Vedtaget af Folketinget ved 3. behandling den 26. november 2020

Forslag

til

Lov om ændring af lov om net- og informationssikkerhed1)

(Implementering af direktivet om oprettelse af en europæisk kodeks for elektronisk kommunikation, for så vidt angår sikkerhed i net og tjenester)

§ 1

I lov nr. 1567 af 15. december 2015 om net- og informationssikkerhed foretages følgende ændringer:

1. Lovens titel affattes således:

»Lov om sikkerhed i net og tjenester«.

2. Fodnoten til lovens titel affattes således:

»1) Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2018/1972/EU af 11. december 2018 om oprettelse af en europæisk kodeks for elektronisk kommunikation (omarbejdning), EU-Tidende 2018, nr. L 321, side 36.«

3. § 1 affattes således:

»§ 1. Lovens formål er at fremme sikkerheden i net og tjenester.

Stk. 2. Henvisninger i loven og administrative forskrifter udstedt i medfør af loven til Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester (rammedirektivet) med senere ændringer samt Europa-Parlamentets og Rådets direktiv 2002/22/EF af 7. marts 2002 om forsyningspligt og brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester (forsyningspligtdirektivet) med senere ændring gælder som henvisninger til Europa-Parlamentets og Rådets direktiv 2018/1972/EU af 11. december 2018 om oprettelse af en europæisk kodeks for elektronisk kommunikation (omarbejdning) og skal læses efter sammenligningstabellen i direktivets bilag XIII.«

4. § 2 affattes således:

»§ 2. I denne lov forstås ved:

1) Elektronisk kommunikationsnet: Transmissionssystem, uanset om det bygger på en permanent infrastruktur eller en centraliseret administrationskapacitet, og, hvor det er relevant, koblings- og dirigeringsudstyr og andre ressourcer, herunder netelementer, der ikke er aktive, som gør det muligt at overføre signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellitnet, jordbaserede fastnet (kredsløbs- og pakkekoblede, herunder i internettet) og mobilnet, elkabelsystemer, i det omfang de anvendes til transmission af signaler, net, som anvendes til radio- og tv-spredning, og kabel-tv-net, uanset hvilken type information der overføres.

2) Elektronisk kommunikationstjeneste: Tjeneste, der helt eller delvis består i elektronisk overførsel af kommunikation i form af lyd, billeder, tekst eller kombinationer heraf ved hjælp af radio- eller telekommunikationsteknik mellem nettermineringspunkter.

3) Offentligt tilgængelige elektroniske kommunikationsnet og -tjenester: Elektroniske kommunikationsnet og -tjenester, der stilles til rådighed for en ikke på forhånd afgrænset kreds af slutbrugere eller udbydere.

4) Udbyder: Den, der med et kommercielt formål stiller produkter, elektroniske kommunikationsnet eller -tjenester til rådighed for andre. Begrebet omfatter ikke udbydere af NUIK-tjenester, jf. nr. 6.

5) Erhvervsmæssig udbyder: En udbyder, der med et kommercielt formål udbyder produkter, elektroniske kommunikationsnet eller -tjenester som sin hovedydelse eller som en ikke accessorisk del af virksomheden. Begrebet omfatter ikke udbydere af NUIK-tjenester, jf. nr. 6.

6) Udbyder af NUIK-tjeneste: En udbyder af en nummer­uafhængig interpersonel kommunikationstjeneste i form af en tjeneste, som normalt ydes mod betaling, og som muliggør direkte interpersonel og interaktiv informationsudveksling via elektroniske kommunikati??onsnet mellem et afgrænset antal personer, hvor de personer, der indleder eller deltager i kommunikationen, bestemmer, hvem modtageren eller modtagerne skal være. Omfattet er ikke tjenester, der blot muliggør interpersonel og interaktiv kommunikation som en mindre støttefunktion, der er tæt knyttet til en anden tjeneste. Tjenesten etablerer ikke forbindelse til offentligt tildelte nummerressourcer, dvs. et eller flere numre i nationale eller internationale nummerplaner, og muliggør ikke kommunikation med et eller flere numre i nationale eller internationale nummerplaner.

7) Sikkerhed i net og tjenester: Net og tjenesters evne til på et givet fortrolighedsniveau at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden af disse net og tjenester, lagrede eller overførte eller behandlede data eller de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via disse net eller tjenester.

8) Sikkerhedshændelse: En begivenhed, der har en faktisk negativ indvirkning på sikkerheden i net og tjenester.«

5. I overskriften til kapitel 2 ændres »Informationssikkerhed« til: »Sikkerhed«.

6. § 3, stk. 1, affattes således:

»Center for Cybersikkerhed fastsætter regler om minimumskrav til sikkerhed i net og tjenester for udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester og udbydere af NUIK-tjenester. Reglerne kan omfatte krav om passende tekniske, processuelle og organisatoriske foranstaltninger med henblik på risikostyring i forhold til sikkerhed i net og tjenester og opretholdelse af et passende sikkerhedsniveau, herunder krav om, at sådanne foranstaltninger gennemføres på baggrund af dokumenterede og ledelsesforankrede processer.«

7. I § 3, stk. 2, ændres »offentligt tilgængelige net og tjenester« til: »offentligt tilgængelige elektroniske kom???muni?ka?ti??????ons?net og -tjenester«, og »informationssikkerheden« ændres til: »sikkerheden i net og tjenester«.

8. I § 3 indsættes efter stk. 2 som nyt stykke:

»Stk. 3. Center for Cybersikkerhed kan påbyde udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenester og udbydere af NUIK-tjenester at træffe konkrete foranstaltninger, der er nødvendige for at afhjælpe en sikkerhedshændelse eller hindre en sådan i at forekomme, når en betydelig trussel er identificeret. Centeret fastsætter nærmere regler herom.«

Stk. 3 bliver herefter stk. 4.

9. I § 3, stk. 3, der bliver stk. 4, ændres »offentligt tilgængelige net og tjenester« til: »offentligt tilgængelige elektroniske kommunikationsnet og -tjenester«, og »informationssikkerheden i offentligt tilgængelige net og tjenester« ændres til: »sikkerheden i net og tjenester«.

10. I § 4, 1. pkt., indsættes efter »for udbydere«: »og udbydere af NUIK-tjenester«.

11. I § 4, nr. 1 og 2, ændres »offentligt tilgængelige net og tjenesters« til: »offentligt tilgængelige elektroniske kommunikationsnet og -tjenesters«.

12. § 4, nr. 3 og 4, ophæves, og i stedet indsættes:

»3) Udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenesters og udbydere af NUIK-tjenesters underretning af Center for Cybersikkerhed uden unødigt ophold om sikkerhedshændelser, der har haft væsentlig indvirkning på driften af net eller tjenester.

4) Udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenesters og udbydere af NUIK-tjenesters underretning af offentligheden ved sikkerhedshændelser, der har haft væsentlig indvirkning på driften af net eller tjenester.

5) Udbydere af offentligt tilgængelige elektroniske kommunikationsnet og -tjenesters og udbydere af NUIK-tjenesters informering af deres potentielt berørte brugere om mulige beskyttelsesforanstaltninger eller afhjælpende foranstaltninger, som brugerne kan træffe i tilfælde af en særlig og betydelig trussel om en sikkerhedshændelse i udbyderens net eller tjenester. Der kan endvidere stilles krav om, at de pågældende udbydere skal informere deres brugere om selve truslen.«

13. I § 5, stk. 2, ændres »offentligt tilgængelige net og tjenester« til: »offentligt tilgængelige elektroniske ?kom?munika??ti?onsnet og -tjenester«.

14. Efter § 5 indsættes i kapitel 3:

»§ 5 a. Center for Cybersikkerhed fastsætter regler om, at udbydere, som i medfør af lov om elektroniske kommunikationsnet og -tjenester skal udsende offentlige advarsler om overhængende eller truende alvorlige nødsituationer og katastrofer, skal træffe alle nødvendige foranstaltninger til at sikre uafbrudt transmission af advarslerne.«

15. I § 6, stk. 1, ændres »informationssikkerhed« til: »sikkerhed i net og tjenester«.

16. I § 6, stk. 2, ændres »offentligt tilgængelige net« til: »offentligt tilgængelige elektroniske kommunikationsnet«.

17. I § 9, stk. 2, ændres »udbydere« til: »udbydere og udbydere af NUIK-tjenester«, og »informationssikkerhed« ændres til: »sikkerhed i net og tjenester«.

18. I § 9, stk. 5, ændres »udbydere« til: »udbydere og udbydere af NUIK-tjenester«.

19. I § 9, stk. 6, 1. pkt., og stk. 7, 1. pkt., ændres »informati???onssikkerheden« til: »sikkerheden i net og tjenester«.

20. I § 10, stk. 1, nr. 1, ændres »§ 3, stk. 2 og 3,« til: »§ 3, stk. 2, 3 og 4,«, »§ 3, stk. 1 og 3,« ændres til: »§ 3, stk. 1, 3 og 4,«, og efter »§ 5, stk. 1, 2 og 3,« indsættes: »§ 5 a«.

21. I § 10, stk. 2, nr. 1, ændres »den udbyder« til: »den udbyder eller udbyder af NUIK-tjenester«.

22. I § 12, stk. 1 og 2, ændres »udbydere« til: »udbydere og udbydere af NUIK-tjenester«, og »Det Europæiske Agentur for Net- og Informationssikkerhed« ændres til: »Den Europæiske Unions Agentur for Cybersikkerhed«.

23. I § 13 ændres »informationssikkerhed og beredskab på teleområdet« til: »sikkerhed i net og tjenester«.

24. I § 14, stk. 1, nr. 1, ændres »§ 3, stk. 2 eller 3« til: »§ 3, stk. 2, 3 eller 4«.

25. I § 14, stk. 2, ændres »§ 3, stk. 1 eller 3« til: »§ 3, stk. 1, 3 eller 4«, og efter »§ 5, stk. 1, 2 eller 3,« indsættes: »§ 5 a«.

§ 2

Loven træder i kraft den 21. december 2020.