NIS 2-loven § 17

Det følger af bilag 1, nr. 2, i NIS 1-direktivet, at CSIRT'ers opgaver som minimum skal omfatte følgende: 1) Monitorering af hændelser på nationalt plan, 2) tidlig varsling, advarsler, meddelelser og formidling af information til relevante interessenter om risici og hændelser, 3) at reagere på hændelser, 4) udarbejdelse af dynamiske risiko- og hændelsesanalyser og situationsrapporter og 5) deltagelse i CSIRT-netværket.

NIS 1-direktivet blev i dansk ret gennemført sektorvist i regulering gældende for de specifikke sektorer, hvor direktivet finder anvendelse. For en nærmere gennemgang af den sektorvise implementering af NIS 1-direktivet henvises til lovforslagets pkt. 2.4.

Det følger af lov om sikkerhed i net- og informationssystemer for operatører af væsentlige internetudvekslingspunkter, jf. lov nr. 437 af 8. maj 2018, at netsikkerhedstjenesten i dag varetager de tværgående opgaver som CSIRT og centralt kontaktpunkt efter NIS 1-direktivet.

Det følger af den foreslåede stk. 1, at CSIRT’en håndterer it-sikkerhedshændelser og varetager de opgaver, der relaterer sig hertil, herunder følgende opgaver i forhold til væsentlige og vigtige enheder: 1) efter anmodning fra en væsentlig eller vigtig enhed at yde bistand vedrørende realtids- eller nærrealtidsmonitorering af enhedens net- og informationssystemer, 2) at reagere på hændelser og i givet fald yde bistand til de berørte enheder og 3) efter anmodning fra en væsentlig eller vigtig enhed at foretage en proaktiv scanning af enhedens net- og informationssystemer, der anvendes til levering af enhedens tjenester, for at opdage sårbarheder med en potentielt væsentlig indvirkning.

Den foreslåede bestemmelse vil gennemføre artikel 11, stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet).

Det følger af NIS 2-direktivets artikel 11, stk. 3, 1. led, at CSIRT’erne har følgende opgaver: a) overvågning og analyse af cybertrusler, sårbarheder og hændelser på nationalt plan og efter anmodning ydelse af bistand til væsentlige og vigtige enheder vedrørende realtids- eller nærrealtidsovervågning af deres net- og informationssystemer, b) tidlig varsling, alarmer, meddelelser og formidling af oplysninger til berørte væsentlige og vigtige enheder samt til de kompetente myndigheder og andre relevante interessenter om cybertrusler, sårbarheder og hændelser, om muligt i nærrealtid, c) at reagere på hændelser og i givet fald yde bistand til de berørte væsentlige og vigtige enheder, d) at indsamle og analysere kriminaltekniske data og udarbejde dynamiske risiko- og hændelsesanalyser samt skabe situationsbevidsthed vedrørende cybersikkerhed, e) på anmodning af en væsentlig eller vigtig enhed at foretage en proaktiv scanning af den pågældende enheds net- og informationssystemer for at opdage sårbarheder med en potentielt væsentlig indvirkning, f) at deltage i CSIRT-netværket og yde gensidig bistand i overensstemmelse med deres kapacitet og kompetencer til andre medlemmer af CSIRT-netværket efter anmodning fra disse, g) i givet fald fungere som koordinator med henblik på den koordinerede offentliggørelse af sårbarheder i henhold til artikel 12, stk. 1, samt h) at bidrage til udbredelsen af sikre værktøjer til udveksling af oplysninger i henhold til direktivets artikel 10, stk. 3.

Efter NIS 2-direktivets artikel 11, stk. 3, 2. led, kan CSIRT’erne foretage proaktiv ikke-indgribende scanning af væsentlige og vigtige enheders offentligt tilgængelige net- og informationssystemer. En sådan scanning skal foretages for at opdage sårbare eller usikkert konfigurerede net- og informationssystemer og informere de berørte enheder. En sådan scanning må ikke have nogen negativ indvirkning på enhedernes tjenester.

Det følger endvidere af artikel 11, stk. 3, 3. led, at CSIRT’en ved udførelsen af de opgaver, der er omhandlet i første led (artikel 11, stk. 3, litra a-h, kan prioritere særlige opgaver på grundlag af en risikobaseret tilgang.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 11, stk. 3, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Bestemmelsen indebærer, at CSIRT’en håndterer it-sikkerhedshændelser og varetager de opgaver, der relaterer sig hertil. Det omfatter samtlige de opgaver, der fremgår af NIS 2-direktivets artikel 11, stk. 3. I det omfang CSIRT’ens opgaver indebærer rettigheder eller forpligtelser for enhederne, er de enkelte opgaver udtrykkeligt reguleret i bestemmelsens stk. 1, nr. 1-3.

Det følger af det foreslåede nr. 1, at CSIRT’en efter anmodning fra en væsentlig eller vigtig enhed yder bistand vedrørende realtids- eller nærrealtidsmonitorering af enhedens net- og informationssystemer.

Indholdet i den nærmere bistand vil blive besluttet af CSIRT’en og vil kunne variere afhængigt af de nærmere omstændigheder omkring anmodningen, herunder enhedens risikoeksponering, dens størrelse og samfundsmæssige betydning. Der vil eksempelvis kunne ydes bistand ved, at CSIRT’en giver råd og vejledning i forhold til specifikation af ydelser eller produkter, som enheden kan købe hos private leverandører.

Det følger af det foreslåede nr. 2, at CSIRT’en har til opgave at reagere på hændelser og i givet fald yde bistand til de berørte enheder.

Bistand skal forstås bredt og kan således omfatte rådgivning om afhjælpende foranstaltninger, herunder eventuelt råd og vejledning i forhold til specifikation af ydelser eller produkter, som enheden kan købe hos private leverandører, samt efter omstændighederne mere konkret teknisk bistand.

Bestemmelsen skal bl.a. ses i sammenhæng med den foreslåede § 13, stk. 3, som gennemfører artikel 23, stk. 5, i NIS 2-direktivet, og som fastsætter, at CSIRT’en – i forlængelse af, at en enhed indgiver en underretning til myndighederne om en væsentlig hændelse – giver den underrettende enhed et svar, herunder indledende tilbagemeldinger om den væsentlige hændelse og, efter anmodning fra enheden, vejledning, operativ rådgivning om gennemførelsen af mulige afbødende foranstaltninger og supplerende teknisk bistand.

Det følger af det foreslåede nr. 3, at CSIRT’en efter anmodning fra en væsentlig eller vigtig enhed foretager proaktiv scanning af enhedens net- og informationssystemer, der anvendes til levering af enhedens tjenester, for at opdage sårbarheder med en potentielt væsentlig indvirkning.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der ved NIS 2-direktivets anvendelse af begrebet »scanning« i direktivets artikel 11, stk. 3, litra e, må forstås både indgribende og ikke-indgribende scanninger. I NIS 2-direktivets artikel 11, stk. 3, 2. led, omtales således brugen af ikke-indgribende scanninger af enheders offentligt tilgængelige net- og informationssystemer uden at enheden har anmodet herom.

Den foreslåede bestemmelse indebærer dermed, at der kan foretages både indgribende og ikke-indgribende proaktive scanninger. Det er en betingelse for anvendelse af proaktive scanninger efter bestemmelsen, at enheden har anmodet herom.

CSIRT’en vil desuden, som omtalt i NIS 2-direktivets artikel 11, stk. 3, 2. led, jf. ovenfor, kunne foretage proaktiv ikke-indgribende scanninger af væsentlige og vigtige enheders offentligt tilgængelige net- og informationssystemer uden anmodning herom. I modsætning til scanningerne omfattet af den foreslåede bestemmelse i nr. 3 vil disse scanninger således være rettet mod enhedernes offentligt tilgængelige net- og informationssystemer. Henset hertil, og til at der er tale om ikke-indgribende scanninger, vurderes dette ikke at kræve udtrykkelig lovhjemmel.

Den foreslåede bestemmelse i stk. 1 indeholder en positiv hjemmel til udførelsen af de nævnte opgaver i relation til væsentlige og vigtige enheder. Der er således med bestemmelsen ikke tilsigtet en negativ afgrænsning ift. CSIRT’ens opgaver i øvrigt.

Det følger af det foreslåede stk. 2, at ved udførelsen af opgaver efter stk. 1 kan CSIRT’en prioritere særlige opgaver ud fra en risikobaseret tilgang.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 11, stk. 3, sidste led, hvoraf det fremgår, at ved udførelsen af de opgaver, der er omhandlet i første led, kan CSIRT’erne prioritere særlige opgaver på grundlag af en risikobaseret tilgang.

Den foreslåede bestemmelse svarer indholdsmæssigt til dele af NIS 2-direktivets artikel 11, stk. 3, sidste led, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Bestemmelsen vil indebære, at CSIRT’en ud fra en risikobaseret tilgang vil kunne prioritere udførelsen af de i stk. 1 nævnte opgaver. CSIRT’en vil således ud fra en risikobaseret tilgang kunne prioritere på hvilken måde og i hvilken rækkefølge, opgaverne skal løses. CSIRT’en vil endvidere ud fra en prioritering af sine opgaver i særlige tilfælde kunne afvise en anmodning efter stk. 1. Der kan ved prioriteringen eksempelvis lægges vægt på en enheds risikoeksponering, dennes størrelse og samfundsmæssige betydning, samt CSIRT’ens arbejdspres og ressourcer.

Der henvises i øvrigt til lovforslagets pkt. 2.2.2.