NIS 2-loven § 13

Det følger af artikel 14, stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS 1-direktivet), at medlemsstaterne sikrer, at operatører af væsentlige tjenester hurtigst muligt foretager en underretning til den kompetente myndighed eller CSIRT af hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer. Underretningerne skal indeholde oplysninger, der gør det muligt for den kompetente myndighed eller CSIRT at fastslå eventuelle grænseoverskridende konsekvenser af hændelsen. Underretning gør ikke den underrettende part til genstand for et øget ansvar.

Efter NIS 1-direktivets artikel 14, stk. 4, skal der med henblik på at fastlægge omfanget af en hændelses konsekvenser navnlig tages følgende kriterier i betragtning: a) antallet af brugere, der berøres af afbrydelsen af den væsentlige tjeneste, b) hændelsens varighed og c) den geografiske udbredelse med hensyn til det område, der er berørt af hændelsen.

Det følger af NIS 1-direktivets artikel 14, stk. 5, 2. led, at hvis omstændighederne tillader det, leverer den kompetente myndighed eller CSIRT relevante oplysninger til den underrettende operatør af væsentlige tjenester vedrørende opfølgningen af dennes underretning, som f.eks. oplysninger, der kan støtte en effektiv håndtering af hændelsen.

Det følger desuden af NIS 1-direktivets artikel 16, stk. 3, at medlemsstaterne sikrer, at udbydere af digitale tjenester hurtigst muligt foretager en underretning til den kompetente myndighed eller CSIRT af enhver hændelse, der har betydelige konsekvenser for leveringen af en tjeneste som omhandlet i bilag III, som de udbyder i Unionen. Underretninger skal indeholde oplysninger, der gør det muligt for den kompetente myndighed eller CSIRT at fastslå betydningen af eventuelle grænseoverskridende konsekvenser. Underretningen gør ikke den underrettende part genstand for et øget ansvar.

NIS 1-direktivet blev i dansk ret gennemført sektorvist i regulering gældende for de specifikke sektorer, hvor direktivet finder anvendelse. For en nærmere gennemgang af den sektorvise implementering af NIS 1-direktivet henvises til afsnit 2.4 i lovforslagets almindelige bemærkninger.

Der følger af den foreslåede § 13, stk. 1, at underretning efter § 12, stk. 1, skal ske på følgende måde: 1) en tidlig varsling, som skal angive, om den væsentlige hændelse mistænkes at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning, sendes uden unødigt ophold og under alle omstændigheder inden for 24 timer efter, at enheden har fået kendskab til den væsentlige hændelse, 2) en hændelsesunderretning, som skal ajourføre oplysningerne fra den tidlige varsling, jf. nr. 1, og give en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger, sendes uden unødigt ophold og under alle omstændigheder inden for 72 timer efter, at enheden har fået kendskab til den væsentlige hændelse, jf. dog stk. 2, 3) en foreløbig rapport med relevante statusopdateringer sendes efter anmodning fra CSIRT’en, 4) en endelig rapport sendes senest en måned efter fremsendelsen af den hændelsesunderretning, der er omhandlet i nr. 2. Rapporten skal indeholde følgende: a) en detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning, b) den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen, c) anvendte og igangværende afbødende foranstaltninger og d) de eventuelle grænseoverskridende virkninger af hændelsen, og 5) såfremt hændelsen fortsat pågår på tidspunktet for fremsendelsen af den endelige rapport, jf. nr. 4, skal den berørte enhed forelægge en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter, at hændelsen er håndteret.

Bestemmelsen vil gennemføre artikel 23, stk. 4, i NIS 2-direktivet.

Artikel 23, stk. 4, fastsætter, at medlemsstaterne sikrer, at de berørte enheder med henblik på den i artikel 23, stk. 1, omhandlede underretning fremsender følgende til CSIRT’en eller i givet fald den kompetente myndighed: a) uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at have fået kendskab til den væsentlige hændelse en tidlig varsling, som i givet fald skal angive, om den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning, b) uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at have fået kendskab til den væsentlige hændelse, en hændelsesunderretning, som i givet fald skal ajourføre de oplysninger, der er omhandlet under litra a, og give en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger, c) efter anmodning fra en CSIRT eller den kompetente myndighed en foreløbig rapport om relevante statusopdateringer, d) en endelig rapport senest en måned efter forelæggelsen af den i litra b omhandlede hændelsesunderretning, der skal omfatte følgende: i) En detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning, ii) den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen, iii) anvendte og igangværende afbødende foranstaltninger og iv) i givet fald de grænseoverskridende virkninger af hændelsen og e) i tilfælde af at en hændelse pågår på tidspunktet for indgivelsen af den i litra d, omhandlede endelige rapport, sikrer medlemsstaterne, at berørte enheder forelægger en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter deres håndtering af hændelsen.

Den foreslåede bestemmelse svarer med enkelte sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 23, stk. 4, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Med den foreslåede bestemmelse fastlægges der en flertrinstilgang for underretninger om væsentlige hændelser.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der vil være tale om oplysningspligter omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter. Dette indebærer bl.a., at kapitel 4 (om retten til ikke at inkriminere sig selv mv.) vil gælde i tilfælde, hvor der måtte være en konkret mistanke om, at en enhed har begået en overtrædelse af lovgivningen, der kan medføre straf. Der henvises i øvrigt til kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter og bemærkningerne hertil. Der henvises til Folketingstidende 2003-04, tillæg A, side 3075-3078 og side 3096-3099.

I overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 102 vil det skulle sikres, at forpligtelsen til at indgive den tidlige varsling eller den efterfølgende hændelsesunderretning ikke medfører, at den underrettende enhed skal bruge færre ressourcer på aktiviteter vedrørende håndtering af hændelsen. Enhedens ressourcer bør således prioriteres, så det forhindres, at forpligtelser vedrørende hændelsesrapportering enten omdirigerer ressourcer fra håndtering af væsentlige hændelser eller på anden måde kompromitterer enhedens indsats i denne henseende.

Det forudsættes på denne baggrund, at det sikres, at underretningen kan ske på en så ressourcebesparende måde som muligt, eksempelvis ved at anvende én fælles digital løsning.

Det følger af det forslåede nr. 1, at en tidlig varsling skal angive, om den væsentlige hændelse mistænkes at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning, sendes uden unødigt ophold og senest inden for 24 timer efter, at enheden har fået kendskab til den væsentlige hændelse.

Den foreslåede bestemmelse indebærer, at væsentlige og vigtige enheder indledningsvist vil være forpligtet til at indgive en tidlig varsling uden unødigt ophold og under alle omstændigheder inden for 24 timer efter, at de bliver opmærksomme på en væsentlig hændelse.

I overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 102 vil den tidlige varsling alene skulle indeholde de oplysninger, der er nødvendige for at gøre CSIRT'en og den relevante kompetente myndighed opmærksom på den væsentlige hændelse og give enheden mulighed for om nødvendigt at anmode om assistance. En sådan tidlig varsling bør endvidere, hvis det er relevant, angive om den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger, og om den sandsynligvis vil have grænseoverskridende virkninger.

Det følger af det foreslåede nr. 2, at en hændelsesunderretning skal ajourføre oplysningerne fra den tidlige varsling, jf. nr. 1, og give en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger, sendes uden unødigt ophold og under alle omstændigheder inden for 72 timer efter, at enheden har fået kendskab til den væsentlige hændelse.

Den tidlige varsling efter det foreslåede nr. 1 vil således skulle efterfølges af en hændelsesunderretning, som bl.a. skal ajourføre oplysningerne fra den tidlige varsling. Denne hændelsesunderretning skal sendes uden unødigt ophold og senest inden for 72 timer efter, at en enhed har fået kendskab til den væsentlige hændelse.

Det følger af den foreslåede nr. 3, at en foreløbig rapport med relevante statusoplysninger sendes efter anmodning fra CSIRT’en.

Den foreslåede bestemmelse indebærer, at CSIRT’en på baggrund af hændelsesunderretningen kan anmode om den underrettende enhed om en foreløbig rapport med relevante statusopdateringer. Indholdet i den foreløbige rapport vil afhænge af hændelsens nærmere omstændigheder.

Den berørte enhed vil skulle sende en endelig rapport senest en måned efter forelæggelsen af hændelsesunderretningen efter den foreslåede § 13, stk. 1, nr. 2. I tilfælde af at hændelsen fortsat er igangværende på tidspunktet for indgivelsen af den endelige rapport, skal den berørte enhed forelægge en statusrapport for CSIRT’en og den relevante kompetente myndighed. Den endelige rapport vil i så fald skulle indgives senest en måned efter, at enheden har håndteret den væsentlige hændelse.

Det følger af det foreslåede nr. 4, at en endelig rapport sendes senest én måned efter fremsendelsen af den hændelsesunderretning, der er omhandlet i nr. 2.

Den foreslåede bestemmelse vil medføre, at en endelig rapport skal sendes til CSIRT’en senest én måned efter fremsendelsen af hændelsesunderretningen efter det foreslåede nr. 2.

Rapporten vil skulle indeholde en a) detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning, b) den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen, c) anvendte og igangværende afbødende foranstaltninger, og d) oplysninger om de eventuelle grænseoverskridende virkninger af hændelsen.

Det følger af det foreslåede nr. 5, at pågår hændelsen fortsat på tidspunktet for fremsendelsen af den endelige rapport, skal den underrettende enhed indsende en statusrapport på det pågældende tidspunkt og en endelig rapport senest én måned efter, at hændelsen er håndteret.

Den foreslåede bestemmelse vil indebære, at i tilfælde hvor en hændelse fortsat pågår på tidspunktet, hvor den endelige rapport efter det foreslåede nr. 4 skal foreligge, vil den underrettende enhed være forpligtet til at indsende en statusrapport på tidspunktet. Enheden vil endvidere være forpligtet tik at sende en endelig rapport senest én måned efter, at hændelsen er håndteret.

Det følger af det foreslåede stk. 2, at tillidstjenesteudbydere i tilfælde af væsentlige hændelser skal afgive underretningen efter stk. 1, nr. 2, uden unødigt ophold og senest inden for 24 timer efter at være blevet bekendt med den væsentlige hændelse.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 23, stk. 4, sidste pkt., som fastsætter, at tillidstjenesteudbydere for så vidt angår væsentlige hændelser, der har en virkning på leveringen af dens tillidstjeneste, skal underrette CSIRT’en eller i givet fald den kompetente myndighed uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at være blevet bekendt med den væsentlige hændelse.

Den foreslåede bestemmelse svarer med enkelte sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 23, stk. 4, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse indebærer, at tillidstjenesteudbydere skal indgive hændelsesunderretningen på et tidligere tidspunkt end den frist på maksimalt 72 timer, som gælder for andre typer af enheder.

Det følger af det foreslåede stk. 3, at CSIRT’en sikrer, at den underrettende enhed uden unødigt ophold og, hvor det er muligt, inden for 24 timer efter modtagelsen af den tidlige varsling, jf. stk. 1, nr. 1, gives et svar, herunder indledende tilbagemeldinger om den væsentlige hændelse. Efter anmodning fra enheden skal CSIRT’en desuden yde vejledning, operativ rådgivning om gennemførelsen af mulige afbødende foranstaltninger og supplerende teknisk bistand.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 23, stk. 5, som bl.a. fastsætter, at CSIRT’en eller den kompetente myndighed uden unødigt ophold, og hvor det er muligt, inden for 24 timer efter modtagelsen af den i stk. 4, litra a, omhandlede tidlige varsling giver den underrettende enhed et svar, herunder indledende tilbagemeldinger om den væsentlige hændelse og, efter anmodning fra enheden, vejledning eller operativ rådgivning om gennemførelsen af mulige afbødende foranstaltninger. CSIRT’en yder supplerende teknisk bistand, hvis den berørte enhed anmoder herom. Hvor den væsentlige hændelse mistænkes for at være af strafferetlig karakter, giver CSIRT’en eller den kompetente myndighed også vejledning om underretning om den væsentlige hændelse til retshåndhævende myndigheder.

Den foreslåede bestemmelse svarer med enkelte sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 23, stk. 5, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse indeholder en forpligtelse for CSIRT’en til at sikre, at der hurtigt gives svar på de tidlige varslinger, som den modtager fra enhederne, og i denne forbindelse give indledende tilbagemeldinger om den væsentlige hændelse.

Svar og tilbagemeldinger vil kunne gives af CSIRT’en selv, en kompetent myndighed. Svar og tilbagemeldinger vil bl.a. kunne bestå i, at der gives vejledning om mulige afværgeforanstaltninger, om anden relevant viden, som CSIRT’en eller den myndighed, der afgiver svaret, er i besiddelse af, eller om anmeldelse til politiet, såfremt den væsentlige hændelse mistænkes for at udgøre en strafbar handling. Derimod er det ikke hensigten, at CSIRT’en eller den myndighed, som afgiver svaret, skal tilvejebringe oplysninger fra tredjemand.

Efter bestemmelsen vil CSIRT’en desuden efter anmodning fra enheden skulle yde vejledning, operativ rådgivning om gennemførelsen af mulige afbødende foranstaltninger eller supplerende teknisk bistand, jf. også den foreslåede § 17.

Det bemærkes i den forbindelse, at hvis en hændelse efterforskes som et strafbart forhold, vil der skulle tages højde for, at de opfølgende oplysninger ikke må vanskeliggøre eller forhindre efterforskningen.

Der henvises i øvrigt til lovforslagets pkt. 3.3.