NIS 2-loven § 32

Det følger af artikel 21 i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS 1-direktivet), at medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale regler, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger til at sikre, at de gennemføres. Sanktionerne skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

NIS 1-direktivet indeholder ikke nærmere bestemmelser om ansvar for bestemte fysiske personer.

NIS 1-direktivet blev i dansk ret gennemført sektorvist i regulering gældende for de specifikke sektorer, hvor direktivet finder anvendelse. For en nærmere gennemgang af den sektorvise gennemførelse af NIS 1-direktivet, henvises til afsnit 2.4 i lovforslagets almindelige bemærkninger.

Det følger af det foreslåede § 32, stk. 1, at den der: 1) overtræder § 6, stk. 1 eller 2, §§ 9 eller 10, § 11, stk. 1-6, § 12, stk. 1, § 13, stk. 1 eller 2, eller § 15, 2) undlader at efterkomme en kompetent myndigheds afgørelse efter § 23, stk. 1, nr. 1 eller 2, 3) undlader at efterkomme påbud eller forbud efter §§ 22 eller 25, 4) undlader at efterkomme krav efter § 16, stk. 2, § 21, stk. 1, nr. 2 eller nr. 5-7, eller § 24, stk. 1, nr. 2 eller nr. 4-6, eller 5) hindrer de kompetente myndigheder i at føre tilsyn efter bestemmelserne i § 21, stk. 1, nr. 1-4, eller § 24, stk. 1, nr. 1-3, straffes med bøde.

Den foreslåede bestemmelse vil gennemføre artikel 36, stk. 1, i NIS 2-direktivet. Artikel 36, stk. 1, forpligter medlemsstaterne til at fastsætte regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale foranstaltninger, der er vedtaget i medfør af NIS 2-direktivet og til at træffe alle nødvendige foranstaltninger for at sikre, at de gennemføres. Sanktionerne skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Den foreslåede bestemmelse vil endvidere gennemføre NIS 2-direktivets artikel 34, hvoraf det følger, at medlemsstaterne sikrer, at de administrative bøder, der pålægges væsentlige og vigtige enheder i henhold til artiklen, for så vidt angår overtrædelser af direktivet, er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning, under hensyntagen til omstændighederne i hver enkelt sag.

Efter artikel 34, stk. 2, kan administrative bøder pålægges i tillæg til en hvilken som helst af foranstaltningerne omhandlet i artikel 32, stk. 4, litra a-h, artikel 32, stk. 5, og artikel 33, stk. 4, litra a-g.

Efter artikel 34, stk. 4, skal medlemsstaterne sikre, at hvor væsentlige enheder overtræder artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller 23 (rapporteringsforpligtelser), straffes de i overensstemmelse med artiklernes stk. 2 og 3 med administrative bøder med et maksimum på mindst 10.000.000 euro eller et maksimum på mindst 2 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den væsentlige enhed tilhører, alt efter hvad der er højest.

Det følger af artikel 34, stk. 5, at medlemsstaterne sikrer, at hvor vigtige enheder overtræder artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller 23 (rapporteringsforpligtelser), straffes de i overensstemmelse med artiklernes stk. 2 og 3 med administrative bøder med et maksimum på mindst 7.000.000 euro eller et maksimum på mindst 1,4 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den vigtige enhed tilhører, alt efter hvad der er højest.

Det følger endvidere af artikel 34, stk. 8, 1. og 2. pkt., at hvis en medlemsstats retssystem ikke giver mulighed for at pålægge administrative bøder, sørger den pågældende medlemsstat for, at artiklen anvendes på en sådan måde, at den kompetente myndighed tager skridt til bøder, og de kompetente nationale domstole pålægger dem, idet det sikres, at disse retsmidler er effektive, og at deres virkning svarer til virkningen af administrative bøder, som pålægges af de kompetente myndigheder. De bøder, der pålægges, skal under alle omstændigheder være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Endelig vil den foreslåede bestemmelse – i kombination med den foreslåede bestemmelse i § 7, stk. 1 – gennemføre NIS 2-direktivets artikel 20, stk. 1, hvoraf det følger, at medlemsstaterne sikrer, at de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet med henblik på at overholde artikel 21, fører tilsyn med dens gennemførelse og kan gøres ansvarlige for enhedernes overtrædelser af forpligtelserne i nævnte artikel.

Det forudsættes i overensstemmelse med en minimumsimplementering af NIS 2-direktivets artikel 34, stk. 4, at bødens størrelse for væsentlige enheders overtrædelse af bestemmelserne i § 6, stk. 1, §§ 12, 13 og 15 og § 16, stk. 2, maksimalt vil udgøre et beløb svarende til 10.000.000 euro eller 2 pct.af den væsentlige enheds samlede globale årsomsætning i det foregående regnskabsår alt efter, hvad der er højest.

Det forudsættes endvidere i overensstemmelse med en minimumsimplementering af NIS 2-direktivets artikel 34, stk. 5, at bødens størrelse for vigtige enheders overtrædelse af bestemmelserne i § 6, stk. 1, §§ 12, 13 og 15 og § 16, stk. 2, maksimalt vil udgøre et beløb svarende til 7.000.000 euro eller 1,4 pct.af den vigtige enheds samlede globale årsomsætning i det foregående regnskabsår alt efter, hvad der er højest.

Der forudsættes ikke i tilknytning til øvrige bestemmelser end de specifikt angivne ovenfor anlagt særlige forudsætninger for så vidt angår udmålingen af bøders størrelse. Det samme gælder eventuel udmåling af bøder til fysiske personer, hvor det dog i overensstemmelse med direktivets præambelbetragtning nr. 130, 2. pkt., forudsættes, at der lægges vægt på det generelle indkomstniveau og personens økonomiske stilling.

Det forudsættes i overensstemmelse med NIS 2-direktivets artikel 34, stk. 3, jf. artikel 32, stk. 7, at der lægges vægt på følgende hensyn ved pålæg af en bøde og ved udmåling af bødens størrelse: 1) overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser, idet bl.a. følgende under alle omstændigheder skal betragtes som alvorlige overtrædelser: a) Gentagne overtrædelser, b) manglende underretning om eller afhjælpning af væsentlige hændelser, c) manglende afhjælpning af mangler efter bindende instrukser fra kompetente myndigheder, d) hindringer for audits eller overvågningsaktiviteter beordret af den kompetente myndighed efter konstatering af en overtrædelse og e) afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende cybersikkerhedsrisikostyringsforanstaltninger eller rapporteringsforpligtelser, der er fastsat i §§ 6, 12, 13, 15 og 16, 2) overtrædelsens varighed, 3) den pågældende enheds relevante tidligere overtrædelser, 4) enhver materiel eller immateriel skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt, 5) hvorvidt der ved overtrædelsen er handlet forsætligt eller uagtsomt, 6) enhver foranstaltning truffet af enheden for at forebygge eller afbøde den materielle eller immaterielle skade, 7) hvorvidt godkendte adfærdskodekser eller godkendte certificeringsmekanismer er overholdt, og 8) i hvilken udstrækning de fysiske eller juridiske personer, der holdes ansvarlige for overtrædelsen, samarbejder med de kompetente myndigheder.

De almindelige regler i straffelovens kapitel 10 om henholdsvis strafskærpende og strafformildende omstændigheder skal ligeledes iagttages ved anvendelsen af nærværende strafbestemmelser.

Den fastsatte bøde skal i overensstemmelse med NIS 2-direktivets artikel 34, stk. 1, være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning under hensyntagen til omstændighederne i den konkrete sag.

Bøde vil i overensstemmelse med NIS 2-direktivets artikel 34, stk. 2, kunne pålægges i tillæg til håndhævelsesforanstaltningerne i de foreslåede §§ 22, 23 og 25.

Det bemærkes, at manglende efterlevelse af bestemmelserne i § 22, stk. 1, nr. 2, og § 25, stk. 1, nr. 2, vil kunne straffes efter både § 32, stk. 1, nr. 4 og 5. Baggrunden er, at de kompetente myndigheder efter de pågældende bestemmelser enten kan stille krav om, at enhederne foretager sikkerhedsaudits, eller selv kan foretage sikkerhedsaudits hos de berørte enheder. En enhed vil således efter omstændighederne kunne straffes for at undlade at efterkomme et krav fra en kompetent myndighed efter nr. 4 eller for at hindre de kompetente myndigheder i at føre tilsyn efter nr. 5.

Det foreslås i nr. 1, at den der overtræder § 6, stk. 1 eller 2, §§ 9 eller 10, § 11, stk. 1-6, § 12, stk. 1, § 13, stk. 1 eller 2, eller § 15, straffes med bøde.

Den foreslåede bestemmelse vil indebære, at en enhed, der ikke træffer passende, forholdsmæssige, operationelle og organisatoriske foranstaltninger efter den foreslåede § 6, stk. 1 eller 2.

Den foreslåede bestemmelse vil endvidere indebære, at enheder omfattet af de foreslåede bestemmelser i §§ 9 og 10 vil kunne straffes med bøde, hvis registreringspligterne i de foreslåede §§ 9 og 10 ikke overholdes.

Den foreslåede bestemmelse vil endvidere indebære, at topdomænenavneadministratorer og enheder, der leverer domænenavnsregistreringstjenester straffes med bøde, hvis de ikke overholder reglerne i den foreslåede § 11, stk. 1-6, herunder vedrørende krav om en særskilt database, indførsel af politikker og procedure, offentliggørelse af domænenavnsregistreringsdata mv.

Den foreslåede bestemmelse vil endvidere medføre, at væsentlige og vigtige enheder vil kunne straffes med bøde, hvis de overtræder underretningspligten efter den foreslåede § 12, stk. 1 og 2, eller den fastsatte procedure for underretninger i den foreslåede § 13, stk. 1 eller 2.

Den foreslåede bestemmelse vil endvidere medføre, at væsentlige og vigtige enheder vil kunne straffes med bøde, hvis de overtræder reglerne om underretning af modtagere af deres tjenester efter den foreslåede § 15.

Det foreslås i nr. 2, at den, der undlader at efterkomme en kompetent myndigheds afgørelse efter § 23, stk. 1, nr. 1 eller 2, straffes med bøde.

Den foreslåede bestemmelse vil indebære, at væsentlige eller vigtige enheder, der undlader at efterkomme en afgørelse om midlertidig suspension af en certificering eller godkendelse efter den foreslåede § 23, stk. 1, nr. 1, eller et midlertidigt forbud mod at udøve ledelsesfunktioner i den pågældende enhed efter den foreslåede § 23, stk. 1, nr. 2, vil kunne straffes med bøde.

Det foreslås i nr. 3, at den, der undlader at efterkomme påbud eller forbud efter § 22, stk. 1, nr. 3-6 eller § 25, stk. 1, nr. 3-6, straffes med bøde.

Den foreslåede bestemmelse vil indebære, at en væsentlig enhed, der undlader at efterkomme påbud eller forbud efter den foreslåede bestemmelse i § 22, stk. 1, nr. 3-6, vil kunne straffes med bøde.

Den foreslåede bestemmelse vil indebære, at en vigtig enhed, der undlader at efterkomme påbud eller forbud efter den foreslåede bestemmelse i § 25, stk. 1, nr. 3-6, vil kunne straffes med bøde.

Det foreslås i nr. 4, at den, der undlader at efterkomme en afgørelse efter § 16, stk. 2, § 21, stk. 1, nr. 2 eller nr. 5-7, eller § 24, stk. 1, nr. 2 eller nr. 4-6, straffes med bøde.

Den foreslåede bestemmelse vil indebære, at enhed, der ikke efterkommer en kompetent myndigheds afgørelse om informering af offentligheden om en væsentlig hændelse, eller hvordan informeringen skal ske, vil kunne straffes med bøde.

Den foreslåede bestemmelse vil endvidere indebære, at en væsentlig enhed, der ikke efterkommer en kompetent myndigheds afgørelse om tilsyns- og kontrolforanstaltninger efter § 21, stk. 1, nr. 2, eller nr. 5-7, vil kunne straffes med bøde.

Den foreslåede bestemmelse vil endelig medføre, at en vigtig enhed, der ikke efterkommer en kompetent myndigheds afgørelse om tilsyns- og kontrolforanstaltninger efter § 24, stk. 1, nr. 2 eller 4-6, vil kunne straffes med bøde.

Det foreslås i nr. 5, at den, der hindrer de kompetente myndigheder i at føre tilsyn efter bestemmelserne i § 21, stk. 1, nr. 1-4, eller § 24, stk. 1, nr. 1-3.

Den foreslåede bestemmelse vil endvidere indebære, at en væsentlig enhed, hindrer en kompetent myndigheds tilsyns efter § 21, stk. 1, nr. 1-4, vil kunne straffes med bøde.

Den foreslåede bestemmelse vil endelig medføre, at en vigtig enhed, der hindrer en kompetent myndigheds tilsyns efter § 24, stk. 1, nr. 1-3, vil kunne straffes med bøde.

Om valg af ansvarssubjekt henvises til lovforslagets pkt. 3.5.2.3.

Det følger af det foreslåede stk. 2, at der kan pålægges selskaber mv. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Den foreslåede bestemmelse indebærer, at selskaber mv. (juridiske personer) kan pålægges strafansvar for overtrædelse af denne lov eller regler udstedt i medfør af loven efter reglerne i straffelovens kapitel 5.

Det følger af det foreslåede stk. 3, at der i forskrifter, der udstedes i medfør af loven, kan fastsættes straf af bøde for overtrædelse af bestemmelserne i forskrifterne.

Det følger af artikel 34, stk. 4, i NIS 2-direktivet, at medlemsstaterne skal sikre, at hvor væsentlige enheder overtræder artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller artikel 23 (rapporteringsforpligtelser), straffes de i overensstemmelse med nærværende artikels stk. 2 og 3 med administrative bøder med et maksimum på mindst 10.000.000 euro eller et maksimum på mindst 2 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den væsentlige enhed tilhører, alt efter hvad der er højest.

Efter NIS 2-direktivets artikel 34, stk. 5, skal medlemsstaterne sikre, at hvor vigtige enheder overtræder artikel 21 (foranstaltninger til styring af cybersikkerhedsrisici) eller artikel 23 (rapporteringsforpligtelser), straffes de i overensstemmelse med nærværende artikels stk. 2 og 3 med administrative bøder med et maksimum på mindst 7.000.000 euro eller et maksimum på mindst 1,4 pct. af den samlede globale årsomsætning i det foregående regnskabsår i den virksomhed, som den vigtige enhed tilhører, alt efter hvad der er højest.

Det forudsættes i overensstemmelse med en minimumsimplementering af NIS 2-direktivets artikel 34, stk. 4, at bødens størrelse for væsentlige enheders overtrædelse af regler fastsat i medfør af den foreslåede bestemmelse i § 6, stk. 3, maksimalt vil udgøre et beløb svarende til 10.000.000 euro eller 2 pct. af den væsentlige enheds samlede globale årsomsætning i det foregående regnskabsår alt efter, hvad der er højest.

Det forudsættes i overensstemmelse med en minimumsimplementering af NIS 2-direktivets artikel 34, stk. 5, at bødens størrelse for vigtige enheders overtrædelse af regler fastsat i medfør af den foreslåede bestemmelse i § 6, stk. 3, maksimalt vil udgøre et beløb svarende til 7.000.000 euro eller 1,4 pct. af den vigtige enheds samlede globale årsomsætning i det foregående regnskabsår alt efter, hvad der er højest.

Der forudsættes ikke i tilknytning til øvrige bestemmelser end § 6, stk. 3, anlagt særlige forudsætninger for så vidt angår udmålingen af bøders størrelse. Det samme gælder eventuel udmåling af bøder til fysiske personer, hvor det dog i overensstemmelse med direktivets præambelbetragtning nr. 130, 2. pkt., forudsættes, at der lægges vægt på det generelle indkomstniveau og personens økonomiske stilling.

Det forudsættes i overensstemmelse med NIS 2-direktivets artikel 34, stk. 3, jf. artikel 32, stk. 7, at der lægges vægt på følgende hensyn ved pålæg af en bøde og ved udmåling af bødens størrelse: 1) overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser, idet bl.a. følgende under alle omstændigheder skal betragtes som alvorlige overtrædelser: a) Gentagne overtrædelser, b) manglende underretning om eller afhjælpning af væsentlige hændelser, c) manglende afhjælpning af mangler efter bindende instrukser fra kompetente myndigheder, d) hindringer for audits eller overvågningsaktiviteter beordret af den kompetente myndighed efter konstatering af en overtrædelse og e) afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende cybersikkerhedsrisikostyringsforanstaltninger eller rapporteringsforpligtelser, der er fastsat i §§ 6, 13, 14, 15 og 16, 2) overtrædelsens varighed, 3) den pågældende enheds relevante tidligere overtrædelser, 4) enhver materiel eller immateriel skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt, 5) hvorvidt der ved overtrædelsen er handlet forsætligt eller uagtsomt, 6) enhver foranstaltning truffet af enheden for at forebygge eller afbøde den materielle eller immaterielle skade, 7) hvorvidt godkendte adfærdskodekser eller godkendte certificeringsmekanismer er overholdt, og 8) i hvilken udstrækning de fysiske eller juridiske personer, der holdes ansvarlige for overtrædelsen, samarbejder med de kompetente myndigheder.

De almindelige regler i straffelovens kapitel 10 om henholdsvis strafskærpende og strafformildende omstændigheder skal ligeledes iagttages ved anvendelsen af nærværende strafbestemmelser.

Den fastsatte bøde skal i overensstemmelse med NIS 2-direktivets artikel 34, stk. 1, være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning under hensyntagen til omstændighederne i den konkrete sag.

Bøde vil i overensstemmelse med NIS 2-direktivets artikel 34, stk. 2, kunne pålægges i tillæg til håndhævelsesforanstaltningerne i de foreslåede §§ 23, 24 og 26.

Det bemærkes, at fastsættelsen af straffen fortsat vil bero på domstolenes konkrete vurdering i det enkelte tilfælde af samtlige omstændigheder i sagen, og de angivne strafniveauer vil kunne fraviges i op- eller nedadgående retning, hvis der i den konkrete sag foreligger skærpende eller formildende omstændigheder, jf. herved de almindelige regler om straffens fastsættelse i straffelovens 10. kapitel.

Der henvises i øvrigt til lovforslagets pkt. 3.5.