NIS 2-loven § 18

NIS 1-direktivet indeholdte ikke nærmere regler om, at fysiske eller juridiske personer anonymt kunne rapportere om sårbarheder til myndighederne.

Det følger af det foreslåede stk. 1, at CSIRT’en sikrer, at fysiske og juridiske personer i anonymiseret form kan rapportere om sårbarheder.

Bestemmelsen vil gennemføre artikel 12, stk. 1, 2. led, 1. og 2. pkt., i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet), hvoraf det følger, at medlemsstaterne sikrer, at fysiske eller juridiske personer er i stand til at rapportere en sårbarhed anonymt, hvor de anmoder herom, til den CSIRT, der er udpeget som koordinator. Den CSIRT, der er udpeget som koordinator, sørger for omhyggelig opfølgning med hensyn til den rapporterede sårbarhed og sikrer anonymiteten for den fysiske eller juridiske person, der rapporterer sårbarheden.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 12, stk. 1, 2. led, 1. og 2. pkt., og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse vil indebære en forpligtelse for CSIRT’en til at sikre, at det er muligt for fysiske og juridiske personer at rapportere om sårbarheder.

Bestemmelsen indebærer desuden en forpligtelse for CSIRT’en til at sikre, at de pågældende fysiske eller juridiske personer har muligheden for at indgive rapporteringen anonymt.

I overensstemmelse med NIS 2-direktivets artikel 12, stk. 1, 2. led, 2. pkt., vil CSIRT’en efter modtagelse af en anonym rapportering som led i sin opgavevaretagelse skulle sikre opfølgning på rapporteringen. Dette indebærer bl.a., at CSIRT’en så vidt muligt vil skulle identificere de enheder, der er berørte af sårbarheden, og kontakte dem med henblik på at få udbedret sårbarheden. Efter omstændighederne vil det endvidere være relevant for CSIRT’en at overveje, om der er grundlag for at orientere den relevante kompetente myndighed.

I overensstemmelse med NIS 2-direktivets artikel 12, stk. 1, 2. led, sidste pkt., vil CSIRT’en, hvis en rapporteret sårbarhed kan have væsentlig indvirkning på enheder i mere end én medlemsstat i Den Europæiske Union, skulle samarbejde med de andre medlemsstaters CSIRT’er igennem CSIRT-netværket.

Bestemmelsen vil ikke få betydning for om en handling, der ligger bag rapporteringen, måtte være strafbar. I det omfang en fysisk eller juridisk person f.eks. måtte have tilegnet sig information om den sårbarhed, der rapporteres om, på en måde, som efter anden lovgivning kan være strafbar, vil den pågældende således fortsat kunne straffes herfor.

Det følger af det foreslåede stk. 2, at ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om rapportering efter stk. 1.

Der vil bl.a. kunne fastsættes nærmere regler om, hvordan rapporteringen skal foregå, herunder om denne skal foretages digitalt, hvordan CSIRT’en nærmere skal håndtere en rapportering, samt i hvilket omfang CSIRT’en kan dele oplysningerne med andre.