NIS 2-loven § 14

Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS 1-direktivet), indeholder ikke nærmere regler om, at fysiske eller juridiske personer anonymt kan rapportere om sårbarheder til myndighederne.

Det følger af § 8, stk. 1, i lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, som ændret ved § 18 i lov nr. 1156 af 8. juni 2021, at myndigheder og virksomheder kan underrette Styrelsen for Samfundssikkerhed (tidligere Center for Cybersikkerhed) om hændelser, der negativt påvirker eller vurderes at ville kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale servicer.

Det følger af § 8, stk. 2, i lov om sikkerhed i net og tjenester, at underretninger efter stk. 1 er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

Det følger af det foreslåede stk. 1, at offentlige og private enheder uanset, at de ikke er omfattet af lovens anvendelsesområde, kan underrette CSIRT’en om hændelser, nærvedhændelser og cybertrusler.

Den foreslåede bestemmelse vil indebære en videreførelse med de fornødne tilpasninger af den gældende bestemmelse i § 8, stk. 1, i lov om sikkerhed i net og tjenester.

Bestemmelsen vil gennemføre artikel 30, stk. 1, i NIS 2-direktivet, som fastsætter en forpligtelse for medlemsstaterne til at sikre, at der ud over underretningsforpligtelsen i artikel 23 kan indgives underretninger til CSIRT’en eller i givet fald de kompetente myndigheder på frivillig basis af: a) væsentlige og vigtige enheder for så vidt angår hændelser, cybertrusler og nærvedhændelser og 2) enheder, udover dem der er omhandlet i litra a), uanset om de er omfattet af dette direktivs anvendelsesområde, for så vidt angår væsentlige hændelser, cybertrusler og nærvedhændelser.

Den foreslåede bestemmelse svarer indholdsmæssigt til bestemmelsen i NIS 2-direktivets artikel 30, stk. 1, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Underretning af CSIRT’en ved større sikkerhedshændelser skaber gode forudsætninger for, at CSIRT’en kan udnytte erfaringer med cybertrusler og sikkerhedsrisici på tværs af samfundet – og dermed skabe et samlet overblik over den aktuelle sikkerhedstilstand på den danske del af internettet. Underretninger sætter således CSIRT’en i stand til at varsle hurtigere om trusler og styrke grundlaget for rådgivningen om risici og passende sikkerhedstiltag.

Den foreslåede bestemmelse vil indebære, at alle offentlige og private enheder uanset, at de ikke er omfattet af lovens anvendelsesområde kan underrette CSIRT’en om hændelser, nærvedhændelser og cybertrusler.

Det følger af den foreslåede stk. 2, at CSIRT’en behandler underretninger efter stk. 1 på samme måde som underretninger modtaget i medfør af § 13. CSIRT’en kan prioritere håndteringen af underretninger, der er modtaget i medfør af § 13 fremfor underretninger efter stk. 1.

Bestemmelsen vil gennemføre artikel 30, stk. 2, i NIS 2-direktivet. Det følger af NIS 2-direktivets artikel 30, stk. 2, at medlemsstaterne behandler de i artiklens stk. 1 omhandlede underretninger i overensstemmelse med proceduren, der er fastsat i artikel 23. Medlemsstaterne kan prioritere behandling af obligatoriske underretninger frem for frivillige underretninger. Hvor det er nødvendigt, giver CSIRT'erne og i givet fald de kompetente myndigheder det centrale kontaktpunkt de oplysninger om underretninger, de har modtaget i medfør af denne artikel, samtidig med at de sikrer fortroligheden og passende beskyttelse af de oplysninger, der er afgivet af den underrettende enhed. Uden at det berører forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, må frivillig rapportering ikke medføre, at den underrettende enhed pålægges nogen yderligere forpligtelser, som den ikke ville være omfattet af, hvis den ikke havde foretaget underretningen.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til bestemmelsen i NIS 2-direktivets artikel 30, stk. 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse indebærer, at CSIRT’en vil skulle behandle frivillige underretninger, der er indgivet i medfør af den foreslåede bestemmelse i § 14, stk. 1, efter procedurebestemmelsen i den foreslåede § 13. De forpligtelser for myndigheder, der er angivet i § 13 og bemærkningerne hertil, vil således også gælde for underretninger, der indgives i medfør af den foreslåede bestemmelse i § 14, stk. 1.

Det bemærkes, at den foreslåede bestemmelse ikke indebærer, at enheden er forpligtet til at følge proceduren efter den foreslåede bestemmelse i § 13, når der indgives underretning efter den foreslåede § 14, stk. 1.

Den foreslåede bestemmelse indebærer desuden, at CSIRT’en kan prioritere at håndtere de underretninger, der er modtaget i medfør af § 12, før CSIRT’en behandler de underretninger, der er modtaget i medfør af § 14, stk. 1.

Det følger af det foreslåede stk. 3, at underretninger efter stk. 1 er undtaget fra aktindsigt efter lov om offentlighed i forvaltningen og partsaktindsigt efter forvaltningsloven.

Den foreslåede bestemmelse vil videreføre af den gældende § 8, stk. 2, i lov om sikkerhed i net og tjenester.

Særligt for virksomheder kan oplysninger om, at der f.eks. er gennemført et vellykket hackerangreb, hvor virksomheden har mistet data, i høj grad skade virksomhedens omdømme, og det kan i praksis afholde mange virksomheder fra frivilligt at underrette CSIRT’en om et sådant hackerangreb. Derfor foreslås det med bestemmelsen, at underretningerne i deres helhed undtages fra aktindsigt, herunder partsaktindsigt efter forvaltningsloven. Undtagelsen kan omfatte underretningssagen som helhed. Der henvises til Folketingstidende 2015-16, tillæg A, L 10 som fremsat, side 22.

Undtagelsen fra aktindsigt omfatter derimod ikke virksomheders adgang til at gøre sig bekendt med oplysninger, der vedrører deres egne forhold. Dette gælder allerede i dag. Der henvises til Folketingstidende 2015-16, tillæg A, L 10 som fremsat, side 22.

Det bemærkes, at bestemmelsens anvendelsesområde er begrænset til at omfatte de frivillige underretninger, der modtages i medfør af § 14, stk. 1. De obligatoriske underretninger i medfør af § 12, vil således ikke være omfattet af den foreslåede undtagelsesbestemmelse.