Vedtaget af Folketinget ved 3. behandling
den 26. november 2020
Forslag
til
Lov om ændring af lov om net- og
informationssikkerhed1)
(Implementering af direktivet om oprettelse
af en europæisk kodeks for elektronisk kommunikation, for
så vidt angår sikkerhed i net og tjenester)
§ 1
I lov nr. 1567 af 15. december 2015 om net- og
informationssikkerhed foretages følgende
ændringer:
1.
Lovens titel affattes
således:
»Lov om
sikkerhed i net og tjenester«.
2. Fodnoten til lovens titel affattes
således:
»1) Loven
indeholder bestemmelser, der gennemfører dele af
Europa-Parlamentets og Rådets direktiv 2018/1972/EU af 11.
december 2018 om oprettelse af en europæisk kodeks for
elektronisk kommunikation (omarbejdning), EU-Tidende 2018, nr. L
321, side 36.«
3. §
1 affattes således:
Ȥ 1. Lovens
formål er at fremme sikkerheden i net og tjenester.
Stk. 2.
Henvisninger i loven og administrative forskrifter udstedt i
medfør af loven til Europa-Parlamentets og Rådets
direktiv 2002/21/EF af 7. marts 2002 om fælles
rammebestemmelser for elektroniske kommunikationsnet og -tjenester
(rammedirektivet) med senere ændringer samt
Europa-Parlamentets og Rådets direktiv 2002/22/EF af 7. marts
2002 om forsyningspligt og brugerrettigheder i forbindelse med
elektroniske kommunikationsnet og -tjenester
(forsyningspligtdirektivet) med senere ændring gælder
som henvisninger til Europa-Parlamentets og Rådets direktiv
2018/1972/EU af 11. december 2018 om oprettelse af en
europæisk kodeks for elektronisk kommunikation (omarbejdning)
og skal læses efter sammenligningstabellen i direktivets
bilag XIII.«
4. §
2 affattes således:
Ȥ 2. I denne lov
forstås ved:
1) Elektronisk
kommunikationsnet: Transmissionssystem, uanset om det bygger
på en permanent infrastruktur eller en centraliseret
administrationskapacitet, og, hvor det er relevant, koblings- og
dirigeringsudstyr og andre ressourcer, herunder netelementer, der
ikke er aktive, som gør det muligt at overføre
signaler ved hjælp af trådforbindelse,
radiobølger, lyslederteknik eller andre elektromagnetiske
midler, herunder satellitnet, jordbaserede fastnet
(kredsløbs- og pakkekoblede, herunder i internettet) og
mobilnet, elkabelsystemer, i det omfang de anvendes til
transmission af signaler, net, som anvendes til radio- og
tv-spredning, og kabel-tv-net, uanset hvilken type information der
overføres.
2) Elektronisk
kommunikationstjeneste: Tjeneste, der helt eller delvis
består i elektronisk overførsel af kommunikation i
form af lyd, billeder, tekst eller kombinationer heraf ved
hjælp af radio- eller telekommunikationsteknik mellem
nettermineringspunkter.
3) Offentligt
tilgængelige elektroniske kommunikationsnet og -tjenester:
Elektroniske kommunikationsnet og -tjenester, der stilles til
rådighed for en ikke på forhånd afgrænset
kreds af slutbrugere eller udbydere.
4) Udbyder: Den,
der med et kommercielt formål stiller produkter, elektroniske
kommunikationsnet eller -tjenester til rådighed for andre.
Begrebet omfatter ikke udbydere af NUIK-tjenester, jf. nr. 6.
5)
Erhvervsmæssig udbyder: En udbyder, der med et kommercielt
formål udbyder produkter, elektroniske kommunikationsnet
eller -tjenester som sin hovedydelse eller som en ikke accessorisk
del af virksomheden. Begrebet omfatter ikke udbydere af
NUIK-tjenester, jf. nr. 6.
6) Udbyder af
NUIK-tjeneste: En udbyder af en nummeruafhængig
interpersonel kommunikationstjeneste i form af en tjeneste, som
normalt ydes mod betaling, og som muliggør direkte
interpersonel og interaktiv informationsudveksling via elektroniske
kommunikati??onsnet mellem et afgrænset antal personer, hvor
de personer, der indleder eller deltager i kommunikationen,
bestemmer, hvem modtageren eller modtagerne skal være.
Omfattet er ikke tjenester, der blot muliggør interpersonel
og interaktiv kommunikation som en mindre støttefunktion,
der er tæt knyttet til en anden tjeneste. Tjenesten etablerer
ikke forbindelse til offentligt tildelte nummerressourcer, dvs. et
eller flere numre i nationale eller internationale nummerplaner, og
muliggør ikke kommunikation med et eller flere numre i
nationale eller internationale nummerplaner.
7) Sikkerhed i
net og tjenester: Net og tjenesters evne til på et givet
fortrolighedsniveau at modstå handlinger, der er til skade
for tilgængeligheden, autenticiteten, integriteten eller
fortroligheden af disse net og tjenester, lagrede eller
overførte eller behandlede data eller de dermed forbundne
tjenester, der tilbydes af eller er tilgængelige via disse
net eller tjenester.
8)
Sikkerhedshændelse: En begivenhed, der har en faktisk negativ
indvirkning på sikkerheden i net og tjenester.«
5. I
overskriften til kapitel 2 ændres
»Informationssikkerhed« til:
»Sikkerhed«.
6. § 3,
stk. 1, affattes således:
»Center for Cybersikkerhed fastsætter
regler om minimumskrav til sikkerhed i net og tjenester for
udbydere af offentligt tilgængelige elektroniske
kommunikationsnet og -tjenester og udbydere af NUIK-tjenester.
Reglerne kan omfatte krav om passende tekniske, processuelle og
organisatoriske foranstaltninger med henblik på risikostyring
i forhold til sikkerhed i net og tjenester og opretholdelse af et
passende sikkerhedsniveau, herunder krav om, at sådanne
foranstaltninger gennemføres på baggrund af
dokumenterede og ledelsesforankrede processer.«
7. I
§ 3, stk. 2, ændres
»offentligt tilgængelige net og tjenester« til:
»offentligt tilgængelige elektroniske
kom???muni?ka?ti??????ons?net og -tjenester«, og
»informationssikkerheden« ændres til:
»sikkerheden i net og tjenester«.
8. I
§ 3 indsættes efter stk. 2
som nyt stykke:
»Stk. 3.
Center for Cybersikkerhed kan påbyde udbydere af offentligt
tilgængelige elektroniske kommunikationsnet og -tjenester og
udbydere af NUIK-tjenester at træffe konkrete
foranstaltninger, der er nødvendige for at afhjælpe en
sikkerhedshændelse eller hindre en sådan i at
forekomme, når en betydelig trussel er identificeret.
Centeret fastsætter nærmere regler herom.«
Stk. 3 bliver herefter stk. 4.
9. I
§ 3, stk. 3, der bliver stk. 4,
ændres »offentligt tilgængelige net og
tjenester« til: »offentligt tilgængelige
elektroniske kommunikationsnet og -tjenester«, og
»informationssikkerheden i offentligt tilgængelige net
og tjenester« ændres til: »sikkerheden i net og
tjenester«.
10. I
§ 4, 1. pkt., indsættes
efter »for udbydere«: »og udbydere af
NUIK-tjenester«.
11. I
§ 4, nr. 1 og 2, ændres »offentligt
tilgængelige net og tjenesters« til: »offentligt
tilgængelige elektroniske kommunikationsnet og
-tjenesters«.
12. § 4,
nr. 3 og 4, ophæves, og i
stedet indsættes:
»3)
Udbydere af offentligt tilgængelige elektroniske
kommunikationsnet og -tjenesters og udbydere af NUIK-tjenesters
underretning af Center for Cybersikkerhed uden unødigt
ophold om sikkerhedshændelser, der har haft væsentlig
indvirkning på driften af net eller tjenester.
4) Udbydere af
offentligt tilgængelige elektroniske kommunikationsnet og
-tjenesters og udbydere af NUIK-tjenesters underretning af
offentligheden ved sikkerhedshændelser, der har haft
væsentlig indvirkning på driften af net eller
tjenester.
5) Udbydere af
offentligt tilgængelige elektroniske kommunikationsnet og
-tjenesters og udbydere af NUIK-tjenesters informering af deres
potentielt berørte brugere om mulige
beskyttelsesforanstaltninger eller afhjælpende
foranstaltninger, som brugerne kan træffe i tilfælde af
en særlig og betydelig trussel om en sikkerhedshændelse
i udbyderens net eller tjenester. Der kan endvidere stilles krav
om, at de pågældende udbydere skal informere deres
brugere om selve truslen.«
13. I
§ 5, stk. 2, ændres
»offentligt tilgængelige net og tjenester« til:
»offentligt tilgængelige elektroniske
?kom?munika??ti?onsnet og -tjenester«.
14.
Efter § 5 indsættes i kapitel
3:
Ȥ 5 a. Center for
Cybersikkerhed fastsætter regler om, at udbydere, som i
medfør af lov om elektroniske kommunikationsnet og
-tjenester skal udsende offentlige advarsler om overhængende
eller truende alvorlige nødsituationer og katastrofer, skal
træffe alle nødvendige foranstaltninger til at sikre
uafbrudt transmission af advarslerne.«
15. I
§ 6, stk. 1, ændres
»informationssikkerhed« til: »sikkerhed i net og
tjenester«.
16. I
§ 6, stk. 2, ændres
»offentligt tilgængelige net« til:
»offentligt tilgængelige elektroniske
kommunikationsnet«.
17. I
§ 9, stk. 2, ændres
»udbydere« til: »udbydere og udbydere af
NUIK-tjenester«, og »informationssikkerhed«
ændres til: »sikkerhed i net og tjenester«.
18. I
§ 9, stk. 5, ændres
»udbydere« til: »udbydere og udbydere af
NUIK-tjenester«.
19. I
§ 9, stk. 6, 1. pkt., og stk. 7, 1. pkt., ændres
»informati???onssikkerheden« til: »sikkerheden i
net og tjenester«.
20. I
§ 10, stk. 1, nr. 1, ændres
»§ 3, stk. 2 og 3,« til: »§ 3, stk. 2,
3 og 4,«, »§ 3, stk. 1 og 3,« ændres
til: »§ 3, stk. 1, 3 og 4,«, og efter
»§ 5, stk. 1, 2 og 3,« indsættes:
»§ 5 a«.
21. I
§ 10, stk. 2, nr. 1, ændres
»den udbyder« til: »den udbyder eller udbyder af
NUIK-tjenester«.
22. I
§ 12, stk. 1 og 2, ændres »udbydere« til:
»udbydere og udbydere af NUIK-tjenester«, og »Det
Europæiske Agentur for Net- og Informationssikkerhed«
ændres til: »Den Europæiske Unions Agentur for
Cybersikkerhed«.
23. I
§ 13 ændres
»informationssikkerhed og beredskab på
teleområdet« til: »sikkerhed i net og
tjenester«.
24. I
§ 14, stk. 1, nr. 1, ændres
»§ 3, stk. 2 eller 3« til: »§ 3, stk.
2, 3 eller 4«.
25. I
§ 14, stk. 2, ændres
»§ 3, stk. 1 eller 3« til: »§ 3, stk.
1, 3 eller 4«, og efter »§ 5, stk. 1, 2 eller
3,« indsættes: »§ 5 a«.
§ 2
Loven træder i kraft den 21. december
2020.
Officielle noter
1)
Loven gennemfører dele af Europa-Parlamentets og
Rådets direktiv 2018/1972/EU af 11. december 2018 om
oprettelse af en europæisk kodeks for elektronisk
kommunikation (omarbejdning), EU-Tidende 2018, nr. L 321, side
36.
1)
Loven indeholder bestemmelser, der gennemfører dele af
Europa-Parlamentets og Rådets direktiv 2018/1972/EU af 11.
december 2018 om oprettelse af en europæisk kodeks for
elektronisk kommunikation (omarbejdning), EU-Tidende 2018, nr. L
321, side 36.