NIS 2-loven § 12

Det følger af artikel 14, stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS 1-direktivet), at medlemsstaterne sikrer, at operatører af væsentlige tjenester hurtigst muligt foretager en underretning til den kompetente myndighed eller CSIRT af hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Underretningerne skal indeholde oplysninger, der gør det muligt for den kompetente myndighed eller CSIRT at fastslå eventuelle grænseoverskridende konsekvenser af hændelsen. Underretning gør ikke den underrettende part til genstand for et øget ansvar.

Efter NIS 1-direktivets artikel 14, stk. 4, skal der med henblik på at fastlægge omfanget af en hændelses konsekvenser navnlig tages følgende kriterier i betragtning: a) antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste, b) hændelsens varighed og c) den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.

Det følger derudover af NIS 1-direktivets artikel 16, stk. 3, at medlemsstaterne sikrer, at udbydere af digitale tjenester hurtigst muligt foretager en underretning til den kompetente myndighed eller CSIRT af enhver hændelse, der har betydelige konsekvenser for leveringen af en tjeneste som omhandlet i bilag III, som de udbyder i Unionen. Underretninger skal indeholde oplysninger, der gør det muligt for den kompetente myndighed eller CSIRT at fastslå betydningen af eventuelle grænseoverskridende konsekvenser. Underretningen gør ikke den underrettende part genstand for et øget ansvar.

Af NIS 1-direktivets bilag III fremgår følgende tjenester: Onlinemarkedspladser, onlinesøgemaskiner og cloud computing-tjenester.

NIS 1-direktivet blev i dansk ret gennemført sektorvist i regulering gældende for de specifikke sektorer, hvor direktivet finder anvendelse. Der henvises til afsnit 2.4 i lovforslagets almindelige bemærkninger.

Det følger af det foreslåede stk. 1, at væsentlige og vigtige enheder skal underrette den relevante kompetente myndighed og Computer Security Incident Response Team (CSIRT) om enhver væsentlig hændelse. En underretning skal indeholde oplysninger, der gør det muligt at fastslå eventuelle grænseoverskridende virkninger af hændelsen.

Den foreslåede bestemmelse vil gennemføre artikel 23, stk. 1, i NIS 2-direktivet.

Det følger bl.a. af NIS 2-direktivets artikel 23, stk. 1, at hver medlemsstat sikrer, at væsentlige og vigtige enheder uden unødigt ophold underretter dens CSIRT eller i givet fald dens kompetente myndighed om enhver hændelse, der har en væsentlig indvirkning på leveringen af deres tjenester. Hver medlemsstat sikrer, at enhederne indberetter alle oplysninger, der gør det muligt for CSIRT’en eller den kompetente myndighed at fastslå eventuelle grænseoverskridende virkninger af hændelsen.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 23, stk. 1, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse indebærer, at væsentlige og vigtige enheder skal underrette både den relevante kompetente myndighed og CSIRT’en i tilfælde af hændelser, der har en væsentlig indvirkning på levering af deres tjenester. Dermed sikres det, at både den relevante kompetente myndighed og CSIRT’en hurtigt og effektivt vil kunne varetage sine myndighedsopgaver. Med den relevante kompetente myndighed forstås den, som i medfør af den foreslåede § 20 er udpeget som kompetent myndighed for en given sektor eller delsektor. Såfremt enheden leverer tjenester i flere sektorer, som påvirkes af hændelsen, skal enheden underrette de kompetente myndigheder i de pågældende sektorer. Det forudsættes, at underretningerne af de forskellige relevante myndigheder vil skulle foretages via en fælles digital indgang, såsom Virk.dk. Dette vil sikre, at de berørte enheder alene skal foretage én samlet underretning, som fordeles samtidigt til de relevante myndigheder.

I overensstemmelse med præambelbetragtning nr. 83 vil den foreslåede forpligtelse til at foretage underretning ved hændelser finde anvendelse på de væsentlige og vigtige enheder, uanset om disse enheder selv vedligeholder deres net- og informationssystemer eller outsourcer vedligeholdelsen deraf. Såfremt der måtte ske en hændelse i et net- og informationssystem, som eksempelvis er outsourcet, vil det derfor fortsat være den væsentlige eller vigtige enheds ansvar, at der sker underretning i fornødent omfang.

De nærmere oplysninger, der skal indgives i medfør af den foreslåede bestemmelse, fremgår af den foreslåede bestemmelse i § 13, stk. 1.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der vil være tale om en oplysningspligt omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer bl.a., at kapitel 4 (om retten til ikke at inkriminere sig selv mv.) vil gælde i tilfælde, hvor der måtte være en konkret mistanke om, at en enhed har begået en overtrædelse af lovgivningen, der kan medføre straf. Der henvises i øvrigt til kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter og bemærkningerne hertil. Der henvises til Folketingstidende 2003-04, tillæg A, side 3075-3078 og side 3096-3099.

Såfremt en væsentlig hændelse, der underrettes om i medfør af bestemmelsen, måtte have grænseoverskridende virkning, vil CSIRT’en i overensstemmelse med forudsætningen i NIS 2-direktivets artikel 23, stk. 6, via det centrale kontaktpunkt uden unødigt ophold skulle underrette de øvrige berørte medlemsstater og ENISA om den væsentlige hændelse, navnlig hvor den væsentlige hændelse berører to eller flere medlemsstater. Efter samme bestemmelse vil en sådan information omfatte den type af oplysninger, der er modtaget i overensstemmelse med artikel 23, stk. 4, og CSIRT’en vil i den forbindelse – i overensstemmelse med EU-retten eller national ret – sikre enhedens sikkerhed og kommercielle interesser samt fortrolig behandling af de afgivne oplysninger.

Det følger af det foreslåede stk. 2, at en hændelse anses for at være væsentlig, hvis 1) den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed, eller 2) den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikke fysisk skade.

Det følger af den foreslåede bestemmelse i nr. 1, at en hændelse anses for at være væsentlig, hvis den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af net eller tjenester eller økonomiske tab for den berørte udbyder.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 23, stk. 3.

Med alvorlige driftsforstyrrelser forstås en hændelse, som kompromitterer tjenesterne fortroligled, integritet, autenticitet og/eller tilgængelighed.

Med økonomiske tab forstås betydelige tab og/eller omkostninger som følge af hændelse. Tab eller udbredelse af intellektuel ejendom, der kan bringe enhedens fremtidige indtægt eller omsætning i fare, medregnes ligeledes som økonomisk tab.

Det fremgår af præambelbetragtning nr. 101, at direktivet bør omfatte underretning om hændelser, som ud fra en indledende vurdering foretaget af den berørte enhed kunne forårsage alvorlige driftsmæssige forstyrrelser af tjenesterne.

Det følger af den foreslåede nr. 2, at en hændelse anses for at være væsentlig, hvis den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikke fysisk skade.

Den foreslåede bestemmelse svarer med en enkelt sproglig justering uden indholdsmæssig betydning til NIS 2-direktivets artikel 23, stk. 3, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det fremgår af præambelbetragtning nr. 101, at direktivet bør omfatte underretning om hændelser, som ud fra en indledende vurdering foretaget af den berørte enhed kunne forårsage alvorlige driftsmæssige forstyrrelser af tjenesterne eller økonomiske tab for denne enhed eller forvolde betydelig materiel eller immateriel skade for andre fysiske eller juridiske personer. En sådan indledende vurdering bør bl.a. tage i betragtning de berørte net- og informationssystemer, navnlig deres betydning for leveringen af enhedens tjenester, alvoren og de tekniske karakteristika af en cybertrussel, eventuelle underliggende sårbarheder, der udnyttes, samt enhedens erfaring med tilsvarende hændelser. Indikatorer såsom graden af påvirkning af tjenestens funktionsdygtighed, varigheden af en hændelse eller antallet af berørte tjenestemodtagere vil kunne spille en vigtig rolle med hensyn til at fastslå, om den driftsmæssige forstyrrelse af tjenesten er alvorlig.

En hændelse anses altid for væsentlig, hvis den forårsager hel eller delvis ødelæggelse af kritiske tredje parts fysiske eller digitale aktiver. Ligeledes anses en hændelse altid for at være væsentlig, hvis den forårsager død, eller skader der kræver hospitalsindlæggelse eller behandling.

Det følger af det foreslåede stk. 3, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om, hvornår en hændelse anses for at være væsentlig.

Henset til kriteriernes generelle udformning finder Ministeriet for Samfundssikkerhed det hensigtsmæssigt, at der gives mulighed for, at der sektorvist kan fastsættes nærmere regler om, hvornår en hændelse anses for at være væsentlig. De kompetente myndigheder vil herefter i særlige tilfælde kunne fastsætte nærmere regler om væsentlige hændelser inden for deres respektive sektor, som tager de fornødne hensyn. Med henblik på at sikre, at der ikke fastsættes indbyrdes modsatrettede regler, vil en ressortministers eventuelle fastsættelse af regler om væsentlige hændelser inden for sektoren skulle ske efter forhandling med ministeren for samfundssikkerhed og beredskab. Dette skal også ses som led i Ministeriet for Samfundssikkerheds koordinerende rolle, hvor ministeriet skal sikre en tæt koordination og samarbejde mellem tilsynsmyndighederne, herunder i forhold til tilsyn og håndhævelse.

Den foreslåede bestemmelse har således til formål at give den relevante ressortminister mulighed for efter behov at præcisere, under hvilke omstændigheder der skal foretages en underretning. Der vil eksempelvis kunne fastsættes kvantitative eller i øvrigt mere objektivt konstaterbare kriterier, der anses for nødvendige for den pågældende sektor. De regler, der kan fastsættes i medfør af det foreslåede stk. 3, vil således i givet fald præcisere den foreslåede bestemmelse i stk. 2, såfremt sektorspecifikke forhold tilsiger det.

Reguleringen i sektorvise bekendtgørelser vil muliggøre, at der kan tages højde for de særlige hensyn, der måtte gøre sig gældende i de enkelte sektorer. Samtidigt foreslås det, at bekendtgørelserne udstedes efter forhandling med ministeren for samfundssikkerhed og beredskab, således, at der – med respekt for de sektorvise forhold – i videst muligt omfang sikres ensartethed.

Det bemærkes, at Europa-Kommissionens gennemførelsesforordning (EU) 2024/2690 fastsætter de tekniske og metodologiske krav til de foranstaltninger, der er omhandlet i NIS 2-direktivets artikel 23, stk. 3, for så vidt angår DNS-tjenesteudbydere, topdomænenavneadministratorer og udbydere af cloudcomputingtjenester, at datacentertjenester, af indholdsleveringsnetværk, af administrerede tjenester, af administrerede sikkerhedstjenester, af on-linmarkedspladser af onlinesøgemaskiner og af platforme for sociale netværkstjenester og af tillidstjenester.

Europa-Kommissionen kan også vedtage sådanne gennemførelsesretsakter for så vidt angår andre væsentlige og vigtige enheder.

Det følger desuden af NIS 2-direktivets artikel 23, stk. 11, at Europa-Kommissionen kan vedtage gennemførelsesretsakter, der yderligere præciserer typen af oplysninger, formatet og proceduren for en underretning indgivet i henhold til artikel 23, stk. 1, om underretning af myndighederne om hændelser.

Det vil til enhver tid skulle sikres, at bekendtgørelser, der er udstedt i medfør af det foreslåede stk. 3, harmonerer med eventuelle gennemførelsesretsakter fra Europa-Kommissionen. Såfremt der måtte være udstedt bekendtgørelser på et tidspunkt, hvor Europa-Kommissionen vedtager gennemførelsesretsakter, vil disse bekendtgørelser i relevant omfang skulle tilpasses eller efter omstændighederne ophæves.

Der henvises i øvrigt til pkt. 3.3 i lovforslagets almindelige bemærkninger.