LOV nr 434 af 06/05/2025
Ministeriet for Samfundssikkerhed og Beredskab
NIS 2-loven § 24
De kompetente myndigheder fører reaktivt tilsyn med vigtige enheders overholdelse af denne lov og regler udstedt i medfør af loven. En kompetent myndighed kan som led i dette tilsyn efter indikationer på, at en vigtig enhed ikke overholder eller ikke har overholdt denne lov eller regler udstedt i medfør af loven, anvende følgende tilsynsforanstaltninger:
-
Uden retskendelse og mod behørig legitimation foretage kontrol på stedet og efterfølgende eksternt tilsyn.
-
Foretage målrettede sikkerhedsaudits eller stille krav om, at enheden får et kvalificeret uafhængigt organ til at foretage disse audits, og at resultaterne heraf stilles til rådighed for den kompetente myndighed.
-
Foretage sikkerhedsscanninger.
-
Kræve at få udleveret oplysninger, der er nødvendige for efterfølgende at vurdere de foranstaltninger til styring af cybersikkerhedsrisici, som den berørte enhed har indført.
-
Kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af, om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.
-
Kræve at få udleveret dokumentation for gennemførelsen af cybersikkerhedspolitikker.
Stk. 2. Ved anvendelse af tiltagene i stk. 1, nr. 4-6, skal den kompetente myndighed angive formålet med kravet og præcisere, hvilke oplysninger der kræves udleveret, og hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 4-6, skal udleveres.
Forarbejder til NIS 2-loven § 24
RetsinformationDet følger af artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS 1-direktivet), at medlemsstaterne sikrer, at de kompetente myndigheder har de nødvendige beføjelser og midler til at vurdere, hvorvidt operatører af væsentlige tjenester opfylder deres forpligtelser i medfør af artikel 14 (sikkerhedskrav og underretning om hændelser) og virkningerne heraf på net- og informationssystemers sikkerhed. Efter artikel 15, stk. 2, skal medlemsstaterne sikre, at de kompetente myndigheder har beføjelser til at pålægge operatører af væsentlige tjenester at levere a) de oplysninger, der er nødvendige for at vurdere sikkerheden i deres net- og informationssystemer, herunder dokumenterede sikkerhedspolitikker, og b) dokumentation for den faktiske gennemførelse af sikkerhedspolitikker, som f.eks. resultaterne af en sikkerhedsaudit udført af den kompetente myndighed eller en kvalificeret auditør og i sidstnævnte tilfælde stille resultaterne heraf, herunder den tilgrundliggende dokumentation, til rådighed for den kompetente myndighed.
For så vidt angår udbydere af digitale tjenester, følger det af NIS 1-direktivets artikel 17, stk. 1, at medlemsstaterne sikrer, at de kompetente myndigheder om nødvendigt griber ind ved hjælp af efterfølgende tilsynsforanstaltninger, når det kan dokumenteres, at en udbyder af digitale tjenester ikke opfylder kravene i direktivets artikel 16 (sikkerhedskrav og underretning om hændelser).
Efter NIS 1-direktivets artikel 17, stk. 2, skal de kompetente myndigheder tillægges de fornødne beføjelser og midler til at pålægge udbydere af digitale tjenester at a) forelægge de oplysninger, der er nødvendige for at vurdere sikkerheden af deres net- og informationssystemer, herunder dokumenterede sikkerhedspolitikker og b) afhjælpe mangler i opfyldelsen af de krav, der er fastsat i artikel 16.
NIS 1-direktivet blev i dansk ret gennemført sektorvist i regulering gældende for de specifikke sektorer, hvor direktivet finder anvendelse. For en nærmere gennemgang af den sektorvise gennemførelse af NIS 1-direktivet henvises til afsnit 2.4 i lovforslagets almindelige bemærkninger.
Det foreslås i stk. 1, at de kompetente myndigheder som led i sit kan anvende nærmere angivne tilsynsforanstaltninger over for en vigtig teleudbyder.
I overensstemmelse med direktivets forudsætninger, som udtrykt i præambelbetragtning nr. 122, vil vigtige enheder – i modsætning til væsentlige enheder – ikke blive underlagt løbende tilsyn, men i stedet et lettere, reaktivt tilsyn. Det betyder, at tilsyn iværksættes på baggrund af oplysninger, der tyder på, at den pågældende enhed potentielt ikke efterlever sine forpligtelser efter loven og regler udstedt i medfør af loven, herunder eventuelt efter en væsentlig hændelse.
Vigtige enheder vil således som udgangspunkt ikke være forpligtet til systematisk at dokumentere overholdelsen af foranstaltninger til styring af cybersikkerhedsrisici over for myndighederne, og de kompetente myndigheder vil ikke have en generel forpligtelse til at føre tilsyn med vigtige enheder.
Som forudsat i samme præambelbetragtning vil det reaktive tilsyn kunne iværksættes på baggrund af oplysninger, som de kompetente myndigheder modtager fra andre myndigheder, enheder, borgere, medier eller andre kilder eller offentligt tilgængelige oplysninger. Det kan desuden eksempelvis være oplysninger, der hidrører fra andre aktiviteter, der indgår i de kompetente myndigheders udførelse af deres arbejdsopgaver.
Den foreslåede bestemmelse vil endvidere skulle forstås og anvendes i lyset af NIS 2-direktivets artikel 31, stk. 1, hvorefter medlemsstaterne sikrer, at deres kompetente myndigheder effektivt overvåger og træffer de nødvendige foranstaltninger til at sikre, at direktivet overholdes. Det følger endvidere af artikel 31, stk. 2, at medlemsstaterne kan tillade deres kompetente myndigheder at prioritere tilsynsopgaver. En sådan prioritering baseres på en risikobaseret tilgang. Med henblik herpå kan de kompetente myndigheder, når de udfører deres tilsynsopgaver i henhold til artikel 32 og 33, fastlægge tilsynsmetoder, der gør det muligt at prioritere sådanne opgaver efter en risikobaseret tilgang. De kompetente myndigheder vil således ved tilrettelæggelsen af et risikobaseret reaktivt tilsyn med vigtige enheder kunne lægge vægt på eksempelvis enhedernes samfundsmæssige betydning.
Anvendelsen af de forskellige tilsynsforanstaltninger, som opregnes i den foreslåede § 24, stk. 1, vil skulle ske efter en konkret vurdering af omstændighederne i hver enkelt sag. Valget af tilsynsforanstaltninger vil endvidere skulle ske i overensstemmelse med det forvaltningsretlige proportionalitetsprincip.
Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der for så vidt angår de foreslåede bestemmelser i nr. 4, 5, 6 og den del af bestemmelsen i nr. 2, der vedrører, at der kan stilles krav om, at enheden får et kvalificeret uafhængigt organ til at foretage sikkerhedsaudits, og at resultaterne herfor skal stilles til rådighed for den kompetente myndighed, vil være tale om oplysningspligter omfattet af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter finder anvendelse. Dette indebærer bl.a., at kapitel 4 (om retten til ikke at inkriminere sig selv mv.) vil gælde i tilfælde, hvor der måtte være en konkret mistanke om, at en enhed har begået en overtrædelse af lovgivningen, der kan medføre straf. Der henvises i øvrigt til kapitel 4 i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter og bemærkningerne hertil. Der henvises til Folketingstidende 2003-04, tillæg A, side 3075-3078 og side 3096-3099.
I overensstemmelse med forudsætningerne i direktivets præambelbetragtning nr. 123 bør de kompetente myndigheders udførelse af tilsynsopgaver ikke unødigt hæmme den berørte enheds forretningsaktiviteter.
Det foreslås med nr. 1, at de kompetente myndigheder uden retskendelse og mod behørig legitimation kan foretage kontrol på stedet og eksternt efterfølgende tilsyn.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet.
Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at der ved NIS 2-direktivets anvendelse af »på stedet« forstås en enheds lokaler, hvorfra enheden driver sine aktiviteter, samt arbejdssteder uden for enhedens lokaler. Det vil således efter bestemmelsen være muligt for de kompetente myndigheder at foretage tilsyn på enhedens forretningssteder.
Det følger af NIS 2-direktivets artikel 33, stk. 1, at når medlemsstaterne kommer i besiddelse af dokumentation for eller tegn på eller oplysninger om, at en vigtig enhed angiveligt ikke overholder dette direktiv, navnlig artikel 21 og 23 deri, sikrer de, at de kompetente myndigheder træffer foranstaltninger, hvor det er nødvendigt, gennem efterfølgende tilsynsforanstaltninger. Medlemsstaterne sikrer, at disse foranstaltninger er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.
For effektivt at kunne konstatere, om vigtige enheder i praksis har gennemført de nødvendige foranstaltninger til at sikre deres net- og informationssystemer, er det nødvendigt, at de kompetente myndigheder som led i et tilsyn har adgang til forretningssteder hos vigtige enheder. Det foreslås derfor, at der skal være adgang til kontrol på stedet uden retskendelse og mod behørig legitimation.
Den foreslåede bestemmelse vil betyde, at de kompetente myndigheder som led i et tilsyn kan foretage kontrol på stedet til enhver tid. Det forudsættes dog almindeligvis, at den kompetente myndighed forinden et evt. besøg vil varsle den vigtige enhed herom.
Det foreslås i nr. 2, at de kompetente myndigheder kan foretage regelmæssige og målrettede sikkerhedsaudits eller stille krav om, at udbyderen får et kvalificeret uafhængigt organ til at foretage disse audits, og at resultaterne heraf stilles til rådighed for den kompetente myndighed.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Efter direktivets artikel 33, stk. 2, 2. led, baseres de målrettede sikkerhedsaudits, der er omhandlet i første led, litra b, på risikovurderinger foretaget af den kompetente myndighed eller den reviderede enhed eller på andre tilgængelige risikorelaterede oplysninger. Resultaterne af enhver målrettet sikkerhedsaudit stilles til rådighed for den kompetente myndighed. Omkostningerne ved en sådan målrettet sikkerhedsaudit, der udføres af et uafhængigt organ, afholdes af den reviderede enhed, undtagen i behørigt begrundede tilfælde, når den kompetente myndighed bestemmer andet.
Det foreslås i nr. 3, at de kompetente myndigheder kan foretage sikkerhedsscanninger.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Det foreslås i nr. 4, at de kompetente myndigheder kan kræve at få udleveret oplysninger, der er nødvendige for efterfølgende at vurdere de foranstaltninger til styring af sikkerhedsrisici, som den berørte enhed har indført.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Det foreslås i nr. 5, at de kompetente myndigheder kan kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af, om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Det foreslås i nr. 6, at de kompetente myndigheder kan kræve at få udleveret dokumentation for gennemførelsen af sikkerhedspolitikker.
Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 1 og 2, i NIS 2-direktivet. Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 1 og 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Det følger af det foreslåede stk. 2, at de kompetente myndigheder ved anvendelse af tiltagene i stk. 1, nr. 4-6, skal angive formålet med kravet og præcisere, hvilke oplysninger der kræves udleveret, og hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 4-6, skal udleveres.
Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 33, stk. 3, hvorefter de kompetente myndigheder ved udøvelsen af deres beføjelser i henhold til artikel 33, stk. 2, litra d, e, og f, skal angive formålet med anmodningen og præcisere, hvilke oplysninger der anmodes om.
Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 33, stk. 3, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.
Det foreslås i stk. 3, at de kompetente myndigheder kan stille nærmere krav om, hvordan og i hvilken form oplysningerne eller materialet nævnt i stk. 1, nr. 4-6, skal afgives.
Den foreslåede bestemmelse indebærer, at en kompetent myndighed i forbindelse med, at der stilles krav om udlevering af oplysninger eller materiale efter de foreslåede bestemmelser i stk. 1, nr. 4-6, samtidig kan kræve, at oplysningerne eller materialet udleveres på en bestemt måde, på et bestemt sprog og i en bestemt form.
Der vil eksempelvis kunne stilles krav om anvendelse af bestemte skemaer, eller at der skal foretages indtastninger på en hjemmeside.
Der henvises i øvrigt til afsnit 3.4 i lovforslagets almindelige bemærkninger.