NIS 2-loven § 4

Der var i artikel 5, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS 1-direktivet) en forpligtelse for medlemsstaterne til at identificere operatører af væsentlige tjenester, der opererer på deres område for en række nærmere angivne sektorer og delsektorer.

Efter NIS 1-direktivets artikel 5, stk. 2, er en operatør af væsentlige tjenester følgende: a) en enhed der leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige og/eller økonomiske aktiviteter, b) leveringen af denne tjeneste afhænger af net- og informationssystemer, og c) en hændelse ville få væsentlige forstyrrende virkninger for leveringen af den nævnte tjeneste.

NIS 1-direktivet omfatter også udbydere af digitale tjenester, som er visse udbydere af onlinemarkedspladser, onlinesøgemaskiner og cloud-computing-tjenester, jf. direktivets artikel 4, nr. 5.

NIS 1-direktivet blev i dansk ret gennemført sektorvist i regulering gældende for de specifikke sektorer, hvor direktivet finder anvendelse. For en nærmere gennemgang af den sektorvise implementering af NIS 1-direktivet henvises til afsnit 2.4 i lovforslagets almindelige bemærkninger.

Det følger af det foreslåede stk. 1, at enheder af en type, som er omfattet af lovens bilag 1, anses for at være væsentlige enheder, hvis 1) enheden beskæftiger mere end 250 ansatte, eller 2) har en årlig omsætning på over 50 mio. EUR og en årlig balance på over 43 mio. EUR.

Den foreslåede bestemmelse vil gennemføre artikel 3, stk. 1, litra a, i NIS 2-direktivet. Det følger af direktivets artikel 3, stk. 1, litra a, at enheder af en type, som er omhandlet i direktivets bilag I, og som overskrider tærsklerne for mellemstore virksomheder, der er fastsat i artikel 2, stk. 1, i bilaget til henstilling 2003/361/EF, anses for at være væsentlige enheder.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 3, stk. 1, litra a, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse indeholder to kumulative betingelser for, at en enhed er en væsentlig enhed: 1) enheden skal være af en type, som er omfattet af lovens bilag 1 og 2) enheden skal beskæftige mere end 250 ansatte eller have en årlig omsætning på over 50 mio. EUR og en årlig balance på over 43 mio. EUR. .

De foreslåede størrelseskriterier udgør definitionen af store virksomheder i henhold til artikel 2, stk. 1, i bilaget til Europa-Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.

Den nævnte henstilling fastsætter i artiklerne 3-6, nærmere regler om typer af virksomheder, som tages i betragtning ved beregningen af antal beskæftigede og beløbsstørrelser, om data, der skal anvendes ved beregningen af antal beskæftigede og beløbsstørrelser og referenceperiode, om antal beskæftigede og om fastlæggelse af oplysninger om virksomheden.

Det følger af præambelbetragtning nr. 16 til NIS 2-direktivet, at for at undgå, at enheder, der har partnervirksomheder eller er tilknyttede virksomheder, betragtes som væsentlige eller vigtige enheder, hvor dette ville være uforholdsmæssigt, kan der tages hensyn til den grad af uafhængighed, som en enhed har i forhold til sine partnervirksomheder eller tilknyttede virksomheder, ved at henstillingens artikel 6, stk. 2, om fastlæggelse af oplysninger om virksomheden, anvendes ved vurderingen af, om en enhed er omfattet af NIS 2-direktivet eller ej.

Det fremgår videre af præambelbetragtningen, at der navnlig kan tages hensyn til, om en enhed er uafhængig af sine partnervirksomheder eller tilknyttede virksomheder med hensyn til de net- og informationssystemer, som enheden anvender i forbindelse med leveringen af sine tjenester, og med hensyn til de tjenester, som enheden leverer.

I overensstemmelse med principperne i den nævnte præambelbetragtning vil visse enheder efter omstændighederne, kunne anses for ikke at opfylde NIS 2-direktivets kriterium om at udgøre en mellemstor virksomhed i henhold til artikel 2, i bilaget til henstilling 2003/361/EF, eller for ikke at overskride tærsklerne for en mellemstor virksomhed fastsat i nævnte henstilling, hvis den pågældende enhed i betragtning af dens grad af uafhængighed ikke ville være blevet anset for at udgøre en mellemstor virksomhed eller overskride tærsklerne, hvis kun enhedens egne data var blevet taget i betragtning. Dette vil således medføre, at enheden ikke er omfattet af lovens anvendelsesområde.

Af artikel 2 i den nævnte henstilling fremgår de nærmere definitioner i forhold til antal beskæftigede og finansielle tærskler ved afgrænsning af forskellige virksomhedskategorier. Det følger således af henstillingens artikel 2, stk. 1, at kategorien mikrovirksomheder, små og mellemstore virksomheder (SMV’er) omfatter virksomheder, som beskæftiger under 250 personer, og som har en årlig omsætning på ikke over 50 mio. euro eller en årlig samlet balance på ikke over 43 mio. euro.

Det er Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at enhed vil skulle beskæftige 250 personer eller derover eller have en årlig omsætning på over 50 mio. EUR og en årlig balance, der overstiger 43 mio. euro, for at kunne anses for væsentlig i henhold til NIS 2-direktivets artikel 3, stk. 1 og den foreslåede bestemmelse i § 4, stk. 1.

Det følger af det foreslåede stk. 2, at i kommuner og regioner anses som væsentlige enheder, såfremt de med et kommercielt formål udfører opgaver som udbydere af offentlige elektroniske kommunikationsnet eller udbydere af offentligt tilgængelige elektroniske kommunikationstjenester, og 1) beskæftiger mere end 50 personer, eller 2) har en årlig omsætning på over 10 mio. EUR og en årlig samlet balance på over 10 mio. EUR.

En kommune eller region vil således skulle beskæftige over 50 personer men under 250 personer og have en årlig omsætning på over 10 mio. euro, men ikke over 50 mio. euro eller have en årlig samlet balance på over 10 mio. euro, men ikke over 43 mio. euro for at kunne anses for væsentlig i henhold til NIS 2-direktivets artikel 3, stk. 1, litra c, og den foreslåede bestemmelse i § 4, stk. 2.

I tilfælde hvor en kommune eller region måtte overskride tærsklerne for at være en mellemstor virksomhed, vil enheden være at betragte som en væsentlig enhed i medfør af den foreslåede bestemmelse i § 4, stk. 1.

Bestemmelsen skal ses i lyset af, at der for henholdsvis kommuner og regioner forventes at blive fastsat tværgående regler. På den baggrund vil det efter Ministeriet for Samfundssikkerhed og Beredskabs opfattelse være uhensigtsmæssigt, såfremt kommuner og regioner, der måtte udføre opgaver som udbydere af offentlige elektroniske kommunikationsnet eller udbydere af offentligt tilgængelige elektroniske kommunikationstjenester omfattes af det samtidig fremsatte forslag til lov om sikkerhed og beredskab i telesektoren. Det er dog samtidig Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at der for kommuner og regioner som udbyder offentlige elektroniske kommunikationsnet eller udbydere af offentligt tilgængelige elektroniske kommunikationstjenester, samt teleudbydere, der er omfattet af forslag til lov om sikkerhed og beredskab i telesektoren, bør fastsættes samme definition. For at sikre overensstemmelse mellem definitionerne af teleudbydere denne lov og lov om sikkerhed og beredskab i telesektoren, er det Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at kommuner og regioner som udbyder offentlige elektroniske kommunikationsnet eller udbydere af offentligt tilgængelige elektroniske kommunikationstjenester alene skal omfattes af reguleringen af nærværende lov, hvis de i øvrigt opfylder kriterierne for at være omfattet af lov om sikkerhed og beredskab i telesektoren.

Det følger af bemærkningerne til forslag til lov om sikkerhed og beredskab i telesektoren, pkt. 3.1.3, at det ”er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at udbydere af offentlige elektroniske kommunikationsnet eller af offentligt tilgængelige elektroniske kommunikationstjenester alene skal anses for at være væsentlige og vigtige teleudbydere, hvis teleudbyderen med et kommercielt formål udbyder offentlige elektroniske kommunikationsnet eller offentligt tilgængelige kommunikationstjenester som sin hovedydelse eller som en ikke-accessorisk del af virksomheden. ”

Det følger i forlængelse heraf af bemærkningerne til forslag til lov om sikkerhed og beredskab i telesektoren, pkt. 3.1.3, at ”Formålet med denne præcisering af udbyderbegrebet er at sikre, at de nye¬skærpede regler efter NIS 2-direktivet ikke finder anvendelse for udbydere, der ikke meningsfuldt kan siges at falde ind under kategorien væsentlige eller vigtige teleudbydere efter NIS 2-direktivet. Disse typer udbydere bør¬derfor i stedet falde ind under kategorien ”teleudbydere” med en videreførelse af de samme krav, som gælder for disse udbydere i dag. ”

På denne baggrund er det Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at kommuner og regioner, som udfører opgaver som udbydere af offentlige elektroniske kommunikationsnet eller udbydere af offentligt tilgængelige elektroniske kommunikationstjenester, alene vil være omfattet af denne lov, hvis udbuddet sker med et kommercielt formål.

I overensstemmelse med NIS 2-direktivets artikel 6, nr. 36, skal »offentligt elektronisk kommunikationsnet« forstås på samme måde som i artikel 2, nr. 8, i direktiv (EU) 2018/1972. Ved offentligt elektronisk kommunikationsnet forstås således et elektronisk kommunikationsnet, som udelukkende eller overvejende bruges til udbud af elektroniske kommunikationstjenester, der er tilgængelige for offentligheden, og som danner grundlag for overførsel af information mellem nettermineringspunkter.

I overensstemmelse med NIS 2-direktivets artikel 6, nr. 37, skal »elektronisk kommunikationstjeneste« forstås på samme måde som i artikel 2, nr. 4, i direktiv (EU) 2018/1972. Ved elektronisk kommunikationstjeneste forstås således en tjeneste, som normalt ydes mod betaling via elektroniske kommunikationsnet, og som med undtagelse af tjenester, der består i tilrådighedsstillelse af eller udøvelse af redaktionel kontrol over indhold fremført via elektroniske kommunikationsnet og –tjenester omfatter følgende tjenester: a) »Internetadgangstjenester« som defineret i artikel 2, andet afsnit, nr. 2, i forordning (EU) 2015/2120, b) »interpersonelle kommunikationstjenester«, og c) tjenester, der udelukkende eller overvejende består i overføring af signaler, f.eks. transmissionstjenester, der anvendes til levering af maskine-til-maskine-tjenester og til radio- og tv-spredning.

Den foreslåede bestemmelse vil delvist gennemføre artikel 3, stk. 1, litra c, i NIS 2-direktivet. Det følger af artikel 3, stk. 1, litra c, at udbydere af offentlige elektroniske kommunikationsnet eller af offentligt tilgængelige elektroniske kommunikationstjenester, der udgør mellemstore virksomheder i henhold til artikel 2, i bilaget til henstilling 2003/361/EF, anses for at være væsentlige enheder.

Det følger af det foreslåede stk. 3, at uanset deres størrelse anses følgende enheder for at være væsentlige enheder: 1) kvalificerede tillidstjenesteudbydere og topdomæneadministratorer samt DNS-tjenesteudbydere, 2) offentlige forvaltningsenheder under den centrale forvaltning, 3) enheder, der er identificeret som kritiske enheder i henhold til lov om kritiske enheders modstandsdygtighed og 4) enheder, der er blevet identificeret som operatører af væsentlige tjenester i overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, jf. dog § 5, stk. 2 og 5) øvrige enheder af en type, som er omfattet af lovens bilag 1 eller 2, hvor mindst én af følgende betingelser er opfyldt, jf. dog § 5, stk. 2: a) enheden er den eneste udbyder i Danmark af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, b) en forstyrrelse af den tjeneste, som enheden leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden, c) en forstyrrelse af den tjeneste, som enheden leverer, vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer hvor en sådan forstyrrelse kan have en grænseoverskridende virkning eller d) enheden er kritisk på grund af sin specifikke betydning på nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i Danmark.

Den foreslåede bestemmelse vil gennemføre artikel 3, stk. 1, litra b og d-g, i NIS 2-direktivet. Det fremgår således af direktivets artikel 3, stk. 1, litra b og d-g, at følgende enheder anses for at være væsentlige enheder: b) kvalificerede tillidstjenesteudbydere og topdomænenavneadministratorer samt DNS-tjenesteudbydere, uanset deres størrelse, d) offentlige forvaltningsenheder omhandlet i artikel 2, stk. 2, litra f, nr. i, e) alle andre enheder af en type omhandlet i direktivets bilag I eller II, som en medlemsstat har identificeret som væsentlige enheder i medfør af artikel 2, stk. 2, litra b-e, f) enheder, der er identificeret som kritiske enheder i henhold til direktiv (EU) 2022/2557, og g) hvis medlemsstaten træffer afgørelse herom, enheder, som den pågældende medlemsstat inden den 16. januar 2023 har identificeret som operatører af væsentlige tjenester i overensstemmelse med direktiv (EU) 2016/1148 eller national ret.

Den foreslåede bestemmelse svarer indholdsmæssigt til NIS 2-direktivets artikel 3, stk. 1, litra b og d-g, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Det følger af det foreslåede nr. 1, at kvalificerede tillidstjenesteudbydere og topdomæneadministratorer samt DNS-tjenesteudbydere anses for at være væsentlige enheder.

Ved kvalificerede tillidstjenesteudbydere forstås en tillidstjenesteudbyder, der udbyder en eller flere kvalificerede tillidstjenester og har fået tildelt status som kvalificeret tillidstjenesteudbyder af tilsynsorganet, jf. artikel 3, nr. 20 i i Europa-Parlamentets og Rådets forordning (eu) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF, jf. NIS 2-direktivets artikel 6, nr. 26.

Ved topdomæneadministrator forstås en enhed, der har fået uddelegeret et specifikt topdomæne, og som er ansvarlig for at administrere topdomænet, herunder registrering af domænenavne under topdomænet og den tekniske drift af topdomænet, hvilket inkluderer driften af dets navneservere, vedligeholdelsen af dets databaser og distributionen af topdomænezonefiler til navneservere, uanset om hvorvidt nogen af disse operationer udføres af enheden selv eller outsources, men ikke situationer, hvor topdomænenavne kun anvendes af en administrator til eget brug, jf. NIS 2-direktivets artikel 6, nr. 21.

Ved DNS-tjenesteudbydere forstås en enhed, der leverer a) offentligt tilgængelige rekursive domænenavnsoversættelsestjenester til internetslutbrugere, eller b) autoritative domænenavnsoversættelsestjenester til tredjepartsbrug, med undtagelse af rodnavneservere, jf. NIS 2-direktivets artikel 6, nr. 20.

Det følger af det foreslåede nr. 2, at offentlige forvaltningsenheder under den centrale forvaltning myndigheder anses for at være væsentlige enheder.

Det bemærkes, at det i overensstemmelsen med NIS 2-direktivets artikel 6, nr. 35 og NIS 2-direktivets artikel 2, litra f, i), følger af det foreslåede § 1, stk. 1, at omfattet af lovens anvendelsesområde er statslige myndigheder, som anses som en offentlig forvaltningsenhed under den centrale forvaltning.

Omfattet af den foreslåede bestemmelse i nr. 2, vil være enheder, som er statslige myndigheder, og som opfylder betingelserne for at blive anset som offentlige forvaltningsenheder. Dette betyder, at f.eks. departementer, styrelser og institutioner som f.eks. Udbetaling Danmark må anses som omfattet af loven. Det bemærkes i den forbindelse, at Udbetaling Danmark har organisatorisk tilknytning til Beskæftigelsesministeriet, træffer afgørelser i forhold til borgere og virksomheder, er oprettet ved lov og omfattet af forvaltningsloven.

Der henvises i øvrigt til bemærkningerne til det foreslåede § 1, stk. 1.

Det følger af det foreslåede nr. 3, at enheder, der er identificeret som kritiske enheder i henhold til lov om kritiske enheders modstandsdygtighed, anses for at være væsentlige enheder.

Den foreslåede bestemmelse vil således medføre, at enheder, der er identificeret som kritiske i henhold til det samtidigt fremsatte forslag til lov om kritiske enheders modstandsdygtighed, vil anses som væsentlige enheder i henhold til nærværende lov. Bestemmelsen skaber således en forbindelse mellem implementeringen af henholdsvis NIS 2- og CER-direktiverne, jf. hertil lovforslagets pkt. 2.3.

Det følger af det foreslåede nr. 4, at enheder, der er blevet identificeret som operatører af væsentlige tjenester i overensstemmelse med NIS 1-direktivet, anses for at være væsentlige enheder.

Den foreslåede bestemmelse vil delvist gennemføre NIS 2-direktivets artikel 3, stk. 1, litra g. Det følger af den nævnte artikel, at hvis medlemsstaten træffer afgørelse herom anses enheder, som den pågældende medlemsstat inden den 16. januar 2023 har identificeret som operatører af væsentlige tjenester i overensstemmelse med NIS 1-direktivet eller national ret, for at være væsentlige enheder.

Den foreslåede bestemmelse vil således medføre, at enheder, der i dag er identificeret som operatører af væsentlige tjenester efter den nationale regulering, der gennemfører NIS 1-direktivet, vil være omfattet af nærværende lov som væsentlige enheder.

Det foreslås med nr. 5, at øvrige enheder af en type, som er lovens bilag 1 eller 2, anses for at være væsentlige enheder, hvor: a) enheden er den eneste udbyder i Danmark af en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, b) en forstyrrelse af den tjeneste, enheden leverer, vil kunne have væsentlig indvirkning på den offentlige sikkerhed eller folkesundheden, c) en forstyrrelse af den tjeneste, enheden leverer, vil kunne medføre en væsentlig systemisk risiko, navnlig for sektorer hvor en sådan forstyrrelse kan have en grænseoverskridende virkning, eller d) enheden er kritisk på grund af sin specifikke betydning på nationalt eller regionalt plan for den pågældende sektor eller type af tjeneste eller for andre indbyrdes afhængige sektorer i Danmark.

Af lovens bilag 1 fremgår følgende sektorer af særlig kritisk betydning: 1) transport med delsektorerne: a) luft, b) jernbane, c) vand og d) vejtransport, 2) sundhed, 3) drikkevand, 4) spildevand, 5) digital infrastruktur, 6) forvaltning af informations- og kommunikationstjenester (IKT-tjenester) (buisness-to-buisness, 7) offentlig forvaltning og 8) rummet.

Af lovens bilag 2 fremgår følgende andre kritiske sektorer: 1) post og kurertjenester, 2) affaldshåndtering, 3) fremstilling produktion og distribution af kemikalier, 4) produktion, tilvirkning og distribution af fødevarer, 5) fremstilling med delsektorerne: a) Fremstilling af medicinsk udstyr og medicinsk udstyr til in vitro-diagnostik, b) fremstilling af computere og elektroniske og optiske produkter, c) fremstilling af elektrisk udstyr, d) fremstilling af maskiner og udstyr intet andetsteds nævnt, e) fremstilling af motorkøretøjer, påhængsvogne og sættevogne og f) fremstilling af andre transportmidler, 6) digitale udbydere og 7) forskning.

NIS 2-direktivets artikel 3, stk. 1, litra e, lægger op til, at medlemsstaterne kan identificere enheder omfattet af kriterierne i § 4, stk. 3, nr. 5, som enten væsentlige eller vigtige enheder. Henset til de nævnte enheders samfundsmæssige betydning fastslår lovforslaget, at enhederne som udgangspunkt anses for væsentlige enheder. Der foreslås dog en modifikation til dette udgangspunkt i lovforslagets § 5, stk. 2, jf. nedenfor.

Bestemmelsen i stk. 3, nr. 5, har et forholdsvist skønsmæssigt og kvalitativt præg, hvilket kan gøre det vanskeligt for de enkelte enheder at vurdere, om de betragtes som omfattet af lovens krav til henholdsvis væsentlige eller vigtige enheder. Det forudsættes derfor, at de kompetente myndigheder i relevant omfang vejleder enheder inden for deres sektor om forståelsen af § 4, stk. 3, nr. 5.

Det følger af det foreslåede stk. 4, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om kriterier for, hvornår enheder er omfattet af stk. 3, nr. 5.

De kompetente myndigheder vil med den foreslåede bestemmelse kunne uddybe de skønsmæssige kriterier i bestemmelsens stk. 3, nr. 5, således at kriterierne tilpasses særlige sektorspecifikke forhold. De kompetente myndigheder vil eksempelvis kunne fastsætte nærmere regler om, hvornår en forstyrrelse af den tjeneste, som enheder inden for sin sektor, vil kunne medføre en væsentlig systematisk risiko.

For at sikre, at enheder, der er omfattet af flere sektorer, ikke rammes af modsatrettede krav, kan reglerne alene fastsættes efter forhandling med ministeren for samfundssikkerhed og beredskab.

Der henvises i øvrigt til afsnit 3.1 i lovforslagets almindelige bemærkninger.