Lov om sikkerhed og beredskab i telesektoren § 21

Det foreslås i stk. 1, 1. pkt., at hvis én eller flere af de håndhævelsesforanstaltninger, der er pålagt i medfør af § 20 nr. 1-8, har vist sig at være utilstrækkelige, kan Styrelsen for Samfundssikkerhed fastsætte en frist, inden for hvilken den væsentlige teleudbyder skal foretage de nødvendige tiltag for at afhjælpe manglerne eller opfylde Styrelsen for Samfundssikkerheds krav.

Det foreslås i stk. 1, 2. pkt. , at er manglerne ikke afhjulpet eller Styrelsen for Samfundssikkerheds krav ikke opfyldt inden for den fastsatte frist, kan Styrelsen for Samfundssikkerhed træffe afgørelse om 1) midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, udbyderen leverer, eller aktiviteter, der udføres af udbyderen og 2) midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos udbyderen at udøve ledelsesfunktioner ved den pågældende udbyder.

Bestemmelsen vil gennemføre artikel 32, stk. 5, 1. led, i NIS 2-direktivet, for så vidt angår telesektoren. Det følger af bestemmelsen, at medlemsstaterne skal sikre, at de kompetente myndigheder i en situation, hvor håndhævelsesforanstaltninger anvendt i medfør af direktivets artikel 32, stk. 4, litra a-d og f, er virkningsløse, skal have beføjelse til at fastsætte en frist, inden for hvilken den væsentlige enhed skal tage de nødvendige tiltag for at afhjælpe manglerne eller opfylde myndighedernes krav. Hvis de ønskede tiltag ikke tages inden for den fastsatte frist, skal de kompetente myndigheder have beføjelse til a) midlertidigt at suspendere, eller anmode et certificerings- eller godkendelsesorgan eller en domstol om i overensstemmelse med national ret midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, der leveres, eller aktiviteter, der udføres af en væsentlig enhed og b) at anmode de relevante organer eller domstole om i overensstemmelse med national ret midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau eller som juridisk repræsentant i den pågældende væsentlige enhed at udøve ledelsesfunktioner i den pågældende enhed.

Det bemærkes, at de eksisterende muligheder for rettighedsfrakendelse i straffeloven ikke vurderes tilstrækkelige til at sikre korrekt og tilstrækkelig gennemførelse af bestemmelsen i direktivet. Det skyldes navnlig, at rettighedsfrakendelse i medfør af straffelovens § 79 alene kan ske i forbindelse med dom for strafbart forhold, og hvis det udviste forhold begrunder en nærliggende fare for misbrug af stillingen.

Det vil være en forudsætning for at anvende bestemmelsen, at håndhævelsesforanstaltninger pålagt i medfør af den foreslåede § 20, nr. 1-8, har vist sig at være utilstrækkelige. Det er dermed en forudsætning, at mindre indgribende midler har været forsøgt og vist sig utilstrækkelige til at sikre, at udbyderen foretager de nødvendige tiltag for at afhjælpe mangler, som Styrelsen for Samfundssikkerhed har konstateret, eller opfylder styrelsens krav.

Bestemmelsen vil skulle anvendes i overensstemmelse med direktivets forudsætninger som udtrykt i præambelbetragtning nr. 133, hvorefter bestemmelsen kun bør anvendes som en sidste udvej, dvs. først efter at de øvrige, relevante håndhævelsesforanstaltninger er udtømt. Det fremgår videre af samme præambelbetragtning, at i betragtning af deres alvor og indvirkning på enhedernes aktiviteter og i sidste ende brugerne, bør sådanne midlertidige suspensioner eller forbud kun anvendes proportionalt med overtrædelsens alvor og under hensyntagen til omstændighederne i hvert enkelt tilfælde, herunder i lyset af om overtrædelsen var forsætlig eller uagtsom, og ethvert tiltag der er iværksat for at forebygge eller afbøde den fysisk eller ikke fysisk skade.

Styrelsen for Samfundssikkerhed vil efter omstændighederne og i relevant omfang kunne træffe afgørelse om anvendelse af flere håndhævelsesforanstaltninger på én gang. Der er således ikke i medfør af den foreslåede § 21 et krav om, at relevante håndhævelsesforanstaltninger anvendes tidsmæssigt forskudt af hinanden, såfremt det vurderes, at flere foranstaltninger i kombination er nødvendige for at sikre, at reglerne efterleves.

Der vil efter bestemmelsen skulle fastsættes en nærmere angivet frist, inden for hvilken den væsentlige teleudbyder skal have truffet de nødvendige tiltag for at afhjælpe manglerne eller opfylde Styrelsen for Samfundssikkerheds krav. Varigheden af fristen vil afhænge af en konkret vurdering, som foretages af Styrelsen for Samfundssikkerhed.

Det foreslås, at afgørelse om suspension eller forbud træffes af Styrelsen for Samfundssikkerhed i første instans. Det skal ses i lyset af, at muligheden for suspension og forbud ligger i forlængelse af Styrelsen for Samfundssikkerheds øvrige håndhævelsesmuligheder, og at der i en afgørelse om suspension eller forbud forudsættes at skulle indgå en begrundelse for, hvorfor allerede pålagte håndhævelsesforanstaltninger er utilstrækkelige.

Det følger af NIS 2-direktivets artikel 32, stk. 7, at den kompetente myndighed ved anvendelsen af håndhævelsesforanstaltninger såsom suspension eller forbud efter den foreslåede bestemmelse skal tage hensyn til en række nærmere angivne forhold.

I direktivets artikel 32, stk. 7, er følgende hensyn oplistet: 1) overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser, idet bl.a. følgende under alle omstændigheder skal betragtes som alvorlige overtrædelser: a) gentagne overtrædelser, b) manglende underretning om eller afhjælpning af væsentlige hændelser, c) manglende afhjælpning af mangler efter bindende instrukser fra kompetente myndigheder, d) hindringer for audits eller overvågningsaktiviteter beordret af den kompetente myndighed efter konstatering af en overtrædelse og e) afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende cybersikkerhedsrisikostyringsforanstaltninger eller rapporteringsforpligtelser, 2) overtrædelsens varighed, 3) den pågældende enheds relevante tidligere overtrædelser, 4) enhver materiel eller immateriel skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt, 5) hvorvidt der ved overtrædelsen er handlet forsætligt eller uagtsomt, 6) enhver foranstaltning truffet af enheden for at forebygge eller afbøde den materielle eller immaterielle skade, 7) hvorvidt godkendte adfærdskodekser eller godkendte certificeringsmekanismer er overholdt, og 8) i hvilken udstrækning de fysiske eller juridiske personer, der holdes ansvarlige for overtrædelsen, samarbejder med de kompetente myndigheder.

Den foreslåede bestemmelse i stk. 1, nr. 1, indebærer, at såfremt den væsentlige teleudbyder ikke har iværksat tiltag for at afhjælpe manglerne eller efterkomme Styrelsen for Samfundssikkerheds krav inden for den fastsatte frist, kan Styrelsen for Samfundssikkerhed træffe afgørelse om midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, udbyderen leverer, eller aktiviteter, der udføres af udbyderen.

Den foreslåede bestemmelse skal læses i sammenhæng med den foreslåede bestemmelse i stk. 4, hvorefter Styrelsen for Samfundssikkerhed vil kunne fastsætte nærmere regler for, hvilke certificeringer og godkendelser, som bestemmelsen i stk. 1, nr. 1, finder anvendelse på. Det forudsættes, at den foreslåede bestemmelse i stk. 1, nr. 1, ikke anvendes, før bemyndigelsen i den foreslåede stk. 4, er anvendt.

En afgørelse efter nr. 1 vil være af midlertidig karakter, jf. også det foreslåede stk. 2, hvorefter afgørelsen kun kan anvendes, så længe den væsentlige teleudbyder ikke har truffet de nødvendige tiltag for at afhjælpe de mangler eller efterleve de krav fra Styrelsen for Samfundssikkerhed, som gav anledning til, at foranstaltningerne blev anvendt.

Den foreslåede bestemmelse i stk. 1, nr. 2, indebærer, at såfremt den væsentlige teleudbyder ikke har iværksat tiltag for at afhjælpe manglerne eller efterkomme Styrelsen for Samfundssikkerheds krav inden for den fastsatte frist, kan styrelsen træffe afgørelse om midlertidigt at forbyde enhver fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant hos udbyderen at udøve ledelsesfunktioner ved den pågældende udbyder.

Det bemærkes hertil, at det af den danske oversættelse af NIS 2-direktivets artikel 32, stk. 5, litra b, bl.a. fremgår, at de personer med ledelsesansvar, der midlertidigt kan suspenderes, omfatter »enhver fysisk person med ledelsesansvar på direktionsniveau«. Denne oversættelse er efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse imidlertid ikke forenelig med den engelske udgave af direktivet, hvori »any natural person who is responsible for discharging managerial responsibilities at chief executive officer […] level« er anvendt. Den franske sprogversion anvender en tilsvarende formulering som den engelske. I den foreslåede bestemmelse anvendes på den baggrund betegnelsen »enhver fysisk person med ledelsesansvar på niveau med administrerende direktør«.

I det omfang en virksomhed eller organisation ikke har en administrerende direktør, vil bestemmelsen omfatte den øverste leder af den pågældende væsentlige teleudbyder, f.eks. en generalsekretær, direktør, koncernchef eller managing partner.

En afgørelse efter nr. 2 vil være af midlertidig karakter, jf. også det foreslåede stk. 2, hvorefter afgørelsen kun kan anvendes, så længe den væsentlige teleudbyder ikke har truffet de nødvendige tiltag for at afhjælpe de mangler eller opfylde de krav fra Styrelsen for Samfundssikkerhed, som gav anledning til, at foranstaltningerne blev anvendt.

Det følger af det foreslåede stk. 2, at suspensioner eller forbud, som er pålagt i medfør af stk. 1, kun kan anvendes, indtil den væsentlige teleudbyder træffer de nødvendige tiltag for at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningerne i medfør af stk. 1 blev anvendt.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 32, stk. 5, 1. led, for så vidt angår telesektoren. Det følger af 32, stk. 5, 1. led, at midlertidige suspensioner eller forbud, som er pålagt i henhold til dette stykke, kun anvendes, indtil den pågældende enhed træffer de nødvendige foranstaltninger til at afhjælpe manglerne eller opfylde den kompetente myndigheds krav, som gav anledning til, at disse håndhævelsesforanstaltninger blev anvendt.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 32, stk. 5, 1. led, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Bestemmelsen indebærer, at når Styrelsen for Samfundssikkerhed har truffet afgørelse om midlertidigt at suspendere en certificering eller midlertidigt har forbudt en fysisk person med ledelsesansvar på niveau med administrerende direktør eller den juridiske repræsentant ved udbyderen at udøve ledelsesfunktioner ved den pågældende udbyder, skal styrelsen træffe afgørelse om at ophæve foranstaltningen, når udbyderen har truffet de nødvendige tiltag for at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningen blev anvendt.

Det følger af det foreslåede stk. 3, at en afgørelse efter stk. 1 kan forlanges indbragt for domstolene af den væsentlige teleudbyder eller den fysiske person, afgørelsen vedrører. Styrelsen for Samfundssikkerhed anlægger i givet fald sag inden for rammerne af den civile retspleje mod den udbyder eller person, som har forlangt sagen indbragt.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 32, stk. 5, 2. led, hvoraf det følger, at pålæggelse af midlertidige suspensioner eller forbud skal være underlagt passende proceduremæssige garantier i overensstemmelse med de generelle principper i EU-retten og chartret, herunder retten til effektive retsmidler og til en retfærdig rettergang, uskyldsformodningen og retten til et forsvar.

Det vil efter den foreslåede bestemmelse være muligt for den væsentlige teleudbyder eller den fysiske person, som afgørelsen om suspension eller forbud vedrører, at forlange afgørelsen indbragt for retten. Når en sådan sag indbringes for retten, vil bestemmelserne i retsplejeloven finde anvendelse, hvilket vil sikre de nødvendige retssikkerhedsgarantier.

Det følger af det foreslåede stk. 4, at ministeren for samfundssikkerhed kan fastsætte regler om, hvilke certificeringer og godkendelser der er omfattet af stk. 1, nr. 1.

Den foreslåede bestemmelse i stk. 4 indebærer, at Styrelsen for Samfundssikkerhed kan fastsætte nærmere regler om, hvilke certificeringer og godkendelser der er omfattet af den midlertidige suspensionsordning i § 21, stk. 1, nr. 1.

Ved at fastsætte nærmere regler i bekendtgørelsesform sikres det, at det vil være klart og forudsigeligt for de væsentlige teleudbydere, hvilke certificerings- og godkendelsesordninger, der vil kunne medføre suspension. Det sikres endvidere, at reglerne løbende kan tilpasses den udvikling, der er på området, f.eks. i tilfælde af, at der indføres en ny cybersikkerhedscertificering i EU-regi.

De nærmere regler vil skulle udarbejdes inden for den ramme, som det foreslåede stk. 1 udgør. Det indebærer bl.a., at reglerne vil skulle være i overensstemmelse med regeringens principper om minimumsimplementering. Det forudsættes, at den foreslåede bestemmelse i stk. 1, nr. 1, ikke anvendes, før bemyndigelsen i den foreslåede stk. 4, er anvendt.