Efter afstemningen i Folketinget ved 2.
behandling den 24. april 2025
Forslag
til
Lov om sikkerhed og beredskab i telesektoren1)
Kapitel 1
Anvendelsesområde og
definitioner
§ 1.
Denne lov finder anvendelse for teleudbydere, der med et
kommercielt formål stiller offentlige elektroniske
kommunikationsnet eller offentligt tilgængelige elektroniske
kommunikationstjenester til rådighed i Danmark, jf. dog stk.
2.
Stk. 2. Loven
finder ikke anvendelse for kommuner og regioner, der stiller
offentlige elektroniske kommunikationsnet eller offentligt
tilgængelige elektroniske kommunikationstjenester til
rådighed.
§ 2.
I denne lov forstås ved følgende:
1)
Beredskabssituationer og andre ekstraordinære
situationer: Situationer, hvor der allerede er, eller hvor der
kan opstå større ulykker, katastrofer eller
hændelser, herunder krise eller krig, og hvor der er risiko
for påvirkning af udbuddet af net og tjenester.
2) Cybertrussel:
Enhver potentiel omstændighed, begivenhed eller handling, som
kan skade, forstyrre eller på anden måde have en
negativ indvirkning på net- og informationssystemer, brugerne
af sådanne systemer og andre personer.
3) Elektronisk
kommunikationsnet: Transmissionssystem, uanset om det bygger
på en permanent infrastruktur eller en centraliseret
administrationskapacitet, og, hvor det er relevant, koblings- og
dirigeringsudstyr og andre ressourcer, herunder netelementer, der
ikke er aktive, som gør det muligt at overføre
signaler ved hjælp af trådforbindelse,
radiobølger, lyslederteknik eller andre elektromagnetiske
midler, herunder satellitnet, jordbaserede fastnet
(kredsløbs- og pakkekoblede, herunder i internettet) og
mobilnet, elkabelsystemer, i det omfang de anvendes til
transmission af signaler, net, som anvendes til radio- og
tv-spredning, og kabel-tv-net, uanset hvilken type information der
overføres.
4) Elektronisk
kommunikationstjeneste: En tjeneste, som normalt ydes mod betaling
via elektroniske kommunikationsnet, og som med undtagelse af
tjenester, der består i tilrådighedsstillelse af eller
udøvelse af redaktionel kontrol over indhold fremført
via elektroniske kommunikationsnet og -tjenester, omfatter
følgende typer tjenester:
a)
Internetadgangstjenester.
b)
Interpersonelle kommunikationstjenester.
c) Tjenester,
der udelukkende eller overvejende består i overføring
af signaler, som f.eks. transmissionstjenester, der anvendes
til levering af maskine til maskine-tjenester og til radio- og
tv-spredning.
5)
Hændelse: En begivenhed, der bringer tilgængeligheden,
autenticiteten, integriteten eller fortroligheden af lagrede,
overførte eller behandlede data eller af de tjenester, der
tilbydes af eller er tilgængelige via net- og
informationssystemer, i fare.
6)
Håndtering af hændelser: Enhver handling og procedure,
der tager sigte på at forebygge, opdage, analysere og
inddæmme eller at reagere på og reetablere sig efter en
hændelse.
7) Interpersonel
kommunikationstjeneste: En tjeneste, som normalt ydes mod betaling,
og som muliggør direkte interpersonel og interaktiv
informationsudveksling via elektroniske kommunikationsnet mellem et
afgrænset antal personer, hvor de personer, der indleder
eller deltager i kommunikationen, bestemmer, hvem modtageren eller
modtagerne skal være, undtagen tjenester, der blot
muliggør interpersonel og interaktiv kommunikation som en
mindre støttefunktion, der er tæt knyttet til en anden
tjeneste.
8) Net- og
informationssystem:
a) Et
elektronisk kommunikationsnet, jf. nr. 3.
b) Enhver
anordning eller gruppe af forbundne eller beslægtede
anordninger, hvoraf en eller flere ved hjælp af et program
udfører automatisk behandling af digitale data.
c) Digitale
data, som lagres, behandles, fremfindes eller overføres af
elementer i litra a og b med henblik på deres drift, brug,
beskyttelse og vedligeholdelse.
9)
Nærvedhændelse: En begivenhed, der kunne have bragt
tilgængeligheden, autenticiteten, integriteten eller
fortroligheden af lagrede, overførte eller behandlede data
eller af de tjenester, der tilbydes af eller er tilgængelige
via net- og informationssystemer, i fare, men som det lykkedes at
forhindre, eller som ikke indtraf.
10) Offentligt
elektronisk kommunikationsnet: Et elektronisk kommunikationsnet,
som udelukkende eller overvejende bruges til udbud af elektroniske
kommunikationstjenester, der er tilgængelige for
offentligheden, og som danner grundlag for overførsel af
information mellem nettermineringspunkter.
11) Offentligt
tilgængelige elektroniske kommunikationstjenester: En
elektronisk kommunikationstjeneste, jf. nr. 4, der stilles til
rådighed for en ikke på forhånd afgrænset
kreds af slutbrugere eller teleudbydere.
12) Radiobaseret
lokalnet: Et trådløst adgangssystem med lav effekt og
lille rækkevidde, der har en lav risiko for at skabe
interferens med andre sådanne systemer etableret i
nærheden af andre brugere, og som på et ikkeeksklusivt
grundlag anvender harmoniserede radiofrekvenser.
13) Sikkerhed i
net- og informationssystemer: Net- og informationssystemers, jf.
nr. 8, evne til på et givet sikkerhedsniveau at modstå
enhver begivenhed, der kan være til skade for
tilgængeligheden, autenticiteten, integriteten eller
fortroligheden af lagrede, overførte eller behandlede data
eller af de tjenester, der tilbydes af eller er tilgængelige
via disse net- og informationssystemer.
14) Teleudbyder:
Den, der med et kommercielt formål stiller produkter af
offentlige elektroniske kommunikationsnet og offentligt
tilgængelige elektroniske kommunikationstjenester til
rådighed for andre.
15)
Væsentlig cybertrussel: En cybertrussel, som på
grundlag af sine tekniske karakteristika kan antages at have
potentiale til at få alvorlig indvirkning på en
udbyders net- og informationssystemer eller på brugerne af
udbyderens tjenester ved at forårsage betydelig fysisk eller
ikkefysisk skade.
Væsentlige udbydere
§ 3.
Teleudbydere, der med et kommercielt formål udbyder
offentlige elektroniske kommunikationsnet eller offentligt
tilgængelige elektroniske kommunikationstjenester som deres
hovedydelse eller som en ikkeaccessorisk del af virksomheden, anses
for at være væsentlige, hvis de opfylder en af
følgende betingelser, jf. dog stk. 2:
1) Udbyderen
beskæftiger 50 personer eller derover.
2) Udbyderen har
en årlig omsætning på over 10 mio. euro og en
årlig balance på over 10 mio. euro.
Stk. 2. Uanset
teleudbyderens størrelse anses følgende teleudbydere
for at være væsentlige teleudbydere:
1) Teleudbyderen
er den eneste udbyder i Danmark af et net eller en tjeneste, der er
væsentlig for opretholdelsen af kritiske
samfundsmæssige eller økonomiske aktiviteter.
2) En
forstyrrelse af det net eller den tjeneste, teleudbyderen leverer,
vil kunne have væsentlig indvirkning på den offentlige
sikkerhed eller folkesundheden.
3) En
forstyrrelse af det net eller den tjeneste, teleudbyderen leverer,
vil kunne medføre en væsentlig systemisk risiko,
herunder hvor en sådan forstyrrelse kan have en
grænseoverskridende virkning.
4) Teleudbyderen
er kritisk på grund af udbyderens specifikke betydning
på nationalt eller regionalt plan for sektoren eller typen af
net eller tjeneste eller for andre indbyrdes afhængige
sektorer i Danmark.
5) Teleudbyderen
er identificeret som en kritisk enhed i henhold til lov om kritiske
enheders modstandsdygtighed.
Stk. 3.
Ministeren for samfundssikkerhed og beredskab kan fastsætte
nærmere regler om kriterier for, hvornår enheder er
omfattet af stk. 2.
Vigtige udbydere
§ 4.
Teleudbydere, der ikke opfylder kriterierne for at være
væsentlige udbydere efter § 3, anses som vigtige
teleudbydere, såfremt de med et kommercielt formål
udbyder offentlige elektroniske kommunikationsnet eller offentligt
tilgængelige elektroniske kommunikationstjenester som deres
hovedydelse eller som en ikkeaccessorisk del af virksomheden.
Stk. 2.
Styrelsen for Samfundssikkerhed kan træffe afgørelse
om, at en teleudbyder, der er omfattet af § 3, stk. 2, nr.
1-4, skal anses som en vigtig teleudbyder.
Kapitel 2
Foranstaltninger
til styring af sikkerhedsrisici m.v.
§ 5.
Væsentlige og vigtige teleudbydere skal træffe passende
og forholdsmæssige tekniske, operationelle og organisatoriske
foranstaltninger for at styre risiciene for sikkerheden i net- og
informationssystemer, som disse udbydere anvender til deres
operationer eller til at levere deres tjenester, og for at
forhindre hændelser eller minimere hændelsers
indvirkning på modtagere af deres tjenester og på andre
tjenester. Foranstaltningerne skal som minimum omfatte
følgende:
1) Politikker
for risikoanalyse og informationssystemsikkerhed.
2)
Håndtering af hændelser.
3)
Driftskontinuitet, herunder backupstyring og reetablering efter en
katastrofe, og krisestyring.
4)
Forsyningskædesikkerhed, herunder sikkerhedsrelaterede
aspekter vedrørende forholdene mellem den enkelte
teleudbyder og udbyderens direkte leverandører eller
tjenesteudbydere.
5) Sikkerhed i
forbindelse med erhvervelse, udvikling og vedligeholdelse af net-
og informationssystemer, herunder håndtering og
offentliggørelse af sårbarheder.
6) Politikker og
procedurer til vurdering af effektiviteten af foranstaltninger til
styring af sikkerhedsrisici.
7)
Grundlæggende cyberhygiejnepraksisser og
cybersikkerhedsuddannelse.
8) Politikker og
procedurer vedrørende brug af kryptografi og, hvor det er
relevant, kryptering.
9)
Personalesikkerhed, adgangskontrolpolitikker og forvaltning af
aktiver.
10) Brug af
løsninger med multifaktorautentificering eller kontinuerlig
autentificering, sikret tale-, video- og tekstkommunikation og
sikrede nødkommunikationssystemer internt hos udbyderen,
hvor det er relevant.
Stk. 2.
Væsentlige og vigtige teleudbydere, der ikke overholder et
eller flere af de krav, der er nævnt i stk. 1, til
foranstaltningerne eller regler om krav til foranstaltninger
fastsat i medfør af stk. 3, skal uden unødigt ophold
træffe alle nødvendige, passende og
forholdsmæssige korrigerende foranstaltninger.
Stk. 3.
Ministeren for samfundssikkerhed og beredskab fastsætter
regler om krav til foranstaltninger efter stk. 1 og om yderligere
foranstaltninger og krav hertil for teleudbydere omfattet af denne
lov. Ministeren kan i den forbindelse fastsætte regler om, at
væsentlige og vigtige teleudbydere skal anvende særlige
ikt-produkter, -tjenester og -processer, som er certificeret i
henhold til en europæisk
cybersikkerhedscertificeringsordning, for at påvise
overensstemmelse med bestemte krav efter stk. 1 eller regler om
krav til foranstaltninger fastsat i medfør af 1. pkt.
§ 6.
De foranstaltninger, som væsentlige og vigtige teleudbydere
træffer på baggrund § 5, stk. 1 og 2, og regler
fastsat i medfør af § 5, stk. 3, skal være
godkendt af teleudbyderens ledelsesorgan. Ledelsesorganet
fører tilsyn med foranstaltningernes
gennemførelse.
Stk. 2.
Medlemmerne af ledelsesorganet i væsentlige og vigtige
teleudbydere skal deltage i relevante kurser om styring af
informationssikkerhedsrisici og tilskynde til, at tilsvarende
kurser tilbydes til udbyderens øvrige ansatte.
Kapitel 3
Oplysnings- og
underretningspligter m.v.
§ 7.
Væsentlige og vigtige teleudbydere skal registrere sig hos
Styrelsen for Samfundssikkerhed og i den forbindelse oplyse
følgende:
1)
Teleudbyderens navn.
2)
Teleudbyderens adresse og ajourførte kontaktoplysninger,
herunder e-mailadresser, ip-intervaller og telefonnumre.
3) En liste over
de øvrige medlemsstater i Den Europæiske Union, hvor
teleudbyderen leverer tjenester, der er omfattet af
anvendelsesområdet i artikel 2 i NIS 2-direktivet.
Stk. 2.
Væsentlige og vigtige teleudbydere skal indgive oplysningerne
efter stk. 1, senest 2 uger efter at teleudbyderen omfattes af
loven.
Stk. 3. I
tilfælde af ændring i de oplysninger, der er afgivet i
medfør af stk. 1, skal den væsentlige eller vigtige
teleudbyder give Styrelsen for Samfundssikkerhed underretning herom
senest 2 uger efter datoen for ændringen.
Stk. 4.
Ministeren for samfundssikkerhed og beredskab kan fastsætte
regler om, at væsentlige og vigtige teleudbydere skal afgive
yderligere oplysninger ved registrering.
Stk. 5.
Ministeren for samfundssikkerhed og beredskab kan fastsætte
regler om oplysnings- og underretningspligter for væsentlige
og vigtige teleudbydere, herunder regler om følgende:
1) Afgivelse af
oplysninger om væsentlige dele af teleudbyderens net eller
tjenester eller driften heraf.
2) Krav om
underretning af Styrelsen for Samfundssikkerhed ved
påtænkt indgåelse af aftaler om leverancer, der
vedrører væsentlige dele af udbyderens net eller
tjenester eller driften heraf.
3) Krav om, at
teleudbyderen skal indsende et endeligt aftaleudkast til Styrelsen
for Samfundssikkerhed umiddelbart forud for indgåelse af
aftalen, og at aftalen først kan indgås op til 25
arbejdsdage efter styrelsens modtagelse af pågældende
udkast.
§ 8.
Bestemmelsen i § 17 i NIS 2-loven om Computer Security
Incident Response Teams (CSIRT) opgaver finder tilsvarende
anvendelse for teleudbydere omfattet af denne lov.
Stk. 2.
Teleudbydere skal underrette Styrelsen for Samfundssikkerhed og
CSIRT'en om enhver væsentlig hændelse efter proceduren
i § 9.
Stk. 3. En
hændelse anses for at være væsentlig, hvis
den
1) har
forårsaget eller er i stand til at forårsage alvorlige
driftsforstyrrelser af net eller tjenester eller økonomiske
tab for den berørte udbyder eller
2) har
påvirket eller er i stand til at påvirke andre fysiske
eller juridiske personer ved at forårsage betydelig fysisk
eller ikkefysisk skade.
Stk. 4.
Ministeren for samfundssikkerhed og beredskab kan fastsætte
nærmere regler om, hvornår en hændelse kan anses
for at være væsentlig, og hvilke oplysninger der skal
gives i forbindelse med underretningen.
§ 9.
Underretningen efter § 8, stk. 2, skal bestå af
følgende og ske på følgende måde:
1) En tidlig
varsling, som skal angive, om den væsentlige hændelse
mistænkes at være forårsaget af ulovlige eller
ondsindede handlinger eller kunne have en grænseoverskridende
virkning, sendes uden unødigt ophold, og senest inden for 24
timer efter at teleudbyderen har fået kendskab til den
væsentlige hændelse.
2) En
hændelsesunderretning, som skal ajourføre
oplysningerne fra den tidlige varsling, jf. nr. 1, og give en
indledende vurdering af den væsentlige hændelse,
herunder dens alvor og indvirkning samt
kompromitteringsindikatorerne, hvor sådanne foreligger,
sendes uden unødigt ophold, og senest inden for 72 timer
efter at teleudbyderen har fået kendskab til den
væsentlige hændelse, jf. dog stk. 2.
3) En
foreløbig rapport med relevante statusopdateringer sendes
til enten Styrelsen for Samfundssikkerhed eller CSIRT'en efter
myndighedens anmodning herom.
4) En endelig
rapport sendes til Styrelsen for Samfundssikkerhed og CSIRT'en
senest 1 måned efter fremsendelsen af den
hændelsesunderretning, der er nævnt i nr. 2. Den
endelige rapport skal indeholde følgende:
a) En detaljeret
beskrivelse af hændelsen, herunder dens alvor og
indvirkning.
b) Den type
trussel eller grundlæggende årsag, der sandsynligvis
har udløst hændelsen.
c) Anvendte og
igangværende afbødende foranstaltninger.
d) De eventuelle
grænseoverskridende virkninger af hændelsen.
5)
Pågår hændelsen fortsat på tidspunktet for
fremsendelsen af den endelige rapport, jf. nr. 4, skal den
berørte teleudbyder indsende en statusrapport på det
pågældende tidspunkt og en endelig rapport, senest 1
måned efter at hændelsen er håndteret.
Stk. 2.
Styrelsen for Samfundssikkerhed og CSIRT'en sikrer, at den
berørte teleudbyder uden unødigt ophold og senest
inden for 24 timer efter modtagelsen af den tidlige varsling, jf.
stk. 1, nr. 1, gives et svar, herunder indledende tilbagemeldinger
om den væsentlige hændelse. Efter anmodning fra
teleudbyderen skal CSIRT'en desuden yde vejledning, operativ
rådgivning om gennemførelsen af mulige
afbødende foranstaltninger og supplerende teknisk
bistand.
§
10. Teleudbydere kan underrette Styrelsen for
Samfundssikkerhed og CSIRT'en om hændelser,
nærvedhændelser og cybertrusler.
Stk. 2.
Styrelsen for Samfundssikkerhed og CSIRT'en behandler
underretninger efter stk. 1 på samme måde som
underretninger modtaget i medfør af § 8. CSIRT'en og
Styrelsen for Samfundssikkerhed kan prioritere håndteringen
af underretninger, der er modtaget i medfør af § 8,
frem for underretninger efter stk. 1.
Stk. 3.
Teleudbydere kan, uanset om de er omfattet af lovens
anvendelsesområde, give frivillig underretning til CSIRT'en
efter stk. 1.
§
11. Er det sandsynligt, at en væsentlig
hændelse, jf. § 8, stk. 3, vil påvirke
teleudbydernes levering af deres tjenester til modtagerne heraf
negativt, underretter teleudbyderne i relevant omfang modtagerne
herom uden unødigt ophold.
Stk. 2.
Teleudbydere oplyser uden unødigt ophold modtagerne af deres
tjenester, som potentielt er berørt af en væsentlig
cybertrussel, om eventuelle foranstaltninger eller
modforholdsregler, som modtagerne kan træffe som reaktion
på den pågældende trussel. Hvor det er relevant,
skal udbyderne også informere de pågældende
modtagere om selve den væsentlige trussel.
§
12. Styrelsen for Samfundssikkerhed kan efter høring
af en teleudbyder, der er ramt af en væsentlig
hændelse, jf. § 8, stk. 3, informere offentligheden om
den væsentlige hændelse, hvis offentliggørelsen
er nødvendig for at forebygge eller håndtere
hændelsen, eller hvis offentliggørelse af
hændelsen på anden vis er i offentlighedens
interesse.
Stk. 2.
Styrelsen for Samfundssikkerhed kan i de situationer, der er
nævnt i stk. 1, træffe afgørelse om, at den
relevante teleudbyder informerer offentligheden om den
væsentlige hændelse, og bestemme, hvordan denne
information skal gives.
Stk. 3. CSIRT'en
kan efter samme kriterier som i stk. 1 informere offentligheden om
væsentlige hændelser, der kan påvirke mere end
én sektor.
Stk. 4. CSIRT'en
kan efter samme kriterier som i stk. 1 informere offentligheden om
væsentlige hændelser i andre medlemsstater.
Kapitel 4
Beredskabssituationer og andre ekstraordinære
situationer
§
13. Styrelsen for Samfundssikkerhed koordinerer og
prioriterer beredskabsaktørernes behov for samfundsvigtig
elektronisk kommunikation i beredskabssituationer og i andre
ekstraordinære situationer.
Stk. 2.
Væsentlige og vigtige teleudbydere skal sikre, at de
foretagne prioriteringer gennemføres i net og tjenester.
Stk. 3.
Væsentlige og vigtige teleudbydere skal underrette Styrelsen
for Samfundssikkerhed i tilfælde, hvor udbyderen aktiverer
sit beredskab, eller hvor udbyderen bliver bekendt med en
hændelse, som vurderes at kunne føre til en
beredskabssituation eller en anden ekstraordinær situation
for teleudbyderen selv eller for en anden udbyder. Ministeren for
samfundssikkerhed og beredskab kan fastsætte nærmere
regler om underretningspligten efter 1. pkt.
Stk. 4.
Teleudbydere, som i medfør af lov om elektroniske
kommunikationsnet og -tjenester skal udsende offentlige advarsler
om overhængende eller truende alvorlige nødsituationer
og katastrofer, skal træffe alle nødvendige
foranstaltninger for at sikre uafbrudt transmission af advarslerne.
Ministeren for samfundssikkerhed og beredskab kan fastsætte
nærmere regler om foranstaltninger efter 1. pkt.
Stk. 5. I
beredskabssituationer og i andre ekstraordinære situationer
kan Styrelsen for Samfundssikkerhed påbyde væsentlige
og vigtige teleudbydere uden unødigt ophold at
iværksætte nærmere angivne
sikkerhedsforanstaltninger. Ministeren for samfundssikkerhed og
beredskab kan fastsætte regler om de
sikkerhedsforanstaltninger, der er nævnt i 1. pkt.
Stk. 6. I
beredskabssituationer og i andre ekstraordinære situationer
skal væsentlige teleudbydere efter påbud fra Styrelsen
for Samfundssikkerhed prioritere retablering af nærmere
angivne dele af udbyderens beskadigede infrastruktur.
Stk. 7. I
beredskabssituationer og i andre ekstraordinære situationer,
hvor der opstår kapacitetsproblemer, skal væsentlige
teleudbydere efter påbud fra Styrelsen for Samfundssikkerhed
prioritere fremførsel i net af nærmere angivne
forbindelser og tjenester, herunder om nødvendigt afbryde
andre forbindelser eller tjenester helt eller delvis.
Kapitel 5
Aktindsigt i
oplysninger og underretninger
§
14. Underretninger modtaget i medfør af § 8,
stk. 2, og § 10 er undtaget fra aktindsigt efter lov om
offentlighed i forvaltningen og partsaktindsigt efter
forvaltningsloven.
§
15. Det kan i regler udstedt i medfør af § 7,
stk. 5, fastsættes, at underretninger og afgivelse af
oplysninger efter denne bestemmelse er undtaget fra aktindsigt
efter lov om offentlighed i forvaltningen og partsaktindsigt efter
forvaltningsloven.
Kapitel 6
Sikkerhedsgodkendelser
§
16. Medarbejdere hos væsentlige og vigtige
teleudbydere og repræsentanter for disse udbydere skal
sikkerhedsgodkendes af Styrelsen for Samfundssikkerhed, når
en af følgende betingelser er opfyldt:
1) Det er
nødvendigt i forhold til den pågældendes adgang
til klassificeret information eller til de funktioner, som den
pågældende skal varetage.
2) Den
pågældende varetager kontakten til Styrelsen for
Samfundssikkerhed i relation til beredskabet i henhold til regler,
der er udstedt i medfør af § 13, stk. 3.
Stk. 2.
Ministeren for samfundssikkerhed og beredskab kan efter forhandling
med justitsministeren fastsætte regler om ansøgninger
vedrørende sikkerhedsgodkendelser, herunder betingelser for
indgivelse af sådanne ansøgninger og meddelelse og
tilbagekaldelse af sikkerhedsgodkendelser.
Kapitel 7
Tilsyn og
håndhævelse
§
17. Styrelsen for Samfundssikkerhed fører tilsyn med
overholdelse af denne lov og regler, der er udstedt i medfør
af loven.
§
18. Styrelsen for Samfundssikkerhed kan påbyde
væsentlige og vigtige teleudbydere at inddrage nærmere
angivne områder af deres virksomhed og nærmere angivne
trusler mod sikkerheden i net- og informationssystemer i deres
foranstaltninger efter § 5, stk. 1.
Stk. 2. Er det
af væsentlig samfundsmæssig betydning, kan Styrelsen
for Samfundssikkerhed påbyde væsentlige og vigtige
teleudbydere at træffe konkrete foranstaltninger med henblik
på at sikre sikkerheden i net- og informationssystemer,
herunder påbyde, at udstyr, der skal anvendes i forbindelse
med indgreb i meddelelseshemmeligheden, skal opsættes i og
drives fra Danmark. Ministeren for samfundssikkerhed og beredskab
kan fastsætte nærmere regler om påbud om
foranstaltninger efter 1. pkt.
Tilsyns- og kontrolforanstaltninger for
væsentlige teleudbydere
§
19. Styrelsen for Samfundssikkerhed kan anvende
følgende tilsynsforanstaltninger over for en væsentlig
teleudbyder:
1) Uden
retskendelse og mod behørig legitimation foretage kontrol
hos teleudbydere og deres samarbejdspartnere, leverandører
eller underleverandører i relation til outsourcet aktivitet
og eksternt tilsyn, herunder foretage
stikprøvekontroller.
2) Foretage
regelmæssige og målrettede sikkerhedsaudit eller stille
krav om, at teleudbyderen får et kvalificeret
uafhængigt organ til at foretage disse audit, og at
resultaterne heraf stilles til rådighed for Styrelsen for
Samfundssikkerhed.
3) Foretage
sikkerhedsaudit ad hoc.
4) Foretage
sikkerhedsscanninger.
5) Kræve
at få udleveret oplysninger, der er nødvendige for at
vurdere de foranstaltninger til styring af sikkerhedsrisici, som
den berørte udbyder har indført.
6) Kræve
at få adgang til data, dokumenter og oplysninger, der er
nødvendige for udførelsen af tilsynsopgaven, herunder
til afgørelse af, om et forhold er omfattet af denne lov
eller regler udstedt i medfør af loven.
7) Kræve
at få udleveret dokumentation for gennemførelsen af
sikkerhedspolitikker.
8) Kræve
at få skriftlige udtalelser og redegørelser om
faktiske forhold af betydning for Styrelsen for Samfundssikkerheds
tilsynsvirksomhed.
Stk. 2. Ved
anvendelsen af tiltagene i stk. 1, nr. 5-8, skal Styrelsen for
Samfundssikkerhed angive formålet med tiltaget og
præcisere, hvilke oplysninger der kræves udleveret, og
hvordan og i hvilken form oplysningerne og materialet nævnt i
stk. 1, nr. 5-8, skal udleveres.
Håndhævelsesforanstaltninger for
væsentlige teleudbydere
§
20. Styrelsen for Samfundssikkerhed kan anvende
følgende håndhævelsesforanstaltninger over for
en væsentlig teleudbyder:
1) Udstede
advarsler om teleudbyderens overtrædelse af denne lov og
regler udstedt i medfør af loven.
2) Udstede
bindende instrukser, herunder vedrørende foranstaltninger,
der er nødvendige for at forhindre eller afhjælpe en
hændelse, og frister for gennemførelse af
sådanne foranstaltninger og for rapportering om deres
gennemførelse eller pålægge de
pågældende enheder at afhjælpe de konstaterede
mangler eller overtrædelserne af denne lov og regler udstedt
i medfør af loven.
3) Påbyde
teleudbyderen at træffe foranstaltninger, der er
nødvendige for at forhindre eller afhjælpe en
hændelse.
4) Meddele
teleudbyderen påbud og forbud for at sikre overholdelsen af
de krav, der er fastsat i denne lov og regler udstedt i
medfør af loven.
5) Påbyde
teleudbyderen at underrette de fysiske eller juridiske personer,
som teleudbyderen leverer tjenester til eller udfører
aktiviteter for, og som potentielt kan være berørt af
en væsentlig trussel, om denne trussels karakter og om
eventuelle beskyttelsesforanstaltninger eller afhjælpende
foranstaltninger, som de fysiske eller juridiske personer kan
træffe som reaktion på denne trussel.
6) Påbyde
teleudbyderen at gennemføre de anbefalinger, der er fremsat
i forbindelse med en gennemført sikkerhedsaudit.
7) Udpege en
person med ansvar for i en nærmere fastsat periode at
føre tilsyn med teleudbyderens overholdelse af kapitel 2 og
3 og regler udstedt i medfør heraf.
8) Påbyde
udbyderen i ikkeanonymiseret form og på en nærmere
angiven måde at offentliggøre afgørelser om
håndhævelsesforanstaltninger efter nr. 1-5 og
resuméer af domme eller bødevedtagelser, hvor der
idømmes eller vedtages en bøde.
§
21. Har en eller flere af de
håndhævelsesforanstaltninger, der er pålagt i
medfør af § 20, nr. 1-8, vist sig at være
utilstrækkelige, kan Styrelsen for Samfundssikkerhed
fastsætte en frist, inden for hvilken den væsentlige
teleudbyder skal foretage de nødvendige tiltag for at
afhjælpe manglerne eller opfylde Styrelsen for
Samfundssikkerheds krav. Er manglerne ikke afhjulpet eller
Styrelsen for Samfundssikkerheds krav ikke opfyldt inden for den
fastsatte frist, kan Styrelsen for Samfundssikkerhed træffe
afgørelse om følgende:
1) Midlertidigt
at suspendere en certificering eller godkendelse vedrørende
dele af eller alle de relevante tjenester, som teleudbyderen
leverer, eller aktiviteter, der udføres af
teleudbyderen.
2) Midlertidigt
at forbyde enhver fysisk person med ledelsesansvar på niveau
med administrerende direktør eller den juridiske
repræsentant hos udbyderen at udøve ledelsesfunktioner
hos den pågældende teleudbyder.
Stk. 2.
Suspensioner eller forbud, som er pålagt i medfør af
stk. 1, kan kun anvendes, indtil den væsentlige teleudbyder
træffer de nødvendige tiltag for at afhjælpe de
mangler eller opfylde de krav, som gav anledning til, at
foranstaltningerne blev anvendt.
Stk. 3. En
afgørelse efter stk. 1 kan af den væsentlige
teleudbyder eller den fysiske person, som afgørelsen
vedrører, forlanges indbragt for domstolene. Styrelsen for
Samfundssikkerhed anlægger i givet fald sag inden for
rammerne af den civile retspleje mod den teleudbyder eller person,
som har forlangt sagen indbragt.
Stk. 4.
Ministeren for samfundssikkerhed og beredskab fastsætter
regler om, hvilke certificeringer og godkendelser der er omfattet
af stk. 1, nr. 1.
Tilsyns- og kontrolforanstaltninger for vigtige
teleudbydere
§
22. Styrelsen for Samfundssikkerhed kan som led i sit
tilsyn, hvis der er indikationer på, at en vigtig teleudbyder
ikke overholder eller ikke har overholdt denne lov eller regler
udstedt i medfør af loven, anvende følgende tilsyns-
og kontrolforanstaltninger:
1) Uden
retskendelse og mod behørig legitimation foretage kontrol
hos teleudbydere og deres samarbejdspartnere, leverandører
eller underleverandører i relation til outsourcet aktivitet
og eksternt tilsyn, herunder foretage stikprøvekontroller og
eksternt efterfølgende tilsyn.
2) Foretage
målrettede sikkerhedsaudit eller stille krav om, at udbyderen
får et kvalificeret uafhængigt organ til at foretage
disse audit, og at resultaterne heraf stilles til rådighed
for Styrelsen for Samfundssikkerhed.
3) Foretage
sikkerhedsscanninger.
4) Kræve
at få udleveret oplysninger, der er nødvendige for
efterfølgende at vurdere de foranstaltninger til styring af
sikkerhedsrisici, som den berørte udbyder har
indført.
5) Kræve
at få adgang til data, dokumenter og oplysninger, der er
nødvendige for udførelsen af tilsynsopgaven, herunder
til afgørelse af, om et forhold er omfattet af denne lov
eller regler udstedt i medfør af loven.
6) Kræve
at få udleveret dokumentation for gennemførelsen af
sikkerhedspolitikker.
7) Kræve
at få skriftlige udtalelser og redegørelser om
faktiske forhold af betydning for Styrelsen for Samfundssikkerheds
tilsynsvirksomhed.
Stk. 2. Ved
anvendelse af tiltagene i stk. 1, nr. 4-7, skal Styrelsen for
Samfundssikkerhed angive formålet med tiltaget og
præcisere, hvilke oplysninger der kræves udleveret, og
hvordan og i hvilken form oplysningerne og materialet nævnt i
stk. 1, nr. 4-7, skal udleveres.
§
23. Styrelsen for Samfundssikkerhed kan anvende
følgende håndhævelsesforanstaltninger over for
en vigtig teleudbyder:
1) Udstede
advarsler om teleudbyderens overtrædelse af denne lov og
regler udstedt i medfør af loven.
2) Udstede
bindende instrukser, herunder vedrørende foranstaltninger,
der er nødvendige for at forhindre eller afhjælpe en
hændelse, og frister for gennemførelse af
sådanne foranstaltninger og for rapportering om deres
gennemførelse eller pålægge de
pågældende enheder at afhjælpe de konstaterede
mangler eller overtrædelserne af denne lov og regler udstedt
i medfør af loven.
3) Meddele
teleudbyderen påbud og forbud for at sikre overholdelsen af
de krav, der er fastsat i loven eller regler udstedt i
medfør af loven.
4) Påbyde
teleudbyderen at underrette de fysiske eller juridiske personer,
som udbyderen leverer tjenester til eller udfører
aktiviteter for, og som potentielt kan være berørt af
en væsentlig trussel, om denne trussels karakter og om
eventuelle beskyttelsesforanstaltninger eller afhjælpende
foranstaltninger, som de fysiske eller juridiske personer kan
træffe som reaktion på denne trussel.
5) Påbyde
teleudbyderen at gennemføre de anbefalinger, der er fremsat
i forbindelse med en gennemført sikkerhedsaudit.
6) Påbyde
teleudbyderen i ikkeanonymiseret form og på en nærmere
angiven måde at offentliggøre afgørelser om
håndhævelsesforanstaltninger efter nr. 1-3 og
resuméer af domme eller bødevedtagelser, hvor der
idømmes eller vedtages en bøde.
Høring af væsentlige og vigtige
teleudbydere
§
24. Inden Styrelsen for Samfundssikkerhed træffer
afgørelse om at anvende
håndhævelsesforanstaltninger efter §§ 20, 21
og 23, underrettes den væsentlige eller vigtige teleudbyder
om de påtænkte håndhævelsesforanstaltninger
og begrundelsen herfor. Styrelsen for Samfundssikkerhed skal give
teleudbyderen en rimelig frist til at fremsætte
bemærkninger undtagen i tilfælde, hvor formålet
med foranstaltningen ellers ville forspildes.
Offentliggørelse
§
25. Styrelsen for Samfundssikkerhed kan i ikkeanonymiseret
form offentliggøre følgende:
1)
Afgørelser om påbud meddelt i medfør af §
13, stk. 5 og 7, og § 18, stk. 1 og 2, og afgørelser
truffet i medfør af regler, der er udstedt i medfør
af § 7, stk. 5, nr. 1-3, § 13, stk. 5, 2. pkt., og §
18, stk. 2, 2. pkt.
2) Resultater af
tilsyn efter §§ 19 og 22.
3)
Resuméer af domme eller bødevedtagelser, hvor der
idømmes eller vedtages en bøde for overtrædelse
af denne lov eller regler, der er udstedt i medfør af denne
lov.
4)
Resuméer af domme i retssager, hvor Styrelsen for
Samfundssikkerhed er part, om forhold omfattet af denne lov.
Stk. 2.
Offentliggørelse efter stk. 1 må ikke indeholde
følgende:
1) Oplysninger
om tekniske indretninger eller fremgangsmåder eller om
drifts- eller forretningsforhold el.lign., for så vidt det er
af væsentlig økonomisk betydning for den
væsentlige eller vigtige teleudbyder, som oplysningerne
angår.
2) Oplysninger,
der er af væsentlig betydning for statens sikkerhed eller
rigets forsvar.
3)
Klassificerede informationer.
4) Fortrolige
oplysninger, der hidrører fra nationale tilsynsmyndigheder i
andre EU-medlemsstater, medmindre de myndigheder, der har afgivet
oplysningerne, har givet deres udtrykkelige tilladelse til
offentliggørelse.
5) Oplysninger
om enkeltpersoners private forhold.
Stk. 3.
Ministeren for samfundssikkerhed og beredskab kan fastsætte
regler om sagsbehandlingen i forbindelse med
offentliggørelse efter stk. 1.
Kapitel 8
Videregivelse af
oplysninger, gensidig bistand, gennemførelsesretsakter,
digital kommunikation m.v.
§
26. De forpligtelser, der er fastsat i denne lov eller i
regler udstedt i medfør af loven, omfatter ikke meddelelse
af oplysninger, hvis videregivelse ville stride mod
væsentlige interesser af hensyn til den nationale sikkerhed,
den offentlige sikkerhed eller rigets forsvar.
Stk. 2.
Oplysninger, der modtages eller hidrører fra myndigheder i
andre EU-medlemsstater, behandles som fortrolige, såfremt den
afgivende myndighed betragter oplysningerne som fortrolige i
henhold til EU-regler eller nationale regler.
§
27. Styrelsen for Samfundssikkerhed kan hos væsentlige
og vigtige teleudbydere indsamle oplysninger med henblik på
at videregive disse til Europa-Kommissionen, Den Europæiske
Unions Agentur for Cybersikkerhed eller nationale
tilsynsmyndigheder i andre EU-medlemsstater, i det omfang det er
nødvendigt for, at disse kan opfylde deres opgaver i forhold
til traktatmæssige forpligtelser eller forpligtelser i
henhold til den gældende EU-ret.
Stk. 2.
Styrelsen for Samfundssikkerhed orienterer de væsentlige og
vigtige teleudbydere, som der er indsamlet oplysninger fra efter
stk. 1, forud for videregivelse af oplysningerne til
Europa-Kommissionen, Den Europæiske Unions Agentur for
Cybersikkerhed eller nationale tilsynsmyndigheder i andre
EU-medlemsstater.
§
28. Hvor en væsentlig eller vigtig teleudbyder leverer
tjenester i mere end én medlemsstat i Den Europæiske
Union, eller hvor udbyderen leverer tjenester i en eller flere
medlemsstater og udbyderens net- og informationssystemer er
beliggende i en eller flere andre medlemsstater, samarbejder
Styrelsen for Samfundssikkerhed med de andre medlemsstaters
kompetente myndigheder i relevant omfang. Samarbejdet
indebærer følgende:
1) Styrelsen for
Samfundssikkerhed underretter de kompetente myndigheder i relevante
medlemsstater om tilsyns- og
håndhævelsesforanstaltninger iværksat over for
teleudbydere i Danmark.
2) Styrelsen for
Samfundssikkerhed kan anmode en anden medlemsstats kompetente
myndigheder om at anvende tilsyns- og
håndhævelsesforanstaltninger.
3) Styrelsen for
Samfundssikkerhed yder i rimeligt omfang bistand til en anden
medlemsstats kompetente myndighed efter modtagelse af en begrundet
anmodning om at anvende tilsyns- og
håndhævelsesforanstaltninger.
Stk. 2.
Styrelsen for Samfundssikkerhed kan efter nærmere aftale
gennemføre fælles tilsynstiltag med kompetente
myndigheder fra andre medlemsstater i Den Europæiske
Union.
§
29. Ministeren for samfundssikkerhed og beredskab kan
fastsætte regler, som er nødvendige for at
gennemføre retsakter udstedt af Europa-Kommissionen i
medfør af NIS 2-direktivet.
§
30. Ministeren for samfundssikkerhed og beredskab kan
fastsætte regler om digital kommunikation, herunder om
anvendelsen af bestemte it-systemer og særlige digitale
formater samt digital signatur el.lign.
Kapitel 9
Straf
§
31. Med bøde straffes den, der
1)
overtræder § 5, stk. 1 eller 2, § 7, stk. 1-3,
§ 8, stk. 2, jf. stk. 3, § 9, stk. 1, § 11, stk. 1
eller 2, eller § 16, stk. 1,
2) undlader at
efterkomme Styrelsen for Samfundssikkerheds afgørelse efter
§ 21, stk. 1, nr. 1 eller 2,
3) undlader at
efterkomme Styrelsen for Samfundssikkerheds påbud efter
§ 13, stk. 5, eller § 18, stk. 1 og 2,
4) undlader at
efterkomme Styrelsen for Samfundssikkerheds krav efter § 19,
stk. 1, nr. 5-8, eller § 22, stk. 1, nr. 4-7, eller
5) hindrer
Styrelsen for Samfundssikkerhed i at føre tilsyn efter
bestemmelserne i § 19, stk. 1, nr. 1-4, eller § 22, stk.
1, nr. 1-3.
Stk. 2. Der kan
pålægges selskaber m.v. (juridiske personer)
strafansvar efter reglerne i straffelovens 5. kapitel.
Stk. 3. I
forskrifter, der udstedes i medfør af loven, kan der
fastsættes straf af bøde for overtrædelse af
bestemmelserne i forskrifterne.
Kapitel 10
Ikrafttrædelse, overgangsbestemmelser og
ændringer i anden lovgivning m.v.
§
32. Loven træder i kraft den 1. juli 2025.
Stk. 2. Lov om
sikkerhed i net og tjenester, jf. lovbekendtgørelse nr. 153
af 1. februar 2021, ophæves.
Stk. 3.
Oplysningerne efter § 7, stk. 1, skal indgives senest den 1.
oktober 2025.
§
33. Loven gælder ikke for Færøerne og
Grønland.
§ 34. I
lov nr. 1156 af 8. juni 2021 om leverandørsikkerhed i den
kritiske teleinfrastruktur foretages følgende
ændringer:
1. § 1,
nr. 3, affattes således:
»3) Vigtig
teleudbyder: En teleudbyder, som er identificeret som en vigtig
teleudbyder i henhold til lov om sikkerhed og beredskab i
telesektoren.«
2. I
§ 1 indsættes som nr. 4:
»4)
Væsentlig teleudbyder: En teleudbyder, som er identificeret
som en væsentlig teleudbyder i henhold til lov om sikkerhed
og beredskab i telesektoren.«
3. I
§ 2, stk. 1, § 3, stk. 1 og
2, og §
15 ændres »væsentlig erhvervsmæssig
udbyder af offentligt tilgængelige elektroniske
kommunikationsnet og -tjenester« til: »væsentlig
eller vigtig teleudbyder«.
Officielle noter
1)
Loven gennemfører dele af Europa-Parlamentets og
Rådets direktiv (EU) 2018/1972 af 11. december 2018 om
oprettelse af en europæisk kodeks for elektronisk
kommunikation (omarbejdning), EU-Tidende 2018, nr. L 321, side 36.
Loven gennemfører desuden dele af Europa-Parlamentets og
Rådets direktiv (EU) 2022/2555 af 14. december 2022 om
foranstaltninger til sikring af et højt fælles
cybersikkerhedsniveau i hele Unionen, om ændring af
forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om
ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet),
EU-Tidende 2022, nr. L 333, side 80.