NIS 2-loven § 25

Det følger af artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS 1-direktivet), at medlemsstaterne sikrer, at de kompetente myndigheder har de nødvendige beføjelser og midler til at vurdere, hvorvidt operatører af væsentlige tjenester opfylder deres forpligtelser i medfør af artikel 14 og virkningerne heraf på net- og informationssystemers sikkerhed.

Det fremgår desuden af NIS 1-direktivets artikel 15, stk. 2, at medlemsstaterne sikrer, at de kompetente myndigheder har beføjelser og midler til at pålægge operatører af væsentlige tjenester at levere a) de oplysninger, der er nødvendige for at vurdere sikkerheden i deres net- og informationssystemer, herunder dokumenterede sikkerhedspolitikker og b) dokumentation for den faktiske gennemførelse af sikkerhedspolitikker, som f.eks. resultaterne af en sikkerhedsaudit udført af den kompetente myndighed eller en kvalificeret auditør og i sidstnævnte tilfælde stille resultaterne heraf, herunder den tilgrundliggende dokumentation, til rådighed for den kompetente myndighed. Når der anmodes om sådanne oplysninger eller sådan dokumentation, angiver de kompetente myndigheder formålet med anmodningen og anfører, hvilke oplysninger der kræves.

Det følger endvidere af NIS 1-direktivets artikel 15, stk. 3, at efter vurderingen af oplysninger eller resultaterne af en sikkerhedsaudit, jf. stk. 2, kan den kompetente myndighed udstede påbud til operatører af væsentlige tjenester for at afhjælpe de påviste mangler.

Det følger herudover af NIS 1-direktivets artikel 17, stk. 1, at medlemsstaterne sikrer, at de kompetente myndigheder om nødvendigt griber ind ved hjælp af efterfølgende tilsynsforanstaltninger, når det kan dokumenteres, at en udbyder af digitale tjenester ikke opfylder kravene i artikel 16 (sikkerhedskrav og underretning om hændelser).

Efter NIS 1-direktivets artikel 17, stk. 2, litra b, skal de kompetente myndigheder tillægges de fornødne beføjelser og midler til at pålægge udbydere af digitale tjenester at afhjælpe mangler i opfyldelsen af de krav, der er fastsat i artikel 16.

NIS 1-direktivet blev i dansk ret gennemført sektorvist i regulering gældende for de specifikke sektorer, hvor direktivet finder anvendelse. For en nærmere gennemgang af den sektorvise gennemførelse af NIS 1-direktivet henvises til afsnit 2.4 i lovforslagets almindelige bemærkninger.

Det følger af den foreslåede § 25, at en kompetent myndighed ud fra en konkret vurdering af omstændighederne i hver enkelt sag kan anvende følgende håndhævelsesforanstaltninger over for en vigtig enhed: 1) udstede advarsler om enhedens overtrædelse af denne lov, 2) udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, samt frister for gennemførelse af sådanne foranstaltninger og for rapportering om deres gennemførelse eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af denne lov, 3) meddele enheden påbud og forbud for at sikre overholdelsen af de krav, der er fastsat i loven eller regler udstedt i medfør af loven, 4) påbyde enheden at underrette de fysiske eller juridiske personer, til hvilke den leverer tjenester eller udfører aktiviteter, som potentielt kan være berørt af en væsentlig cybertrussel, om denne trussels karakter samt om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel, 5) påbyde enheden at gennemføre de anbefalinger, der er fremsat i forbindelse med en gennemført sikkerhedsaudit, og 6) påbyde enheden i ikke-anonymiseret form og på en nærmere angiven måde at offentliggøre afgørelser om håndhævelsesforanstaltninger efter nr. 3-5 samt resumeer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde.

Den foreslåede bestemmelse vil gennemføre artikel 33, stk. 4, litra a-g, i NIS 2-direktivet. Bestemmelsen indeholder en forpligtelse for medlemsstaterne til at sikre, at deres kompetente myndigheder, når de udøver deres håndhævelsesbeføjelser over for vigtige enheder, som minimum har beføjelse til at: a) udstede advarsler om de pågældende enheders overtrædelser af direktivet, b) udstede bindende instrukser eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af direktivet, c) pålægge de pågældende enheder at ophøre med at udvise adfærd, der overtræder dette direktiv, og afstå fra at gentage denne adfærd, d) pålægge de pågældende enheder, på en nærmere angivet måde og inden for en nærmere angivet frist at sikre, at deres foranstaltninger til styring af cybersikkerhedsrisici overholder artikel 21, eller at efterleve underretningsforpligtelserne i artikel 23, e) pålægge de pågældende enheder at underrette de fysiske eller juridiske personer med hensyn til hvilke de leverer tjenester eller udfører aktiviteter, som potentielt er berørt af en væsentlig cybertrussel, om denne trussels karakter samt om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som disse fysiske eller juridiske personer kan træffe som reaktion på denne trussel, f) pålægge de pågældende enheder at gennemføre de anbefalinger, der er fremsat som følge af en sikkerhedsaudit, inden for en rimelig frist og g) pålægge de pågældende enheder at offentliggøre aspekter af overtrædelser af dette direktiv på en nærmere angivet måde.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 33, stk. 4, litra a-g, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

De foranstaltninger, der anvendes i forhold til vigtige enheder, skal i overensstemmelse efter NIS 2-direktivets artikel 33, stk. 1, være effektive, stå i rimeligt forhold til overtrædelsen og have en afskrækkende virkning under hensyntagen til omstændighederne i hver enkelt sag.

Det følger af den foreslåede § 25, at en kompetent myndighed skal foretage en konkret vurdering af omstændighederne i hver enkelt sag, når den anvender håndhævelsesforanstaltningerne over for vigtige enheder. Den kompetente myndighed skal derfor i overensstemmelse med NIS 2-direktivets artikel 32, stk. 7, litra a, jf. artikel 33, stk. 5, tage hensyn til: 1) overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser, idet bl.a. følgende under alle omstændigheder skal betragtes som alvorlige overtrædelser: a) gentagne overtrædelser, b) manglende underretning om eller afhjælpning af væsentlige hændelser, c) manglende afhjælpning af mangler efter bindende instrukser fra kompetente myndigheder, d) hindringer for audits eller overvågningsaktiviteter beordret af den kompetente myndighed efter konstatering af en overtrædelse og e) afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende cybersikkerhedsrisikostyringsforanstaltninger eller rapporteringsforpligtelser, der er fastsat i §§ 6, 12, 15 og 16, stk. 2, 2) overtrædelsens varighed, 3) den pågældende enheds relevante tidligere overtrædelser, 4) enhver fysisk eller ikke fysisk skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt, 5) hvorvidt der ved overtrædelsen er handlet forsætligt eller uagtsomt, 6) enhver foranstaltning truffet af enheden for at forebygge eller afbøde den materielle eller immaterielle skade, 7) hvorvidt godkendte adfærdskodekser eller godkendte certificeringsmekanismer er overholdt, og 8) i hvilken udstrækning de fysiske eller juridiske personer, der holdes ansvarlige for overtrædelsen, samarbejder med de kompetente myndigheder.

Det følger endvidere af NIS 2-direktivets artikel 32, stk. 7, at en kompetent myndighed ved anvendelsen af håndhævelsesforanstaltninger skal overholde retten til forsvar. Dette sikres ved, at et påbud eller forbud efter den foreslåede § 25, vil være omfattet af forvaltningslovens almindelige regler, herunder bestemmelserne i kapitel 3 (om vejledning og repræsentation mv.), kapitel 5 (om partshøring), kapitel 6 (om begrundelse mv.) og kapitel 7 (om klagevejledning).

Der vil i forbindelse med en afgørelse om påbud eller forbud efter den foreslåede § 25 blive fastsat en frist, inden for hvilken enheden skal overholde indholdet i afgørelsen.

Det følger af det foreslåede nr. 1, at den kompetente myndighed kan udstede advarsler om enhedens overtrædelse af denne lov.

Den foreslåede bestemmelse vil give de kompetente myndigheder mulighed for at udstede advarsler om enhedens overtrædelse af loven. Der er tale om den mildeste form for håndhævelsesforanstaltning, som kan tages i brug af de kompetente myndigheder.

Det følger af den foreslåede nr. 2, at den kompetente myndighed kan udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse, samt frister for gennemførelse af sådanne foranstaltninger og for rapportering om deres gennemførelse eller pålægge de pågældende enheder at afhjælpe de konstaterede mangler eller overtrædelserne af denne lov.

Den foreslåede bestemmelse vil indebære, at den kompetente myndighed vil kunne udstede bindende instrukser, herunder vedrørende foranstaltninger, der er nødvendige for at forhindre eller afhjælpe en hændelse. Det forudsættes, at den kompetente myndighed vil meddele enheden en frist for gennemførelse af nødvendige foranstaltninger, og for rapportering om foranstaltningernes gennemførelse.

Det bemærkes, at der vil være tale om en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler herom vil finde anvendelse.

Det følger af det foreslåede nr. 3, at den kompetente myndighed kan meddele enheden påbud og forbud for at sikre overholdelsen af de krav, der er fastsat i loven eller regler udstedt i medfør af loven.

I tilfælde af at en enhed ikke lever op til de krav, der er fastsat i loven, vil den kompetente myndighed eksempelvis kunne angive, hvilke nærmere foranstaltninger enheden skal træffe. Det kan eksempelvis være organisatoriske foranstaltninger vedrørende passende rolle- og ansvarsfordeling, herunder forbud mod ansvarssammenfald eller procedurer i relation til erhvervelse og udvikling af net- og informationssystemer, tekniske foranstaltninger vedrørende sikkerhedskopiering af data, eller om enhedens anvendelse af bestemte logningsmetoder.

Det bemærkes, at der vil være tale om en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler herom vil finde anvendelse.

Det følger af det foreslåede nr. 4, at den kompetente myndighed kan påbyde enheden at underrette de fysiske eller juridiske personer, til hvilke den leverer tjenester eller udfører aktiviteter, som potentielt kan være berørt af en væsentlig cybertrussel, om denne trussels karakter samt om eventuelle beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som de fysiske eller juridiske personer kan træffe som reaktion på denne trussel.

Bestemmelsen skal ses i sammenhæng med den foreslåede bestemmelse i § 15, stk. 2, som indeholder en forpligtelse for væsentlige og vigtige enheder til i relevant omfang at underrette modtagerne af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som modtagerne kan træffe som reaktion på den pågældende trussel. Hvor det er relevant, skal enhederne også informere de pågældende modtagere om den væsentlige cybertrussel.

Med det foreslåede nr. 4 vil den kompetente myndighed kunne påbyde, at der skal foretages underretning af modtagerne af enhedens tjenester, uanset om enheden selv vurderer, at det er relevant.

Det bemærkes, at der vil være tale om en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler herom vil finde anvendelse.

Det følger af det foreslåede nr. 5, at den kompetente myndighed kan påbyde enheden at gennemføre de anbefalinger, der er fremsat i forbindelse med en gennemført sikkerhedsaudit.

Bestemmelsen skal ses i sammenhæng med den foreslåede § 25, stk. 1, nr. 2, hvorefter den kompetente myndighed kan foretage målrettede sikkerhedsaudits eller stille krav om, at enheden får et kvalificeret uafhængigt organ til at foretage disse audits.

Det bemærkes, at der vil være tale om en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler herom vil finde anvendelse.

Det følger af det foreslåede nr. 6, at den kompetente myndighed kan påbyde enheden i ikke-anonymiseret form og på en nærmere angiven måde at offentliggøre afgørelser om håndhævelsesforanstaltninger efter nr. 1-3 samt resumeer af domme eller bødevedtagelser, hvor der idømmes eller vedtages en bøde.

I overensstemmelse med principperne bag betænkning nr. 1516 om offentlige myndigheders offentliggørelse af kontrolresultater, afgørelser mv. forudsættes det, at den kompetente myndighed ved beslutningen om, hvilke oplysninger en enhed pålægges at offentliggøre, i fornødent omfang bl.a. iagttager de hensyn til fortrolighed, der fremgår af forvaltningslovens § 27 om offentligt ansattes tavshedspligt, herunder bl.a. hensynene til enkeltpersoners private forhold, forretningshemmeligheder samt forebyggelse, efterforskning og forfølgning af lovovertrædelser.

Det bemærkes, at der vil være tale om en forvaltningsretlig afgørelse, hvorfor forvaltningslovens regler herom vil finde anvendelse.

Der henvises i øvrigt til lovforslagets pkt. 3.4.