NIS 2-loven § 1

Net- og informationssikkerhed var tidligere reguleret i NIS 1-direktivet. NIS 1-direktivet omfattede operatører af væsentlige tjenester og udbydere af digitale tjenester inden for sektorerne: 1) energi, 2) transport, 3) bankvæsen, 4) finansielle markedsinfrastrukturer, 5) sundhedssektoren, 6) drikkevandsforsyning og 7) digital infrastruktur.

NIS 1-direktivet er i dansk ret gennemført sektorvist i regulering under de respektive ressortministerier, hvor direktivet finder anvendelse. For en nærmere gennemgang af den sektorvise implementering af NIS 1-direktivet henvises til afsnit 2.4 i lovforslagets almindelige bemærkninger.

Det følger af det foreslåede stk. 1, at loven finder anvendelse på offentlige og private enheder, der er omfattet NIS 2-direktivet, jf. dog stk. 2-4 og 6.

Den foreslåede bestemmelse vil indebære, at enheder, der er omfattet af NIS 2-direktivets anvendelsesområde, vil være omfattet af lovens anvendelsesområde med de modifikationer, der følger af de foreslåede bestemmelser § 1, stk. 2-4 og 6. Bestemmelsen vil gennemføre NIS 2-direktivets artikel 2, stk. 1-4, 7 og 9.

Det følger af NIS 2-direktivets artikel 2, stk. 1, at direktivet finder anvendelse på offentlige eller private enheder af den type, der er omhandlet i direktivets bilag I eller II, som udgør mellemstore virksomheder i henhold til artikel 2 i bilaget til Europa-Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder, eller som overskrider tærsklerne for mellemstore virksomheder fastsat i nævnte artikels stk. 1, og som leverer deres tjenester eller udfører deres aktiviteter inden for Den Europæiske Union.

Af direktivets bilag I fremgår en oversigt over sektorer af særlig kritisk betydning, herunder en række delsektorer og typer af enheder, som indgår i de enkelte sektorer. Der henvises til lovens bilag 1. Af direktivets bilag II fremgår en oversigt over andre kritiske sektorer, herunder en række delsektorer og typer af enheder, som indgår i de enkelte sektorer. Der henvises til lovens bilag 2.

Med NIS 2-direktivet omfattes en række yderligere sektorer end dem, der var omfattet af NIS 1-direktivets regulering. Ud over de tidligere nævnte sektorer, som er omfattet af NIS 1-direktivets anvendelsesområde, er følgende sektorer således også omfattet af NIS 2-direktivet: 1) spildevand, 2) forvaltning af informations- og kommunikationstjenester (IKT-tjenester) (business-to-business), 3) offentlig forvaltning, 4) rummet, 5) post- og kurertjenester, 6) affaldshåndtering, 7) fremstilling, produktion og distribution af kemikalier, 8) produktion, tilvirkning og distribution af fødevarer, 9) forskning og 10) fremstilling med delsektorerne: a) fremstilling af medicinsk udstyr og medicinsk udstyr til vitro-diagnostik, b) fremstilling af computere og elektroniske og optiske produkter, c) fremstilling af elektrisk udstyr, d) fremstilling af maskiner og udstyr ikke andetsteds nævnt, e) fremstilling af motorkøretøjer, påhængsvogne og sættevogne og f) fremstilling af andre transportmidler.

Det fremgår af direktivets bilag II, pkt. 3, at direktivet finder anvendelse for sektoren for fremstilling, produktion og distribution af kemikalier. Af bilagets pkt. 3, at denne sektor omfatter typer af enheder, der beskæftiger sig med fremstilling af stoffer og distribution af stoffer eller blandinger som omhandlet i artikel 3, nr. 9) og 14), i Europa-Parlamentets og Rådets forordning (EF) nr. 1907/2006 (2) (REACH-forordningen) og virksomheder, der beskæftiger sig med produktion af artikler som defineret i artikel 3, nr. 3), i nævnte forordning ud af stoffer eller blandinger.

I juli 2024 offentliggjorde Kommissionen sine besvarelser af udvalgte spørgsmål stillet af medlemsstaterne i forbindelse med implementeringen af NIS 2-direktivet. Ét af de besvarede spørgsmål vedrører direktivets anvendelsesområde inden for sektoren for fremstilling, produktion og distribution af kemikalier.

Det fremgår i den forbindelse bl.a. af Kommissionens besvarelse af spørgsmålet, at ”By referring to undertakings carrying out the manufacture of substances and the distribution of substances or mixtures under the sector “manufacture, production and distribution of chemicals”, the NIS 2 Directive seems to refer to all chemical substances, regardless of whether they are potentially hazardous industrial chemicals or used in day-to-day products. ”

I forlængelse heraf fremgår af besvarelsen, at Kommissionen i forbindelse med vurderingen af medlemsstaters implementering af NIS 2-direktivet for sektoren for fremstilling, produktion og distribution af kemikalier i første omgang alene vil fokusere på enheder, der er omfattet af registreringsforpligtelsen under REACH-forordningen, som alene omfatter ”hazardous industrial chemicals”, jf. ovenfor.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at afgrænsningen af anvendelsesområdet for sektoren for fremstilling, produktion og distribution af kemikalier, skal fortolkes i overensstemmelse med Kommissionens vejledende udtalelse.

NIS 2-direktivets artikel 2, stk. 1, indebærer, at enhederne som udgangspunkt mindst skal udgøre mellemstore virksomheder, som defineret i Europa-Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder, for at være omfattet af NIS 2-direktivet.

Det fremgår af artikel 2 i den nævnte henstilling, at kategorien mikrovirksomheder, små og mellemstore virksomheder (SMV’er) omfatter virksomheder, som beskæftiger under 250 personer, og som har en årlig omsætning på ikke over 50 mio. euro eller en årlig samlet balance på ikke over 43 mio. euro.

Efter henstillingens artikel 2, stk. 2, forstås der ved små virksomheder i kategorien SMV’er, virksomheder som beskæftiger under 50 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 10 mio. euro.

For at falde ind under henstillingens definition af små virksomheder skal enheden således både opfylde 1) beskæftigelseskravet om under 50 ansatte og 2) den finansielle tærskel om en årlig omsætning eller en årlig balance på ikke over 10 mio. euro.

På den baggrund er det Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at en enhed er omfattet af NIS 2-direktivet, hvis enheden har 50 ansatte eller derover eller en årlig omsætning og en årlig balance, der overstiger 10 mio. euro.

Den nævnte henstilling fastsætter i artiklerne 3-6, nærmere regler om typer af virksomheder, som tages i betragtning ved beregningen af antal beskæftigede og beløbsstørrelser, om data, der skal anvendes ved beregningen af antal beskæftigede og beløbsstørrelser og referenceperiode, om antal beskæftigede og om fastlæggelse af oplysninger om virksomheden.

Det følger af præambelbetragtning nr. 16 til NIS 2-direktivet, at for at undgå, at enheder, der har partnervirksomheder eller er tilknyttede virksomheder, betragtes som væsentlige eller vigtige enheder, hvor dette ville være uforholdsmæssigt, kan der tages hensyn til den grad af uafhængighed, som en enhed har i forhold til sine partnervirksomheder eller tilknyttede virksomheder, ved at henstillingens artikel 6, stk. 2, om fastlæggelse af oplysninger om virksomheden, anvendes ved vurderingen af, om en enhed er omfattet af NIS 2-direktivet eller ej.

Det fremgår endvidere af præambelbetragtningen, at der navnlig kan tages hensyn til, om en enhed er uafhængig af sine partnervirksomheder eller tilknyttede virksomheder med hensyn til de net- og informationssystemer, som enheden anvender i forbindelse med leveringen af sine tjenester, og med hensyn til de tjenester, som enheden leverer.

I overensstemmelse med principperne i den nævnte præambelbetragtning vil visse enheder efter omstændighederne, kunne anses for ikke at opfylde NIS 2-direktivets kriterium om at udgøre en mellemstor virksomhed i henhold til artikel 2, i bilaget til henstilling 2003/361/EF, eller for ikke at overskride tærsklerne for en mellemstor virksomhed fastsat i nævnte henstilling, hvis den pågældende enhed i betragtning af dens grad af uafhængighed ikke ville være blevet anset for at udgøre en mellemstor virksomhed eller overskride tærsklerne, hvis kun enhedens egne data var blevet taget i betragtning. Dette vil således medføre, at enheden ikke er omfattet af lovens anvendelsesområde.

Der er desuden visse typer af enheder, som vil være omfattet af direktivet uanset størrelse.

Det følger således af NIS 2-direktivets artikel 2, stk. 2, at direktivet finder anvendelse på enheder omhandlet i direktivets bilag I eller II, uanset enhedernes størrelse, hvor: a) tjenester leveres af i) udbydere af offentlige elektroniske kommunikationsnet eller af offentligt tilgængelige elektroniske kommunikationstjenester, ii) tillidstjenesteudbydere eller iii) topdomænenavneadministratorer og udbydere af domænenavnesystemer, b) enheden er den eneste udbyder i en medlemsstat af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, c) en forstyrrelse af den tjeneste, enheden leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden, d) en forstyrrelse af den tjeneste, enheden leverer, vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer, hvor en sådan forstyrrelse kan have en grænseoverskridende virkning, e) enheden er kritisk på grund af sin specifikke betydning på nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i medlemsstaten og f) enheden er en offentlig forvaltningsenhed i) under den centrale forvaltning som defineret af en medlemsstat i overensstemmelse med national ret eller ii) på regionalt plan som defineret af en medlemsstat i overensstemmelse med national ret, som efter en risikobaseret vurdering leverer tjenester, hvis forstyrrelse vil kunne have væsentlig indvirkning på kritiske samfundsmæssige eller økonomiske aktiviteter.

Vedrørende afgrænsningen af offentlig forvaltningsenhed under den centrale forvaltning som defineret af en medlemsstat i overensstemmelse med national ret, jf. den nævnte litra f, 1) ovenfor, bemærkes, at det følger af NIS 2-direktivets artikel 6, nr. 35, at en offentlig forvaltningsenhed er en enhed, der er anerkendt som sådan i en medlemsstat i overensstemmelse med national ret, med undtagelse af retsvæsenet, parlamenter og centralbanker, som a) er oprettet med henblik på at opfylde almennyttige formål og ikke har industriel eller kommerciel karakter, b) har status som juridisk person, eller ved lov er berettiget til at handle på vegne af en anden enhed med status som juridisk person, c) overvejende finansieres af staten, regionale myndigheder eller af andre offentligretlige organer, er underlagt ledelsesmæssig kontrol af disse myndigheder eller organer, eller har et administrations-, ledelses- eller tilsynsorgan, hvor mere end halvdelen af medlemmerne udpeges af staten, regionale myndigheder eller andre offentligretlige organer og d) har beføjelse til at rette administrative eller lovgivningsmæssige afgørelser til fysiske eller juridiske personer, der påvirker deres rettigheder i forbindelse med grænseoverskridende bevægelighed for personer, varer, tjenester eller kapital.

De fire kriterier i a-d er kumulative, mens kriterie c indeholder tre alternative betingelser, hvoraf mindst én skal være opfyldt.

Det følger som nævnt ovenfor af NIS 2-direktivets artikel 2, litra f, i), at omfattet af direktivet er enheder, som er en offentlig forvaltningsenhed under den centrale forvaltning som defineret i overensstemmelse med national ret.

Offentlige forvaltningsmyndigheder under den centrale forvaltning er ikke et fast defineret begreb i dansk forvaltningsret. Det bemærkes dog, at bl.a. forvaltningsloven, offentlighedsloven, retssikkerhedsloven og ombudsmandsloven anvender begrebet ”den offentlige forvaltning”.

Efter disse fire tværgående forvaltningslove er det afgørende for, om lovene finder anvendelse på det pågældende organ, om organet kan karakteriseres som en forvaltningsmyndighed i organisatorisk og formel forstand. Væsentlige kriterier vil i denne forbindelse være, jf. Niels Fenger, Forvaltningsret (2018), 1. udgave, s. 113: 1) om organet er oprettet ved lov eller på privat initiativ, 2) om organet er placeret i et over-/underordnelsesforhold til en forvaltningsmyndighed, 3) om organets drift finansieres ved offentlig bevilling eller private midler og 4) om der ved lov er fastsat regler med hensyn til anvendelse af bevilgede midler.

I særlige tilfælde, hvor anvendelse af ovenstående organisatoriske kriterier giver anledning til tvivl om organets karakter som en forvaltningsmyndighed, kan der desuden tages hensyn til, om organet udøver offentligretlige funktioner. Organets eventuelle benævnelse som ”råd”, ”institut” eller lignende vil derimod ikke være afgørende for, om det omfattes af begrebet den offentlige forvaltning og de fire love, jf. Niels Fenger, Forvaltningsret (2018), 1. udgave, s. 113.

Uden for den forvaltningsretlige definition af ”den offentlige forvaltning” falder bl.a. Folketinget og visse organer med organisatorisk tilknytning til Folketinget, Rigsrevisionen, Folketingets Ombudsmand, domstolene, udenlandske myndigheder og internationale organisationer. Institutioner, foreninger og selskaber mv. oprettet på privatretligt grundlag vil ligeledes som det klare udgangspunkt ikke være omfattet af begrebet ”den offentlige forvaltning”. Statslige (og kommunale) institutioner, der er organiseret i selskabsform, vil heller ikke umiddelbart være en del af den offentlige forvaltning, jf. Niels Fenger, Forvaltningsret (2018), 1. udgave, s. 113 f.

Ved den centrale forvaltning forstås herefter organer på statsligt niveau, der opfylder ovenstående afgrænsninger.

Omfattet af lovens anvendelsesområde vil være enheder, som er statslige myndigheder, og som opfylder betingelserne for at blive anset som offentlige forvaltningsenheder. Dette betyder, at f.eks. departementer, styrelser og institutioner som f.eks. Udbetaling Danmark må anses som omfattet af loven. Det bemærkes i den forbindelse, at Udbetaling Danmark har organisatorisk tilknytning til Beskæftigelsesministeriet, træffer afgørelser i forhold til borgere og virksomheder, er oprettet ved lov og omfattet af forvaltningsloven.

Derimod vil en række uddannelses- og kulturinstitutioner næppe være tilstrækkeligt myndighedsudøvende til at udgøre offentlige forvaltningsenheder, jf. afgrænsningen ovenfor, idet de ikke vil opfylde kravet i NIS 2-direktivets artikel 6, nr. 35, litra c, eller er uden statslig organisatorisk placering. Heller ikke a-kasser vil være omfattet, idet de ikke er en del af den offentlige forvaltning og derfor deres virksomhed ikke er omfattet af forvaltningsloven.

Efter NIS 2-direktivets artikel 2, stk. 3, finder direktivet anvendelse på enheder uanset deres størrelse, der er identificeret som kritiske enheder i henhold til Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (CER-direktivet).

Efter NIS 2-direktivets artikel 2, stk. 4, finder direktivet anvendelse på enheder uanset deres størrelse, der leverer domænenavnsregistreringstjenester.

Det følger af NIS 2-direktivets artikel 2, stk. 7, at direktivet ikke finder anvendelse på offentlige forvaltningsenheder, der udfører deres aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger.

Det bemærkes, at det bl.a. fremgår af NIS 2-direktivets præambelbetragtning nr. 8, at, »udelukkelsen af offentlige forvaltningsenheder fra dette direktivs anvendelsesområde bør gælde for enheder, hvis aktiviteter hovedsagelig udføres inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger. Offentlige forvaltningsenheder, hvis aktiviteter kun er marginalt forbundet med disse områder, bør dog ikke udelukkes fra dette direktivs anvendelsesområde. Med henblik på dette direktiv anses enheder med reguleringsbeføjelser ikke for at udføre aktiviteter inden for retshåndhævelse, og de er derfor ikke på dette grundlag udelukket fra dette direktivs anvendelsesområde. Offentlige forvaltningsenheder, der er etableret i fællesskab med et tredjeland i overensstemmelse med en international aftale, er udelukket fra dette direktivs anvendelsesområde. Dette direktiv finder ikke anvendelse på medlemsstaternes diplomatiske og konsulære missioner i tredjelande eller på deres net- og informationssystemer, for så vidt sådanne systemer befinder sig i missionens lokaler eller drives for brugere i et tredjeland.«

Efter NIS 2-direktivets artikel 2, stk. 9, finder artikel 2, stk. 7 og 8, ikke anvendelse, hvor en enhed fungerer som tillidstjenesteudbyder.

Det vil efter den foreslåede bestemmelse i stk. 1 være enhedernes ansvar at vurdere, om de er omfattet af lovens anvendelsesområde, idet enheder, der er omfattet af anvendelsesområdet i artikel 2 i NIS 2-direktivet, vil være umiddelbart omfattet af lovens anvendelsesområde. Enheder vil i overensstemmelse med forvaltningslovens § 7 i fornødent omfang kunne få vejledning og bistand fra de kompetente myndigheder.

I en situation, hvor en enhed fejlagtigt måtte vurdere, at denne er eller ikke er omfattet af lovens anvendelsesområde, vil de kompetente myndigheder kunne træffe afgørelse om, hvorvidt enheden er omfattet af lovens anvendelsesområde. Det bemærkes i den forbindelse, at en kompetent myndighed i medfør af de foreslåede bestemmelser i § 21, stk. 1, nr. 6, og § 24, stk. 1, nr. 5, kan kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af, om et forhold er omfattet af loven eller regler udstedt i medfør af loven. Sådanne oplysninger kan eksempelvis være oplysninger, der er nødvendige for at vurdere, om forhold falder ind under loven eller regler, der er udstedt i medfør af denne lov.

Det følger af det foreslåede stk. 2, at loven ikke anvendelse på enheder i det omfang, de er omfattet af lov om styrket beredskab i energisektoren. Loven finder ikke anvendelse på enheder i det omfang, de er omfattet af lov om sikkerhed og beredskab i telesektoren, jf. dog § 1, stk. 2, i denne lov. Loven finder endvidere ikke anvendelse for enheder, der er udpeget i medfør af § 333, stk. 1, i lov om finansiel virksomhed.

I det omfang kommuner og regioner måtte udbyde offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester, vil de imidlertid være omfattet af nærværende lov, uanset at sådanne udbydere i øvrigt er omfattet af det samtidigt fremsatte forslag til lov om sikkerhed og beredskab i telesektoren.

Det følger af det foreslåede stk. 3, at loven ikke finder anvendelse på enheder, hvor sektorspecifikke EU-retsakter og eventuel national gennemførelse heraf har mindst samme virkning som bestemmelserne i §§ 6, 12, 13 og 15.

Bestemmelsen vil gennemføre NIS 2-direktivets artikel 4, stk. 1, hvoraf det følger, at i tilfælde, hvor sektorspecifikke EU-retsakter kræver, at væsentlige eller vigtige enheder træffer foranstaltninger til styring af cybersikkerhedsrisici eller underretter om væsentlige hændelser, og hvor disse krav har en virkning, der mindst svarer til de forpligtelser, der er fastsat i NIS 2- direktivet, finder de relevante bestemmelser i direktivet, herunder bestemmelserne om tilsyn og håndhævelse, der er fastsat i direktivets kapitel VII, ikke anvendelse på sådanne enheder. I tilfælde, hvor sektorspecifikke EU-retsakter ikke omfatter alle enheder i en specifik sektor, der er omfattet af direktivets anvendelsesområde, finder de relevante bestemmelser i direktivet fortsat anvendelse på de enheder, der ikke er omfattet af de nævnte sektorspecifikke EU-retsakter.

I overensstemmelse med direktivets artikel 4, stk. 2, vil der under vurderingen af, om sektorspecifikke EU-retsakter og eventuel national gennemførelse heraf har mindst samme virkning som bestemmelserne i §§ 6, 12, 13 og 15, skulle lægges vægt på om a) foranstaltningerne til styring af cybersikkerhedsrisici har mindst samme virkning som dem, der er fastsat i direktivets artikel 21, stk. 1 og 2, eller b) den sektorspecifikke EU-retsakt giver CSIRT’erne, de kompetente myndigheder eller de centrale kontaktpunkter i henhold til NIS 2-direktivet øjeblikkelig, hvor relevant automatisk og direkte, adgang til underretninger om hændelser, og hvor kravene om at give underretning om væsentlige hændelser mindst har samme virkning som kravene fastsat i direktivets artikel 23, stk. 1-6.

Det bemærkes, at Europa-Kommissionen ved meddelelse af 18. september 2023 har fastsat nærmere retningslinjer for anvendelsen af artikel 4, stk. 1 og 2, i NIS 2-direktivet. Der henvises til EU-tidende 2023, L nr. 328, side 2. Anvendelse af den foreslåede bestemmelse forudsættes at ske i overensstemmelse med disse retningslinjer.

I tilfælde, hvor en enhed indgår i flere sektorer i lovens bilag, og det alene er den ene sektor, hvor der er udstedt sektorspecifikke EU-retsakter, og den nationale gennemførelse heraf har mindst samme virkning som bestemmelserne i §§ 6, 12, 13 og 15, vil enhedens aktiviteter i de øvrige sektorer ikke kunne undtages fra denne lovs bestemmelser.

Det følger af det foreslåede stk. 4, at vedkommende minister inden for sit område kan træffe afgørelse om at undtage specifikke enheder, såfremt enhederne udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, eller som udelukkende leverer tjenester til offentlige forvaltningsenheder, der udfører disse aktiviteter, fra forpligtelserne i §§ 6, 8, 12, 13, 15 og 16 for så vidt angår disse aktiviteter eller tjenester. Hvis enhederne udelukkende udfører aktiviteter eller leverer tjenester af den type, der er omhandlet i dette stykke, kan vedkommende minister endvidere træffe afgørelse om at fritage disse enheder for forpligtelserne i medfør af §§ 9 og 10.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 2, stk. 8, som fastsætter, at medlemsstaterne kan undtage specifikke enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, eller som udelukkende leverer tjenester til de offentlige forvaltningsenheder, der er omhandlet i artikel 2, stk. 7, fra forpligtelserne i artikel 21 (foranstaltninger til styring af cybersikkerheden) eller 23 (rapporteringsforpligtelser) for så vidt angår disse aktiviteter eller tjenester. I så fald finder de i direktivets kapitel VII omhandlede tilsyns- og håndhævelsesforanstaltninger ikke anvendelse i forbindelse med disse specifikke aktiviteter eller tjenester. Hvor enhederne udelukkende udfører aktiviteter eller leverer tjenester af den type, der er omhandlet i dette stykke, kan medlemsstater beslutte også at fritage disse enheder for forpligtelserne i artikel 3 og 27 (registreringsforpligtelser).

Efter bestemmelsen vil specifikke enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, kunne undtages fra forpligtelserne i de foreslåede § 6 (foranstaltninger til styring af cybersikkerheden) og § 8, 12, 13, 15 og 16 (oplysnings- og underretningspligter).

Bestemmelsen tager sigte på enheder, der ikke allerede er udelukket fra lovens anvendelsesområde, jf. den foreslåede bestemmelse i § 1, stk. 1, jf. NIS 2-direktivets artikel 2, stk. 7, som undtager offentlige forvaltningsenheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger. Der vil således typisk være tale om private virksomheder, der selvstændigt udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse. I Danmark er der ikke generelt tradition for, at private virksomheder selvstændigt udfører aktiviteter inden for national sikkerhed mv., og derfor vil 1. pkt. i praksis have et begrænset anvendelsesområde.

Bestemmelsen vil også omfatte enheder, der udelukkende leverer tjenester til offentlige forvaltningsenheder, som udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, der derfor vil kunne undtages fra forpligtelserne i §§ 6 (foranstaltninger til styring af cybersikkerheden) og §§ 8, 12, 13, 15 og 16 (oplysnings- og underretningspligter).

At en enhed »udelukkende leverer tjenester« til forvaltningsenheder, der udfører ovenfor nævnte aktiviteter, indebærer i overensstemmelse med præambelbetragtning nr. 9, at tjenester, som enheden leverer, eksklusivt skal leveres til offentlige forvaltningsenheder, der udfører disse aktiviteter. Såfremt en enhed både leverer tjenester til offentlige forvaltningsenheder, der udfører de nævnte aktiviteter, og til andre aktører, eksempelvis private virksomheder eller offentlige forvaltningsenheder, der ikke udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, vil enheden således ikke kunne undtages fra forpligtelserne i §§ 6, 8, 12, 13, 15 og 16 for så vidt angår disse tjenester.

Efter bestemmelsen vil vedkommende minister endvidere kunne træffe afgørelse om at undtage en specifik enhed fra registreringsforpligtelserne i de foreslåede §§ 9 og 10, såfremt enheden alene udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, herunder forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, eller som udelukkende leverer tjenester til offentlige forvaltningsenheder, der udfører de ovenfor nævnte aktiviteter.

Det forudsættes, at de relevante kompetente myndigheder og CSIRT’en underrettes om en ministers afgørelse om at undtage en specifik enhed i medfør af den foreslåede bestemmelse.

Det følger af det foreslåede stk. 5, at der ikke kan fastsættes regler efter stk. 4, hvor en enhed fungerer som tillidstjenesteudbyder.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 2, stk. 9. Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 2, stk. 9, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Ved en tillidstjenesteudbyder forstås en fysisk eller juridisk person, der udbyder en eller flere tillidstjenester, som enten en kvalificeret eller ikkekvalificeret tillidstjenesteudbyder, jf. 3, nr. 19 i Europa-Parlamentets og Rådets forordning (eu) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF.

Det følger af det foreslåede stk. 6, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab kan fastsætte regler om, at loven helt eller delvist også finder anvendelse på henholdsvis offentlige forvaltningsenheder på lokalt plan og uddannelsesinstitutioner.

Bestemmelsen skal læses i lyset af NIS 2-direktivets artikel 2, stk. 5, hvorefter medlemsstaterne kan fastsætte, at direktivet finder anvendelse på: a) forvaltningsenheder på lokalt plan og b) uddannelsesinstitutioner, navnlig hvor de udfører kritiske forskningsaktiviteter.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at forvaltningsenheder på lokalt plan i Danmark hovedsageligt skal forstås som kommuner og lokale folkekirkelige myndigheder, dvs. menighedsråd og provstiudvalg.

For så vidt angår uddannelsesinstitutioner forventes det primært at være aktuelt at sætte reglerne i kraft for universiteter omfattet af universitetsloven, jf. lovbekendtgørelse 391 af 10. april 2024, bl.a. henset til universiteternes udførelse af kritiske forskningsaktiviteter. Det kan dog ikke udelukkes, at loven også vil blive sat i kraft for andre videregående uddannelsesinstitutioner, bl.a. hvis disse vurderes at udføre kritiske forskningsaktiviteter.

Det bemærkes, at en offentlig forvaltningsenhed på lokalt plan eller en uddannelsesinstitution efter omstændighederne kan være omfattet af lovens anvendelsesområde, selvom bemyndigelsen i det foreslåede stk. 6 ikke er udnyttet. Dette vil eksempelvis være tilfældet i en situation, hvor en kommune agerer som sundhedstjenesteyder i overensstemmelse med lovens bilag 1 eller 2. I denne situation vil kommunen være omfattet af lovens anvendelsesområde på baggrund af disse aktiviteter, også selvom bemyndigelsen i det foreslåede stk. 6 ikke er udnyttet. I sådanne tilfælde vil eksempelvis en kommune og en uddannelsesinstitution som en helhed være omfattet af lovens krav. Der henvises i den forbindelse til lovforslagets pkt. 3.1.3, hvoraf det bl.a. fremgår, at i tilfælde, hvor en enhed leverer flere forskellige typer af net- og informationssystemer, og hvor kun nogle af disse systemer er omfattet af lovens bilag, vil samtlige af de net- og informationssystemer, som enheden anvender til sine operationer, eller til at levere sine tjenester, blive underlagt direktivets krav.

Den foreslåede bestemmelse i stk. 6 vil således alene være relevant, hvis man måtte ønske at omfatte offentlige forvaltningsenheder på lokalt plan eller uddannelsesinstitutioner, der ikke allerede er omfattet af direktivets anvendelsesområde.

For at sikre ensartethed blandt sektorerne, er det Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at sådanne regler bør fastsættes efter forhandling med ministeren for samfundssikkerhed og beredskab.

Der henvises i øvrigt til lovforslagets pkt. 3.1.