Lov om sikkerhed og beredskab i telesektoren § 12

Det foreslås i stk. 1, at Styrelsen for Samfundssikkerhed efter høring af en teleudbyder, der er ramt af en væsentlig hændelse, jf. § 8, stk. 3, kan informere offentligheden om den væsentlige hændelse, hvis offentliggørelsen er nødvendig for at forebygge eller håndtere hændelsen, eller hvis offentliggørelse af hændelsen på anden vis er i offentlighedens interesse.

Bestemmelsen vil delvist gennemføre artikel 23, stk. 7, i NIS 2-direktivet.

Det fremgår af NIS 2-direktivets artikel 23, stk. 7, at hvor offentlighedens kendskab er nødvendig for at forebygge en væsentlig hændelse eller for at håndtere en igangværende hændelse, eller hvor offentliggørelse af den væsentlige hændelse på anden vis er i offentlighedens interesse, kan en medlemsstats CSIRT eller i givet fald dens kompetente myndighed, og hvor det er relevant CSIRT’erne eller de kompetente myndigheder i andre berørte medlemsstater efter høring af den berørte enhed informere offentligheden om den væsentlige hændelse eller kræve, at enheden gør det.

Den foreslåede bestemmelse svarer – med visse sproglige tilpasninger uden indholdsmæssig betydning – til NIS 2-direktivets artikel 23, stk. 7, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger, dog således, at bestemmelsen ikke alene gælder for væsentlige og vigtige teleudbydere, men for samtlige teleudbydere, der er omfattet af nærværende lov.

Dette skal navnlig ses i lyset af, at den gældende lov om sikkerhed i net og informationer finder anvendelse for samtlige teleudbydere. Henset til det aktuelle trusselsbillede, vurderer Ministeriet for Samfundssikkerhed og Beredskab, at det nuværende sikkerhedsniveau bør opretholdes.

Den foreslåede bestemmelse indebærer, at Styrelsen for Samfundssikkerhed kan informere offentligheden om en væsentlig hændelse, hvis offentliggørelsen er nødvendig for at forebygge eller håndtere hændelsen, eller hvor offentliggørelsen af hændelsen på anden vis er i offentlighedens interesse.

Styrelsen for Samfundssikkerhed vil i medfør af bestemmelsen skulle høre den berørte teleudbyder, før der sker offentliggørelse af hændelsen.

Formålet med høringen vil være at sikre, at Styrelsen for Samfundssikkerhed kan træffe afgørelse om offentliggørelse på et oplyst grundlag, herunder foretage en afvejning af hensynet til den konkrete enhed over for hensynet til orientering af offentligheden.

Det vil være op til Styrelsen for Samfundssikkerhed at tage stilling til formen for orienteringen. Orientering af offentligheden kan således ske på den måde, som Styrelsen for Samfundssikkerhed finder bedst egnet under hensyn til den berørte enhed, hændelsens karakter, den geografiske udstrækning, den forventede betydning for bestemte dele af offentligheden mv.

Det vil i den forbindelse skulle sikres, at offentligheden informeres på en ansvarlig måde, som ikke kompromitterer fortrolige oplysninger. Det bemærkes, at den kompetente myndighed vil skulle sikre, at de hensyn til fortrolighed, der fremgår af i forvaltningslovens § 27 om offentligt ansattes tavshedspligt, iagttages. Dette omfatter bl.a. hensynet til enkeltpersoners private forhold, forretningshemmeligheder samt hensynet til forebyggelse, efterforskning og forfølgning af lovovertrædelser.

Det foreslås, at det som udgangspunkt er Styrelsen for Samfundssikkerhed, og ikke CSIRT’en, der foretager offentliggørelsen af en væsentlig hændelse, jf. dog det foreslåede stk. 3, idet Styrelsen for Samfundssikkerhed vil være nærmest til at foretage afvejningen af teleudbyderens eventuelle interesse i, at der ikke sker offentliggørelse, over for hensynet til offentligheden.

Det følger af den foreslåede bestemmelse i stk. 2, at Styrelsen for Samfundssikkerhed i de situationer, der er nævnt i stk. 1, kan træffe afgørelse om, at den relevante teleudbyder informerer offentligheden om en væsentlig hændelse og bestemme, hvordan denne information skal gives.

Bestemmelsen vil delvist gennemføre NIS 2-direktivets artikel 23, stk. 7.

Det fremgår af NIS 2-direktivets artikel 23, stk. 7, at hvor offentlighedens kendskab er nødvendig for at forebygge en væsentlig hændelse eller for at håndtere en igangværende hændelse, eller hvor offentliggørelse af den væsentlige hændelse på anden vis er i offentlighedens interesse, kan en medlemsstats CSIRT eller i givet fald dens kompetente myndighed, og hvor det er relevant CSIRT’erne eller de kompetente myndigheder i andre berørte medlemsstater efter høring af den berørte enhed informere offentligheden om den væsentlige hændelse eller kræve, at enheden gør det.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 23, stk. 7, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger, dog med den ændring, at bestemmelsen ikke alene gælder for væsentlige og vigtige teleudbydere, men for samtlige teleudbydere, der er omfattet af nærværende lov.

Dette skal navnlig ses i lyset af, at den gældende lov om sikkerhed i net og tjenester finder anvendelse for samtlige teleudbydere. Henset til det aktuelle trusselsbillede, vurderer Ministeriet for Samfundssikkerhed og Beredskab, at det nuværende sikkerhedsniveau bør opretholdes.

Styrelsen for Samfundssikkerhed vil skulle foretage høring af den berørte teleudbyder, før der træffes afgørelse om, at teleudbyderen skal offentliggøre hændelsen, i overensstemmelse med proceduren beskrevet i bemærkningerne til det foreslåede stk. 1. I forbindelse med en afgørelse om offentliggørelse vil den kompetente myndighed endvidere skulle varetage de fortrolighedshensyn, der ligeledes er beskrevet i bemærkningerne til det foreslåede stk. 1.

Det følger af det foreslåede stk. 3, at CSIRT’en efter samme kriterier som i stk. 1, kan informere offentligheden om væsentlige hændelser, der kan påvirke mere end én sektor.

Bestemmelsen vil delvist gennemføre NIS 2-direktivets artikel 23, stk. 7.

Det fremgår af NIS 2-direktivets artikel 23, stk. 7, at hvor offentlighedens kendskab er nødvendig for at forebygge en væsentlig hændelse eller for at håndtere en igangværende hændelse, eller hvor offentliggørelse af den væsentlige hændelse på anden vis er i offentlighedens interesse, kan en medlemsstats CSIRT eller i givet fald dens kompetente myndighed, og hvor det er relevant CSIRT’erne eller de kompetente myndigheder i andre berørte medlemsstater efter høring af den berørte enhed informere offentligheden om den væsentlige hændelse eller kræve, at enheden gør det.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 23, stk. 7, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Bestemmelsen indebærer, at det vil være CSIRT’en, der informerer offentligheden om væsentlige hændelser, når disse kan påvirke flere sektorer, idet det typisk vil være CSIRT’en, der har viden om, at en hændelse rammer flere sektorer eller har potentialet til at ramme flere sektorer.

CSIRT’en vil skulle foretage høring af den berørte teleudbyder, før der træffes afgørelse om, at teleudbyderen skal offentliggøre hændelsen, i overensstemmelse med proceduren beskrevet i bemærkningerne til det foreslåede stk. 1. I forbindelse med en afgørelse om offentliggørelse vil CSIRT’en endvidere skulle varetage de fortrolighedshensyn, og forvaltningslovens regler om tavshedspligt der ligeledes er beskrevet i bemærkningerne til det foreslåede stk. 1. Det forudsættes, at høringen vil ske inden for rammerne af forvaltningslovens regler om tavshedspligt og partshøring.

Herudover forudsættes det, at der sker en tæt koordination mellem CSIRT’en og Styrelsen for Samfundssikkerhed forud for eventuel offentliggørelse af en væsentlig hændelse.

Det følger af det foreslåede stk. 4, at CSIRT’en efter samme kriterier som i stk. 1, kan informere offentligheden om væsentlige hændelser i andre medlemsstater.

Bestemmelsen vil delvist gennemføre NIS 2-direktivets artikel 23, stk. 7.

Det fremgår af NIS 2-direktivets artikel 23, stk. 7, at hvor offentlighedens kendskab er nødvendig for at forebygge en væsentlig hændelse eller for at håndtere en igangværende hændelse, eller hvor offentliggørelse af den væsentlige hændelse på anden vis er i offentlighedens interesse, kan en medlemsstats CSIRT eller i givet fald dens kompetente myndighed, og hvor det er relevant CSIRT’erne eller de kompetente myndigheder i andre berørte medlemsstater, efter høring af den berørte enhed informere offentligheden om den væsentlige hændelse eller kræve, at enheden gør det.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 23, stk. 7, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse indebærer, at CSIRT’en efter høring af en enhed i en anden medlemsstat, hvor teleudbyderen er ramt af en væsentlig hændelse, kan informere offentligheden i Danmark om den væsentlige hændelse.

Det er et krav, at offentliggørelsen er nødvendig for at forebygge eller håndtere en lignende hændelse i Danmark, eller at offentliggørelsen på anden vis er i den danske offentligheds interesse. En sådan situation vil eksempelvis foreligge, hvis CSIRT’en vurderer, at den konkrete væsentlige hændelse kan have grænseoverskridende virkning, og at det derfor er nødvendigt at orientere offentligheden, således at der i Danmark kan træffes de fornødne forebyggende foranstaltninger eller modforholdsregler.

Før der træffes afgørelse om, at teleudbyderen skal offentliggøre hændelsen, vil CSIRT’en skulle foretage høring af den berørte teleudbyder i overensstemmelse med proceduren beskrevet i bemærkningerne til det foreslåedes stk. 1. Det forudsættes dog, at høringen af teleudbyderen vil ske via det centrale kontaktpunkt i den pågældende medlemsstat. I forbindelse med en afgørelse om offentliggørelse vil CSIRT’en endvidere skulle varetage de fortrolighedshensyn og forvaltningslovens regler om tavshedspligt, der er beskrevet i bemærkningerne til det foreslåede stk. 1.