Lov om sikkerhed og beredskab i telesektoren § 11

Det følger af det foreslåede stk. 1, at er det sandsynligt, at en væsentlige hændelse, jf. § 8, stk. 3, vil påvirke teleudbyderens levering af deres tjenester til modtagerne heraf negativt, underretter teleudbyderen i relevant omfang modtagerne herom uden unødigt ophold.

Bestemmelsen vil gennemføre artikel 23, stk. 1, 2. pkt., i NIS 2-direktivet, som fastsætter en forpligtelse for medlemsstaterne til at sikre, at væsentlige og vigtige enheder i relevant omfang underretter modtagerne af deres tjenester om væsentlige hændelser, der sandsynligvis vil påvirke leveringen af disse tjenester negativt.

Den foreslåede bestemmelse svarer indholdsmæssigt til bestemmelsen i NIS 2-direktivets artikel 23, stk. 1, 2. pkt., og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger, dog med den ændring, at kravet om underretning ikke alene gælder for væsentlige og vigtige teleudbydere, men for samtlige teleudbydere, der er omfattet af nærværende lov.

Dette skal navnlig ses i lyset af, at den gældende lov om sikkerhed i net og tjenester finder anvendelse for samtlige teleudbydere. Henset til det aktuelle trusselsbillede, vurderer Ministeriet for Samfundssikkerhed og Beredskab, at det nuværende sikkerhedsniveau bør opretholdes.

Den foreslåede bestemmelse indebærer en forpligtelse for teleudbydere til at underrette modtagerne af deres tjenester om en væsentlig hændelse. Underretning af modtagerne vil alene skulle ske i relevant omfang. Det indebærer, at teleudbyderne vil kunne undlade at foretage underretning af modtagerne ud fra en konkret vurdering af, at underretningen ikke vil være i modtagernes interesse.

Om en hændelse er at anse for væsentlig vurderes ud fra den foreslåede bestemmelse i § 8, stk. 2, og ud fra regler, der måtte være udstedt i en given sektor i medfør af § 8, stk. 4.

Der stilles ingen formkrav til underretningen, og de pågældende teleudbydere vil derfor have metodefrihed i forhold til, hvordan underretningen af modtagerne vil skulle ske, idet det dog forudsættes, at underretningen skal være umiddelbart tilgængelig for de relevante modtagere og kommunikeres på et letforståeligt sprog.

Det følger af det foreslåede stk. 2, 1. pkt., at teleudbydere oplyser uden unødigt ophold modtagerne af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som modtagerne kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal udbyderne også informere de pågældende modtagere om selve den væsentlige cybertrussel.

Bestemmelsen vil gennemføre NIS 2-direktivets artikel 23, stk. 2, der fastsætter en forpligtelse for medlemsstaterne til at sikre, at væsentlige og vigtige enheder i givet fald uden unødigt ophold meddeler modtagerne af deres tjenester, som potentielt kan være berørt af en væsentlig cybertrussel, eventuelle foranstaltninger eller modforholdsregler, som disse modtagere kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal enhederne også informere de pågældende modtagere om selve den væsentlige trussel.

Den foreslåede bestemmelse svarer indholdsmæssigt til bestemmelsen i NIS 2-direktivets artikel 23, stk. 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger, dog med den ændring, at kravet om underretning ikke alene gælder for væsentlige og vigtige teleudbydere, men for samtlige teleudbydere, der er omfattet af nærværende lov.

Dette skal navnlig ses i lyset af, at den gældende lov om sikkerhed i net og informationer finder anvendelse for samtlige teleudbydere. Henset til det aktuelle trusselsbillede, vurderer Ministeriet for Samfundssikkerhed og Beredskab, at det nuværende sikkerhedsniveau bør opretholdes.

Den foreslåede bestemmelse indebærer i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 103, bl.a. at væsentlige og vigtige enheder uden unødigt ophold vil skulle underrette modtagerne af deres tjenester om enhver foranstaltning eller modforholdsregel, som modtagerne kan træffe for at afbøde risici fra en væsentlig hændelse.

Det foreslås med stk. 2, 2. pkt., at hvor det er relevant, skal udbyderne også informere de pågældende modtagere om selve den væsentlige cybertrussel.

Bestemmelsen vil gennemføre NIS 2-direktivets artikel 23, stk. 2.

Den foreslåede bestemmelse indebærer i overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 103, at teleudbydere, hvor det er hensigtsmæssigt, vil skulle informere deres tjenestemodtagere om selve den væsentlige cybertrussel. Kravet om at informere modtagerne bør opfyldes efter bedste evne, men vil ikke fritage teleudbyderne for forpligtelsen til at træffe passende og øjeblikkelige foranstaltninger til at forebygge eller afhjælpe enhver hændelse og genoprette tjenestens normale sikkerhedsniveau.

I overensstemmelse med præambelbetragtning nr. 103 indebærer bestemmelsen endvidere, at oplysninger om væsentlige cybertrusler skal stilles gratis til rådighed for modtagerne i et let forståeligt sprog

Der stilles i øvrigt ingen formkrav til oplysningen, og de pågældende teleudbyderne vil derfor have metodefrihed i forhold til, hvordan underretningen af modtagerne vil skulle ske.