NIS 2-loven § 6

Efter artikel 14, stk. 1, NIS 1-direktivet, skulle medlemsstaterne sikre, at operatører af væsentlige tjenester træffer passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som de anvender til deres aktiviteter. Under hensyntagen til teknologiens aktuelle stade skulle disse foranstaltninger sikre et sikkerhedsniveau for net- og informationssystemer, der står i forhold til risikoen. Efter artikel 14, stk. 2, skulle medlemsstaterne sikre, at operatører af væsentlige tjenester traf passende foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i net- og informationssystemer, som anvendes til levering af væsentlige tjenester, med henblik på at sikre kontinuiteten i disse tjenester.

Det følger desuden af NIS 1-direktivets artikel 16, stk. 1, at medlemsstaterne skal sikre, at udbydere af digitale tjenester identificerer og træffer passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene i forhold til sikkerheden i net- og informationssystemer, som de anvender i forbindelse med de omfattede digitale tjenester. Under hensyntagen til teknologiens aktuelle stade skal disse foranstaltninger sikre et sikkerhedsniveau for net- og informationssystemer, der står i forhold til risikoen, under hensyntagen til: a) Systemers og faciliteters sikkerhed, b) håndtering af hændelser, c) styring af driftskontinuitet, d) monitorering, audit og testning og e) overholdelse af internationale standarder. Efter artikel 16, stk. 2, skal medlemsstaterne sikre, at udbydere af digitale tjenester træffer foranstaltninger for at forebygge og minimere konsekvensen af hændelser, der berører sikkerheden i deres net- og informationssystemer, for så vidt angår de onlinemarkedspladser, onlinesøgemaskiner og cloud-computing-tjenester, og som udbydes i Unionen, for at sikre kontinuiteten i disse tjenester.

NIS 1-direktivet blev i dansk ret gennemført sektorvist i regulering gældende for de specifikke sektorer, hvor direktivet finder anvendelse. For en nærmere gennemgang af den sektorvise implementering af NIS 1-direktivet henvises til afsnit 2.4 i lovforslagets almindelige bemærkninger.

Det følger af det foreslåede stk. 1, at væsentlige og vigtige enheder skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som disse enheder anvender til deres operationer eller til at levere deres tjenester, og for at forhindre hændelser eller minimere deres indvirkning på modtagere af deres tjenester og på andre tjenester. Foranstaltningerne skal som minimum omfatte eller tage højde for: 1) politikker for risikoanalyse og informationssystemsikkerhed, 2) håndtering af hændelser, 3) driftskontinuitet, eksempelvis backup-styring og reetablering efter en katastrofe, og krisestyring, 4) forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere, 5) sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder, 6) politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici, 7) grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse, 8) politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering, 9) personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver og 10) brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt hos enheden, hvor det er relevant.

Den foreslåede bestemmelse vil gennemføre artikel 21, stk. 1-3, i NIS 2-direktivet.

Det fremgår af NIS 2-direktivets artikel 21, stk. 1, at medlemsstaterne skal sikre, at væsentlige og vigtige enheder træffer passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som disse enheder anvender til deres operationer eller til at levere deres tjenester, og for at forhindre hændelser eller minimere deres indvirkning på modtagere af deres tjenester og på andre tjenester. Foranstaltningerne skal under hensyntagen til det aktuelle teknologiske stade og i givet fald til relevante europæiske og internationale standarder samt gennemførelsesomkostningerne tilvejebringe et sikkerhedsniveau i net- og informationssystemer, der står i forhold til risiciene. Ved vurderingen af proportionaliteten af disse foranstaltninger skal der tages behørigt hensyn til graden af enhedens eksponering for risici, enhedens størrelse og sandsynligheden for hændelser og deres alvor, herunder deres samfundsmæssige og økonomiske indvirkning.

Det fremgår af NIS 2-direktivets artikel 21, stk. 2, at de i stk. 1 omhandlede foranstaltninger skal baseres på en tilgang, der omfatter alle farer og sigter på at beskytte net- og informationssystemer og disse systemers fysiske miljø mod hændelser, og mindst omfatte følgende: a) politikker for risikoanalyse og informationssystemsikkerhed, b) håndtering af hændelser, c) driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring, d) forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere, e) sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder, f) politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici, g) grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse, h) politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering, i) personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver og j) brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.

Efter NIS 2-direktivets artikel 21, stk. 3, skal medlemsstaterne sikre, at enhederne, når de overvejer hvilke foranstaltninger efter artikel 21, stk. 2, litra d, om forsyningskædesikkerhed der er passende, skal tage hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den generelle kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer. Enhederne skal desuden tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der kan foretages af Samarbejdsgruppen i samarbejde med Europa-Kommissionen og ENISA i overensstemmelse med NIS 2-direktivets artikel 22, stk. 1.

Det fremgår endvidere af NIS 2-direktivets artikel 25, stk. 1, at for at sikre en samordnet gennemførelse af artikel 21, stk. 1 og 2, tilskynder medlemsstaterne til at benytte europæiske og internationale standarder og tekniske specifikationer, der er relevante for sikkerheden i net- og informationssystemer, uden at de påtvinger eller forskelsbehandler til fordel for anvendelse af en bestemt type teknologi.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at formuleringen »i net- og informationssystemer, som disse enheder anvender til deres operationer eller til at levere deres tjenester« i NIS 2-direktivets artikel 21, stk. 1, skal forstås som alle de net- og informationssystemer, som disse enheder anvender til deres operationer, eller til at levere deres tjenester.

Bestemmelsen vedrører således alle den pågældende enheds operationer og tjenester, ikke kun specifikke it-aktiver eller kritiske tjenester, som enheden leverer. Der henvises til lovforslagets pkt. 3.1.1.

I overensstemmelse med NIS 2-direktivets præambelbetragtning nr. 82, er det Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at foranstaltninger til styring af cybersikkerhedsrisici bør stå i et passende forhold til graden af de væsentlige eller vigtige enheders risikoeksponering og til den samfundsmæssige og økonomiske indvirkning, som en hændelse ville have. Ved fastlæggelsen af foranstaltninger til styring af cybersikkerhedsrisici, der er tilpasset væsentlige og vigtige enheder, bør der tages behørigt hensyn til væsentlige og vigtige enheders forskellige risikoeksponering, herunder enhedens kritiske betydning, de risici, herunder samfundsmæssige risici, som den er eksponeret for, enhedens størrelse og sandsynligheden for hændelser og deres alvor, herunder deres samfundsmæssige og økonomiske indvirkning.

I overensstemmelse med direktivets forudsætninger, som udtrykt i præambelbetragtning nr. 83, 2. pkt., vil forpligtelsen til at indføre foranstaltninger til styring af cybersikkerhedsrisici finde anvendelse på væsentlige og vigtige enheder, uanset om de selv vedligeholder deres net- og informationssystemer eller outsourcer vedligeholdelsen deraf.

I overensstemmelse med præambelbetragtning nr. 79 skal foranstaltningerne omfatte alle farer og sigte på at beskytte net- og informationssystemer og de pågældende systemers fysiske miljø mod enhver begivenhed såsom tyveri, brand, oversvømmelse, telekommunikations- eller strømsvigt, eller uautoriseret fysisk adgang til, beskadigelse af eller indgreb i en væsentlig eller vigtig enheds informations- og informationsbehandlingsfaciliteter, som kan kompromittere tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemerne. Foranstaltningerne bør derfor også adressere den fysiske og miljømæssige sikkerhed i net- og informationssystemerne ved at inkludere foranstaltninger til beskyttelse af sådanne systemer mod systemsvigt, menneskelige fejl, ondsindede handlinger eller naturfænomener i overensstemmelse med europæiske og internationale standarder såsom dem, der indgår i ISO/IEC 27000-serien.

I overensstemmelse med direktivets artikel 25, stk. 1 og præambelbetragtning nr. 80, bør medlemsstaterne i samråd med samarbejdsgruppen og Den Europæiske Cybersikkerhedscertificeringsgruppe fremme væsentlige og vigtige enheders anvendelse af relevante europæiske og internationale standarder eller kan eventuelt kræve, at enhederne anvender certificerede IKT-produkter, -tjenester og -processer. Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at relevante europæiske og internationale standarder som for eksempel ISO/IEC 27000-serien, IEC 62443 standarder, NIST standarder og ETSI TR 103 305 standarder kan anvendes som et rammeværktøj til at træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger.

Hertil kommer, at EU-Kommissionen den 17. oktober 2024 vedtog gennemførelsesforordning (EU) 2024/2690 om regler for anvendelsen af NIS 2-diektivet for så vidt angår tekniske og metodologiske krav til foranstaltninger til styring af cybersikkerhedsrisici og yderligere præcisering af de tilfælde, hvor en hændelse anses for at være væsentlig, for så vidt angår DNS-tjenesteudbydere, topdomænenavneadministratorer og udbydere af cloudcomputingtjenester, af datacentertjenester, af indholdsleveringsnetværk, af administrerede tjenester, af administrerede sikkerhedstjenester, af onlinemarkedspladser, af onlinesøgemaskiner og af platforme for sociale netværkstjenester og af tillidstjenester. Gennemførelsesforordningen finder således kun anvendelse for DNS-tjenesteudbydere, topdomænenavneadministratorer og udbydere af cloudcomputingtjenester, af datacentertjenester, af indholdsleveringsnetværk, af administrerede tjenester, af administrerede sikkerhedstjenester, af onlinemarkedspladser, af onlinesøgemaskiner og af platforme for sociale netværkstjenester og af tillidstjenester.

I overensstemmelse med direktivets forudsætninger, som udtrykt i præambelbetragtning nr. 81, bør foranstaltninger til styring af cybersikkerhedsrisici stå i et rimeligt forhold til den risiko, det pågældende net- og informationssystem er udsat for, under hensyntagen til sådanne foranstaltningers aktuelle teknologiske stade og i givet fald til relevante europæiske og internationale standarder samt omkostningerne ved deres gennemførelse med henblik på at undgå, at operatører af væsentlige og vigtige enheder pålægges en uforholdsmæssig stor økonomisk og administrativ byrde.

Det bemærkes, at krav om foranstaltninger over for enheder skal stå i et passende forhold til graden af de væsentlige eller vigtige enheders risikoeksponering og til den samfundsmæssige og økonomiske indvirkning, som en hændelse ville have. Der vil således være tale om en konkret vurdering af enhedens samfundskritikalitet. Det bemærkes, at den kompetente myndighed som led i sin generelle vejledningsforpligtelse over for enheder, vil kunne yde vejledning til omfattede enheder vedrørende foranstaltninger.

Det foreslås i nr. 1, at foranstaltningerne skal omfatte politiker for risikoanalyse og informationssystemsikkerhed.

Dette vil bl.a. indebære, at enheden skal udarbejde en politik for informationssikkerhed, der fastlægger den overordnede ramme for implementering af foranstaltninger, jf. § 6, stk. 1, nr. 1-10, som understøtter sikkerheden i enhedens net- og informationssystemer. Enheder skal endvidere udarbejde en politik for risikostyring, som indeholder metoder til at identificere og adressere eventuelle risici.

Det følger af det foreslåede nr. 2, at foranstaltningerne skal omfatte håndtering af hændelser.

Dette vil bl.a. indebære, at enheder skal udarbejde procedurer for håndtering af hændelser. Enheder skal i fornødent omfang implementere logning og monitorering af uregelmæssigheder i enhedens net- og informationssystemer med henblik på at kunne identificere hændelser. Logdata skal derudover sikres mod manipulation og beskyttes mod uautoriseret adgang.

Det foreslås i nr. 3, at foranstaltningerne skal omfatte driftskontinuitet, herunder backup-styring og reetablering efter en katastrofe og krisestyring.

Dette vil indebære, at enheder skal udarbejde procedurer til sikring af driftskontinuitet i tilfælde af en hændelse. På grundlag af enhedernes risikostyring, jf. nr. 2, og driftskontinuitets-procedure, skal enheder således udarbejde procedurer for backupstyring og gendannelse af data. Enheder skal foretage en vurdering af behovet for at udarbejde en beredskabsplan for krisestyring og reetablering efter en katastrofe. Enheder skal foretage en vurdering af, om der er behov for at etablere redundans, nødstrømsforsyning, understøttende forsyning eller anden sikring med tilsvarende virkning for enhedens net- og informationssystemer.

Det foreslås i nr. 4, at foranstaltninger skal omfatte forsyningssikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere.

Dette vil indebære, at enheder skal udarbejde procedurer for leverandørstyring for at sikre passende forsyningskædesikkerhed. Der henvises i den forbindelse til NIS 2-direktivets artikel 21, stk. 3, hvoraf det følger, at enhederne, når de overvejer, hvilke foranstaltninger, der er passende, tager hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den generelle kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer. Det fremgår i forlængelse heraf, at medlemsstaterne sikrer, at enhederne, når de overvejer, hvilke foranstaltninger omhandlet § 21, stk. 2, litra d, der er passende, er forpligtet til at tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der foretages i overensstemmelse med artikel 22, stk. 1, hvoraf det fremgår, at samarbejdsgruppen i samarbejde med Kommissionen og ENISA kan foretage koordinerede sikkerhedsrisikovurderinger af specifikke kritiske IKT-tjenester, -systemer eller -produktforsyningskæder under hensyntagen til tekniske og, hvor det er relevant, ikketekniske risikofaktorer.

Der henvises i endvidere til NIS 2-direktivets præambelbetragtning nr. 85, hvoraf det fremgår, at håndtering af risici, der stammer fra en enheds forsyningskæde og dens forhold til sine leverandører såsom udbydere af datalagrings- og databehandlingstjenester eller udbydere af administrerede sikkerhedstjenester og softwareudgivere, er særlig vigtig i betragtning af udbredelsen af hændelser, hvor enheder har været udsat for cyberangreb, og hvor ondsindede gerningspersoner har været i stand til at kompromittere sikkerheden af en enheds net- og informationssystemer ved at udnytte sårbarheder, der påvirker tredjepartsprodukter og -tjenester. Væsentlige og vigtige enheder bør derfor vurdere og tage hensyn til den generelle kvalitet og modstandsdygtighed af produkter og tjenester, de heri integrerede foranstaltninger til styring af cybersikkerhedsrisici og deres leverandørers og tjenesteudbyderes cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer. Væsentlige og vigtige enheder bør navnlig tilskyndes til at indarbejde foranstaltninger til styring af cybersikkerhedsrisici i kontraktlige arrangementer med deres direkte leverandører og tjenesteudbydere. Disse enheder kunne overveje risici hidrørende fra leverandører og tjenesteudbydere i andre led.

I overensstemmelse hermed bør procedurer efter det foreslåede nr. 4, tage højde for sikkerhedsrelaterede aspekter vedrørende forholdet mellem enheden og dens direkte leverandører og tjenesteudbydere relateret til enhedens net- og informationssystemer. Enheder skal i den forbindelse bl.a. udarbejde procedurer for aftaleindgåelse med direkte leverandører og tjenesteudbydere af produkter og tjenester, der kan påvirke sikkerheden i enhedens net -og informationssystemer.

Det foreslås i nr. 5, at foranstaltninger skal omfatte sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.

Dette vil indebære, at enheder skal udarbejde procedurer for sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af enhedens net- og informationssystemer, med udgangspunkt i politikken for informationssystemsikkerhed. Enheder skal endvidere udarbejde procedurer for håndtering af sårbarheder, der kan have indvirkning på enhedens net- og informationssystemer,

Det foreslås med nr. 6, at foranstaltninger skal omfatte politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.

Dette vil indebære, at enheder skal udarbejde en politik og procedurer med henblik på at vurdere effektiviteten af de implementerede foranstaltninger samt for vurdering af behov for tekniske tests for potentielle sårbarheder, herunder f.eks. i form af sårbarheds-scanninger eller penetrationstests.

Det foreslås i nr. 7, at foranstaltninger skal omfatte grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.

Dette vil bl.a. indebære, at enheder skal implementere relevante grundlæggende cyberhygiejnepraksisser med udgangspunkt i deres politik for informationssikkerhed, herunder f.eks. gennem brug af passwords og sikker brug af e-mails. Endvidere skal enheder udarbejde en politik for uddannelse af relevante medarbejdere for at sikre, at medarbejderne har relevant viden og færdigheder om informationssikkerhed

Det foreslås med nr. 8, at foranstaltninger skal omfatte politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.

Dette vil bl.a. indebære, at enheder skal udarbejde en politik og procedurer for brug af kryptografi og, hvor det er relevant, kryptering for at beskytte deres net- og informationssystemer. Politikken og procedurerne skal være passende i forhold til det aktuelle teknologiske stade.

Det foreslås i nr. 9, at foranstaltninger skal omfatte personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.

Dette vil bl.a. indebære, at enhederne skal implementere foranstaltninger til personalesikkerhed, der skal sikre, at den enkelte medarbejder forstår, udviser og forpligter sig til at leve op til deres ansvar for informationssikkerhed.

Enheder skal derudover udarbejde en politik for adgangskontrol for at beskytte mod uautoriseret adgang til enhedens net- og informationssystemer. Politikken skal som minimum identificere og vurdere risici i forhold til logisk og fysisk adgangskontrol og indeholde procedurer for styring af adgangsrettigheder.

Enheder skal fastlægge hvordan den forvalter aktiver, der vil kunne påvirke sikkerheden i enhedens net- og informationssystemer.

Det foreslås med nr. 10, at foranstaltninger skal omfatte brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt hos enheden, hvor det er relevant.

Dette vil bl.a. indebære, at enheder skal anvende multifaktorautentifikation eller kontinuerlig autentifikation ved adgang til net- og informationssystemer i overensstemmelse med enhedens politik for adgangskontrol. Enheder skal endvidere anvende sikret tale-, video- og tekstkommunikation i overensstemmelse med politikken for brug af kryptografi og kryptering og under hensyntagen til kommunikationsmidlernes tilgængelighed, også i en nødsituation.

Det følger af det foreslåede stk. 2, at en enhed, der ikke overholder ét eller flere krav til foranstaltningerne i stk. 1 eller regler om krav til foranstaltninger fastsat i medfør af stk. 3, uden unødigt ophold skal træffe alle nødvendige, passende og forholdsmæssige korrigerende foranstaltninger.

Den foreslåede bestemmelse vil gennemføre NIS 2-direktivets artikel 21, stk. 4. Efter NIS 2-direktivets artikel 21, stk. 4, skal medlemsstaterne sikre, at en enhed, der finder, at den ikke overholder foranstaltningerne i artikel 21, stk. 2, uden unødigt ophold træffer alle nødvendige, passende og forholdsmæssige korrigerende foranstaltninger.

Den foreslåede bestemmelse i stk. 2 understreger, at enheder vil skulle handle på eventuelle konstateringer af mangler i overholdelsen af de krav til foranstaltninger, der følger af det foreslåede stk. 1 og regler om krav til foranstaltninger udstedt i medfør af det foreslåede stk. 3. Dette skal ses i sammenhæng med den foreslåede § 7 om ledelsens ansvar.

Det følger af det foreslåede stk. 3, at vedkommende minister efter forhandling med ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler om foranstaltninger efter stk. 1.

Det er Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at de ansvarlige ressortministre bør bemyndiges til at konkretisere lovens generelle krav om foranstaltninger, såfremt særlige sektorspecifikke hensyn tilsiger. En sådan konkretisering bør ske i bekendtgørelsesform med henblik på at sikre, at der løbende og smidigt kan ske en tilpasning af kravene i takt med den teknologiske udvikling og udviklingen i trusselsbilledet. Reglerne bør udstedes af de enkelte ressortministre efter forhandling med ministeren for samfundssikkerhed og beredskab, jf. afsnit 2.2.

Den foreslåede bestemmelse vil indebære, at de relevante ressortministre inden for deres områder – efter forhandling med ministeren for samfundssikkerhed og beredskab – kan fastsætte nærmere regler om de foranstaltninger, som væsentlige og vigtige enheder skal træffe til styring af cybersikkerhedsrisici. Bemyndigelsesbestemmelsen forudsættes anvendt i tilfælde, hvor særlige sektorspecifikke hensyn tilsiger et behov for konkretisering af denne lovs krav til foranstaltninger.

Det foreslåede vil indebære, at der vil blive udarbejdet sektorspecifikke bekendtgørelser, som i relevant omfang vil kunne tilpasses de enkelte sektorers specifikke forhold, ligesom der i overensstemmelse med direktivets forudsætninger ud fra en risikobaseret tilgang vil kunne fastsættes differentierede regler henset til eksempelvis forskellige kategorier af enheder inden for samme sektor, henset til forskelle i enhedernes risikoeksponering, størrelse og den potentielle samfundsmæssige og økonomiske betydning af eventuelle hændelser.

Efter det foreslåede stk. 3 vil reglerne skulle udstedes efter forhandling med ministeren for samfundssikkerhed og beredskab. Formålet med kravet om forhandling med ministeren for samfundssikkerhed og beredskab er at sikre, at der opnås ensartethed på tværs af de sektorspecifikke bekendtgørelser, dog under hensyntagen til særlige sektorforhold og eventuelle behov for differentiering af reglerne inden for sektorerne.

Det bemærkes, at Europa-Kommissionens gennemførelsesforordning (EU) 2024/2690 fastsætter de tekniske og metodologiske krav til de foranstaltninger, der er omhandlet i NIS 2-direktivets artikel 21, stk. 2, for så vidt angår DNS-tjenesteudbydere, topdomænenavneadministratorer og udbydere af cloudcomputingtjenester, at datacentertjenester, af indholdsleveringsnetværk, af administrerede tjenester, af administrerede sikkerhedstjenester, af on-linmarkedspladser af onlinesøgemaskiner og af platforme for sociale netværkstjenester og af tillidstjenester.

Det følger af direktivets præambelbetragtning nr. 84, at de i artikel 21, stk. 5, 1. led, omhandlede enheder – i betragtning af deres grænseoverskridende karakter – bør være underlagt en høj grad af harmonisering på EU-plan. Det anføres i den forbindelse, at gennemførelsen af foranstaltninger til styring af cybersikkerhedsrisici med hensyn til disse enheder derfor bør lettes ved hjælp af en gennemførelsesretsakt.

For så vidt angår andre væsentlige og vigtige enheder end dem, der er omhandlet i direktivets artikel 21, stk. 5, 1. led., fremgår det af direktivets artikel 21, stk. 5, 2. led., at Europa-Kommissionen kan vedtage gennemførelsesretsakter, der fastsætter de tekniske og metodologiske, samt om nødvendigt sektorspecifikke, krav til de i direktivets artikel 21, stk. 2, omhandlede foranstaltninger.

Det vides endnu ikke, om Europa-Kommissionen vil vælge at vedtage gennemførelsesretsakter i medfør af artikel 21, stk. 5, 2. led, samt i givet fald indholdet heraf. Det er på denne baggrund Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at udstedelsen af bekendtgørelser i medfør af den foreslåede bemyndigelse i stk. 3, ikke behøver at afvente Europa-Kommissionens eventuelle vedtagelse af de nævnte gennemførelsesretsakter.

Det vil til enhver tid skulle sikres, at bekendtgørelser i medfør af det foreslåede stk. 3 harmonerer med eventuelle gennemførelsesretsakter fra Europa-Kommissionen. Såfremt der måtte være udstedt bekendtgørelser på et tidspunkt, hvor Europa-Kommissionen vedtager gennemførelsesretsakter, vil disse bekendtgørelser i relevant omfang skulle tilpasses eller efter omstændighederne ophæves.

Der henvises i øvrigt til afsnit 3.2 i lovforslagets almindelige bemærkninger.