Den foreslåede § 1 definerer tre centrale begreber i loven. De foreslåede begreber svarer til de gældende definitioner i lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, samt bekendtgørelse nr. 258 af 22. februar 2021 om oplysnings- og underretningspligter vedrørende sikkerhed i net og tjenester og skal fortolkes i overensstemmelse hermed.
Den foreslåede § 1, nr. 1, definerer ”kritiske netkomponenter, systemer og værktøjer” som operations support systemer, network management systemer og business support systemer, der kan benyttes til at aflæse, ændre indhold af eller dirigere data, som relaterer sig til slutbrugere, samt hardware, firmware og software, der anvendes i eller i forbindelse med core-net i mobilnet, fastnet og internet, eller i centrale routere og servere i backbonenettene eller i kontrolenheder, som anvendes til styring i mobilnettenes radionet.
Definitionen vil omfatte de tekniske enheder og systemer i teleinfrastrukturen, der vurderes som værende særligt kritiske og dermed særligt beskyttelsesværdige.
Den foreslåede definition er identisk med definitionen i § 1, nr. 1, i bekendtgørelsen om oplysnings- og underretningspligter vedrørende sikkerhed i net og tjenester. Dette skal ses i lyset af, at dette lovforslags ordning vil udgøre en overbygning på den underretningsordning, som er udmøntet i bekendtgørelsen, og som indebærer, at væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester skriftligt skal underrette Center for Cybersikkerhed forud for, at der indledes forhandlinger om aftaler, der vedrører kritiske netkomponenter, systemer og værktøjer, herunder varetagelse af driften heraf. Med lovforslaget vil der blive skabt mulighed for at nedlægge forbud mod samme type aftaler, jf. bemærkningerne til de foreslåede §§ 2 og 3 samt afsnit 3.1 i de almindelige bemærkninger.
Definitionen vil bl.a. omfatte operations support systemer, der er en samling af softwaresystemer, som bruges til at designe, implementere og drive telenetværkene (både tale og data). Systemerne bruges endvidere i forbindelse med driften til at sikre kundeforbindelserne, så de fungerer efter hensigten. Endvidere vil definitionen omfatte network management systemer, der ofte er tæt integreret til operations support systemerne og anvendes til teknisk at overvåge og styre driften af alle typer af netværk hos teleudbyderne, herunder sikre forbindelserne internt og mellem forskellige teleudbydere. Ligeledes vil der indgå business support systemer, der er tæt integreret til operations support systemerne og har til formål at styre alle kundeforhold, herunder oprettelse og nedlæggelse af abonnementer og forbindelser, samt kundesupport. Business support systemerne anvendes også til afregning af kundens forbrug og til at skabe grundlaget for forretningsudvikling for teleudbyderne ved hjælp af avancerede økonomisystemer (Business Intelligence).
Desuden vil definitionen omfatte radionet/radio access net (RAN), der er den del af et mobilnet, som består af master med radiobasestationer og dataforbindelser til core-nettet. Det er via radionettet, at en mobiltelefon får trådløs adgang til mobilnettet, som derefter sørger for at skabe forbindelse til eksempelvis en anden telefon eller til internettet. Et radionet i Danmark består typisk af flere tusinde radiobasestationer, der geografisk er spredt ud over hele landet for at sikre den bedst mulige dækning.
Core-net i mobilnet består af et større antal forskellige tekniske enheder (servere, routere og fysiske netværk), som binder mobilnetværket sammen. Operations support systemerne og business support systemerne er normalt integreret direkte ind i core-nettet.
Centrale routere og servere i backbonenettene er de vigtige højkapacitetsdataenheder, der sikrer, at datatrafikken sendes de rigtige steder hen, både i egne netværk og til andre teleudbyderes netværk.
Efter den foreslåede § 1, nr. 2, defineres ”slutbruger” som en bruger af net og tjenester, som ikke på kommercielt grundlag stiller de pågældende net og tjenester til rådighed for andre.
Den foreslåede definition er identisk med definitonen i § 1, nr. 2, i bekendtgørelsen om oplysnings- og underretningspligter vedrørende sikkerhed i net og tjenester. Den foreslåede definition svarer med få sproglige forskelle til samme definition i lov om elektroniske kommunikationsnet og -tjenester (teleloven), jf. lovbekendtgørelse nr. 128 af 7. februar 2014 med senere ændringer, og skal fortolkes i overensstemmelse med definitionen af slutbruger i Europa-Parlamentets og Rådets direktiv 2018/1972/EU af 11. december 2018 om oprettelse af en europæisk kodeks for elektronisk kommunikation.
Ved net forstås transmissionssystemer, uanset om det bygger på en permanent infrastruktur eller en centraliseret administrationskapacitet, og, hvor det er relevant, koblings- og dirigeringsudstyr og andre ressourcer, herunder netelementer, der ikke er aktive, som gør det muligt at overføre signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellitnet, jordbaserede fastnet (kredsløbs- og pakkekoblede, herunder i internettet) og mobilnet, elkabelsystemer, i det omfang de anvendes til transmission af signaler, net, som anvendes til radio- og tv-spredning, og kabel-tv-net, uanset hvilken type information der overføres. Net omfatter således alle transmissionssystemer, uanset om de bygger på en permanent infrastruktur eller en centraliseret administrationskapacitet. Ved tjenester forstås elektroniske kommunikationstjenester, der helt eller delvis består i elektronisk overføring af kommunikation i form af lyd, billeder, tekst eller kombinationer heraf ved hjælp af radio- eller telekommunikationsteknik mellem nettermineringspunkter. Et nettermineringspunkt er et fysisk punkt, hvor en slutbruger får adgang til et offentligt elektronisk kommunikationsnet og som for net, hvor der anvendes kobling eller routing, identificeres ved hjælp af en specifik netadresse, som kan være knyttet til slutbrugerens nummer eller navn.
Net vil desuden skulle forstås i overensstemmelse med definitionen af elektronisk kommunikationsnet i telelovens § 2, nr. 4, tjenester vil skulle forstås i overensstemmelse med definitionen af elektronisk kommunikationstjeneste i telelovens § 2, nr. 7, og nettermineringspunkt vil skulle forstås i overensstemmelse med telelovens § 2, nr. 8.
Slutbrugere vil skulle anses som en modsætning til udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester og kan omfatte såvel erhvervsdrivende som ikke-erhvervsdrivende brugere af elektroniske kommunikationsnet eller -tjenester, herunder storkunder og lignende, som i et vist omfang vælger at etablere deres egen elektroniske kommunikationsinfrastruktur og sammenkoble denne med offentlige elektroniske kommunikationsnet med henblik på udveksling af trafik.
Også udbydere af informations- og indholdstjenester vil skulle anses for slutbrugere. Det samme gælder f.eks. radio- og tv-virksomheder og andre virksomheder med særlige kommunikationsbehov.
Efter den foreslåede § 1, nr. 3, defineres ”væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester” som a) udbyder af net, hvor disse net anvendes af mere end 50.000 slutbrugere. Ved opgørelsen medregnes de slutbrugere, der har aftaleforhold med udbyderens kunder. Radio- og tv-stationer, der er udbydere af net, er kun omfattet, hvis de har landsdækkende public service-forpligtelser, samt b) udbyder, der gennem aftaler med statslige myndigheder og institutioner betjener mere end 500 slutbrugere. Ved opgørelsen medregnes de statslige myndigheders og institutioners egne slutbrugere.
Den foreslåede definition svarer til definitonen i § 1, nr. 3, i bekendtgørelsen om oplysnings- og underretningspligter vedrørende sikkerhed i net og tjenester.
En udbyder er den, der med et kommercielt formål stiller produkter, net eller tjenester omfattet af teleloven til rådighed for andre. En erhvervsmæssig udbyder er en udbyder, der med et kommercielt formål udbyder produkter, net eller tjenester omfattet af teleloven som sin hovedydelse eller som en ikke accessorisk del af virksomheden.
Væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester omfatter ikke udbydere af nummeruafhængige interpersonelle kommunikationstjenester (NUIK-tjenester).
Ved net forstås transmissionssystemer, uanset om det bygger på en permanent infrastruktur eller en centraliseret administrationskapacitet, og, hvor det er relevant, koblings- og dirigeringsudstyr og andre ressourcer, herunder netelementer, der ikke er aktive, som gør det muligt at overføre signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellitnet, jordbaserede fastnet (kredsløbs- og pakkekoblede, herunder i internettet) og mobilnet, elkabelsystemer, i det omfang de anvendes til transmission af signaler, net, som anvendes til radio- og tv-spredning, og kabel-tv-net, uanset hvilken type information der overføres. Net omfatter således alle transmissionssystemer, uanset om de bygger på en permanent infrastruktur eller en centraliseret administrationskapacitet. Ved tjenester forstås elektroniske kommunikationstjenester, der helt eller delvis består i elektronisk overføring af kommunikation i form af lyd, billeder, tekst eller kombinationer heraf ved hjælp af radio- eller telekommunikationsteknik mellem nettermineringspunkter. Et nettermineringspunkt er et fysisk punkt, hvor en slutbruger får adgang til et offentligt elektronisk kommunikationsnet og som for net, hvor der anvendes kobling eller routing, identificeres ved hjælp af en specifik netadresse, som kan være knyttet til slutbrugerens nummer eller navn.
Net vil desuden skulle forstås i overensstemmelse med definitionen af elektronisk kommunikationsnet i telelovens § 2, nr. 4, tjenester vil skulle forstås i overensstemmelse med definitionen af elektronisk kommunikationstjeneste i telelovens § 2, nr. 7, og nettermineringspunkt vil skulle forstås i overensstemmelse med telelovens § 2, nr. 8.
Bestemmelsen vil desuden indebære, at der ved opgørelsen af, hvor mange slutbrugere, der anvender et givent net, vil skulle medregnes de slutbrugere, der har aftaleforhold med udbyderens kunder. Derved tages der højde for den situation, hvor en udbyder leverer net til en anden udbyder, der på kommercielt grundlag stiller de pågældende net til rådighed for et stort antal privatpersoner.
I forhold til de udbydere, der betjener statslige myndigheder og institutioner, vil der ved beregningen af, hvor mange slutbrugere, der betjenes, skulle tages højde for de statslige myndigheders og institutioners egne slutbrugere. I det tilfælde, hvor en udbyder f.eks. leverer tjenester til Forsvaret, vil Forsvaret kun udgøre én slutbruger efter den gængse forståelse af begrebet. Efter den foreslåede bestemmelse vil de af Forsvarets medarbejdere, der gør brug af tjenesterne, imidlertid tælle med i opgørelsen af antallet af slutbrugere.
Det foreslås med § 2, stk. 1, at Center for Cybersikkerhed i særlige tilfælde kan forbyde en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester at indgå en aftale, der vedrører kritiske netkomponenter, systemer og værktøjer, herunder varetagelse af driften heraf, hvis aftalen vurderes at udgøre en trussel mod statens sikkerhed.
Bestemmelsen vil typisk finde anvendelse, efter at der gennem længere tid har været dialog mellem teleudbyderen og Center for Cybersikkerhed om den pågældende aftale. Bestemmelsens anvendelsesområde vil således svare til anvendelsesområdet for den særlige underretningsordning, der er etableret i medfør af lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021. Der er dermed tale om aftaler, hvor teleudbyderne i medfør af §§ 3 og 4 i bekendtgørelse nr. 258 af 22. februar 2021 om oplysnings- og underretningspligter vedrørende sikkerhed i net og tjenester har underrettet Center for Cybersikkerhed forud for, at forhandlingerne om aftalen er indledt med leverandøren, hvorefter Center for Cybersikkerhed typisk vil have rådgivet teleudbyderen om sikkerhedsmæssige aspekter af den pågældende aftale. Herefter vil Center for Cybersikkerhed typisk have udstedt et påbud om, at det endelige udkast til aftalen skal fremsendes til centeret, eller en sådan fremsendelse vil være sket frivilligt. Ved udstedelse af påbud vil aftalen først kunne indgås, når der er modtaget tilbagemelding fra Center for Cybersikkerhed, hvilket skal være sket senest 25 arbejdsdage efter modtagelsen af aftaleudkastet, jf. den foreslåede ændring af lov om sikkerhed i net og tjenester i § 18, nr. 1.
I de situationer, hvor bestemmelsen vil finde anvendelse, vil der oftest være tale om, at en teleudbyder ikke har ønsket at følge rådgivningen fra Center for Cybersikkerhed, og at det endelige udkast til aftale derfor på væsentlige punkter ikke tager højde for rådgivningen – og at aftalen på den baggrund vurderes at udgøre en trussel mod statens sikkerhed. Bestemmelsen vil dog også finde anvendelse i situationer, hvor et endeligt aftaleudkast ikke er fremsendt til Center for Cybersikkerhed, men hvor centeret på anden vis er blevet opmærksom på en forestående aftaleindgåelse, f.eks. gennem medieomtale eller gennem oplysninger fra andre myndigheder. Det vil dog påhvile Center for Cybersikkerhed at sikre, at sagen er tilstrækkeligt oplyst til, at der kan træffes afgørelse om et forbud, og dermed vil et forbud normalt ikke alene kunne baseres på f.eks. medieomtale. Center for Cybersikkerhed vil desuden som led i den almindelige sagsoplysning inddrage fagmyndigheder, herunder Erhvervsstyrelsen og Energistyrelsen, i relevant omfang.
Bestemmelsen vil omfatte både indgåelse af nye aftaler og forlængelse af eksisterende aftaler. Hvis aftalen indeholder en option, der indebærer, at aftalen kan forlænges på helt uændrede vilkår, vil en sådan forlængelse dog ikke være omfattet, men aftalen vil dog være omfattet af den foreslåede § 3. Retsvirkningen af, at der nedlægges forbud mod en aftale, vil være, at hvis aftalen alligevel indgås, vil Center for Cybersikkerhed kunne træffe afgørelse om sanktioner efter den foreslåede § 15, ligesom aftalen vil være ugyldig mellem parterne efter den foreslåede § 16.
Center for Cybersikkerhed vil skulle foretage en samlet vurdering af, om aftalen må anses for at udgøre en trussel mod statens sikkerhed. Ved vurderingen heraf vil Center for Cybersikkerhed tage udgangspunkt i en række objektive kriterier i bestemmelsens nr. 1-4, jf. nedenfor. Udtrykket statens sikkerhed anvendes i lov om sikkerhed i net og tjenester og skal forstås i overensstemmelse med det EU-retlige udtryk den nationale sikkerhed. Der vil dermed som udgangspunkt skulle være tale om trusler mod samfundskritiske funktioner og deres kommunikation, herunder deres medarbejderes kommunikation. Er der alene tale om en trussel om, at der kan ske industrispionage mod private virksomheder, vil det falde udenfor anvendelsesområdet, med mindre industrispionagen har en karakter, hvor den kan udgøre en trussel mod statens sikkerhed, f.eks. hvis der er tale om industrispionage mod virksomheder i forsvarsindustrien eller forskningsindustrien.
Det følger af den foreslåede bestemmelse, at bestemmelsen finder anvendelse i særlige tilfælde. Ved særlige tilfælde forstås efter bestemmelsen tilfælde, hvor der dels er tale om en trussel mod statens sikkerhed, dels ikke er mulighed for at anvende mindre indgribende midler.
Kerneområdet vil være situationer, hvor Center for Cybersikkerhed vurderer, at en aftale vil indebære, at der er risiko for, at en leverandør vil misbruge aftalen til at forberede eller udføre sabotage mod telenettet, som kan medføre, at telenettet helt eller delvist afbrydes. Det vil f.eks. kunne være tilfældet, hvis aftalen omfatter leverancer, hvor Center for Cybersikkerhed vurderer, at der er risiko for, at leverandøren indbygger bagdøre, som gør det muligt for leverandøren at afbryde eller på anden måde foretage uautoriseret påvirkning af dele af telenettet. Det vil også være tilfældet, hvis aftalen omfatter drift af systemer, hvor der er risiko for, at leverandøren gennem adgangen til systemerne vil foretage en hel eller delvis afbrydelse.
Der vil endvidere kunne være tale om situationer, hvor Center for Cybersikkerhed vurderer, at en aftale vil indebære risiko for, at en leverandør vil misbruge aftalen til at foretage spionage mod samfundskritiske funktioner, herunder deres medarbejderes eller samarbejdspartneres kommunikation.
Det foreslås med § 2, stk. 2, at Center for Cybersikkerhed ved vurderingen efter stk. 1 kan lægge vægt på forhold vedrørende den leverandør, som udbyderen ønsker at anvende. I vurderingen vil bl.a. kunne indgå forhold, der vedrører leverandøren, leverandørens væsentligste underleverandører samt aktører, der udøver kontrol over eller har betydelig indflydelse på leverandøren.
De væsentligste underleverandører vil være de underleverandører, som leverer en ikke ubetydelig del af den samlede leverance. Aktører, der udøver kontrol over eller betydelig indflydelse på leverandøren, vil være aktører, der direkte eller indirekte er i besiddelse af eller har kontrol over ejerandele eller stemmerettigheder i en virksomhed, eller har tilsvarende kontrol ved andre midler, herunder langfristede lån, som giver betydelig indflydelse på ledelsesmæssige, finansielle eller udviklings- eller driftsmæssige forhold.
Det vil således ikke være en forudsætning, at leverandøren selv vurderes at udgøre en trussel mod statens sikkerhed. Aftalen vil f.eks. også kunne anses for at udgøre en trussel, hvis leverandøren planlægger at opfylde aftalen ved brug af kritiske komponenter fra en underleverandør, hvor Center for Cybersikkerhed vurderer, at der er risiko for, at der er indbygget bagdøre eller tilsvarende. Centeret vil endvidere kunne foretage en vurdering af, om leverandørens ejerforhold m.v. gør, at aftalen må anses for at udgøre en trussel mod statens sikkerhed. Et element i vurderingen vil således være, om f.eks. et moderselskab gennem dettes historik eller tilhørsforhold bidrager til en trussel, som medfører, at der bør nedlægges forbud mod aftalen.
Center for Cybersikkerhed vil som nævnt skulle foretage en samlet vurdering. Her vil den potentielle trussel og dennes karakter også skulle vejes op mod aftalens karakter. Jo mere kritiske dele af telenettet, som aftalen omfatter, jo mindre vil der skulle til, for at der kan siges at være tale om en trussel mod statens sikkerhed. Der kan dermed også efter en konkret vurdering være tale om, at leverandøren og dennes forhold gør, at leverandøren vil kunne udgøre en trussel mod statens sikkerhed, men at de leverancer, som aftalen omfatter, skal anvendes på en måde, som gør det usandsynligt, at der kan ske misbrug.
Centeret vil endvidere kunne lægge vægt på, om et forbud vil kunne have negative konsekvenser for telenettets drift, som overstiger de potentielt negative konsekvenser, hvis den vurderede trussel bliver en realitet. Det vil f.eks. kunne være tilfældet, hvis et forbud mod en aftale gør, at teleudbyderen ikke kan nå at indgå en anden aftale, og hvor konsekvensen dermed kan være, at der sker alvorlige udfald i driften af telenettet. Samme hensyn vil skulle iagttages i forhold til udbyderens mulighed for at varetage public service-relaterede forpligtelser.
Typisk vil der i sådanne tilfælde have været en forudgående dialog mellem Center for Cybersikkerhed og teleudbyderen, hvor centeret vil have tilkendegivet, hvad den maksimale løbetid på aftalen bør være. Hvis det endelige aftaleudkast indebærer en længere løbetid, må teleudbyderen således påregne, at der kan blive nedlagt forbud mod aftaleindgåelsen.
I vurderingen vil det efter den foreslåede stk. 2, nr. 1, bl.a. kunne indgå, om leverandøren, leverandørens væsentligste underleverandører samt aktører, der udøver kontrol over eller har betydelig indflydelse på leverandøren, er hjemmehørende i eller varetager produktionen eller driften fra et land, som Danmark ikke har indgået en sikkerhedsaftale med, eller som Danmark ikke har et tilsvarende sikkerhedsmæssigt samarbejde med.
Sikkerhedsaftaler indgås i forskellige former. Typisk vil sikkerhedsaftaler indeholde nærmere bestemmelser om, hvordan landene som led i samarbejdet skal behandle klassificerede eller på anden måde følsomme oplysninger. Sikkerhedsaftaler indgås derfor typisk kun med lande, der anvender samme principper for håndtering af klassificerede oplysninger som Danmark. Sikkerhedsaftaler vil imidlertid også kunne indgås som specifikke aftaler vedrørende informationssikkerhed på teleområdet.
Bestemmelsen vil også omfatte tilsvarende sikkerhedssamarbejder, hvor der ikke nødvendigvis er indgået en formel sikkerhedsaftale. Mere indirekte sikkerhedssamarbejder, der f.eks. indgås via internationale organisationer, vil ikke være omfattet af begrebet tilsvarende sikkerhedssamarbejder.
En eventuel fastlæggelse, af hvilket land leverandøren, underleverandøren eller aktøren er hjemmehørende i, vil blive foretaget af Center for Cybersikkerhed efter en konkret vurdering. En leverandør, underleverandør eller aktør vil ikke kunne anses for at være hjemmehørende i flere lande samtidigt.
Ved vurderingen af, hvilket land leverandøren, underleverandøren eller aktøren er hjemmehørende i, vil der for fysiske personer blive lagt vægt på, hvilket land den pågældende er statsborger i, og hvor den pågældende er bosat. For juridiske personer vil der ved vurderingen blive lagt særlig vægt på, hvor virksomheden er registreret. Desuden vil der bl.a. kunne lægges vægt på, hvor virksomhedens eventuelle hovedkontor er placeret, hvorfra ledelsesmæssige beføjelser udøves, og hvor medlemmer af direktionen og bestyrelsen er hjemmehørende.
Ved vurderingen af, hvorfra varetagelsen af driften sker, vil der bl.a. kunne lægges vægt på placeringen af de medarbejdere, der udfører de konkrete drifts- og supportopgaver.
Vurderingen af, hvilket land leverandøren, underleverandøren eller aktøren er hjemmehørende i, vil kunne ændres med tiden, hvis deres forhold ændrer sig.
Efter den foreslåede stk. 2, nr. 2, vil det bl.a. også kunne indgå, om leverandøren, leverandørens væsentligste underleverandører samt aktører, der udøver kontrol over eller har betydelig indflydelse på leverandøren, er hjemmehørende i eller varetager produktionen eller driften fra et land, hvor det efter det pågældende lands lovgivning er muligt at pålægge leverandører eller deres underleverandører at udføre eller deltage i forhold, som vil udgøre spionage eller sabotage.
Ved anvendelse af bestemmelsen vil der skulle tages højde for, at forskellige lande har forskellige lovgivningstraditioner. Der vil således kunne ses bort fra ældre bestemmelser, der formelt er gældende, men som efter det pågældende lands lovgivningstradition ikke vil kunne anvendes. Omvendt vil der kunne lægges vægt på en fast administrativ praksis, der giver mulighed for give pålæg om at udføre spionage eller sabotage, hvis det pågældende lands lovgivningstradition indebærer, at reguleringen er bindende, selv om der ikke er en udtrykkelig lovhjemmel. En eventuel fastlæggelse, af hvilket land leverandøren, underleverandøren eller aktøren er hjemmehørende i, vil blive foretaget af Center for Cybersikkerhed efter en konkret vurdering. En leverandør, underleverandør eller aktør vil ikke kunne anses for at være hjemmehørende i flere lande samtidigt.
Ved vurderingen af, hvilket land leverandøren, underleverandøren eller aktøren er hjemmehørende i, vil der for fysiske personer blive lagt vægt på, hvilket land den pågældende er statsborger i, og hvor den pågældende er bosat. For juridiske personer vil der ved vurderingen blive lagt særlig vægt på, hvor virksomheden er registreret. Desuden vil der bl.a. kunne lægges vægt på, hvor virksomhedens eventuelle hovedkontor er placeret, hvorfra ledelsesmæssige beføjelser udøves, og hvor medlemmer af direktionen og bestyrelsen er hjemmehørende.
Ved vurderingen af, hvorfra varetagelsen af driften sker, vil der bl.a. kunne lægges vægt på placeringen af de medarbejdere, der udfører de konkrete drifts- og supportopgaver.
Vurderingen af, hvilket land leverandøren, underleverandøren eller aktøren er hjemmehørende i, vil kunne ændres med tiden, hvis deres forhold ændrer sig.
Efter den foreslåede stk. 2, nr. 3, vil det bl.a. også kunne indgå, om leverandøren, leverandørens væsentligste underleverandører samt aktører, der udøver kontrol over eller har betydelig indflydelse på leverandøren, direkte eller indirekte kontrolleres af et andet lands statslige organer, herunder militære myndigheder.
Ved vurderingen af, hvilken vægt der vil skulle lægges på, at et andet lands statslige organer direkte eller indirekte kontrollerer en leverandør m.v., vil det skulle indgå, om en sådan kontrol vurderes at indebære en øget trussel mod statens sikkerhed. Det forhold, at en leverandør måtte være statsejet, vil således ikke automatisk medføre, at indgåelse af en aftale med den pågældende leverandør vil udgøre en trussel mod statens sikkerhed.
Efter den foreslåede stk. 2, nr. 4, vil det bl.a. også kunne indgå, om leverandøren, leverandørens væsentligste underleverandører samt aktører, der udøver kontrol over eller betydelig indflydelse på leverandøren, er eller har været involveret i aktiviteter i Danmark eller andre lande, som har medført en negativ påvirkning af statens sikkerhed, informationssikkerheden eller den offentlige orden.
Kerneområdet for bestemmelsen vil være situationen, hvor det i udlandet er blevet konstateret, at en leverandør f.eks. har leveret udstyr med indbyggede bagdøre eller på anden vis har foretaget eller forberedt spionage eller sabotage mod telenettet.
Efter det foreslåede § 2, stk. 3, kan Center for Cybersikkerhed kun nedlægge forbud efter det foreslåede stk. 1, hvis hensynet til statens sikkerhed ikke effektivt kan varetages ved mindre indgribende foranstaltninger.
Den foreslåede bestemmelse udtrykker et proportionalitetsprincip, hvorefter Center for Cybersikkerhed forud for nedlæggelse af et forbud mod en aftale skal have søgt at opnå det ønskede resultat gennem mindre indgribende midler. Det vil således være en forudsætning, at Center for Cybersikkerhed har forsøgt at rådgive teleudbyderen om de tilpasninger af aftalen, som vil være nødvendige, for at den ikke længere vurderes at udgøre en trussel mod statens sikkerhed. Center for Cybersikkerhed vil også skulle have vurderet de relevante muligheder i lov om sikkerhed i net og tjenester, herunder eksempelvis muligheden for at give påbud om, at teleudbyderen skal foretage konkrete sikkerhedsforanstaltninger.
Der henvises i øvrigt til afsnit 3.1 i de almindelige bemærkninger.
Det foreslås med § 3, stk. 1, 1. pkt., at Center for Cybersikkerhed i særlige tilfælde kan forbyde en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester at opretholde en indgået aftale, der vedrører kritiske netkomponenter, systemer og værktøjer, herunder varetagelsen af driften heraf, hvis opretholdelse af aftalen vurderes at udgøre en væsentlig trussel mod statens sikkerhed.
Mens den foreslåede § 2 finder anvendelse forud for, at en aftale er indgået, så er anvendelsesområdet for den foreslåede § 3, stk. 1, de situationer, hvor der allerede er indgået en aftale. Der vil være tale om aftaler, der er indgået den 7. december 2020 eller senere, idet anvendelsesområdet dog fra den 1. januar 2026 udvides til at omfatte alle aftaler, også aftaler indgået før den 7. december 2020, jf. de foreslåede bestemmelser i § 17, stk. 2 og 3.
Bestemmelsen vil først og fremmest finde anvendelse, hvis det ved aftaleindgåelsen er blevet vurderet, at der ikke har været grundlag for at nedlægge forbud mod aftalen efter den foreslåede § 2, men der efterfølgende er sket en ændring, som gør, at der ville være blevet nedlagt forbud, hvis de ændrede forhold havde været en realitet ved aftaleindgåelsen. Disse forhold vil dog skulle udgøre en væsentlig trussel mod statens sikkerhed, hvilket er et skærpet krav i forhold til kravet i den foreslåede § 2. For at der foreligger en væsentlig trussel mod statens sikkerhed, vil det være et krav, at truslen er mere konkretiseret. Ændrede forhold vil f.eks. kunne være, at leverandøren har skiftet ejer, at det efter aftaleindgåelsen er konstateret, at leverandøren negativt har påvirket informationssikkerheden i forbindelse med sammenlignelige aftaler i udlandet, eller at der er sket ændringer i lovgivningen i leverandørens hjemland, således at leverandøren kan pålægges at udføre spionage eller sabotage.
Center for Cybersikkerhed vil typisk få oplysninger om ændrede forhold som led i centerets tilsynsvirksomhed efter lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, fra den efterretningsmæssige del af Forsvarets Efterretningstjeneste, fra andre relevante myndigheder i ind- og udland, herunder som led i udvekslingen af oplysninger om screeninger af direkte investeringer i andre EU-lande, samt fra medieomtale. Center for Cybersikkerhed vil desuden som led i den almindelige sagsoplysning inddrage fagmyndigheder, herunder Erhvervsstyrelsen og Energistyrelsen, i relevant omfang.
Bestemmelsen vil imidlertid også finde anvendelse på aftaler, der ikke tidligere er blevet vurderet efter § 2. Det kan både være aftaler, der er indgået i perioden fra lovens virkningstidspunkt til lovens ikrafttræden, og aftaler, der omfattes af den foreslåede ordning, når anvendelsesområdet fra den 1. januar 2026 udvides til at omfatte aftaler, der er indgået før den 7. december 2020.
Hvis en aftale tidligere har været vurderet efter den foreslåede § 2, vil det være en forudsætning for anvendelse af bestemmelsen, at der er sket en ændring af forhold vedrørende leverandøren m.v. Hvis der alene er tale om, at Center for Cybersikkerhed anlægger en anden vurdering af forhold, der allerede var kendt ved en vurdering efter § 2 forud for aftaleindgåelsen, vil der ikke kunne nedlægges forbud efter den foreslåede bestemmelse.
Center for Cybersikkerhed vil skulle foretage en samlet vurdering af, om aftalen må anses for at udgøre en væsentlig trussel mod statens sikkerhed. Udtrykket statens sikkerhed anvendes i lov om sikkerhed i net og tjenester og skal forstås i overensstemmelse med det EU-retlige udtryk den nationale sikkerhed. Der vil dermed som udgangspunkt skulle være tale om væsentlige trusler mod samfundskritiske funktioner, herunder deres medarbejderes kommunikation. Er der alene tale om en væsentlig trussel om, at der kan ske industrispionage mod private virksomheder, vil det falde udenfor anvendelsesområdet, med mindre industrispionagen har en karakter, hvor den kan udgøre en væsentlig trussel mod statens sikkerhed, f.eks. hvis der er tale om industrispionage mod virksomheder i forsvarsindustrien eller forskningsindustrien.
Det følger af den foreslåede bestemmelse, at bestemmelsen finder anvendelse i særlige tilfælde. Ved særlige tilfælde forstås efter bestemmelsen tilfælde, hvor der dels er tale om en trussel mod statens sikkerhed, dels ikke er mulighed for at anvende mindre indgribende midler.
Kerneområdet vil være situationer, hvor Center for Cybersikkerhed vurderer, at der nu er en risiko for, at en leverandør vil misbruge aftalen til at forberede eller udføre sabotage mod telenettet, som kan medføre, at telenettet helt eller delvist afbrydes. Det vil f.eks. kunne være tilfældet, hvis aftalen omfatter leverancer, hvor Center for Cybersikkerhed vurderer, at der nu er risiko for, at leverandøren indbygger bagdøre, som gør det muligt for leverandøren at afbryde eller på anden måde foretage uautoriseret påvirkning af dele af telenettet. Det vil også være tilfældet, hvis aftalen omfatter drift af systemer, hvor der nu vurderes at være risiko for, at leverandøren gennem adgangen til systemerne vil foretage en hel eller delvis afbrydelse.
Der vil endvidere kunne være tale om situationer, hvor Center for Cybersikkerhed vurderer, at aftalen indebærer risiko for, at en leverandør nu vil misbruge aftalen til at foretage spionage mod samfundskritiske funktioner, herunder deres medarbejderes eller samarbejdspartneres kommunikation.
Retsvirkningen af, at der nedlægges forbud mod en aftale, vil være, at aftalen bliver ugyldig mellem parterne, jf. den foreslåede § 16. Såfremt aftalen videreføres, vil Center for Cybersikkerhed kunne træffe afgørelse om sanktion efter den foreslåede § 15.
Det foreslås med § 3, stk. 1, 2. pkt., at Center for Cybersikkerhed ved vurderingen kan lægge vægt på de forhold, som fremgår af § 2, stk. 2.
Der henvises til bemærkningerne til den foreslåede § 2, stk. 2.
Det foreslås med § 3, stk. 2, 1. pkt., at Center for Cybersikkerhed endvidere i særlige tilfælde kan forbyde en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester at anvende kritiske netkomponenter, systemer og værktøjer, der er leveret, såfremt anvendelsen vurderes at udgøre en væsentlig trussel mod statens sikkerhed.
Bestemmelsens anvendelsesområde vil være situationer, hvor en teleudbyder har fået leveret kritiske komponenter, systemer m.v. som led i en aftale med en leverandør, men hvor aftalen ikke længere er aktiv, f.eks. fordi den alene omfattede den nu gennemførte leverance. Situationen vil i så fald ikke være omfattet af det foreslåede stk. 2. Bestemmelse vil give Center for Cybersikkerhed mulighed for at nedlægge forbud mod, at teleudbyderen anvender de leverede kritiske komponenter, systemer m.v., hvis anvendelsen vurderes at udgøre en væsentlig trussel mod statens sikkerhed.
Bestemmelsen vil omfatte kritiske komponenter, systemer m.v., der er leveret som led i aftaler, der er indgået den 7. december 2020 eller senere, idet anvendelsesområdet dog fra den 1. januar 2026 udvides til at omfatte leverancer, der er sket som led i alle aftaler, også aftaler indgået før den 7. december 2020, jf. den foreslåede § 17, stk. 2 og 3.
Bestemmelsen vil først og fremmest finde anvendelse, hvis det ved aftaleindgåelsen er blevet vurderet, at der ikke har været grundlag for at nedlægge forbud mod aftalen efter den foreslåede § 2, men hvor der efterfølgende er sket en ændring, som gør, at der ville være blevet nedlagt forbud, hvis de ændrede forhold havde været en realitet ved aftaleindgåelsen. Disse forhold vil dog skulle udgøre en væsentlig trussel mod statens sikkerhed, hvilket er et skærpet krav i forhold til kravet i den foreslåede § 2. For at der foreligger en væsentlig trussel mod statens sikkerhed, vil det være et krav, at truslen er mere konkretiseret. Ændrede forhold vil f.eks. kunne være, at det efter aftaleindgåelsen er konstateret, at leverandøren negativt har påvirket informationssikkerheden i sammenlignelige komponenter, systemer m.v.
Bestemmelsen vil imidlertid også finde anvendelse på visse leverancer efter aftaler, der ikke tidligere er blevet vurderet efter § 2. Det kan både være aftaler, der er indgået i perioden fra lovens virkningstidspunkt til lovens ikrafttræden, og aftaler, der omfattes af den foreslåede ordning, når anvendelsesområdet fra den 1. januar 2026 udvides til at omfatte aftaler, der er indgået før den 7. december 2020.
Hvis en aftale tidligere har været vurderet efter den foreslåede § 2, vil det være en forudsætning for anvendelse af bestemmelsen, at der er sket en ændring af forhold vedrørende leverandøren m.v. Hvis der alene er tale om, at Center for Cybersikkerhed anlægger en anden vurdering af forhold, der var kendt ved en vurdering efter § 2 forud for aftaleindgåelsen, vil der ikke kunne nedlægges forbud efter den foreslåede bestemmelse.
Center for Cybersikkerhed vil skulle foretage en samlet vurdering af, om komponenten, systemet m.v. må anses for at udgøre en væsentlig trussel mod statens sikkerhed. Udtrykket statens sikkerhed anvendes i lov om sikkerhed i net og tjenester og skal forstås i overensstemmelse med det EU-retlige udtryk den nationale sikkerhed. Der vil som udgangspunkt skulle være tale om væsentlige trusler mod samfundskritiske funktioner og deres kommunikation, herunder deres medarbejderes kommunikation. Er der alene tale om en væsentlig trussel om, at der kan ske industrispionage mod private virksomheder, vil det falde udenfor anvendelsesområdet, med mindre industrispionagen har en karakter, hvor det kan udgøre en væsentlig trussel mod statens sikkerhed, f.eks. hvis der er tale om industrispionage mod virksomheder i forsvarsindustrien eller forskningsindustrien.
Det følger af den foreslåede bestemmelse, at bestemmelsen finder anvendelse i særlige tilfælde. Ved særlige tilfælde forstås efter bestemmelsen tilfælde, hvor der dels er tale om en trussel mod statens sikkerhed, dels ikke er mulighed for at anvende mindre indgribende midler.
Kerneområdet vil være situationer, hvor Center for Cybersikkerhed vurderer, at der nu er risiko for, at komponenten, systemet m.v. vil misbruges til at forberede eller udføre sabotage mod telenettet, som kan medføre, at telenettet helt eller delvist afbrydes. Det vil f.eks. kunne være tilfældet, hvis der er tale om kritiske komponenter, systemer m.v., hvor Center for Cybersikkerhed vurderer, at der nu er risiko for, at leverandøren har indbygget bagdøre, som gør det muligt for leverandøren at afbryde eller på anden måde foretage uautoriseret påvirkning af dele af telenettet.
Der vil endvidere kunne være tale om situationer, hvor Center for Cybersikkerhed vurderer, at fortsat brug af kritiske komponenter, systemer m.v. vil indebære risiko for, at en leverandør nu vil misbruge dem til at foretage spionage mod samfundskritiske funktioner, herunder deres medarbejderes eller samarbejdspartneres kommunikation.
Center for Cybersikkerhed vil som nævnt skulle foretage en samlet vurdering. Her vil den potentielle trussel og dennes karakter også skulle vejes op mod karakteren af komponenten, systemet m.v. Jo mere kritiske dele af telenettet, som komponenten, systemet m.v. anvendes i, jo mindre vil der skulle til, for at der kan siges at være tale om en væsentlig trussel mod statens sikkerhed.
Centeret vil endvidere kunne lægge vægt på, om et forbud vil kunne have negative konsekvenser for telenettets drift, som overstiger de potentielt negative konsevenser, hvis den vurderede trussel bliver en realitet.
Det foreslås med § 3, stk. 2, 2. pkt., at Center for Cybersikkerhed ved vurderingen kan lægge vægt på de forhold, som fremgår af § 2, stk. 2.
Der henvises til bemærkningerne til den foreslåede § 2, stk. 2.
Det foreslås med § 3, stk. 3, at Center for Cybersikkerhed kan fastsætte en frist for, hvornår en aftale skal være afviklet efter stk. 1, og hvornår anvendelse af kritiske netkomponenter, systemer og værktøjer skal være ophørt efter stk. 2.
Det forudsættes, at Center for Cybersikkerhed efter høring af teleudbyderen foretager en vurdering af på den ene side behovet for hurtigst muligt at fjerne en væsentlig trussel mod statens sikkerhed, og på den anden side hensynet til den fortsatte og stabile drift af den kritiske teleinfrastruktur. Nedlæggelse af forbud bør således ikke føre til, at der sker afbrydelser på telenettet, fordi teleudbyderen ikke har haft mulighed for at indgå eller implementere en ny aftale. På den baggrund bør Center for Cybersikkerhed som udgangspunkt fastsætte en nærmere frist, som er baseret på, hvornår en loyalt agerende teleudbyder kan have taget de nødvendige forholdsregler.
I særligt alvorlige tilfælde, hvor der f.eks. konstateres et igangværende misbrug, vil Center for Cybersikkerhed dog kunne fastsætte, at aftalen skal afvikles straks, eller at anvendelsen skal ophøre straks.
Det foreslås med § 3, stk. 4, at Center for Cybersikkerhed kun kan nedlægge forbud efter stk. 1 og 2, hvis hensynet til statens sikkerhed ikke effektivt kan varetages ved mindre indgribende foranstaltninger.
Den foreslåede bestemmelse udtrykker et proportionalitetsprincip, hvorefter Center for Cybersikkerhed forud for nedlæggelse af et forbud skal have søgt at opnå det ønskede resultat gennem mindre indgribende midler. Det vil således være en forudsætning, at Center for Cybersikkerhed har forsøgt at rådgive teleudbyderen om de tilpasninger af aftalen eller de sikkerhedsmæssige ændringer af kritiske komponenter, systemer m.v., som vil være nødvendige, for at der ikke længere vurderes at være en væsentlig trussel mod statens sikkerhed. Center for Cybersikkerhed vil også skulle have overvejet de relevante muligheder i lov om sikkerhed i net og tjenester, herunder eksempelvis muligheden for at give påbud om, at teleudbyderen skal foretage konkrete sikkerhedsforanstaltninger.
Der henvises i øvrigt til afsnit 3.1 i de almindelige bemærkninger.
Den foreslåede § 4, stk. 1, giver Center for Cybersikkerhed hjemmel til at ekspropriere privat ejendom, i det omfang det er nødvendigt for at gennemføre et forbud efter det foreslåede kapitel 2.
Det følger af den foreslåede § 2, stk. 1, at Center for Cybersikkerhed i særlige tilfælde kan forbyde en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester at indgå en aftale, der vedrører kritiske netkomponenter, systemer og værktøjer, herunder varetagelse af driften heraf, hvis aftalen vurderes at udgøre en trussel mod statens sikkerhed. Det følger endvidere af den foreslåede § 2, stk. 2, at ved vurderingen efter stk. 1 kan Center for Cybersikkerhed lægge vægt på forhold vedrørende den leverandør, som teleudbyderen ønsker at anvende. Efter den foreslåede § 2, stk. 3, kan Center for Cybersikkerhed kun nedlægge forbud efter bestemmelsens stk. 1, hvis hensynet til statens sikkerhed ikke effektivt kan varetages ved mindre indgribende foranstaltninger.
Center for Cybersikkerhed kan endvidere efter den foreslåede § 3, stk. 1, i særlige tilfælde forbyde en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester at opretholde en indgået aftale, der vedrører kritiske netkompenter, systemer og værktøjer, herunder varetagelsen af driften heraf, hvis opretholdelse af aftalen vurderes at udgøre en væsentlig trussel mod statens sikkerhed. Ved vurderingen heraf kan Center for Cybersikkerhed lægge vægt på de forhold, som fremgår af § 2, stk. 2.
Efter den foreslåede § 3, stk. 2, kan Center for Cybersikkerhed i særlige tilfælde forbyde en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester at anvende kritiske netkomponenter, systemer og værktøjer, der er leveret, hvis anvendelsen vurderes at udgøre en væsentlig trussel mod statens sikkerhed. Ved vurderingen heraf kan Center for Cybersikkerhed lægge vægt på de forhold, som fremgår af § 2, stk. 2. Af den foreslåede § 3, stk. 4, fremgår desuden, at Center for Cybersikkerhed kun kan nedlægge forbud efter § 3, stk. 1 og 2, hvis hensynet til statens sikkerhed ikke effektivt kan varetages ved mindre indgribende foranstaltninger.
Bestemmelsen i § 4, stk. 1, vil sikre, at et forbud mod en aftale omfattet af den foreslåede § 2, stk. 1, eller § 3, stk. 1 og 2, vil kunne gennemføres, selvom det måtte medføre ekspropriation efter grundlovens § 73.
Det følger af grundlovens § 73, stk. 1, at to overordnede betingelser skal være opfyldt, for at der er tale om ekspropriation i grundlovens forstand. For det første skal indgrebet være rettet mod ”ejendom”, som er beskyttet efter grundlovens § 73. For det andet skal indgrebet være ekspropriativt (der skal være tale om afståelse).
Hvis der er tale om et indgreb, der har karakter af ekspropriation i grundlovens forstand, skal tre betingelser være opfyldt, for at indgrebet er i overensstemmelse med grundloven. Indgrebet skal være krævet af almenvellet, det skal ske ifølge lov, og der skal ydes fuldstændig erstatning til den berørte ejer. Betingelsen om, at et indgreb skal være krævet af almenvellet, vil altid være opfyldt, idet et forbud efter kapitel 2 skal ske ud fra et hensyn til statens sikkerhed.
Grundloven beskytter ikke blot fysiske personer, men også alle typer af juridiske personer, som er etableret (eller overtaget) af private – selskaber, foreninger, selvejende institutioner m.v. Det er traditionelt antaget, at også staten, kommuner og andre juridiske personer etableret (eller fuldt ud overtaget) af det offentlige er beskyttet. Det fremgår dog af nyere retspraksis, at i hvert fald visse offentlige juridiske personer ikke altid nyder samme beskyttelse som private.
Udtrykket ”ejendom” i grundlovens § 73 må forstås i vid betydning. Det er således almindeligt antaget, at bestemmelsen ikke alene beskytter ejendomsret i traditionel forstand. Også begrænsede rådighedsrettigheder, såsom brugsrettigheder, servitutter og panterettigheder, og rettigheder i henhold til private aftaler er beskyttet af grundlovens ejendomsbegreb.
Det er endvidere almindeligt antaget, at bestemmelsen ikke alene beskytter rettigheder af privatretlig karakter, men også særlige rettigheder af erhvervsmæssig karakter stiftet på offentligretligt grundlag, f.eks. næringsrettigheder.
For at der er tale om ekspropriation i grundlovens forstand, skal der være tale om, at der foretages et ekspropriativt indgreb (afståelse).
Det er i den forbindelse almindeligt antaget i den forfatningsretlige litteratur og i praksis, at lovgivningsmagten – uden at der foreligger ekspropriation – kan regulere udøvelsen af de rettigheder, der er beskyttet af grundlovens § 73, idet lovgivningsmagten bl.a. kan opstille almindelige regler om begrænsninger i borgernes handlefrihed og i deres råden over, hvad de ejer. Det er endvidere antaget, at spørgsmålet om, hvorvidt et indgreb har karakter af ekspropriation, må bero på et samlet skøn over indgrebets beskaffenhed. Som momenter, der må tillægges betydning ved udøvelsen af dette skøn, kan der navnlig peges på indgrebets formål, i hvilken grad indgrebet er generelt eller konkret (herunder om det rammer mange eller få personer), indgrebets intensitet, om indgrebet angår en fremtidig eller en aktuel rettighed, om indgrebet går ud på at overføre rettigheden fra den hidtidige ejer til en ny eller på en tilintetgørelse af denne råden, samt indgrebets begrundelse (causa).
Indgreb efter § 2, stk. 1, eller § 3, stk. 1 og 2, vil altid have til formål at beskytte statens sikkerhed. Navnlig det forhold, at forbud mod indgåelse af en aftale efter § 2, stk. 1, opretholdelse af en indgået aftale efter § 3, stk. 1, eller anvendelse af kritiske komponenter, systemer m.v. efter § 3, stk. 2, vil være begrundet i hensyn til statens sikkerhed, må antages at tale med en vis vægt imod, at der vil være tale om ekspropriation. Der vil på den anden side være tale om indgreb mod konkrete aftaler, som efter omstændighederne vil kunne være af betydelig intensitet over for den pågældende aftalepart. Det kan på den baggrund ikke udelukkes, at et forbud efter omstændighederne vil kunne anses for ekspropriativt.
Efter det foreslåede § 4, stk. 2, ydes fuldstændig erstatning til den eller de berørte parter, hvis gennemførelsen af foranstaltninger efter denne lov udgør et ekspropriativt indgreb.
Ekspropriation kan alene ske mod fuld erstatning, jf. grundlovens § 73, stk. 1. I det omfang en afgørelse om indgreb måtte blive gennemført ved ekspropriation, vil der være adgang til domstolsprøvelse efter de særlige regler herom i grundlovens § 73, stk. 3.
Der henvises i øvrigt til afsnit 3.4 i de almindelige bemærkninger.
Det følger af § 8, stk. 1, i lov om Center for Cybersikkerhed, jf. lovbekendtgørelse nr. 836 af 7. august 2019, at Center for Cybersikkerheds virksomhed er undtaget fra offentlighedsloven bortset fra lovens § 13 om notatpligt. Centerets virksomhed er endvidere undtaget fra forvaltningslovens kapitel 4-6. Det fremgår imidlertid af bemærkningerne til lov om Center for Cybersikkerhed, jf. Folketingstidende 2013-14, A, L 192 som fremsat, side 14 og 25, at det forudsættes, at anmodninger om aktindsigt i videst muligt omfang behandles efter principperne i offentlighedsloven, samt at centeret i alle afgørelsessager konkret vurderer, om det er muligt at anvende forvaltningslovens principper.
Det følger endvidere af § 7 i lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, at der kan fastsættes regler om, at der i forhold til de oplysninger og underretninger, som modtages fra teleudbydere i forbindelse med aftaleindgåelse, konstaterede sikkerhedshændelser, der har haft væsentlig indvirkning på driften af net eller tjenester og generelle oplysninger om teleudbydernes infrastruktur, er undtaget fra aktindsigt efter offentlighedsloven og partsaktindsigt efter forvaltningsloven. Bestemmelsen er udmøntet ved § 14 i bekendtgørelse nr. 258 af 22. februar 2021 om oplysnings- og underretningspligter vedrørende sikkerhed i net og tjenester.
Det foreslås med § 5, at lov om offentlighed i forvaltningen, bortset fra lovens § 13, og forvaltningslovens kapitel 4-6 ikke finder anvendelse på sager, der er omfattet af denne lov.
Den foreslåede bestemmelse har til formål at sikre den nødvendige beskyttelse af oplysninger, der vurderes at være følsomme, ved, at de sager, der behandles efter reglerne i dette lovforslag, undtages i deres helhed.
Bestemmelsen vil indebære, at retten til aktindsigt efter offentlighedsloven ikke vil gælde for sager, der er omfattet af denne lov. Offentlighedslovens § 13 om notatpligt vil derimod være gældende for behandling af sager efter loven. Bestemmelsen vil endvidere indebære, at forvaltningslovens kapitel 4-6 om partens aktindsigt, partshøring og begrundelse m.v. fraviges, mens forvaltningslovens øvrige bestemmelser vil være gældende for behandling af sager omfattet af denne lov.
Bestemmelsen vil svare til den eksisterende undtagelse i § 8, stk. 1, i lov om Center for Cybersikkerhed, men uden forudsætningen i bemærkningerne til denne lov om, at principperne i offentlighedsloven og forvaltningslovens kapitel 4-6 i størst muligt omfang skal følges.
Det forudsættes dog, at Center for Cybersikkerhed i forbindelse med afgørelser om forbud i størst muligt omfang gennemfører en partshøring samt begrunder afgørelsen, så længe det ikke kompromitterer hensynene bag lovforslaget.
Efter den foreslåede bestemmelse vil Center for Cybersikkerhed således ikke være forpligtet til at gengive de særlige sikkerhedsmæssige og efterretningsmæssige oplysninger, der vil indgå i sager efter lovforslaget, i forbindelse med en begrundelse for en afgørelse, som centeret træffer i medfør af kapitel 2, 3 eller 8. Endvidere vil Center for Cybersikkerhed ikke være forpligtet til at lade de følsomme oplysninger indgå i behandlingen af en aktindsigtssag.
Der henvises i øvrigt til afsnit 3.2 i de almindelige bemærkninger.
Det foreslås med § 6, at Center for Cybersikkerheds afgørelser efter kapitel 2 og 3 ikke kan påklages til anden administrativ myndighed.
Bestemmelsen vil indebære, at den administrative rekurs vil blive afskåret i relation til de afgørelser, som Center for Cybersikkerhed træffer efter kapitel 2 og 3. Afgørelser efter disse kapitler vil således ikke kunne påklages til Forsvarsministeriet som led i den ulovbestemte rekursadgang. Dette skal ses i lyset af, at de pågældende afgørelser vil forudsætte et særligt fagligt indblik i henholdsvis efterretningsmæssige og teletekniske forhold, som Center for Cybersikkerhed besidder.
Bestemmelsen vil ikke regulere klageadgangen til Folketingets Ombudsmand. Der vil således fortsat være adgang til at klage over afgørelser truffet efter kapitel 2 og 3 til Folketingets Ombudsmand i medfør af kapitel 4 i lov om Folketingets Ombudsmand, jf. lovbekendtgørelse nr. 349 af 22. marts 2013.
Desuden vil bestemmelsen ikke omfatte klageadgangen for Center for Cybersikkerheds afgørelser om sanktioner efter kapitel 8, som dermed vil kunne påklages til Forsvarsministeriets departement efter de almindelige principper om rekurs.
Med bestemmelsen i § 7, stk. 1, foreslås det, at afgørelser efter kapitel 2, 3 og 8 alene kan indbringes for Københavns Byret.
Med bestemmelsen vil der blive taget højde for de særlige hensyn til bl.a. sikkerhedsgodkendelse af og erfaringsopbygning hos retspersonalet.
Med bestemmelsen i § 7, stk. 2, foreslås det, at afgørelsen skal indbringes inden seks måneder efter afgørelsens meddelelse. Københavns Byret kan dog undtagelsesvis tillade en indbringelse efter seks måneder.
Bestemmelsen, som fastsætter en søgsmålsfrist, vil sikre, at der efter en vis periode ikke vil kunne rejses tvivl om en afgørelse og dennes indhold.
Med bestemmelsen i § 7, stk. 3, foreslås det, at der i afgørelsen af sagen ved byretten deltager tre dommere.
Efter den foreslåede bestemmelse i § 7, stk. 4, kan forsvarsministeren eller den, ministeren bemyndiger hertil, lade personer, der er ansat i Forsvarsministeriet eller myndigheder under Forsvarsministeriet, møde for sig i retten som rettergangsfuldmægtige.
Den foreslåede bestemmelse skal ses i lyset af, at der under sagen eventuelt vil skulle fremlægges fortrolige oplysninger fra efterretningstjenester m.v., som har dannet grundlag for risikovurderingen, og bestemmelsen supplerer i øvrigt retsplejelovens § 260, stk. 3, nr. 4, hvorefter personer, der er ansat hos en part, kan møde som rettergangsfuldmægtig.
Det forudsættes, at det i givet fald vil være en juridisk medarbejder fra Forsvarsministeriet eller myndigheder under Forsvarsministeriet, som møder i retten.
De foreslåede regler for særlig domstolsprøvelse tager udgangspunkt i de lignende bestemmelser i kapitel 7 b i udlændingeloven, jf. lovbekendtgørelse nr. 1513 af 22. oktober 2020 med senere ændringer, som indeholder særlige regler for domstolsprøvelse af visse beslutninger om administrativ udvisning af udlændinge, der må anses for en fare for statens sikkerhed, samt § 8 F i lov om dansk indfødsret, jf. lovbekendtgørelse nr. 1191 af 5. august 2020, vedrørende domstolsprøvelse af afgørelser om administrativ fratagelse af statsborgerskab.
I § 8, stk. 1, foreslås det, at som part i sagen for det offentlige anses forsvarsministeren eller den, ministeren bemyndiger hertil.
Bestemmelsen vil indebære, at det vil være forsvarsministeren, eller den ministeren bemyndiger hertil, der vil kunne udøve de sædvanlige civilprocessuelle partsbeføjelser i sagen, jf. dog nedenfor om den særlige advokat, der vil blive beskikket for den, der har indbragt sagen for retten, eller som er indtrådt som part i sagen.
I § 8, stk. 2, 1. pkt., foreslås det, at retten beskikker en særlig advokat til at varetage interesser for den, der har indbragt sagen for retten, eller som er indtrådt som part i sagen, og på vegne af denne udøve partsbeføjelser med hensyn til oplysninger af betydning for statens sikkerhed.
Bestemmelsen vil indebære, at den særlige advokat vil kunne udøve partsbeføjelser med hensyn til oplysninger af betydning for statens sikkerhed, der er indgået i vurderingen af, om en aftale vurderes at udgøre en trussel mod statens sikkerhed, hvis disse af sikkerhedsmæssige grunde ikke vil kunne videregives til parten og dennes advokat. Tredjemand vil kunne indtræde i sagen som part efter de almindelige regler om intervention og adcitation i retsplejeloven.
Parten og dennes advokat vil ikke have adgang til de pågældende oplysninger og vil ikke have mulighed for at udøve de sædvanlige partsbeføjelser, herunder navnlig at kunne vurdere og udtale sig om de pågældende oplysninger, selv om disse vil blive fremlagt for retten og vil indgå i grundlaget for rettens afgørelse. Dette vil i stedet blive varetaget af den særlige advokat, der vil have indsigt i og mulighed for at udtale sig om det materiale, som vil blive fremlagt for retten med henblik på at indgå i sagen, herunder de fortrolige oplysninger, som af sikkerhedsmæssige grunde ikke vil kunne videregives til parten og dennes advokat.
Den særlige advokat vil udøve partsbeføjelser på vegne af parten med hensyn til disse fortrolige oplysninger, men vil ikke i øvrigt være part eller partsrepræsentant i sagen. I det omfang parten sammen med sin advokat vil kunne udøve sædvanlige civilprocessuelle partsbeføjelser, herunder med hensyn til oplysninger, som vil være videregivet til parten og fremlagt i retten, vil den særlige advokat således ikke optræde på vegne af parten. Den særlige advokat vil f.eks. have indsigt i og kunne udtale sig om oplysninger, som er undtaget af sikkerhedsmæssige grunde. Den særlige advokat vil også kunne fremsætte begæring om, at sådanne oplysninger vil skulle videregives til parten og dennes advokat, jf. den foreslåede bestemmelse i § 8, stk. 2, og vil kunne kære rettens afgørelse om, at oplysningerne ikke skal videregives. Den særlige advokat vil derimod ikke have en almindelig adgang til f.eks. at kære rettens procesledende afgørelser under sagens behandling i den åbne del af domstolsprøvelsen eller at indbringe byrettens endelige afgørelse i sagen for landsretten. Dette vil tilkomme den, som er part i sagen, jf. forslaget til § 8, stk. 1.
Justitsministeren antager et antal advokater, der kan beskikkes som særlige advokater i sager om domstolsprøvelse af afgørelser efter lovforslagets kapitel 6, jf. den foreslåede bestemmelse i § 12.
Det forudsættes, at retten i almindelighed beskikker den advokat, der »står for tur« til at blive beskikket, men at der beskikkes en anden advokat, hvis parten har begrundede indsigelser mod beskikkelsen af den pågældende.
I § 8, stk. 2, 2. pkt., foreslås det, at med hensyn til salær og godtgørelse for udlæg til den særlige advokat gælder de samme regler, som hvis der var bevilget fri proces, jf. retsplejelovens kapitel 31.
Bestemmelsen vil indebære, at salær m.v. betales af det offentlige.
Med § 8, stk. 3, 1. og 2. pkt., foreslås det, at den særlige advokat efter stk. 2 skal underrettes om alle retsmøder i sagen og er berettiget til at deltage i disse. Den særlige advokat skal gøres bekendt med og have udleveret kopi af det materiale, som indgår i sagen for retten.
Den foreslåede bestemmelse har til formål at sikre den særlige advokats løbende indsigt i sagen ved retten. Henset til advokatens særlige rolle i sagen betyder bestemmelsen endvidere, at advokatens partsbeføjelser vedrørende de fortrolige oplysninger i sagen, jf. ovenfor, vil indebære, at vedkommende vil skulle gøres bekendt med det materiale, som indgår i sagen for retten. Dvs. det materiale, som fremlægges af det offentlige med henblik på, at det vil kunne indgå i rettens afgørelse (og eventuelt supplerende materiale, som fremlægges af parten og dennes advokat).
I den foreslåede bestemmelse i § 9, stk. 1, er det endvidere udtrykkeligt bestemt, at de fortrolige oplysninger, som af sikkerhedsmæssige grunde ikke kan videregives til parten og dennes advokat, skal videregives til den særlige advokat.
Den særlige advokat vil endvidere som udgangspunkt skulle have udleveret kopi af materialet.
I § 8, stk. 3, 3. pkt., foreslås det, at forsvarsministen eller den, ministeren bemyndiger hertil, dog kan bestemme, at der af sikkerhedsmæssige grunde ikke skal udleveres kopi til den særlige advokat.
Dette vil alene kunne være relevant med hensyn til de oplysninger, der af sikkerhedsmæssige grunde ikke vil kunne videregives til parten. I så fald vil den særlige advokat på anden måde skulle have fornøden adgang til materialet, f.eks. ved at gennemse det pågældende materiale i retten.
I § 8, stk. 3, 4. pkt., foreslås det, at spørgsmålet af den særlige advokat kan indbringes for retten.
Bestemmelsen vil indebære, at spørgsmålet om udlevering af kopi af materialet vil kunne indbringes for retten af den særlige advokat. Retten vil også kunne tage stilling til en eventuel tvist om, hvordan den særlige advokat i stedet vil skulle have adgang til materialet.
Den foreslåede § 8 svarer med de nødvendige tilpasninger til den lignende bestemmelse i § 45 e i udlændingeloven, jf. lovbekendtgørelse nr. 1513 af 22. oktober 2020 med senere ændringer.
Den foreslåede bestemmelse i § 9 indeholder regler om videregivelse af de oplysninger, som er undtaget fra videregivelse til parten selv, til den særlige advokat. En beslutning om, at oplysninger, der er indgået i Center for Cybersikkerheds afgørelse efter lovforslagets kapitel 2, 3 og 8, ikke kan videregives til parten, vil også finde anvendelse i forbindelse med en domstolsprøvelse af afgørelsen. Dette vil bl.a. indebære, at parten under en retssag ikke vil have adgang til aktindsigt i de pågældende oplysninger, som fremlægges for retten, efter retsplejelovens § 255 a, som alene gælder »medmindre andet er bestemt«.
De fortrolige oplysninger, der vil være indgået i vurderingen af, om en aftale udgør en trussel mod statens sikkerhed, vil som det klare udgangspunkt blive fremlagt for retten. Der vil dog i denne vurdering kunne være indgået oplysninger af en sådan særlig karakter, at de af hensyn til statens sikkerhed, herunder efterretningstjenesternes virksomhed, ikke vil kunne videregives til andre og heller ikke som led i domstolsprøvelsen. Hvis sådanne oplysninger ikke fremlægges for retten og den særlige advokat efter den foreslåede bestemmelse i § 8, stk. 2, vil oplysningerne ikke kunne indgå i grundlaget for rettens afgørelse i sagen, da retten på grundlag af det, der vil være passeret under forhandlingerne og bevisførelsen, må afgøre, hvilke faktiske omstændigheder der vil skulle lægges til grund for sagens pådømmelse, jf. retsplejelovens § 344.
Det foreslås i § 9, stk. 1, at oplysninger vedrørende statens sikkerhed ikke videregives til parten, men alene til den særlige advokat efter § 8, stk. 2. Når sådanne oplysninger er videregivet til den særlige advokat, må vedkommende ikke drøfte sagen med parten eller dennes advokat og må ikke udtale sig i retsmøder, hvor parten eller dennes advokat er til stede. Parten og dennes advokat kan til enhver tid give skriftlige meddelelser til den særlige advokat om sagen. Jf. også den foreslåede bestemmelse i § 8 og bemærkningerne hertil.
Den særlige advokat vil kunne drøfte sagen med parten og dennes advokat, indtil det tidspunkt, hvor de nævnte fortrolige oplysninger vil være videregivet til den særlige advokat. Når sådanne oplysninger vil være videregivet til den særlige advokat, må vedkommende ikke længere drøfte sagen med parten eller dennes advokat. I modsat fald kunne der være en risiko for, at den særlige advokat ved f.eks. at stille supplerende spørgsmål til parten uforvarende ville kunne komme til at afsløre kendskab til oplysninger, som af sikkerhedsmæssige grunde ikke vil kunne videregives til parten. Den særlige advokat vil være afskåret fra at drøfte sagen med parten og dennes advokat, men der vil ikke være noget til hinder for, at den særlige advokat f.eks. skriftligt bekræfter modtagelsen af materiale fra parten eller dennes advokat.
Det forudsættes således, at den særlige advokat indledningsvis drøfter sagen med parten og dennes advokat, herunder deres bemærkninger vedrørende de oplysninger, som er videregivet til de pågældende, således at dette kan indgå i advokatens videre arbejde med sagen i relation til de fortrolige oplysninger, som ikke kan videregives til parten. Parten eller dennes advokat kan herudover når som helst give skriftlige meddelelser til den særlige advokat om sagen og kan således løbende videregive yderligere oplysninger og synspunkter til den særlige advokat, herunder efter at de fortrolige oplysninger er videregivet til den særlige advokat, og denne ikke længere kan drøfte sagen med parten. Den særlige advokat vil endvidere være til stede ved retsmøder i sagen, jf. den foreslåede bestemmelse i § 8, stk. 3, og vil således også ad den vej løbende have kendskab til partens synspunkter.
Ud fra tilsvarende betragtninger som nævnt ovenfor foreslås det endvidere, at den særlige advokat ikke må udtale sig i retsmøder, hvor parten eller dennes advokat er til stede, når de fortrolige oplysninger er videregivet til den særlige advokat. Dette stemmer også med, at parten og dennes advokat i videst muligt omfang varetager sædvanlige civilprocessuelle partsbeføjelser i sagen, herunder udtaler sig i retsmøder om sagen. Det er alene i retsmøder, hvor parten ikke er til stede, fordi der fremlægges de nævnte fortrolige oplysninger, at den særlige advokat varetager partens interesser og kan udtale sig om sagen.
Det foreslås i § 9, stk. 2, 1. pkt., at retten af egen drift eller efter begæring fra den særlige advokat efter § 8, stk. 2, kan beslutte, at oplysninger, der er indgået i vurderingen i afgørelser omfattet af kapitel 2, 3 og 8, videregives til parten og dennes advokat, hvis sikkerhedsmæssige forhold ikke kan begrunde, at oplysningerne ikke videregives.
Den foreslåede bestemmelse sigter således til tilfælde, hvor retten efter en konkret vurdering finder, at der ikke foreligger sådanne sikkerhedsmæssige forhold, at oplysningerne bør være fortrolige og ikke videregives til parten og dennes advokat, f.eks. hvis retten ikke finder, at der i det konkrete tilfælde er særlige hensyn til efterretningstjenesternes arbejdsmetoder m.v., som medfører, at de pågældende oplysninger bør være fortrolige.
Uanset om spørgsmålet om videregivelse af sådanne fortrolige oplysninger rejses af retten af egen drift eller efter begæring fra den særlige advokat, vil både den særlige advokat og forsvarsministeren eller den, som ministeren bemyndiger hertil, have adgang til at udtale sig om spørgsmålet om videregivelse, inden retten træffer afgørelse.
Det foreslås med § 9, stk. 2, 2. pkt., at afgørelsen efter 1. pkt. træffes ved kendelse, og efter at den særlige advokat og forsvarsministeren eller den, ministeren bemyndiger hertil, har haft lejlighed til at udtale sig.
Kendelsen vil som efter de almindelige regler herom skulle begrundes, jf. retsplejelovens § 218, stk. 1.
Det foreslås med § 9, stk. 2, 3. og 4. pkt., at kendelsen kan kæres af de personer, der er nævnt i 2. pkt., og at kære af en afgørelse om, at oplysninger videregives, har opsættende virkning.
I overensstemmelse med at den særlige advokat med hensyn til de fortrolige oplysninger varetager partens interesser i sagen, vil afgørelsen kunne kæres af den særlige advokat og af forsvarsministeren eller den, som ministeren bemyndiger hertil.
Kære af rettens afgørelse om, at oplysninger skal videregives, vil efter forslaget have opsættende virkning, dvs. at oplysningerne ikke vil skulle videregives til parten og dennes advokat, før der foreligger en endelig retsafgørelse om spørgsmålet. Det er samtidig forudsat, at selve retssagen om prøvelse af afgørelsen efter lovforslagets kapitel 2, 3 og 8 ikke vil blive færdigbehandlet ved retten, før der er taget endelig stilling til, i hvilket omfang fortrolige oplysninger vil kunne videregives til parten og dennes advokat.
Det foreslås i § 9, stk. 3, at hvis retten har truffet afgørelse om, at fortrolige oplysninger videregives til parten og dennes advokat, kan forsvarsministeren eller den, ministeren bemyndiger hertil, bestemme, at de pågældende oplysninger ikke indgår i sagen for retten.
Hermed sigtes til tilfælde, hvor forsvarsministeren eller den, ministeren bemyndiger hertil, uanset rettens beslutning finder, at oplysningerne ikke bør videregives, selv om dette medfører, at retten i så fald må træffe afgørelse på det foreliggende grundlag, jf. herved også retsplejelovens § 344 omtalt ovenfor.
Beslutningen vil både kunne omfatte alle oplysninger omfattet af rettens afgørelse om, at oplysninger videregives, og begrænses til at gælde visse oplysninger, så de øvrige oplysninger videregives til parten og dennes advokat.
Det foreslås med § 9, stk. 4, at ingen må deltage som dommer i sagen, hvis den pågældende har truffet afgørelse efter stk. 2, 1. pkt., eller i øvrigt har haft adgang til oplysninger omfattet af en sådan afgørelse, og forsvarsministeren eller den, ministeren bemyndiger hertil, har truffet beslutning efter stk. 3 om, at de pågældende oplysninger ikke indgår i sagen for retten.
Bestemmelsen vil indebære, at hvis der efter det foreslåede stk. 3 besluttes, at visse oplysninger ikke længere skal indgå i sagen for retten, vil en dommer, som har deltaget i afgørelsen om, at de pågældende oplysninger videregives til parten og dennes advokat, jf. forslaget til stk. 2, ikke længere kunne deltage som dommer i sagen. I modsat fald ville den pågældende dommer have kendskab til disse fortrolige oplysninger, selv om de ikke længere indgår i sagen for retten.
Tilsvarende vil en dommer ikke kunne deltage som dommer i sagen, hvis han eller hun i øvrigt har haft adgang til oplysninger, som er omfattet af en beslutning efter forslaget til stk. 3 om, at oplysningerne ikke længere indgår i sagen for retten. Det vil f.eks. kunne være tilfældet, hvis de pågældende oplysninger har været fremlagt for retten inden en beslutning efter stk. 3 også i denne situation vil den pågældende dommer således have fået kendskab til fortrolige oplysninger, som ikke længere indgår i sagen.
Den foreslåede § 9 svarer med de nødvendige tilpasninger til den lignende bestemmelse i § 45 f i udlændingeloven, jf. lovbekendtgørelse nr. 1513 af 22. oktober 2020 med senere ændringer.
Det foreslås med § 10, stk. 1, 1. pkt., at den del af et retsmøde, der angår, eller hvor der fremlægges eller behandles oplysninger af betydning for, statens sikkerhed, som ikke er omfattet af en beslutning efter § 9, stk. 2, holdes for lukkede døre.
Bestemmelsen vil således gælde for alle dele af et retsmøde, hvor sådanne oplysninger vil komme frem eller blive omtalt, hvad enten det f.eks. vil ske som led i en bevisførelse eller som led i den særlige advokats eller forsvarsministerens repræsentants procedure for retten.
Dette gælder også retsmøder, hvor retten behandler spørgsmålet om videregivelse af fortrolige oplysninger til parten eller dennes advokat, jf. den foreslåede bestemmelse i § 9, stk. 2.
Hvis retten efter den foreslåede bestemmelse i § 9, stk. 2, har bestemt, at oplysninger af betydning for statens sikkerhed videregives til parten i forbindelse med sagens behandling i retten, finder den foreslåede bestemmelse i stk. 1 om behandling for lukkede døre dog ikke anvendelse.
Det foreslås med § 10, stk. 1, 2. pkt., at det kommer til at fremgå af lovteksten, at i denne del af et retsmøde deltager den særlige advokat efter § 8, stk. 2, men ikke parten og dennes advokat.
Spørgsmålet om, hvorvidt retsmøder i sagen i øvrigt holdes for åbne eller lukkede døre, vil som i dag skulle afgøres efter retsplejelovens almindelige regler herom, jf. navnlig retsplejelovens § 29.
Som det fremgår, vil der ved behandlingen af en sag om en prøvelse af en afgørelse blive tale om, at visse dele af retsmøderne vil foregå for lukkede døre uden tilstedeværelse af parten og dennes advokat, hvor partens interesser varetages af den særlige advokat, mens retsmøderne i øvrigt vil foregå med deltagelse af parten og dennes advokat (samt den særlige advokat, jf. den foreslåede bestemmelse i § 8, stk. 3).
På denne baggrund foreslås det i § 10, stk. 2, at retten i den enkelte sag bestemmer, hvordan retsmøder, der efter stk. 1 helt eller delvis holdes for lukkede døre, gennemføres.
Det forudsættes, at retsmøderne i videst muligt omfang foregår efter de almindelige regler bl.a. om gennemførelse af hovedforhandlingen, jf. retsplejelovens § 365, men at retten kan træffe beslutning om de fornødne ændringer ved afholdelsen af retsmøderne som følge af, at parten og dennes advokat ikke deltager i alle dele af sagens retsmøder.
Retten vil f.eks. kunne bestemme, at hovedforhandlingen foregår på den måde, at parten og dennes advokat deltager i den første del af retsmødet, hvor der fremlægges alle oplysninger, som ikke er af betydning for statens sikkerhed, hvorefter parterne gør rede for deres opfattelse af sagen (proceduren). Herefter forlader parten og dennes advokat retsmødet, og der kan i et lukket retsmøde fremlægges de fortrolige oplysninger, der af sikkerhedsmæssige grunde ikke kan videregives til parten. Herefter procederer den særlige advokat og forsvarsministerens repræsentant og gør rede for deres opfattelse af sagen i lyset af de fortrolige oplysninger, som nu er fremlagt for retten. På dette samlede grundlag træffer retten sin afgørelse i sagen, jf. også den foreslåede bestemmelse i § 11.
Den forslåede § 10 svarer med de nødvendige tilpasninger til den lignende bestemmelse i § 45 g i udlændingeloven, jf. lovbekendtgørelse nr. 1513 af 22. oktober 2020 med senere ændringer.
Det foreslås med § 11, at retten træffer afgørelse efter, at parterne og den særlige advokat har haft lejlighed til at udtale sig.
Bestemmelsen vil indebære, at retten i den enkelte sag vil kunne bestemme, hvordan dette tilrettelægges, jf. den foreslåede bestemmelse i § 10, stk. 2, og bemærkningerne hertil.
Om den særlige advokats opgaver henvises i øvrigt til de foreslåede bestemmelser i § 8, stk. 2 og 3, og bemærkningerne hertil.
Rettens afgørelse vil skulle begrundes efter de almindelige regler herom, jf. retsplejelovens § 218, stk. 1, og en dom vil bl.a. skulle indeholde en fremstilling af sagen og angive de faktiske og retlige omstændigheder, der vil være lagt vægt på ved sagens afgørelse, jf. retsplejelovens § 218 a, stk. 2.
En beslutning om, at oplysninger, der er indgået i Center for Cybersikkerheds afgørelse, af sikkerhedsmæssige grunde ikke kan videregives til parten, vil som nævnt i bemærkningerne til den foreslåede bestemmelse også finde anvendelse i forbindelse med en domstolsbehandling. Rettens afgørelse (dom eller kendelse) må således affattes under hensyntagen hertil, dvs. således, at den ikke indeholder fortrolige oplysninger, som ikke kan videregives til parten. Det er således forudsat, at rettens afgørelse affattes og begrundes på grundlag af sagens åbne materiale, som parten har kendskab til og har haft lejlighed til at kommentere, men således at retten i sin afgørelse kan henvise til, at oplysninger i det åbne materiale er godtgjort eller sandsynliggjort i de fortrolige oplysninger, som er fremlagt for retten og den særlige advokat.
Den forslåede § 11 svarer med de nødvendige tilpasninger til den lignende bestemmelse i § 45 h, stk. 1, i udlændingeloven, jf. lovbekendtgørelse nr. 1513 af 22. oktober 2020 med senere ændringer.
Det foreslås med § 12, 1. pkt., at justitsministeren antager et antal advokater, der kan beskikkes efter den foreslåede bestemmelse i § 8, stk. 2, 1. pkt.
Ligesom udlændingelovens § 45 j, vil bestemmelsen svare til retsplejelovens § 784, stk. 2, om advokater, der kan beskikkes i sager om indgreb i meddelelseshemmeligheden, hvor efterforskningen angår overtrædelse af straffelovens kapitel 12 og 13 (om terrorisme m.v.).
De pågældende advokater vil i givet fald blive antaget af justitsministeren efter drøftelse med præsidenterne for Østre Landsret og Københavns Byret samt Advokatrådet.
Det foreslås endvidere med § 12, 2. pkt., at justitsministeren kan fastsætte nærmere regler om de pågældende advokater, herunder om vagtordninger, om vederlag for at stå til rådighed og om sikkerhedsmæssige spørgsmål.
Justitsministeren vil efter bestemmelsen bl.a. kunne fastsætte regler om, at de pågældende advokater kun efter særlig godkendelse af Justitsministeriet må få bistand fra andre ved udførelsen af deres hverv, om transport og opbevaring af sagens dokumenter og om sikkerhedsgodkendelse af advokaterne. Beslutningen om sikkerhedsgodkendelse af de særlige advokater vil i givet fald blive truffet af Justitsministeriet.
Den foreslåede § 12 svarer med de nødvendige tilpasninger til den lignende bestemmelse i § 45 j i udlændingeloven, jf. lovbekendtgørelse nr. 1513 af 22. oktober 2020 med senere ændringer.
Det foreslås med § 13, at de foreslåede særlige regler om domstolsprøvelse i lovforslagets kapitel 6 om sagens behandling i byretten gælder tilsvarende for sagens behandling i landsretten og i Højesteret.
Bestemmelsen vil blive relevant for sagens behandling for Højesteret, hvis Procesbevillingsnævnet giver tilladelse til, at sagen indbringes for Højesteret.
Den foreslåede § 13 svarer med de nødvendige tilpasninger til den lignende bestemmelse i § 45 k, stk. 1, i udlændingeloven, jf. lovbekendtgørelse nr. 1513 af 22. oktober 2020 med senere ændringer.
Det foreslås med § 14, stk. 1, at Center for Cybersikkerhed i ikke-anonymiseret form kan offentliggøre afgørelser truffet i medfør af kapitel 2, 3 og 8 samt resuméer af domme i retssager, der vedrører prøvelse af afgørelser efter kapitel 2, 3 og 8.
Den foreslåede bestemmelse har til formål at give teleudbyderne øget incitament til overholdelse af lovens kapitel 2, ligesom bestemmelsen vil give telekunder mulighed for at få kendskab til, hvorvidt en teleudbyder f.eks. har indgået eller opretholder en aftale, der vurderes at udgøre en trussel mod statens sikkerhed. Forsvarsministeriet finder således, at der ud fra et samlet hensyn til statens sikkerhed er behov for, at Center for Cybersikkerhed i ikke-anonymiseret form kan offentliggøre afgørelser og resuméer af domme i relation til overholdelse af lovens kapitel 2, 3 og 8. En sådan offentliggørelsesordning vurderes at udgøre et effektivt redskab, der kan medvirke til at sikre et højt sikkerhedsniveau i den kritiske teleinfrastruktur.
Offentliggørelse af afgørelser efter stk. 1, nr. 1, vil indebære, at der vil kunne ske offentliggørelse i sager, hvor Center for Cybersikkerhed efter den foreslåede § 2 forbyder en teleudbyder at indgå en aftale samt i tilfælde, hvor centeret efter den foreslåede § 3 forbyder en teleudbyder at opretholde en indgået aftale eller forbyder anvendelse af kritiske komponenter, systemer m.v. Der vil også kunne ske offentliggørelse i sager, hvor centeret iværksætter ekspropriation efter det foreslåede kapitel 3. Desuden vil der kunne ske offentliggørelse i sager, hvor et ledelsesmedlem afsættes efter det foreslåede kapitel 8.
Herudover vil der efter stk. 1, nr. 2, kunne ske offentliggørelse af resuméer af domme i retssager, der vedrører prøvelse af afgørelser efter kapitel 2, 3 og 8. Bestemmelsen vil vedrøre de tilfælde, hvor domstolene foretager en prøvelse af Center for Cybersikkerheds afgørelser efter lovens §§ 2 og 3 om forbud mod henholdsvis indgåelse eller opretholdelse af en aftale eller anvendelse af kritiske komponenter, systemer m.v. samt § 4 om ekspropriation og § 15 om sanktioner. Der vil ikke med bestemmelsen ske en fravigelse af retsplejelovens regler om aktindsigt i domme.
Offentliggørelse vil typisk ske på Center for Cybersikkerheds hjemmeside eller ved udsendelse af en pressemeddelelse i ikke-anonymiseret form. Det vil således fremgå af det offentliggjorte materiale, hvilken teleudbyder afgørelsen eller dommen er rettet imod.
Offentliggørelse efter stk. 1 vil kun ske, hvis det er i offentlighedens interesse. Forud for offentliggørelse forudsættes Center for Cybersikkerhed at foretage en afvejning af offentlighedens interesser over for en eventuel skadevirkning for den pågældende teleudbyders virksomhed. Offentliggørelse efter stk. 1 må desuden ikke indeholde oplysninger om bl.a. tekniske indretninger eller fremgangsmåder eller om drifts- eller forretningsforhold el.lign., for så vidt det er af væsentlig økonomisk betydning for den teleudbyder, som oplysningerne angår. Offentliggørelse må bl.a. heller ikke indeholde oplysninger, hvis hemmeligholdelse er af væsentlig betydning for statens sikkerhed eller rigets forsvar. Desuden vil klassificerede informationer og oplysninger om enkeltpersoners forhold blive slettet i det materiale, der vil blive offentliggjort. Oplysninger om enkeltpersoners forhold kan eksempelvis være oplysninger om navne, adresser eller telefonnumre på klagere eller andre berørte parter, som vil skulle undtages fra offentliggørelsen.
Det bemærkes i øvrigt, at Center for Cybersikkerhed forudsættes ikke at offentliggøre afgørelser, såfremt efterforskningsmæssige hensyn taler derimod.
Det foreslås med § 14, stk. 2, at forsvarsministeren kan fastsætte nærmere regler om sagsbehandlingen i forbindelse med offentliggørelse efter stk. 1.
Der vil med hjemmel i bestemmelsen eksempelvis kunne fastsættes regler for, hvornår der kan ske offentliggørelse. Der vil endvidere kunne fastsættes regler om forudgående høring eller orientering af en udbyder vedrørende spørgsmålet om en forestående offentliggørelse af en afgørelse m.v.
Der vil herudover kunne fastsættes regler om, at det skal fremgå af offentliggørelsen, såfremt der verserer en sag for domstolene.
Endelig vil der kunne fastsættes regler om, hvor lang tid den pågældende afgørelse m.v. skal være offentligt tilgængelig på Center for Cybersikkerheds hjemmeside.
Det foreslås med § 15, at hvis en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester ikke efterlever et forbud efter § 2, stk. 1, eller § 3, stk. 1 eller 2, kan Center for Cybersikkerhed træffe afgørelse om at afsætte medlemmer af udbyderens ledelse.
Den foreslåede bestemmelse har til formål at sikre et øget incitament for teleudbyderen til at efterleve forbud mod indgåelse af aftaler efter den foreslåede bestemmelse i § 2, stk. 1, forbud mod opretholdelse af aftaler efter § 3, stk. 1, eller forbud mod anvendelse af kritiske komponenter, systemer m.v. efter § 3, stk. 2. Den foreslåede bestemmelse skal ses i lyset af, at forbud kun nedlægges, hvis en aftale m.v. vurderes at udgøre en trussel mod statens sikkerhed. Det vil dermed være væsentligt, at myndighederne kan agere, såfremt der mod forventning er en teleudbyder, som vælger at fortsætte med en aftale, som f.eks. kan resultere i spionage eller sabotage mod den kritiske teleinfrastruktur.
Bestemmelsen vil indebære, at Center for Cybersikkerhed ved en forvaltningsafgørelse administrativt vil kunne afsætte medlemmer af ledelsen hos udbydere, der er organiseret som kapitalselskaber. Bestemmelsen vil alene finde anvendelse i det tilfælde, hvor Center for Cybersikkerhed har truffet en afgørelse om forbud efter kapitel 2, og hvor udbyderen ikke efterlever et sådan forbud, eventuelt inden for den af centeret fastsatte frist.
Bestemmelsen forventes anvendt i forhold til udvalgte, centrale beslutningstagere, f.eks. bestyrelsesformand eller formanden for tilsynsrådet. For teleudbydere, der ikke har en bestyrelse eller et tilsynsråd, som det eksempelvis kan være tilfældet for anpartsselskaber, forventes bestemmelsen anvendt i forhold til den direktør, der er øverst ansvarlig for den overordnede strategiske ledelse af teleudbyderen, typisk den administrerende direktør.
Bestemmelsens anvendelse forudsætter ikke, at den manglende efterlevelse kan tilregnes det pågældende ledelsesmedlem. Det forudsættes dog, at Center for Cybersikkerhed ikke anvender bestemmelsen i situationer, hvor den manglende efterlevelse af et forbud inden for en given frist skyldes undskyldelige omstændigheder, f.eks. akut sygdom, vejrmæssige forhold eller tilsvarende.
Har Center for Cybersikkerhed truffet afgørelse om at afsætte et ledelsesmedlem, vil centeret i den forbindelse anmode Erhvervsstyrelsen om at afregistrere den pågældende i virksomhedsregistret efter 30 dage fra datoen for afgørelsen, hvis ikke virksomheden selv har afregistreret vedkommende. Udpegning af et nyt ledelsesmedlem vil ske efter den pågældende virksomheds almindelige procedure.
Center for Cybersikkerhed vil kunne træffe afgørelse om også at afsætte udbyderens nye ledelsesmedlem, hvis teleudbyderen fortsat ikke efterlever et forbud efter kapitel 2.
Det forudsættes, at Center for Cybersikkerhed i forbindelse med afgørelsen i størst muligt omfang gennemfører partshøringer samt begrunder afgørelsen, så længe det ikke kompromitterer hensynene bag lovforslaget. Det forudsættes desuden, at afgørelsen alene træffes, hvis Center for Cybersikkerhed forudgående har orienteret teleudbyderen og det pågældende ledelsesmedlem om, at centeret inden for en nærmere fastsat frist vil træffe afgørelse om afsættelse. Fristen forudsættes at være på mindst 14 dage.
Dermed sikres det, at teleudbyderen og det pågældende ledelsesmedlem vil få en udvidet mulighed for at fremkomme med oplysninger af relevans for sagen, inden der træffes endelig afgørelse. Eksempelvis vil det være muligt at oplyse, hvis der har foreligget undskyldelige omstændigheder.
Center for Cybersikkerheds afgørelser efter den foreslåede bestemmelse vil kunne påklages til Forsvarsministeriets departement efter de almindelige regler om rekurs. Påklages afgørelsen til Forsvarsministeriets departement, vil klagen blive tillagt opsættende virkning for så vidt angår afsættelsen af ledelsesmedlemmet.
Det foreslås med § 16, at aftaler, der er i strid med et forbud efter § 2, stk. 1, eller § 3, stk. 1, er uden gyldighed mellem parterne.
Bestemmelsen vil indebære, at væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester og disses kontraktsparter ikke vil kunne støtte ret på en aftale, der er i strid med et forbud efter § 2, stk. 1, om indgåelse af aftaler vedrørerende kritiske netkomponenter, systemer og værktøjer, herunder varetagelse af driften heraf, som vurderes at udgøre en trussel mod statens sikkerhed.
Bestemmelsen vil endvidere indebære, at væsentlige erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester og disses kontraktsparter ikke vil kunne støtte ret på en aftale, der er i strid med et forbud efter § 3, stk. 1, om opretholdelse af aftaler vedrørende kritiske netkomponenter, systemer og værktøjer, herunder varetagelse af driften heraf, som vurderes at udgøre en væsentlig trussel mod statens sikkerhed.
Det bemærkes, at Danske Lov 5-1-2 indeholder et fortsat gældende princip om aftaler i strid med lov og ærbarhed, hvorefter kontrakter, der frivilligt er indgået af myndige personer, og som ikke strider mod lov og ærbarhed, skal overholdes. Den foreslåede bestemmelse indebærer, at en aftale, der er indgået i strid med et forbud udstedt efter denne lov, ikke skal anerkendes ved domstolene.
Retsvirkningerne af en ugyldig aftale følger af de almindelige regler om ugyldighedsvirkninger, herunder om tilbageførelse af ydelser mellem parterne.
Det forslås med § 17, stk. 1, at loven træder i kraft den 1. juli 2021.
Bestemmelse vil indebære, at loven vil kunne håndhæves, og at Center for Cybersikkerhed vil kunne træffe afgørelser efter kapitel 2, 3 og 8 fra den 1. juli 2021.
Det foreslås med § 17, stk. 2, at §§ 1, 3-17 og 19 har virkning for aftaler, der er indgået den 7. december 2020 eller senere, jf. dog stk. 3.
Bestemmelsen vil indebære, at Center for Cybersikkerhed fra lovens ikrafttræden vil kunne træffe afgørelse om forbud mod opretholdelse af aftaler, jf. § 3, stk. 1, forbud mod anvendelse af kritiske komponenter, systemer m.v., jf. § 3, stk. 2, samt afgørelse om ekspropriation efter § 4, når disse aftaler er indgået den 7. december 2020 eller senere. Virkningstidspunktet for loven er fastsat til datoen for iværksættelsen af den offentlige høring over lovforslaget. Loven vil således have tilbagevirkende kraft for aftaler indgået den 7. december 2020 eller senere.
Med den foreslåede bestemmelse sikres det, at der ikke opstår et incitament for teleudbyderne til at omgå lovens ordning ved at indgå aftaler, der vedrører kritiske netkomponenter, systemer og værktøjer, herunder varetagelse af driften heraf, som udgør en væsentlig trussel mod statens sikkerhed, i perioden fra lovforslaget har været sendt i offentlig høring og frem til den 1. juli 2021, hvor loven foreslås at træde i kraft.
Det foreslås med § 17, stk. 3, at §§ 1, 3-17 og 19 fra den 1. januar 2026 endvidere har virkning for aftaler, der er indgået før den 7. december 2020.
Bestemmelsen vil indebære, at Center for Cybersikkerhed efter den 1. januar 2026 vil kunne træffe afgørelse om forbud mod opretholdelse af aftaler, jf. § 3, stk. 1, eller forbud mod anvendelse af kritiske komponenter, systemer m.v., jf. § 3, stk. 2, samt afgørelse om ekspropriation efter § 4, selv om det vedrører aftaler indgået før den 7. december 2020, som er datoen for iværksættelsen af den offentlige høring. Loven vil således efter den 1. januar 2026 have tilbagevirkende kraft for alle aftaler indenfor lovens anvendelsesområde, uanset hvornår de er indgået. Det er dog forventningen, at langt de fleste omfattede aftaler på dette tidspunkt vil være udløbet.
Bestemmelsen vil indebære, at teleudbyderne fra lovens ikrafttræden vil få en længere periode til selv at afvikle aftaler, der vedrører kritiske netkomponenter, systemer og værktøjer, herunder varetagelsen af driften heraf, der er indgået før den 7. december 2020, hvor forhold hos leverandøren m.v. gør, at fastholdelsen af aftalen udgør en væsentlig trussel mod statens sikkerhed.
Der henvises i øvrigt til afsnit 3.1 i de almindelige bemærkninger.
Til nr. 1
Det følger af § 4, nr. 2, i lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, at Center for Cybersikkerhed fastsætter regler om erhvervsmæssige udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenesters underretning af Center for Cybersikkerhed ved påtænkt indgåelse af aftaler om leverancer, der vedrører væsentlige dele af udbyderens net eller tjenester eller driften heraf. Der kan endvidere stilles krav om, at udbyderne skal indsende et endeligt aftaleudkast til Center for Cybersikkerhed umiddelbart forud for indgåelse af aftalen, og at aftalen først kan indgås op til 10 arbejdsdage efter centerets modtagelse af dette udkast.
Det foreslås med § 18, nr. 1, at fristen i § 4, nr. 2, 2. pkt., i lov om sikkerhed i net og tjenester ændres fra 10 arbejdsdage til 25 arbejdsdage.
Ordningen i den foreslåede lovs § 2 vil indebære, at Center for Cybersikkerhed i særlige tilfælde vil kunne forbyde en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester at indgå en aftale, der vedrører kritiske netkomponenter, systemer og værktøjer, herunder varetagelse af driften heraf, såfremt aftalen vurderes at udgøre en trussel mod statens sikkerhed.
Vurderingen af, om en aftale udgør en trussel mod statens sikkerhed, vil typisk skulle ske, efter at Center for Cybersikkerhed har modtaget det endelige aftaleudkast fra teleudbyderen i medfør af den eksisterende underretningsordning efter lov om sikkerhed i net og tjenester. Den nuværende frist på 10 arbejdsdage er imidlertid fastsat ud fra et hensyn til, at Center for Cybersikkerhed skal have mulighed for at gennemgå aftalen og rådgive teleudbyderen. Dette vil med den foreslåede ordning fortsat skulle ske, idet Center for Cybersikkerhed i forbindelse med rådgivningen også vil kunne tilkendegive, hvordan centeret umiddelbart vurderer udsigten til, at der nedlægges forbud, og først hvis rådgivningen ikke følges, vil centeret skulle tage endelig stilling til, om der er grundlag for at nedlægge et forbud. Dette rådgivningsforløb vil ikke være muligt indenfor den samlede frist på 10 arbejdsdage, og det foreslås derfor, at fristen forøges til 25 arbejdsdage.
Lovforslagets foreslåede § 19 har til formål at fastlægge lovens territoriale gyldighed. Det foreslås, at loven ikke skal gælde for Færøerne og Grønland. Regeringen er i dialog med Færøerne og Grønland om udformning af en lovgivningsmodel for Færøerne og Grønland med respekt for kompetencefordelingen i rigsfællesskabet.
VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt:
Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov:
I denne lov forstås ved:
Kritiske netkomponenter, systemer og værktøjer: Operations support-systemer, network management-systemer og business support-systemer, der kan benyttes til at aflæse, ændre indhold af eller dirigere data, som relaterer sig til slutbrugere, samt hardware, firmware og software, der anvendes i eller i forbindelse med core-net i mobilnet, fastnet og internet eller i centrale routere og servere i backbonenettene eller i kontrolenheder, som anvendes til styring i mobilnettenes radionet.
Slutbruger: En bruger af net og tjenester, som ikke på kommercielt grundlag stiller de pågældende net og tjenester til rådighed for andre.
Væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester:
a) Udbyder af net, hvor disse net anvendes af mere end 50.000 slutbrugere. Ved opgørelsen medregnes de slutbrugere, der har aftaleforhold med udbyderens kunder. Radio- og tv-stationer, der er udbydere af net, er kun omfattet, hvis de har landsdækkende public service-forpligtelser.
b) Udbyder, der gennem aftaler med statslige myndigheder og institutioner betjener mere end 500 slutbrugere. Ved opgørelsen medregnes de statslige myndigheders og institutioners egne slutbrugere.
Center for Cybersikkerhed kan i særlige tilfælde forbyde en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester at indgå en aftale, der vedrører kritiske netkomponenter, systemer og værktøjer, herunder varetagelsen af driften heraf, hvis aftalen vurderes at udgøre en trussel mod statens sikkerhed.
Stk. 2. Ved vurderingen efter stk. 1 kan Center for Cybersikkerhed lægge vægt på forhold vedrørende den leverandør, som udbyderen ønsker at anvende. I vurderingen vil bl.a. kunne indgå, om leverandøren, leverandørens væsentligste underleverandører og aktører, der udøver kontrol over eller har betydelig indflydelse på leverandøren,
er hjemmehørende i eller varetager produktionen eller driften fra et land, som Danmark ikke har indgået en sikkerhedsaftale med, eller som Danmark ikke har et tilsvarende sikkerhedsmæssigt samarbejde med,
er hjemmehørende i eller varetager produktionen eller driften fra et land, hvor det efter det pågældende lands lovgivning er muligt at pålægge leverandører eller deres underleverandører at udføre eller deltage i forhold, som vil udgøre spionage eller sabotage,
direkte eller indirekte kontrolleres af et andet lands statslige organer, herunder militære myndigheder, og
er eller har været involveret i aktiviteter i Danmark eller andre lande, som har medført en negativ påvirkning af statens sikkerhed, informationssikkerheden eller den offentlige orden.
Stk. 3. Center for Cybersikkerhed kan kun nedlægge forbud efter stk. 1, hvis hensynet til statens sikkerhed ikke effektivt kan varetages ved mindre indgribende foranstaltninger.
Center for Cybersikkerhed kan i særlige tilfælde forbyde en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester at opretholde en indgået aftale, der vedrører kritiske netkomponenter, systemer og værktøjer, herunder varetagelsen af driften heraf, hvis opretholdelse af aftalen vurderes at udgøre en væsentlig trussel mod statens sikkerhed. Ved vurderingen heraf kan Center for Cybersikkerhed lægge vægt på de forhold, som fremgår af § 2, stk. 2.
Stk. 2. Center for Cybersikkerhed kan endvidere i særlige tilfælde forbyde en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester at anvende kritiske netkomponenter, systemer og værktøjer, der er leveret, hvis anvendelsen vurderes at udgøre en væsentlig trussel mod statens sikkerhed. Ved vurderingen heraf kan Center for Cybersikkerhed lægge vægt på de forhold, som fremgår af § 2, stk. 2.
Stk. 3. Center for Cybersikkerhed kan fastsætte en frist for, hvornår en aftale skal være afviklet efter stk. 1, og hvornår anvendelse af kritiske netkomponenter, systemer og værktøjer skal være ophørt efter stk. 2.
Stk. 4. Center for Cybersikkerhed kan kun nedlægge forbud efter stk. 1 og 2, hvis hensynet til statens sikkerhed ikke effektivt kan varetages ved mindre indgribende foranstaltninger.
Center for Cybersikkerhed kan i det omfang, det er nødvendigt for gennemførelse af forbud efter kapitel 2, iværksætte ekspropriation af privat ejendom.
Stk. 2. Udgør gennemførelse af forbud efter kapitel 2 et ekspropriativt indgreb, ydes der fuldstændig erstatning til den eller de berørte parter.
Lov om offentlighed i forvaltningen bortset fra lovens § 13 og forvaltningslovens kapitel 4-6 finder ikke anvendelse på sager, der er omfattet af denne lov, jf. dog stk. 2.
Stk. 2. Center for Cybersikkerhed skal i forbindelse med afgørelser efter kapitel 2, 3 og 8 i størst muligt omfang foretage partshøring, jf. forvaltningslovens kapitel 5, og begrunde afgørelserne, jf. forvaltningslovens kapitel 6.
Stk. 3. Center for Cybersikkerhed skal forud for afgørelser efter kapitel 2 gennemføre en høring af Erhvervsstyrelsen, Energistyrelsen og andre relevante fagmyndigheder.
Center for Cybersikkerheds afgørelser efter kapitel 2 og 3 kan ikke påklages til anden administrativ myndighed.
Afgørelser efter kapitel 2, 3 og 8 kan alene indbringes for Københavns Byret.
Stk. 2. Afgørelsen skal indbringes inden 6 måneder efter afgørelsens meddelelse. Københavns Byret kan dog undtagelsesvis tillade en indbringelse efter 6 måneder.
Stk. 3. I afgørelsen af sagen ved byretten deltager tre dommere.
Stk. 4. Forsvarsministeren eller den, ministeren bemyndiger hertil, kan lade personer, der er ansat i Forsvarsministeriet eller myndigheder under Forsvarsministeriet, møde for sig i retten som rettergangsfuldmægtige.
Som part i sagen for det offentlige anses forsvarsministeren eller den, ministeren bemyndiger hertil.
Stk. 2. Retten beskikker en særlig advokat til at varetage interesser for den, der har indbragt sagen for retten, eller som er indtrådt som part i sagen, og på vegne af denne udøve partsbeføjelser med hensyn til oplysninger af betydning for statens sikkerhed. Om salær og godtgørelse for udlæg til den særlige advokat gælder samme regler som i tilfælde, hvor der er meddelt fri proces, jf. retsplejelovens kapitel 31.
Stk. 3. Den særlige advokat efter stk. 2 skal underrettes om alle retsmøder i sagen og er berettiget til at deltage i disse. Den særlige advokat skal gøres bekendt med og have udleveret kopi af det materiale, som indgår i sagen for retten. Forsvarsministeren eller den, ministeren bemyndiger hertil, kan dog bestemme, at der af sikkerhedsmæssige grunde ikke udleveres kopi til den særlige advokat. Spørgsmålet kan af den særlige advokat indbringes for retten.
Oplysninger vedrørende statens sikkerhed videregives ikke til parten, men alene til den særlige advokat efter § 8, stk. 2. Når sådanne oplysninger er videregivet til den særlige advokat, må vedkommende ikke drøfte sagen med parten eller dennes advokat og må ikke udtale sig i retsmøder, hvor parten eller dennes advokat er til stede. Parten og dennes advokat kan til enhver tid give skriftlige meddelelser til den særlige advokat om sagen.
Stk. 2. Retten kan af egen drift eller efter begæring fra den særlige advokat efter § 8, stk. 2, beslutte, at oplysninger, der er indgået i vurderingen ved afgørelser omfattet af kapitel 2, 3 og 8, videregives til parten og dennes advokat, hvis sikkerhedsmæssige forhold ikke kan begrunde, at oplysningerne ikke videregives. Afgørelsen træffes ved kendelse, og efter at den særlige advokat og forsvarsministeren eller den, ministeren bemyndiger hertil, har haft lejlighed til at udtale sig. Kendelsen kan kæres af de personer, der er nævnt i 2. pkt. Kære af en afgørelse om, at oplysninger videregives, har opsættende virkning.
Stk. 3. Har retten truffet afgørelse efter stk. 2, 1. pkt., kan forsvarsministeren eller den, ministeren bemyndiger hertil, bestemme, at de pågældende oplysninger ikke indgår i sagen for retten.
Stk. 4. Ingen må deltage som dommer i sagen, hvis den pågældende har truffet afgørelse efter stk. 2, 1. pkt., eller i øvrigt har haft adgang til oplysninger omfattet af en sådan afgørelse og forsvarsministeren eller den, ministeren bemyndiger hertil, har truffet beslutning efter stk. 3 om, at de pågældende oplysninger ikke indgår i sagen for retten.
Den del af et retsmøde, der angår eller hvori der fremlægges eller behandles oplysninger af betydning for statens sikkerhed, som ikke er omfattet af en beslutning efter § 9, stk. 2, holdes for lukkede døre. I denne del af et retsmøde deltager den særlige advokat efter § 8, stk. 2, men ikke parten og dennes advokat.
Stk. 2. Retten bestemmer, hvordan retsmøder, der efter stk. 1 helt eller delvis holdes for lukkede døre, gennemføres.
Retten træffer afgørelse, efter at parterne og den særlige advokat har haft lejlighed til at udtale sig.
Justitsministeren antager et antal advokater, der kan beskikkes efter § 8, stk. 2, 1. pkt. Justitsministeren kan fastsætte nærmere regler om de pågældende advokater, herunder om vagtordninger, om vederlag for at stå til rådighed og om sikkerhedsmæssige spørgsmål.
Reglerne i dette kapitel om sagens behandling i byretten gælder tilsvarende for sagens behandling i landsretten og Højesteret.
Center for Cybersikkerhed kan i ikkeanonymiseret form offentliggøre følgende:
Afgørelser truffet i medfør af kapitel 2, 3 og 8.
Resuméer af domme i retssager, der vedrører prøvelse af afgørelser efter kapitel 2, 3 og 8.
Stk. 2. Forsvarsministeren kan fastsætte nærmere regler om sagsbehandlingen i forbindelse med offentliggørelse efter stk. 1.
Hvis en væsentlig erhvervsmæssig udbyder af offentligt tilgængelige elektroniske kommunikationsnet og ‑tjenester ikke efterlever et forbud efter § 2, stk. 1, eller § 3, stk. 1 eller 2, kan Center for Cybersikkerhed træffe afgørelse om at afsætte medlemmer af udbyderens ledelse.
Aftaler, der er i strid med et forbud efter § 2, stk. 1, eller § 3, stk. 1, er uden gyldighed mellem parterne.
Loven træder i kraft den 1. juli 2021.
Stk. 2. §§ 1, 3-17 og 19 har virkning for aftaler, der er indgået den 7. december 2020 eller senere, jf. dog stk. 3.
Stk. 3. §§ 1, 3-17 og 19 har fra den 1. januar 2026 endvidere virkning for aftaler, der er indgået før den 7. december 2020.
Stk. 4. Forsvarsministeren udarbejder en rapport om erfaringerne med loven, som oversendes til Folketinget 3 år efter lovens ikrafttræden.
I lov om sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153 af 1. februar 2021, foretages følgende ændring:
Loven gælder ikke for Færøerne og Grønland.
/ Trine Bramsen
/ Trine Bramsen