Lov om sikkerhed og beredskab i telesektoren § 8

I stk. 1 foreslås det, at § 17 i lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven) finder tilsvarende anvendelse for teleudbydere omfattet af denne lov.

Det fremgår af den foreslåede § 1, stk. 2, 2. pkt., i forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau, at lovens § 17 finder anvendelse for enheder, der er omfattet af telesektoren.

Den foreslåede bestemmelse § 17 i lov om forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau, fastsætter CSIRT’ens opgaver over for væsentlige og vigtige enheder.

Det foreslås i stk. 2, at teleudbyderen skal underrette Styrelsen for Samfundssikkerhed og CSIRT’en om enhver væsentlig hændelse efter proceduren i den foreslåede § 9.

Den foreslåede bestemmelse vil gennemføre artikel 23, stk. 1, i NIS 2-direktivet.

Det følger bl.a. af NIS 2-direktivets artikel 23, stk. 1, at hver medlemsstat sikrer, at væsentlige og vigtige enheder uden unødigt ophold underretter dens CSIRT eller i givet fald dens kompetente myndighed om enhver hændelse, der har en væsentlig indvirkning på leveringen af deres tjenester. Hver medlemsstat sikrer, at enhederne indberetter alle oplysninger, der gør det muligt for CSIRT’en eller den kompetente myndighed at fastslå eventuelle grænseoverskridende virkninger af hændelsen.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 23, stk. 1, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse indebærer, at samtlige teleudbydere, der er omfattet af lovens anvendelsesområde, skal underrette både Styrelsen for Samfundssikkerhed og CSIRT’en i tilfælde af hændelser, der har en væsentlig indvirkning på levering af deres tjenester. Dermed sikres det, at både Styrelsen for Samfundssikkerhed og CSIRT’en hurtigt og effektivt vil kunne varetage sine myndighedsopgaver.

Det bemærkes, at væsentlige og vigtige teleudbydere i overensstemmelse med forvaltningslovens § 7 i fornødent omfang vil kunne få vejledning og bistand fra Styrelsen for Samfundssikkerhed.

I overensstemmelse med præambelbetragtning nr. 83 vil den foreslåede forpligtelse til at foretage underretning ved hændelser finde anvendelse på de væsentlige og vigtige teleudbydere, uanset om disse teleudbydere selv vedligeholder deres net- og informationssystemer eller outsourcer vedligeholdelsen deraf. Såfremt der måtte ske en hændelse i et net- og informationssystem, som eksempelvis er outsourcet, vil det derfor fortsat være den væsentlige eller vigtige teleudbyders ansvar, at der sker underretning i fornødent omfang.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der vil være tale om en oplysningspligt omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer bl.a., at kapitel 4 (om retten til ikke at inkriminere sig selv mv.) vil gælde i tilfælde, hvor der måtte være en konkret mistanke om, at en enhed har begået en overtrædelse af lovgivningen, der kan medføre straf. Der henvises i øvrigt til kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter og bemærkningerne hertil. Der henvises til Folketingstidende 2003-04, tillæg A, side 3075-3078 og side 3096-3099.

Såfremt en væsentlig hændelse, der underrettes om i medfør af bestemmelsen, måtte have grænseoverskridende virkning, vil CSIRT’en i overensstemmelse med forudsætningen i NIS 2-direktivets artikel 23, stk. 6, via det centrale kontaktpunkt uden unødigt ophold skulle underrette de øvrige berørte medlemsstater og ENISA om den væsentlige hændelse, navnlig hvor den væsentlige hændelse berører to eller flere medlemsstater. Efter samme bestemmelse vil en sådan information omfatte den type af oplysninger, der er modtaget i overensstemmelse med artikel 23, stk. 4, og CSIRT’en vil i den forbindelse – i overensstemmelse med EU-retten eller national ret – sikre enhedens sikkerhed og kommercielle interesser samt fortrolig behandling af de afgivne oplysninger.

Det følger af det foreslåede stk. 3, nr. 1, at en hændelse anses for at være væsentlig, hvis den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af net eller tjenester eller økonomiske tab for den berørte udbyder.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 23, stk. 3.

Med alvorlige driftsforstyrrelser forstås en hændelse, som kompromitterer tjenesterne fortroligled, integritet, autenticitet og/eller tilgængelighed.

Med økonomiske tab forstås betydelige tab og/eller omkostninger som følge af hændelse. Tab eller udbredelse af intellektuel ejendom, der kan bringe enhedens fremtidige indtægt eller omsætning i fare, medregnes ligeledes som økonomisk tab.

Det fremgår af præambelbetragtning nr. 101, at direktivet bør omfatte underretning om hændelser, som ud fra en indledende vurdering foretaget af den berørte enhed kunne forårsage alvorlige driftsmæssige forstyrrelser af tjenesterne.

Det følger af det foreslåede stk. 3, nr. 2, at en hændelse anses for at være væsentlig, hvis den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikke-fysisk skade.

Den foreslåede bestemmelse svarer med en enkelt sproglig justering uden indholdsmæssig betydning til NIS 2-direktivets artikel 23, stk. 3, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det fremgår af præambelbetragtning nr. 101, at direktivet bør omfatte underretning om hændelser, som ud fra en indledende vurdering foretaget af den berørte enhed kunne forårsage alvorlige driftsmæssige forstyrrelser af tjenesterne eller økonomiske tab for denne enhed eller forvolde betydelig materiel eller immateriel skade for andre fysiske eller juridiske personer. En sådan indledende vurdering bør bl.a. tage i betragtning de berørte net- og informationssystemer, navnlig deres betydning for leveringen af enhedens tjenester, alvoren og de tekniske karakteristika af en cybertrussel, eventuelle underliggende sårbarheder, der udnyttes, samt enhedens erfaring med tilsvarende hændelser. Indikatorer såsom graden af påvirkning af tjenestens funktionsdygtighed, varigheden af en hændelse eller antallet af berørte tjenestemodtagere vil kunne spille en vigtig rolle med hensyn til at fastslå, om den driftsmæssige forstyrrelse af tjenesten er alvorlig.

En hændelse anses altid for væsentlig, hvis den forårsager hel eller delvis ødelæggelse af kritiske tredje parts fysiske eller digitale aktiver. Ligeledes anses en hændelse altid for at være væsentlig, hvis den forårsager død, eller skader der kræver hospitalsindlæggelse eller behandling.

Det følger af det foreslåede stk. 4, at ministeren for samfundssikkerhed og beredskab kan fastsættes nærmere regler om, hvornår en hændelse kan anses for at være væsentlig og hvilke oplysninger, der skal gives i forbindelse med underretningen.

Henset til at kriterierne for, hvornår en hændelse anses for at være væsentlig efter det foreslåede stk. 3, har en kvalitativ og skønspræget karakter, vurderes det hensigtsmæssigt, at ministeren for samfundssikkerhed og beredskab kan fastsættes nærmere regler, som præciserer, hvornår en hændelse anses for at være væsentlig i telesektoren.