LOV nr 435 af 06/05/2025
Ministeriet for Samfundssikkerhed og Beredskab
Lov om sikkerhed og beredskab i telesektoren § 22
Styrelsen for Samfundssikkerhed kan som led i sit tilsyn, hvis der er indikationer på, at en vigtig teleudbyder ikke overholder eller ikke har overholdt denne lov eller regler udstedt i medfør af loven, anvende følgende tilsyns- og kontrolforanstaltninger:
-
Uden retskendelse og mod behørig legitimation foretage kontrol hos teleudbydere og deres samarbejdspartnere, leverandører eller underleverandører i relation til outsourcet aktivitet og eksternt tilsyn, herunder foretage stikprøvekontroller og eksternt efterfølgende tilsyn.
-
Foretage målrettede sikkerhedsaudit eller stille krav om, at udbyderen får et kvalificeret uafhængigt organ til at foretage disse audit, og at resultaterne heraf stilles til rådighed for Styrelsen for Samfundssikkerhed.
-
Foretage sikkerhedsscanninger.
-
Kræve at få udleveret oplysninger, der er nødvendige for efterfølgende at vurdere de foranstaltninger til styring af sikkerhedsrisici, som den berørte udbyder har indført.
-
Kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af, om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.
-
Kræve at få udleveret dokumentation for gennemførelsen af sikkerhedspolitikker.
-
Kræve at få skriftlige udtalelser og redegørelser om faktiske forhold af betydning for Styrelsen for Samfundssikkerheds tilsynsvirksomhed.
Stk. 2. Ved anvendelse af tiltagene i stk. 1, nr. 4-7, skal Styrelsen for Samfundssikkerhed angive formålet med tiltaget og præcisere, hvilke oplysninger der kræves udleveret, og hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 4-7, skal udleveres.
Forarbejder til Lov om sikkerhed og beredskab i telesektoren § 22
RetsinformationDet foreslås i stk. 1, at Styrelsen for Samfundssikkerhed som led i sit tilsyn kan anvende nærmere angivne tilsynsforanstaltninger over for en vigtig teleudbyder.
I overensstemmelse med direktivets forudsætninger, som udtrykt i præambelbetragtning nr. 122, vil vigtige teleudbydere – i modsætning til væsentlige teleudbydere – ikke blive underlagt løbende tilsyn, men i stedet et lettere, reaktivt tilsyn. Det betyder, at tilsyn iværksættes på baggrund af oplysninger, der tyder på, at den pågældende enhed potentielt ikke efterlever sine forpligtelser efter loven og regler udstedt i medfør af loven, herunder eventuelt efter en væsentlig hændelse.
Vigtige teleudbydere vil således som udgangspunkt ikke være forpligtet til systematisk at dokumentere overholdelsen af foranstaltninger til styring af cybersikkerhedsrisici over for myndighederne, og de kompetente myndigheder vil ikke have en generel forpligtelse til at føre tilsyn med vigtige enheder.
Som forudsat i samme præambelbetragtning vil det reaktive tilsyn kunne iværksættes på baggrund af oplysninger, som Styrelsen for Samfundssikkerhed modtager fra andre myndigheder, enheder, borgere, medier eller andre kilder eller offentligt tilgængelige oplysninger. Det kan desuden eksempelvis være oplysninger, der hidrører fra andre aktiviteter, der indgår i de kompetente myndigheders udførelse af deres arbejdsopgaver.
Den foreslåede bestemmelse vil endvidere skulle forstås og anvendes i lyset af NIS 2-direktivets artikel 31, stk. 1, hvorefter medlemsstaterne sikrer, at deres kompetente myndigheder effektivt overvåger og træffer de nødvendige foranstaltninger til at sikre, at direktivet overholdes. Det følger endvidere af artikel 31, stk. 2, at medlemsstaterne kan tillade deres kompetente myndigheder at prioritere tilsynsopgaver. En sådan prioritering baseres på en risikobaseret tilgang. Med henblik herpå kan de kompetente myndigheder, når de udfører deres tilsynsopgaver i henhold til artikel 32 og 33, fastlægge tilsynsmetoder, der gør det muligt at prioritere sådanne opgaver efter en risikobaseret tilgang. De kompetente myndigheder vil således ved tilrettelæggelsen af et risikobaseret reaktivt tilsyn med vigtige enheder kunne lægge vægt på eksempelvis enhedernes samfundsmæssige betydning.
Anvendelsen af de forskellige tilsynsforanstaltninger, som opregnes i den foreslåede § 22, stk. 1, vil skulle ske efter en konkret vurdering af omstændighederne i hver enkelt sag. Valget af tilsynsforanstaltninger vil endvidere skulle ske i overensstemmelse med det forvaltningsretlige proportionalitetsprincip.
Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der for så vidt angår de foreslåede bestemmelser i nr. 4-7 og den del af bestemmelsen i nr. 2, der vedrører, at der kan stilles krav om, at udbyderen får et kvalificeret uafhængigt organ til at foretage sikkerhedsaudits, og at resultaterne herfor skal stilles til rådighed for Styrelsen for Samfundssikkerhed, vil være tale om oplysningspligter omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer bl.a., at kapitel 4 (om retten til ikke at inkriminere sig selv mv.) vil gælde i tilfælde, hvor der måtte være en konkret mistanke om, at en enhed har begået en overtrædelse af lovgivningen, der kan medføre straf. Der henvises i øvrigt til kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter og bemærkningerne hertil. Der henvises til Folketingstidende 2003-04, tillæg A, side 3075-3078 og side 3096-3099.
I overensstemmelse med forudsætningerne i direktivets præambelbetragtning nr. 123 bør de kompetente myndigheders udførelse af tilsynsopgaver ikke unødigt hæmme den berørte enheds forretningsaktiviteter.
Det foreslås med nr. 1, at Styrelsen for Samfundssikkerhed uden retskendelse og behørig legitimation kan foretage kontrol hos teleudbydere samt deres samarbejdspartnere, leverandører eller underleverandører i relation til outsourcet aktivitet og eksternt efterfølgende tilsyn.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet.
Den foreslåede bestemmelse i stk. 1, nr. 1, vil endvidere videreføre § 9, stk. 6 og 7 i lov om sikkerhed i net og tjenester.
Ministeriet for Samfundssikkerhed og Beredskab finder det således henset til vurderingen af det aktuelle trusselsniveau mod telesektoren, jf. lovforslagets pkt. 1 ovenfor, væsentligt at opretholde det nuværende sikkerhedsniveau for sektoren. Der er med videreførelsen af bestemmelsen ikke tilsigtet materielle ændringer af bestemmelsens indhold.
For effektivt at kunne konstatere, om vigtige teleudbydere i praksis har gennemført de nødvendige foranstaltninger til at sikre deres net- og informationssystemer, er det nødvendigt, at Styrelsen for Samfundssikkerhed som led i et tilsyn har adgang til forretningssteder hos vigtige teleudbydere samt deres samarbejdspartnere, leverandører eller underleverandører i relation til outsourcet aktivitet og eksternt tilsyn. Det foreslås derfor, at der skal være adgang til kontrol på stedet uden retskendelse og mod behørig legitimation.
Den foreslåede bestemmelse vil betyde, at Styrelsen for Samfundssikkerhed som led i et tilsyn kan foretage kontrol på stedet til enhver tid. Det forudsættes dog almindeligvis, at Styrelsen for Samfundssikkerhed forinden et kontrolbesøg vil varsle den vigtige enhed herom.
Det bemærkes, at Styrelsen for Samfundssikkerhed ikke i forbindelse med adgang til forretningslokaler efter stk. 1, kan tilgå kommunikation til, fra eller mellem udbyderens kunder.
Styrelsen for Samfundssikkerhed vil ikke i forbindelse med tilsynsbesøgene kunne få adgang til elektronisk kommunikation til, fra og mellem udbydernes kunder, ligesom styrelsen alene vil kunne foretage tilsynsbesøg i det omfang, udbyderens forretningslokaler er placeret i Danmark.
Det fremgår desuden af NIS 2-direktivets artikel 33, stk. 2, litra a, at der kan foretages »eksternt efterfølgende tilsyn«, hvilket er en formulering, der efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse kan give anledning til fortolkningstvivl i dansk sammenhæng. I den engelske sprogversion af NIS 2-direktivet anvendes formuleringen »off-site ex post supervision«. Efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse udgør eksternt efterfølgende tilsyn forstået som off-site ex post supervision et reaktivt tilsyn fra en kompetent myndighed uden fysisk tilstedeværelse på stedet, men eksempelvis udført på skriftligt grundlag. Det bemærkes, at de kompetente myndigheder i medfør af den foreslåede bestemmelse kan kræve relevante oplysninger fra enhederne. Det indebærer også, at de kompetente myndigheder kan kræve at få udleveret nødvendige oplysninger til afgørelse af, om et forhold er omfattet af loven eller regler udstedt i medfør af loven.
Det foreslås i nr. 2, at Styrelsen for Samfundssikkerhed kan foretage regelmæssige og målrettede sikkerhedsaudits eller stille krav om, at udbyderen får et kvalificeret uafhængigt organ til at foretage disse audits, og at resultaterne heraf stilles til rådighed for Styrelsen for Samfundssikkerhed,
Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Efter direktivets artikel 33, stk. 2, 2. led, baseres de målrettede sikkerhedsaudits, der er omhandlet i første led, litra b, på risikovurderinger foretaget af den kompetente myndighed eller den reviderede enhed eller på andre tilgængelige risikorelaterede oplysninger. Resultaterne af enhver målrettet sikkerhedsaudit stilles til rådighed for den kompetente myndighed. Omkostningerne ved en sådan målrettet sikkerhedsaudit, der udføres af et uafhængigt organ, afholdes af den reviderede enhed, undtagen i behørigt begrundede tilfælde, når den kompetente myndighed bestemmer andet.
Det foreslås i nr. 3, at Styrelsen for Samfundssikkerhed kan foretage sikkerhedsscanninger.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Det foreslås i nr. 4, at Styrelsen for Samfundssikkerhed kan kræve at få udleveret oplysninger, der er nødvendige for efterfølgende at vurdere de foranstaltninger til styring af sikkerhedsrisici, som den berørte udbyder har indført.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Det foreslås i nr. 5, at Styrelsen for Samfundssikkerhed kan kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af, om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Det foreslås i nr. 6, at Styrelsen for Samfundssikkerhed kan kræve at få udleveret dokumentation for gennemførelsen af sikkerhedspolitikker.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Det foreslås i nr. 7, at Styrelsen for Samfundssikkerhed kan kræve at få skriftlige udtalelser og redegørelser om faktisk forhold af betydning for Styrelsen for Samfundssikkerheds tilsynsvirksomhed.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der for de foreslåede tilsynsforanstaltninger vil være tale om et indgreb, der er omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer, at retten til ikke at inkriminere sig selv, jf. kapitel 4 i nævnte lov, skal overholdes. Det bemærkes dog, at det af bemærkningerne til § 10 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter fremgår, at »[b]estemmelsen [om forbud mod selvinkriminering] er ikke til hinder for, at den mistænkte kan pålægges at give (faktuelle) oplysninger, som er uden betydning for bedømmelsen af, hvorvidt den pågældende har begået en lovovertrædelse, der kan medføre straf.«
Det følger af det foreslåede stk. 2, at de Styrelsen for Samfundssikkerhed ved anvendelsen af tiltagene i stk. 1, nr. 4-7, skal Styrelsen for Samfundssikkerhed angive formålet med tiltaget og præcisere, hvilke oplysninger der kræves udleveret og hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 4-7, skal udleveres.
Den foreslåede bestemmelse indebærer, at Styrelsen for Samfundssikkerhed i forbindelse med, at der stilles krav om udlevering af oplysninger eller materiale efter de foreslåede bestemmelser i stk. 1, nr. 4-7 samtidig kan kræve, at oplysningerne eller materialet udleveres på en bestemt måde, på et bestemt sprog og i en bestemt form.
Der vil eksempelvis kunne stilles krav om anvendelse af bestemte skemaer, eller at der skal foretages indtastninger på en hjemmeside.
Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 33, stk. 3, hvorefter de kompetente myndigheder ved udøvelsen af deres beføjelser i henhold til artikel 33, stk. 2, litra d, e, og f, skal angive formålet med anmodningen og præcisere, hvilke oplysninger der anmodes om.