset til, at formålet med nærværende lov er at implementere NIS 2-direktivet gennem en integration med den eksisterende regulering på området, herunder navnlig lov om sikkerhed i net og tjenester, vurderes det, at kravet bør omfatte relevante kurser om styring af informationssikkerhedsrisici, og ikke kun cybersikkerhedsrisici, som forudsat i NIS 2-direktivet.

Det foreslås med stk. 1, at væsentlige- og vigtige teleudbydere skal registrere sig hos Styrelsen for Samfundssikkerhed og i den forbindelse oplyse 1) teleudbyderens navn, 2) teleudbyderens adresse og ajourførte kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre og 3) en liste over de øvrige medlemsstater i Den Europæiske Union, hvor teleudbyderen leverer tjenester, der er omfattet af anvendelsesområdet i artikel 2 i NIS 2-direktivet.

Den foreslåede bestemmelse vil gennemføre artikel 27, stk. 2, NIS 2-direktivet. Artikel 27, stk. 2, fastsætter bl.a., at medlemsstaterne pålægger DNS-tjenesteudbydere, topdomænenavneadministratorer, enheder, der leverer domænenavneregistreringstjenester og udbydere af cloudcomputingtjenester, af datacentertjenester, af indholdsleveringsnetværk, af administrerede tjenester, af administrerede sikkerhedstjenester, af onlinemarkedspladser, af onlinesøgemaskiner og af platforme for sociale netværkstjenester at indgive nærmere oplistede oplysninger til de kompetente myndigheder.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 27, stk. 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der vil være tale om en oplysningspligt, der er omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer, at retten til ikke at inkriminere sig selv, jf. kapitel 4 i nævnte lov, skal overholdes. Det bemærkes dog, at det af bemærkningerne til § 10 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter fremgår, at »[b]estemmelsen [om forbud mod selvinkriminering] er ikke til hinder for, at den mistænkte kan pålægges at give (faktuelle) oplysninger, som er uden betydning for bedømmelsen af, hvorvidt den pågældende har begået en lovovertrædelse, der kan medføre straf. Bestemmelsen vil således ikke være til hinder for at anvende en oplysningspligt til at kræve oplysninger om navn, adresse mv., jf. herved også retsplejelovens § 750, hvorefter enhver på forlangende er forpligtet til over for politiet at opgive navn, adresse og fødselsdato.« Der henvises til Folketingstidende 2003-04, tillæg A, side 3097. Der vil med den foreslåede bestemmelse være tale om en registreringspligt, hvorved enheder skal afgive en række helt overordnede oplysninger om bl.a. navn, adresse og enhedstype. Det er derfor Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter alene vil være relevant i praksis i yderst sjældne tilfælde.

Det foreslås i stk. 2, væsentlige og vigtige teleudbydere, der omfattes af lovens anvendelsesområde, skal indgive oplysningerne efter stk. 1, senest to uger efter, at teleudbyderen omfattes af loven.

Bestemmelsen vil gennemføre dele af NIS 2-direktivets artikel 3, stk. 3, hvorefter medlemsstaterne senest den 17. april 2025 skal udarbejde en liste over væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester. Det bemærkes, at NIS 2-direktivet skulle være implementeret i dansk ret senest den 17. oktober 2024. Idet denne lov træder i kraft den 1. juli 2025, er det Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at nærværende frist bør fastsættes til den 1. oktober 2025.

Den foreslåede bestemmelse svarer indholdsmæssigt til dele af NIS 2-direktivets artikel 3, stk. 3, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede pligt for enhederne til at registrere sig vil ikke have indflydelse på, at teleudbyderen også før en registrering vil være omfattet af lovens anvendelsesområde. De rettigheder og forpligtelser, der følger af loven, vil derfor gælde uafhængigt af, om en teleudbyder har ladet sig registrere.

Det bemærkes, at den foreslåede bestemmelse alene finder anvendelse for enheder, der efter lovens ikrafttræden bliver omfattet af lovens anvendelsesområde. Enheder, der ved lovens ikrafttræden er omfattet af lovens anvendelsesområde vil ifølge den foreslåede bestemmelse i § 32, stk. 3, skulle indgive de nævnte oplysninger senest den 1. oktober 2025.

Det foreslås i stk. 3, at tilfælde af ændring i de oplysninger, der er afgivet i medfør af stk. 1, skal den væsentlige eller vigtige teleudbyder give Styrelsen for Samfundssikkerhed underretning herom senest to uger efter datoen for ændringen.

Bestemmelsen vil gennemføre NIS 2-direktivets artikel 27, stk. 3, som fastsætter en forpligtelse for medlemsstaterne til at sikre, at de nævnte enheder straks og under alle omstændigheder senest tre måneder efter den dato, hvor ændringen trådte i kraft, underretter den kompetente myndighed om enhver ændring af de oplysninger, de har indsendt i henhold til artikel 27, stk. 2.

Den foreslåede bestemmelse svarer indholdsmæssigt til dele af NIS 2-direktivets artikel 27, stk. 3, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det foreslås i stk. 4, at ministeren for samfundssikkerhed og beredskab kan fastsætte regler om hvilke yderligere oplysninger væsentlige og vigtige teleudbydere skal afgive ved registrering.

Bestemmelsen har til formål at give ministeren for samfundssikkerhed og beredskab mulighed for at fastsætte nærmere regler om, at væsentlige og vigtige teleudbydere skal afgive yderligere oplysninger ved registrering.

Det foreslås i stk. 5, nr. 1, at ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om oplysnings- og underretningspligter for væsentlige og vigtige teleudbydere, herunder regler om afgivelse af oplysninger om væsentlige dele af teleudbyderens net eller tjenester eller driften heraf.

Bestemmelsen viderefører § 4, nr. 1 i lov om sikkerhed i net og tjenester, og skal fortolkes i overensstemmelse hermed.

Den foreslåede oplysningspligt vil indebære, at teleudbydere efter anmodning skal afgive oplysninger om de dele af deres net eller tjenester – eller driften heraf – der anses som væsentlige. Det kan f.eks. være oplysninger om, hvilke leverandører som teleudbyderen anvender. Dermed sikres det, at Styrelsen for Samfundssikkerhed kan få det nødvendige overblik over de centrale dele af teleinfrastrukturen.

Det foreslås i stk. 5, nr. 2, at ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om oplysnings- og underretningspligter for væsentlige og vigtige teleudbydere, herunder regler om underretning ved påtænkt indgåelse af aftaler om leverancer, der vedrører væsentlige dele af udbyderens net eller tjenester eller driften heraf, herunder regler om, at teleudbyderen skal indsende et endeligt aftaleudkast til Styrelsen for Samfundssikkerhed umiddelbart forud for indgåelse af aftalen, og at aftalen først kan indgås op til 25 arbejdsdage efter centerets modtagelse af dette udkast.

Bestemmelsen viderefører § 4, nr. 2 i lov om sikkerhed i net og tjenester, og skal fortolkes i overensstemmelse hermed.

Oplysningspligten efter den foreslåede stk. 5, nr. 2, foreslås – ligesom tilfældet er i dag – suppleret af en underretningspligt, som indebærer, at teleudbydere skal underrette Styrelsen for Samfundssikkerhed i forbindelse med påtænkte indgåelser af visse større aftaler om leverancer af hardware, firmware eller software samt driften heraf.

Det foreslås med stk. 5, nr. 3, at ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om oplysnings- og underretningspligter for væsentlige og vigtige teleudbydere, herunder regler om, at teleudbyderen skal indsende et endeligt aftaleudkast til Styrelsen for Samfundssikkerhed umiddelbart forud for indgåelse af aftale, og at aftalen først kan indgås op til 25 arbejdsdage efter styrelsens modtagelse af pågældende udkast.

Bestemmelsen viderefører § 4, nr. 2 i lov om sikkerhed i net og tjenester, og skal fortolkes i overensstemmelse hermed.

Formålet med ordningen er at give Styrelsen for Samfundssikkerhed mulighed for at rådgive teleudbyderen om særlige trusler mod informationssikkerheden samt om mulighederne for at imødegå de trusler, som det pågældende aftaleudkast vurderes at indebære. Det vurderes, at dette vil bidrage til, at teleudbyderne får bedre forudsætninger for at vurdere mulige risici ved den påtænkte aftale, således at teleudbyderne kan tage højde herfor inden aftaleindgåelsen.

I stk. 1 foreslås det, at § 17 i lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven) finder tilsvarende anvendelse for teleudbydere omfattet af denne lov.

Det fremgår af den foreslåede § 1, stk. 2, 2. pkt., i forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau, at lovens § 17 finder anvendelse for enheder, der er omfattet af telesektoren.

Den foreslåede bestemmelse § 17 i lov om forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau, fastsætter CSIRT’ens opgaver over for væsentlige og vigtige enheder.

Det foreslås i stk. 2, at teleudbyderen skal underrette Styrelsen for Samfundssikkerhed og CSIRT’en om enhver væsentlig hændelse efter proceduren i den foreslåede § 9.

Den foreslåede bestemmelse vil gennemføre artikel 23, stk. 1, i NIS 2-direktivet.

Det følger bl.a. af NIS 2-direktivets artikel 23, stk. 1, at hver medlemsstat sikrer, at væsentlige og vigtige enheder uden unødigt ophold underretter dens CSIRT eller i givet fald dens kompetente myndighed om enhver hændelse, der har en væsentlig indvirkning på leveringen af deres tjenester. Hver medlemsstat sikrer, at enhederne indberetter alle oplysninger, der gør det muligt for CSIRT’en eller den kompetente myndighed at fastslå eventuelle grænseoverskridende virkninger af hændelsen.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 23, stk. 1, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse indebærer, at samtlige teleudbydere, der er omfattet af lovens anvendelsesområde, skal underrette både Styrelsen for Samfundssikkerhed og CSIRT’en i tilfælde af hændelser, der har en væsentlig indvirkning på levering af deres tjenester. Dermed sikres det, at både Styrelsen for Samfundssikkerhed og CSIRT’en hurtigt og effektivt vil kunne varetage sine myndighedsopgaver.

Det bemærkes, at væsentlige og vigtige teleudbydere i overensstemmelse med forvaltningslovens § 7 i fornødent omfang vil kunne få vejledning og bistand fra Styrelsen for Samfundssikkerhed.

I overensstemmelse med præambelbetragtning nr. 83 vil den foreslåede forpligtelse til at foretage underretning ved hændelser finde anvendelse på de væsentlige og vigtige teleudbydere, uanset om disse teleudbydere selv vedligeholder deres net- og informationssystemer eller outsourcer vedligeholdelsen deraf. Såfremt der måtte ske en hændelse i et net- og informationssystem, som eksempelvis er outsourcet, vil det derfor fortsat være den væsentlige eller vigtige teleudbyders ansvar, at der sker underretning i fornødent omfang.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der vil være tale om en oplysningspligt omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer bl.a., at kapitel 4 (om retten til ikke at inkriminere sig selv mv.) vil gælde i tilfælde, hvor der måtte være en konkret mistanke om, at en enhed har begået en overtrædelse af lovgivningen, der kan medføre straf. Der henvises i øvrigt til kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter og bemærkningerne hertil. Der henvises til Folketingstidende 2003-04, tillæg A, side 3075-3078 og side 3096-3099.

Såfremt en væsentlig hændelse, der underrettes om i medfør af bestemmelsen, måtte have grænseoverskridende virkning, vil CSIRT’en i overensstemmelse med forudsætningen i NIS 2-direktivets artikel 23, stk. 6, via det centrale kontaktpunkt uden unødigt ophold skulle underrette de øvrige berørte medlemsstater og ENISA om den væsentlige hændelse, navnlig hvor den væsentlige hændelse berører to eller flere medlemsstater. Efter samme bestemmelse vil en sådan information omfatte den type af oplysninger, der er modtaget i overensstemmelse med artikel 23, stk. 4, og CSIRT’en vil i den forbindelse – i overensstemmelse med EU-retten eller national ret – sikre enhedens sikkerhed og kommercielle interesser samt fortrolig behandling af de afgivne oplysninger.

Det følger af det foreslåede stk. 3, nr. 1, at en hændelse anses for at være væsentlig, hvis den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af net eller tjenester eller økonomiske tab for den berørte udbyder.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 23, stk. 3.

Med alvorlige driftsforstyrrelser forstås en hændelse, som kompromitterer tjenesterne fortroligled, integritet, autenticitet og/eller tilgængelighed.

Med økonomiske tab forstås betydelige tab og/eller omkostninger som følge af hændelse. Tab eller udbredelse af intellektuel ejendom, der kan bringe enhedens fremtidige indtægt eller omsætning i fare, medregnes ligeledes som økonomisk tab.

Det fremgår af præambelbetragtning nr. 101, at direktivet bør omfatte underretning om hændelser, som ud fra en indledende vurdering foretaget af den berørte enhed kunne forårsage alvorlige driftsmæssige forstyrrelser af tjenesterne.

Det følger af det foreslåede stk. 3, nr. 2, at en hændelse anses for at være væsentlig, hvis den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikke-fysisk skade.

Den foreslåede bestemmelse svarer med en enkelt sproglig justering uden indholdsmæssig betydning til NIS 2-direktivets artikel 23, stk. 3, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det fremgår af præambelbetragtning nr. 101, at direktivet bør omfatte underretning om hændelser, som ud fra en indledende vurdering foretaget af den berørte enhed kunne forårsage alvorlige driftsmæssige forstyrrelser af tjenesterne eller økonomiske tab for denne enhed eller forvolde betydelig materiel eller immateriel skade for andre fysiske eller juridiske personer. En sådan indledende vurdering bør bl.a. tage i betragtning de berørte net- og informationssystemer, navnlig deres betydning for leveringen af enhedens tjenester, alvoren og de tekniske karakteristika af en cybertrussel, eventuelle underliggende sårbarheder, der udnyttes, samt enhedens erfaring med tilsvarende hændelser. Indikatorer såsom graden af påvirkning af tjenestens funktionsdygtighed, varigheden af en hændelse eller antallet af berørte tjenestemodtagere vil kunne spille en vigtig rolle med hensyn til at fastslå, om den driftsmæssige forstyrrelse af tjenesten er alvorlig.

En hændelse anses altid for væsentlig, hvis den forårsager hel eller delvis ødelæggelse af kritiske tredje parts fysiske eller digitale aktiver. Ligeledes anses en hændelse altid for at være væsentlig, hvis den forårsager død, eller skader der kræver hospitalsindlæggelse eller behandling.

Det følger af det foreslåede stk. 4, at ministeren for samfundssikkerhed og beredskab kan fastsættes nærmere regler om, hvornår en hændelse kan anses for at være væsentlig og hvilke oplysninger, der skal gives i forbindelse med underretningen.

Henset til at kriterierne for, hvornår en hændelse anses for at være væsentlig efter det foreslåede stk. 3, har en kvalitativ og skønspræget karakter, vurderes det hensigtsmæssigt, at ministeren for samfundssikkerhed og beredskab kan fastsættes nærmere regler, som præciserer, hvornår en hændelse anses for at være væsentlig i telesektoren.

Det foreslås i stk. 1, at underretningen efter § 8, stk. 2, skal ske på følgende måde: 1) en tidlig varsling, som skal angive, om den væsentlige hændelse mistænkes at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning, sendes uden unødigt ophold og senest inden for 24 timer efter, at teleudbyderen har fået kendskab til den væsentlige hændelse, 2) en hændelsesunderretning, som skal ajourføre oplysningerne fra den tidlige varsling, jf. nr. 1, og give en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger, sendes uden unødigt ophold og senest inden for 72 timer efter, at teleudbyderen har fået kendskab til den væsentlige hændelse, jf. dog stk. 2, 3) en foreløbig rapport med relevante statusopdateringer sendes til enten Styrelsen for Samfundssikkerhed eller CSIRT’en efter myndighedens anmodning herom, 4) en endelig rapport sendes til Styrelsen for Samfundssikkerhed og CSIRT’en senest en måned efter fremsendelsen af den hændelsesunderretning, der er omhandlet i nr. 2. Rapporten skal indeholde følgende: a) en detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning, b) den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen, c) anvendte og igangværende afbødende foranstaltninger og d) de eventuelle grænseoverskridende virkninger af hændelsen og 5) pågår hændelsens fortsat på tidspunktet for fremsendelsen af den endelige rapport, jf. nr. 4, skal den berørte teleudbyder indsende en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter, at hændelsen er håndteret.

Med den foreslåede bestemmelse fastlægges der en flertrinstilgang for underretninger om væsentlige hændelser.

Det bemærkes, at det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der vil være tale om oplysningspligter omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer bl.a., at kapitel 4 (om retten til ikke at inkriminere sig selv mv.) vil gælde i tilfælde, hvor der måtte være en konkret mistanke om, at en enhed har begået en overtrædelse af lovgivningen, der kan medføre straf. Der henvises i øvrigt til kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter og bemærkningerne hertil. Der henvises til Folketingstidende 2003-04, tillæg A, side 3075-3078 og side 3096-3099.

I overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 102 vil det skulle sikres, at forpligtelsen til at indgive den tidlige varsling eller den efterfølgende hændelsesunderretning ikke medfører, at den underrettende enhed skal bruge færre ressourcer på aktiviteter vedrørende håndtering af hændelsen. Enhedens ressourcer bør således prioriteres, så det forhindres, at forpligtelser vedrørende hændelsesrapportering enten omdirigerer ressourcer fra håndtering af væsentlige hændelser eller på anden måde kompromitterer enhedens indsats i denne henseende.

Det forudsættes på denne baggrund, at det sikres, at underretningen kan ske på en så ressourcebesparende måde som muligt, eksempelvis ved at anvende én fælles digital løsning.

Det følger af det forslåede nr. 1, at en tidlig varsling skal angive, om den væsentlige hændelse mistænkes at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning, sendes uden unødigt ophold og senest inden for 24 timer efter, at enheden har fået kendskab til den væsentlige hændelse.

Den foreslåede bestemmelse indebærer, at væsentlige og vigtige teleudbydere indledningsvist vil være forpligtet til at indgive en tidlig varsling uden unødigt ophold og under alle omstændigheder inden for 24 timer efter, at de bliver opmærksomme på en væsentlig hændelse.

I overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 102 vil den tidlige varsling alene skulle indeholde de oplysninger, der er nødvendige for at gøre CSIRT'en og den relevante kompetente myndighed opmærksom på den væsentlige hændelse og give enheden mulighed for om nødvendigt at anmode om assistance. En sådan tidlig varsling bør endvidere, hvis det er relevant, angive om den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger, og om den sandsynligvis vil have grænseoverskridende virkninger.

Det følger af det foreslåede nr. 2, at en hændelsesunderretning skal ajourføre oplysningerne fra den tidlige varsling, jf. nr. 1, og give en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger, sendes uden unødigt ophold og senest inden for 72 timer efter, at enheden har fået kendskab til den væsentlige hændelse.

Den tidlige varsling efter det foreslåede nr. 1 vil således skulle efterfølges af en hændelsesunderretning, som bl.a. skal ajourføre oplysningerne fra den tidlige varsling. Denne hændelsesunderretning skal sendes uden unødigt ophold og senest inden for 72 timer efter, at en enhed har fået kendskab til den væsentlige hændelse.

Det følger af den foreslåede nr. 3, at en foreløbig rapport med relevante statusoplysninger sendes efter anmodning fra CSIRT’en.

Den foreslåede bestemmelse indebærer, at CSIRT’en på baggrund af hændelsesunderretningen kan anmode om den underrettende enhed om en foreløbig rapport med relevante statusopdateringer. Indholdet i den foreløbige rapport vil afhænge af hændelsens nærmere omstændigheder.

Den berørte teleudbyder vil skulle sende en endelig rapport senest en måned efter forelæggelsen af hændelsesunderretningen efter den foreslåede § 9, stk. 1, nr. 2. I tilfælde af at hændelsen fortsat er igangværende på tidspunktet for indgivelsen af den endelige rapport, skal den berørte enhed forelægge en statusrapport for CSIRT’en og den relevante kompetente myndighed. Den endelige rapport vil i så fald skulle indgives senest en måned efter, at enheden har håndteret den væsentlige hændelse.

Det følger af det foreslåede nr. 4, at en endelig rapport sendes senest én måned efter fremsendelsen af den hændelsesunderretning, der er omhandlet i nr. 2.

Den foreslåede bestemmelse vil medføre, at en endelig rapport skal sendes til CSIRT’en senest én måned efter fremsendelsen af hændelsesunderretningen efter det foreslåede nr. 2.

Rapporten vil skulle indeholde en a) detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning, b) den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen, c) anvendte og igangværende afbødende foranstaltninger, og d) oplysninger om de eventuelle grænseoverskridende virkninger af hændelsen.

Det følger af det foreslåede nr. 5, at pågår hændelsen fortsat på tidspunktet for fremsendelsen af den endelige rapport, skal den underrettende teleudbyder indsende en statusrapport på det pågældende tidspunkt og en endelig rapport senest én måned efter, at hændelsen er håndteret.

Den foreslåede bestemmelse vil indebære, at i tilfælde hvor en hændelse fortsat pågår på tidspunktet, hvor den endelige rapport efter det foreslåede nr. 4 skal foreligge, vil den underrettende enhed være forpligtet til at indsende en statusrapport på tidspunktet. Enheden vil endvidere være forpligtet til at sende en endelig rapport senest én måned efter, at hændelsen er håndteret.

Det følger af det foreslåede stk. 2, 1. pkt., at Styrelsen for Samfundssikkerhed og CSIRT’en sikrer, at den underrettende teleudbyder uden unødigt ophold og senest inden for 24 timer efter modtagelsen af den tidlige varsling, gives et svar, herunder indledende tilbagemeldinger om den væsentlige hændelse.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 23, stk. 5, som bl.a. fastsætter, at CSIRT’en eller den relevante kompetente myndighed uden unødigt ophold, og hvor det er muligt, inden for 24 timer efter modtagelsen af den i stk. 4, litra a, omhandlede tidlige varsling giver den underrettende enhed et svar, herunder indledende tilbagemeldinger om den væsentlige hændelse og, efter anmodning fra enheden, vejledning eller operativ rådgivning om gennemførelsen af mulige afbødende foranstaltninger. CSIRT’en yder supplerende teknisk bistand, hvis den berørte teleudbyder anmoder herom. Hvor den væsentlige hændelse mistænkes for at være af strafferetlig karakter, giver CSIRT’en eller Styrelsen for Samfundssikkerhed også vejledning om underretning om den væsentlige hændelse til retshåndhævende myndigheder.

Den foreslåede bestemmelse svarer med enkelte sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 23, stk. 5, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse indeholder en forpligtelse for CSIRT’en til at sikre, at der hurtigt gives svar på de tidlige varslinger, som den modtager fra teleudbydere, og i denne forbindelse give indledende tilbagemeldinger om den væsentlige hændelse.

Svar og tilbagemeldinger vil kunne gives af CSIRT’en selv eller Styrelsen for Samfundssikkerhed. Svar og tilbagemeldinger vil bl.a. kunne bestå i, at der gives vejledning om mulige afværgeforanstaltninger, om anden relevant viden, som CSIRT’en eller Styrelsen for Samfundssikkerhed er i besiddelse af, eller om anmeldelse til politiet, såfremt den væsentlige hændelse mistænkes for at udgøre en strafbar handling. Derimod er det ikke hensigten, at CSIRT’en eller Styrelsen for Samfundssikkerhed, som afgiver svaret, skal tilvejebringe oplysninger fra tredjemand.

Det følger af det foreslåede stk. 2, 2. pkt., at efter anmodning fra teleudbyderen skal CSIRT’en desuden yde vejledning, operativ rådgivning om gennemførelsen af mulige afbødende foranstaltninger og supplerende teknisk bistand.

Den foreslåede bestemmelse svarer med enkelte sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 23, stk. 5, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det bemærkes i den forbindelse, at hvis en hændelse efterforskes som et strafbart forhold, vil der skulle tages højde for, at de opfølgende oplysninger ikke må vanskeliggøre eller forhindre efterforskningen.

Det følger af den foreslåede bestemmelse i stk. 1, at teleudbydere kan underrette Styrelsen for Samfundssikkerhed og CSIRT’en om hændelser, nærvedhændelser og cybertrusler.

Bestemmelsen vil gennemføre artikel 30, stk. 1, i NIS 2-direktivet, som fastsætter en forpligtelse for medlemsstaterne til at sikre, at der ud over underretningsforpligtelsen i artikel 23 kan indgives underretninger til CSIRT’en eller i givet fald de kompetente myndigheder på frivillig basis af: a) væsentlige og vigtige enheder for så vidt angår hændelser, cybertrusler og nærvedhændelser og 2) enheder, udover dem der er omhandlet i litra a), uanset om de er omfattet af dette direktivs anvendelsesområde, for så vidt angår væsentlige hændelser, cybertrusler og nærvedhændelser.

Den foreslåede bestemmelse svarer indholdsmæssigt til bestemmelsen i NIS 2-direktivets artikel 30, stk. 1, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse indebærer, at alle teleudbydere kan underrette Styrelsen for Samfundssikkerhed og CSIRT’en om hændelser, nærvedhændelser og cybertrusler.

Det følger af den foreslåede stk. 2, at Styrelsen for Samfundssikkerhed og CSIRT’en behandler underretninger efter stk. 1 på samme måde som underretninger modtaget i medfør af § 8. CSIRT’en kan prioritere håndteringen af underretninger, der er modtaget i medfør af § 8 frem for underretninger efter det foreslåede stk. 1.

Bestemmelsen vil gennemføre artikel 30, stk. 2, i NIS 2-direktivet. Det følger af NIS 2-direktivets artikel 30, stk. 2, at medlemsstaterne behandler de i artiklens stk. 1 omhandlede underretninger i overensstemmelse med proceduren, der er fastsat i artikel 23. Medlemsstaterne kan prioritere behandling af obligatoriske underretninger frem for frivillige underretninger. Hvor det er nødvendigt, giver CSIRT'erne og i givet fald de kompetente myndigheder det centrale kontaktpunkt de oplysninger om underretninger, de har modtaget i medfør af denne artikel, samtidig med at de sikrer fortroligheden og passende beskyttelse af de oplysninger, der er afgivet af den underrettende enhed. Uden at det berører forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, må frivillig rapportering ikke medføre, at den underrettende enhed pålægges nogen yderligere forpligtelser, som den ikke ville være omfattet af, hvis den ikke havde foretaget underretningen.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til bestemmelsen i NIS 2-direktivets artikel 30, stk. 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse indebærer, at CSIRT’en og Styrelsen for Samfundssikkerhed vil skulle behandle frivillige underretninger, der er indgivet i medfør af den foreslåede bestemmelse i § 10, stk. 1, efter procedurebestemmelsen i den foreslåede § 9. De forpligtelser for myndigheder, der er angivet i § 9 og bemærkningerne hertil, vil således også gælde for underretninger, der indgives i medfør af den foreslåede bestemmelse i § 10, stk. 1.

Det bemærkes, at den foreslåede bestemmelse ikke indebærer, at teleudbyderen er forpligtet til at følge proceduren efter den foreslåede bestemmelse i § 9, når der indgives underretning efter den foreslåede § 10, stk. 1.

Den foreslåede bestemmelse indebærer desuden, at CSIRT’en kan prioritere at håndtere de underretninger, der er modtaget i medfør af § 8, før CSIRT’en og Styrelsen for Samfundssikkerhed behandler de underretninger, der er modtaget i medfør af § 10, stk. 1.

I stk. 3 foreslås det, at teleudbydere, uanset om de er omfattet af lovens anvendelsesområde, kan give frivillig underretning til Styrelsen for Samfundssikkerhed og CSIRT’en efter stk. 1.

Efter den foreslåede bestemmelse i § 10, stk. 3, kan alle teleudbydere underrette CSIRT’en om hændelser, der negativt påvirker eller vurderes at kunne påvirke tilgængeligheden, integriteten eller fortroligheden af data, informationssystemer, digitale netværk eller digitale servicer.

Den foreslåede bestemmelse indebærer, at enheder, der ellers ikke ville være omfattet af lovens anvendelsesområde, har mulighed for at give frivillig underretning til CSIRT’en om hændelser.

Den foreslåede bestemmelse vil delvist gennemføre NIS 2-direktivets artikel 29, stk. 2.

Det følger af det foreslåede stk. 1, at er det sandsynligt, at en væsentlige hændelse, jf. § 8, stk. 3, vil påvirke teleudbyderens levering af deres tjenester til modtagerne heraf negativt, underretter teleudbyderen i relevant omfang modtagerne herom uden unødigt ophold.

Bestemmelsen vil gennemføre artikel 23, stk. 1, 2. pkt., i NIS 2-direktivet, som fastsætter en forpligtelse for medlemsstaterne til at sikre, at væsentlige og vigtige enheder i relevant omfang underretter modtagerne af deres tjenester om væsentlige hændelser, der sandsynligvis vil påvirke leveringen af disse tjenester negativt.

Den foreslåede bestemmelse svarer indholdsmæssigt til bestemmelsen i NIS 2-direktivets artikel 23, stk. 1, 2. pkt., og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger, dog med den ændring, at kravet om underretning ikke alene gælder for væsentlige og vigtige teleudbydere, men for samtlige teleudbydere, der er omfattet af nærværende lov.

Dette skal navnlig ses i lyset af, at den gældende lov om sikkerhed i net og tjenester finder anvendelse for samtlige teleudbydere. Henset til det aktuelle trusselsbillede, vurderer Ministeriet for Samfundssikkerhed og Beredskab, at det nuværende sikkerhedsniveau bør opretholdes.

Den foreslåede bestemmelse indebærer en forpligtelse for teleudbydere til at underrette modtagerne af deres tjenester om en væsentlig hændelse. Underretning af modtagerne vil alene skulle ske i relevant omfang. Det indebærer, at teleudbyderne vil kunne undlade at foretage underretning af modtagerne ud fra en konkret vurdering af, at underretningen ikke vil være i modtagernes interesse.

Om en hændelse er at anse for væsentlig vurderes ud fra den foreslåede bestemmelse i § 8, stk. 2, og ud fra regler, der måtte være udstedt i en given sektor i medfør af § 8, stk. 4.

Der stilles ingen formkrav til underretningen, og de pågældende teleudbydere vil derfor have metodefrihed i forhold til, hvordan underretningen af modtagerne vil skulle ske, idet det dog forudsættes, at underretningen skal være umiddelbart tilgængelig for de relevante modtagere og kommunikeres på et letforståeligt sprog.

Det følger af det foreslåede stk. 2, 1. pkt., at teleudbydere oplyser uden unødigt ophold modtagerne af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som modtagerne kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal udbyderne også informere de pågældende modtagere om selve den væsentlige cybertrussel.

Bestemmelsen vil gennemføre NIS 2-direktivets artikel 23, stk. 2, der fastsætter en forpligtelse for medlemsstaterne til at sikre, at væsentlige og vigtige enheder i givet fald uden unødigt ophold meddeler modtagerne af deres tjenester, som potentielt kan være berørt af en væsentlig cybertrussel, eventuelle foranstaltninger eller modforholdsregler, som disse modtagere kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal enhederne også informere de pågældende modtagere om selve den væsentlige trussel.

Den foreslåede bestemmelse svarer indholdsmæssigt til bestemmelsen i NIS 2-direktivets artikel 23, stk. 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger, dog med den ændring, at kravet om underretning ikke alene gælder for væsentlige og vigtige teleudbydere, men for samtlige teleudbydere, der er omfattet af nærværende lov.

Dette skal navnlig ses i lyset af, at den gældende lov om sikkerhed i net og informationer finder anvendelse for samtlige teleudbydere. Henset til det aktuelle trusselsbillede, vurderer Ministeriet for Samfundssikkerhed og Beredskab, at det nuværende sikkerhedsniveau bør opretholdes.

Den foreslåede bestemmelse indebærer i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 103, bl.a. at væsentlige og vigtige enheder uden unødigt ophold vil skulle underrette modtagerne af deres tjenester om enhver foranstaltning eller modforholdsregel, som modtagerne kan træffe for at afbøde risici fra en væsentlig hændelse.

Det foreslås med stk. 2, 2. pkt., at hvor det er relevant, skal udbyderne også informere de pågældende modtagere om selve den væsentlige cybertrussel.

Bestemmelsen vil gennemføre NIS 2-direktivets artikel 23, stk. 2.

Den foreslåede bestemmelse indebærer i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 103, at teleudbydere, hvor det er hensigtsmæssigt, vil skulle informere deres tjenestemodtagere om selve den væsentlige cybertrussel. Kravet om at informere modtagerne bør opfyldes efter bedste evne, men vil ikke fritage teleudbyderne for forpligtelsen til at træffe passende og øjeblikkelige foranstaltninger til at forebygge eller afhjælpe enhver hændelse og genoprette tjenestens normale sikkerhedsniveau.

I overensstemmelse med præambelbetragtning nr. 103 indebærer bestemmelsen endvidere, at oplysninger om væsentlige cybertrusler skal stilles gratis til rådighed for modtagerne i et let forståeligt sprog

Der stilles i øvrigt ingen formkrav til oplysningen, og de pågældende teleudbyderne vil derfor have metodefrihed i forhold til, hvordan underretningen af modtagerne vil skulle ske.

Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed efter høring af en teleudbyder, der er ramt af en væsentlig hændelse, jf. § 8, stk. 3, kan informere offentligheden om den væsentlige hændelse, hvis offentliggørelsen er nødvendig for at forebygge eller håndtere hændelsen, eller hvis offentliggørelse af hændelsen på anden vis er i offentlighedens interesse.

Bestemmelsen vil delvist gennemføre artikel 23, stk. 7, i NIS 2-direktivet.

Det fremgår af NIS 2-direktivets artikel 23, stk. 7, at hvor offentlighedens kendskab er nødvendig for at forebygge en væsentlig hændelse eller for at håndtere en igangværende hændelse, eller hvor offentliggørelse af den væsentlige hændelse på anden vis er i offentlighedens interesse, kan en medlemsstats CSIRT eller i givet fald dens kompetente myndighed, og hvor det er relevant CSIRT’erne eller de kompetente myndigheder i andre berørte medlemsstater efter høring af den berørte enhed informere offentligheden om den væsentlige hændelse eller kræve, at enheden gør det.

Den foreslåede bestemmelse svarer – med visse sproglige tilpasninger uden indholdsmæssig betydning – til NIS 2-direktivets artikel 23, stk. 7, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger, dog således, at bestemmelsen ikke alene gælder for væsentlige og vigtige teleudbydere, men for samtlige teleudbydere, der er omfattet af nærværende lov.

Dette skal navnlig ses i lyset af, at den gældende lov om sikkerhed i net og informationer finder anvendelse for samtlige teleudbydere. Henset til det aktuelle trusselsbillede, vurderer Ministeriet for Samfundssikkerhed og Beredskab, at det nuværende sikkerhedsniveau bør opretholdes.

Den foreslåede bestemmelse indebærer, at Styrelsen for Samfundssikkerhed kan informere offentligheden om en væsentlig hændelse, hvis offentliggørelsen er nødvendig for at forebygge eller håndtere hændelsen, eller hvor offentliggørelsen af hændelsen på anden vis er i offentlighedens interesse.

Styrelsen for Samfundssikkerhed vil i medfør af bestemmelsen skulle høre den berørte teleudbyder, før der sker offentliggørelse af hændelsen.

Formålet med høringen vil være at sikre, at Styrelsen for Samfundssikkerhed kan træffe afgørelse om offentliggørelse på et oplyst grundlag, herunder foretage en afvejning af hensynet til den konkrete enhed over for hensynet til orientering af offentligheden.

Det vil være op til Styrelsen for Samfundssikkerhed at tage stilling til formen for orienteringen. Orientering af offentligheden kan således ske på den måde, som Styrelsen for Samfundssikkerhed finder bedst egnet under hensyn til den berørte enhed, hændelsens karakter, den geografiske udstrækning, den forventede betydning for bestemte dele af offentligheden mv.

Det vil i den forbindelse skulle sikres, at offentligheden informeres på en ansvarlig måde, som ikke kompromitterer fortrolige oplysninger. Det bemærkes, at den kompetente myndighed vil skulle sikre, at de hensyn til fortrolighed, der fremgår af i forvaltningslovens § 27 om offentligt ansattes tavshedspligt, iagttages. Dette omfatter bl.a. hensynet til enkeltpersoners private forhold, forretningshemmeligheder samt hensynet til forebyggelse, efterforskning og forfølgning af lovovertrædelser.

Det foreslås, at det som udgangspunkt er Styrelsen for Samfundssikkerhed, og ikke CSIRT’en, der foretager offentliggørelsen af en væsentlig hændelse, jf. dog det foreslåede stk. 3, idet Styrelsen for Samfundssikkerhed vil være nærmest til at foretage afvejningen af teleudbyderens eventuelle interesse i, at der ikke sker offentliggørelse, over for hensynet til offentligheden.

Det følger af den foreslåede bestemmelse i stk. 2, at Styrelsen for Samfundssikkerhed i de situationer, der er nævnt i stk. 1, kan træffe afgørelse om, at den relevante teleudbyder informerer offentligheden om en væsentlig hændelse og bestemme, hvordan denne information skal gives.

Bestemmelsen vil delvist gennemføre NIS 2-direktivets artikel 23, stk. 7.

Det fremgår af NIS 2-direktivets artikel 23, stk. 7, at hvor offentlighedens kendskab er nødvendig for at forebygge en væsentlig hændelse eller for at håndtere en igangværende hændelse, eller hvor offentliggørelse af den væsentlige hændelse på anden vis er i offentlighedens interesse, kan en medlemsstats CSIRT eller i givet fald dens kompetente myndighed, og hvor det er relevant CSIRT’erne eller de kompetente myndigheder i andre berørte medlemsstater efter høring af den berørte enhed informere offentligheden om den væsentlige hændelse eller kræve, at enheden gør det.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 23, stk. 7, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger, dog med den ændring, at bestemmelsen ikke alene gælder for væsentlige og vigtige teleudbydere, men for samtlige teleudbydere, der er omfattet af nærværende lov.

Dette skal navnlig ses i lyset af, at den gældende lov om sikkerhed i net og tjenester finder anvendelse for samtlige teleudbydere. Henset til det aktuelle trusselsbillede, vurderer Ministeriet for Samfundssikkerhed og Beredskab, at det nuværende sikkerhedsniveau bør opretholdes.

Styrelsen for Samfundssikkerhed vil skulle foretage høring af den berørte teleudbyder, før der træffes afgørelse om, at teleudbyderen skal offentliggøre hændelsen, i overensstemmelse med proceduren beskrevet i bemærkningerne til det foreslåede stk. 1. I forbindelse med en afgørelse om offentliggørelse vil den kompetente myndighed endvidere skulle varetage de fortrolighedshensyn, der ligeledes er beskrevet i bemærkningerne til det foreslåede stk. 1.

Det følger af det foreslåede stk. 3, at CSIRT’en efter samme kriterier som i stk. 1, kan informere offentligheden om væsentlige hændelser, der kan påvirke mere end én sektor.

Bestemmelsen vil delvist gennemføre NIS 2-direktivets artikel 23, stk. 7.

Det fremgår af NIS 2-direktivets artikel 23, stk. 7, at hvor offentlighedens kendskab er nødvendig for at forebygge en væsentlig hændelse eller for at håndtere en igangværende hændelse, eller hvor offentliggørelse af den væsentlige hændelse på anden vis er i offentlighedens interesse, kan en medlemsstats CSIRT eller i givet fald dens kompetente myndighed, og hvor det er relevant CSIRT’erne eller de kompetente myndigheder i andre berørte medlemsstater efter høring af den berørte enhed informere offentligheden om den væsentlige hændelse eller kræve, at enheden gør det.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 23, stk. 7, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Bestemmelsen indebærer, at det vil være CSIRT’en, der informerer offentligheden om væsentlige hændelser, når disse kan påvirke flere sektorer, idet det typisk vil være CSIRT’en, der har viden om, at en hændelse rammer flere sektorer eller har potentialet til at ramme flere sektorer.

CSIRT’en vil skulle foretage høring af den berørte teleudbyder, før der træffes afgørelse om, at teleudbyderen skal offentliggøre hændelsen, i overensstemmelse med proceduren beskrevet i bemærkningerne til det foreslåede stk. 1. I forbindelse med en afgørelse om offentliggørelse vil CSIRT’en endvidere skulle varetage de fortrolighedshensyn, og forvaltningslovens regler om tavshedspligt der ligeledes er beskrevet i bemærkningerne til det foreslåede stk. 1. Det forudsættes, at høringen vil ske inden for rammerne af forvaltningslovens regler om tavshedspligt og partshøring.

Herudover forudsættes det, at der sker en tæt koordination mellem CSIRT’en og Styrelsen for Samfundssikkerhed forud for eventuel offentliggørelse af en væsentlig hændelse.

Det følger af det foreslåede stk. 4, at CSIRT’en efter samme kriterier som i stk. 1, kan informere offentligheden om væsentlige hændelser i andre medlemsstater.

Bestemmelsen vil delvist gennemføre NIS 2-direktivets artikel 23, stk. 7.

Det fremgår af NIS 2-direktivets artikel 23, stk. 7, at hvor offentlighedens kendskab er nødvendig for at forebygge en væsentlig hændelse eller for at håndtere en igangværende hændelse, eller hvor offentliggørelse af den væsentlige hændelse på anden vis er i offentlighedens interesse, kan en medlemsstats CSIRT eller i givet fald dens kompetente myndighed, og hvor det er relevant CSIRT’erne eller de kompetente myndigheder i andre berørte medlemsstater, efter høring af den berørte enhed informere offentligheden om den væsentlige hændelse eller kræve, at enheden gør det.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 23, stk. 7, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse indebærer, at CSIRT’en efter høring af en enhed i en anden medlemsstat, hvor teleudbyderen er ramt af en væsentlig hændelse, kan informere offentligheden i Danmark om den væsentlige hændelse.

Det er et krav, at offentliggørelsen er nødvendig for at forebygge eller håndtere en lignende hændelse i Danmark, eller at offentliggørelsen på anden vis er i den danske offentligheds interesse. En sådan situation vil eksempelvis foreligge, hvis CSIRT’en vurderer, at den konkrete væsentlige hændelse kan have grænseoverskridende virkning, og at det derfor er nødvendigt at orientere offentligheden, således at der i Danmark kan træffes de fornødne forebyggende foranstaltninger eller modforholdsregler.

Før der træffes afgørelse om, at teleudbyderen skal offentliggøre hændelsen, vil CSIRT’en skulle foretage høring af den berørte teleudbyder i overensstemmelse med proceduren beskrevet i bemærkningerne til det foreslåedes stk. 1. Det forudsættes dog, at høringen af teleudbyderen vil ske via det centrale kontaktpunkt i den pågældende medlemsstat. I forbindelse med en afgørelse om offentliggørelse vil CSIRT’en endvidere skulle varetage de fortrolighedshensyn og forvaltningslovens regler om tavshedspligt, der er beskrevet i bemærkningerne til det foreslåede stk. 1.

Det følger af § 5, stk. 3, i lov om sikkerhed i net og tjenester, at Styrelsen for Samfundssikkerhed koordinerer og prioriterer beredskabsaktørernes behov for samfundsvigtig elektronisk kommunikation i beredskabssituationer og i andre ekstraordinære situationer. Der følger af bestemmelsens 2. pkt. at Styrelsen for Samfundssikkerhed kan fastsætte regler om, at erhvervsmæssige udbydere skal sikre, at de foretagne prioriteringer gennemføres i net og tjenester.

Bemyndigelsen i § 5, stk. 3, er udmøntet i bekendtgørelse nr. 261 af 22. februar 2021 om beredskabsaktørers adgang til elektronisk kommunikation i beredskabssituationer mv.

Bestemmelsen i § 5, stk. 3, gennemfører i øvrigt delvist artikel 108 i EU’s telekodeks. Artikel 108 berøres ikke af NIS 2-direktivet.

Ordningen er en del af den samlede beredskabsplanlægning inden for den civile sektor. Det følger således af § 24, stk. 1, i beredskabsloven, jf. lovbekendtgørelse nr. 314 af 3. april 2017 med senere ændringer, at hver enkelt minister inden for sit område skal planlægge for opretholdelse og videreførelse af samfundets funktioner i tilfælde af større ulykker og katastrofer, herunder udarbejde beredskabsplaner.

Bestemmelsens anvendelsesområde omfatter beredskabssituationer samt andre ekstraordinære situationer. Dette omfatter såvel situationer med krigshandlinger som situationer, hvor det som følge af en større ulykke, katastrofe eller anden ekstraordinær hændelse eller krise er nødvendigt at indføre særlige foranstaltninger vedrørende net og tjenester med henblik på at opretholde samfundets funktioner. Bestemmelsens anvendelsesområde omfatter således både naturskabte og menneskeskabte ulykker og katastrofer, herunder eksempelvis orkan- og stormflodssituationer og alvorlige cyberangreb.

Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed koordinerer og prioriterer beredskabsaktørernes behov for samfundsvigtig elektronisk kommunikation i beredskabssituationer og i andre ekstraordinære situationer.

Ministeriet for Samfundssikkerhed og Beredskab finder det således henset til vurderingen af det aktuelle trusselsniveau mod telesektoren væsentligt at opretholde det nuværende sikkerhedsniveau for sektoren. Der er med videreførelsen af bestemmelsen ikke tilsigtet materielle ændringer af bestemmelsens indhold.

Den foreslåede bestemmelse vedrører koordinering og prioritering af de forskellige beredskabsaktørers behov for elektronisk kommunikation i beredskabssituationer og i andre ekstraordinære situationer. En sådan koordinering og prioritering vil ofte være nødvendigt i beredskabssituationer og i andre ekstraordinære situationer, hvor der kan opstå kapacitetsproblemer eller beskadigelse af teleinfrastrukturen.

Ved beredskabsaktører forstås myndigheder, virksomheder og institutioner som skal bidrage til opretholdelse af samfundets funktioner i en beredskabssituation eller i en anden ekstraordinær situation.

Bestemmelsen indebærer, at Styrelsen for Samfundssikkerhed fortsat varetager den overordnede krisestyring i forhold til telesektoren. Styrelsen for Samfundssikkerhed skal i den forbindelse i beredskabssituationer eller i andre ekstraordinære situationer være bindeled mellem beredskabsaktører samt vigtige og væsentlige teleudbydere og søge at tilgodese eller prioritere mellem beredskabsaktørernes behov for elektronisk kommunikation. Styrelsen for Samfundssikkerhed skal i den forbindelse koordinere teleberedskabet med beredskabsindsatsen i de øvrige samfundssektorer.

Det foreslås med stk. 2, at væsentlige og vigtige teleudbydere skal sikre, at de foretagne prioriteringer gennemføres i net og tjenester.

Bestemmelsen viderefører § 5, stk. 3, 2. pkt. i lov om sikker i net og tjenester.

Det foreslås i stk. 3, 1. pkt., at væsentlige og vigtige teleudbydere skal underrette Styrelsen for Samfundssikkerhed i tilfælde, hvor udbyderen aktiverer sit beredskab, eller hvor udbyderen bliver bekendt med en hændelse, som vurderes at kunne føre til en beredskabssituation eller en anden ekstraordinær situation for teleudbyderen selv eller for en anden udbyder.

Den foreslåede bestemmelse viderefører delvist indholdet af § 5, stk. 2, i lov om sikkerhed i net og tjenester.

Det foreslås i stk. 3, 2. pkt., at ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om underretningspligten efter 1. pkt.

Den foreslåede bestemmelse viderefører delvist indholdet af § 5, stk. 2, i lov om sikkerhed i net og tjenester.

De regler, som Styrelsen for Samfundssikkerhed med hjemmel i bestemmelsen kan fastsætte nærmere regler om omfatter regler om underretningspligten efter 1. pkt., herunder regler om hvorledes underretnings skal foretages.

Det foreslås i stk. 4, 1. pkt.at teleudbydere, som i medfør af lov om elektroniske kommunikationsnet og -tjenester skal udsende offentlige advarsler om overhængende eller truende alvorlige nødsituationer og katastrofer, skal træffe alle nødvendige foranstaltninger til at sikre uafbrudt transmission af advarslerne.

Den foreslåede bestemmelse viderefører § 5 a i lov om sikkerhed i net og tjenester.

Det foreslås i stk. 4, 2. pkt., at ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om foranstaltninger efter 1. pkt.

Den foreslåede bestemmelse viderefører § 5 a i lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, som ændret ved § 18 i lov nr. 1156 af 8. juni 2021. Bemyndigelsen til at fastsætte regler er ikke udmøntet i dag.

Der vil med hjemmel i den foreslåede bestemmelse kunne fastsættes regler om, at udbydere, som i medfør af teleloven skal udsende offentlige advarsler om overhængende eller truende alvorlige nødsituationer og katastrofer, skal træffe alle nødvendige foranstaltninger til at sikre uafbrudt transmission af advarslerne.

Den foreslåede bestemmelse gennemfører den del af artikel 108, 2. pkt., i EU’s telekodeks, hvorefter medlemsstaterne sikrer, at udbydere af talekommunikationstjenester træffer alle nødvendige foranstaltninger til at sikre uafbrudt transmission af offentlige advarsler. Artikel 108, 2 pkt. berøres ikke af NIS 2-direktivet.

Den pågældende del af bestemmelsen i artikel 108, 2. pkt., i EU’s telekodeks skal ses i sammenhæng med artikel 110, der pålægger medlemsstater, der allerede har etableret offentlige varslingssystemer, at sørge for, at udbydere af mobile nummerbaserede interpersonelle kommunikationstjenester udsender offentlige advarsler til berørte slutbrugere (mobilbaseret varsling).

Forpligtelsen i artikel 110 er implementeret ved telelovens § 62, stk. 1 da forpligtelsen har nær sammenhæng med eksisterende forpligtelser i teleloven i relation til bl.a. alarm- og beredskabsforhold. Det mobilbaserede varslingssystem, der er etableret i medfør af artikel 110 i EU’s telekodeks og implementeret i dansk ret ved telelovens § 62, blev taget i brug i foråret 2023.

Forpligtelsen til at udsende offentlige advarsler, der følger af telelovens § 62, stk. 1, påhviler de såkaldte mobiloperatører, som omfatter udbydere af elektroniske kommunikationstjenester i mobilnet og udbydere af mobilnet.

Den foreslåede bestemmelse har til formål at sikre, at mobiloperatørerne træffer alle nødvendige foranstaltninger for at undgå, at udstyr og systemer, der anvendes i forbindelse med transmission af offentlige advarsler, afbrydes. Mobiloperatørerne vil i forlængelse af eksisterende forpligtelser til at sikre en robust teleinfrastruktur skulle planlægge og sørge for opretholdelsen af uafbrudt transmission af offentlige advarsler, herunder i relation til udstyr og systemer, der anvendes til transmission af offentlige advarsler, bl.a. tage stilling til fremskaffelse af det nødvendige reserveudstyr, og sikring af redundans og nødstrømsforsyning.

Det foreslås i stk. 5, 1. pkt., at i beredskabssituationer og i andre ekstraordinære situationer kan Styrelsen for Samfundssikkerhed påbyde væsentlige og vigtige teleudbydere uden unødigt ophold at iværksætte nærmere angivne sikkerhedsforanstaltninger.

Den foreslåede bestemmelse viderefører indholdet af § 5, stk. 4, i lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, som ændret ved § 18 i lov nr. 1156 af 8. juni 2021.

Ministeriet for Samfundssikkerhed og Beredskab finder det henset til vurderingen af det aktuelle trusselsniveau mod telesektoren væsentligt at opretholde det nuværende sikkerhedsniveau for sektoren. Der er med videreførelsen af bestemmelsen ikke tilsigtet materielle ændringer af bestemmelsens indhold.

Den gældende bestemmelse i § 5, stk. 4, i lov om sikkerhed i net og tjenester gennemfører i øvrigt delvist artikel 108 i EU’s telekodeks. Artikel 108 berøres ikke af NIS 2-direktivet.

Ordningen er en del af den samlede beredskabsplanlægning inden for den civile sektor. Det følger således af § 24, stk. 1, i beredskabsloven, jf. lovbekendtgørelse nr. 314 af 3. april 2017 med senere ændringer, at hver enkelt minister inden for sit område skal planlægge for opretholdelse og videreførelse af samfundets funktioner i tilfælde af større ulykker og katastrofer, herunder udarbejde beredskabsplaner.

Bestemmelsens anvendelsesområde omfatter beredskabssituationer samt andre ekstraordinære situationer. Dette omfatter såvel situationer med krigshandlinger som situationer, hvor det som følge af en større ulykke, katastrofe eller anden ekstraordinær hændelse eller krise er nødvendigt at indføre særlige foranstaltninger vedrørende net og tjenester med henblik på at opretholde samfundets funktioner. Bestemmelsens anvendelsesområde omfatter således både naturskabte og menneskeskabte ulykker og katastrofer, herunder eksempelvis orkan- og stormflodssituationer og alvorlige cyberangreb.

Styrelsen for Samfundssikkerhed vil efter den foreslåede bestemmelse kunne påbyde væsentlige og vigtige teleudbydere at iværksætte akutte sikkerhedsforanstaltninger, forudsat at der er en hændelse eller trussel, der i betydeligt omfang påvirker, eller kan påvirke, udbuddet af net og tjenester negativt. En hændelse, der i betydeligt omfang påvirker udbuddet af net og informationssystemer, kan eksempelvis være et alvorligt cyberangreb eller et terrorangreb, som medfører, at net eller informationssystemer i en periode ikke er tilgængelige for slutbrugerne. Sådanne hændelser kan endvidere være kraftige vejrfænomener såsom orkaner eller skybrud, der medfører, at større dele af teleinfrastrukturen beskadiges. En trussel, der vurderes i betydeligt omfang at kunne påvirke udbuddet af net eller tjenester, vil eksempelvis være, hvis der foreligger oplysninger om et nært forestående sabotageforsøg eller terrorangreb mod kritiske dele af teleinfrastrukturen.

For at anvende bestemmelsen skal der foreligge en beredskabssituation eller en anden ekstraordinær situation, eller en risiko for påvirkning af udbuddet af net og tjenester. Det bemærkes i den forbindelse, at en hændelse eller trussel, der i betydeligt omfang påvirker, eller kan påvirke, udbuddet af net eller informationssystemer negativt, i sig selv kan udgøre en beredskabssituation.

Det foreslås i stk. 5, 2. pkt., at ministeren for samfundssikkerhed og beredskab kan fastsætte regler om de sikkerhedsforanstaltninger, der er nævnt i 1. pkt.

Der vil bl.a. kunne fastsættes regler om, at Styrelsen for Samfundssikkerhed kan i påbyde væsentlige og vigtige teleudbydere at iværksætte akutte sikkerhedsforanstaltninger såsom indførelse af særlige adgangskontroller til udbyderens lokaliteter, begrænsning af adgangsveje til og parkeringsrestriktioner på udbyderens arealer samt eftersyn med udbyderens arealer og bygninger. Der kan endvidere fastsættes regler om, at Styrelsen for Samfundssikkerhed kan påbyde de væsentlige og de vigtige teleudbydere foranstaltninger ved håndteringen af postforsendelser, f.eks. gennemlysning af breve og pakker. Desuden kan der fastsættes regler om, at Styrelsen for Samfundssikkerhed kan påbyde udbyderne at udpege særligt kritiske eller aktuelt truede dele af deres teleinfrastruktur og sørge for vagtrundering, kontrol med sikringsforanstaltninger og eventuelt bevogtning af de pågældende dele af teleinfrastrukturen i samarbejde med relevante beredskabsaktører. Der kan tillige fastsættes regler om, at Styrelsen for Samfundssikkerhed kan påbyde de væsentlige og de vigtige teleudbydere at foranstalte akutte sikkerhedsforanstaltninger til begrænsning af skadevirkningen af eksempelvis naturskabte hændelser. Der kan endvidere fastsættes regler om, at Styrelsen for Samfundssikkerhed i forhold til cyberangreb eksempelvis kan påbyde logning eller blokering af IP-adresser, der anvendes som led i et angreb. Derudover kan der fastsættes regler om, at styrelsen kan påbyde udbyderne at gennemgå deres beredskabsplaner med henblik på at kunne iværksatte de forberedte tiltag til sikring af teleinfrastrukturen.

Det forudsættes, at udbyderne skal foretage de pågældende foranstaltninger uden omkostninger for staten, hvilket svarer til, at der heller ikke på andre områder udtrykkeligt er angivet, at de påkrævede foranstaltninger skal foretages uden omkostninger for staten.

Det foreslås i stk. 6, at i beredskabssituationer og i andre ekstraordinære situationer skal væsentlige teleudbydere efter påbud fra Styrelsen for Samfundssikkerhed prioritere retablering af nærmere angivne dele af udbyderens beskadigede infrastruktur.

Den foreslåede ordning er en videreførelse af § 17 i bekendtgørelse nr. 261 om beredskabsaktørers adgang til elektronisk kommunikation i beredskabssituationer mv.

Henset til det aktuelle trusselsbillede finder Ministeriet for Samfundssikkerhed og Beredskab, at der skal ske en videreførelse af den nævnte bestemmelse.

Der forudsættes ikke en ændring af gældende ret, og bestemmelsen skal således fortolkes i overensstemmelse med den gældende fortolkning og praksis på området.

Det foreslås i stk. 7, at i beredskabssituationer og i andre ekstraordinære situationer, hvor der opstår kapacitetsproblemer, skal væsentlige teleudbydere efter påbud fra Styrelsen for Samfundssikkerhed prioritere fremførsel i net af nærmere angivne forbindelser og tjenester, herunder om nødvendigt afbryde andre forbindelser eller tjenester helt eller delvist.

Den foreslåede ordning er en videreførelse af § 18 i bekendtgørelse nr. 261 om beredskabsaktørers adgang til elektronisk kommunikation i beredskabssituationer mv.

Henset til det aktuelle trusselsbillede finder Ministeriet for Samfundssikkerhed og Beredskab, at der skal ske en videreførelse af den nævnte bestemmelse.

Der forudsættes ikke en ændring af gældende ret, og bestemmelsen skal således fortolkes i overensstemmelse med den gældende fortolkning og praksis på området.

Det følger af § 7, stk. 1, i lov om sikkerhed i net og tjenester, at det i regler udstedt i medfør af lovens § 4, kan fastsættes, at underretninger og afgivelse af oplysninger efter § 4, nr. 1-3, er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

Der følger endvidere at § 8, stk. 1, i lov om sikkerhed i net og tjenester, at myndigheder og virksomheder kan underrette Styrelsen for Samfundssikkerhed om hændelser, der negativt påvirker eller vurderes at ville kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale servicer. Sådanne underretninger er efter bestemmelsens stk. 2, undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

Det foreslås i stk. 1, at underretninger modtaget i medfør af § 8, stk. 2 og § 10 er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

Bestemmelsen viderefører indholdet af § 8, stk. 1 og 2 i lov om sikkerhed i net og tjenester.

Bemyndigelsen til at fastsætte regler om aktindsigt er i dag udmøntet i bekendtgørelse nr. 258 af 22. februar 2021 om oplysnings- og underretningspligter vedrørende sikkerhed i net og tjenester.

Det følger af den foreslåede § 8, stk. 2, at teleudbydere skal underrette Styrelsen for Samfundssikkerhed og CSIRT’en om enhver væsentlig hændelse.

Det følger af den foreslåede § 10, stk. 1, at teleudbydere kan underrette Styrelsen for Samfundssikkerhed og CSIRT’en om hændelser, nærvedhændelser og cybertrusler.

Undtagelserne fra aktindsigt skal navnlig ses i lyset af, at en velfungerende underretningsordning forudsætter, at der ikke er risiko for, at de ofte særligt kommercielt følsomme oplysninger, som vil blive modtaget fra teleudbyderne, kan tilgå teleudbydernes konkurrenter eller potentielle angribere.

Undtagelsen skal navnlig ses i lyset af, at underretning af Styrelsen for Samfundssikkerhed skaber de bedst mulige forudsætninger for, at styrelsen kan udnytte erfaringer med cybertrusler og sikkerhedsrisici på tværs af samfundet – og dermed skabe et samlet overblik over den aktuelle sikkerhedstilstand på den danske del af internettet. Underretningerne sætter således Styrelsen for Samfundssikkerhed i stand til at varsle hurtigere om trusler og styrke grundlaget for styrelsens rådgivning om risici og passende sikkerhedstiltag.

Oplysninger om, at der f.eks. er gennemført et vellykket hackerangreb, hvor en virksomhed har mistet data, kan imidlertid i høj grad skade virksomhedens omdømme, og risikoen for, at oplysningerne via aktindsigt bliver offentligt tilgængelige, kan i praksis afholde mange virksomheder fra at underrette Styrelsen for Samfundssikkerhed om et sådant hackerangreb. Derfor bør også disse særlige underretninger være undtaget fra aktindsigt.

Undtagelsen fra aktindsigt omfatter ikke teleudbydernes adgang til at gøre sig bekendt med oplysninger, der vedrører deres egne forhold.

Det foreslås i § 15, at det i regler udstedt i medfør af § 7, stk. 5 kan fastsættes, at underretninger og afgivelse af oplysninger efter denne bestemmelse er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

Det følger af den foreslåede § 7, stk. 5, at ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om oplysnings- og underretningspligter for væsentlige- og vigtige teleudbydere, herunder krav om: 1) afgivelse af oplysninger om væsentlige dele teleudbyderens net eller tjenester eller driften heraf, 2) krav om underretning ved påtænkt indgåelse af aftaler om leverancer, der vedrører væsentlige dele af udbyderens net eller tjenester eller driften heraf, og 3) krav om, at teleudbyderen skal indsende et endeligt aftaleudkast til Styrelsen for Samfundssikkerhed umiddelbart forud for indgåelse af aftalen, og at aftalen først kan indgås op til 25 arbejdsdage efter styrelsens modtagelse af pågældende udkast.

Det foreslås, at der ikke skal være mulighed for aktindsigt i teleudbyderes afgivelse af oplysninger om væsentlige dele af teleudbyderens net eller tjenester eller driften heraf.

De oplysninger, som Styrelsen for Samfundssikkerhed som led i den foreslåede § 7, stk. 5, nr. 1, modtager fra og sender til teleudbydere vedrørende væsentlige dele af udbyderens net og tjenester eller varetagelsen af driften heraf, vil ofte indeholde oplysninger om fejl eller sårbarheder i net eller tjenester, som kan misbruges af potentielle angribere, hvis de kommer til uvedkommendes kendskab. Det foreslås derfor, at oplysningerne i deres helhed undtages fra aktindsigt, herunder partsaktindsigt efter forvaltningsloven, således at aktindsigtsanmodninger ikke – som det ellers ville være tilfældet – behandles efter principperne i offentlighedsloven.

Det forudsættes endvidere, at der i medfør af den foreslåede bestemmelse kan fastsættes regler om, at der ikke er adgang til aktindsigt i de udkast til aftaler, som væsentlige og vigtige teleudbydere indsender til Styrelsen for Samfundssikkerhed i medfør af regler fastsat efter den foreslåede § 7, stk. 5, nr. 2. Aftalerne vil ofte indeholde en lang række oplysninger om udbydernes net og tjenester samt aftaleforhold, som dels er kommercielt fortrolige, dels kan misbruges af potentielle angribere. Reglerne svarer til den gældende § 7, stk. 1, i lov om sikkerhed i net og tjenester. Der tilsigtes ikke en ændring af denne praksis.

Cirkulære nr. 10338 af 17. december 2014 om sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO eller EU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt (sikkerhedscirkulæret) indeholder de almindelige regler for bl.a. sikkerhedsundersøgelser og sikkerhedsgodkendelser af ansatte i offentlige myndigheder og ansatte i private firmaer, der arbejder for en offentlig myndighed.

Lov om sikkerhed i net og tjenester indeholder i lovens kapitel 4 regler om sikkerhedsgodkendelser af medarbejdere og repræsentanter for teleudbydere i tilfælde, hvor de pågældende som led i deres konkrete opgaveløsning for udbyderen skal behandle klassificerede informationer eller andre informationer, der er særligt beskyttelsesværdige i relation til sikkerhed i net og tjenester eller beredskab.

Den foreslås i stk. 1, at medarbejdere hos væsentlige og vigtige teleudbydere og repræsentanter for disse udbydere skal sikkerhedsgodkendes af Styrelsen for Samfundssikkerhed, når 1) det er nødvendigt i forhold til den pågældendes adgang til klassificeret information eller til de funktioner, som den pågældende skal varetage eller 2) den pågældende varetager kontakten til Styrelsen for Samfundssikkerhed i relation til beredskabet i henhold til regler, der er udstedt i medfør af § 13, stk. 3.

Bestemmelsens viderefører delvist indholdet af den gældende § 6, stk. 1, i lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, som ændret ved § 18 i lov nr. 1156 af 8. juni 2021.

Bestemmelsen indebærer, at personkredsen nævnt i bestemmelsens stk. 1, skal sikkerhedsgodkendes af Styrelsen for Samfundssikkerhed.

Afgørelsen baseres på en sikkerhedsundersøgelse foretaget af Politiets Efterretningstjeneste og træffes ud fra en konkret vurdering af alle foreliggende oplysninger om den pågældende person. I overensstemmelse med ordningen efter sikkerhedscirkulærets § 14 vil der ved afgørelsen om sikkerhedsgodkendelse blive lagt vægt på, om vedkommende har udvist ubestridt loyalitet og har en sådan adfærd og karakter, herunder vaner, forbindelser og diskretion, at der ikke kan være tvivl om den pågældendes pålidelighed i forbindelse med håndtering af klassificerede informationer eller andre beskyttelsesværdige informationer. Der kan ved afgørelsen tilsvarende lægges vægt på oplysninger om en ægtefælles, samlevers, registreret partners eller samboendes adfærd, karakter og forhold i øvrigt.

Det foreslås i stk. 2, at ministeren for samfundssikkerhed og beredskab efter forhandling med justitsministeren kan fastsætte regler om ansøgninger vedrørende sikkerhedsgodkendelser, herunder betingelser for indgivelse af sådanne ansøgninger samt meddelelse og tilbagekaldelse af sikkerhedsgodkendelser.

Med den foreslåede bestemmelse vil der således i loven være en særskilt hjemmel til fastsættelse af regler om sikkerhedsgodkendelse af medarbejdere hos væsentlige og vigtige teleudbydere og repræsentanter for disse.

Det forventes, at der fastsættes nærmere regler om ansøgning og afgørelser om sikkerhedsgodkendelser, samt meddelelse om og tilbagekaldelse af afgørelser om sikkerhedsgodkendelser. Dette omfatter bl.a. administrative krav i forbindelse med indgivelse af en ansøgning, krav om afmelding, hvis en person ikke længere har en funktion, som forudsætter en sikkerhedsgodkendelse, og bestemmelser om, at afgørelsen tilbagekaldes, hvis en person ikke længere opfylder kravene til godkendelsen.

Det foreslås med § 17, at Styrelsen for Samfundssikkerhed fører tilsyn med overholdelsen af denne lov og regler, der er udstedt i medfør af loven.

Der er således ikke forudsat en ændring af tilsynsmyndigheden på området for sikkerhed og beredskab i telesektoren.

De nærmere regler om Styrelsen for Samfundssikkerheds kompetencer og regler for håndhævelse af fastsat i forslagets §§ 18-25.

Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed kan påbyde væsentlige og vigtige teleudbydere at inddrage nærmere angivne områder af deres virksomhed og nærmere angivne trusler mod sikkerheden i net og informationssystemer i deres risikostyringsprocesser efter § 5, stk. 1.

Bestemmelsen viderefører indholdet af § 3, stk. 2, i lov om sikkerhed i net og tjenester.

Ministeriet for Samfundssikkerhed og Beredskab finder det således henset til vurderingen af det aktuelle trusselsniveau mod telesektoren væsentligt at opretholde det nuværende sikkerhedsniveau for sektoren. Der er med videreførelsen af bestemmelsen ikke tilsigtet materielle ændringer af bestemmelsens indhold.

Det foreslås derfor med bestemmelsen, at Styrelsen for Samfundssikkerhed kan påbyde væsentlige og vigtige teleudbydere at inddrage nærmere angivne områder af deres virksomhed og nærmere angivne trusler mod sikkerheden i net og informationssystemer i deres risikostyringsprocesser efter § 5, stk. 1.

Der kan efter den foreslåede bestemmelse stilles krav om, at udbyderne i risikostyringsprocesserne skal tage højde for bestemte, herunder både konkrete og generelle trusler mod sikkerheden i net og informationssystemer efter påbud fra Styrelsen for Samfundssikkerhed. Det kan eksempelvis ske på baggrund af de trusselsvurderinger, som løbende udarbejdes af Styrelsen for Samfundssikkerhed eller Forsvarets Efterretningstjeneste.

Endvidere kan Styrelsen for Samfundssikkerhed ved påbud bestemme, at visse områder af en udbyders virksomhed, der er nærmere specificeret i påbuddet, skal være omfattet af risikostyringsprocesserne, hvis dette ikke i forvejen er tilfældet.

Det foreslås i stk. 2, 1. pkt., at er det af væsentlig samfundsmæssig betydning kan Styrelsen for Samfundssikkerhed påbyde væsentlige og vigtige teleudbydere at træffe konkrete foranstaltninger med henblik på at sikre sikkerheden i net- og informationssystemer, herunder påbud om, at udstyr, der skal anvendes i forbindelse med indgreb i meddelelseshemmeligheden skal opsættes i og drives fra Danmark.

Den foreslåede bestemmelse viderefører indholdet af § 3, stk. 4, i lov om sikkerhed i net og tjenester.

Ministeriet for Samfundssikkerhed og Beredskab finder det således henset til vurderingen af det aktuelle trusselsniveau mod telesektoren væsentligt at opretholde det nuværende sikkerhedsniveau for sektoren. Der er med videreførelsen af bestemmelsen ikke tilsigtet materielle ændringer af bestemmelsens indhold.

Det foreslås derfor med bestemmelsen, at Styrelsen for Samfundssikkerhed skal kunne påbyde væsentlige og vigtige teleudbydere at træffe andre og konkrete foranstaltninger end de i stk. 1 nævnte med henblik på at sikre sikkerheden i net og informationssystemer, hvis sådanne foranstaltninger er af væsentlig samfundsmæssig betydning.

Foranstaltninger af væsentlig samfundsmæssig betydning kan i denne sammenhæng eksempelvis være tiltag, der skal reducere risikoen for, at uvedkommende får adgang til myndigheders elektroniske kommunikation. Det kan endvidere være foranstaltninger, der skal hindre uvedkommendes adgang via net og tjenester til infrastruktur, som er nødvendige, for at samfundsvigtige funktioner opretholdes. Dette kan være funktioner, som er særligt vigtige for samfundets og demokratiets opretholdelse og sikkerhed samt borgernes tryghed, herunder funktioner inden for sundhed, energi, transport, forsyning, finans, forskning, medier og kommunikation samt funktioner, som har stor økonomisk betydning for samfundet.

Styrelsen for Samfundssikkerhed vil desuden med hjemmel i bestemmelsen kunne påbyde væsentlige teleudbydere og vigtige erhvervsmæssige teleudbydere at sikre, at udstyr og systemer, som skal anvendes i forbindelse med indgreb i meddelelseshemmeligheden – de såkaldte »lawful interception-funktionaliteter« – skal opsættes i og drives fra Danmark. Påbudsmuligheden forudsættes imidlertid ikke benyttet, såfremt en teleudbyder kan godtgøre, at der er et tilstrækkeligt sikkerhedsniveau på trods af, at lawful interception-funktionaliteterne opsættes og drives uden for Danmark. »Lawful interception-funktionaliteterne« vil i tilfælde af utilstrækkelige sikkerhedsforanstaltninger kunne benyttes af uvedkommende til at overvåge telekunders kommunikation, ligesom uvedkommende vil kunne få kendskab til politiets igangværende aflytninger. En tilstrækkelig sikkerhed i forhold til »lawful interception-funktionaliteterne« er derfor særligt vigtig for samfundets og demokratiets opretholdelse og sikkerhed samt borgernes tryghed.

Det bemærkes i den forbindelse, at Styrelsen for Samfundssikkerhed alene vil kunne foretage tilsynsbesøg, såfremt »lawful interception-funktionaliteten« er placeret i Danmark. Opsættes udstyr og systemer, som skal anvendes i forbindelse med indgreb i meddelelseshemmeligheden i udlandet, vil Styrelsen for Samfundssikkerhed således ikke have mulighed for at konstatere, om udbyderne i praksis har gennemført de nødvendige foranstaltninger med henblik på at sikre et passende sikkerhedsniveau i net og informationssystemer. Det bemærkes desuden, at Styrelsen for Samfundssikkerheds tilsyn alene vil omfatte de systemtekniske sikkerhedsforanstaltninger, og at styrelsen ikke i forbindelse med tilsyn vil få adgang til oplysninger om igangværende eller historiske aflytninger.

Et påbud efter den foreslåede bestemmelses stk. 2, vil i almindelighed have karakter af erstatningsfri regulering. Det kan imidlertid ikke udelukkes, at påbud udstedt i medfør af den foreslåede bestemmelse vil kunne ramme væsentlige og vigtige teleudbydere så økonomisk intensivt og atypisk hårdt, at der vil kunne være tale om et ekspropriativt indgreb mod den pågældende udbyder. Det vil bero på en konkret vurdering, om der i det enkelte tilfælde foreligger ekspropriation efter grundlovens § 73. Spørgsmålet om adgang til erstatning efter grundlovens § 73 henhører under domstolene.

De foreslåede bestemmelser indebærer ikke, at der ændres ved det grundlæggende princip om aftalefrihed. Der kan således ikke med hjemmel i bestemmelserne ske regulering af ejerforhold, fastsættes forbud mod at indgå aftale med bestemte leverandører eller forbud mod ejerskab af bestemte netværk eller produkter.

Det foreslås i stk. 2, 2. pkt., at ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om påbud om foranstaltninger efter 1. pkt.

Den foreslåede bestemmelse har til formål at bemyndige ministeren for samfundssikkerhed og beredskab til at fastsætte nærmere regler om påbud om foranstaltninger efter stk. 1. Den nærmere udmøntning af den foreslåede 1. pkt., vil således ske i en bekendtgørelse.

Det følger af § 9, stk. 6, i lov om sikkerhed i net og tjenester, at såfremt det er nødvendigt af hensyn til sikkerheden i net og tjenester, har Styrelsen for Samfundssikkerhed efter et skriftligt varsel på mindst 7 arbejdsdage uden retskendelse mod behørig legitimation adgang til udbyderes forretningslokaler med henblik på at påse overholdelsen af loven og regler, der er udstedt i medfør af loven. Styrelsen for Samfundssikkerhed kan ikke i forbindelse med adgang til forretningslokaler tilgå kommunikation til, fra eller mellem udbyderens kunder.

Der følger endvidere af § 9, stk. 7 i lov om sikkerhed i net og tjenester, at såfremt det er nødvendigt af hensyn til sikkerheden i net og tjenester, har Styrelsen for Samfundssikkerhed efter et skriftligt varsel på mindst 7 arbejdsdage uden retskendelse mod behørig legitimation adgang til forretningslokaler hos udbyderes samarbejdspartnere, leverandører eller underleverandører med henblik på at påse overholdelsen af loven og regler, der er udstedt i medfør af loven, i relation til outsourcet aktivitet.

Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed som led i sit tilsyn ud fra en konkret vurdering af omstændighederne i hver enkelt sag kan anvende nærmere angivne tilsynsforanstaltninger over for en væsentlig teleudbyder.

Det foreslås med nr. 1, at Styrelsen for Samfundssikkerhed uden retskendelse of mod behørig legitimation kan foretage kontrol hos teleudbydere samt deres samarbejdspartnere, leverandører eller underleverandører i relation til outsourcet aktivitet og eksternt tilsyn, herunder foretage stikprøvekontroller.

Den foreslåede bestemmelse vil gennemføre artikel 32, stk. 1 og 2, i NIS 2-direktivet.

Det følger af NIS 2-direktivets artikel 32, stk. 1, at medlemsstaterne skal sikre, at de tilsyns- eller håndhævelsesforanstaltninger, der pålægges væsentlige enheder, for så vidt angår forpligtelserne fastsat i direktivet, er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.

Den foreslåede bestemmelse i stk. 1, nr. 1, vil endvidere videreføre § 9, stk. 6 og 7 i lov om sikkerhed i net og tjenester.

Ministeriet for Samfundssikkerhed og Beredskab finder det således henset til vurderingen af det aktuelle trusselsniveau mod telesektoren, jf. lovforslagets pkt. 1 ovenfor, væsentligt at opretholde det nuværende sikkerhedsniveau for sektoren. Der er med videreførelsen af bestemmelsen ikke tilsigtet materielle ændringer af bestemmelsens indhold.

For effektivt at kunne konstatere, om væsentlige teleudbydere i praksis har gennemført de nødvendige foranstaltninger til at sikre deres net- og informationssystemer, er det nødvendigt, at Styrelsen for Samfundssikkerhed som led i et tilsyn har adgang til forretningslokaler hos væsentlige teleudbydere. Det foreslås derfor, at der skal være adgang til kontrol på stedet uden retskendelse og mod behørig legitimation.

Den foreslåede bestemmelse vil betyde, at Styrelsen for Samfundssikkerhed som led i et tilsyn kan foretage kontrol på stedet til enhver tid. Det forudsættes dog almindeligvis, at Styrelsen for Samfundssikkerhed forinden et kontrolbesøg vil varsle den væsentlige enhed herom.

Det bemærkes, at Styrelsen for Samfundssikkerhed ikke i forbindelse med adgang til forretningslokaler efter stk. 1, kan tilgå kommunikation til, fra eller mellem udbyderens kunder.

Styrelsen for Samfundssikkerhed vil ikke i forbindelse med tilsynsbesøgene kunne få adgang til elektronisk kommunikation til, fra og mellem udbydernes kunder, ligesom centeret alene vil kunne foretage tilsynsbesøg i det omfang, udbyderens forretningslokaler er placeret i Danmark.

Det foreslås i nr. 2, at Styrelsen for Samfundssikkerhed kan foretage regelmæssige og målrettede sikkerhedsaudits eller stille krav om, at udbyderen får et kvalificeret uafhængigt organ til at foretage disse audits, og at resultaterne heraf stilles til rådighed for Styrelsen for Samfundssikkerhed,

Den foreslåede bestemmelse vil gennemføre artikel 32, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 32, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det følger af NIS 2-direktivets artikel 32, stk. 1, at medlemsstaterne skal sikre, at de tilsyns- eller håndhævelsesforanstaltninger, der pålægges væsentlige enheder, for så vidt angår forpligtelserne fastsat i direktivet, er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.

Efter direktivets artikel 32, stk. 2, 2. led, baseres de målrettede sikkerhedsaudits, der er omhandlet i første led, litra b, på risikovurderinger foretaget af den kompetente myndighed eller den reviderede enhed eller på andre tilgængelige risikorelaterede oplysninger. Resultaterne af enhver målrettet sikkerhedsaudit stilles til rådighed for den kompetente myndighed. Omkostningerne ved en sådan målrettet sikkerhedsaudit, der udføres af et uafhængigt organ, afholdes af den reviderede enhed, undtagen i behørigt begrundede tilfælde når den kompetente myndighed bestemmer andet.

Det foreslås i nr. 3, at Styrelsen for Samfundssikkerhed kan foretage sikkerhedsaudits ad hoc.

Den foreslåede bestemmelse vil gennemføre artikel 32, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 32, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det følger af NIS 2-direktivets artikel 32, stk. 1, at medlemsstaterne skal sikre, at de tilsyns- eller håndhævelsesforanstaltninger, der pålægges væsentlige enheder, for så vidt angår forpligtelserne fastsat i direktivet, er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.

Det foreslås i nr. 4, at Styrelsen for Samfundssikkerhed kan foretage sikkerhedsscanninger.

Den foreslåede bestemmelse vil gennemføre artikel 32, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 32, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det følger af NIS 2-direktivets artikel 32, stk. 1, at medlemsstaterne skal sikre, at de tilsyns- eller håndhævelsesforanstaltninger, der pålægges væsentlige enheder, for så vidt angår forpligtelserne fastsat i direktivet, er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.

Det foreslås i nr. 5, at Styrelsen for Samfundssikkerhed kan kræve at få udleveret oplysninger, der er nødvendige for at vurdere de foranstaltninger til styring af sikkerhedsrisici, som den berørte udbyder har indført.

Den foreslåede bestemmelse vil gennemføre artikel 32, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 32, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det følger af NIS 2-direktivets artikel 32, stk. 1, at medlemsstaterne skal sikre, at de tilsyns- eller håndhævelsesforanstaltninger, der pålægges væsentlige enheder, for så vidt angår forpligtelserne fastsat i direktivet, er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.

Det foreslås i nr. 6, at Styrelsen for Samfundssikkerhed kan kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.

Den foreslåede bestemmelse vil gennemføre artikel 32, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 32, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det følger af NIS 2-direktivets artikel 32, stk. 1, at medlemsstaterne skal sikre, at de tilsyns- eller håndhævelsesforanstaltninger, der pålægges væsentlige enheder, for så vidt angår forpligtelserne fastsat i direktivet, er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.

Det foreslås i nr. 7, at Styrelsen for Samfundssikkerhed kan kræve at få udleveret dokumentation for gennemførelsen af sikkerhedspolitikker.

Den foreslåede bestemmelse vil gennemføre artikel 32, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 32, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det følger af NIS 2-direktivets artikel 32, stk. 1, at medlemsstaterne skal sikre, at de tilsyns- eller håndhævelsesforanstaltninger, der pålægges væsentlige enheder, for så vidt angår forpligtelserne fastsat i direktivet, er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.

Det foreslås i nr. 8, at Styrelsen for Samfundssikkerhed kan kræve at få skriftlige udtalelser og redegørelser om faktiske forhold af betydning for Styrelsen for Samfundssikkerheds tilsynsvirksomhed.

Den foreslåede bestemmelse vil gennemføre artikel 32, stk. 1 og 2, i NIS 2-direktivet.

Det følger af NIS 2-direktivets artikel 32, stk. 1, at medlemsstaterne skal sikre, at de tilsyns- eller håndhævelsesforanstaltninger, der pålægges væsentlige enheder, for så vidt angår forpligtelserne fastsat i direktivet, er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 32, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der for de foreslåede tilsynsforanstaltninger vil være tale om et indgreb, der er omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer, at retten til ikke at inkriminere sig selv, jf. kapitel 4 i nævnte lov, skal overholdes. Det bemærkes dog, at det af bemærkningerne til § 10 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter fremgår, at »[b]estemmelsen [om forbud mod selvinkriminering] er ikke til hinder for, at den mistænkte kan pålægges at give (faktuelle) oplysninger, som er uden betydning for bedømmelsen af, hvorvidt den pågældende har begået en lovovertrædelse, der kan medføre straf.«

Det foreslås i stk. 2, at ved anvendelsen af tiltagene i stk. 1, nr. 5-8, skal Styrelsen for Samfundssikkerhed angive formålet med tiltaget og præcisere, hvilke oplysninger der kræves udleveret og hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 5-8, skal udleveres.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 32, stk. 3, hvorefter de kompetente myndigheder ved udøvelsen af deres beføjelser i henhold til artikel 32, stk. 2, litra e, f eller g, skal angive formålet med anmodningen og præcisere, hvilke oplysninger der anmodes om.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 32, stk. 3, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse indebærer endvidere, at Styrelsen for Samfundssikkerhed i forbindelse med, at der stilles krav om udlevering af oplysninger eller materiale efter de foreslåede bestemmelser i stk. 1, nr. 5-8, samtidig kan kræve, at oplysningerne eller materialet udleveres på en bestemt måde, på et bestemt sprog og i en bestemt form.

Der vil eksempelvis kunne stilles krav om anvendelse af bestemte skemaer, eller at der skal foretages indtastninger på en hjemmeside.

Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed kan anvende nærmere angivne håndhævelsesforanstaltninger over for en væsentlig teleudbyder.

Den foreslåede bestemmelse vil gennemføre artikel 32, stk. 4, litra a-h, i NIS 2-direktivet, for så vidt angår telesektoren.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 32, stk. 4, litra a-h, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Efter bestemmelsen får Styrelsen for Samfundssikkerhed mulighed for at udstede advarsler, bindende instrukser, påbud og forbud.

Det bemærkes i den forbindelse, at det følger af NIS 2-direktivets artikel 32, stk. 1, at de håndhævelsesforanstaltninger, der anvendes overfor væsentlige teleudbydere i medfør af den foreslåede bestemmelse, skal være effektive, stå i et rimeligt forhold til overtrædelsen og have en afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.

Det følger af den foreslåede bestemmelse, at Styrelsen for Samfundssikkerhed skal foretage en konkret vurdering af omstændighederne i hver enkelt sag, når styrelsen anvender håndhævelsesforanstaltningerne over for væsentlige teleudbydere, således at proportionalitetsprincippet overholdes ved valg mellem de oplistede håndhævelsesmuligheder.

Styrelsen for Samfundssikkerhed skal derfor i overensstemmelse med NIS 2-direktivets artikel 32, stk. 7, litra a, tage hensyn til 1) overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser, idet bl.a. følgende under alle omstændigheder skal betragtes som alvorlige overtrædelser: a) Gentagne overtrædelser, b) manglende underretning om eller afhjælpning af væsentlige hændelser, c) manglende afhjælpning af mangler efter bindende instrukser fra Styrelsen for Samfundssikkerhed, d) hindringer for audits eller overvågningsaktiviteter beordret af Styrelsen for Samfundssikkerhed efter konstatering af en overtrædelse, og e) afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende cybersikkerhedsrisikostyringsforanstaltninger eller rapporteringsforpligtelser, 2) overtrædelsens varighed, 3) den pågældende udbyders relevante tidligere overtrædelser, 4) enhver fysisk eller ikke fysisk skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt, 5) hvorvidt der ved overtrædelsen er handlet forsætligt eller uagtsomt, 6) enhver foranstaltning truffet af udbyderen for at forebygge eller afbøde den fysisk eller ikke fysisk skade, 7) hvorvidt godkendte adfærdskodekser eller godkendte certificeringsmekanismer er overholdt, og 8) i hvilken udstrækning de fysiske eller juridiske personer, der holdes ansvarlige for overtrædelsen, samarbejder med Styrelsen for Samfundssikkerhed.

Det følger endvidere af NIS 2-direktivets artikel 32, stk. 7, at den kompetente myndighed ved anvendelsen af håndhævelsesforanstaltninger skal overholde retten til forsvar. Dette sikres ved, at et påbud eller forbud efter den foreslåede § 22 vil være omfattet af forvaltningslovens almindelige regler, herunder bestemmelserne i kapitel 3 (om vejledning og repræsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse mv.) og kapitel 7 (om klagevejledning).

Derudover vil der være mulighed for at indbringe afgørelserne for domstolene.

Der vil i forbindelse med en afgørelse om påbud eller forbud efter den foreslåede § 20, nr. 3-6 og 8 blive fastsat en frist, inden for hvilken udbyderen skal efterkomme indholdet i afgørelsen.

En væsentlig teleudbyder, der modtager en afgørelse om påbud eller forbud efter den foreslåede § 20, nr. 3-6 og 8, vil også kunne ifalde straf for en eventuel overtrædelse af denne lov eller regler udstedt i medfør af loven, jf. stk. 1, nr. 3.

Det følger af det foreslåede nr. 1, at Styrelsen for Samfundssikkerhed kan udstede advarsler om teleudbyderens overtrædelse af kapitel 2-4, og regler udstedt i medfør af bestemmelser i disse kapitler.

Den foreslåede bestemmelse vil give Styrelsen for Samfundssikkerhed mulighed for at udstede advarsler om enhedens overtrædelse af loven. Der er tale om den mildeste form for håndhævelsesforanstaltning, som kan tages i brug af Styrelsen for Samfundssikkerhed.

Det følger af den foreslåede nr. 2, at Styrelsen for Samfundssikkerhed kan udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, samt frister for gennemførelse af sådanne foranstaltninger og for rapportering om deres gennemførelse eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af denne lov.

Den foreslåede bestemmelse vil indebære, at Styrelsen for Samfundssikkerhed vil kunne udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse. Det forudsættes, at den kompetente myndighed vil meddele enheden en frist for gennemførelse af nødvendige foranstaltninger, og for rapportering om foranstaltningernes gennemførelse.

Det bemærkes, at der vil være tale om en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler herom vil finde anvendelse.

Det følger af den foreslåede nr. 3, at Styrelsen for Samfundssikkerhed vil kunne påbyde udbyderen at træffe foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse.

Den foreslåede bestemmelse vil medføre, at Styrelsen for Samfundssikkerhed vil kunne påbyde en enhed at træffe foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse. Det bemærkes, at denne håndhævelsesforanstaltning vil anses for mere indgribende end en bindende instruks.

Det bemærkes, at der vil være tale om en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler herom vil finde anvendelse.

Det følger af det foreslåede nr. 4, at Styrelsen for Samfundssikkerhed kan meddele udbyderen påbud og forbud for at sikre overholdelsen af de krav, der er fastsat i lovens kapitel 2-4, og regler udstedt i medfør af bestemmelser i disse kapitler

Det bemærkes, at en advarsel efter nr. 1, vil være mildere tilsynsforanstaltning end et påbud.

I tilfælde af, at en udbyder eksempelvis ikke lever op til de krav, der er fastsat i loven, vil Styrelsen for Samfundssikkerhed kunne angive, hvilke nærmere foranstaltninger udbyderen skal træffe. Det kan eksempelvis være organisatoriske foranstaltninger vedrørende passende rolle- og ansvarsfordeling, herunder forbud mod ansvarssammenfald, samt procedurer i relation til erhvervelse og udvikling af net- og informationssystemer, tekniske foranstaltninger vedrørende sikkerhedskopiering af data eller om udbyderens anvendelse af bestemte logningsmetoder.

Det følger af det foreslåede nr. 5, at Styrelsen for Samfundssikkerhed kan påbyde udbyderen at underrette de fysiske eller juridiske personer, til hvilke udbyderen leverer tjenester eller udfører aktiviteter, som potentielt kan være berørt af en væsentlig hændelse, om denne trussels karakter samt om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel.

Bestemmelsen skal ses i sammenhæng med den foreslåede bestemmelse i § 11, stk. 2, som indeholder en forpligtelse for væsentlige teleudbydere og vigtige teleudbydere til i relevant omfang at underrette modtagerne af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som modtagerne kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal udbyderne også informere de pågældende modtagere om den væsentlige cybertrussel.

Med den foreslåede bestemmelse vil Styrelsen for Samfundssikkerhed kunne påbyde, at der skal foretages underretning af modtagerne af udbyderens tjenester, uanset om udbyderen selv vurderer, at det er relevant.

Det følger af det foreslåede nr. 6, at Styrelsen for Samfundssikkerhed kan påbyde udbyderen at gennemføre de anbefalinger, der er fremsat i forbindelse med en gennemført sikkerhedsaudit.

Bestemmelsen skal ses i sammenhæng med den foreslåede § 19, stk. 1, nr. 2, hvorefter Styrelsen for Samfundssikkerhed kan foretage regelmæssige og målrettede sikkerhedsaudits eller stille krav om, at den væsentlige teleudbyder får et kvalificeret uafhængigt organ til at foretage disse audits, samt den foreslåede § 19, stk. 1, nr. 3, hvorefter Styrelsen for Samfundssikkerhed kan foretage sikkerhedsaudits ad hoc.

Det følger af det foreslåede nr. 7, at Styrelsen for Samfundssikkerhed kan udpege en person med ansvar for i en nærmere fastsat periode at føre tilsyn med udbyderens overholdelse af lovens kapitel 2 og 3 samt regler udstedt i medfør heraf.

Styrelsen for Samfundssikkerhed vil enten kunne udpege en ansat eller en ekstern person. Det forudsættes, at den pågældende person har de nødvendige kvalifikationer til at udføre opgaven. Den pågældende person vil skulle monitorere udbyderens overholdelse af krav til foranstaltninger til styring af cybersikkerhedsrisici i medfør af den foreslåede § 5 og udbyderens overholdelse af oplysnings- og underretningspligterne i de foreslåede § 8, § 9, § 11 og § 12, samt regler udstedt i medfør af de nævnte bestemmelser.

Det følger af det foreslåede nr. 8, at Styrelsen for Samfundssikkerhed kan påbyde udbyderen i ikke-anonymiseret form og på en nærmere angiven måde at offentliggøre afgørelser om håndhævelsesforanstaltninger efter nr. 1-5 samt resumeer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde.

I overensstemmelse med principperne i betænkning nr. 1516 om offentlige myndigheders offentliggørelse af kontrolresultater, afgørelser mv. forudsættes det, at Styrelsen for Samfundssikkerhed ved beslutningen om, hvilke oplysninger en udbyder pålægges at offentliggøre, i fornødent omfang bl.a. iagttager de hensyn til fortrolighed, der fremgår af forvaltningslovens § 27 om offentlig ansattes tavshedspligt, herunder bl.a. hensynene til enkeltpersoners private forhold, forretningshemmeligheder samt forebyggelse, efterforskning og forfølgning af lovovertrædelser.

Det foreslås i stk. 1, 1. pkt., at hvis én eller flere af de håndhævelsesforanstaltninger, der er pålagt i medfør af § 20 nr. 1-8, har vist sig at være utilstrækkelige, kan Styrelsen for Samfundssikkerhed fastsætte en frist, inden for hvilken den væsentlige teleudbyder skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde Styrelsen for Samfundssikkerheds krav.

Det foreslås i stk. 1, 2. pkt. , at er manglerne ikke afhjulpet eller Styrelsen for Samfundssikkerheds krav ikke opfyldt inden for den fastsatte frist, kan Styrelsen for Samfundssikkerhed træffe afgørelse om 1) midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, udbyderen leverer, eller aktiviteter, der udføres af udbyderen og 2) midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos udbyderen at udøve ledelsesfunktioner ved den pågældende udbyder.

Bestemmelsen vil gennemføre artikel 32, stk. 5, 1. led, i NIS 2-direktivet, for så vidt angår telesektoren. Det følger af bestemmelsen, at medlemsstaterne skal sikre, at de kompetente myndigheder i en situation, hvor håndhævelsesforanstaltninger anvendt i medfør af direktivets artikel 32, stk. 4, litra a-d og f, er virkningsløse, skal have beføjelse til at fastsætte en frist, inden for hvilken den væsentlige enhed skal tage de nødvendige tiltag for at afhjælpe manglerne eller opfylde myndighedernes krav. Hvis de ønskede tiltag ikke tages inden for den fastsatte frist, skal de kompetente myndigheder have beføjelse til a) midlertidigt at suspendere, eller anmode et certificerings- eller godkendelsesorgan eller en domstol om i overensstemmelse med national ret midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, der leveres, eller aktiviteter, der udføres af en væsentlig enhed og b) at anmode de relevante organer eller domstole om i overensstemmelse med national ret midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau eller som juridisk repræsentant i den pågældende væsentlige enhed at udøve ledelsesfunktioner i den pågældende enhed.

Det bemærkes, at de eksisterende muligheder for rettighedsfrakendelse i straffeloven ikke vurderes tilstrækkelige til at sikre korrekt og tilstrækkelig gennemførelse af bestemmelsen i direktivet. Det skyldes navnlig, at rettighedsfrakendelse i medfør af straffelovens § 79 alene kan ske i forbindelse med dom for strafbart forhold, og hvis det udviste forhold begrunder en nærliggende fare for misbrug af stillingen.

Det vil være en forudsætning for at anvende bestemmelsen, at håndhævelsesforanstaltninger pålagt i medfør af den foreslåede § 20, nr. 1-8, har vist sig at være utilstrækkelige. Det er dermed en forudsætning, at mindre indgribende midler har været forsøgt og vist sig utilstrækkelige til at sikre, at udbyderen foretager de nødvendige tiltag for at afhjælpe mangler, som Styrelsen for Samfundssikkerhed har konstateret, eller opfylder styrelsens krav.

Bestemmelsen vil skulle anvendes i overensstemmelse med direktivets forudsætninger som udtrykt i præambelbetragtning nr. 133, hvorefter bestemmelsen kun bør anvendes som en sidste udvej, dvs. først efter at de øvrige, relevante håndhævelsesforanstaltninger er udtømt. Det fremgår videre af samme præambelbetragtning, at i betragtning af deres alvor og indvirkning på enhedernes aktiviteter og i sidste ende brugerne, bør sådanne midlertidige suspensioner eller forbud kun anvendes proportionalt med overtrædelsens alvor og under hensyntagen til omstændighederne i hvert enkelt tilfælde, herunder i lyset af om overtrædelsen var forsætlig eller uagtsom, og ethvert tiltag der er iværksat for at forebygge eller afbøde den fysisk eller ikke fysisk skade.

Styrelsen for Samfundssikkerhed vil efter omstændighederne og i relevant omfang kunne træffe afgørelse om anvendelse af flere håndhævelsesforanstaltninger på én gang. Der er således ikke i medfør af den foreslåede § 21 et krav om, at relevante håndhævelsesforanstaltninger anvendes tidsmæssigt forskudt af hinanden, såfremt det vurderes, at flere foranstaltninger i kombination er nødvendige for at sikre, at reglerne efterleves.

Der vil efter bestemmelsen skulle fastsættes en nærmere angivet frist, inden for hvilken den væsentlige teleudbyder skal have truffet de nødvendige tiltag for at afhjælpe manglerne eller opfylde Styrelsen for Samfundssikkerheds krav. Varigheden af fristen vil afhænge af en konkret vurdering, som foretages af Styrelsen for Samfundssikkerhed.

Det foreslås, at afgørelse om suspension eller forbud træffes af Styrelsen for Samfundssikkerhed i første instans. Det skal ses i lyset af, at muligheden for suspension og forbud ligger i forlængelse af Styrelsen for Samfundssikkerheds øvrige håndhævelsesmuligheder, og at der i en afgørelse om suspension eller forbud forudsættes at skulle indgå en begrundelse for, hvorfor allerede pålagte håndhævelsesforanstaltninger er utilstrækkelige.

Det følger af NIS 2-direktivets artikel 32, stk. 7, at den kompetente myndighed ved anvendelsen af håndhævelsesforanstaltninger såsom suspension eller forbud efter den foreslåede bestemmelse skal tage hensyn til en række nærmere angivne forhold.

I direktivets artikel 32, stk. 7, er følgende hensyn oplistet: 1) overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser, idet bl.a. følgende under alle omstændigheder skal betragtes som alvorlige overtrædelser: a) gentagne overtrædelser, b) manglende underretning om eller afhjælpning af væsentlige hændelser, c) manglende afhjælpning af mangler efter bindende instrukser fra kompetente myndigheder, d) hindringer for audits eller overvågningsaktiviteter beordret af den kompetente myndighed efter konstatering af en overtrædelse og e) afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende cybersikkerhedsrisikostyringsforanstaltninger eller rapporteringsforpligtelser, 2) overtrædelsens varighed, 3) den pågældende enheds relevante tidligere overtrædelser, 4) enhver materiel eller immateriel skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt, 5) hvorvidt der ved overtrædelsen er handlet forsætligt eller uagtsomt, 6) enhver foranstaltning truffet af enheden for at forebygge eller afbøde den materielle eller immaterielle skade, 7) hvorvidt godkendte adfærdskodekser eller godkendte certificeringsmekanismer er overholdt, og 8) i hvilken udstrækning de fysiske eller juridiske personer, der holdes ansvarlige for overtrædelsen, samarbejder med de kompetente myndigheder.

Den foreslåede bestemmelse i stk. 1, nr. 1, indebærer, at såfremt den væsentlige teleudbyder ikke har iværksat tiltag for at afhjælpe manglerne eller efterkomme Styrelsen for Samfundssikkerheds krav inden for den fastsatte frist, kan Styrelsen for Samfundssikkerhed træffe afgørelse om midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, udbyderen leverer, eller aktiviteter, der udføres af udbyderen.

Den foreslåede bestemmelse skal læses i sammenhæng med den foreslåede bestemmelse i stk. 4, hvorefter Styrelsen for Samfundssikkerhed vil kunne fastsætte nærmere regler for, hvilke certificeringer og godkendelser, som bestemmelsen i stk. 1, nr. 1, finder anvendelse på. Det forudsættes, at den foreslåede bestemmelse i stk. 1, nr. 1, ikke anvendes, før bemyndigelsen i den foreslåede stk. 4, er anvendt.

En afgørelse efter nr. 1 vil være af midlertidig karakter, jf. også det foreslåede stk. 2, hvorefter afgørelsen kun kan anvendes, så længe den væsentlige teleudbyder ikke har truffet de nødvendige tiltag for at afhjælpe de mangler eller efterleve de krav fra Styrelsen for Samfundssikkerhed, som gav anledning til, at foranstaltningerne blev anvendt.

Den foreslåede bestemmelse i stk. 1, nr. 2, indebærer, at såfremt den væsentlige teleudbyder ikke har iværksat tiltag for at afhjælpe manglerne eller efterkomme Styrelsen for Samfundssikkerheds krav inden for den fastsatte frist, kan styrelsen træffe afgørelse om midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos udbyderen at udøve ledelsesfunktioner ved den pågældende udbyder.

Det bemærkes hertil, at det af den danske oversættelse af NIS 2-direktivets artikel 32, stk. 5, litra b, bl.a. fremgår, at de personer med ledelsesansvar, der midlertidigt kan suspenderes, omfatter »enhver fysisk person med ledelsesansvar på direktionsniveau«. Denne oversættelse er efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse imidlertid ikke forenelig med den engelske udgave af direktivet, hvori »any natural person who is responsible for discharging managerial responsibilities at chief executive officer […] level« er anvendt. Den franske sprogversion anvender en tilsvarende formulering som den engelske. I den foreslåede bestemmelse anvendes på den baggrund betegnelsen »enhver fysisk person med ledelsesansvar på niveau med administrerende direktør«.

I det omfang en virksomhed eller organisation ikke har en administrerende direktør, vil bestemmelsen omfatte den øverste leder af den pågældende væsentlige teleudbyder, f.eks. en generalsekretær, direktør, koncernchef eller managing partner.

En afgørelse efter nr. 2 vil være af midlertidig karakter, jf. også det foreslåede stk. 2, hvorefter afgørelsen kun kan anvendes, så længe den væsentlige teleudbyder ikke har truffet de nødvendige tiltag for at afhjælpe de mangler eller opfylde de krav fra Styrelsen for Samfundssikkerhed, som gav anledning til, at foranstaltningerne blev anvendt.

Det følger af det foreslåede stk. 2, at suspensioner eller forbud, som er pålagt i medfør af stk. 1, kun kan anvendes, indtil den væsentlige teleudbyder træffer de nødvendige tiltag for at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningerne i medfør af stk. 1 blev anvendt.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 32, stk. 5, 1. led, for så vidt angår telesektoren. Det følger af 32, stk. 5, 1. led, at midlertidige suspensioner eller forbud, som er pålagt i henhold til dette stykke, kun anvendes, indtil den pågældende enhed træffer de nødvendige foranstaltninger til at afhjælpe manglerne eller opfylde den kompetente myndigheds krav, som gav anledning til, at disse håndhævelsesforanstaltninger blev anvendt.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 32, stk. 5, 1. led, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Bestemmelsen indebærer, at når Styrelsen for Samfundssikkerhed har truffet afgørelse om midlertidigt at suspendere en certificering eller midlertidigt har forbudt en fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant ved udbyderen at udøve ledelsesfunktioner ved den pågældende udbyder, skal styrelsen træffe afgørelse om at ophæve foranstaltningen, når udbyderen har truffet de nødvendige tiltag for at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningen blev anvendt.

Det følger af det foreslåede stk. 3, at en afgørelse efter stk. 1 kan forlanges indbragt for domstolene af den væsentlige teleudbyder eller den fysiske person, afgørelsen vedrører. Styrelsen for Samfundssikkerhed anlægger i givet fald sag inden for rammerne af den civile retspleje mod den udbyder eller person, som har forlangt sagen indbragt.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 32, stk. 5, 2. led, hvoraf det følger, at pålæggelse af midlertidige suspensioner eller forbud skal være underlagt passende proceduremæssige garantier i overensstemmelse med de generelle principper i EU-retten og chartret, herunder retten til effektive retsmidler og til en retfærdig rettergang, uskyldsformodningen og retten til et forsvar.

Det vil efter den foreslåede bestemmelse være muligt for den væsentlige teleudbyder eller den fysiske person, som afgørelsen om suspension eller forbud vedrører, at forlange afgørelsen indbragt for retten. Når en sådan sag indbringes for retten, vil bestemmelserne i retsplejeloven finde anvendelse, hvilket vil sikre de nødvendige retssikkerhedsgarantier.

Det følger af det foreslåede stk. 4, at ministeren for samfundssikkerhed kan fastsætte regler om, hvilke certificeringer og godkendelser der er omfattet af stk. 1, nr. 1.

Den foreslåede bestemmelse i stk. 4 indebærer, at Styrelsen for Samfundssikkerhed kan fastsætte nærmere regler om, hvilke certificeringer og godkendelser der er omfattet af den midlertidige suspensionsordning i § 21, stk. 1, nr. 1.

Ved at fastsætte nærmere regler i bekendtgørelsesform sikres det, at det vil være klart og forudsigeligt for de væsentlige teleudbydere, hvilke certificerings- og godkendelsesordninger, der vil kunne medføre suspension. Det sikres endvidere, at reglerne løbende kan tilpasses den udvikling, der er på området, f.eks. i tilfælde af, at der indføres en ny cybersikkerhedscertificering i EU-regi.

De nærmere regler vil skulle udarbejdes inden for den ramme, som det foreslåede stk. 1 udgør. Det indebærer bl.a., at reglerne vil skulle være i overensstemmelse med regeringens principper om minimumsimplementering. Det forudsættes, at den foreslåede bestemmelse i stk. 1, nr. 1, ikke anvendes, før bemyndigelsen i den foreslåede stk. 4, er anvendt.

Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed som led i sit tilsyn kan anvende nærmere angivne tilsynsforanstaltninger over for en vigtig teleudbyder.

I overensstemmelse med direktivets forudsætninger, som udtrykt i præambelbetragtning nr. 122, vil vigtige teleudbydere – i modsætning til væsentlige teleudbydere – ikke blive underlagt løbende tilsyn, men i stedet et lettere, reaktivt tilsyn. Det betyder, at tilsyn iværksættes på baggrund af oplysninger, der tyder på, at den pågældende enhed potentielt ikke efterlever sine forpligtelser efter loven og regler udstedt i medfør af loven, herunder eventuelt efter en væsentlig hændelse.

Vigtige teleudbydere vil således som udgangspunkt ikke være forpligtet til systematisk at dokumentere overholdelsen af foranstaltninger til styring af cybersikkerhedsrisici over for myndighederne, og de kompetente myndigheder vil ikke have en generel forpligtelse til at føre tilsyn med vigtige enheder.

Som forudsat i samme præambelbetragtning vil det reaktive tilsyn kunne iværksættes på baggrund af oplysninger, som Styrelsen for Samfundssikkerhed modtager fra andre myndigheder, enheder, borgere, medier eller andre kilder eller offentligt tilgængelige oplysninger. Det kan desuden eksempelvis være oplysninger, der hidrører fra andre aktiviteter, der indgår i de kompetente myndigheders udførelse af deres arbejdsopgaver.

Den foreslåede bestemmelse vil endvidere skulle forstås og anvendes i lyset af NIS 2-direktivets artikel 31, stk. 1, hvorefter medlemsstaterne sikrer, at deres kompetente myndigheder effektivt overvåger og træffer de nødvendige foranstaltninger til at sikre, at direktivet overholdes. Det følger endvidere af artikel 31, stk. 2, at medlemsstaterne kan tillade deres kompetente myndigheder at prioritere tilsynsopgaver. En sådan prioritering baseres på en risikobaseret tilgang. Med henblik herpå kan de kompetente myndigheder, når de udfører deres tilsynsopgaver i henhold til artikel 32 og 33, fastlægge tilsynsmetoder, der gør det muligt at prioritere sådanne opgaver efter en risikobaseret tilgang. De kompetente myndigheder vil således ved tilrettelæggelsen af et risikobaseret reaktivt tilsyn med vigtige enheder kunne lægge vægt på eksempelvis enhedernes samfundsmæssige betydning.

Anvendelsen af de forskellige tilsynsforanstaltninger, som opregnes i den foreslåede § 22, stk. 1, vil skulle ske efter en konkret vurdering af omstændighederne i hver enkelt sag. Valget af tilsynsforanstaltninger vil endvidere skulle ske i overensstemmelse med det forvaltningsretlige proportionalitetsprincip.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der for så vidt angår de foreslåede bestemmelser i nr. 4-7 og den del af bestemmelsen i nr. 2, der vedrører, at der kan stilles krav om, at udbyderen får et kvalificeret uafhængigt organ til at foretage sikkerhedsaudits, og at resultaterne herfor skal stilles til rådighed for Styrelsen for Samfundssikkerhed, vil være tale om oplysningspligter omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer bl.a., at kapitel 4 (om retten til ikke at inkriminere sig selv mv.) vil gælde i tilfælde, hvor der måtte være en konkret mistanke om, at en enhed har begået en overtrædelse af lovgivningen, der kan medføre straf. Der henvises i øvrigt til kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter og bemærkningerne hertil. Der henvises til Folketingstidende 2003-04, tillæg A, side 3075-3078 og side 3096-3099.

I overensstemmelse med forudsætningerne i direktivets præambelbetragtning nr. 123 bør de kompetente myndigheders udførelse af tilsynsopgaver ikke unødigt hæmme den berørte enheds forretningsaktiviteter.

Det foreslås med nr. 1, at Styrelsen for Samfundssikkerhed uden retskendelse og behørig legitimation kan foretage kontrol hos teleudbydere samt deres samarbejdspartnere, leverandører eller underleverandører i relation til outsourcet aktivitet og eksternt efterfølgende tilsyn.

Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet.

Den foreslåede bestemmelse i stk. 1, nr. 1, vil endvidere videreføre § 9, stk. 6 og 7 i lov om sikkerhed i net og tjenester.

Ministeriet for Samfundssikkerhed og Beredskab finder det således henset til vurderingen af det aktuelle trusselsniveau mod telesektoren, jf. lovforslagets pkt. 1 ovenfor, væsentligt at opretholde det nuværende sikkerhedsniveau for sektoren. Der er med videreførelsen af bestemmelsen ikke tilsigtet materielle ændringer af bestemmelsens indhold.

For effektivt at kunne konstatere, om vigtige teleudbydere i praksis har gennemført de nødvendige foranstaltninger til at sikre deres net- og informationssystemer, er det nødvendigt, at Styrelsen for Samfundssikkerhed som led i et tilsyn har adgang til forretningssteder hos vigtige teleudbydere samt deres samarbejdspartnere, leverandører eller underleverandører i relation til outsourcet aktivitet og eksternt tilsyn. Det foreslås derfor, at der skal være adgang til kontrol på stedet uden retskendelse og mod behørig legitimation.

Den foreslåede bestemmelse vil betyde, at Styrelsen for Samfundssikkerhed som led i et tilsyn kan foretage kontrol på stedet til enhver tid. Det forudsættes dog almindeligvis, at Styrelsen for Samfundssikkerhed forinden et kontrolbesøg vil varsle den vigtige enhed herom.

Det bemærkes, at Styrelsen for Samfundssikkerhed ikke i forbindelse med adgang til forretningslokaler efter stk. 1, kan tilgå kommunikation til, fra eller mellem udbyderens kunder.

Styrelsen for Samfundssikkerhed vil ikke i forbindelse med tilsynsbesøgene kunne få adgang til elektronisk kommunikation til, fra og mellem udbydernes kunder, ligesom styrelsen alene vil kunne foretage tilsynsbesøg i det omfang, udbyderens forretningslokaler er placeret i Danmark.

Det fremgår desuden af NIS 2-direktivets artikel 33, stk. 2, litra a, at der kan foretages »eksternt efterfølgende tilsyn«, hvilket er en formulering, der efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse kan give anledning til fortolkningstvivl i dansk sammenhæng. I den engelske sprogversion af NIS 2-direktivet anvendes formuleringen »off-site ex post supervision«. Efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse udgør eksternt efterfølgende tilsyn forstået som off-site ex post supervision et reaktivt tilsyn fra en kompetent myndighed uden fysisk tilstedeværelse på stedet, men eksempelvis udført på skriftligt grundlag. Det bemærkes, at de kompetente myndigheder i medfør af den foreslåede bestemmelse kan kræve relevante oplysninger fra enhederne. Det indebærer også, at de kompetente myndigheder kan kræve at få udleveret nødvendige oplysninger til afgørelse af, om et forhold er omfattet af loven eller regler udstedt i medfør af loven.

Det foreslås i nr. 2, at Styrelsen for Samfundssikkerhed kan foretage regelmæssige og målrettede sikkerhedsaudits eller stille krav om, at udbyderen får et kvalificeret uafhængigt organ til at foretage disse audits, og at resultaterne heraf stilles til rådighed for Styrelsen for Samfundssikkerhed,

Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Efter direktivets artikel 33, stk. 2, 2. led, baseres de målrettede sikkerhedsaudits, der er omhandlet i første led, litra b, på risikovurderinger foretaget af den kompetente myndighed eller den reviderede enhed eller på andre tilgængelige risikorelaterede oplysninger. Resultaterne af enhver målrettet sikkerhedsaudit stilles til rådighed for den kompetente myndighed. Omkostningerne ved en sådan målrettet sikkerhedsaudit, der udføres af et uafhængigt organ, afholdes af den reviderede enhed, undtagen i behørigt begrundede tilfælde, når den kompetente myndighed bestemmer andet.

Det foreslås i nr. 3, at Styrelsen for Samfundssikkerhed kan foretage sikkerhedsscanninger.

Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det foreslås i nr. 4, at Styrelsen for Samfundssikkerhed kan kræve at få udleveret oplysninger, der er nødvendige for efterfølgende at vurdere de foranstaltninger til styring af sikkerhedsrisici, som den berørte udbyder har indført.

Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det foreslås i nr. 5, at Styrelsen for Samfundssikkerhed kan kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af, om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.

Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det foreslås i nr. 6, at Styrelsen for Samfundssikkerhed kan kræve at få udleveret dokumentation for gennemførelsen af sikkerhedspolitikker.

Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det foreslås i nr. 7, at Styrelsen for Samfundssikkerhed kan kræve at få skriftlige udtalelser og redegørelser om faktisk forhold af betydning for Styrelsen for Samfundssikkerheds tilsynsvirksomhed.

Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der for de foreslåede tilsynsforanstaltninger vil være tale om et indgreb, der er omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer, at retten til ikke at inkriminere sig selv, jf. kapitel 4 i nævnte lov, skal overholdes. Det bemærkes dog, at det af bemærkningerne til § 10 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter fremgår, at »[b]estemmelsen [om forbud mod selvinkriminering] er ikke til hinder for, at den mistænkte kan pålægges at give (faktuelle) oplysninger, som er uden betydning for bedømmelsen af, hvorvidt den pågældende har begået en lovovertrædelse, der kan medføre straf.«

Det følger af det foreslåede stk. 2, at de Styrelsen for Samfundssikkerhed ved anvendelsen af tiltagene i stk. 1, nr. 4-7, skal Styrelsen for Samfundssikkerhed angive formålet med tiltaget og præcisere, hvilke oplysninger der kræves udleveret og hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 4-7, skal udleveres.

Den foreslåede bestemmelse indebærer, at Styrelsen for Samfundssikkerhed i forbindelse med, at der stilles krav om udlevering af oplysninger eller materiale efter de foreslåede bestemmelser i stk. 1, nr. 4-7 samtidig kan kræve, at oplysningerne eller materialet udleveres på en bestemt måde, på et bestemt sprog og i en bestemt form.

Der vil eksempelvis kunne stilles krav om anvendelse af bestemte skemaer, eller at der skal foretages indtastninger på en hjemmeside.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 33, stk. 3, hvorefter de kompetente myndigheder ved udøvelsen af deres beføjelser i henhold til artikel 33, stk. 2, litra d, e, og f, skal angive formålet med anmodningen og præcisere, hvilke oplysninger der anmodes om.

Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed kan anvende følgende håndhævelsesforanstaltninger over for en vigtig teleudbyder: 1) udstede advarsler om teleudbyderens overtrædelse af kapitel 2-4 og regler udstedt i medfør heraf, 2) udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, samt frister for gennemførelse af sådanne foranstaltninger og for rapportering om deres gennemførelse eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af denne lov, 3) meddele udbyderen påbud og forbud for at sikre overholdelsen af de krav, der er fastsat i loven eller regler udstedt i medfør af loven, 4) påbyde udbyderen at underrette de fysiske eller juridiske personer, til hvilke udbyderen leverer tjenester eller udfører aktiviteter, som potentielt kan være berørt af en væsentlig cybertrussel, om denne trussels karakter samt om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel, 5) påbyde udbyderen at gennemføre de anbefalinger, der er fremsat i forbindelse med en gennemført sikkerhedsaudit, og 6) påbyde udbyderen i ikke-anonymiseret form og på en nærmere angiven måde at offentliggøre afgørelser om håndhævelsesforanstaltninger efter nr. 1-3 samt resumeer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde.

Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet.

Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 4, litra a-g, i NIS 2-direktivet for så vidt angår telesektoren.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 4, litra a-g, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det bemærkes i den forbindelse, at det følger af NIS 2-direktivets artikel 32, stk. 1, at de håndhævelsesforanstaltninger, der anvendes overfor væsentlige teleudbydere i medfør af den foreslåede bestemmelse, skal være effektive, stå i et rimeligt forhold til overtrædelsen og have en afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.

Det følger af den foreslåede bestemmelse, at Styrelsen for Samfundssikkerhed skal foretage en konkret vurdering af omstændighederne i hver enkelt sag, når centret anvender håndhævelsesforanstaltningerne over for væsentlige teleudbydere, således at proportionalitetsprincippet overholdes ved valg mellem de oplistede håndhævelsesmuligheder.

De foranstaltninger, der anvendes i forhold til vigtige teleudbydere skal i overensstemmelse med NIS 2-direktivets artikel 33, stk. 1, være effektive, stå i rimeligt forhold til overtrædelsen og have en afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.

Det følger af den foreslåede bestemmelse, at Styrelsen for Samfundssikkerhed skal foretage en konkret vurdering af omstændighederne i hver enkelt sag, når centret anvender håndhævelsesforanstaltningerne over for vigtige udbydere. Styrelsen for Samfundssikkerhed skal derfor i overensstemmelse med NIS 2-direktivets artikel 32, stk. 7, litra a, jf. artikel 33, stk. 5, tage hensyn til: 1) overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser, idet bl.a. følgende under alle omstændigheder skal betragtes som alvorlige overtrædelser: a) gentagne overtrædelser, b) manglende underretning om eller afhjælpning af væsentlige hændelser, c) manglende afhjælpning af mangler efter bindende instrukser fra Styrelsen for Samfundssikkerhed, d) hindringer for audits eller overvågningsaktiviteter beordret af Styrelsen for Samfundssikkerhed efter konstatering af en overtrædelse, og e) afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende cybersikkerhedsrisikostyringsforanstaltninger eller rapporteringsforpligtelser, der er fastsat i § 5 og §§ 11-14, 2) overtrædelsens varighed, 3) den pågældende udbyders relevante tidligere overtrædelser, 4) enhver fysisk eller ikke fysisk skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt, 5) hvorvidt der ved overtrædelsen er handlet forsætligt eller uagtsomt, 6) enhver foranstaltning truffet af udbyderen for at forebygge eller afbøde den fysisk eller ikke fysisk skade, 7) hvorvidt godkendte adfærdskodekser eller godkendte certificeringsmekanismer er overholdt, og 8) i hvilken udstrækning de fysiske eller juridiske personer, der holdes ansvarlige for overtrædelsen, samarbejder med Styrelsen for Samfundssikkerhed.

Det følger endvidere af NIS 2-direktivets artikel 32, stk. 7, at en kompetent myndighed ved anvendelsen af håndhævelsesforanstaltninger skal overholde retten til forsvar. Dette sikres ved, at et påbud eller forbud efter den foreslåede § 25, vil være omfattet af forvaltningslovens almindelige regler, herunder bestemmelserne i kapitel 3 (om vejledning og repræsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse mv.) og kapitel 7 (om klagevejledning). Derudover vil der være mulighed for at påklage afgørelsen i medfør af det ulovbestemte princip om administrativ rekurs, ligesom afgørelsen vil kunne indbringes for domstolene.

Der vil i forbindelse med en afgørelse om påbud eller forbud efter den foreslåede § 23 blive fastsat en frist, inden for hvilken udbyderen skal overholde indholdet i afgørelsen.

Det følger af det foreslåede nr. 1, at Styrelsen for Samfundssikkerhed kan udstede advarsler om teleudbyderens overtrædelse af kapitel 2-4, og regler udstedt i medfør heraf.

Den foreslåede bestemmelse indebærer, at Styrelsen for Samfundssikkerhed kan udstede advarsler om teleudbyderens overtrædelse af kapitel 2-4, og regler udstedt i medfør heraf.

Det følger af den foreslåede nr. 2, at Styrelsen for Samfundssikkerhed kan udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, samt frister for gennemførelse af sådanne foranstaltninger og for rapportering om deres gennemførelse eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af denne lov.

Det følger af det foreslåede nr. 3, at Styrelsen for Samfundssikkerhed kan meddele udbyderen påbud og forbud for at sikre overholdelsen af de krav, der er fastsat i loven eller regler udstedt i medfør af loven.

I tilfælde af, at udbyderen ikke lever op til de krav, der er fastsat i loven, vil Styrelsen for Samfundssikkerhed eksempelvis kunne angive, hvilke nærmere foranstaltninger udbyderen skal træffe. Det kan eksempelvis være organisatoriske foranstaltninger vedrørende passende rolle- og ansvarsfordeling, herunder forbud mod ansvarssammenfald eller procedurer i relation til erhvervelse og udvikling af net- og informationssystemer, tekniske foranstaltninger vedrørende sikkerhedskopiering af data, eller om udbyderens anvendelse af bestemte logningsmetoder.

Det følger af det foreslåede nr. 4, at Styrelsen for Samfundssikkerhed kan påbyde udbyderen at underrette de fysiske eller juridiske personer, til hvilke udbyderen leverer tjenester eller udfører aktiviteter, som potentielt kan være berørt af en væsentlig cybertrussel, om denne trussels karakter samt om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel.

Bestemmelsen skal ses i sammenhæng med den foreslåede bestemmelse i § 12, stk. 2, som indeholder en forpligtelse for væsentlige teleudbydere og vigtige teleudbydere til i relevant omfang at underrette modtagerne af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som modtagerne kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal udbyderne også informere de pågældende modtagere om den væsentlige cybertrussel.

Med det foreslåede nr. 4 vil Styrelsen for Samfundssikkerhed kunne påbyde, at der skal foretages underretning af modtagerne af udbyderens tjenester, uanset om udbyderen selv vurderer, at det er relevant.

Det følger af det foreslåede nr. 5, at Styrelsen for Samfundssikkerhed kan påbyde udbyderen at gennemføre de anbefalinger, der er fremsat i forbindelse med en gennemført sikkerhedsaudit.

Bestemmelsen skal ses i sammenhæng med den foreslåede § 22, stk. 1, nr. 2, hvorefter Styrelsen for Samfundssikkerhed kan foretage målrettede sikkerhedsaudits eller stille krav om, at udbyderen får et kvalificeret uafhængigt organ til at foretage disse audits.

Det følger af det foreslåede nr. 6, at Styrelsen for Samfundssikkerhed kan påbyde udbyderen i ikke-anonymiseret form og på en nærmere angiven måde at offentliggøre afgørelser om håndhævelsesforanstaltninger efter nr. 1-3 samt resumeer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde.

I overensstemmelse med principperne i betænkning nr. 1516 om offentlige myndigheders offentliggørelse af kontrolresultater, afgørelser mv. forudsættes det, at den kompetente myndighed ved beslutningen om, hvilke oplysninger en enhed pålægges at offentliggøre, i fornødent omfang bl.a. iagttager de hensyn til fortrolighed, der fremgår af forvaltningslovens § 27 om offentligt ansattes tavshedspligt, herunder bl.a. hensynene til enkeltpersoners private forhold, forretningshemmeligheder samt forebyggelse, efterforskning og forfølgning af lovovertrædelser.

Det følger af den foreslåede § 24, at inden Styrelsen for Samfundssikkerhed træffer afgørelse om at anvende håndhævelsesforanstaltninger efter §§ 20, 21 og 23, underrettes den berørte væsentlige eller vigtige teleudbyder om de påtænkte håndhævelsesforanstaltninger og begrundelsen herfor. Styrelsen for Samfundssikkerhed skal give udbyderen en rimelig frist til at fremsætte bemærkninger, undtagen i tilfælde hvor formålet med foranstaltningen ellers ville forspildes.

Den foreslåede bestemmelse vil gennemføre artikel 32, stk. 8, NIS 2-direktivet, for så vidt angår telesektoren. Artikel 32, stk. 8, fastsætter, at de kompetente myndigheder giver en detaljeret begrundelse for deres håndhævelsesforanstaltninger. Inden de kompetente myndigheder træffer sådanne foranstaltninger, underretter de kompetente myndigheder de berørte enheder om deres foreløbige resultater. De giver også disse enheder en rimelig frist til at fremsætte bemærkninger, undtagen i behørigt begrundede tilfælde, hvor øjeblikkelige foranstaltninger til at forebygge eller reagere på hændelser ellers ville blive hindret. Det bemærkes, at artikel 32, stk. 8, også finder anvendelse på vigtige enheder, jf. artikel 33, stk. 5.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 32, stk. 8, jf. artikel 33, stk. 5, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse indeholder en forpligtelse for Styrelsen for Samfundssikkerhed til at foretage en høring af den væsentlige teleudbyder eller vigtige teleudbyder, før der træffes beslutning om at anvende en påtænkt håndhævelsesforanstaltning efter §§ 20-22.

Høringsskrivelsen skal være ledsaget af en nærmere begrundelse for den påtænkte håndhævelsesforanstaltning, ligesom det skal fremgå klart, at der er tale om en høring, at der ikke er truffet afgørelse i sagen endnu, at udbyderens bemærkninger til høringen kan få indflydelse på resultatet, og at Styrelsen for Samfundssikkerhed lader agterskrivelsen få virkning som en afgørelse, hvis udbyderen ikke kommer med bemærkninger til høringen inden dennes udløb.

Høringsskrivelsen skal indeholde en rimelig frist for udbyderen til at afgive bemærkninger til høringsskrivelsens indhold. Kravet om at fastsætte en rimelig frist gælder dog ikke i behørigt begrundede tilfælde, hvor øjeblikkelige foranstaltninger til at forebygge eller reagere på hændelser ellers ville blive hindret.

Det forudsættes, at høringen foretages i overensstemmelse med forvaltningslovens regler om partshøring.

Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed i ikke-anonymiseret form kan offentliggøre 1) afgørelser om påbud meddelt i medfør af af § 13, stk. 5 og 7 og 18, stk. 1 og 2, og afgørelser truffet i medfør af regler, der er udstedt i medfør af 7, stk. 5, nr. 1-3, § 13, stk. 5, 2. pkt., og § 18, stk. 2, 2. pkt., 2) resultater af tilsyn efter § 19 og 22, 3) resumeer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde for overtrædelse af denne lov eller regler, der er udstedt i medfør af denne lov, og 4) resumeer af domme i retssager, hvor Styrelsen for Samfundssikkerhed er part.

Bestemmelsen viderefører indholdet af § 10, stk. 1, i lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, som ændret ved § 18 i lov nr. 1156 af 8. juni 2021.

Ministeriet for Samfundssikkerhed og Beredskab finder det således henset til vurderingen af det aktuelle trusselsniveau mod telesektoren væsentligt at opretholde det nuværende sikkerhedsniveau for sektoren. Der er med videreførelsen af bestemmelsen ikke tilsigtet materielle ændringer af bestemmelsens indhold.

Den foreslåede bestemmelse har til formål at give væsentlige og vigtige teleudbydere øget incitament til at overholde kravene til sikkerhed i net og informationssystemer og beredskab, ligesom bestemmelsen giver telekunder mulighed for at vurdere, i hvilket omfang de enkelte udbydere har levet op til lovgivningens krav.

Offentliggørelse af afgørelser efter nr. 1, indebærer, at der kan ske offentliggørelse i sager, hvor en væsentlig eller vigtig teleudbyder ikke lever op til kravene til sikkerhed i net og informationssystemer eller beredskab, såvel som i sager, hvor Styrelsen for Samfundssikkerhed giver påbud til en udbyder om eksempelvis at foretage nærmere angivne foranstaltninger til sikring af sikkerheden i net og informationssystemer. Der vil også kunne ske offentliggørelse i sager, hvor Styrelsen for Samfundssikkerhed på baggrund af eksempelvis en klage konstaterer, at en udbyder overholder kravene til sikkerhed i net og informationssystemer og beredskab. Styrelsen for Samfundssikkerheds beslutning om at overgive sager til politimæssig efterforskning vil også kunne offentliggøres efter bestemmelsen.

Efter nr. 2, kan Styrelsen for Samfundssikkerhed endvidere offentliggøre resultater af tilsyn udført efter §§ 19 og 22.

Sådanne tilsynsresultater kan omfatte styrelsens tilsynsrapporter, ligesom det vil kunne omfatte statistik, eksempelvis i form af en kvartalsvis eller årlig opgørelse over antallet af påbud til de enkelte teleudbydere.

Det foreslås endvidere med nr. 3, at resuméer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde for overtrædelse af denne lov eller regler, der er udstedt i medfør af denne lov, skal kunne offentliggøres.

Herudover skal der efter nr. 4, kunne ske offentliggørelse af resuméer af domme i retssager vedrørende sikkerhed i net og informationssystemer og beredskab på teleområdet, og hvor Styrelsen for Samfundssikkerhed er part om forhold omfattet af denne lov. Der sker ikke med bestemmelsen en fravigelse af retsplejelovens regler om aktindsigt i domme.

Offentliggørelse vil ske på Styrelsen for Samfundssikkerheds hjemmeside i ikke-anonymiseret form. Det vil således fremgå af det offentliggjorte materiale, hvilken udbyder afgørelsen, tilsynsresultatet, dommen eller bødevedtagelsen er rettet imod.

I overensstemmelse med principperne i betænkning nr. 1516 om offentlige myndigheders offentliggørelse af kontrolresultater, afgørelser mv. forudsættes det, at Styrelsen for Samfundssikkerhed ved beslutningen om, hvilke oplysninger en udbyder pålægges at offentliggøre, i fornødent omfang bl.a. iagttager de hensyn til fortrolighed, der fremgår af forvaltningslovens § 27 om offentlig ansattes tavshedspligt, herunder bl.a. hensynene til enkeltpersoners private forhold, forretningshemmeligheder samt forebyggelse, efterforskning og forfølgning af lovovertrædelser.

Det foreslås i stk. 2, at offentliggørelse efter stk. 1 ikke må indeholde de i bestemmelsens nr. 1-4 angivne oplysninger.

Bestemmelsen viderefører indholdet af § 10, stk. 2, i lov om sikkerhed i net og tjenester.

Det foreslås med nr. 1, at offentliggørelsen ikke må indeholde oplysninger vedrørende tekniske indretninger eller fremgangsmåder eller om drifts- eller forretningsforhold eller lignende, for så vidt det er af væsentlig økonomisk betydning for den væsentlige teleudbyder eller vigtige teleudbyder, oplysningerne angår. Definitionen af oplysninger vedrørende tekniske indretninger mv. skal forstås i overensstemmelse med § 30, nr. 2, i offentlighedsloven og skal fortolkes i overensstemmelse med denne bestemmelses forarbejder og relevante praksis.

Efter nr. 2, vil oplysninger undtages fra offentliggørelse i det omfang, det er af væsentlig betydning for statens sikkerhed eller rigets forsvar. Vurderingen af, hvornår offentliggørelse af oplysninger kan være af væsentlig betydning for statens sikkerhed eller rigets forsvar, skal foretages i overensstemmelse med principperne i § 31 i offentlighedsloven.

Desuden vil klassificerede informationer efter nr. 3, blive slettet i det materiale, der offentliggøres.

Efter nr. 4, vil der endvidere ikke ske offentliggørelse af fortrolige oplysninger, der hidrører fra myndigheder i andre EU-medlemsstater, jf. den foreslåede § 27, stk. 2, medmindre de myndigheder, der har afgivet oplysningerne, har givet deres udtrykkelige tilladelse til offentliggørelsen.

Endelig vil enkeltpersoners forhold efter nr. 5 blive slettet inden offentliggørelsen. Det kan eksempelvis være oplysninger om navne, adresser eller telefonnumre på klagere eller andre berørte parter, som vil skulle undtages fra offentliggørelsen.

Det bemærkes i øvrigt, at Styrelsen for Samfundssikkerhed forudsættes ikke at offentliggøre afgørelser eller tilsynsresultater, såfremt efterforskningsmæssige hensyn taler derimod.

Det foreslås i stk. 3, at ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om sagsbehandlingen i forbindelse med offentliggørelse efter stk. 1.

Bestemmelsen er en videreførelse af § 10, stk. 3, i lov om sikkerhed i net og tjenester.

Bestemmelsens stk. 3, bemyndiger Styrelsen for Samfundssikkerhed til at fastsætte nærmere regler for styrelsens sagsbehandling i forbindelse med offentliggørelser efter stk. 1.

Styrelsen for Samfundssikkerhed vil med hjemmel i bestemmelsen eksempelvis kunne fastsætte regler for, hvornår der kan ske offentliggørelse. Styrelsen for Samfundssikkerhed vil endvidere kunne fastsætte regler om forudgående høring eller orientering af en udbyder vedrørende spørgsmålet om en forestående offentliggørelse af en afgørelse eller tilsynsresultat mv.

Styrelsen for Samfundssikkerhed vil herudover kunne fastsætte regler om, at det skal fremgå af offentliggørelsen, såfremt en afgørelse er påklaget til Ministeriet for Samfundssikkerhed og Beredskab, eller såfremt der verserer en sag for domstolene.

Endelig vil Styrelsen for Samfundssikkerhed kunne fastsætte regler om, hvor lang tid den pågældende afgørelse, tilsynsresultat mv. skal være offentligt tilgængelige på styrelsens hjemmeside.

Det foreslås i stk. 1, at de forpligtelser, der er fastsat i denne lov eller i regler udstedt i medfør af loven, ikke omfatter meddelelse af oplysninger, hvis videregivelse ville stride mod væsentlige interesser af hensyn til den nationale sikkerhed, offentlige sikkerhed eller forsvar.

Bestemmelsen gennemfører artikel 2, stk. 11, i NIS 2-direktivet, for så vidt angår telesektoren. Artikel 2, stk. 11, fastsætter, at de forpligtelser, der er fastsat i direktivet, ikke omfatter meddelelse af oplysninger, hvis videregivelse ville stride mod væsentlige interesser med hensyn til medlemsstaternes nationale sikkerhed, offentlige sikkerhed eller forsvar.

Ved vurderingen af, om der er tale om en oplysning, der er omfattet af undtagelsen skal det ifølge NIS 2-direktivets præambelbetragtning nr. 9, 4. pkt., tages hensyn til, om videregivelse ville stride mod dens væsentlige interesser med hensyn til national sikkerhed, offentlig sikkerhed eller forsvar. Det følger samme sted, at nationale regler eller EU-regler om beskyttelse af fortrolige oplysninger, hemmeligholdelsesaftaler og uformelle hemmeligholdelsesaftaler, f.eks. Traffic Light Protocol, bør tages i betragtning i denne sammenhæng. Traffic Light Protocol skal forstås som et middel til at informere om eventuelle begrænsninger, for så vidt angår den videre spredning af oplysninger. Den anvendes i næsten alle enheder, der håndterer it-sikkerhedshændelser (CSIRT'er), og i nogle informationsanalyse- og informationsdelingscentre.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 2, stk. 11, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det følger af det foreslåede stk. 2, at oplysninger, der modtages eller hidrører fra myndigheder i andre EU-medlemsstater, behandles som fortrolige, såfremt den afgivende myndighed betragter oplysningerne som fortrolige i henhold til EU-regler eller nationale regler.

Den foreslåede bestemmelse vil bl.a. sikre, at oplysninger, som de danske myndigheder modtager fra andre medlemsstater eller EU-institutioner i medfør af NIS 2-direktivets artikel 23, stk. 6, vil blive behandlet med den fornødne fortrolighed.

Det følger således af NIS 2-direktivets artikel 23, stk. 6, at hvor det er relevant, og navnlig hvor en væsentlig hændelse berører to eller flere medlemsstater, informerer CSIRT'en, den kompetente myndighed eller det centrale kontaktpunkt uden unødigt ophold de øvrige berørte medlemsstater og ENISA om den væsentlige hændelse.

Den foreslåede bestemmelse vil finde anvendelse, uanset om oplysningerne modtages direkte fra den pågældende nationale myndighed eller via andre, herunder Europa-Kommissionen.

Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed hos væsentlige og vigtige teleudbydere kan indsamle oplysninger med henblik på at videregive disse til Kommissionen, Den Europæiske Unions Agentur for Cybersikkerhed eller nationale tilsynsmyndigheder i andre EU-medlemsstater, idet omfang det er nødvendigt for, at disse kan opfylde deres opgaver i forhold til traktatmæssige forpligtelser eller forpligtelser i henhold til den gældende EU-ret.

Bestemmelsen viderefører § 12, stk. 1, i lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, som ændret ved § 18 i lov nr. 1156 af 8. juni 2021.

Bestemmelsen gennemfører delvist artikel 20, stk. 2, i EU’s telekodeks samt artikel 40, stk. 2, i EU’s telekodeks, som ophæves ved artikel 43 i NIS 2-direktivet.

Efter det foreslåede stk. 1, kan Styrelsen for Samfundssikkerhed indsamle oplysninger om sikkerhed i net og informationssystemer og beredskab på teleområdet hos teleudbydere med henblik på at videregive oplysningerne til Kommissionen eller nationale tilsynsmyndigheder i andre EU-medlemsstater. Det foreslås, at bestemmelsen også skal omfatte indsamling af oplysninger om sikkerhed i net og informationssystemer med henblik på videregivelse af oplysningerne til ENISA, som har til opgave at sikre en høj grad af net- og informationssikkerhed i EU, og som bl.a. fungerer som et forum for erfaringsudveksling for de nationale tilsynsmyndigheder.

Det foreslås i stk. 2, at Styrelsen for Samfundssikkerhed orienterer teleudbydere, der er indsamlet oplysninger fra, forud for videregivelse af oplysningerne til Kommissionen, Den Europæiske Unions Agentur for Cybersikkerhed eller nationale tilsynsmyndigheder i andre EU-medlemsstater.

Bestemmelsen viderefører 12, stk. 2, i lov om sikkerhed i net og tjenester.

Bestemmelsen gennemfører delvist artikel 20, stk. 2, i EU’s telekodeks.

Efter det foreslåede stk. 2 skal den væsentlige eller vigtige teleudbyder hvis oplysninger videregives til Kommissionen eller til myndigheder i andre EU-medlemsstater, orienteres forud for videregivelsen. Styrelsen for Samfundssikkerhed skal ikke afvente udbyderens eventuelle kommentarer eller accept af videregivelsen. Det vil således være tilstrækkeligt, at der i forbindelse med indsamlingen af oplysningerne orienteres om videregivelsen. På baggrund af det foreslåede stk. 1, vedrørende videregivelse af oplysninger til ENISA, foreslås det, at Styrelsen for Samfundssikkerhed også orienterer de udbydere, der er indsamlet oplysninger fra, forud for videregivelse af oplysningerne til ENISA.

Det foreslås i stk. 1, at hvor en væsentlig teleudbyder eller en vigtig teleudbyder leverer tjenester i mere end én medlemsstat i Den Europæiske Union, eller hvor udbyderen leverer tjenester i en eller flere medlemsstater, og udbyderens net- og informationssystemer er beliggende i en eller flere andre medlemsstater, samarbejder Styrelsen for Samfundssikkerhed med de andre medlemsstaters kompetente myndigheder i relevant omfang. Samarbejdet indebærer, at: 1) Styrelsen for Samfundssikkerhed underretter de kompetente myndigheder i relevante medlemsstater om tilsyns- og håndhævelsesforanstaltninger iværksat over for teleudbydere i Danmark, 2) Styrelsen for Samfundssikkerhed kan anmode en anden medlemsstats kompetente myndigheder om at anvende tilsyns- og håndhævelsesforanstaltninger, og 3) Styrelsen for Samfundssikkerhed yder i rimeligt omfang bistand til en anden medlemsstats kompetente myndighed efter modtagelse af en begrundet anmodning herom om at anvende tilsyns- og håndhævelsesforanstaltninger.

Bestemmelsen vil gennemføre artikel 37, stk. 1, i NIS 2-direktivet, for så vidt angår telesektoren.

Det følger af NIS 2-direktivets artikel 37, stk. 1, 2. led, at den gensidige bistand, der er omhandlet i litra c, kan omfatte anmodninger om oplysninger og tilsynsforanstaltninger, herunder anmodninger om at foretage inspektioner på stedet eller eksternt tilsyn eller målrettede sikkerhedskontroller. En kompetent myndighed, som en anmodning om bistand er rettet til, må ikke afvise anmodningen, medmindre det er fastslået, at den ikke er kompetent til at yde den ønskede bistand, at den bistand, der anmodes om, ikke står i et rimeligt forhold til den kompetente myndigheds tilsynsopgaver, eller anmodningen vedrører oplysninger eller indebærer aktiviteter, som, hvis de blev videregivet eller udført, ville stride mod den medlemsstats væsentlige interesser med hensyn til national sikkerhed, offentlige sikkerhed eller forsvar. Før den kompetente myndighed afslår en sådan anmodning, hører den de øvrige berørte kompetente myndigheder samt, efter anmodning fra en af de berørte medlemsstater, Europa-Kommissionen og ENISA.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 37, stk. 1, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse indebærer, at Styrelsen for Samfundssikkerhed i relevant omfang skal samarbejde med de kompetente myndigheder i andre medlemsstater om deres opgaveudførelse vedrørende væsentlige og vigtige teleudbydere, der leverer tjenester i mere end én medlemsstat i Den Europæiske Union, og udbyderens net- og informationssystemer er beliggende i én eller flere andre medlemsstater.

Samarbejdet indebærer, at der skal ske underretning af de kompetente myndigheder i relevante medlemsstater om anvendte tilsyns- og håndhævelsesforanstaltninger. At der skal ske underretning til kompetente myndigheder i »relevante medlemsstater« betyder, at der skal ske underretning til de kompetente myndigheder i medlemsstater, hvor udbyderen leverer tjenester, eller hvor udbyderens net- og informationssystemer er beliggende.

Samarbejdet indebærer desuden, at Styrelsen for Samfundssikkerhed kan anmode en anden medlemsstats kompetente myndigheder om at iværksætte tilsyns- og håndhævelsesforanstaltninger.

Samarbejdet indebærer endvidere, at Styrelsen for Samfundssikkerhed i rimeligt omfang skal yde bistand til en anden medlemsstats kompetente myndighed efter modtagelse af en begrundet anmodning herom. Denne bistand kan omfatte anmodninger om oplysninger og tilsynsforanstaltninger, herunder eksempelvis anmodninger om at foretage kontrol på stedet eller målrettede sikkerhedsaudits.

En anmodning om bistand kan afvises, hvis anmodningen ikke står i rimeligt forhold til Styrelsen for Samfundssikkerheds tilsynsopgaver og ressourcer.

En anmodning om bistand kan desuden afvises, hvis anmodningen vedrører videregivelsen af oplysninger eller indebærer udførelsen af aktiviteter, som ville stride mod væsentlige interesser med hensyn til national sikkerhed, offentlige sikkerhed eller forsvar. Før der kan ske afvisning af en anmodning, skal Styrelsen for Samfundssikkerhed høre de relevante kompetente myndigheder i andre medlemsstater samt, efter anmodning fra en af de relevante kompetente myndigheder i andre medlemsstater, Europa-Kommissionen og ENISA.

Efter NIS 2-direktivets præambelbetragtning nr. 134 er formålet med bestemmelsen i direktivets artikel 37 at sikre, at enhederne overholder de forpligtelser, der er fastsat i direktivet. En anmodning om gensidig bistand efter den foreslåede stk. 1 vil derfor ikke blive imødekommet, såfremt anmodningen entydigt vedrører en anden medlemsstats nationale overimplementering af NIS 2- direktivet.

Det følger af det foreslåede stk. 2, at Styrelsen for Samfundssikkerhed efter nærmere aftale kan gennemføre fælles tilsynstiltag med kompetente myndigheder fra andre medlemsstater i Den Europæiske Union.

Bestemmelsen vil gennemføre NIS 2-direktivets artikel 37, stk. 2, for så vidt angår telesektoren. Det følger af artikel 37, stk. 2, at hvor det er hensigtsmæssigt og efter fælles overenskomst, kan de kompetente myndigheder fra forskellige medlemsstater gennemføre fælles tilsynstiltag.

Den foreslåede bestemmelse svarer således indholdsmæssigt til NIS 2-direktivets artikel 37, stk. 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Der stilles med den foreslåede bestemmelse ikke nærmere formkrav til den aftale, der indgås om udførelsen af fælles tilsynstiltag.

Den foreslåede bestemmelse indebærer ikke, at andre medlemsstaters myndigheder selvstændigt kan udøve tilsynsbeføjelser her i landet. Tilsynsforanstaltninger vil således altid foretages under Styrelsen for Samfundssikkerheds ansvar.

Det følger af den foreslåede § 29, at ministeren for samfundssikkerhed og beredskab kan fastsætte regler, som er nødvendige for at gennemføre retsakter udstedt af Europa-Kommissionen i medfør af NIS 2-direktivet.

Europa-Kommissionen er flere steder i NIS 2-direktivet tillagt kompetence til at vedtage retsakter, der nærmere udmønter bestemte dele af direktivet.

For så vidt angår væsentlige teleudbydere og vigtige teleudbydere, kan Europa-Kommissionen i medfør af artikel 21, stk. 5, 2. led, vedtage gennemførelsesretsakter, der fastsætter de tekniske og metodologiske samt om nødvendigt sektorspecifikke krav til de foranstaltninger, der er omhandlet i direktivets artikel 21, stk. 2 (foranstaltninger til styring af cybersikkerhedsrisici).

Ved udarbejdelsen af de nævnte gennemførelsesretsakter følger Europa-Kommissionen i videst muligt omfang europæiske og internationale standarder samt relevante tekniske specifikationer. Europa-Kommissionen samarbejder med samarbejdsgruppen og ENISA om udkastene til gennemførelsesretsakter.

Det følger desuden af NIS 2-direktivets artikel 23, stk. 11, at Europa-Kommissionen kan vedtage gennemførelsesretsakter, der yderligere præciserer typen af oplysninger, formatet og proceduren for en underretning indgivet i henhold til artikel 23, stk. 1 (underretning af myndighederne om hændelser), og artikel 30 (frivillig meddelelse af relevante oplysninger) og for en meddelelse, der er indgivet i henhold til artikel 23, stk. 2 (oplysning til modtagerne af tjenester).

Det følger endvidere af NIS 2-direktivets artikel 24, stk. 2, at Europa-Kommissionen tillægges beføjelser til at vedtage delegerede retsakter for at supplere NIS 2-direktivet ved at præcisere, hvilke kategorier af væsentlige og vigtige enheder der skal anvende visse certificerede IKT-produkter, -tjenester og -processer eller indhente en attest i henhold til en europæisk cybersikkerhedscertificeringsordning, der er vedtaget i henhold til artikel 49 i Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed). Disse delegerede retsakter vedtages, når der er identificeret utilstrækkelige cybersikkerhedsniveauer og skal indeholde en gennemførelsesperiode.

Ministeren for samfundssikkerhed og beredskab får efter bestemmelsen hjemmel til inden for telesektoren at fastsætte regler, som er nødvendige for at gennemføre retsakter udstedt af Europa-Kommissionen.

Det følger af den foreslåede § 30, at ministeren for samfundssikkerhed og beredskab kan fastsætte regler om digital kommunikation, herunder om anvendelsen af bestemte it-systemer og særlige digitale formater samt digital signatur eller lignende.

Den foreslåede bestemmelse indebærer, at det kan gøres obligatorisk for væsentlige teleudbydere og vigtige teleudbydere at anvende bestemte internetløsninger, herunder selvbetjeningsløsninger.

Der kan endvidere med hjemmel i bestemmelsen fastsættes regler om, hvem der omfattes af pligten til at kommunikere digitalt, om hvilke forhold, og på hvilken måde.

Bestemmelsen forventes navnlig anvendt til at fastsætte regler om, hvordan væsentlige teleudbydere og vigtige teleudbydere skal foretage underretninger om hændelser i medfør af de foreslåede §§ 8 og 9. Der vil eksempelvis kunne fastsættes regler om anvendelse af bestemte digitale internetløsninger såsom Virk.dk. Det kan eksempelvis også være relevant at fastsætte regler om, at bl.a. registreringspligterne i de foreslåede § 7 skal efterkommes ved anvendelse af bestemte internetløsninger såsom Virk.dk.

Der kan med hjemmel i bestemmelsen fastsættes regler om, at skriftlige henvendelser til Styrelsen for Samfundssikkerhed om forhold, som er omfattet af et krav om digital kommunikation, ikke anses for behørigt modtaget af styrelsen, hvis de indsendes på anden vis end den foreskrevne digitale måde.

Hvis en væsentlig eller vigtig teleudbyder retter henvendelse til Styrelsen for Samfundssikkerhed på anden måde end den foreskrevne digitale måde, følger det af den almindelige vejledningspligt, jf. forvaltningslovens § 7, stk. 2, at styrelsen skal vejlede om reglerne på området, herunder om pligten til at kommunikere digitalt.

Der kan desuden fastsættes regler om fritagelse for pligten til digital kommunikation. Fritagelsesmuligheden tænkes navnlig anvendt, hvor det er påkrævet at anvende en dansk digital signatur, men der er tale om en virksomhed med hjemsted i udlandet, og som dermed ikke kan få udstedt en dansk digital signatur. Det bemærkes i den forbindelse, at fritagelsesmuligheden er stærkt begrænset, idet der er tale om kommunikation om erhvervsforhold, og idet virksomheder med hjemsted i udlandet kun i begrænset omfang vil høre under dansk jurisdiktion.

Det forhold, at en væsentlig eller vigtig teleudbyders computere ikke fungerer, at udbyderen har mistet koden til sin digitale signatur, eller at der opstår lignende hindringer, som det er op til udbyderen at overvinde, vil ikke kunne føre til fritagelse for pligten til digital kommunikation. I så fald må den pågældende udbyder eksempelvis anmode en rådgiver om at varetage kommunikationen på virksomhedens vegne.

Der kan efter bestemmelsen også fastsættes regler om, at en digital meddelelse anses for at være kommet frem til adressaten for meddelelsen på det tidspunkt, hvor meddelelsen er tilgængelig digitalt for adressaten. Dermed er der tale om samme retsvirkning som ved fysisk post, der anses for at være kommet frem, når den pågældende meddelelse mv. er lagt i adressatens fysiske postkasse. En meddelelse vil normalt anses for at være kommet frem, når meddelelsen er tilgængelig digitalt for adressaten, således at vedkommende har mulighed for at behandle meddelelsen. Dette tidspunkt vil normalt blive registreret automatisk i adressatens it-system.

Det bemærkes, at Europa-Kommissionen på visse punkter er tillagt kompetence til at fastsætte nærmere regler om, hvordan oplysninger skal afgives fra de væsentlige teleudbydere og de vigtige teleudbydere. Europa-Kommissionen kan således bl.a. fastsætte nærmere regler om formatet og proceduren for en underretning indgivet i henhold til artikel 23, stk. 1 (underretning af myndighederne om hændelser), og artikel 30 (frivillig meddelelse af relevante oplysninger) og for en meddelelse, der er indgivet i henhold til artikel 23, stk. 2 (oplysning til modtagerne af tjenester). Såfremt Europa-Kommissionen måtte vælge at udnytte denne kompetence til at fastsætte nærmere regler, vil det skulle sikres, at regler om digital kommunikation, der måtte være udstedt eller siden udstedes i medfør af den foreslåede bestemmelse, er i overensstemmelse med Europa-Kommissionens retsakter.

Det foreslås i stk. 1, at den, der 1) overtræder § 5, stk. 1, eller 2, § 7, stk. 1-3, § 8, stk. 2, jf. stk. 3, § 9, stk. 1 og § 11, stk. 1 og 2, 2) undlader at efterkomme Styrelsen for Samfundssikkerheds afgørelse efter § 21, stk. 1, nr. eller 2, 3) undlader at efterkomme Styrelsen for Samfundssikkerheds påbud efter § 13, stk. 5, eller § 18, stk. 1 og 2, 4) undlader at efterkomme Styrelsen for Samfundssikkerheds krav efter § 19, stk. 1, nr. 5-8, eller § 22, stk. 1, nr. 4-7 eller 5) hindrer Styrelsen for Samfundssikkerhed i at føre tilsyn efter bestemmelserne i § 19, stk. 1, nr. 1-4, eller § 22, stk. 1, nr. 1-3, straffes med bøde.

Den foreslåede bestemmelse vil gennemføre artikel 36, stk. 1, NIS 2-direktivet. Artikel 36, stk. 1, forpligter medlemsstaterne til at fastsætte regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale foranstaltninger, der er vedtaget i medfør af NIS 2-direktivet og til at træffe alle nødvendige foranstaltninger for at sikre, at de gennemføres. Sanktionerne skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Den foreslåede bestemmelse svarer med sproglige tilpasninger indholdsmæssigt til NIS 2-direktivets artikel 36, stk. 1, og skal således forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse vil gennemføre artikel 36, stk. 1, i NIS 2-direktivet. Artikel 36, stk. 1, forpligter medlemsstaterne til at fastsætte regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale foranstaltninger, der er vedtaget i medfør af NIS 2-direktivet og til at træffe alle nødvendige foranstaltninger for at sikre, at de gennemføres. Sanktionerne skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Den foreslåede bestemmelse vil endvidere gennemføre NIS 2-direktivets artikel 34, hvoraf det følger, at medlemsstaterne sikrer, at de administrative bøder, der pålægges væsentlige og vigtige enheder i henhold til artiklen, for så vidt angår overtrædelser af direktivet, er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning, under hensyntagen til omstændighederne i hver enkelt sag.

Efter artikel 34, stk. 2, kan administrative bøder pålægges i tillæg til en hvilken som helst af foranstaltningerne omhandlet i artikel 32, stk. 4, litra a-h, artikel 32, stk. 5, og artikel 33, stk. 4, litra a-g.

Efter artikel 34, stk. 4, skal medlemsstaterne sikre, at hvor væsentlige enheder overtræder artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller 23 (rapporteringsforpligtelser), straffes de i overensstemmelse med artiklernes stk. 2 og 3 med administrative bøder med et maksimum på mindst 10.000.000 euro eller et maksimum på mindst 2 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den væsentlige enhed tilhører, alt efter hvad der er højest.

Det følger af artikel 34, stk. 5, at medlemsstaterne sikrer, at hvor vigtige enheder overtræder artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller 23 (rapporteringsforpligtelser), straffes de i overensstemmelse med artiklernes stk. 2 og 3 med administrative bøder med et maksimum på mindst 7.000.000 euro eller et maksimum på mindst 1,4 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den vigtige enhed tilhører, alt efter hvad der er højest.

Det følger endvidere af artikel 34, stk. 8, 1. og 2. pkt., at hvis en medlemsstats retssystem ikke giver mulighed for at pålægge administrative bøder, sørger den pågældende medlemsstat for, at artiklen anvendes på en sådan måde, at den kompetente myndighed tager skridt til bøder, og de kompetente nationale domstole pålægger dem, idet det sikres, at disse retsmidler er effektive, og at deres virkning svarer til virkningen af administrative bøder, som pålægges af de kompetente myndigheder. De bøder, der pålægges, skal under alle omstændigheder være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Endelig vil den foreslåede bestemmelse – i kombination med den foreslåede bestemmelse i § 6, stk. 1 – gennemføre NIS 2-direktivets artikel 20, stk. 1, hvoraf det følger, at medlemsstaterne sikrer, at de væsentlige og vigtige teleudbyderes ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet med henblik på at overholde artikel 21, fører tilsyn med dens gennemførelse og kan gøres ansvarlige for enhedernes overtrædelser af forpligtelserne i nævnte artikel.

Det forudsættes i overensstemmelse med en minimumsimplementering af NIS 2-direktivets artikel 34, stk. 4, at bødens størrelse for væsentlige teleudbydere maksimalt vil kunne udgøre et beløb svarende til 10.000.000 euro eller 2 pct.af den væsentlige teleudbyders samlede globale årsomsætning i det foregående regnskabsår alt efter, hvad der er højest.

Det forudsættes endvidere i overensstemmelse med en minimumsimplementering af NIS 2-direktivets artikel 34, stk. 5, at bødens størrelse for vigtige teleudbyderes maksimalt vil udgøre et beløb svarende til 7.000.000 euro eller 1,4 pct.af den vigtige teleudbyders samlede globale årsomsætning i det foregående regnskabsår alt efter, hvad der er højest.

Der forudsættes ikke i tilknytning til øvrige bestemmelser end de specifikt angivne ovenfor anlagt særlige forudsætninger for så vidt angår udmålingen af bøders størrelse. Det samme gælder eventuel udmåling af bøder til fysiske personer, hvor det dog i overensstemmelse med direktivets præambelbetragtning nr. 130, 2. pkt., forudsættes, at der lægges vægt på det generelle indkomstniveau og personens økonomiske stilling.

Det forudsættes i overensstemmelse med NIS 2-direktivets artikel 34, stk. 3, jf. artikel 32, stk. 7, at der lægges vægt på følgende hensyn ved pålæg af en bøde og ved udmåling af bødens størrelse: 1) overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser, idet bl.a. følgende under alle omstændigheder skal betragtes som alvorlige overtrædelser: a) Gentagne overtrædelser, b) manglende underretning om eller afhjælpning af væsentlige hændelser, c) manglende afhjælpning af mangler efter bindende instrukser fra kompetente myndigheder, d) hindringer for audits eller overvågningsaktiviteter beordret af den kompetente myndighed efter konstatering af en overtrædelse og e) afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende cybersikkerhedsrisikostyringsforanstaltninger eller rapporteringsforpligtelser, 2) overtrædelsens varighed, 3) den pågældende enheds relevante tidligere overtrædelser, 4) enhver fysisk eller ikke-fysisk skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt, 5) hvorvidt der ved overtrædelsen er handlet forsætligt eller uagtsomt, 6) enhver foranstaltning truffet af enheden for at forebygge eller afbøde den fysiske eller ikke-fysiske skade, 7) hvorvidt godkendte adfærdskodekser eller godkendte certificeringsmekanismer er overholdt, og 8) i hvilken udstrækning de fysiske eller juridiske personer, der holdes ansvarlige for overtrædelsen, samarbejder med de kompetente myndigheder.

Den fastsatte bøde skal i overensstemmelse med NIS 2-direktivets artikel 34, stk. 1, være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning under hensyntagen til omstændighederne i den konkrete sag.

Bøde vil i overensstemmelse med NIS 2-direktivets artikel 34, stk. 2, kunne pålægges i tillæg til håndhævelsesforanstaltningerne i de foreslåede §§ 20-23.

Det bemærkes, at fastsættelsen af straffen fortsat vil bero på domstolenes konkrete vurdering i det enkelte tilfælde af samtlige omstændigheder i sagen, og de angivne strafniveauer vil kunne fraviges i op- eller nedadgående retning, hvis der i den konkrete sag foreligger skærpende eller formildende omstændigheder, jf. herved de almindelige regler om straffens fastsættelse i straffelovens 10. kapitel.

Det foreslås i nr. 1, at den, der overtræder § 5, stk. 1, eller 2, § 7, stk. 1-3, § 8, stk. 2, jf. stk. 3, § 9, stk. 1 og § 11, stk. 1 og 2, straffes med bøde.

Den foreslåede bestemmelse indebærer for det første, at væsentlige og vigtige teleudbydere, der ikke træffer passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer efter den foreslåede § 5, stk. 1, straffes med bøde.

Det samme gælder tilfælde, hvor en væsentlig elle vigtig teleudbyder bliver bekendt med, at denne ikke overholder ét eller flere af de krav, der er nævnt i den foreslåede § 5, stk. 1, eller regler om krav til foranstaltninger fastsat i medfør af stk. 3, og ikke unødigt ophold træffer alle nødvendige, passende og forholdsmæssige korrigerende foranstaltninger.

Vurderingen af, om foranstaltningerne er truffet uden unødigt ophold vil bero på en konkret vurdering af sagens omstændigheder.

Den foreslåede bestemmelse indebærer endvidere, at væsentlige og vigtige enheder, der overtræder registrerings- og oplysningsforpligtelserne i den foreslåede § 7, stk. 1-3, straffes med bøde.

Den foreslåede bestemmelse indebærer endvidere, at væsentlige og vigtige teleudbydere, der overtræder hændelsesunderretningsforpligtelsen i den foreslåede § 8, stk. 2, straffes med bøde. Det samme gælder, hvis den væsentlige eller vigtige teleudbyder ikke overholder proceduren til foretagelse af hændelsesunderretningen efter den foreslåede bestemmelse i § 9, stk. 1.

Den foreslåede bestemmelse vil endelig medføre, at en væsentlig eller vigtig teleudbyder, der ikke overholder forpligtelsen til at underrette modtagere af sine tjenester om hændelser efter de foreslåede bestemmelser i § 11, stk. 1 og 2, vil blive straffet med bøde.

Det foreslås i nr. 2, at den, der undlader at efterkomme Styrelsen for Samfundssikkerheds afgørelse efter § 21, stk. 1, nr. eller 2, straffes med bøde.

Det følger af den foreslåede bestemmelse, at væsentlige teleudbydere, der undlader at efterkomme Styrelsen for Samfundssikkerheds afgørelse om midlertidig suspension af en certificering eller godkendelse efter den foreslåede § 21, stk. 1, nr. 1, eller en afgørelse om midlertidigt forbud mod at udøve ledelsesfunktioner efter den foreslåede § 21, stk. 1, nr. 2, vil blive straffet med bøde.

Det foreslås i nr. 3, at den, der undlader at efterkomme Styrelsen for Samfundssikkerheds påbud efter § 13, stk. 5, eller § 18, stk. 1 og 2, straffes med bøde.

Det følger af den foreslåede bestemmelse, at den, der undlader at efterkomme Styrelsen for Samfundssikkerheds påbud om at iværksætte nærmere angivne sikkerhedsforanstaltninger i beredskabssituationer og andre ekstraordinære situationer efter den foreslåede § 13, stk. 5, vil blive straffet med bøde.

Det følger endvidere af den foreslåede bestemmelse, at den væsentlige eller vigtige teleudbydere, der undlader at efterkomme Styrelsen for Samfundssikkerheds påbud om at inddrage nærmere angivne områder af deres virksomhed og nærmere angivne trusler mod sikkerheden i net- og informationssystemer i deres foranstaltninger efter § 5, stk. 1, vil blive straffet med bøde.

Det foreslås i nr. 4, at den, der undlader at efterkomme Styrelsen for Samfundssikkerheds krav efter § 19, stk. 1, nr. 5-8, eller § 22, stk. 1, nr. 4-7, straffes med bøde.

Det følger af den foreslåede bestemmelse, at en væsentlig teleudbyder, der undlader at efterkomme Styrelsen for Samfundssikkerheds krav efter § 19, stk. 1, nr. 5-8, om udlevering af oplysninger, få adgang til data, dokumenter og oplysninger, udlevering af dokumentation mv., vil blive straffet med bøde.

Det følger endvidere af den foreslåede bestemmelse en vigtig teleudbyder, der undlader at efterkomme Styrelsen for Samfundssikkerheds krav efter § 22, stk. 1, nr. 4-7, om udlevering af oplysninger, adgang til data, dokumenter og oplysninger, udlevering af dokumentation mv., vil blive straffet med bøde.

Det foreslås i nr. 5, at den, der hindrer Styrelsen for Samfundssikkerhed i at føre tilsyn efter bestemmelserne i § 19, stk. 1, nr. 1-4, eller § 22, stk. 1, nr. 1-3, straffes med bøde.

Det følger af den foreslåede bestemmelse, at væsentlige teleudbydere, der hindrer Styrelsen for Samfundssikkerhed i at føre tilsyn efter bestemmelserne i den foreslåede § 19, stk. 1, nr. 1-4, om kontrol, sikkerhedsaudits, sikkerhedsscanninger mv., vil blive straffes med bøde.

Det følger endvidere af den foreslåede bestemmelse, at vigtige teleudbydere, der hindrer Styrelsen for Samfundssikkerhed i at føre tilsyn efter bestemmelserne i den foreslåede § 22, stk. 1, nr. 1-3, om kontrol, sikkerhedsaudits, sikkerhedsscanninger mv, vil blive straffet med bøde.

Det følger af det foreslåede stk. 2, at der kan pålægges selskaber mv. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Den foreslåede bestemmelse indebærer, at selskaber mv. (juridiske personer) kan pålægges strafansvar for overtrædelse af denne lov eller regler udstedt i medfør af loven efter reglerne i straffelovens kapitel 5.

Det følger af det foreslåede stk. 3, at der i forskrifter, der udstedes i medfør af loven fastsættes straf af bøde for overtrædelse af bestemmelserne i forskrifterne.

Med bestemmelsen bemyndiges ministeren for samfundssikkerhed og beredskab til at fastsætte straf i form af bøde for overtrædelse af bestemmelser i regler, som udstedes i medfør af loven.

Det følger af artikel 34, stk. 4, i NIS 2-direktivet, at medlemsstaterne skal sikre, at hvor væsentlige enheder overtræder artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller artikel 23 (rapporteringsforpligtelser), straffes de i overensstemmelse med nærværende artikels stk. 2 og 3 med administrative bøder med et maksimum på mindst 10.000.000 euro eller et maksimum på mindst 2 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den væsentlige enhed tilhører, alt efter hvad der er højest.

Efter NIS 2-direktivets artikel 34, stk. 5, skal medlemsstaterne sikre, at hvor vigtige enheder overtræder artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller artikel 23 (rapporteringsforpligtelser), straffes de i overensstemmelse med nærværende artikels stk. 2 og 3 med administrative bøder med et maksimum på mindst 7.000.000 euro eller et maksimum på mindst 1,4 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den vigtige enhed tilhører, alt efter hvad der er højest.

Det forudsættes i overensstemmelse med en minimumsimplementering af NIS 2-direktivets artikel 34, stk. 4, at bødens størrelse for væsentlige enheders overtrædelse af regler fastsat i medfør af den foreslåede bestemmelse i § 6, stk. 3, maksimalt vil udgøre et beløb svarende til 10.000.000 euro eller 2 pct. af den væsentlige enheds samlede globale årsomsætning i det foregående regnskabsår alt efter, hvad der er højest.

Det forudsættes i overensstemmelse med en minimumsimplementering af NIS 2-direktivets artikel 34, stk. 5, at bødens størrelse for vigtige enheders overtrædelse af regler fastsat i medfør af den foreslåede bestemmelse i § 6, stk. 3, maksimalt vil udgøre et beløb svarende til 7.000.000 euro eller 1,4 pct. af den vigtige enheds samlede globale årsomsætning i det foregående regnskabsår alt efter, hvad der er højest.

Der forudsættes ikke i tilknytning til øvrige bestemmelser end § 6, stk. 3, anlagt særlige forudsætninger for så vidt angår udmålingen af bøders størrelse. Det samme gælder eventuel udmåling af bøder til fysiske personer, hvor det dog i overensstemmelse med direktivets præambelbetragtning nr. 130, 2. pkt., forudsættes, at der lægges vægt på det generelle indkomstniveau og personens økonomiske stilling.

Det forudsættes i overensstemmelse med NIS 2-direktivets artikel 34, stk. 3, jf. artikel 32, stk. 7, at der lægges vægt på følgende hensyn ved pålæg af en bøde og ved udmåling af bødens størrelse: 1) overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser, idet bl.a. følgende under alle omstændigheder skal betragtes som alvorlige overtrædelser: a) Gentagne overtrædelser, b) manglende underretning om eller afhjælpning af væsentlige hændelser, c) manglende afhjælpning af mangler efter bindende instrukser fra kompetente myndigheder, d) hindringer for audits eller overvågningsaktiviteter beordret af den kompetente myndighed efter konstatering af en overtrædelse og e) afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende cybersikkerhedsrisikostyringsforanstaltninger eller rapporteringsforpligtelser, der er fastsat i §§ 6, 13, 14, 16 og 17, 2) overtrædelsens varighed, 3) den pågældende enheds relevante tidligere overtrædelser, 4) enhver materiel eller immateriel skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt, 5) hvorvidt der ved overtrædelsen er handlet forsætligt eller uagtsomt, 6) enhver foranstaltning truffet af enheden for at forebygge eller afbøde den materielle eller immaterielle skade, 7) hvorvidt godkendte adfærdskodekser eller godkendte certificeringsmekanismer er overholdt, og 8) i hvilken udstrækning de fysiske eller juridiske personer, der holdes ansvarlige for overtrædelsen, samarbejder med de kompetente myndigheder.

Den fastsatte bøde skal i overensstemmelse med NIS 2-direktivets artikel 34, stk. 1, være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning under hensyntagen til omstændighederne i den konkrete sag.

Bøde vil i overensstemmelse med NIS 2-direktivets artikel 34, stk. 2, kunne pålægges i tillæg til håndhævelsesforanstaltningerne i de foreslåede §§ 20, 21 og 23.

Det bemærkes, at fastsættelsen af straffen fortsat vil bero på domstolenes konkrete vurdering i det enkelte tilfælde af samtlige omstændigheder i sagen, og de angivne strafniveauer vil kunne fraviges i op- eller nedadgående retning, hvis der i den konkrete sag foreligger skærpende eller formildende omstændigheder, jf. herved de almindelige regler om straffens fastsættelse i straffelovens 10. kapitel.

Der henvises i øvrigt til lovforslagets pkt. 3.9.

Det foreslås i stk. 1, at loven træder i kraft den 1. juli 2025.

Det følger af artikel 41, stk. 1, i NIS 2-direktivet, at direktivet skal være gennemført i dansk ret senest den 17. oktober 2024 og træde i kraft senest den 18. oktober 2024. Med den foreslåede bestemmelse vil loven træde i kraft 9 måneder efter direktivets implementeringsfrist.

Det foreslås i stk. 2, at lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, som ændret ved § 18 i lov nr. 1156 af 8. juni 2021, ophæves ved denne lovs ikrafttræden.

Det foreslås i stk. 3, at oplysninger efter stk. 7, skal indgives senest den 1. oktober 2025.

Det bemærkes, at der er tale om en overgangsbestemmelse.

Der henvises i den forbindelse til den foreslåede bestemmelse i § 7, stk. 2, hvorefter væsentlige og vigtige teleudbydere senest to uger efter, at teleudbyderen er bekendt med, at denne er omfattet af loven, skal indgive de i den foreslåede § 7, stk. 1, nævnte oplysninger.

Det foreslås i § 33, at loven ikke skal gælde for Færøerne og Grønland.

Baggrunden for den foreslåede territorialbestemmelse er, at sagsområdet for telekommunikation er overtaget af henholdsvis de færøske og grønlandske myndigheder.

Det foreslås i nr. 1, at § 1, nr. 3 i lov om leverandørsikkerhed i den kritiske teleinfrastruktur ændres, således at definitionerne i nærværende lovforslag og den nævnte lov er ensartede.

Det foreslås således, at vigtige teleudbydere i lov om leverandørsikkerhed i den kritiske teleinfrastruktur defineres som en teleudbyder, som er identificeret som en vigtig teleudbyder i henhold til lov om sikkerhed og beredskab i telesektoren.

Det foreslås i nr. 2, at nærværende lovforslags definition af væsentlige teleudbydere indsættes i lov om leverandørsikkerhed i den kritiske teleinfrastruktur.

Det foreslås i nr. 3, at der foretages konsekvensrettelser af definitionerne af teleudbydere i overensstemmelse med definitionerne i nærværende lov med henblik på at sikre ensartet begrebsanvendelse.